Sur cette page
Comprendre la norme 802.1X et la VoIP sur les commutateurs EX Series
Exemple : Configuration de la VoIP avec 802.1X et LLDP-MED sur un commutateur EX Series
Exemple : Configuration VoIP sur un commutateur EX Series sans inclure la prise en charge LLDP-MED
Exemple : Configuration VoIP sur un commutateur EX Series sans inclure la prise en charge LLDP-MED
Exemple : Configuration VoIP sur un commutateur EX Series sans authentification 802.1X
VoIP sur les commutateurs EX Series
Vous pouvez configurer la voix sur IP (VoIP) sur un commutateur EX Series pour prendre en charge les téléphones IP. Lorsque vous utilisez la VoIP, vous pouvez connecter des téléphones IP au commutateur et configurer l’authentification IEEE 802.1X pour les téléphones IP compatibles 802.1X. Pour plus d’informations, consultez cette rubrique.
Comprendre la norme 802.1X et la VoIP sur les commutateurs EX Series
Lorsque vous utilisez la VoIP, vous pouvez connecter des téléphones IP au commutateur et configurer l’authentification IEEE 802.1X pour les téléphones IP compatibles 802.1X. L’authentification 802.1X assure la sécurité de la périphérie du réseau, protégeant les réseaux locaux Ethernet contre tout accès non autorisé des utilisateurs.
La VoIP est un protocole utilisé pour la transmission de la voix sur les réseaux à commutation de paquets. La VoIP transmet les appels vocaux en utilisant une connexion réseau au lieu d’une ligne téléphonique analogique.
Lorsque la VoIP est utilisée avec la norme 802.1X, le serveur RADIUS authentifie le téléphone et LLDP-MED (Link Layer Discovery Protocol–Media Endpoint Discovery) fournit les paramètres de classe de service (CoS) au téléphone.
Vous pouvez configurer l’authentification 802.1X pour qu’elle fonctionne avec la VoIP en mode demandeur multiple ou unique. En mode demande multiple , le processus 802.1X permet à plusieurs demandeurs de se connecter à l’interface. Chaque demandeur est authentifié individuellement. Pour obtenir un exemple de topologie de demandeurs multiples VoIP, reportez-vous à la section Figure 1.
Si un téléphone IP compatible 802.1X n’a pas d’hôte 802.1X mais qu’un autre périphérique compatible 802.1X est connecté à son port de données, vous pouvez connecter le téléphone à une interface en mode demandeur unique. En mode demandeur unique , le processus 802.1X authentifie uniquement le premier demandeur. Tous les autres demandeurs qui se connectent ultérieurement à l’interface sont autorisés à accéder à l’intégralité de l’interface sans autre authentification. Ils se « greffent » effectivement sur l’authentification du premier demandeur. Pour obtenir un exemple de topologie VoIP à demandeur unique, reportez-vous à la section Figure 2 .
Si un téléphone IP ne prend pas en charge 802.1X, vous pouvez configurer la VoIP pour contourner les normes 802.1X et LLDP-MED et transférer les paquets vers un VLAN VoIP.
Authentification multidomaine 802.1X
L’authentification multidomaine 802.1X est une extension du mode de demande multiple qui permet à un périphérique VoIP par défaut et à plusieurs périphériques de données de s’authentifier sur un seul port. L’authentification 802.1X multidomaine offre une sécurité renforcée en mode de demande multiple en limitant le nombre de données authentifiées et de sessions VoIP sur le port. En mode de demande multiple, il est possible d’authentifier un nombre illimité de sessions VoIP ou de données. le nombre de sessions peut être restreint à l’aide de la limitation MAC, mais il n’y a aucun moyen d’appliquer la limite spécifiquement aux sessions de données ou VoIP.
Avec l’authentification multidomaine 802.1X, le port unique est divisé en deux domaines ; l’un est le domaine des données et l’autre est le domaine de la voix. L’authentification multidomaine 802.1X conserve un nombre de sessions distinct en fonction du domaine. Vous pouvez configurer le nombre maximal de sessions de données authentifiées autorisées sur le port. Le nombre de sessions VoIP n’est pas configurable ; une seule session VoIP authentifiée est autorisée sur le port.
Si un nouveau client tente de s’authentifier sur l’interface une fois que le nombre maximal de sessions a été atteint, l’action par défaut consiste à abandonner le paquet et à générer un message de journal d’erreurs. Vous pouvez également configurer l’action pour arrêter l’interface. Le port peut être récupéré manuellement à partir de l’état inactif en émettant la clear
dot1x recovery-timeout
commande, ou en récupérant automatiquement après une période de délai de récupération configurée.
L’authentification multidomaine n’applique pas l’ordre d’authentification des appareils. Toutefois, pour obtenir les meilleurs résultats, le périphérique VoIP doit être authentifié avant d’être connecté à un périphérique de données sur un port multidomaine compatible 802.1X. L’authentification multidomaine n’est prise en charge qu’en mode de demande multiple.
Voir également
Exemple : Configuration de la VoIP avec 802.1X et LLDP-MED sur un commutateur EX Series
Vous pouvez configurer la voix sur IP (VoIP) sur un commutateur EX Series pour prendre en charge les téléphones IP. Le protocole LLDP-MED (Link Layer Discovery Protocol – Media Endpoint Discovery) transfère les paramètres VoIP du commutateur au téléphone. Vous pouvez également configurer l’authentification 802.1X pour autoriser l’accès du téléphone au réseau local. L’authentification se fait par l’intermédiaire d’un serveur RADIUS backend.
Cet exemple décrit comment configurer la VoIP sur un commutateur EX Series pour prendre en charge un téléphone IP Avaya, ainsi que le protocole LLDP-MED et l’authentification 802.1X :
Si votre commutateur exécute Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software), reportez-vous à la section Exemple : Configuration de la VoIP avec 802.1X et LLDP-MED sur un commutateur EX Series avec prise en charge ELS. Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 9.1 ou ultérieure pour les commutateurs EX Series
Un commutateur EX Series faisant office d’entité d’accès au port d’authentification (PAE). Les interfaces sur l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic à destination et en provenance des demandeurs jusqu’à ce qu’ils soient authentifiés.
Un téléphone IP Avaya 9620 compatible avec LLDP-MED et 802.1X
Avant de configurer la VoIP, assurez-vous d’avoir :
Installez votre commutateur EX Series - effectué. Reportez-vous à la section Installation et connexion d’un commutateur EX3200.
Effectuez la configuration initiale du commutateur - effectué. Reportez-vous à la section Connexion et configuration d’un commutateur EX Series (procédure J-Web).
Effectuez le pontage de base et la configuration VLAN sur le commutateur - effectué. Voir l’exemple : Configuration d’un pontage de base et d’un VLAN pour un commutateur EX Series.
Configurez le serveur RADIUS pour l’authentification 802.1X et configurez le profil d’accès - effectué. Voir l’exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
(Facultatif) Interface ge-0/0/2 configurée pour PoE (Power over Ethernet). La configuration PoE n’est pas nécessaire si le demandeur VoIP utilise un adaptateur secteur. Pour plus d’informations sur la configuration PoE, reportez-vous à la section Configuration des interfaces PoE sur les commutateurs EX Series.
Si l’adresse IP n’est pas configurée sur le téléphone IP Avaya, le téléphone échange des informations LLDP-MED pour obtenir l’ID VLAN du VLAN vocal. Vous devez configurer l’instruction sur l’interface pour désigner l’interface comme une interface VoIP et permettre au commutateur de transférer le nom VLAN et l’ID voip
VLAN du VLAN vocal au téléphone IP. Le téléphone IP utilise ensuite le VLAN vocal (c’est-à-dire qu’il fait référence à l’ID du VLAN vocal) pour envoyer une requête de découverte DHCP et échanger des informations avec le serveur DHCP (passerelle vocale).
Vue d’ensemble et topologie
Au lieu d’utiliser un téléphone ordinaire, vous connectez un téléphone IP directement au commutateur. Un téléphone IP dispose de tout le matériel et des logiciels nécessaires pour gérer la VoIP. Vous pouvez également alimenter un téléphone IP en le connectant à l’une des interfaces PoE (Power over Ethernet) du commutateur.
Dans cet exemple, l’interface ge-0/0/2 d’accès du commutateur EX4200 est connectée à un téléphone IP Avaya 9620. Les téléphones Avaya ont un pont intégré qui vous permet de connecter un PC de bureau au téléphone, de sorte que le bureau et le téléphone d’un seul bureau ne nécessitent qu’une seule interface sur le commutateur. Le commutateur EX Series est connecté à un serveur RADIUS sur l’interface (reportez-vous à la section ge-0/0/10Figure 3).
Dans cet exemple, vous configurez les paramètres VoIP et spécifiez la classe assured-forward de transfert du trafic vocal afin de fournir la meilleure qualité de service.
Tableau 1 décrit les composants utilisés dans cet exemple de configuration VoIP.
Propriété | Paramètres |
---|---|
Matériel de commutation |
Commutateur EX4200 |
Noms VLAN |
data-vlan voice-vlan |
Connexion au téléphone Avaya - avec hub intégré, pour connecter le téléphone et le PC de bureau à une seule interface (nécessite PoE) |
ge-0/0/2 |
Un serveur RADIUS |
Fournit une base de données principale connectée au commutateur via l’interface ge-0/0/10. |
En plus de configurer une VoIP pour l’interface ge-0/0/2, vous configurez :
Authentification 802.1X. L’authentification est définie sur multiple demandeur pour prendre en charge l’accès de plusieurs demandeurs au réseau local via l’interface ge-0/0/2.
Informations sur le protocole LLDP-MED. Le commutateur utilise LLDP-MED pour transmettre les paramètres VoIP au téléphone. L’utilisation de LLDP-MED garantit que le trafic vocal est étiqueté et hiérarchisé avec les valeurs correctes à la source elle-même. Par exemple, les informations relatives à la classe de service 802.1p et à la balise 802.1Q peuvent être envoyées au téléphone IP.
REMARQUE :Une configuration PoE n’est pas nécessaire si un téléphone IP utilise un adaptateur secteur.
Configuration
Pour configurer l’authentification VoIP, LLDP-MED et 802.1X :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement VoIP, LLDP-MED et 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procédure étape par étape
Pour configurer la VoIP avec LLDP-MED et 802.1X :
Configurez les VLAN pour la voix et les données :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Associez le VLAN à l’interface data-vlan :
[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0
Configurez l’interface en tant qu’interface d’accès, configurez la prise en charge de la commutation Ethernet et ajoutez le data-vlan VLAN :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
Configurez la VoIP sur l’interface et spécifiez la classe de transfert pour fournir la assured-forwarding classe de service la plus fiable :
[edit ethernet—switching—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configurez la prise en charge du protocole LLDP-MED :
[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
Pour authentifier un téléphone IP et un PC connectés au téléphone IP sur l’interface, configurez la prise en charge de l’authentification 802.1X et spécifiez multiple le mode demandeur :
REMARQUE :Si vous ne souhaitez authentifier aucun périphérique, ignorez la configuration 802.1X sur cette interface.
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Résultats
Affichez les résultats de la configuration :
[edit] user@switch# show configuration interfaces { ge-0/0/2 { unit 0 { family ethernet-switching { port-mode access; vlan { members data-vlan; } } } } } protocols { lldp-med { interface ge-0/0/2.0; } dot1x { authenticator { interface { ge-0/0/2.0 { supplicant multiple; } } } } } vlans { data-vlan { vlan-id 77; interface { ge-0/0/2.0; } } voice-vlan { vlan-id 99; } } ethernet-switching options { voip { interface ge-0/0/2.0 { vlan voice-vlan; forwarding-class assured-forwarding; } } }
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification de la configuration LLDP-MED
- Vérification de l’authentification 802.1X pour les téléphones IP et les PC de bureau
- Vérification de l’association VLAN avec l’interface
Vérification de la configuration LLDP-MED
But
Vérifiez que LLDP-MED est activé sur l’interface.
Action
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
Sens
La show lldp detail
sortie indique que LLDP et LLDP-MED sont configurés sur l’interface ge-0/0/2.0 . La fin de la sortie affiche la liste des TLV LLDP de base, des TLV 802.3 et des TLV LLDP-MED pris en charge.
Vérification de l’authentification 802.1X pour les téléphones IP et les PC de bureau
But
Affichez la configuration 802.1X pour confirmer que l’interface VoIP a accès au réseau local.
Action
user@switch> show dot1x interface ge/0/0/2.0 detail ge-0/0/2.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 1 Supplicant: user101, 00:04:0f:fd:ac:fe Operational state: Authenticated Authentication method: Radius Authenticated VLAN: vo11 Dynamic Filter: match source-dot1q-tag 10 action deny Session Reauth interval: 60 seconds Reauthentication due in 50 seconds
Sens
Le champ Role indique que l’interface est dans l’état de l’authentificateur ge-0/0/2.0 . Le Supplicant champ indique que l’interface est configurée en mode de demande multiple, ce qui permet d’authentifier plusieurs demandeurs sur cette interface. Les adresses MAC des demandeurs actuellement connectés sont affichées en bas de la sortie.
Vérification de l’association VLAN avec l’interface
But
Affichez l’état de l’interface et l’appartenance au VLAN.
Action
user@switch> show ethernet-switching interfaces Ethernet-switching table: 0 entries, 0 learned user@switch> show ethernet-switching interfaces Interface State VLAN members Blocking ge-0/0/0.0 down default unblocked ge-0/0/1.0 down employee-vlan unblocked ge-0/0/5.0 down employee-vlan unblocked ge-0/0/3.0 down employee-vlan unblocked ge-0/0/8.0 down employee-vlan unblocked ge-0/0/10.0 down default unblocked ge-0/0/11.0 down employee-vlan unblocked ge-0/0/23.0 down default unblocked ge-0/0/2.0 up voice-vlan unblocked data-vlan unblocked
Sens
Le champ VLAN members indique que l’interface prend en charge à la ge-0/0/2.0 fois le VLAN et voice-vlan le data-vlan VLAN. Le State champ indique que l’interface est active.
Exemple : Configuration VoIP sur un commutateur EX Series sans inclure la prise en charge LLDP-MED
Vous pouvez configurer la voix sur IP (VoIP) sur un commutateur EX Series pour prendre en charge les téléphones IP. Le protocole LLDP-MED (Link Layer Discovery Discovery Protocol–Media Endpoint Discovery) est parfois utilisé avec les téléphones IP pour transférer les paramètres VoIP du commutateur au téléphone. Cependant, tous les téléphones IP ne prennent pas en charge LLDP-MED.
Cet exemple décrit comment configurer la VoIP sur un commutateur EX Series sans utiliser LLDP-MED :
- Conditions préalables
- Présentation
- Configuration de la VoIP sans LLDP-MED à l’aide d’un VLAN vocal sur un port d’accès
- Configuration de la VoIP sans LLDP-MED à l’aide d’un port trunk avec option VLAN native
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX Series avec prise en charge d’ELS agissant comme une entité d’accès au port d’authentification (PAE). Les interfaces sur l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic à destination et en provenance des demandeurs jusqu’à ce qu’ils soient authentifiés.
Un téléphone IP qui ne prend pas en charge LLDP-MED.
Junos OS version 13.2X50 ou ultérieure pour les commutateurs EX Series.
Avant de configurer la VoIP, assurez-vous d’avoir :
Effectuez le pontage de base et la configuration VLAN sur le commutateur - effectué. Voir l’exemple : Configuration d’un pontage de base et d’un VLAN pour un commutateur EX Series avec prise en charge ELS .
Configurez le téléphone IP en tant que membre du VLAN vocal - effectué.
(Facultatif) Interface configurée ge-0/0/2 pour PoE (Power over Ethernet). La configuration PoE n’est pas nécessaire si le demandeur VoIP utilise un adaptateur secteur. Reportez-vous à la section Configuration des interfaces PoE sur les commutateurs EX Series.
Présentation
Au lieu d’utiliser un téléphone ordinaire, vous connectez un téléphone IP directement au commutateur. Un téléphone IP dispose de tout le matériel et des logiciels nécessaires pour gérer la VoIP. Vous pouvez également alimenter un téléphone IP en le connectant à l’une des interfaces PoE (Power over Ethernet) du commutateur.
Les commutateurs EX Series peuvent accueillir un téléphone IP et un hôte final connecté à un seul port de commutateur. Dans un tel scénario, les trafics voix et données doivent être séparés en différents domaines de diffusion, ou VLAN. Pour ce faire, il est possible de configurer un VLAN vocal, qui permet aux ports d’accès d’accepter le trafic de données non étiqueté ainsi que le trafic vocal balisé provenant de téléphones IP, et d’associer chaque type de trafic à des VLAN distincts. Le trafic vocal (balisé) peut alors être traité différemment, généralement avec une priorité plus élevée que le trafic de données (non balisé).
Le VLAN vocal offre le plus grand avantage lorsqu’il est utilisé avec des téléphones IP prenant en charge LLDP-MED, mais il est suffisamment flexible pour que les téléphones IP qui ne prennent pas en charge LLDP-MED puissent également l’utiliser efficacement. Toutefois, en l’absence de LLDP-MED, l’ID de VLAN vocal doit être défini manuellement sur le téléphone IP, car LLDP-MED n’est pas disponible pour effectuer cette opération de manière dynamique. Pour plus d’informations sur la configuration d’un VLAN vocal pour les téléphones IP prenant en charge LLDP-MED, reportez-vous à la section Exemple : Configuration de la VoIP avec 802.1X et LLDP-MED sur un commutateur EX Series avec prise en charge ELS.
Une autre méthode pour séparer le trafic voix (balisé) et le trafic de données (non étiqueté) en différents VLAN consiste à utiliser un port trunk avec l’option d’ID VLAN natif. Le port trunk est ajouté en tant que membre du VLAN vocal et traite uniquement le trafic vocal balisé provenant de ce VLAN. Le port trunk doit également être configuré avec l’ID VLAN natif du VLAN de données afin qu’il puisse traiter le trafic de données non balisé à partir du VLAN de données. Cette configuration nécessite également que l’ID de VLAN vocal soit défini manuellement sur le téléphone IP.
Cet exemple illustre les deux méthodes. Dans cet exemple, l’interface ge-0/0/2 du commutateur est connectée à un téléphone IP non LLDP-MED.
La mise en œuvre d’un VLAN vocal sur un téléphone IP est spécifique au fournisseur. Consultez la documentation fournie avec votre téléphone IP pour obtenir des instructions sur la configuration d’un VLAN vocal. Par exemple, sur un téléphone Avaya, vous pouvez vous assurer que le téléphone reçoit le bon ID VLAN VoIP, même en l’absence de LLDP-MED, en activant l’option DHCP 176.
Topologie
Configuration de la VoIP sans LLDP-MED à l’aide d’un VLAN vocal sur un port d’accès
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la VoIP, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Procédure étape par étape
Configurez deux VLAN : un pour le trafic de données et un pour le trafic vocal :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
REMARQUE :L’ID VLAN vocal doit être défini manuellement sur le téléphone IP.
Associez le VLAN
data-vlan
à l’interface ge-0/0/2 :[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0
Configurez l’interface ge-0/0/2 en tant que port d’accès appartenant au VLAN de données :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
Configurez la VoIP sur l’interface ge-0/0/2 et ajoutez cette interface au VLAN vocal :
[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
Spécifiez la classe de transfert assurée pour fournir la classe de service la plus fiable :
[edit switch-options] user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Résultats
Affichez les résultats de la configuration :
[edit] user@switch> show configuration interfaces { ge-0/0/2 { unit 0 { family ethernet-switching { port-mode access; vlan { members data-vlan; } } } } } vlans { data-vlan { vlan-id 77; interface { ge-0/0/2.0; } } voice-vlan { vlan-id 99; } } ethernet-switching options { voip { interface ge-0/0/2.0 { vlan voice-vlan; forwarding-class assured-forwarding; } } }
Configuration de la VoIP sans LLDP-MED à l’aide d’un port trunk avec option VLAN native
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la VoIP, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Procédure étape par étape
Configurez deux VLAN : un pour le trafic de données et un pour le trafic vocal :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
REMARQUE :L’ID VLAN vocal doit être défini manuellement sur le téléphone IP.
Configurez l’interface ge-0/0/2 en tant que port trunk qui inclut uniquement le VLAN vocal :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
Configurez l’ID de VLAN natif pour le VLAN de données sur le port trunk :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Résultats
Affichez les résultats de la configuration :
[edit] user@switch> show configuration interfaces { ge-0/0/2 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members voice-vlan; } native-vlan-id data-vlan; } } } } vlans { data-vlan { vlan-id 77; } voice-vlan { vlan-id 99; } }
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez la tâche suivante :
Vérification de l’association VLAN avec l’interface
But
Affichez l’état de l’interface et l’appartenance au VLAN.
Action
user@switch> show ethernet-switching interfaces Ethernet-switching table: 0 entries, 0 learned user@switch> show ethernet-switching interfaces Interface State VLAN members Blocking ge-0/0/0.0 down default unblocked ge-0/0/1.0 down employee-vlan unblocked ge-0/0/5.0 down employee-vlan unblocked ge-0/0/3.0 down employee-vlan unblocked ge-0/0/8.0 down employee-vlan unblocked ge-0/0/10.0 down default unblocked ge-0/0/11.0 down employee-vlan unblocked ge-0/0/23.0 down default unblocked ge-0/0/2.0 up voice-vlan unblocked data-vlan unblocked
Sens
Le champ VLAN members
montre que l’interface ge-0/0/2.0 prend en charge à la fois le VLAN de données, data-vlan, et le VLAN vocal, voice-vlan. Le State
champ indique que l’interface est active.
Exemple : Configuration VoIP sur un commutateur EX Series sans inclure la prise en charge LLDP-MED
Vous pouvez configurer la voix sur IP (VoIP) sur un commutateur EX Series pour prendre en charge les téléphones IP. Le protocole LLDP-MED (Link Layer Discovery Discovery Protocol–Media Endpoint Discovery) est parfois utilisé avec les téléphones IP pour transférer les paramètres VoIP du commutateur au téléphone. Cependant, tous les téléphones IP ne prennent pas en charge LLDP-MED.
Cet exemple décrit comment configurer la VoIP sur un commutateur EX Series sans utiliser LLDP-MED :
- Conditions préalables
- Présentation
- Configuration de la VoIP sans LLDP-MED à l’aide d’un VLAN vocal sur un port d’accès
- Configuration de la VoIP sans LLDP-MED à l’aide d’un port trunk avec option VLAN native
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX4200 faisant office d’entité d’accès au port d’authentification (PAE). Les interfaces sur l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic à destination et en provenance des demandeurs jusqu’à ce qu’ils soient authentifiés.
Un téléphone IP qui ne prend pas en charge LLDP-MED.
Junos OS version 9.1 ou ultérieure pour les commutateurs EX Series.
Avant de configurer la VoIP, assurez-vous d’avoir :
Effectuez le pontage de base et la configuration VLAN sur le commutateur - effectué. Voir l’exemple : Configuration d’un pontage de base et d’un VLAN pour un commutateur EX Series.
Configurez le téléphone IP en tant que membre du VLAN vocal - effectué.
(Facultatif) Interface configurée ge-0/0/2 pour PoE (Power over Ethernet). La configuration PoE n’est pas nécessaire si le demandeur VoIP utilise un adaptateur secteur. Reportez-vous à la section Configuration des interfaces PoE sur les commutateurs EX Series.
Présentation
Au lieu d’utiliser un téléphone ordinaire, vous connectez un téléphone IP directement au commutateur. Un téléphone IP dispose de tout le matériel et des logiciels nécessaires pour gérer la VoIP. Vous pouvez également alimenter un téléphone IP en le connectant à l’une des interfaces PoE (Power over Ethernet) du commutateur.
Les commutateurs EX Series peuvent accueillir un téléphone IP et un hôte final connecté à un seul port de commutateur. Dans un tel scénario, les trafics voix et données doivent être séparés en différents domaines de diffusion, ou VLAN. Pour ce faire, il est possible de configurer un VLAN vocal, qui permet aux ports d’accès d’accepter le trafic de données non étiqueté ainsi que le trafic vocal balisé provenant de téléphones IP, et d’associer chaque type de trafic à des VLAN distincts. Le trafic vocal (balisé) peut alors être traité différemment, généralement avec une priorité plus élevée que le trafic de données (non balisé).
Le VLAN vocal offre le plus grand avantage lorsqu’il est utilisé avec des téléphones IP prenant en charge LLDP-MED, mais il est suffisamment flexible pour que les téléphones IP qui ne prennent pas en charge LLDP-MED puissent également l’utiliser efficacement. Toutefois, en l’absence de LLDP-MED, l’ID de VLAN vocal doit être défini manuellement sur le téléphone IP, car LLDP-MED n’est pas disponible pour effectuer cette opération de manière dynamique. Pour plus d’informations sur la configuration d’un VLAN vocal pour les téléphones IP prenant en charge LLDP-MED, reportez-vous à la section Exemple : Configuration de la VoIP avec 802.1X et LLDP-MED sur un commutateur EX Series.
Une autre méthode pour séparer le trafic voix (balisé) et le trafic de données (non étiqueté) en différents VLAN consiste à utiliser un port trunk avec l’option d’ID VLAN natif. Le port trunk est ajouté en tant que membre du VLAN vocal et traite uniquement le trafic vocal balisé provenant de ce VLAN. Le port trunk doit également être configuré avec l’ID VLAN natif du VLAN de données afin qu’il puisse traiter le trafic de données non balisé à partir du VLAN de données. Cette configuration nécessite également que l’ID de VLAN vocal soit défini manuellement sur le téléphone IP.
Cet exemple illustre les deux méthodes. Dans cet exemple, l’interface ge-0/0/2 du commutateur EX4200 est connectée à un téléphone IP non LLDP-MED.
La mise en œuvre d’un VLAN vocal sur un téléphone IP est spécifique au fournisseur. Consultez la documentation fournie avec votre téléphone IP pour obtenir des instructions sur la configuration d’un VLAN vocal. Par exemple, sur un téléphone Avaya, vous pouvez vous assurer que le téléphone reçoit le bon ID VLAN VoIP, même en l’absence de LLDP-MED, en activant l’option DHCP 176.
Topologie
Configuration de la VoIP sans LLDP-MED à l’aide d’un VLAN vocal sur un port d’accès
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la VoIP, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan
Procédure étape par étape
Configurez deux VLAN : un pour le trafic de données et un pour le trafic vocal :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
REMARQUE :L’ID VLAN vocal doit être défini manuellement sur le téléphone IP.
Configurez le VLAN data-vlan sur l’interface ge-0/0/2 :
[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0
Configurez l’interface ge-0/0/2 en tant que port d’accès appartenant au VLAN de données :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
Configurez la VoIP sur l’interface ge-0/0/2 et ajoutez cette interface au VLAN vocal :
[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
Résultats
Affichez les résultats de la configuration :
[edit] user@switch> show configuration interfaces { ge-0/0/2 { unit 0 { family ethernet-switching { port-mode access; vlan { members data-vlan; } } } } } vlans { data-vlan { vlan-id 77; interface { ge-0/0/2.0; } } voice-vlan { vlan-id 99; } } ethernet-switching options { voip { interface ge-0/0/2.0 { vlan voice-vlan; } } }
Configuration de la VoIP sans LLDP-MED à l’aide d’un port trunk avec option VLAN native
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la VoIP, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Procédure étape par étape
Configurez deux VLAN : un pour le trafic de données et un pour le trafic vocal :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
REMARQUE :L’ID VLAN vocal doit être défini manuellement sur le téléphone IP.
Configurez l’interface ge-0/0/2 en tant que port trunk qui inclut uniquement le VLAN vocal :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
Configurez l’ID de VLAN natif pour le VLAN de données sur le port trunk :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Résultats
Affichez les résultats de la configuration :
[edit] user@switch> show configuration interfaces { ge-0/0/2 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members voice-vlan; } native-vlan-id data-vlan; } } } } vlans { data-vlan { vlan-id 77; } voice-vlan { vlan-id 99; } }
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez la tâche suivante :
Vérification de l’association VLAN avec l’interface
But
Affichez l’état de l’interface et l’appartenance au VLAN.
Action
user@switch> show ethernet-switching interfaces Ethernet-switching table: 0 entries, 0 learned user@switch> show ethernet-switching interfaces Interface State VLAN members Blocking ge-0/0/0.0 down default unblocked ge-0/0/1.0 down employee-vlan unblocked ge-0/0/5.0 down employee-vlan unblocked ge-0/0/3.0 down employee-vlan unblocked ge-0/0/8.0 down employee-vlan unblocked ge-0/0/10.0 down default unblocked ge-0/0/11.0 down employee-vlan unblocked ge-0/0/23.0 down default unblocked ge-0/0/2.0 up voice-vlan unblocked data-vlan unblocked
Sens
Le champ VLAN members
montre que l’interface ge-0/0/2.0 prend en charge à la fois le VLAN de données, data-vlan, et le VLAN vocal, voice-vlan. Le State
champ indique que l’interface est active.
Exemple : Configuration VoIP sur un commutateur EX Series sans authentification 802.1X
Vous pouvez configurer la voix sur IP (VoIP) sur un commutateur EX Series pour prendre en charge les téléphones IP.
Pour configurer la VoIP sur un commutateur EX Series afin de prendre en charge un téléphone IP qui ne prend pas en charge l’authentification 802.1X, vous devez soit ajouter l’adresse MAC du téléphone à la liste de contournement MAC statique, soit activer l’authentification MAC RADIUS sur le commutateur.
Cet exemple décrit comment configurer la VoIP sur un commutateur EX Series sans authentification 802.1X à l’aide de la contournement MAC statique de l’authentification :
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 9.1 ou ultérieure pour les commutateurs EX Series
Un téléphone IP
Avant de configurer la VoIP, assurez-vous d’avoir :
Installez votre commutateur EX Series - effectué. Consultez les informations d’installation de votre commutateur.
Effectuez la configuration initiale du commutateur - effectué. Reportez-vous à la section Connexion et configuration d’un commutateur EX Series (procédure CLI).
Effectuez le pontage de base et la configuration VLAN sur le commutateur - effectué. Voir l’exemple : Configuration d’un pontage de base et d’un VLAN pour un commutateur EX Series.
Configurez le serveur RADIUS pour l’authentification 802.1X et configurez le profil d’accès - effectué. Voir l’exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
(Facultatif) Interface
ge-0/0/2
configurée pour PoE (Power over Ethernet). La configuration PoE n’est pas nécessaire si le demandeur VoIP utilise un adaptateur secteur. Pour plus d’informations sur la configuration PoE, reportez-vous à la section Configuration des interfaces PoE sur les commutateurs EX Series.
Si l’adresse IP n’est pas configurée sur le téléphone IP Avaya, le téléphone échange des informations LLDP-MED pour obtenir l’ID VLAN du VLAN vocal. Vous devez configurer l’instruction sur l’interface pour désigner l’interface comme une interface VoIP et permettre au commutateur de transférer le nom VLAN et l’ID voip
VLAN du VLAN vocal au téléphone IP. Le téléphone IP utilise ensuite le VLAN vocal (c’est-à-dire qu’il fait référence à l’ID du VLAN vocal) pour envoyer une requête de découverte DHCP et échanger des informations avec le serveur DHCP (passerelle vocale).
Présentation
Au lieu d’utiliser un téléphone ordinaire, vous connectez un téléphone IP directement au commutateur. Un téléphone IP dispose de tout le matériel et des logiciels nécessaires pour gérer la VoIP. Vous pouvez également alimenter un téléphone IP en le connectant à l’une des interfaces PoE (Power over Ethernet) du commutateur.
Dans cet exemple, l’interface ge-0/0/2
d’accès du commutateur EX4200 est connectée à un téléphone IP non 802.1X.
Pour configurer la VoIP sur un commutateur EX Series afin de prendre en charge un téléphone IP qui ne prend pas en charge l’authentification 802.1X, ajoutez l’adresse MAC du téléphone en tant qu’entrée statique dans la base de données de l’authentificateur et définissez le mode demandeur sur multiple.
Configuration
Pour configurer la VoIP sans authentification 802.1X :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la VoIP, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procédure étape par étape
Pour configurer la VoIP sans 802.1X :
Configurez les VLAN pour la voix et les données :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Associez le VLAN à l’interface
data-vlan
:[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0
Configurez l’interface en tant qu’interface d’accès, configurez la prise en charge de la commutation Ethernet et ajoutez le
data-vlan
VLAN :[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
Configurez la VoIP sur l’interface et spécifiez la classe de transfert pour fournir la
assured-forwarding
classe de service la plus fiable :[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configurez la prise en charge du protocole LLDP-MED :
[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
Définissez le profil d’authentification (voir Configuration des paramètres de l’interface 802.1X (procédure CLI) et Configuration de la comptabilité RADIUS 802.1X (procédure CLI)) :Configuration des paramètres de l’interface 802.1X (procédure CLI)
[edit protocols] set dot1x authenticator authentication-profile-name auth-profile
Ajoutez l’adresse MAC du téléphone à la liste de contournement MAC statique :
[edit protocols] set dot1x authenticator static 00:04:f2:11:aa:a7
Réglez le mode demandeur sur plusieurs :
[edit protocols] set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Résultats
Affichez les résultats de la configuration :
[edit] user@switch# show configuration interfaces { ge-0/0/2 { unit 0 { family ethernet-switching { port-mode access; vlan { members data-vlan; } } } } } protocols { lldp-med { interface ge-0/0/2.0; } dot1x { authenticator { authentication-profile-name auth-profile; static { 00:04:f2:11:aa:a7; } } interface { ge-0/0/2.0 { supplicant multiple; } } } } vlans { data-vlan { vlan-id 77; interface { ge-0/0/2.0; } } voice-vlan { vlan-id 99; } } ethernet-switching options { voip { interface ge-0/0/2.0 { vlan voice-vlan; forwarding-class assured-forwarding; } } }
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification de la configuration LLDP-MED
- Vérification de l’authentification pour l’ordinateur de bureau
- Vérification de l’association VLAN avec l’interface
Vérification de la configuration LLDP-MED
But
Vérifiez que LLDP-MED est activé sur l’interface.
Action
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
Sens
La show lldp detail
sortie indique que LLDP et LLDP-MED sont configurés sur l’interface ge-0/0/2.0
. La fin de la sortie affiche la liste des TLV LLDP de base, des TLV 802.3 et des TLV LLDP-MED pris en charge.
Vérification de l’authentification pour l’ordinateur de bureau
But
Affichez la configuration 802.1X du PC de bureau connecté à l’interface VoIP via le téléphone IP.
Action
user@switch> show dot1x interface ge/0/0/2.0 detail ge-0/0/2.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 1 Supplicant: user101, 00:04:0f:fd:ac:fe Operational state: Authenticated Authentication method: Radius Authenticated VLAN: vo11 Dynamic Filter: match source-dot1q-tag 10 action deny Session Reauth interval: 60 seconds Reauthentication due in 50 seconds
Sens
Le champ Role
indique que l’interface est dans l’état de l’authentificateur ge-0/0/2.0
. Le Supplicant
champ indique que l’interface est configurée en mode de demande multiple, ce qui permet d’authentifier plusieurs demandeurs sur cette interface. Les adresses MAC des demandeurs actuellement connectés sont affichées en bas de la sortie.
Vérification de l’association VLAN avec l’interface
But
Affichez l’état de l’interface et l’appartenance au VLAN.
Action
user@switch> show ethernet-switching interfaces Ethernet-switching table: 0 entries, 0 learned user@switch> show ethernet-switching interfaces Interface State VLAN members Blocking ge-0/0/0.0 down default unblocked ge-0/0/1.0 down employee-vlan unblocked ge-0/0/5.0 down employee-vlan unblocked ge-0/0/3.0 down employee-vlan unblocked ge-0/0/8.0 down employee-vlan unblocked ge-0/0/10.0 down default unblocked ge-0/0/11.0 down employee-vlan unblocked ge-0/0/23.0 down default unblocked ge-0/0/2.0 up voice-vlan unblocked data-vlan unblocked
Sens
Le champ VLAN members
indique que l’interface prend en charge à la ge-0/0/2.0
fois le VLAN et voice-vlan
le data-vlan
VLAN. Le State
champ indique que l’interface est active.
Exemple : Configuration de la VoIP avec 802.1X et LLDP-MED sur un commutateur EX Series avec prise en charge ELS
Cet exemple utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à la section Exemple : Configuration de la VoIP avec 802.1X et LLDP-MED sur un commutateur EX Series. Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Vous pouvez configurer la VoIP sur un commutateur EX Series pour prendre en charge les téléphones IP. Le protocole LLDP-MED (Link Layer Discovery Protocol – Media Endpoint Discovery) transfère les paramètres VoIP du commutateur au téléphone. Vous pouvez également configurer l’authentification 802.1X pour autoriser l’accès du téléphone au réseau local. L’authentification se fait par l’intermédiaire d’un serveur RADIUS backend.
Cet exemple décrit comment configurer la VoIP sur un commutateur EX Series pour prendre en charge un téléphone IP Avaya, ainsi que comment configurer le protocole LLDP-MED et l’authentification 802.1X :
Conditions préalables
Cet exemple utilise les composants logiciels et matériels suivants :
Cet exemple s’applique également aux commutateurs QFX5100.
Junos OS version 13.2X50 ou ultérieure pour les commutateurs EX Series
Un commutateur EX Series avec prise en charge d’ELS agissant comme une entité d’accès au port d’authentification (PAE). Les interfaces sur l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic à destination et en provenance des demandeurs jusqu’à ce qu’ils soient authentifiés.
Un téléphone IP Avaya prenant en charge les normes LLDP-MED et 802.1X
Avant de configurer la VoIP, assurez-vous d’avoir :
Installez votre commutateur EX Series - effectué. Consultez les informations d’installation de votre commutateur.
Effectuez la configuration initiale du commutateur - effectué. Reportez-vous à la section Connexion et configuration d’un commutateur EX Series (procédure CLI).
Effectuez le pontage de base et la configuration VLAN sur le commutateur - effectué. Voir l’exemple : Configuration du pontage de base et d’un VLAN pour un commutateur EX Series avec prise en charge ELS ou exemple : Mise en place d’un pontage de base et d’un VLAN sur les commutateurs.
Configurez le serveur RADIUS pour l’authentification 802.1X et configurez le profil d’accès - effectué. Voir l’exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
(Facultatif) Configuration de l’interface ge-0/0/2 pour PoE (Power over Ethernet) - effectué. La configuration PoE n’est pas nécessaire si le demandeur VoIP utilise un adaptateur secteur. Pour plus d’informations sur la configuration PoE, reportez-vous à la section Configuration des interfaces PoE sur les commutateurs EX Series.
Si l’adresse IP n’est pas configurée sur le téléphone IP Avaya, celui-ci échange des informations LLDP-MED pour obtenir l’ID VLAN du VLAN vocal. Vous devez configurer l’instruction sur l’interface pour désigner l’interface comme une interface VoIP et permettre au commutateur de transférer le nom VLAN et l’ID voip
VLAN du VLAN vocal au téléphone IP. Le téléphone IP utilise ensuite le VLAN vocal (c’est-à-dire qu’il fait référence à l’ID du VLAN vocal) pour envoyer une requête de découverte DHCP et échanger des informations avec le serveur DHCP (passerelle vocale).
Vue d’ensemble et topologie
Au lieu d’utiliser un téléphone ordinaire, vous connectez un téléphone IP directement au commutateur. Un téléphone IP dispose de tout le matériel et des logiciels nécessaires pour gérer la VoIP. Vous pouvez également alimenter un téléphone IP en le connectant à l’une des interfaces PoE (Power over Ethernet) du commutateur.
Les commutateurs EX Series peuvent accueillir un téléphone IP et un hôte final connecté à un seul port de commutateur. Dans un tel scénario, les trafics voix et données doivent être séparés en différents domaines de diffusion, ou VLAN. Pour ce faire, il est possible de configurer un VLAN vocal, qui permet aux ports d’accès d’accepter le trafic de données non étiqueté ainsi que le trafic vocal balisé provenant de téléphones IP, et d’associer chaque type de trafic à des VLAN distincts. Le trafic vocal (balisé) peut alors être traité différemment, généralement avec une priorité plus élevée que le trafic de données (non balisé).
Si une adresse MAC a été apprise à la fois sur les VLAN de données et vocaux, elle reste active jusqu’à ce qu’elle expire des deux VLAN ou que les deux VLAN soient supprimés.
Dans cet exemple, l’interface d’accès ge-0/0/2 du commutateur EX Series est connectée à un téléphone IP Avaya. Les téléphones Avaya disposent d’un pont intégré qui vous permet de connecter un PC de bureau au téléphone, de sorte que le bureau et le téléphone d’un seul bureau ne nécessitent qu’une seule interface sur le commutateur. Le commutateur EX Series est connecté à un serveur RADIUS sur l’interface ge-0/0/10 (reportez-vous à la section Figure 4).
Ce chiffre s’applique également aux commutateurs QFX5100.
Dans cet exemple, vous configurez les paramètres VoIP et spécifiez la classe assured-forward
de transfert du trafic vocal afin de fournir la meilleure qualité de service.
Tableau 2 décrit les composants utilisés dans cet exemple de configuration VoIP.
Propriété | Paramètres |
---|---|
Matériel de commutation |
Commutateur EX Series avec prise en charge d’ELS. |
Noms et ID VLAN |
data-vlan, 77 VLAN vocal, 99 |
Connexion au téléphone Avaya - avec hub intégré, pour connecter le téléphone et le PC de bureau à une seule interface (nécessite PoE) |
GE-0/0/2 |
Un serveur RADIUS |
Fournit une base de données principale connectée au commutateur via l’interface ge-0/0/10. |
En plus de configurer une VoIP pour l’interface ge-0/0/2, vous configurez :
Authentification 802.1X. L’authentification est définie sur
multiple
le mode demandeur pour prendre en charge l’accès de plus d’un demandeur au réseau local via l’interface ge-0/0/2.Informations sur le protocole LLDP-MED. Le commutateur utilise LLDP-MED pour transmettre les paramètres VoIP au téléphone. L’utilisation de LLDP-MED garantit que le trafic vocal est étiqueté et hiérarchisé avec les valeurs correctes à la source elle-même. Par exemple, les informations relatives à la classe de service 802.1p et à la balise 802.1Q peuvent être envoyées au téléphone IP.
REMARQUE :Une configuration PoE n’est pas nécessaire si un téléphone IP utilise un adaptateur secteur.
Topologie
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement VoIP, LLDP-MED et 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procédure étape par étape
Pour configurer la VoIP avec LLDP-MED et 802.1X :
Configurez les VLAN pour la voix et les données :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Associez le VLAN à l’interface data-vlan :
[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0
Configurez l’interface en tant qu’interface d’accès, configurez la prise en charge de la data-vlan commutation Ethernet et ajoutez l’interface en tant que membre du VLAN :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
REMARQUE :Vous ne devez pas configurer à la fois les données et la voix sur le même VLAN. Si vous configurez les données et la voix sur le même VLAN, la configuration ne sera pas acceptée.
Si vous avez activé l’authentification 802.1X sur votre commutateur et que :
-
Le VLAN vocal que vous avez configuré est le même que le VLAN de données envoyé par le serveur d’authentification.
-
Le VLAN de données que vous avez configuré est le même que le VLAN vocal envoyé par le serveur d’authentification, ou
-
Le VLAN de données et le VLAN vocal envoyés par le serveur d’authentification sont identiques
Le client passe à l’état HOLD.
-
Configurez la VoIP sur l’interface et spécifiez la classe de transfert pour fournir la
assured-forwarding
classe de service la plus fiable :[edit switch—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configurez la prise en charge du protocole LLDP-MED :
[edit protocols] user@switch# set lldp-med interface ge-0/0/2
Pour authentifier un téléphone IP et un PC connectés au téléphone IP sur l’interface, configurez la prise en charge de l’authentification 802.1X et spécifiez
multiple
le mode demandeur :REMARQUE :Si vous ne souhaitez authentifier aucun périphérique, ignorez la configuration 802.1X sur cette interface.
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Résultats
Affichez les résultats de la configuration :
[edit] user@switch# show configuration interfaces { ge-0/0/2 { unit 0 { family ethernet-switching { interface-mode access; vlan { members data-vlan; } } } } } protocols { lldp-med { interface ge-0/0/2; } dot1x { authenticator { interface { ge-0/0/2.0 { supplicant multiple; } } } } } vlans { data-vlan { vlan-id 77; switch-options { interface ge-0/0/2.0; } } voice-vlan { vlan-id 99; } } switch-options { voip { interface ge-0/0/2.0 { vlan voice-vlan; forwarding-class assured-forwarding; } } }
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification de la configuration LLDP-MED
- Vérification de l’authentification 802.1X pour les téléphones IP et les PC de bureau
- Vérification de l’association VLAN avec l’interface
Vérification de la configuration LLDP-MED
But
Vérifiez que LLDP-MED est activé sur l’interface.
Action
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
Sens
La show lldp detail
sortie montre que les deux LLDP
et LLDP-MED
sont configurés sur l’interface ge-0/0/2
. La fin de la sortie affiche la liste des TLV de gestion LLDP de base prises en charge et des TLV spécifiques à l’organisation qui sont pris en charge.
Vérification de l’authentification 802.1X pour les téléphones IP et les PC de bureau
But
Affichez la configuration 802.1X pour confirmer que l’interface VoIP a accès au réseau local.
Action
user@switch> show dot1x interface ge/0/0/2.0 detail ge-0/0/2.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 1 Supplicant: user101, 00:04:0f:fd:ac:fe Operational state: Authenticated Authentication method: Radius Authenticated VLAN: vo11 Dynamic Filter: match source-dot1q-tag 10 action deny Session Reauth interval: 60 seconds Reauthentication due in 50 seconds
Sens
Le champ Role indique que l’interface est dans l’état de l’authentificateur ge-0/0/2.0
. Le Supplicant mode champ indique que l’interface est configurée en multiple
mode demandeur, ce qui permet d’authentifier plusieurs demandeurs sur cette interface. Les adresses MAC des demandeurs actuellement connectés sont affichées en bas de la sortie.
Vérification de l’association VLAN avec l’interface
But
Affichez l’appartenance au VLAN de l’interface.
Action
user@switch> show ethernet-switching interface ge-0/0/2.0 Routing Instance Name : default-switch Logical Interface flags (DL - disable learning, AD - packet action drop, LH - MAC limit hit, DN - interface down ) Logical Vlan TAG MAC STP Logical Tagging interface members limit state interface flags ge-0/0/2.0 65535 untagged voice-vlan 99 65535 Discarding data-vlan 77 65535 Discarding
Sens
Le champ VLAN members indique que l’interface prend en charge à la ge-0/0/2.0
fois le VLAN et voice-vlan le data-vlan VLAN.
Exemple : Configuration de la VoIP sur un commutateur EX Series avec prise en charge ELS sans authentification 802.1X
Cet exemple utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à la section Exemple : Configuration de la VoIP sur un commutateur EX Series sans authentification 802.1X. Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Vous pouvez configurer la voix sur IP (VoIP) sur un commutateur EX Series pour prendre en charge les téléphones IP.
Pour configurer la VoIP sur un commutateur EX Series afin de prendre en charge un téléphone IP qui ne prend pas en charge l’authentification 802.1X, vous devez soit ajouter l’adresse MAC du téléphone à la liste de contournement MAC statique, soit activer l’authentification MAC RADIUS sur le commutateur.
Cet exemple décrit comment configurer la VoIP sur un commutateur EX Series sans authentification 802.1X à l’aide de la contournement MAC statique de l’authentification :
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Ce chiffre s’applique également aux commutateurs QFX5100.
Un commutateur EX Series avec prise en charge d’ELS
Junos OS version 13.2 ou ultérieure pour les commutateurs EX Series
Un téléphone IP Avaya
Avant de configurer la VoIP, assurez-vous d’avoir :
Installez votre commutateur EX Series - effectué. Consultez les informations d’installation de votre commutateur.
Effectuez la configuration initiale du commutateur - effectué. Reportez-vous à la section Connexion et configuration d’un commutateur EX Series (procédure CLI).
Effectuez le pontage de base et la configuration VLAN sur le commutateur - effectué. Voir l’exemple : Configuration du pontage de base et d’un VLAN pour un commutateur EX Series avec prise en charge ELS ou exemple : Mise en place d’un pontage de base et d’un VLAN sur les commutateurs.
Configurez le serveur RADIUS pour l’authentification 802.1X et configurez le profil d’accès - effectué. Voir l’exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
(Facultatif) Configuration de l’interface ge-0/0/2 pour PoE (Power over Ethernet) - effectué. La configuration PoE n’est pas nécessaire si le demandeur VoIP utilise un adaptateur secteur. Pour plus d’informations sur la configuration PoE, reportez-vous à la section Configuration des interfaces PoE sur les commutateurs EX Series.
Si l’adresse IP n’est pas configurée sur le téléphone IP Avaya, celui-ci échange des informations LLDP-MED pour obtenir l’ID VLAN du VLAN vocal. Vous devez configurer l’instruction sur l’interface pour désigner l’interface comme une interface VoIP et permettre au commutateur de transférer le nom VLAN et l’ID voip
VLAN du VLAN vocal au téléphone IP. Le téléphone IP utilise ensuite le VLAN vocal (c’est-à-dire qu’il fait référence à l’ID du VLAN vocal) pour envoyer une requête de découverte DHCP et échanger des informations avec le serveur DHCP (passerelle vocale).
Présentation
Au lieu d’utiliser un téléphone ordinaire, vous connectez un téléphone IP directement au commutateur. Un téléphone IP dispose de tout le matériel et des logiciels nécessaires pour gérer la VoIP. Vous pouvez également alimenter un téléphone IP en le connectant à l’une des interfaces PoE (Power over Ethernet) du commutateur.
Dans cet exemple, l’interface d’accès ge-0/0/2 du commutateur EX Series est connectée à un téléphone IP non 802.1X.
Pour configurer la VoIP sur un commutateur EX Series afin de prendre en charge un téléphone IP qui ne prend pas en charge l’authentification 802.1X, ajoutez l’adresse MAC du téléphone en tant qu’entrée statique dans la base de données de l’authentificateur et définissez le mode demandeur sur multiple.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la VoIP sans utiliser l’authentification 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procédure étape par étape
Pour configurer la VoIP sans authentification 802.1X :
Configurez les VLAN pour la voix et les données :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Configurez l’interface en tant qu’interface d’accès, configurez la prise en charge de la
data-vlan
commutation Ethernet et ajoutez l’interface en tant que membre du VLAN :[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
REMARQUE :Vous ne devez pas configurer à la fois les données et la voix sur le même VLAN. Si vous configurez les données et la voix sur le même VLAN, la configuration ne sera pas acceptée.
Configurez la VoIP sur l’interface et spécifiez la classe de transfert pour fournir la
assured-forwarding
classe de service la plus fiable :[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configurez la prise en charge du protocole LLDP-MED :
[edit protocols] user@switch# set lldp-med interface ge-0/0/2
Définissez le profil d’authentification avec le nom
auth-profile
(voir Configuration des paramètres de l’interface 802.1X (procédure CLI) et Configuration de la comptabilité RADIUS 802.1X (procédure CLI)) :Configuration des paramètres de l’interface 802.1X (procédure CLI)[edit protocols] user@switch# set dot1x authenticator authentication-profile-name auth-profile
Ajoutez l’adresse MAC du téléphone à la liste de contournement MAC statique :
[edit protocols] user@switch# set dot1x authenticator static 00:04:f2:11:aa:a7
Réglez le mode demandeur sur plusieurs :
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Résultats
Affichez les résultats de la configuration :
[edit] user@switch# show configuration interfaces { ge-0/0/2 { unit 0 { family ethernet-switching { interface-mode access; vlan { members data-vlan; } } } } } protocols { lldp-med { interface ge-0/0/2; } dot1x { authenticator { authentication-profile-name auth-profile; static { 00:04:f2:11:aa:a7; } } interface { ge-0/0/2.0 { supplicant multiple; } } } } vlans { data-vlan { vlan-id 77; switch-options { interface ge-0/0/2.0; } } voice-vlan { vlan-id 99; } } switch-options { voip { interface ge-0/0/2.0 { vlan voice-vlan; forwarding-class assured-forwarding; } } }
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification de la configuration LLDP-MED
- Vérification de l’authentification pour l’ordinateur de bureau
- Vérification de l’association VLAN avec l’interface
Vérification de la configuration LLDP-MED
But
Vérifiez que LLDP-MED est activé sur l’interface.
Action
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
Sens
La show lldp detail
sortie de la commande indique que LLDP et LLDP-MED sont configurés sur l’interface ge-0/0/2
. La fin de la sortie affiche la liste des TLV de gestion LLDP de base prises en charge et des TLV spécifiques à l’organisation qui sont pris en charge.
Vérification de l’authentification pour l’ordinateur de bureau
But
Affichez la configuration 802.1X du PC de bureau connecté à l’interface VoIP via le téléphone IP.
Action
user@switch> show dot1x interface ge/0/0/2.0 detail ge-0/0/2.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 1 Supplicant: user101, 00:04:0f:fd:ac:fe Operational state: Authenticated Authentication method: Radius Authenticated VLAN: vo11 Dynamic Filter: match source-dot1q-tag 10 action deny Session Reauth interval: 60 seconds Reauthentication due in 50 seconds
Sens
Le champ Role
indique que l’interface a le rôle d’authentificateur ge-0/0/2.0
. Le Supplicant Mode
champ indique que l’interface est configurée en multiple
mode demandeur, ce qui permet d’authentifier plusieurs demandeurs sur cette interface. Les adresses MAC des demandeurs actuellement connectés sont affichées en bas de la sortie.
Vérification de l’association VLAN avec l’interface
But
Affichez l’appartenance au VLAN de l’interface.
Action
user@switch> show ethernet-switching interface ge-0/0/2.0 Routing Instance Name : default-switch Logical Interface flags (DL - disable learning, AD - packet action drop, LH - MAC limit hit, DN - interface down ) Logical Vlan TAG MAC STP Logical Tagging interface members limit state interface flags ge-0/0/2.0 65535 untagged voice-vlan 99 65535 Discarding data-vlan 77 65535 Discarding
Sens
Le Vlan members
champ indique que l’interface prend en charge à la ge-0/0/2.0
fois le VLAN et voice-vlan
le data-vlan
VLAN.