Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EX 系列交换机上的 VoIP

您可以在 EX 系列交换机上配置 IP 语音 (VoIP) 以支持 IP 电话。使用 VoIP 时,可以将 IP 电话连接到交换机,并为兼容 802.1X 的 IP 电话配置 IEEE 802.1X 身份验证。有关更多信息,请阅读本主题。

了解 EX 系列交换机上的 802.1X 和 VoIP

使用 VoIP 时,可以将 IP 电话连接到交换机,并为兼容 802.1X 的 IP 电话配置 IEEE 802.1X 身份验证。802.1X 身份验证提供网络边缘安全性,保护以太网 LAN 免受未经授权的用户访问。

VoIP是一种用于通过分组交换网络传输语音的协议。VoIP 使用网络连接而不是模拟电话线传输语音呼叫。

当 VoIP 与 802.1X 配合使用时,RADIUS 服务器会对电话进行身份验证,链路层发现协议 – 媒体端点发现 (LLDP-MED) 会为电话提供服务等级 (CoS) 参数。

您可以将 802.1X 身份验证配置为在多请求方或单个请求方模式下与 VoIP 配合使用。在 多请求方 模式下,802.1X 进程允许多个请求方连接到接口。每个请求方都经过单独身份验证。有关 VoIP 多请求方拓扑的示例,请参见 图 1

图 1: VoIP 多请求方拓扑VoIP 多请求方拓扑

如果兼容 802.1X 的 IP 电话没有 802.1X 主机,但有另一台兼容 802.1X 的设备连接到其数据端口,则可以将电话连接到单请求模式的接口。在 单一请求方 模式下,802.1X 进程仅对第一个请求方进行身份验证。稍后连接到接口的所有其他请求方都可以完全访问,而无需任何进一步的身份验证。他们有效地“捎带”了第一个请求方的身份验证。有关 VoIP 单一请求方拓扑的示例,请参见 图 2

图 2: VoIP 单一请求方拓扑结构VoIP 单一请求方拓扑结构

如果 IP 电话不支持 802.1X,您可以将 VoIP 配置为绕过 802.1X 和 LLDP-MED,并将数据包转发到 VoIP VLAN。

多域 802.1X 身份验证

多域 802.1X 身份验证是多请求模式的扩展,允许一个默认 VoIP 设备和多个数据设备在单个端口上进行身份验证。多域 802.1X 身份验证通过限制端口上经过身份验证的数据和 VoIP 会话的数量,在多个请求方模式下提供增强的安全性。在多请求模式下,可以对任意数量的VoIP或数据会话进行身份验证;可以使用 MAC 限制来限制会话数,但无法将限制专门应用于数据或 VoIP 会话。

通过多域802.1X身份验证,单个端口分为两个域;一个是数据域,另一个是语音域。多域 802.1X 身份验证根据域维护单独的会话计数。您可以配置端口上允许的最大经过身份验证的数据会话数。VoIP 会话的数量不可配置;端口上只允许一个经过身份验证的 VoIP 会话。

如果在达到最大会话计数后,新客户端尝试在接口上进行身份验证,则默认操作是丢弃数据包并生成错误日志消息。您还可以配置操作以关闭接口。可以通过发出 clear dot1x recovery-timeout 命令手动从关闭状态恢复端口,也可以通过在配置的恢复超时期限后自动恢复端口。

多域身份验证不会强制执行设备身份验证的顺序。但是,为了获得最佳结果,VoIP 设备应在启用多域 802.1X 的端口上的数据设备之前进行身份验证。仅在多请求方模式下支持多域身份验证。

示例:在 EX 系列交换机上使用 802.1X 和 LLDP-MED 设置 VoIP

您可以在 EX 系列交换机上配置 IP 语音 (VoIP) 以支持 IP 电话。链路层发现协议 – 媒体端点发现 (LLDP-MED) 协议将 VoIP 参数从交换机转发到电话。您还可以配置 802.1X 身份验证以允许电话访问 LAN。身份验证通过后端 RADIUS 服务器完成。

此示例介绍如何在 EX 系列交换机上配置 VoIP 以支持 Avaya IP 电话,以及 LLDP-MED 协议和 802.1X 身份验证:

注:

如果您的交换机运行的 Junos OS for EX 系列交换机支持增强型第 2 层软件 (ELS) 配置样式,请参阅 示例:在支持 ELS 的 EX 系列交换机上设置 802.1X 和 LLDP-MED 的 VoIP。有关 ELS 的详细信息,请参阅使用增强型第 2 层软件 CLI

要求

此示例使用以下硬件和软件组件:

  • 适用于 EX 系列交换机的 Junos OS 9.1 或更高版本

  • 一台 EX 系列交换机充当身份验证器端口访问实体 (PAE)。验证方 PAE 上的接口形成一个控制门,用于阻止请求方来往的所有流量,直到它们通过身份验证。

  • 支持 LLDP-MED 和 802.1X 的 Avaya 9620 IP 电话

在配置 VoIP 之前,请确保您已:

注:

如果未在 Avaya IP 电话上配置 IP 地址,电话将交换 LLDP-MED 信息,以获取语音 VLAN 的 VLAN ID。您必须在接口上配置 voip 语句以将该接口指定为 VoIP 接口,并允许交换机将语音 VLAN 的 VLAN 名称和 VLAN ID 转发到 IP 电话。然后,IP 电话使用语音 VLAN(即,它引用语音 VLAN 的 ID)发送 DHCP 发现请求并与 DHCP 服务器(语音网关)交换信息。

概述和拓扑

您可以不用使用普通电话,而是将 IP 电话直接连接到交换机。IP电话具有处理VoIP所需的所有硬件和软件。您还可以通过将 IP 电话连接到交换机上的其中一个以太网供电 (PoE) 接口来为其供电。

在此示例中,EX4200 交换机上的接入接口 ge-0/0/2 连接到 Avaya 9620 IP 电话。Avaya手机具有内置桥接器,可让您将台式PC连接到手机,因此单个办公室中的台式机和电话只需要交换机上的一个接口。EX 系列交换机连接到接口 ge-0/0/10 上的 RADIUS 服务器(请参阅 图 3)。

图 3: VoIP 拓扑VoIP 拓扑

在此示例中,您将配置 VoIP 参数并指定语音流量的转发类 assured-forward ,以提供最高质量的服务。

表 1 介绍了此 VoIP 配置示例中使用的组件。

表 1: VoIP 配置拓扑的组件
属性 设置

交换机硬件

EX4200 交换机

VLAN 名称

data-vlan voice-vlan

连接至Avaya手机—通过集成集线器,将手机和台式PC连接至单一接口(需要PoE)

ge-0/0/2

一台 RADIUS 服务器

提供通过接口 ge-0/0/10连接到交换机的后端数据库。

除了为 接口 ge-0/0/2配置 VoIP 之外,您还可以配置:

  • 802.1X 身份验证。身份验证设置为 multiple 请求方,以支持多个请求方通过接口 ge-0/0/2访问 LAN。

  • LLDP-MED 协议信息。交换机使用 LLDP-MED 将 VoIP 参数转发到电话。使用 LLDP-MED 可确保语音流量在源本身使用正确的值进行标记和优先级排序。例如,可以将 802.1p 服务等级和 802.1Q 标记信息发送到 IP 电话。

    注:

    如果 IP 电话使用电源适配器,则不需要 PoE 配置。

配置

要配置 VoIP、LLDP-MED 和 802.1X 身份验证,请执行以下操作:

程序

CLI 快速配置

要快速配置 VoIP、LLDP-MED 和 802.1X,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程

要使用 LLDP-MED 和 802.1X 配置 VoIP:

  1. 为语音和数据配置 VLAN:

  2. 将 VLAN data-vlan 与接口关联:

  3. 将接口配置为接入接口,配置对以太网交换的支持,并添加 data-vlan VLAN:

  4. 在接口上配置 VoIP 并指定 assured-forwarding 转发类以提供最可靠的服务等级:

  5. 配置 LLDP-MED 协议支持:

  6. 要在接口上对连接到 IP 电话的 IP 电话和 PC 进行身份验证,请配置 802.1X 身份验证支持并指定 multiple 请求方模式:

    注:

    如果不想对任何设备进行身份验证,请跳过此接口上的 802.1X 配置。

结果

显示配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证 LLDP-MED 配置

目的

验证接口上是否启用了 LLDP-MED。

操作
意义

show lldp detail输出显示接口上ge-0/0/2.0同时配置了 LLDP 和 LLDP-MED。输出的末尾显示受支持的 LLDP 基本 TLV、802.3 TLV 和受支持的 LLDP-MED TLV 的列表。

验证 IP 电话和台式 PC 的 802.1X 身份验证

目的

显示 802.1X 配置以确认 VoIP 接口可以访问 LAN。

操作
意义

该字段 Role 显示 ge-0/0/2.0 接口处于身份验证器状态。该 Supplicant 字段显示接口配置为多个请求方模式,允许在此接口上对多个请求方进行身份验证。当前连接的请求方的 MAC 地址显示在输出的底部。

验证 VLAN 与接口的关联

目的

显示接口状态和 VLAN 成员资格。

操作
意义

该字段 VLAN members 显示 ge-0/0/2.0 接口同时支持 data-vlan VLAN 和 voice-vlan VLAN。该 State 字段显示接口已启动。

示例:在 EX 系列交换机上配置 VoIP,而不包括 LLDP-MED 支持

您可以在 EX 系列交换机上配置 IP 语音 (VoIP) 以支持 IP 电话。链路层发现协议 – 媒体端点发现 (LLDP-MED) 协议有时与 IP 电话一起使用,以将 VoIP 参数从交换机转发到电话。但是,并非所有 IP 电话都支持 LLDP-MED。

此示例介绍如何在不使用 LLDP-MED 的情况下在 EX 系列交换机上配置 VoIP:

要求

此示例使用以下硬件和软件组件:

  • 一台 EX 系列交换机,支持 ELS 充当身份验证器端口访问实体 (PAE)。验证方 PAE 上的接口形成一个控制门,用于阻止请求方来往的所有流量,直到它们通过身份验证。

  • 不支持 LLDP-MED 的 IP 电话。

  • 适用于 EX 系列交换机的 Junos OS 13.2X50 或更高版本。

在配置 VoIP 之前,请确保您已:

  • 已在交换机上执行基本桥接和VLAN配置。请参阅 示例:为支持 ELS 的 EX 系列交换机设置基本桥接和 VLAN。

  • 已将 IP 电话配置为语音 VLAN 的成员。

  • (可选)为以太网供电 (PoE) 配置接口 ge-0/0/2。如果 VoIP 请求方使用的是电源适配器,则不需要 PoE 配置。请参阅 在 EX 系列交换机上配置 PoE 接口

概述

您可以不用使用普通电话,而是将 IP 电话直接连接到交换机。IP电话具有处理VoIP所需的所有硬件和软件。您还可以通过将 IP 电话连接到交换机上的其中一个以太网供电 (PoE) 接口来为其供电。

EX 系列交换机可容纳连接到单个交换机端口的 IP 电话和终端主机。在这种情况下,语音和数据流量必须分离到不同的广播域或 VLAN 中。实现此目的的一种方法是配置语音 VLAN,使接入端口能够接受来自 IP 电话的未标记数据流量和标记语音流量,并将每种类型的流量与单独且不同的 VLAN 相关联。然后,可以对语音流量(已标记)进行区别对待,通常具有比数据流量(未标记)更高的优先级。

当与支持 LLDP-MED 的 IP 电话一起使用时,语音 VLAN 可提供最大的优势,但它足够灵活,不支持 LLDP-MED 的 IP 电话也可以有效地使用它。但是,在没有 LLDP-MED 的情况下,必须在 IP 电话上手动设置语音 VLAN ID,因为 LLDP-MED 无法动态完成此操作。有关为支持 LLDP-MED 的 IP 电话设置语音 VLAN 的信息,请参阅 示例:在支持 ELS 的 EX 系列交换机上设置 802.1X 和 LLDP-MED 的 VoIP。

将语音(标记)和数据(未标记)流量分离到不同 VLAN 的另一种方法是使用具有本机 VLAN ID 选项的中继端口。中继端口将添加为语音 VLAN 的成员,并仅处理来自该 VLAN 的标记语音流量。中继端口还必须配置数据 VLAN 的本机 VLAN ID,以便它可以处理来自数据 VLAN 的未标记数据流量。此配置还要求在 IP 电话上手动设置语音 VLAN ID。

此示例说明了这两种方法。在此示例中,交换机上的接口 ge-0/0/2 连接到非 LLDP-MED IP 电话。

注:

IP 电话上语音 VLAN 的实施因供应商而异。有关配置语音 VLAN 的说明,请参阅 IP 电话随附的文档。例如,在Avaya手机上,您可以通过启用DHCP选项176来确保电话即使在没有LLDP-MED的情况下也能获得正确的VoIP VLAN ID。

拓扑学

通过在接入端口上使用语音 VLAN 配置不带 LLDP-MED 的 VoIP

程序

CLI 快速配置

要快速配置 VoIP,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程
  1. 配置两个 VLAN:一个用于数据流量,一个用于语音流量:

    注:

    必须在 IP 电话上手动设置语音 VLAN ID。

  2. 将 VLAN data-vlan 与接口 ge-0/0/2 关联:

  3. 将接口 ge-0/0/2 配置为属于数据 VLAN 的接入端口:

  4. 在接口 ge-0/0/2 上配置 VoIP,并将此接口添加到语音 VLAN:

  5. 指定有保证的转发类以提供最可靠的服务等级:

结果

显示配置结果:

使用具有本机 VLAN 选项的中继端口配置不带 LLDP-MED 的 VoIP

程序

CLI 快速配置

要快速配置 VoIP,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程
  1. 配置两个 VLAN:一个用于数据流量,一个用于语音流量:

    注:

    必须在 IP 电话上手动设置语音 VLAN ID。

  2. 将接口 ge-0/0/2 配置为仅包含语音 VLAN 的中继端口:

  3. 为中继端口上的数据 VLAN 配置本机 VLAN ID:

结果

显示配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证 VLAN 与接口的关联

目的

显示接口状态和 VLAN 成员资格。

操作
意义

该字段 VLAN members 显示 ge-0/0/2.0 接口同时支持数据 VLAN(数据 VLAN)和语音 VLAN(语音 VLAN)。该 State 字段显示接口已启动。

示例:在 EX 系列交换机上配置 VoIP,而不包括 LLDP-MED 支持

您可以在 EX 系列交换机上配置 IP 语音 (VoIP) 以支持 IP 电话。链路层发现协议 – 媒体端点发现 (LLDP-MED) 协议有时与 IP 电话一起使用,以将 VoIP 参数从交换机转发到电话。但是,并非所有 IP 电话都支持 LLDP-MED。

此示例介绍如何在不使用 LLDP-MED 的情况下在 EX 系列交换机上配置 VoIP:

要求

此示例使用以下硬件和软件组件:

  • 一台 EX4200 交换机充当身份验证器端口访问实体 (PAE)。验证方 PAE 上的接口形成一个控制门,用于阻止请求方来往的所有流量,直到它们通过身份验证。

  • 不支持 LLDP-MED 的 IP 电话。

  • 适用于 EX 系列交换机的 Junos OS 9.1 或更高版本。

在配置 VoIP 之前,请确保您已:

  • 已在交换机上执行基本桥接和VLAN配置。请参阅 示例:为 EX 系列交换机设置基本桥接和 VLAN。

  • 已将 IP 电话配置为语音 VLAN 的成员。

  • (可选)为以太网供电 (PoE) 配置接口 ge-0/0/2。如果 VoIP 请求方使用的是电源适配器,则不需要 PoE 配置。请参阅 在 EX 系列交换机上配置 PoE 接口

概述

您可以不用使用普通电话,而是将 IP 电话直接连接到交换机。IP电话具有处理VoIP所需的所有硬件和软件。您还可以通过将 IP 电话连接到交换机上的其中一个以太网供电 (PoE) 接口来为其供电。

EX 系列交换机可容纳连接到单个交换机端口的 IP 电话和终端主机。在这种情况下,语音和数据流量必须分离到不同的广播域或 VLAN 中。实现此目的的一种方法是配置语音 VLAN,使接入端口能够接受来自 IP 电话的未标记数据流量和标记语音流量,并将每种类型的流量与单独且不同的 VLAN 相关联。然后,可以对语音流量(已标记)进行区别对待,通常具有比数据流量(未标记)更高的优先级。

当与支持 LLDP-MED 的 IP 电话一起使用时,语音 VLAN 可提供最大的优势,但它足够灵活,不支持 LLDP-MED 的 IP 电话也可以有效地使用它。但是,在没有 LLDP-MED 的情况下,必须在 IP 电话上手动设置语音 VLAN ID,因为 LLDP-MED 无法动态完成此操作。有关为支持 LLDP-MED 的 IP 电话设置语音 VLAN 的信息,请参阅 示例:在 EX 系列交换机上使用 802.1X 和 LLDP-MED 设置 VoIP。

将语音(标记)和数据(未标记)流量分离到不同 VLAN 的另一种方法是使用具有本机 VLAN ID 选项的中继端口。中继端口将添加为语音 VLAN 的成员,并仅处理来自该 VLAN 的标记语音流量。中继端口还必须配置数据 VLAN 的本机 VLAN ID,以便它可以处理来自数据 VLAN 的未标记数据流量。此配置还要求在 IP 电话上手动设置语音 VLAN ID。

此示例说明了这两种方法。在此示例中,EX4200 交换机上的接口 ge-0/0/2 连接到非 LLDP-MED IP 电话。

注:

IP 电话上语音 VLAN 的实施因供应商而异。有关配置语音 VLAN 的说明,请参阅 IP 电话随附的文档。例如,在Avaya手机上,您可以通过启用DHCP选项176来确保电话即使在没有LLDP-MED的情况下也能获得正确的VoIP VLAN ID。

拓扑学

通过在接入端口上使用语音 VLAN 配置不带 LLDP-MED 的 VoIP

程序

CLI 快速配置

要快速配置 VoIP,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程
  1. 配置两个 VLAN:一个用于数据流量,一个用于语音流量:

    注:

    必须在 IP 电话上手动设置语音 VLAN ID。

  2. 在接口 ge-0/0/2 上配置 VLAN data-vlan

  3. 将接口 ge-0/0/2 配置为属于数据 VLAN 的接入端口:

  4. 在接口 ge-0/0/2 上配置 VoIP,并将此接口添加到语音 VLAN:

结果

显示配置结果:

使用具有本机 VLAN 选项的中继端口配置不带 LLDP-MED 的 VoIP

程序

CLI 快速配置

要快速配置 VoIP,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程
  1. 配置两个 VLAN:一个用于数据流量,一个用于语音流量:

    注:

    必须在 IP 电话上手动设置语音 VLAN ID。

  2. 将接口 ge-0/0/2 配置为仅包含语音 VLAN 的中继端口:

  3. 为中继端口上的数据 VLAN 配置本机 VLAN ID:

结果

显示配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证 VLAN 与接口的关联

目的

显示接口状态和 VLAN 成员资格。

操作
意义

该字段 VLAN members 显示 ge-0/0/2.0 接口同时支持数据 VLAN(数据 VLAN)和语音 VLAN(语音 VLAN)。该 State 字段显示接口已启动。

示例:在 EX 系列交换机上配置 VoIP,而不包括 802.1X 身份验证

您可以在 EX 系列交换机上配置 IP 语音 (VoIP) 以支持 IP 电话。

要在 EX 系列交换机上配置 VoIP 以支持不支持 802.1X 身份验证的 IP 电话,您必须将电话的 MAC 地址添加到静态 MAC 旁路列表或在交换机上启用 MAC RADIUS 身份验证。

此示例介绍如何使用静态 MAC 旁路身份验证,在没有 802.1X 身份验证的情况下在 EX 系列交换机上配置 VoIP:

要求

此示例使用以下硬件和软件组件:

  • 适用于 EX 系列交换机的 Junos OS 9.1 或更高版本

  • 一部 IP 电话

在配置 VoIP 之前,请确保您已:

注:

如果未在 Avaya IP 电话上配置 IP 地址,电话将交换 LLDP-MED 信息,以获取语音 VLAN 的 VLAN ID。您必须在接口上配置 voip 语句以将该接口指定为 VoIP 接口,并允许交换机将语音 VLAN 的 VLAN 名称和 VLAN ID 转发到 IP 电话。然后,IP 电话使用语音 VLAN(即,它引用语音 VLAN 的 ID)发送 DHCP 发现请求并与 DHCP 服务器(语音网关)交换信息。

概述

您可以不用使用普通电话,而是将 IP 电话直接连接到交换机。IP电话具有处理VoIP所需的所有硬件和软件。您还可以通过将 IP 电话连接到交换机上的其中一个以太网供电 (PoE) 接口来为其供电。

此示例中,EX4200 交换机上的接入接口 ge-0/0/2 连接到非 802.1X IP 电话。

要在 EX 系列交换机上配置 VoIP 以支持不支持 802.1X 身份验证的 IP 电话,请将电话的 MAC 地址作为静态条目添加到身份验证器数据库中,并将请求方模式设置为多个。

配置

要在不使用 802.1X 身份验证的情况下配置 VoIP:

程序

CLI 快速配置

要快速配置 VoIP,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程

要在没有 802.1X 的情况下配置 VoIP:

  1. 为语音和数据配置 VLAN:

  2. 将 VLAN data-vlan 与接口关联:

  3. 将接口配置为接入接口,配置对以太网交换的支持,并添加 data-vlan VLAN:

  4. 在接口上配置 VoIP 并指定 assured-forwarding 转发类以提供最可靠的服务等级:

  5. 配置 LLDP-MED 协议支持:

  6. 设置身份验证配置文件(请参阅 配置 802.1X 接口设置(CLI 过程)配置 802.1X RADIUS 记帐(CLI 过程)):

  7. 将电话的 MAC 地址添加到静态 MAC 旁路列表:

  8. 将请求方模式设置为多个:

结果

显示配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证 LLDP-MED 配置

目的

验证接口上是否启用了 LLDP-MED。

操作
意义

show lldp detail输出显示接口上ge-0/0/2.0同时配置了 LLDP 和 LLDP-MED。输出的末尾显示受支持的 LLDP 基本 TLV、802.3 TLV 和受支持的 LLDP-MED TLV 的列表。

验证台式 PC 的身份验证

目的

显示通过 IP 电话连接到 VoIP 接口的台式 PC 的 802.1X 配置。

操作

意义

该字段 Role 显示 ge-0/0/2.0 接口处于身份验证器状态。该 Supplicant 字段显示接口配置为多个请求方模式,允许在此接口上对多个请求方进行身份验证。当前连接的请求方的 MAC 地址显示在输出的底部。

验证 VLAN 与接口的关联

目的

显示接口状态和 VLAN 成员资格。

操作
意义

该字段 VLAN members 显示 ge-0/0/2.0 接口同时支持 data-vlan VLAN 和 voice-vlan VLAN。该 State 字段显示接口已启动。

示例:在支持 ELS 的 EX 系列交换机上设置 802.1X 和 LLDP-MED 的 VoIP

注:

此示例使用支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机的 Junos OS。如果您的交换机运行的软件不支持 ELS,请参阅 示例:在 EX 系列交换机上使用 802.1X 和 LLDP-MED 设置 VoIP。有关 ELS 的详细信息,请参阅使用增强型第 2 层软件 CLI

您可以在 EX 系列交换机上配置 VoIP 以支持 IP 电话。链路层发现协议 – 媒体端点发现 (LLDP-MED) 协议将 VoIP 参数从交换机转发到电话。您还可以配置 802.1X 身份验证以允许电话访问 LAN。身份验证通过后端 RADIUS 服务器完成。

此示例介绍如何在EX系列交换机上配置VoIP以支持AvayaIP电话,以及如何配置LLDP-MED协议和802.1X身份验证:

要求

此示例使用以下软件和硬件组件:

注:

此示例也适用于QFX5100交换机。

  • 适用于 EX 系列交换机的 Junos OS 13.2X50 或更高版本

  • 一台 EX 系列交换机,支持 ELS 充当身份验证器端口访问实体 (PAE)。验证方 PAE 上的接口形成一个控制门,用于阻止请求方来往的所有流量,直到它们通过身份验证。

  • 支持 LLDP-MED 和 802.1X 的 Avaya IP 电话

在配置 VoIP 之前,请确保您已:

注:

如果未在 Avaya IP 电话上配置 IP 地址,电话将交换 LLDP-MED 信息以获取语音 VLAN 的 VLAN ID。您必须在接口上配置 voip 语句以将该接口指定为 VoIP 接口,并允许交换机将语音 VLAN 的 VLAN 名称和 VLAN ID 转发到 IP 电话。然后,IP 电话使用语音 VLAN(即,它引用语音 VLAN 的 ID)发送 DHCP 发现请求并与 DHCP 服务器(语音网关)交换信息。

概述和拓扑

您可以不用使用普通电话,而是将 IP 电话直接连接到交换机。IP电话具有处理VoIP所需的所有硬件和软件。您还可以通过将 IP 电话连接到交换机上的其中一个以太网供电 (PoE) 接口来为其供电。

EX 系列交换机可容纳连接到单个交换机端口的 IP 电话和终端主机。在这种情况下,语音和数据流量必须分离到不同的广播域或 VLAN 中。实现此目的的一种方法是配置语音 VLAN,使接入端口能够接受来自 IP 电话的未标记数据流量和标记语音流量,并将每种类型的流量与单独且不同的 VLAN 相关联。然后,可以对语音流量(已标记)进行区别对待,通常具有比数据流量(未标记)更高的优先级。

注:

如果在数据和语音 VLAN 上都获知了某个 MAC 地址,则该地址将保持活动状态,除非该地址在两个 VLAN 中老化,或者两个 VLAN 都被删除。

在此示例中,EX 系列交换机上的接入接口 ge-0/0/2 连接到 Avaya IP 电话。Avaya电话具有内置桥接器,可让您将台式PC连接到手机,因此单个办公室中的台式机和电话只需要交换机上的一个接口。EX 系列交换机连接到 ge-0/0/10 接口上的 RADIUS 服务器(请参阅 图 4)。

注:

此数字也适用于QFX5100交换机。

图 4: VoIP 拓扑VoIP 拓扑

在此示例中,您将配置 VoIP 参数并指定语音流量的转发类 assured-forward ,以提供最高质量的服务。

表 2 介绍了此 VoIP 配置示例中使用的组件。

表 2: VoIP 配置拓扑的组件
属性 设置

交换机硬件

支持 ELS 的 EX 系列交换机。

VLAN 名称和 ID

数据 VLAN, 77

语音 VLAN,99

连接至Avaya手机—通过集成集线器,将手机和台式PC连接至单一接口(需要PoE)

ge-0/0/2

一台 RADIUS 服务器

提供通过接口 ge-0/0/10 连接到交换机的后端数据库。

除了为接口 ge-0/0/2 配置 VoIP 之外,您还可以配置:

  • 802.1X 身份验证。身份验证设置为 multiple 请求方模式,以支持多个请求方通过接口 ge-0/0/2 访问 LAN。

  • LLDP-MED 协议信息。交换机使用 LLDP-MED 将 VoIP 参数转发到电话。使用 LLDP-MED 可确保语音流量在源本身使用正确的值进行标记和优先级排序。例如,可以将 802.1p 服务等级和 802.1Q 标记信息发送到 IP 电话。

    注:

    如果 IP 电话使用电源适配器,则不需要 PoE 配置。

拓扑学

配置

程序

CLI 快速配置

要快速配置 VoIP、LLDP-MED 和 802.1X,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程

要使用 LLDP-MED 和 802.1X 配置 VoIP:

  1. 为语音和数据配置 VLAN:

  2. 将 VLAN data-vlan 与接口关联:

  3. 将接口配置为接入接口,配置对以太网交换的支持,并将接口添加为 VLAN 的成员 data-vlan

    注:

    您不得在同一 VLAN 上同时配置数据和语音。如果在同一 VLAN 上配置数据和语音,则不接受该配置。

    如果您在交换机上启用了 802.1X 身份验证,并且:

    • 您配置的语音 VLAN 与身份验证服务器发送的数据 VLAN 相同,

    • 您配置的数据 VLAN 与身份验证服务器发送的语音 VLAN 相同,或者

    • 身份验证服务器发送的数据 VLAN 和语音 VLAN 相同

    客户端将移动到 HELD 状态。

  4. 在接口上配置 VoIP 并指定 assured-forwarding 转发类以提供最可靠的服务等级:

  5. 配置 LLDP-MED 协议支持:

  6. 要在接口上对连接到 IP 电话的 IP 电话和 PC 进行身份验证,请配置 802.1X 身份验证支持并指定 multiple 请求方模式:

    注:

    如果不想对任何设备进行身份验证,请跳过此接口上的 802.1X 配置。

结果

显示配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证 LLDP-MED 配置

目的

验证接口上是否启用了 LLDP-MED。

操作
意义

show lldp detail输出显示,和LLDP-MEDLLDP在接口上ge-0/0/2配置。输出的末尾显示受支持的 LLDP 基本管理 TLV 和受支持的组织特定 TLV 的列表。

验证 IP 电话和台式 PC 的 802.1X 身份验证

目的

显示 802.1X 配置以确认 VoIP 接口可以访问 LAN。

操作
意义

该字段 Role 显示 ge-0/0/2.0 接口处于身份验证器状态。该 Supplicant mode 字段显示接口配置为 multiple 请求方模式,允许在此接口上对多个请求方进行身份验证。当前连接的请求方的 MAC 地址显示在输出的底部。

验证 VLAN 与接口的关联

目的

显示接口的 VLAN 成员资格。

操作
意义

该字段 VLAN members 显示 ge-0/0/2.0 接口同时支持 data-vlan VLAN 和 voice-vlan VLAN。

示例:在支持 ELS 的 EX 系列交换机上配置 VoIP,而不包括 802.1X 身份验证

注:

此示例使用支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机的 Junos OS。如果您的交换机运行的软件不支持 ELS,请参阅 示例:在 EX 系列交换机上配置 VoIP,而不包括 802.1X 身份验证。有关 ELS 的详细信息,请参阅使用增强型第 2 层软件 CLI

您可以在 EX 系列交换机上配置 IP 语音 (VoIP) 以支持 IP 电话。

要在 EX 系列交换机上配置 VoIP 以支持不支持 802.1X 身份验证的 IP 电话,您必须将电话的 MAC 地址添加到静态 MAC 旁路列表或在交换机上启用 MAC RADIUS 身份验证。

此示例介绍如何使用静态 MAC 旁路进行身份验证,在没有 802.1X 身份验证的情况下在 EX 系列交换机上配置 VoIP:

要求

此示例使用以下硬件和软件组件:

注:

此数字也适用于QFX5100交换机。

  • 一台支持 ELS 的 EX 系列交换机

  • 适用于 EX 系列交换机的 Junos OS 13.2 或更高版本

  • 一部 Avaya IP 电话

在配置 VoIP 之前,请确保您已:

注:

如果未在 Avaya IP 电话上配置 IP 地址,电话将交换 LLDP-MED 信息以获取语音 VLAN 的 VLAN ID。您必须在接口上配置 voip 语句以将该接口指定为 VoIP 接口,并允许交换机将语音 VLAN 的 VLAN 名称和 VLAN ID 转发到 IP 电话。然后,IP 电话使用语音 VLAN(即,它引用语音 VLAN 的 ID)发送 DHCP 发现请求并与 DHCP 服务器(语音网关)交换信息。

概述

您可以不用使用普通电话,而是将 IP 电话直接连接到交换机。IP电话具有处理VoIP所需的所有硬件和软件。您还可以通过将 IP 电话连接到交换机上的其中一个以太网供电 (PoE) 接口来为其供电。

此示例中,EX 系列交换机上的接入接口 ge-0/0/2 连接到非 802.1X IP 电话。

要在 EX 系列交换机上配置 VoIP 以支持不支持 802.1X 身份验证的 IP 电话,请将电话的 MAC 地址作为静态条目添加到身份验证器数据库中,并将请求方模式设置为多个。

配置

程序

CLI 快速配置

要在不使用 802.1X 身份验证的情况下快速配置 VoIP,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程

要在不使用 802.1X 身份验证的情况下配置 VoIP:

  1. 为语音和数据配置 VLAN:

  2. 将接口配置为接入接口,配置对以太网交换的支持,并将接口添加为 VLAN 的成员 data-vlan

    注:

    您不得在同一 VLAN 上同时配置数据和语音。如果在同一 VLAN 上配置数据和语音,则不接受该配置。

  3. 在接口上配置 VoIP 并指定 assured-forwarding 转发类以提供最可靠的服务等级:

  4. 配置 LLDP-MED 协议支持:

  5. 使用以下名称 auth-profile 设置身份验证配置文件(请参阅 配置 802.1X 接口设置(CLI 过程)配置 802.1X RADIUS 记帐(CLI 过程)):

  6. 将电话的 MAC 地址添加到静态 MAC 旁路列表:

  7. 将请求方模式设置为多个:

结果

显示配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证 LLDP-MED 配置

目的

验证接口上是否启用了 LLDP-MED。

操作
意义

show lldp detail命令输出显示接口上ge-0/0/2同时配置了 LLDP 和 LLDP-MED。输出的末尾显示受支持的 LLDP 基本管理 TLV 和受支持的组织特定 TLV 的列表。

验证台式 PC 的身份验证

目的

显示通过 IP 电话连接到 VoIP 接口的台式 PC 的 802.1X 配置。

操作

意义

该字段 Role 显示 ge-0/0/2.0 接口处于验证者角色。该 Supplicant Mode 字段显示接口配置为 multiple 请求方模式,允许在此接口上对多个请求方进行身份验证。当前连接的请求方的 MAC 地址显示在输出的底部。

验证 VLAN 与接口的关联

目的

显示接口的 VLAN 成员资格。

操作
意义

Vlan members 字段显示 ge-0/0/2.0 接口同时支持 data-vlan VLAN 和 voice-vlan VLAN。