Добрый день!
Может кто подскажет по моей проблеме.
Суть такова. Три подсети: VLAN для сетевого оборудования, VLAN для компов, VLAN для телефонов. Маршрутизация через CISCO ASA 5505 Security Plus.
Итак, настройки ASA:

[quote]name 192.168.8.20 dc01

interface Ethernet0/0
switchport trunk allowed vlan 1,7-8
switchport trunk native vlan 1
switchport mode trunk

!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan7
nameif VoiceLAN
security-level 100
ip address 192.168.7.1 255.255.255.0
!
interface Vlan8
nameif Data
security-level 100
ip address 192.168.8.1 255.255.255.0
[/quote]

Транковый порт от свитча приходит на 0-й порт ASA. Тегируются 7-й и 8-й VLAN-ы, 1-й - нативный. На портах свитча, к которым подключен телефон и комп: VLAN 7 Tagged, VLAN 8 Untagged.

Настройки телефона:

[img]http://i4.fastpic.ru/big/2011/0520/30/9566a1e374b489e0bd4e7bac89665830.png[/img]

Так вот суть-то проблемы в том, что телефон сыпет DNS- и NTP-запросами в 8-ю сеть.

Логи ASA:

[quote]2|May 20 2011|17:15:40|106006|192.168.7.167|1166|dc01|123|Deny inbound UDP from 192.168.7.167/1166 to dc01/123 on interface Main
2|May 20 2011|17:15:40|106006|192.168.7.166|4742|dc01|123|Deny inbound UDP from 192.168.7.166/4742 to dc01/123 on interface Main
2|May 20 2011|17:15:40|106006|192.168.7.163|4252|dc01|123|Deny inbound UDP from 192.168.7.163/4252 to dc01/123 on interface Main
2|May 20 2011|17:15:37|106006|192.168.7.161|1064|dc01|123|Deny inbound UDP from 192.168.7.161/1064 to dc01/123 on interface Main
2|May 20 2011|17:15:34|106007|192.168.7.153|4143|DNS||Deny inbound UDP from 192.168.7.153/4143 to dc01/53 due to DNS Query
2|May 20 2011|17:15:32|106007|192.168.7.153|4143|DNS||Deny inbound UDP from 192.168.7.153/4143 to dc01/53 due to DNS Query
2|May 20 2011|17:15:30|106007|192.168.7.153|4142|DNS||Deny inbound UDP from 192.168.7.153/4142 to dc01/53 due to DNS Query
2|May 20 2011|17:15:28|106007|192.168.7.153|4142|DNS||Deny inbound UDP from 192.168.7.153/4142 to dc01/53 due to DNS Query
2|May 20 2011|17:15:26|106006|192.168.7.178|1238|dc01|123|Deny inbound UDP from 192.168.7.178/1238 to dc01/123 on interface Main
2|May 20 2011|17:15:24|106006|192.168.7.159|1835|dc01|123|Deny inbound UDP from 192.168.7.159/1835 to dc01/123 on interface Main
2|May 20 2011|17:15:24|106006|192.168.7.181|4043|dc01|123|Deny inbound UDP from 192.168.7.181/4043 to dc01/123 on interface Main
2|May 20 2011|17:15:23|106006|192.168.7.162|3674|dc01|123|Deny inbound UDP from 192.168.7.162/3674 to dc01/123 on interface Main
2|May 20 2011|17:15:19|106006|192.168.7.197|1428|dc01|123|Deny inbound UDP from 192.168.7.197/1428 to dc01/123 on interface Main
2|May 20 2011|17:15:18|106006|192.168.7.182|2502|dc01|123|Deny inbound UDP from 192.168.7.182/2502 to dc01/123 on interface Main
2|May 20 2011|17:15:18|106006|192.168.7.188|2955|dc01|123|Deny inbound UDP from 192.168.7.188/2955 to dc01/123 on interface Main
2|May 20 2011|17:15:16|106006|192.168.7.138|4768|dc01|123|Deny inbound UDP from 192.168.7.138/4768 to dc01/123 on interface Main
2|May 20 2011|17:15:13|106006|192.168.7.189|4118|dc01|123|Deny inbound UDP from 192.168.7.189/4118 to dc01/123 on interface Main
2|May 20 2011|17:15:12|106006|192.168.7.145|4489|dc01|123|Deny inbound UDP from 192.168.7.145/4489 to dc01/123 on interface Main
2|May 20 2011|17:15:11|106006|192.168.7.152|1395|dc01|123|Deny inbound UDP from 192.168.7.152/1395 to dc01/123 on interface Main
2|May 20 2011|17:15:02|106006|192.168.7.153|4141|dc01|123|Deny inbound UDP from 192.168.7.153/4141 to dc01/123 on interface Main
2|May 20 2011|17:15:02|106006|192.168.7.190|1242|dc01|123|Deny inbound UDP from 192.168.7.190/1242 to dc01/123 on interface Main
2|May 20 2011|17:14:58|106006|192.168.7.185|4003|dc01|123|Deny inbound UDP from 192.168.7.185/4003 to dc01/123 on interface Main
2|May 20 2011|17:14:58|106006|192.168.7.177|1121|dc01|123|Deny inbound UDP from 192.168.7.177/1121 to dc01/123 on interface Main
2|May 20 2011|17:14:57|106006|192.168.7.187|2657|dc01|123|Deny inbound UDP from 192.168.7.187/2657 to dc01/123 on interface Main
2|May 20 2011|17:14:57|106006|192.168.7.175|4119|dc01|123|Deny inbound UDP from 192.168.7.175/4119 to dc01/123 on interface Main
2|May 20 2011|17:14:57|106007|192.168.7.153|4140|DNS||Deny inbound UDP from 192.168.7.153/4140 to dc01/53 due to DNS Query
2|May 20 2011|17:14:57|106006|192.168.7.183|4102|dc01|123|Deny inbound UDP from 192.168.7.183/4102 to dc01/123 on interface Main
2|May 20 2011|17:14:55|106006|192.168.7.196|4119|dc01|123|Deny inbound UDP from 192.168.7.196/4119 to dc01/123 on interface Main
2|May 20 2011|17:14:55|106007|192.168.7.153|4140|DNS||Deny inbound UDP from 192.168.7.153/4140 to dc01/53 due to DNS Query
2|May 20 2011|17:14:53|106006|192.168.7.195|4248|dc01|123|Deny inbound UDP from 192.168.7.195/4248 to dc01/123 on interface Main
2|May 20 2011|17:14:53|106007|192.168.7.153|4139|DNS||Deny inbound UDP from 192.168.7.153/4139 to dc01/53 due to DNS Query
2|May 20 2011|17:14:51|106007|192.168.7.153|4139|DNS||Deny inbound UDP from 192.168.7.153/4139 to dc01/53 due to DNS Query
2|May 20 2011|17:14:50|106006|192.168.7.191|3051|dc01|123|Deny inbound UDP from 192.168.7.191/3051 to dc01/123 on interface Main
2|May 20 2011|17:14:48|106006|192.168.7.154|4117|dc01|123|Deny inbound UDP from 192.168.7.154/4117 to dc01/123 on interface Main
2|May 20 2011|17:14:46|106006|192.168.7.176|1150|dc01|123|Deny inbound UDP from 192.168.7.176/1150 to dc01/123 on interface Main
2|May 20 2011|17:14:45|106006|192.168.7.179|1540|dc01|123|Deny inbound UDP from 192.168.7.179/1540 to dc01/123 on interface Main
2|May 20 2011|17:14:45|106006|192.168.7.194|1593|dc01|123|Deny inbound UDP from 192.168.7.194/1593 to dc01/123 on interface Main
2|May 20 2011|17:14:44|106006|192.168.7.198|1147|dc01|123|Deny inbound UDP from 192.168.7.198/1147 to dc01/123 on interface Main
2|May 20 2011|17:14:43|106006|192.168.7.160|4523|dc01|123|Deny inbound UDP from 192.168.7.160/4523 to dc01/123 on interface Main
[/quote]

То есть получается, что телефон, используя свой IP-адрес, шлет в свитч нетегированный трафик для DNS и NTP.
Вообще он правильно резолвит имя сервера телефонии и время правильное отображает (в настройках указаны доменные имена), но вот это что за запросы???

ACL на интерфейсе VoiceLAN нету, т.е. трафик из телефонной сети в Data разрешен (т.к. у них одинаковый security-level).

Подозреваю, что с этим связано как-то еще и то, что некоторые телефоны время от времени "теряют" регистрацию. На экране надпись: SIP1 Register Failed. А в web-интерфейсе в разделе SIP статус регистрации: timeout.

При выполнении на Asterisk команды sip show peer выдается примерно такое:

[quote] * Name : 134
Secret : <Set>
MD5Secret : <Not set>
Context : office_2
Subscr.Cont. : <Not set>
Language : en
AMA flags : Unknown
Transfer mode: open
CallingPres : Presentation Allowed, Not Screened
Callgroup :
Pickupgroup :
Mailbox :
VM Extension : asterisk
LastMsgsSent : 32767/65535
Call limit : 0
Dynamic : Yes
Callerid : "Vasya Pupkin" <>
MaxCallBR : 384 kbps
[b] Expire : -1[/b]
Insecure : no
Nat : RFC3581
ACL : No
T38 pt UDPTL : No
CanReinvite : No
PromiscRedir : No
User=Phone : No
Video Support: Yes
Trust RPID : No
Send RPID : No
Subscriptions: Yes
Overlap dial : No
DTMFmode : rfc2833
LastMsg : 0
ToHost :
Addr->IP : 192.168.7.170 Port 5060
Defaddr->IP : 0.0.0.0 Port 5060
Def. Username: 134
SIP Options : (none)
Codecs : 0x80004 (ulaw|h263)
Codec Order : (ulaw:20)
Auto-Framing: No
Status : Unmonitored
Useragent : Voip Phone 1.0
Reg. Contact : sip:134@192.168.7.170:5060
[/quote]

Есть подозрение, что телефон, общаясь с DNS-сервером, иногда не тегирует трафик и шлет его в "чужой" VLAN.
Так ли это? И как сделать так, чтобы телефон не "терял" регистрацию?

Очень прошу помощи! В сети около 30 аппаратов, и еще столько же на складе. Жалобы на зависания каждый день. Ни позвонить, ни принять звонок.
В IP-телефонии не очень силен, но доступ к сетевому оборудованию и серверу телефонии есть полный, поэтому любые логи, проверки, запросы...

P.S. Есть телефоны LinkSYS SPA942, с ними такого не наблюдалось ни разу...

Конфиг телефона можете выложить?

<<VOIP CONFIG FILE>>Version:2.0002

<GLOBAL CONFIG MODULE>
Static IP :192.168.7.136
Static NetMask :255.255.255.0
Static GateWay :192.168.7.1
Default Protocol :2
Primary DNS :192.168.8.20
Alter DNS :10.1.1.50
DHCP Mode :0
DHCP Dns :0
Domain Name :mycompany.ru
Host Name :VOIP
Pppoe Mode :0
HTL Start Port :10000
HTL Port Number :200
SNTP Server :192.168.8.20
Enable SNTP :1
Time Zone :40
Enable Daylight :2
SNTP Time Out :60
DayLight Shift Min :60
DayLight Start Mon :3
DayLight Start Week:5
DayLight Start Wday:0
DayLight Start Hour:2
DayLight Start Min :0
DayLight End Mon :10
DayLight End Week :5
DayLight End Wday :0
DayLight End Hour :2
DayLight End Min :0
MMI Set :1
MTU Length :1500
Register WD Time :0

<LAN CONFIG MODULE>
Lan Ip :192.168.10.1
Lan NetMask :255.255.255.0
Bridge Mode :1

<TELE CONFIG MODULE>
Dial End With # :1
Dial Fixed Length :0
Fixed Length :11
Dial With Timeout :1
Dial Timeout value :5
Dialpeer With Line :0
Poll Sequence :0
Accept Any Call :1
Phone Prefix :
Local Area Code :
IP call network :.
--Port Config-- :
P1 No Disturb :0
P1 Mute :0
P1 No Dial Out :0
P1 No Empty Calling:0
P1 Enable CallerId :1
P1 Forward Service :0
P1 SIP TransNum :
P1 SIP TransAddr :
P1 SIP TransPort :5060
P1 CallWaiting :1
P1 CallTransfer :1
P1 Call3Way :1
P1 AutoAnswer :0
P1 No Answer Time :20
P1 Extention No. :
P1 Auto HandDown :0
P1 Auto Handdown Ti:3
P1 Hotline Num :
P1 Record Server :
P1 Enable Record :0
P1 Busy N/A Line :0

<DSP CONFIG MODULE>
Signal Standard :1
Handdown Time :200
G729 Payload Length:1
G723 Bit Rate :1
G722 Timestamps :0
VAD :0
Ring Type :1
Dtmf Payload Type :101
Disable Handfree :0
RTP PROBE :0
--Port Config-- :
P1 Output Vol :5
P1 Input Vol :3
P1 HandFree Vol :5
P1 RingTone Vol :5
P1 Codec :-1
P1 Voice Record :0
P1 Record Playing :1
P1 UserDef Voice :0
P1 First Codec :1
P1 Second Codec :0
P1 Third Codec :17
P1 Forth Codec :15
P1 Fifth Codec :23
P1 Sixth Codec :9

<SIP CONFIG MODULE>
SIP Port :5060
Stun Address :
Stun Port :3478
Stun Effect Time :50
SIP Differv :0
Extern Address :
Url Convert :1
Reg Retry Time :30
Strict BranchPrefix:1
--SIP Line List-- :
SIP1 Phone Number :136
SIP1 Display Name :
SIP1 Sip Name :
SIP1 Register Addr :aster-chb.mycompany.ru
SIP1 Register Port :5060
SIP1 Register User :136
SIP1 Register Pwd :666666
SIP1 Register TTL :3600
SIP1 Enable Reg :1
SIP1 Proxy Addr :aster.mycompany.ru
SIP1 Proxy Port :5060
SIP1 Proxy User :136
SIP1 Proxy Pwd :666666
SIP1 Signal Enc :0
SIP1 Signal Key :
SIP1 Media Enc :0
SIP1 Media Key :
SIP1 Local Domain :
SIP1 Fwd Service :0
SIP1 Ring Type :0
SIP1 Fwd Number :
SIP1 Hotline Number:
SIP1 Enable Detect :0
SIP1 Detect TTL :60
SIP1 Server Type :0
SIP1 User Agent :Voip Phone 1.0
SIP1 PRACK :0
SIP1 KEEP AUTH :0
SIP1 Session Timer :0
SIP1 Gruu :0
SIP1 DTMF Mode :1
SIP1 Use Stun :0
SIP1 Via Port :1
SIP1 Subscribe :0
SIP1 Sub Expire :300
SIP1 Single Codec :0
SIP1 CLIR :0
SIP1 Strict Proxy :0
SIP1 Direct Contact:0
SIP1 History Info :0
SIP1 DNS SRV :0
SIP1 Transfer Expir:0
SIP1 Ban Anonymous :0
SIP1 Dial Without R:0
SIP1 DisplayName Qu:0
SIP1 Presence Mode :0
SIP1 RFC Ver :1
SIP1 Signal Port :0
SIP1 Transport :0
SIP1 Use Mixer :0
SIP1 Mixer Uri :
SIP1 Long Contact :0
SIP1 Auto TCP :0
SIP1 Click to Talk :0
SIP1 Mwi No. :
SIP1 Park No. :
SIP1 Help No. :
SIP2 Phone Number :
SIP2 Display Name :
SIP2 Sip Name :
SIP2 Register Addr :
SIP2 Register Port :5060
SIP2 Register User :
SIP2 Register Pwd :
SIP2 Register TTL :60
SIP2 Enable Reg :0
SIP2 Proxy Addr :
SIP2 Proxy Port :5060
SIP2 Proxy User :
SIP2 Proxy Pwd :
SIP2 Signal Enc :0
SIP2 Signal Key :
SIP2 Media Enc :0
SIP2 Media Key :
SIP2 Local Domain :
SIP2 Fwd Service :0
SIP2 Ring Type :0
SIP2 Fwd Number :
SIP2 Hotline Number:
SIP2 Enable Detect :0
SIP2 Detect TTL :60
SIP2 Server Type :0
SIP2 User Agent :Voip Phone 1.0
SIP2 PRACK :0
SIP2 KEEP AUTH :0
SIP2 Session Timer :0
SIP2 Gruu :0
SIP2 DTMF Mode :1
SIP2 Use Stun :0
SIP2 Via Port :1
SIP2 Subscribe :0
SIP2 Sub Expire :300
SIP2 Single Codec :0
SIP2 CLIR :0
SIP2 Strict Proxy :0
SIP2 Direct Contact:0
SIP2 History Info :0
SIP2 DNS SRV :0
SIP2 Transfer Expir:0
SIP2 Ban Anonymous :0
SIP2 Dial Without R:0
SIP2 DisplayName Qu:0
SIP2 Presence Mode :0
SIP2 RFC Ver :1
SIP2 Signal Port :0
SIP2 Transport :0
SIP2 Use Mixer :0
SIP2 Mixer Uri :
SIP2 Long Contact :0
SIP2 Auto TCP :0
SIP2 Click to Talk :0
SIP2 Mwi No. :
SIP2 Park No. :
SIP2 Help No. :

<IAX2 CONFIG MODULE>
Server Address :
Server Port :4569
User Name :
User Password :
User Number :
Voice Number :0
Voice Text :mail
EchoTest Number :1
EchoTest Text :echo
Local Port :4569
Enable Register :0
Refresh Time :60
Enable G.729 :0

<PPPoE CONFIG MODULE>
Pppoe User :user123
Pppoe Password :password
Pppoe Service :ANY
Pppoe Ip Address :

<MMI CONFIG MODULE>
Telnet Port :23
Web Port :80
Remote Control :1
Enable MMI Filter :0
Telnet Prompt :
--MMI Account-- :
Account1 Name :admin
Account1 Pass :********
Account1 Level :10
Account2 Name :guest
Account2 Pass :guest
Account2 Level :5

<QOS CONFIG MODULE>
Enable VLAN :1
Enable diffServ :0
DiffServ Value :184
VLAN ID :7
802.1P Value :0
VLAN Recv Check :0
Data VLAN ID :1
Data 802.1P Value :0
Diff Data Voice :2
Enable PVID :0
PVID Value :0

<DEBUG CONFIG MODULE>
MGR Trace Level :0
SIP Trace Level :0
IAX Trace Level :0
Trace File Info :0

<AAA CONFIG MODULE>
Enable Syslog :0
Syslog address :0.0.0.0
Syslog port :514

<ACCESS CONFIG MODULE>
Enable In Access :0
Enable Out Access :0

<DHCP CONFIG MODULE>
Enable DHCP Server :0
Enable DNS Relay :1
DHCP Update Flag :0
TFTP Server :0.0.0.0
--DHCP List-- :
Item1 name :lan
Item1 Start Ip :192.168.10.1
Item1 End Ip :192.168.10.30
Item1 Param :snmk=255.255.255.0:maxl=1440:rout=192.168.10.1:dnsv=192.168.10.1

<NAT CONFIG MODULE>
Enable Nat :0
Enable Ftp ALG :1
Enable H323 ALG :0
Enable PPTP ALG :1
Enable IPSec ALG :1

<PHONE CONFIG MODULE>
Keypad Password :123
LCD Logo :136
LCD Constrast :4
LCD Luminance :1
Backlight Off Time :30
Time Display Style :0
Display Time :1
Resolve Address :
MWI Number :
Phone Model :
Serivce URL :
--Function Key-- :
Fkey1 Type :4
Fkey1 Value :F_MWI
Fkey1 Title :
Fkey2 Type :0
Fkey2 Value :
Fkey2 Title :
Fkey3 Type :0
Fkey3 Value :
Fkey3 Title :
Fkey4 Type :0
Fkey4 Value :
Fkey4 Title :
Fkey5 Type :0
Fkey5 Value :
Fkey5 Title :
Fkey6 Type :0
Fkey6 Value :
Fkey6 Title :
Fkey7 Type :0
Fkey7 Value :
Fkey7 Title :
Fkey8 Type :0
Fkey8 Value :
Fkey8 Title :
Fkey9 Type :0
Fkey9 Value :
Fkey9 Title :
Fkey10 Type :0
Fkey10 Value :
Fkey10 Title :
Fkey11 Type :0
Fkey11 Value :
Fkey11 Title :
Memo Number :0

<AUTOUPDATE CONFIG MODULE>
Download Username :user
Download password :pass
Download Server IP :0.0.0.0
Config File Name :
Config File Key :
Download Protocol :1
Download Mode :0
Download Interval :1
DHCP Option 66 :0

<VPN CONFIG MODULE>
VPN mode :-1
L2TP LNS IP :
L2TP User Name :
L2TP Password :
Enable VPN Tunnel :0
VPN Server IP :0.0.0.0
VPN Server Port :80
Server Group ID :VPN
Server Area Code :12345
<<END OF FILE>>

VLAN check включите.

Спасибо, попробую. Телефон перезагружать надо?

А для чего эта функция? Из описания, которое было на диске, я прочитал это:
"Enable VLAN ID check by selecting it. After enable VLAN ID check, if VLAN ID of a data package is not the same with the phone or a data package do not have VLAN ID, the data package will be discarded."
И специально выключал.
Я перевёл так, что когда VLAN ID check включено, то отбрасываются пакеты, у которых номер VLAN компьютера не совпадает номер VLAN телефона, либо если приходят нетегированные данные.

Сделал на нескольких телефонах. Жалоб пока не было, но в логе ASA те же самые сообщения...

Вообще схема работы VLAN на данном телефоне следующая: все что относится к телефонии через Voice VLAN, все остальное через data.

Такая схема работы на всех телефонах должна быть. По идее.
А на DPH-150, мне кажется, 50/50: иногда он шлет DNS- и NTP- запросы, а также запросы на регистрацию на сервере SIP в свой VLAN, а иногда - в чужой. И видимо, иногда не может из-за этого достучаться до сервера, и на экране надпись: SIP1 Not registered...

DNS и NTP он должен слать в DATA vlan.

Видимо, так и происходит. Только трафик не тегируется...

Пришлите дамп трафика мне на e-mail.

Выслал. Чем-нибудь обрадуете?

Прошло 4 недели. Сдвиги есть какие-нибудь? Или только в сроках?

А DiffServ у Вас включен?

Алексей, мы с Вами общались через электронную почту и Вы у меня уже спрашивали 3-го июня. Включен и разницы никакой нет, что включен, что выключен.
Вы обещали что к 15 июня будет новая прошивка. Сейчас мне кажется что над ней никто не работал и ее не будет никогда. Зато новая красивая брошюрка на FTP появилась, замечательно!

Пришлите мне на e-mail серийный номер и MAC адрес устройства.