Auf dieser Seite
Beispiel: Einrichten von VoIP mit 802.1X und LLDP-MED auf einem Switch der EX-Serie
Beispiel: Konfigurieren von VoIP auf einem Switch der EX-Serie ohne LLDP-MED-Unterstützung
Beispiel: Konfigurieren von VoIP auf einem Switch der EX-Serie ohne LLDP-MED-Unterstützung
Beispiel: Konfigurieren von VoIP auf einem Switch der EX-Serie ohne 802.1X-Authentifizierung
VoIP auf Switches der EX-Serie
Sie können Voice over IP (VoIP) auf einem Switch der EX-Serie so konfigurieren, dass IP-Telefone unterstützt werden. Wenn Sie VoIP verwenden, können Sie IP-Telefone mit dem Switch verbinden und die IEEE 802.1X-Authentifizierung für 802.1X-kompatible IP-Telefone konfigurieren. Weitere Informationen finden Sie in diesem Thema.
Grundlegendes zu 802.1X und VoIP auf Switches der EX-Serie
Wenn Sie VoIP verwenden, können Sie IP-Telefone mit dem Switch verbinden und die IEEE 802.1X-Authentifizierung für 802.1X-kompatible IP-Telefone konfigurieren. Die 802.1X-Authentifizierung bietet Netzwerk-Edge-Sicherheit und schützt Ethernet-LANs vor unbefugtem Benutzerzugriff.
VoIP ist ein Protokoll, das für die Übertragung von Sprache über paketvermittelte Netzwerke verwendet wird. VoIP überträgt Sprachanrufe über eine Netzwerkverbindung anstelle einer analogen Telefonleitung.
Wenn VoIP mit 802.1X verwendet wird, authentifiziert der RADIUS-Server das Telefon, und LLDP-MED (Link Layer Discovery Protocol–Media Endpoint Discovery) stellt dem Telefon die CoS-Parameter (Class-of-Service) zur Verfügung.
Sie können die 802.1X-Authentifizierung so konfigurieren, dass sie mit VoIP im Mehrfach-Supplicant- oder Single-Supplicant-Modus funktioniert. Im Multi-Supplicant-Modus ermöglicht der 802.1X-Prozess mehreren Supplicants, eine Verbindung zur Schnittstelle herzustellen. Jeder Bittsteller wird einzeln authentifiziert. Ein Beispiel für eine VoIP-Topologie mit mehreren Supplicants finden Sie unter Abbildung 1.
Wenn ein 802.1X-kompatibles IP-Telefon nicht über einen 802.1X-Host, sondern über ein anderes 802.1X-kompatibles Gerät verfügt, das an seinen Datenport angeschlossen ist, können Sie das Telefon im Single-Supplicant-Modus an eine Schnittstelle anschließen. Im Single-Supplicant-Modus authentifiziert der 802.1X-Prozess nur den ersten Supplicant. Alle anderen Supplicants, die sich später mit der Schnittstelle verbinden, erhalten vollen Zugriff ohne weitere Authentifizierung. Sie "huckepacken" die Authentifizierung des ersten Bittstellers. Ein Beispiel für eine VoIP-Single-Supplicant-Topologie finden Sie unter .Abbildung 2
Wenn ein IP-Telefon 802.1X nicht unterstützt, können Sie VoIP so konfigurieren, dass 802.1X und LLDP-MED umgangen werden und die Pakete an ein VoIP-VLAN weitergeleitet werden.
Multi-Domain 802.1X-Authentifizierung
Die Multi-Domain-802.1X-Authentifizierung ist eine Erweiterung des Multi-Supplicant-Modus, der es einem Standard-VoIP-Gerät und mehreren Datengeräten ermöglicht, sich an einem einzigen Port zu authentifizieren. Die Multi-Domain-802.1X-Authentifizierung bietet verbesserte Sicherheit im Mehrfach-Supplicant-Modus, indem die Anzahl der authentifizierten Daten und VoIP-Sitzungen auf dem Port begrenzt wird. Im Multiple-Supplicant-Modus können beliebig viele VoIP- oder Datensitzungen authentifiziert werden; Die Anzahl der Sitzungen kann mithilfe der MAC-Begrenzung eingeschränkt werden, aber es gibt keine Möglichkeit, das Limit speziell auf Daten- oder VoIP-Sitzungen anzuwenden.
Bei der Multi-Domain-802.1X-Authentifizierung wird der einzelne Port in zwei Domänen aufgeteilt. Zum einen die Datendomäne und zum anderen die Sprachdomäne. Bei der 802.1X-Authentifizierung für mehrere Domänen werden separate Sitzungen basierend auf der Domäne verwaltet. Sie können die maximale Anzahl authentifizierter Datensitzungen konfigurieren, die auf dem Port zulässig sind. Die Anzahl der VoIP-Sitzungen ist nicht konfigurierbar. Auf dem Port ist nur eine authentifizierte VoIP-Sitzung zulässig.
Wenn ein neuer Client versucht, sich auf der Schnittstelle zu authentifizieren, nachdem die maximale Sitzungsanzahl erreicht wurde, besteht die Standardaktion darin, das Paket zu verwerfen und eine Fehlerprotokollmeldung zu generieren. Sie können die Aktion auch so konfigurieren, dass die Schnittstelle heruntergefahren wird. Der Port kann manuell aus dem inaktiven Zustand wiederhergestellt werden, indem der Befehl ausgegeben wird, oder indem er nach einer konfigurierten Wiederherstellungszeitüberschreitung automatisch wiederhergestellt werden kann.cleardot1x recovery-timeout
Bei der Multi-Domain-Authentifizierung wird die Reihenfolge der Geräteauthentifizierung nicht erzwungen. Die besten Ergebnisse erzielen Sie jedoch, wenn das VoIP-Gerät vor einem Datengerät an einem 802.1X-fähigen Multi-Domain-Port authentifiziert wird. Die Multi-Domain-Authentifizierung wird nur im Multi-Supplicant-Modus unterstützt.
Siehe auch
Beispiel: Einrichten von VoIP mit 802.1X und LLDP-MED auf einem Switch der EX-Serie
Sie können Voice over IP (VoIP) auf einem Switch der EX-Serie so konfigurieren, dass IP-Telefone unterstützt werden. Das LLDP-MED-Protokoll (Link Layer Discovery Protocol–Media Endpoint Discovery) leitet VoIP-Parameter vom Switch an das Telefon weiter. Außerdem konfigurieren Sie die 802.1X-Authentifizierung, um dem Telefon den Zugriff auf das LAN zu ermöglichen. Die Authentifizierung erfolgt über einen Backend-RADIUS-Server.
In diesem Beispiel wird beschrieben, wie VoIP auf einem Switch der EX-Serie so konfiguriert wird, dass es ein Avaya IP-Telefon sowie das LLDP-MED-Protokoll und die 802.1X-Authentifizierung unterstützt:
Wenn auf Ihrem Switch Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) ausgeführt wird, finden Sie weitere Informationen unter Beispiel: Einrichten von VoIP mit 802.1X und LLDP-MED auf einem Switch der EX-Serie mit ELS-Unterstützung. Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.Layer 2 Networking
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Junos OS Version 9.1 oder höher für Switches der EX-Serie
Ein Switch der EX-Serie, der als Authentifikator-Port-Access-Entität (PAE) fungiert. Die Schnittstellen der Authentifikator-PAE bilden ein Kontrollgate, das den gesamten Datenverkehr zu und von Supplicants blockiert, bis sie authentifiziert sind.
Ein Avaya 9620 IP-Telefon, das LLDP-MED und 802.1X unterstützt
Bevor Sie VoIP konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Der Switch der EX-Serie wurde installiert. Weitere Informationen finden Sie unter Installieren und Anschließen eines EX3200-Switches.https://www.juniper.net/documentation/en_US/release-independent/junos/topics/topic-map/ex3200-unpacking-mounting.html
Die anfängliche Switch-Konfiguration wurde durchgeführt. Weitere Informationen finden Sie unter Anschließen und Konfigurieren eines Switches der EX-Serie (J-Web-Verfahren).
Grundlegende Bridging- und VLAN-Konfiguration auf dem Switch durchgeführt. Siehe Beispiel: Einrichten eines grundlegenden Bridging und eines VLANs für einen Switch der EX-Serie.
Der RADIUS-Server wurde für die 802.1X-Authentifizierung konfiguriert und das Zugriffsprofil eingerichtet. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie.
(Optional) Konfigurierte Schnittstelle für Power over Ethernet (PoE).ge-0/0/2 Die PoE-Konfiguration ist nicht erforderlich, wenn der VoIP-Supplicant ein Netzteil verwendet. Weitere Informationen zur PoE-Konfiguration finden Sie unter Konfigurieren von PoE-Schnittstellen auf Switches der EX-Serie.Configuring PoE Interfaces on EX Series Switches
Wenn die IP-Adresse auf dem Avaya IP-Telefon nicht konfiguriert ist, tauscht das Telefon LLDP-MED-Informationen aus, um die VLAN-ID für das Sprach-VLAN abzurufen. Sie müssen die Anweisung auf der Schnittstelle so konfigurieren, dass die Schnittstelle als VoIP-Schnittstelle festgelegt wird und der Switch den VLAN-Namen und die VLAN-ID für das Sprach-VLAN an das IP-Telefon weiterleiten kann.voip Das IP-Telefon verwendet dann das Sprach-VLAN (d. h. es verweist auf die ID des Sprach-VLANs), um eine DHCP-Erkennungsanforderung zu senden und Informationen mit dem DHCP-Server (Sprachgateway) auszutauschen.
Übersicht und Topologie
Anstatt ein normales Telefon zu verwenden, schließen Sie ein IP-Telefon direkt an den Switch an. Ein IP-Telefon verfügt über die gesamte Hard- und Software, die für VoIP erforderlich ist. Sie können ein IP-Telefon auch mit Strom versorgen, indem Sie es an eine der PoE-Schnittstellen (Power over Ethernet) des Switches anschließen.
In diesem Beispiel ist die Zugriffsschnittstelle des EX4200-Switches mit einem Avaya 9620 IP-Telefon verbunden.ge-0/0/2 Avaya-Telefone verfügen über eine integrierte Bridge, mit der Sie einen Desktop-PC an das Telefon anschließen können, sodass der Desktop und das Telefon in einem einzigen Büro nur eine Schnittstelle auf dem Switch benötigen. Der Switch der EX-Serie ist über die Schnittstelle mit einem RADIUS-Server verbunden (siehe ).ge-0/0/10Abbildung 3
In diesem Beispiel konfigurieren Sie VoIP-Parameter und geben die Weiterleitungsklasse für den Sprachdatenverkehr an, um die höchste Dienstqualität zu gewährleisten.assured-forward
Tabelle 1 beschreibt die Komponenten, die in diesem VoIP-Konfigurationsbeispiel verwendet werden.
| Eigenschaft | Einstellungen |
|---|---|
Switch-Hardware |
EX4200-Switch |
VLAN-Namen |
data-vlan voice-vlan |
Verbindung zum Avaya-Telefon – mit integriertem Hub, um Telefon und Desktop-PC über eine einzige Schnittstelle zu verbinden (erfordert PoE) |
ge-0/0/2 |
Ein RADIUS-Server |
Stellt eine Backend-Datenbank bereit, die über die Schnittstelle mit dem Switch verbunden ist.ge-0/0/10 |
Neben der Konfiguration einer VoIP-Schnittstelle konfigurieren Sie Folgendes:ge-0/0/2
802.1X-Authentifizierung. Die Authentifizierung ist auf Supplicant festgelegt, um den Zugriff von mehr als einem Supplicant auf das LAN über die Schnittstelle zu unterstützen.multiplege-0/0/2
Informationen zum LLDP-MED-Protokoll. Der Switch verwendet LLDP-MED, um VoIP-Parameter an das Telefon weiterzuleiten. Durch die Verwendung von LLDP-MED wird sichergestellt, dass der Sprachdatenverkehr an der Quelle selbst mit Tags versehen und mit den richtigen Werten priorisiert wird. Beispielsweise können 802.1p-Serviceklassen- und 802.1Q-Tag-Informationen an das IP-Telefon gesendet werden.
HINWEIS:Eine PoE-Konfiguration ist nicht erforderlich, wenn ein IP-Telefon ein Netzteil verwendet.
Konfiguration
So konfigurieren Sie VoIP-, LLDP-MED- und 802.1X-Authentifizierung:
Verfahren
CLI-Schnellkonfiguration
Um VoIP, LLDP-MED und 802.1X schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Schritt-für-Schritt-Anleitung
So konfigurieren Sie VoIP mit LLDP-MED und 802.1X:
Konfigurieren Sie die VLANs für Sprache und Daten:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Verknüpfen Sie das VLAN mit der Schnittstelle:data-vlan
[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0Konfigurieren Sie die Schnittstelle als Zugriffsschnittstelle, konfigurieren Sie die Unterstützung für Ethernet-Switching und fügen Sie das VLAN hinzu:data-vlan
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
Konfigurieren Sie VoIP auf der Schnittstelle, und geben Sie die Weiterleitungsklasse an, um die zuverlässigste Serviceklasse bereitzustellen:assured-forwarding
[edit ethernet—switching—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Konfigurieren der LLDP-MED-Protokollunterstützung:
[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
Um ein IP-Telefon und einen PC zu authentifizieren, die mit dem IP-Telefon auf der Schnittstelle verbunden sind, konfigurieren Sie die 802.1X-Authentifizierungsunterstützung und geben Sie den Supplicant-Modus an :multiple
HINWEIS:Wenn Sie kein Gerät authentifizieren möchten, überspringen Sie die 802.1X-Konfiguration auf dieser Schnittstelle.
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2.0;
}
dot1x {
authenticator {
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
- LLDP-MED-Konfiguration verifizieren
- Überprüfung der 802.1X-Authentifizierung für IP-Telefon und Desktop-PC
- Überprüfen der VLAN-Zuordnung zur Schnittstelle
LLDP-MED-Konfiguration verifizieren
Zweck
Stellen Sie sicher, dass LLDP-MED auf der Schnittstelle aktiviert ist.
Was
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
Bedeutung
Die Ausgabe zeigt, dass sowohl LLDP als auch LLDP-MED auf der Schnittstelle konfiguriert sind.show lldp detailge-0/0/2.0 Am Ende der Ausgabe wird die Liste der unterstützten LLDP-Basis-TLVs, 802.3-TLVs und LLDP-MED-TLVs angezeigt, die unterstützt werden.
Überprüfung der 802.1X-Authentifizierung für IP-Telefon und Desktop-PC
Zweck
Zeigen Sie die 802.1X-Konfiguration an, um zu bestätigen, dass die VoIP-Schnittstelle Zugriff auf das LAN hat.
Was
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Bedeutung
Das Feld zeigt an, dass sich die Schnittstelle im Status des Authentifikators befindet.Rolege-0/0/2.0 Das Feld zeigt, dass die Schnittstelle im Mehrfach-Supplicant-Modus konfiguriert ist, sodass mehrere Supplicants auf dieser Schnittstelle authentifiziert werden können.Supplicant Die MAC-Adressen der aktuell angeschlossenen Supplicants werden am unteren Rand der Ausgabe angezeigt.
Überprüfen der VLAN-Zuordnung zur Schnittstelle
Zweck
Zeigen Sie den Schnittstellenstatus und die VLAN-Mitgliedschaft an.
Was
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblockedBedeutung
Das Feld zeigt, dass die Schnittstelle sowohl das VLAN als auch das VLAN unterstützt.VLAN membersge-0/0/2.0data-vlanvoice-vlan Das Feld zeigt an, dass die Schnittstelle aktiv ist.State
Beispiel: Konfigurieren von VoIP auf einem Switch der EX-Serie ohne LLDP-MED-Unterstützung
Sie können Voice over IP (VoIP) auf einem Switch der EX-Serie so konfigurieren, dass IP-Telefone unterstützt werden. Das LLDP-MED-Protokoll (Link Layer Discovery Protocol–Media Endpoint Discovery) wird manchmal bei IP-Telefonen verwendet, um VoIP-Parameter vom Switch an das Telefon weiterzuleiten. Allerdings unterstützen nicht alle IP-Telefone LLDP-MED.
In diesem Beispiel wird beschrieben, wie VoIP auf einem Switch der EX-Serie ohne Verwendung von LLDP-MED konfiguriert wird:
- Anforderungen
- Überblick
- Konfigurieren von VoIP ohne LLDP-MED mithilfe eines Sprach-VLANs an einem Access-Port
- Konfigurieren von VoIP ohne LLDP-MED mithilfe eines Trunk-Ports mit nativer VLAN-Option
- Überprüfung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Switch der EX-Serie mit Unterstützung für ELS, der als Authentifikator-Port-Access-Entität (PAE) fungiert. Die Schnittstellen der Authentifikator-PAE bilden ein Kontrollgate, das den gesamten Datenverkehr zu und von Supplicants blockiert, bis sie authentifiziert sind.
Ein IP-Telefon, das LLDP-MED nicht unterstützt.
Junos OS Version 13.2X50 oder höher für Switches der EX-Serie.
Bevor Sie VoIP konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Grundlegende Bridging- und VLAN-Konfiguration auf dem Switch durchgeführt. Siehe Beispiel: Einrichten von Basic Bridging und einem VLAN für einen Switch der EX-Serie mit ELS-Unterstützung .
Das IP-Telefon wurde als Mitglied des Sprach-VLANs konfiguriert.
(Optional) Konfigurierte Schnittstelle ge-0/0/2 für Power over Ethernet (PoE). Die PoE-Konfiguration ist nicht erforderlich, wenn der VoIP-Supplicant ein Netzteil verwendet. Weitere Informationen finden Sie unter Konfigurieren von PoE-Schnittstellen auf Switches der EX-Serie.Configuring PoE Interfaces on EX Series Switches
Überblick
Anstatt ein normales Telefon zu verwenden, schließen Sie ein IP-Telefon direkt an den Switch an. Ein IP-Telefon verfügt über die gesamte Hard- und Software, die für VoIP erforderlich ist. Sie können ein IP-Telefon auch mit Strom versorgen, indem Sie es an eine der PoE-Schnittstellen (Power over Ethernet) des Switches anschließen.
Switches der EX-Serie können ein IP-Telefon und einen Endhost aufnehmen, die an einen einzigen Switch-Port angeschlossen sind. In einem solchen Szenario müssen Sprach- und Datenverkehr in verschiedene Broadcast-Domänen oder VLANs aufgeteilt werden. Eine Methode, dies zu erreichen, ist die Konfiguration eines Sprach-VLANs, das es Zugriffsports ermöglicht, nicht getaggten Datenverkehr sowie getaggten Sprachverkehr von IP-Telefonen zu akzeptieren und jeden Datenverkehrstyp separaten und unterschiedlichen VLANs zuzuordnen. Sprachverkehr (getaggt) kann dann anders behandelt werden, in der Regel mit einer höheren Priorität als Datenverkehr (untagged).
Das Sprach-VLAN bietet den größten Vorteil, wenn es mit IP-Telefonen verwendet wird, die LLDP-MED unterstützen, aber es ist flexibel genug, dass IP-Telefone, die LLDP-MED nicht unterstützen, es auch effektiv nutzen können. In Abwesenheit von LLDP-MED muss die Sprach-VLAN-ID jedoch manuell auf dem IP-Telefon festgelegt werden, da LLDP-MED nicht verfügbar ist, um dies dynamisch zu erreichen. Informationen zum Einrichten eines Sprach-VLANs für IP-Telefone, die LLDP-MED unterstützen, finden Sie unter Beispiel: Einrichten von VoIP mit 802.1X und LLDP-MED auf einem Switch der EX-Serie mit ELS-Unterstützung.
Eine weitere Methode zur Trennung von Sprach- (getaggt) und Datendatenverkehr (nicht getaggt) in verschiedene VLANs ist die Verwendung eines Trunk-Ports mit der nativen VLAN-ID-Option. Der Trunk-Port wird als Mitglied des Sprach-VLANs hinzugefügt und verarbeitet nur getaggten Sprachverkehr aus diesem VLAN. Der Trunk-Port muss außerdem mit der nativen VLAN-ID für das Daten-VLAN konfiguriert werden, damit er ungetaggten Datenverkehr aus dem Daten-VLAN verarbeiten kann. Diese Konfiguration erfordert auch, dass die Sprach-VLAN-ID manuell auf dem IP-Telefon festgelegt wird.
In diesem Beispiel werden beide Methoden veranschaulicht. In diesem Beispiel ist die Schnittstelle ge-0/0/2 auf dem Switch mit einem Nicht-LLDP-MED-IP-Telefon verbunden.
Die Implementierung eines Sprach-VLANs auf einem IP-Telefon ist herstellerspezifisch. Anweisungen zur Konfiguration eines Sprach-VLANs finden Sie in der Dokumentation zu Ihrem IP-Telefon. Auf einem Avaya-Telefon können Sie beispielsweise sicherstellen, dass das Telefon die richtige VoIP-VLAN-ID erhält, auch wenn LLDP-MED nicht vorhanden ist, indem Sie die DHCP-Option 176 aktivieren.
Topologie
Konfigurieren von VoIP ohne LLDP-MED mithilfe eines Sprach-VLANs an einem Access-Port
Verfahren
CLI-Schnellkonfiguration
Um VoIP schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Schritt-für-Schritt-Anleitung
Konfigurieren Sie zwei VLANs: eine für den Datenverkehr und eine für den Sprachverkehr:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
HINWEIS:Die Sprach-VLAN-ID muss manuell auf dem IP-Telefon festgelegt werden.
Verknüpfen Sie das VLAN mit der Schnittstelle ge-0/0/2:
data-vlan[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0
Konfigurieren Sie das Interface ge-0/0/2 als Zugriffsport, der zum Daten-VLAN gehört:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
Konfigurieren Sie VoIP auf der Schnittstelle ge-0/0/2 und fügen Sie diese Schnittstelle dem Sprach-VLAN hinzu:
[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
Geben Sie die Weiterleitungsklasse für die gesicherte Weiterleitung an, um die zuverlässigste Dienstklasse bereitzustellen:
[edit switch-options] user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Konfigurieren von VoIP ohne LLDP-MED mithilfe eines Trunk-Ports mit nativer VLAN-Option
Verfahren
CLI-Schnellkonfiguration
Um VoIP schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Schritt-für-Schritt-Anleitung
Konfigurieren Sie zwei VLANs: eine für den Datenverkehr und eine für den Sprachverkehr:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
HINWEIS:Die Sprach-VLAN-ID muss manuell auf dem IP-Telefon festgelegt werden.
Konfigurieren Sie das Interface ge-0/0/2 als Trunk-Port, der nur das Sprach-VLAN enthält:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
Konfigurieren Sie die native VLAN-ID für das Daten-VLAN auf dem Trunk-Port:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members voice-vlan;
}
native-vlan-id data-vlan;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
}
voice-vlan {
vlan-id 99;
}
}
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgende Aufgabe aus:
Überprüfen der VLAN-Zuordnung zur Schnittstelle
Zweck
Zeigen Sie den Schnittstellenstatus und die VLAN-Mitgliedschaft an.
Was
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblockedBedeutung
Das Feld zeigt, dass die ge-0/0/2.0-Schnittstelle sowohl das Daten-VLAN (data-vlan) als auch das Sprach-VLAN (voice-vlan) unterstützt.VLAN members Das Feld zeigt an, dass die Schnittstelle aktiv ist.State
Beispiel: Konfigurieren von VoIP auf einem Switch der EX-Serie ohne LLDP-MED-Unterstützung
Sie können Voice over IP (VoIP) auf einem Switch der EX-Serie so konfigurieren, dass IP-Telefone unterstützt werden. Das LLDP-MED-Protokoll (Link Layer Discovery Protocol–Media Endpoint Discovery) wird manchmal bei IP-Telefonen verwendet, um VoIP-Parameter vom Switch an das Telefon weiterzuleiten. Allerdings unterstützen nicht alle IP-Telefone LLDP-MED.
In diesem Beispiel wird beschrieben, wie VoIP auf einem Switch der EX-Serie ohne Verwendung von LLDP-MED konfiguriert wird:
- Anforderungen
- Überblick
- Konfigurieren von VoIP ohne LLDP-MED mithilfe eines Sprach-VLANs an einem Access-Port
- Konfigurieren von VoIP ohne LLDP-MED mithilfe eines Trunk-Ports mit nativer VLAN-Option
- Überprüfung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein EX4200-Switch, der als Authentifikator-Port-Access-Entität (PAE) fungiert. Die Schnittstellen der Authentifikator-PAE bilden ein Kontrollgate, das den gesamten Datenverkehr zu und von Supplicants blockiert, bis sie authentifiziert sind.
Ein IP-Telefon, das LLDP-MED nicht unterstützt.
Junos OS Version 9.1 oder höher für Switches der EX-Serie.
Bevor Sie VoIP konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Grundlegende Bridging- und VLAN-Konfiguration auf dem Switch durchgeführt. Siehe Beispiel: Einrichten eines grundlegenden Bridging und eines VLANs für einen Switch der EX-Serie.
Das IP-Telefon wurde als Mitglied des Sprach-VLANs konfiguriert.
(Optional) Konfigurierte Schnittstelle ge-0/0/2 für Power over Ethernet (PoE). Die PoE-Konfiguration ist nicht erforderlich, wenn der VoIP-Supplicant ein Netzteil verwendet. Weitere Informationen finden Sie unter Konfigurieren von PoE-Schnittstellen auf Switches der EX-Serie.Configuring PoE Interfaces on EX Series Switches
Überblick
Anstatt ein normales Telefon zu verwenden, schließen Sie ein IP-Telefon direkt an den Switch an. Ein IP-Telefon verfügt über die gesamte Hard- und Software, die für VoIP erforderlich ist. Sie können ein IP-Telefon auch mit Strom versorgen, indem Sie es an eine der PoE-Schnittstellen (Power over Ethernet) des Switches anschließen.
Switches der EX-Serie können ein IP-Telefon und einen Endhost aufnehmen, die an einen einzigen Switch-Port angeschlossen sind. In einem solchen Szenario müssen Sprach- und Datenverkehr in verschiedene Broadcast-Domänen oder VLANs aufgeteilt werden. Eine Methode, dies zu erreichen, ist die Konfiguration eines Sprach-VLANs, das es Zugriffsports ermöglicht, nicht getaggten Datenverkehr sowie getaggten Sprachverkehr von IP-Telefonen zu akzeptieren und jeden Datenverkehrstyp separaten und unterschiedlichen VLANs zuzuordnen. Sprachverkehr (getaggt) kann dann anders behandelt werden, in der Regel mit einer höheren Priorität als Datenverkehr (untagged).
Das Sprach-VLAN bietet den größten Vorteil, wenn es mit IP-Telefonen verwendet wird, die LLDP-MED unterstützen, aber es ist flexibel genug, dass IP-Telefone, die LLDP-MED nicht unterstützen, es auch effektiv nutzen können. In Abwesenheit von LLDP-MED muss die Sprach-VLAN-ID jedoch manuell auf dem IP-Telefon festgelegt werden, da LLDP-MED nicht verfügbar ist, um dies dynamisch zu erreichen. Informationen zum Einrichten eines Sprach-VLANs für IP-Telefone, die LLDP-MED unterstützen, finden Sie unter Beispiel: Einrichten von VoIP mit 802.1X und LLDP-MED auf einem Switch der EX-Serie.
Eine weitere Methode zur Trennung von Sprach- (getaggt) und Datendatenverkehr (nicht getaggt) in verschiedene VLANs ist die Verwendung eines Trunk-Ports mit der nativen VLAN-ID-Option. Der Trunk-Port wird als Mitglied des Sprach-VLANs hinzugefügt und verarbeitet nur getaggten Sprachverkehr aus diesem VLAN. Der Trunk-Port muss außerdem mit der nativen VLAN-ID für das Daten-VLAN konfiguriert werden, damit er ungetaggten Datenverkehr aus dem Daten-VLAN verarbeiten kann. Diese Konfiguration erfordert auch, dass die Sprach-VLAN-ID manuell auf dem IP-Telefon festgelegt wird.
In diesem Beispiel werden beide Methoden veranschaulicht. In diesem Beispiel ist die Schnittstelle ge-0/0/2 des EX4200-Switches mit einem Nicht-LLDP-MED-IP-Telefon verbunden.
Die Implementierung eines Sprach-VLANs auf einem IP-Telefon ist herstellerspezifisch. Anweisungen zur Konfiguration eines Sprach-VLANs finden Sie in der Dokumentation zu Ihrem IP-Telefon. Auf einem Avaya-Telefon können Sie beispielsweise sicherstellen, dass das Telefon die richtige VoIP-VLAN-ID erhält, auch wenn LLDP-MED nicht vorhanden ist, indem Sie die DHCP-Option 176 aktivieren.
Topologie
Konfigurieren von VoIP ohne LLDP-MED mithilfe eines Sprach-VLANs an einem Access-Port
Verfahren
CLI-Schnellkonfiguration
Um VoIP schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan
Schritt-für-Schritt-Anleitung
Konfigurieren Sie zwei VLANs: eine für den Datenverkehr und eine für den Sprachverkehr:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
HINWEIS:Die Sprach-VLAN-ID muss manuell auf dem IP-Telefon festgelegt werden.
Konfigurieren Sie das VLAN auf der Schnittstelle ge-0/0/2:data-vlan
[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0
Konfigurieren Sie das Interface ge-0/0/2 als Zugriffsport, der zum Daten-VLAN gehört:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
Konfigurieren Sie VoIP auf der Schnittstelle ge-0/0/2 und fügen Sie diese Schnittstelle dem Sprach-VLAN hinzu:
[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
}
}
}
Konfigurieren von VoIP ohne LLDP-MED mithilfe eines Trunk-Ports mit nativer VLAN-Option
Verfahren
CLI-Schnellkonfiguration
Um VoIP schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Schritt-für-Schritt-Anleitung
Konfigurieren Sie zwei VLANs: eine für den Datenverkehr und eine für den Sprachverkehr:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
HINWEIS:Die Sprach-VLAN-ID muss manuell auf dem IP-Telefon festgelegt werden.
Konfigurieren Sie das Interface ge-0/0/2 als Trunk-Port, der nur das Sprach-VLAN enthält:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
Konfigurieren Sie die native VLAN-ID für das Daten-VLAN auf dem Trunk-Port:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members voice-vlan;
}
native-vlan-id data-vlan;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
}
voice-vlan {
vlan-id 99;
}
}
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgende Aufgabe aus:
Überprüfen der VLAN-Zuordnung zur Schnittstelle
Zweck
Zeigen Sie den Schnittstellenstatus und die VLAN-Mitgliedschaft an.
Was
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblockedBedeutung
Das Feld zeigt, dass die ge-0/0/2.0-Schnittstelle sowohl das Daten-VLAN (data-vlan) als auch das Sprach-VLAN (voice-vlan) unterstützt.VLAN members Das Feld zeigt an, dass die Schnittstelle aktiv ist.State
Beispiel: Konfigurieren von VoIP auf einem Switch der EX-Serie ohne 802.1X-Authentifizierung
Sie können Voice over IP (VoIP) auf einem Switch der EX-Serie so konfigurieren, dass IP-Telefone unterstützt werden.
Um VoIP auf einem Switch der EX-Serie so zu konfigurieren, dass es ein IP-Telefon unterstützt, das keine 802.1X-Authentifizierung unterstützt, müssen Sie entweder die MAC-Adresse des Telefons zur statischen MAC-Bypass-Liste hinzufügen oder die MAC RADIUS-Authentifizierung auf dem Switch aktivieren.
In diesem Beispiel wird beschrieben, wie VoIP auf einem Switch der EX-Serie ohne 802.1X-Authentifizierung mithilfe der statischen MAC-Umgehung der Authentifizierung konfiguriert wird:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Junos OS Version 9.1 oder höher für Switches der EX-Serie
Ein IP-Telefon
Bevor Sie VoIP konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Der Switch der EX-Serie wurde installiert. Weitere Informationen finden Sie in den Installationsinformationen für Ihren Switch.
Die anfängliche Switch-Konfiguration wurde durchgeführt. Weitere Informationen finden Sie unter Anschließen und Konfigurieren eines Switches der EX-Serie (CLI-Verfahren).Connecting and Configuring an EX Series Switch (CLI Procedure)
Grundlegende Bridging- und VLAN-Konfiguration auf dem Switch durchgeführt. Siehe Beispiel: Einrichten eines grundlegenden Bridging und eines VLANs für einen Switch der EX-Serie.
Der RADIUS-Server wurde für die 802.1X-Authentifizierung konfiguriert und das Zugriffsprofil eingerichtet. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie.
(Optional) Konfigurierte Schnittstelle für Power over Ethernet (PoE).
ge-0/0/2Die PoE-Konfiguration ist nicht erforderlich, wenn der VoIP-Supplicant ein Netzteil verwendet. Weitere Informationen zur PoE-Konfiguration finden Sie unter Konfigurieren von PoE-Schnittstellen auf Switches der EX-Serie.Configuring PoE Interfaces on EX Series Switches
Wenn die IP-Adresse auf dem Avaya IP-Telefon nicht konfiguriert ist, tauscht das Telefon LLDP-MED-Informationen aus, um die VLAN-ID für das Sprach-VLAN abzurufen. Sie müssen die Anweisung auf der Schnittstelle so konfigurieren, dass die Schnittstelle als VoIP-Schnittstelle festgelegt wird und der Switch den VLAN-Namen und die VLAN-ID für das Sprach-VLAN an das IP-Telefon weiterleiten kann.voip Das IP-Telefon verwendet dann das Sprach-VLAN (d. h. es verweist auf die ID des Sprach-VLANs), um eine DHCP-Erkennungsanforderung zu senden und Informationen mit dem DHCP-Server (Sprachgateway) auszutauschen.
Überblick
Anstatt ein normales Telefon zu verwenden, schließen Sie ein IP-Telefon direkt an den Switch an. Ein IP-Telefon verfügt über die gesamte Hard- und Software, die für VoIP erforderlich ist. Sie können ein IP-Telefon auch mit Strom versorgen, indem Sie es an eine der PoE-Schnittstellen (Power over Ethernet) des Switches anschließen.
In diesem Beispiel ist die Zugriffsschnittstelle des EX4200-Switches mit einem IP-Telefon verbunden, das nicht 802.1X ist.ge-0/0/2
Um VoIP auf einem Switch der EX-Serie so zu konfigurieren, dass es ein IP-Telefon unterstützt, das die 802.1X-Authentifizierung nicht unterstützt, fügen Sie die MAC-Adresse des Telefons als statischen Eintrag in der Authentifikatordatenbank hinzu und legen Sie den Supplicant-Modus auf mehrere fest.
Konfiguration
So konfigurieren Sie VoIP ohne 802.1X-Authentifizierung:
Verfahren
CLI-Schnellkonfiguration
Um VoIP schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Schritt-für-Schritt-Anleitung
So konfigurieren Sie VoIP ohne 802.1X:
Konfigurieren Sie die VLANs für Sprache und Daten:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Verknüpfen Sie das VLAN mit der Schnittstelle:
data-vlan[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0Konfigurieren Sie die Schnittstelle als Zugriffsschnittstelle, konfigurieren Sie die Unterstützung für Ethernet-Switching und fügen Sie das VLAN hinzu:
data-vlan[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
Konfigurieren Sie VoIP auf der Schnittstelle, und geben Sie die Weiterleitungsklasse an, um die zuverlässigste Serviceklasse bereitzustellen:
assured-forwarding[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Konfigurieren der LLDP-MED-Protokollunterstützung:
[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
Legen Sie das Authentifizierungsprofil fest (siehe Konfigurieren der 802.1X-Schnittstelleneinstellungen (CLI-Verfahren) und Konfigurieren der802.1X-RADIUS-Kontoführung (CLI-Verfahren)):Konfigurieren der 802.1X-Schnittstelleneinstellungen (CLI-Verfahren)Konfigurieren der 802.1X-RADIUS-Kontoführung (CLI-Verfahren)
[edit protocols] set dot1x authenticator authentication-profile-name auth-profile
Fügen Sie die MAC-Adresse des Telefons zur statischen MAC-Bypass-Liste hinzu:
[edit protocols] set dot1x authenticator static 00:04:f2:11:aa:a7
Legen Sie den Supplicant-Modus auf mehrere fest:
[edit protocols] set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2.0;
}
dot1x {
authenticator {
authentication-profile-name auth-profile;
static {
00:04:f2:11:aa:a7;
}
}
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
- LLDP-MED-Konfiguration verifizieren
- Überprüfen der Authentifizierung für den Desktop-PC
- Überprüfen der VLAN-Zuordnung zur Schnittstelle
LLDP-MED-Konfiguration verifizieren
Zweck
Stellen Sie sicher, dass LLDP-MED auf der Schnittstelle aktiviert ist.
Was
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
Bedeutung
Die Ausgabe zeigt, dass sowohl LLDP als auch LLDP-MED auf der Schnittstelle konfiguriert sind.show lldp detailge-0/0/2.0 Am Ende der Ausgabe wird die Liste der unterstützten LLDP-Basis-TLVs, 802.3-TLVs und LLDP-MED-TLVs angezeigt, die unterstützt werden.
Überprüfen der Authentifizierung für den Desktop-PC
Zweck
Zeigen Sie die 802.1X-Konfiguration für den Desktop-PC an, der über das IP-Telefon mit der VoIP-Schnittstelle verbunden ist.
Was
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Bedeutung
Das Feld zeigt an, dass sich die Schnittstelle im Status des Authentifikators befindet.Rolege-0/0/2.0 Das Feld zeigt, dass die Schnittstelle im Mehrfach-Supplicant-Modus konfiguriert ist, sodass mehrere Supplicants auf dieser Schnittstelle authentifiziert werden können.Supplicant Die MAC-Adressen der aktuell angeschlossenen Supplicants werden am unteren Rand der Ausgabe angezeigt.
Überprüfen der VLAN-Zuordnung zur Schnittstelle
Zweck
Zeigen Sie den Schnittstellenstatus und die VLAN-Mitgliedschaft an.
Was
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblockedBedeutung
Das Feld zeigt, dass die Schnittstelle sowohl das VLAN als auch das VLAN unterstützt.VLAN membersge-0/0/2.0data-vlanvoice-vlan Das Feld zeigt an, dass die Schnittstelle aktiv ist.State
Beispiel: Einrichten von VoIP mit 802.1X und LLDP-MED auf einem Switch der EX-Serie mit ELS-Unterstützung
In diesem Beispiel wird Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet. Wenn auf Ihrem Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Beispiel: Einrichten von VoIP mit 802.1X und LLDP-MED auf einem Switch der EX-Serie. Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.Layer 2 Networking
Sie können VoIP auf einem Switch der EX-Serie so konfigurieren, dass IP-Telefone unterstützt werden. Das LLDP-MED-Protokoll (Link Layer Discovery Protocol–Media Endpoint Discovery) leitet VoIP-Parameter vom Switch an das Telefon weiter. Außerdem konfigurieren Sie die 802.1X-Authentifizierung, um dem Telefon den Zugriff auf das LAN zu ermöglichen. Die Authentifizierung erfolgt über einen Backend-RADIUS-Server.
In diesem Beispiel wird beschrieben, wie VoIP auf einem Switch der EX-Serie für die Unterstützung eines Avaya IP-Telefons konfiguriert wird, sowie wie das LLDP-MED-Protokoll und die 802.1X-Authentifizierung konfiguriert werden:
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
Dieses Beispiel gilt auch für QFX5100 Switches.
Junos OS Version 13.2X50 oder höher für Switches der EX-Serie
Ein Switch der EX-Serie mit Unterstützung für ELS, der als Authentifikator-Port-Access-Entität (PAE) fungiert. Die Schnittstellen der Authentifikator-PAE bilden ein Kontrollgate, das den gesamten Datenverkehr zu und von Supplicants blockiert, bis sie authentifiziert sind.
Ein Avaya IP-Telefon, das LLDP-MED und 802.1X unterstützt
Bevor Sie VoIP konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Der Switch der EX-Serie wurde installiert. Weitere Informationen finden Sie in den Installationsinformationen für Ihren Switch.
Die anfängliche Switch-Konfiguration wurde durchgeführt. Weitere Informationen finden Sie unter Anschließen und Konfigurieren eines Switches der EX-Serie (CLI-Verfahren).Connecting and Configuring an EX Series Switch (CLI Procedure)
Grundlegende Bridging- und VLAN-Konfiguration auf dem Switch durchgeführt. Siehe Beispiel: Einrichten von Basic Bridging und einem VLAN für einen Switch der EX-Serie mit ELS-Unterstützung oder Beispiel: Einrichten von grundlegendem Bridging und einem VLAN auf Switches.
Der RADIUS-Server wurde für die 802.1X-Authentifizierung konfiguriert und das Zugriffsprofil eingerichtet. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie.
(Optional) Konfiguration der Schnittstelle ge-0/0/2 für Power over Ethernet (PoE). Die PoE-Konfiguration ist nicht erforderlich, wenn der VoIP-Supplicant ein Netzteil verwendet. Weitere Informationen zur PoE-Konfiguration finden Sie unter Konfigurieren von PoE-Schnittstellen auf Switches der EX-Serie.Configuring PoE Interfaces on EX Series Switches
Wenn die IP-Adresse auf dem Avaya IP-Telefon nicht konfiguriert ist, tauscht das Telefon LLDP-MED-Informationen aus, um die VLAN-ID für das Sprach-VLAN abzurufen. Sie müssen die Anweisung auf der Schnittstelle so konfigurieren, dass die Schnittstelle als VoIP-Schnittstelle festgelegt wird und der Switch den VLAN-Namen und die VLAN-ID für das Sprach-VLAN an das IP-Telefon weiterleiten kann.voip Das IP-Telefon verwendet dann das Sprach-VLAN (d. h. es verweist auf die ID des Sprach-VLANs), um eine DHCP-Erkennungsanforderung zu senden und Informationen mit dem DHCP-Server (Sprachgateway) auszutauschen.
Übersicht und Topologie
Anstatt ein normales Telefon zu verwenden, schließen Sie ein IP-Telefon direkt an den Switch an. Ein IP-Telefon verfügt über die gesamte Hard- und Software, die für VoIP erforderlich ist. Sie können ein IP-Telefon auch mit Strom versorgen, indem Sie es an eine der PoE-Schnittstellen (Power over Ethernet) des Switches anschließen.
Switches der EX-Serie können ein IP-Telefon und einen Endhost aufnehmen, die an einen einzigen Switch-Port angeschlossen sind. In einem solchen Szenario müssen Sprach- und Datenverkehr in verschiedene Broadcast-Domänen oder VLANs aufgeteilt werden. Eine Methode, dies zu erreichen, ist die Konfiguration eines Sprach-VLANs, das es Zugriffsports ermöglicht, nicht getaggten Datenverkehr sowie getaggten Sprachverkehr von IP-Telefonen zu akzeptieren und jeden Datenverkehrstyp separaten und unterschiedlichen VLANs zuzuordnen. Sprachverkehr (getaggt) kann dann anders behandelt werden, in der Regel mit einer höheren Priorität als Datenverkehr (untagged).
Wenn eine MAC-Adresse sowohl im Daten- als auch im Sprach-VLAN gelernt wurde, bleibt sie aktiv, es sei denn, sie altert aus beiden VLANs oder beide VLANs werden gelöscht.
In diesem Beispiel ist die Zugriffsschnittstelle ge-0/0/2 des Switches der EX-Serie mit einem Avaya IP-Telefon verbunden. Avaya-Telefone verfügen über eine integrierte Bridge, mit der Sie einen Desktop-PC an das Telefon anschließen können, sodass der Desktop und das Telefon in einem einzigen Büro nur eine Schnittstelle auf dem Switch benötigen. Der Switch der EX-Serie ist mit einem RADIUS-Server auf der ge-0/0/10-Schnittstelle verbunden (siehe ).Abbildung 4
Diese Zahl gilt auch für QFX5100 Switches.
In diesem Beispiel konfigurieren Sie VoIP-Parameter und geben die Weiterleitungsklasse für den Sprachdatenverkehr an, um die höchste Dienstqualität zu gewährleisten.assured-forward
Tabelle 2 beschreibt die Komponenten, die in diesem VoIP-Konfigurationsbeispiel verwendet werden.
| Eigenschaft | Einstellungen |
|---|---|
Switch-Hardware |
Switch der EX-Serie mit Unterstützung für ELS. |
VLAN-Namen und -IDs |
Daten-VLAN, 77 Voice-VLAN, 99 |
Verbindung zum Avaya-Telefon – mit integriertem Hub, um Telefon und Desktop-PC über eine einzige Schnittstelle zu verbinden (erfordert PoE) |
ge-0/0/2 |
Ein RADIUS-Server |
Stellt eine Backend-Datenbank bereit, die über die Schnittstelle ge-0/0/10 mit dem Switch verbunden ist. |
Neben der Konfiguration eines VoIP für die Schnittstelle ge-0/0/2 konfigurieren Sie:
802.1X-Authentifizierung. Die Authentifizierung ist auf den Supplicant-Modus eingestellt, um den Zugriff von mehr als einem Supplicant auf das LAN über die Schnittstelle ge-0/0/2 zu unterstützen.
multipleInformationen zum LLDP-MED-Protokoll. Der Switch verwendet LLDP-MED, um VoIP-Parameter an das Telefon weiterzuleiten. Durch die Verwendung von LLDP-MED wird sichergestellt, dass der Sprachdatenverkehr an der Quelle selbst mit Tags versehen und mit den richtigen Werten priorisiert wird. Beispielsweise können 802.1p-Serviceklassen- und 802.1Q-Tag-Informationen an das IP-Telefon gesendet werden.
HINWEIS:Eine PoE-Konfiguration ist nicht erforderlich, wenn ein IP-Telefon ein Netzteil verwendet.
Topologie
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um VoIP, LLDP-MED und 802.1X schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Schritt-für-Schritt-Anleitung
So konfigurieren Sie VoIP mit LLDP-MED und 802.1X:
Konfigurieren Sie die VLANs für Sprache und Daten:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Verknüpfen Sie das VLAN mit der Schnittstelle:data-vlan
[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0Konfigurieren Sie die Schnittstelle als Zugriffsschnittstelle, konfigurieren Sie die Unterstützung für Ethernet-Switching und fügen Sie die Schnittstelle als Mitglied des VLANs hinzu:data-vlan
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
HINWEIS:Sie dürfen nicht sowohl Daten als auch Sprache im selben VLAN konfigurieren. Wenn Sie Daten und Sprache im selben VLAN konfigurieren, wird die Konfiguration nicht akzeptiert.
Wenn Sie die 802.1X-Authentifizierung auf Ihrem Switch aktiviert haben und:
-
Das von Ihnen konfigurierte Sprach-VLAN ist identisch mit dem Daten-VLAN, das der Authentifizierungsserver sendet.
-
Das Daten-VLAN, das Sie konfiguriert haben, ist dasselbe wie das Sprach-VLAN, das der Authentifizierungsserver sendet, oder
-
Das Daten-VLAN und das Sprach-VLAN, die der Authentifizierungsserver sendet, sind identisch
Der Client wechselt in den HELD-Zustand.
-
Konfigurieren Sie VoIP auf der Schnittstelle, und geben Sie die Weiterleitungsklasse an, um die zuverlässigste Serviceklasse bereitzustellen:
assured-forwarding[edit switch—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Konfigurieren der LLDP-MED-Protokollunterstützung:
[edit protocols] user@switch# set lldp-med interface ge-0/0/2
Um ein IP-Telefon und einen PC zu authentifizieren, die mit dem IP-Telefon auf der Schnittstelle verbunden sind, konfigurieren Sie die 802.1X-Authentifizierungsunterstützung und geben Sie den Supplicant-Modus an :
multipleHINWEIS:Wenn Sie kein Gerät authentifizieren möchten, überspringen Sie die 802.1X-Konfiguration auf dieser Schnittstelle.
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2;
}
dot1x {
authenticator {
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
switch-options {
interface ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
switch-options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
- LLDP-MED-Konfiguration verifizieren
- Überprüfung der 802.1X-Authentifizierung für IP-Telefon und Desktop-PC
- Überprüfen der VLAN-Zuordnung zur Schnittstelle
LLDP-MED-Konfiguration verifizieren
Zweck
Stellen Sie sicher, dass LLDP-MED auf der Schnittstelle aktiviert ist.
Was
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
Bedeutung
Die Ausgabe zeigt, dass sowohl als auch auf der Schnittstelle konfiguriert sind.show lldp detailLLDPLLDP-MEDge-0/0/2 Am Ende der Ausgabe wird die Liste der unterstützten LLDP-TLVs für die grundlegende Verwaltung und die organisationsspezifischen TLVs angezeigt, die unterstützt werden.
Überprüfung der 802.1X-Authentifizierung für IP-Telefon und Desktop-PC
Zweck
Zeigen Sie die 802.1X-Konfiguration an, um zu bestätigen, dass die VoIP-Schnittstelle Zugriff auf das LAN hat.
Was
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Bedeutung
Das Feld zeigt an, dass sich die Schnittstelle im Status des Authentifikators befindet.Rolege-0/0/2.0 Das Feld zeigt, dass die Schnittstelle im Supplicant-Modus konfiguriert ist, sodass mehrere Supplicants auf dieser Schnittstelle authentifiziert werden können.Supplicant modemultiple Die MAC-Adressen der aktuell angeschlossenen Supplicants werden am unteren Rand der Ausgabe angezeigt.
Überprüfen der VLAN-Zuordnung zur Schnittstelle
Zweck
Zeigen Sie die VLAN-Mitgliedschaft der Schnittstelle an.
Was
user@switch> show ethernet-switching interface ge-0/0/2.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/2.0 65535 untagged
voice-vlan 99
65535 Discarding
data-vlan 77
65535 DiscardingBedeutung
Das Feld zeigt, dass die Schnittstelle sowohl das VLAN als auch das VLAN unterstützt.VLAN membersge-0/0/2.0data-vlanvoice-vlan
Beispiel: Konfigurieren von VoIP auf einem Switch der EX-Serie mit ELS-Unterstützung ohne 802.1X-Authentifizierung
In diesem Beispiel wird Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet. Wenn auf Ihrem Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Beispiel: Konfigurieren von VoIP auf einem Switch der EX-Serie ohne 802.1X-Authentifizierung. Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.Layer 2 Networking
Sie können Voice over IP (VoIP) auf einem Switch der EX-Serie so konfigurieren, dass IP-Telefone unterstützt werden.
Um VoIP auf einem Switch der EX-Serie so zu konfigurieren, dass es ein IP-Telefon unterstützt, das keine 802.1X-Authentifizierung unterstützt, müssen Sie entweder die MAC-Adresse des Telefons zur statischen MAC-Bypass-Liste hinzufügen oder die MAC RADIUS-Authentifizierung auf dem Switch aktivieren.
In diesem Beispiel wird beschrieben, wie VoIP auf einem Switch der EX-Serie ohne 802.1X-Authentifizierung mithilfe der statischen MAC-Umgehung der Authentifizierung konfiguriert wird:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Diese Zahl gilt auch für QFX5100 Switches.
Ein Switch der EX-Serie mit Unterstützung für ELS
Junos OS Version 13.2 oder höher für Switches der EX-Serie
Ein Avaya IP-Telefon
Bevor Sie VoIP konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Der Switch der EX-Serie wurde installiert. Weitere Informationen finden Sie in den Installationsinformationen für Ihren Switch.
Die anfängliche Switch-Konfiguration wurde durchgeführt. Weitere Informationen finden Sie unter Anschließen und Konfigurieren eines Switches der EX-Serie (CLI-Verfahren).Connecting and Configuring an EX Series Switch (CLI Procedure)
Grundlegende Bridging- und VLAN-Konfiguration auf dem Switch durchgeführt. Siehe Beispiel: Einrichten von Basic Bridging und einem VLAN für einen Switch der EX-Serie mit ELS-Unterstützung oder Beispiel: Einrichten von grundlegendem Bridging und einem VLAN auf Switches.
Der RADIUS-Server wurde für die 802.1X-Authentifizierung konfiguriert und das Zugriffsprofil eingerichtet. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie.
(Optional) Konfiguration der Schnittstelle ge-0/0/2 für Power over Ethernet (PoE). Die PoE-Konfiguration ist nicht erforderlich, wenn der VoIP-Supplicant ein Netzteil verwendet. Weitere Informationen zur PoE-Konfiguration finden Sie unter Konfigurieren von PoE-Schnittstellen auf Switches der EX-Serie.Configuring PoE Interfaces on EX Series Switches
Wenn die IP-Adresse auf dem Avaya IP-Telefon nicht konfiguriert ist, tauscht das Telefon LLDP-MED-Informationen aus, um die VLAN-ID für das Sprach-VLAN abzurufen. Sie müssen die Anweisung auf der Schnittstelle so konfigurieren, dass die Schnittstelle als VoIP-Schnittstelle festgelegt wird und der Switch den VLAN-Namen und die VLAN-ID für das Sprach-VLAN an das IP-Telefon weiterleiten kann.voip Das IP-Telefon verwendet dann das Sprach-VLAN (d. h. es verweist auf die ID des Sprach-VLANs), um eine DHCP-Erkennungsanforderung zu senden und Informationen mit dem DHCP-Server (Sprachgateway) auszutauschen.
Überblick
Anstatt ein normales Telefon zu verwenden, schließen Sie ein IP-Telefon direkt an den Switch an. Ein IP-Telefon verfügt über die gesamte Hard- und Software, die für VoIP erforderlich ist. Sie können ein IP-Telefon auch mit Strom versorgen, indem Sie es an eine der PoE-Schnittstellen (Power over Ethernet) des Switches anschließen.
In diesem Beispiel ist die Zugriffsschnittstelle ge-0/0/2 des Switches der EX-Serie mit einem IP-Telefon verbunden, das nicht 802.1X ist.
Um VoIP auf einem Switch der EX-Serie so zu konfigurieren, dass es ein IP-Telefon unterstützt, das die 802.1X-Authentifizierung nicht unterstützt, fügen Sie die MAC-Adresse des Telefons als statischen Eintrag in der Authentifikatordatenbank hinzu und legen Sie den Supplicant-Modus auf mehrere fest.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um VoIP schnell zu konfigurieren, ohne die 802.1X-Authentifizierung zu verwenden, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Schritt-für-Schritt-Anleitung
So konfigurieren Sie VoIP ohne 802.1X-Authentifizierung:
Konfigurieren Sie die VLANs für Sprache und Daten:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Konfigurieren Sie die Schnittstelle als Zugriffsschnittstelle, konfigurieren Sie die Unterstützung für Ethernet-Switching und fügen Sie die Schnittstelle als Mitglied des VLANs hinzu:
data-vlan[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
HINWEIS:Sie dürfen nicht sowohl Daten als auch Sprache im selben VLAN konfigurieren. Wenn Sie Daten und Sprache im selben VLAN konfigurieren, wird die Konfiguration nicht akzeptiert.
Konfigurieren Sie VoIP auf der Schnittstelle, und geben Sie die Weiterleitungsklasse an, um die zuverlässigste Serviceklasse bereitzustellen:
assured-forwarding[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Konfigurieren der LLDP-MED-Protokollunterstützung:
[edit protocols] user@switch# set lldp-med interface ge-0/0/2
Legen Sie das Authentifizierungsprofil mit dem Namen fest (siehe Konfigurieren der 802.1X-Schnittstelleneinstellungen (CLI-Verfahren) und Konfigurieren der 802.1X-RADIUS-Kontoführung (CLI-Verfahren)):
auth-profileKonfigurieren der 802.1X-Schnittstelleneinstellungen (CLI-Verfahren)Konfigurieren der 802.1X-RADIUS-Kontoführung (CLI-Verfahren)[edit protocols] user@switch# set dot1x authenticator authentication-profile-name auth-profile
Fügen Sie die MAC-Adresse des Telefons zur statischen MAC-Bypass-Liste hinzu:
[edit protocols] user@switch# set dot1x authenticator static 00:04:f2:11:aa:a7
Legen Sie den Supplicant-Modus auf mehrere fest:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2;
}
dot1x {
authenticator {
authentication-profile-name auth-profile;
static {
00:04:f2:11:aa:a7;
}
}
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
switch-options {
interface ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
switch-options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
- LLDP-MED-Konfiguration verifizieren
- Überprüfen der Authentifizierung für den Desktop-PC
- Überprüfen der VLAN-Zuordnung zur Schnittstelle
LLDP-MED-Konfiguration verifizieren
Zweck
Stellen Sie sicher, dass LLDP-MED auf der Schnittstelle aktiviert ist.
Was
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
Bedeutung
Die Befehlsausgabe zeigt, dass sowohl LLDP als auch LLDP-MED auf der Schnittstelle konfiguriert sind.show lldp detailge-0/0/2 Am Ende der Ausgabe wird die Liste der unterstützten LLDP-TLVs für die grundlegende Verwaltung und die organisationsspezifischen TLVs angezeigt, die unterstützt werden.
Überprüfen der Authentifizierung für den Desktop-PC
Zweck
Zeigen Sie die 802.1X-Konfiguration für den Desktop-PC an, der über das IP-Telefon mit der VoIP-Schnittstelle verbunden ist.
Was
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Bedeutung
Das Feld zeigt an, dass sich die Schnittstelle in der Authentifikatorrolle befindet.Rolege-0/0/2.0 Das Feld zeigt, dass die Schnittstelle im Supplicant-Modus konfiguriert ist, sodass mehrere Supplicants auf dieser Schnittstelle authentifiziert werden können.Supplicant Modemultiple Die MAC-Adressen der aktuell angeschlossenen Supplicants werden am unteren Rand der Ausgabe angezeigt.
Überprüfen der VLAN-Zuordnung zur Schnittstelle
Zweck
Zeigen Sie die VLAN-Mitgliedschaft der Schnittstelle an.
Was
user@switch> show ethernet-switching interface ge-0/0/2.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/2.0 65535 untagged
voice-vlan 99
65535 Discarding
data-vlan 77
65535 DiscardingBedeutung
Das Feld zeigt, dass die Schnittstelle sowohl das VLAN als auch das VLAN unterstützt.Vlan members ge-0/0/2.0data-vlanvoice-vlan