设备连接过程
上一次修改主题: 2012-06-21
本主题介绍设备连接过程。在排查设备故障时了解该过程很重要,因为该过程的步骤与您可以排除故障的潜在故障点对应。
内部 IP 电话的连接过程
内部 IP 电话的连接过程适用于所有 IP 电话。该过程唯一不同之处在于每个 IP 电话使用的身份验证类型。只有新 IP 电话(即 Aastra 6721ip 公用区域电话、Aastra 6725ip 桌面电话、HP 4110 IP Phone [公用区域电话]、HP 4120 IP Phone [桌面电话]、Polycom CX500 IP 公用区域电话、Polycom CX600 IP 桌面电话和 Polycom CX3000 IP 会议电话)可以使用个人标识号 (PIN) 身份验证。Polycom CX700 IP 桌面电话可以使用证书或 NTLM 身份验证。
.jpg "98345d35-bee9-40a3-9196-8c9b140e6eac")
该过程的第一步是:设备尝试获取虚拟局域网 (VLAN) ID,方法是先尝试链路层发现协议 (LLDP),如果该协议不可用,则转而尝试动态主机配置协议 (DHCP)。
.gif "note") 注意: |
|---|
| 如果设备未能获取 VLAN ID,则继续引导过程。 |
接下来,设备使用 DHCP 获取 IP 地址,查询域名系统 (DNS) 获取 Lync Server SIP 的 SRV 记录,然后解析该记录以获取域名。Web 服务器的名称 ucupdates-r2 会附加到该域前面,以生成设备更新 Web 服务的完全限定域名 (FQDN)。设备随后会查询 DNS 以获取设备更新 Web 服务 FQDN 的 A 记录,并查询设备更新 Web 服务以获取更新。如有更新,设备会从设备更新 Web 服务的存储中将其取下并应用,然后再重新启动。在重新启动后,设备会查询 DHCP 以发现 Web 服务 URL 和控制器的 FQDN。设备还可通过查询 DNS 获取 SRV 记录来确定控制器的 FQDN。
当用户开始登录时,即表示身份验证过程开始。设备会下载 Web 服务的根证书颁发者链(如果之前尚未获取),然后通过 TLS 连接到 Web 服务器,并使用该链验证该服务器的证书。证书和链会存储在设备上,以供将来使用。
设备会执行身份验证,提供如下凭据并对通信使用 TLS:
新 IP 电话(Aastra 6721ip、Aastra 6725ip、HP 4110、HP 4120、Polycom CX500、Polycom CX600 和 Polycom CX3000)提供 PIN 和电话号码或分机号。
旧 IP 电话(Polycom CX700 IP 桌面电话)提供用户名、域名和密码。
注意:利用 Aastra 6725ip、HP 4120、Polycom CX600、Polycom CX700 和 Polycom CX3000,用户还可以通过使用 USB 电缆将设备连接到其计算机来登录。
Web 服务通过联系注册器查找用户和用户的主池来检查凭据。如果凭据是正确的,设备会为用户请求证书,后者将返回到设备中,同时会发布到用户存储位置。设备会使用用户的证书验证登录请求以及与注册器之间的所有后续 SIP 通信。
以下逻辑用于确定使用哪个注册器 FQDN(即,由 DHCP 返回的 FQDN 或由 DNS 返回的 FQDN)。在此逻辑中,将尝试使用每个记录,直至有一个成功。在 Lync Server Standard Edition 中,自动发布记录。在前端池中,必须手动发布记录。此 A 记录应指向前端池的虚拟 IP (VIP)。
内部 DNS SRV (TLS)
DHCP 地址 (TLS)
内部 DNS SRV (TCP)
DHCP 地址 (TCP)
外部 DNS (TLS)
外部 DNS (TCP)
最后,设备通过 SIP Register 请求与注册器连接,并使用用户的证书验证通信。此登录表示 SIP 通信开始。
外部 IP 电话的连接过程
在连接外部 IP 电话之前,必须先成功建立内部连接。根据用于该内部连接的身份验证方法,企业网络外部的设备连接过程会有所不同。
.jpg "a916ffc0-2dc1-4921-8793-e4c09dae6a09")
Aastra 6721ip、Aastra 6725ip、HP 4110、HP 4120、Polycom CX500、Polycom CX600 和 Polycom CX3000 的用户必须成功验证身份,并在内部登录注册器,才能获取设备更新 Web 服务的 FQDN(当用户登录 Lync Server 时由带内设置提供)、Web 服务颁发者证书链和服务器证书以及用户的证书,所有项目都是成功建立外部连接所必需的。
Polycom CX700 的用户必须在内部成功登录,设备才能从带内设置中获取外部设备更新 Web 服务的 FQDN。为此,设备不需要使用证书身份验证。NTLM 身份验证就足够了。
另外,如果无法获取设备更新 Web 服务地址,则设备会继续处理,并尝试身份验证和登录。在成功登录后,设备将获悉运行设备更新 Web 服务的服务器的 FQDN,并解析它,以便查询更新。
使用 NTLM 身份验证进行内部登录的外部 Polycom CX700
已使用 NTLM 身份验证在内部登录的外部 Polycom CX700 首先尝试使用本地(外部)DHCP 服务器获取 IP 地址。接下来,该设备会查询 DNS,以便提供 FQDN 值来查找运行设备更新 Web 服务的服务器的地址,然后查询更新。如有更新可用,该设备会下载该更新,安装它,然后重新启动。
在重新启动后,该设备会再次获取 IP 地址,再次查询设备更新 Web 服务以获取更新。此时,该设备本不需要其他更新,因此它会查询 DNS 以获取企业注册器 FQDN 的 SRV。在获取该内容后,该设备会查询相应的 A 记录。
接下来,该设备以 NTLM 为凭据建立连接,并进行身份验证。注册器会确认身份验证,并返回用户的主池和 SIP URI。该设备随后会发送 SIP REGISTER 请求进行登录,而注册器会在 ACK 响应中返回 Web 服务的 FQDN。
此时,该设备连接到 Web 服务,并获取 Web 服务器的证书链。在获取证书链后,该设备尝试先通过 TCP 进行身份验证,在该身份验证因 Extranet 中的 Web 服务需要安全通信而被拒绝后,再通过 TLS 进行身份验证。Web 服务会响应 TLS 查询,并提供 Web 服务器证书作为其凭据。使用之前下载的证书链,该设备可以对 Web 服务进行身份验证。它会发送 getAndPublish 请求。Web 服务会在该设备上为用户生成一个证书,将其发布到用户存储位置,并将其返回到设备中。
从此时起,该设备可使用证书身份验证(首选方法),因为它具有所需凭据,并可使用证书身份验证进行后续连接请求。
使用证书身份验证进行内部登录的外部 Aastra 6725ip、HP 4120、Polycom CX600 和 Polycom CX700
在这种情况下,外部设备在启动时首先尝试使用本地(外部)DHCP 服务器获取 IP 地址。接下来,该设备会查询 DNS(提供之前使用带内设置获取的 FQDN 值),以获取设备更新 Web 服务的地址,然后查询更新。如有更新可用,该设备会下载该更新,安装它,然后重新启动。
在重新启动后,该设备会再次经历 IP 地址获取过程,然后将 TLS 身份验证请求发送给 Web 服务,并提供用户证书作为凭据。如果 Web 服务可验证用户,则表明响应成功,该设备会向外部注册器地址发送 SIP REGISTER 请求,并提供用户的个人标识号 (PIN) 和电话号码/分机号作为凭据。
有关外部用户访问的详细信息,请参阅规划文档中的规划外部用户访问。
引导过程
在 IP 电话开机并连接到企业网络后,引导过程如下:
.gif "tip") 提示: |
|---|
| 在以下各个阶段都会发生问题,根据设备是位于组织防火墙内部还是外部,以及设备是新 IP 电话还是旧 IP 电话,问题可能会有所不同。若要查看在此过程中可能出现的问题,请参阅下列主题。 |