VoIP sur les commutateurs EX Series
Vous pouvez configurer la voix sur IP (VoIP) sur un commutateur EX Series pour prendre en charge les téléphones IP. Lorsque vous utilisez la VoIP, vous pouvez connecter des téléphones IP au commutateur et configurer l’authentification IEEE 802.1X pour les téléphones IP compatibles 802.1X. Pour plus d’informations, lisez ce sujet.
Comprendre 802.1X et VoIP sur les commutateurs EX Series
Lorsque vous utilisez la VoIP, vous pouvez connecter des téléphones IP au commutateur et configurer l’authentification IEEE 802.1X pour les téléphones IP compatibles 802.1X. L’authentification 802.1X assure la sécurité de la périphérie du réseau, protégeant les LAN Ethernet contre les accès non autorisés des utilisateurs.
La VoIP est un protocole utilisé pour la transmission de la voix via des réseaux à commutation de paquets. La VoIP transmet les appels vocaux à l’aide d’une connexion réseau au lieu d’une ligne téléphonique analogique.
Lorsque la VoIP est utilisée avec 802.1X, le serveur RADIUS authentifie le téléphone, et LLDP-MED (Link Layer Discovery Protocol–Media Endpoint Discovery) fournit les paramètres de classe de service (CoS) au téléphone.
Vous pouvez configurer l’authentification 802.1X pour qu’elle fonctionne avec la VoIP en mode demandeur multiple ou unique. En mode multi-demandeur , le processus 802.1X permet à plusieurs demandeurs de se connecter à l’interface. Chaque demandeur est authentifié individuellement. Pour obtenir un exemple de topologie VoIP multi-demandeur, reportez-vous à la section Figure 1.
Si un téléphone IP compatible 802.1X n’a pas d’hôte 802.1X mais qu’un autre équipement compatible 802.1X est connecté à son port de données, vous pouvez le connecter à une interface en mode demandeur unique. En mode simple demandeur , le processus 802.1X authentifie uniquement le premier demandeur. Tous les autres demandeurs qui se connectent ultérieurement à l’interface bénéficient d’un accès complet sans aucune autre authentification. Ils « piggyback » sur l’authentification du premier demandeur. Pour obtenir un exemple de topologie VoIP unique, reportez-vous à la section Figure 2 .
Si un téléphone IP ne prend pas en charge 802.1X, vous pouvez configurer la VoIP pour contourner 802.1X et LLDP-MED et transférer les paquets vers un VLAN VoIP.
Authentification multidomaine 802.1X
L’authentification multidomaine 802.1X est une extension du mode multi-demandeur qui permet à un équipement VoIP par défaut et à plusieurs équipements de données de s’authentifier sur un seul port. L’authentification multidomaine 802.1X améliore la sécurité sur plusieurs modes demandeurs en limitant le nombre de données authentifiées et de sessions VoIP sur le port. Dans plusieurs modes demandeurs, il est possible d’authentifier n’importe quel nombre de sessions VoIP ou de données ; le nombre de sessions peut être limité à l’aide de la limitation MAC, mais il n’y a aucun moyen d’appliquer la limite spécifiquement aux sessions de données ou VoIP.
Avec l’authentification multidomaine 802.1X, le port unique est divisé en deux domaines ; l’un est le domaine de données et l’autre est le domaine de la voix. L’authentification multi-domaine 802.1X maintient des nombres de sessions distincts en fonction du domaine. Vous pouvez configurer le nombre maximal de sessions de données authentifiées autorisées sur le port. Le nombre de sessions VoIP n’est pas configurable; une seule session VoIP authentifiée est autorisée sur le port.
Si un nouveau client tente de s’authentifier sur l’interface après avoir atteint le nombre maximal de sessions, l’action par défaut consiste à abandonner le paquet et à générer un message de journal d’erreur. Vous pouvez également configurer l’action pour arrêter l’interface. Le port peut être récupéré manuellement à partir de l’état d’arrêt en émettant la clear dot1x recovery-timeout commande, ou automatiquement après un délai de récupération configuré.
L’authentification multidomaine n’applique pas l’ordre de l’authentification des équipements. Toutefois, pour obtenir de meilleurs résultats, l’équipement VoIP doit être authentifié avant un équipement de données sur un port multidomaine compatible 802.1X. L’authentification multi-domaine n’est prise en charge que dans plusieurs modes demandeurs.
Voir également
Exemple : Configuration de la VoIP avec 802.1X et LLDP-MED sur un commutateur EX Series
Vous pouvez configurer la voix sur IP (VoIP) sur un commutateur EX Series pour prendre en charge les téléphones IP. Le protocole LLDP-MED (Link Layer Discovery Protocol-Media Endpoint Discovery) transfère les paramètres VoIP du commutateur au téléphone. Vous configurez également l’authentification 802.1X pour permettre au téléphone d’accéder au LAN. L’authentification est effectuée via un serveur RADIUS back-end.
Cet exemple explique comment configurer la VoIP sur un commutateur EX Series pour prendre en charge un téléphone IP Avaya, ainsi que le protocole LLDP-MED et l’authentification 802.1X :
Si votre commutateur exécute Junos OS pour commutateurs EX Series avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software), consultez l’exemple : Configuration de la VoIP avec 802.1X et LLDP-MED sur un commutateur EX Series avec prise en charge ELS. Pour plus de détails sur els, voir Utilisation de l’interface cli logicielle de couche 2 améliorée.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 9.1 ou ultérieure pour les commutateurs EX Series
Un commutateur EX Series agissant comme une entité d’accès aux ports d’authentificateur (PAE). Les interfaces de l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic vers et depuis les demandeurs jusqu’à ce qu’ils soient authentifiés.
Un téléphone IP Avaya 9620 prenant en charge LLDP-MED et 802.1X
Avant de configurer la VoIP, assurez-vous d’avoir :
Installez votre commutateur EX Series. Voir Installation et connexion d’un commutateur EX3200.
A effectué la configuration initiale du commutateur. Voir Connexion et configuration d’un commutateur EX Series (procédure J-Web).
Effectué un pontage de base et une configuration VLAN sur le commutateur. Voir l’exemple : Configuration du pontage de base et d’un VLAN pour un commutateur EX Series.
Configurez le serveur RADIUS pour l’authentification 802.1X et configurez le profil d’accès. Voir l’exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
(Facultatif) Interface ge-0/0/2 configurée pour Power over Ethernet (PoE). La configuration PoE n’est pas nécessaire si le demandeur VoIP utilise un adaptateur d’alimentation. Pour plus d’informations sur la configuration de PoE, voir Configuration des interfaces PoE sur les commutateurs EX Series.
Si l’adresse IP n’est pas configurée sur le téléphone IP Avaya, le téléphone échange des informations LLDP-MED pour obtenir l’ID VLAN pour le VLAN vocal. Vous devez configurer l’instruction voip sur l’interface pour désigner l’interface comme une interface VoIP et permettre au commutateur de transférer le nom du VLAN et l’ID VLAN pour le VLAN vocal vers le téléphone IP. Le téléphone IP utilise ensuite le VLAN vocal (c’est-à-dire qu’il fait référence à l’ID du VLAN vocal) pour envoyer une demande de découverte DHCP et échanger des informations avec le serveur DHCP (passerelle vocale).
Présentation et topologie
Au lieu d’utiliser un téléphone ordinaire, vous connectez un téléphone IP directement au commutateur. Un téléphone IP possède tout le matériel et les logiciels nécessaires pour gérer la VoIP. Vous pouvez également alimenter un téléphone IP en le connectant à l’une des interfaces PoE (Power over Ethernet) du commutateur.
Dans cet exemple, l’interface ge-0/0/2 d’accès du commutateur EX4200 est connectée à un téléphone IP Avaya 9620. Les téléphones Avaya ont un pont intégré qui vous permet de connecter un PC de bureau au téléphone, de sorte que le bureau et le téléphone dans un seul bureau ne nécessitent qu’une seule interface sur le commutateur. Le commutateur EX Series est connecté à un serveur RADIUS sur l’interface ge-0/0/10 (voir Figure 3).
Dans cet exemple, vous configurez les paramètres VoIP et spécifiez la classe assured-forward de transfert pour le trafic vocal afin d’offrir la meilleure qualité de service.
Tableau 1 décrit les composants utilisés dans cet exemple de configuration VoIP.
| Propriété | Paramètres |
|---|---|
Matériel de commutation |
Commutateur EX4200 |
Noms VLAN |
data-vlan voice-vlan |
Connexion au téléphone Avaya avec hub intégré pour connecter le téléphone et l’ordinateur de bureau à une interface unique (poE requis) |
ge-0/0/2 |
Un seul serveur RADIUS |
Fournit une base de données back-end connectée au commutateur via l’interface ge-0/0/10. |
Outre la configuration d’une VoIP pour l’interface ge-0/0/2, vous configurez :
Authentification 802.1X. L’authentification est définie sur multiple le demandeur pour prendre en charge l’accès de plusieurs demandeurs au LAN via l’interface ge-0/0/2.
Informations sur le protocole LLDP-MED. Le commutateur utilise LLDP-MED pour transférer les paramètres VoIP au téléphone. L’utilisation de LLDP-MED garantit que le trafic vocal est balisé et hiérarchisé avec les valeurs correctes à la source elle-même. Par exemple, les informations relatives à la classe de service 802.1p et à la balise 802.1Q peuvent être envoyées au téléphone IP.
REMARQUE :Une configuration PoE n’est pas nécessaire si un téléphone IP utilise un adaptateur d’alimentation.
Configuration
Pour configurer l’authentification VoIP, LLDP-MED et 802.1X :
Procédure
Configuration rapide cli
Pour configurer rapidement la VoIP, LLDP-MED et 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procédure étape par étape
Pour configurer la VoIP avec LLDP-MED et 802.1X :
Configurez les VLAN pour la voix et les données :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Associez le VLAN data-vlan à l’interface :
[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0Configurez l’interface en tant qu’interface d’accès, configurez la prise en charge de la commutation Ethernet et ajoutez le data-vlan VLAN :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
Configurez la VoIP sur l’interface et spécifiez la assured-forwarding classe de transfert pour fournir la classe de service la plus fiable :
[edit ethernet—switching—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configurer la prise en charge du protocole LLDP-MED :
[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
Pour authentifier un téléphone IP et un PC connecté au téléphone IP sur l’interface, configurez la prise en charge de l’authentification 802.1X et spécifiez multiple le mode demandeur :
REMARQUE :Si vous ne souhaitez pas authentifier un équipement, ignorez la configuration 802.1X sur cette interface.
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Résultats
Affichez les résultats de la configuration :
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2.0;
}
dot1x {
authenticator {
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérification de la configuration LLDP-MED
- Vérification de l’authentification 802.1X pour les téléphones IP et les PC de bureau
- Vérifier l’association VLAN avec l’interface
Vérification de la configuration LLDP-MED
But
Vérifiez que LLDP-MED est activé sur l’interface.
Action
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
Sens
Le show lldp detail résultat montre que LLDP et LLDP-MED sont tous deux configurés sur l’interface ge-0/0/2.0 . La fin de la sortie affiche la liste des TLV de base LLDP prises en charge, des TLV 802.3 et des TLV LLDP-MED prises en charge.
Vérification de l’authentification 802.1X pour les téléphones IP et les PC de bureau
But
Affichez la configuration 802.1X pour confirmer que l’interface VoIP a accès au LAN.
Action
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Sens
Le champ Role indique que l’interface ge-0/0/2.0 est à l’état d’authentificateur. Le Supplicant champ indique que l’interface est configurée en mode multi-demandeur, ce qui permet d’authentifier plusieurs demandeurs sur cette interface. Les adresses MAC des demandeurs actuellement connectés sont affichées au bas de la sortie.
Vérifier l’association VLAN avec l’interface
But
Affichez l’état de l’interface et l’appartenance au VLAN.
Action
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblockedSens
Le champ VLAN members montre que l’interface ge-0/0/2.0 prend en charge à la fois le data-vlan VLAN et le voice-vlan VLAN. Le State champ indique que l’interface est en place.
Exemple : Configuration de la VoIP sur un commutateur EX Series sans prise en charge LLDP-MED
Vous pouvez configurer la voix sur IP (VoIP) sur un commutateur EX Series pour prendre en charge les téléphones IP. Le protocole LLDP-MED (Link Layer Discovery Protocol-Media Endpoint Discovery) est parfois utilisé avec les téléphones IP pour transférer les paramètres VoIP du commutateur vers le téléphone. Cependant, tous les téléphones IP ne prennent pas en charge LLDP-MED.
Cet exemple explique comment configurer la VoIP sur un commutateur EX Series sans utiliser LLDP-MED :
- Conditions préalables
- Présentation
- Configuration de la VoIP sans LLDP-MED à l’aide d’un VLAN vocal sur un port d’accès
- Configuration de la VoIP sans LLDP-MED à l’aide d’un port trunk avec option VLAN native
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX Series avec prise en charge d’ELS faisant office d’entité d’accès aux ports d’authentificateur (PAE). Les interfaces de l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic vers et depuis les demandeurs jusqu’à ce qu’ils soient authentifiés.
Un téléphone IP qui ne prend pas en charge LLDP-MED.
Junos OS version 13.2X50 ou ultérieure pour les commutateurs EX Series.
Avant de configurer la VoIP, assurez-vous d’avoir :
Effectué un pontage de base et une configuration VLAN sur le commutateur. Voir l’exemple : Configuration du pontage de base et d’un VLAN pour un commutateur EX Series avec prise en charge d’ELS .
Configurez le téléphone IP en tant que membre du VLAN vocal.
(Facultatif) Interface ge-0/0/2 configurée pour Power over Ethernet (PoE). La configuration PoE n’est pas nécessaire si le demandeur VoIP utilise un adaptateur d’alimentation. Voir Configuration des interfaces PoE sur les commutateurs EX Series.
Présentation
Au lieu d’utiliser un téléphone ordinaire, vous connectez un téléphone IP directement au commutateur. Un téléphone IP possède tout le matériel et les logiciels nécessaires pour gérer la VoIP. Vous pouvez également alimenter un téléphone IP en le connectant à l’une des interfaces PoE (Power over Ethernet) du commutateur.
Les commutateurs EX Series peuvent accueillir un téléphone IP et un hôte final connectés à un seul port de commutation. Dans un tel scénario, le trafic vocal et de données doit être séparé en différents domaines de diffusion, ou VLAN. L’une des méthodes pour y parvenir consiste à configurer un VLAN vocal, ce qui permet aux ports d’accès d’accepter le trafic de données non balisé ainsi que le trafic vocal balisé provenant de téléphones IP, et d’associer chaque type de trafic à des VLAN distincts. Le trafic vocal (balisé) peut alors être traité différemment, généralement avec une priorité plus élevée que le trafic de données (non balisé).
Le VLAN vocal offre le plus grand avantage lorsqu’il est utilisé avec des téléphones IP qui prennent en charge LLDP-MED, mais il est suffisamment flexible pour que les téléphones IP qui ne prennent pas en charge LLDP-MED puissent également l’utiliser efficacement. Toutefois, en l’absence de LLDP-MED, l’ID VLAN vocal doit être défini manuellement sur le téléphone IP, car LLDP-MED n’est pas disponible pour y parvenir dynamiquement. Pour plus d’informations sur la configuration d’un VLAN vocal pour les téléphones IP qui prennent en charge LLDP-MED, consultez l’exemple : Configuration de la VoIP avec 802.1X et LLDP-MED sur un commutateur EX Series avec prise en charge ELS.
Une autre méthode pour séparer le trafic voix (balisé) et le trafic de données (non balisé) en différents VLAN consiste à utiliser un port trunk avec l’option d’ID VLAN natif. Le port trunk est ajouté en tant que membre du VLAN vocal et traite uniquement le trafic vocal balisé à partir de ce VLAN. Le port trunk doit également être configuré avec l’ID VLAN natif du VLAN de données afin qu’il puisse traiter le trafic de données non identifié à partir du VLAN de données. Cette configuration nécessite également que l’ID VLAN vocal soit défini manuellement sur le téléphone IP.
Cet exemple illustre les deux méthodes. Dans cet exemple, l’interface ge-0/0/2 du commutateur est connectée à un téléphone IP non LLDP-MED.
L’implémentation d’un VLAN vocal sur un téléphone IP est spécifique au fournisseur. Consultez la documentation fournie avec votre téléphone IP pour obtenir des instructions sur la configuration d’un VLAN vocal. Par exemple, sur un téléphone Avaya, vous pouvez vous assurer que le téléphone obtient l’ID VLAN VoIP correct même en l’absence de LLDP-MED en activant l’option DHCP 176.
topologie
Configuration de la VoIP sans LLDP-MED à l’aide d’un VLAN vocal sur un port d’accès
Procédure
Configuration rapide cli
Pour configurer rapidement la VoIP, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Procédure étape par étape
Configurez deux VLAN : un pour le trafic de données et un pour le trafic vocal :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
REMARQUE :L’ID VLAN vocal doit être défini manuellement sur le téléphone IP.
Associez le VLAN
data-vlanà l’interface ge-0/0/2 :[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0
Configurez l’interface ge-0/0/2 en tant que port d’accès appartenant au VLAN de données :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
Configurez la VoIP sur l’interface ge-0/0/2 et ajoutez cette interface au VLAN vocal :
[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
Spécifiez la classe de transfert garantie pour fournir la classe de service la plus fiable :
[edit switch-options] user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Résultats
Affichez les résultats de la configuration :
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Configuration de la VoIP sans LLDP-MED à l’aide d’un port trunk avec option VLAN native
Procédure
Configuration rapide cli
Pour configurer rapidement la VoIP, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Procédure étape par étape
Configurez deux VLAN : un pour le trafic de données et un pour le trafic vocal :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
REMARQUE :L’ID VLAN vocal doit être défini manuellement sur le téléphone IP.
Configurez l’interface ge-0/0/2 en tant que port trunk qui comprend uniquement le VLAN vocal :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
Configurez l’ID VLAN natif pour le VLAN de données sur le port d’agrégation :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Résultats
Affichez les résultats de la configuration :
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members voice-vlan;
}
native-vlan-id data-vlan;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
}
voice-vlan {
vlan-id 99;
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez la tâche suivante :
Vérifier l’association VLAN avec l’interface
But
Affichez l’état de l’interface et l’appartenance au VLAN.
Action
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblockedSens
Le champ VLAN members montre que l’interface ge-0/0/2.0 prend en charge à la fois le VLAN de données, data-vlan et le VLAN voix, voix-vlan. Le State champ indique que l’interface est en place.
Exemple : Configuration de la VoIP sur un commutateur EX Series sans prise en charge LLDP-MED
Vous pouvez configurer la voix sur IP (VoIP) sur un commutateur EX Series pour prendre en charge les téléphones IP. Le protocole LLDP-MED (Link Layer Discovery Protocol-Media Endpoint Discovery) est parfois utilisé avec les téléphones IP pour transférer les paramètres VoIP du commutateur vers le téléphone. Cependant, tous les téléphones IP ne prennent pas en charge LLDP-MED.
Cet exemple explique comment configurer la VoIP sur un commutateur EX Series sans utiliser LLDP-MED :
- Conditions préalables
- Présentation
- Configuration de la VoIP sans LLDP-MED à l’aide d’un VLAN vocal sur un port d’accès
- Configuration de la VoIP sans LLDP-MED à l’aide d’un port trunk avec option VLAN native
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX4200 agissant en tant qu’entité d’accès aux ports (PAE). Les interfaces de l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic vers et depuis les demandeurs jusqu’à ce qu’ils soient authentifiés.
Un téléphone IP qui ne prend pas en charge LLDP-MED.
Junos OS Version 9.1 ou ultérieure pour les commutateurs EX Series.
Avant de configurer la VoIP, assurez-vous d’avoir :
Effectué un pontage de base et une configuration VLAN sur le commutateur. Voir l’exemple : Configuration du pontage de base et d’un VLAN pour un commutateur EX Series.
Configurez le téléphone IP en tant que membre du VLAN vocal.
(Facultatif) Interface ge-0/0/2 configurée pour Power over Ethernet (PoE). La configuration PoE n’est pas nécessaire si le demandeur VoIP utilise un adaptateur d’alimentation. Voir Configuration des interfaces PoE sur les commutateurs EX Series.
Présentation
Au lieu d’utiliser un téléphone ordinaire, vous connectez un téléphone IP directement au commutateur. Un téléphone IP possède tout le matériel et les logiciels nécessaires pour gérer la VoIP. Vous pouvez également alimenter un téléphone IP en le connectant à l’une des interfaces PoE (Power over Ethernet) du commutateur.
Les commutateurs EX Series peuvent accueillir un téléphone IP et un hôte final connectés à un seul port de commutation. Dans un tel scénario, le trafic vocal et de données doit être séparé en différents domaines de diffusion, ou VLAN. L’une des méthodes pour y parvenir consiste à configurer un VLAN vocal, ce qui permet aux ports d’accès d’accepter le trafic de données non balisé ainsi que le trafic vocal balisé provenant de téléphones IP, et d’associer chaque type de trafic à des VLAN distincts. Le trafic vocal (balisé) peut alors être traité différemment, généralement avec une priorité plus élevée que le trafic de données (non balisé).
Le VLAN vocal offre le plus grand avantage lorsqu’il est utilisé avec des téléphones IP qui prennent en charge LLDP-MED, mais il est suffisamment flexible pour que les téléphones IP qui ne prennent pas en charge LLDP-MED puissent également l’utiliser efficacement. Toutefois, en l’absence de LLDP-MED, l’ID VLAN vocal doit être défini manuellement sur le téléphone IP, car LLDP-MED n’est pas disponible pour y parvenir dynamiquement. Pour plus d’informations sur la configuration d’un VLAN vocal pour les téléphones IP qui prennent en charge LLDP-MED, consultez l’exemple : Configuration de la VoIP avec 802.1X et LLDP-MED sur un commutateur EX Series.
Une autre méthode pour séparer le trafic voix (balisé) et le trafic de données (non balisé) en différents VLAN consiste à utiliser un port trunk avec l’option d’ID VLAN natif. Le port trunk est ajouté en tant que membre du VLAN vocal et traite uniquement le trafic vocal balisé à partir de ce VLAN. Le port trunk doit également être configuré avec l’ID VLAN natif du VLAN de données afin qu’il puisse traiter le trafic de données non identifié à partir du VLAN de données. Cette configuration nécessite également que l’ID VLAN vocal soit défini manuellement sur le téléphone IP.
Cet exemple illustre les deux méthodes. Dans cet exemple, l’interface ge-0/0/2 du commutateur EX4200 est connectée à un téléphone IP non LLDP-MED.
L’implémentation d’un VLAN vocal sur un téléphone IP est spécifique au fournisseur. Consultez la documentation fournie avec votre téléphone IP pour obtenir des instructions sur la configuration d’un VLAN vocal. Par exemple, sur un téléphone Avaya, vous pouvez vous assurer que le téléphone obtient l’ID VLAN VoIP correct même en l’absence de LLDP-MED en activant l’option DHCP 176.
topologie
Configuration de la VoIP sans LLDP-MED à l’aide d’un VLAN vocal sur un port d’accès
Procédure
Configuration rapide cli
Pour configurer rapidement la VoIP, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan
Procédure étape par étape
Configurez deux VLAN : un pour le trafic de données et un pour le trafic vocal :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
REMARQUE :L’ID VLAN vocal doit être défini manuellement sur le téléphone IP.
Configurez le VLAN data-vlan sur l’interface ge-0/0/2 :
[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0
Configurez l’interface ge-0/0/2 en tant que port d’accès appartenant au VLAN de données :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
Configurez la VoIP sur l’interface ge-0/0/2 et ajoutez cette interface au VLAN vocal :
[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
Résultats
Affichez les résultats de la configuration :
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
}
}
}
Configuration de la VoIP sans LLDP-MED à l’aide d’un port trunk avec option VLAN native
Procédure
Configuration rapide cli
Pour configurer rapidement la VoIP, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Procédure étape par étape
Configurez deux VLAN : un pour le trafic de données et un pour le trafic vocal :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
REMARQUE :L’ID VLAN vocal doit être défini manuellement sur le téléphone IP.
Configurez l’interface ge-0/0/2 en tant que port trunk qui comprend uniquement le VLAN vocal :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
Configurez l’ID VLAN natif pour le VLAN de données sur le port d’agrégation :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Résultats
Affichez les résultats de la configuration :
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members voice-vlan;
}
native-vlan-id data-vlan;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
}
voice-vlan {
vlan-id 99;
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez la tâche suivante :
Vérifier l’association VLAN avec l’interface
But
Affichez l’état de l’interface et l’appartenance au VLAN.
Action
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblockedSens
Le champ VLAN members montre que l’interface ge-0/0/2.0 prend en charge à la fois le VLAN de données, data-vlan et le VLAN voix, voix-vlan. Le State champ indique que l’interface est en place.
Exemple : Configuration de la VoIP sur un commutateur EX Series sans inclure l’authentification 802.1X
Vous pouvez configurer la voix sur IP (VoIP) sur un commutateur EX Series pour prendre en charge les téléphones IP.
Pour configurer la VoIP sur un commutateur EX Series afin de prendre en charge un téléphone IP qui ne prend pas en charge l’authentification 802.1X, vous devez soit ajouter l’adresse MAC du téléphone à la liste de contournement MAC statique, soit activer l’authentification MAC RADIUS sur le commutateur.
Cet exemple explique comment configurer la VoIP sur un commutateur EX Series sans authentification 802.1X à l’aide d’un contournement MAC statique de l’authentification :
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 9.1 ou ultérieure pour les commutateurs EX Series
Un téléphone IP
Avant de configurer la VoIP, assurez-vous d’avoir :
Installez votre commutateur EX Series. Consultez les informations d’installation de votre commutateur.
A effectué la configuration initiale du commutateur. Voir Connexion et configuration d’un commutateur EX Series (procédure CLI).
Effectué un pontage de base et une configuration VLAN sur le commutateur. Voir l’exemple : Configuration du pontage de base et d’un VLAN pour un commutateur EX Series.
Configurez le serveur RADIUS pour l’authentification 802.1X et configurez le profil d’accès. Voir l’exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
(Facultatif) Interface
ge-0/0/2configurée pour Power over Ethernet (PoE). La configuration PoE n’est pas nécessaire si le demandeur VoIP utilise un adaptateur d’alimentation. Pour plus d’informations sur la configuration de PoE, voir Configuration des interfaces PoE sur les commutateurs EX Series.
Si l’adresse IP n’est pas configurée sur le téléphone IP Avaya, le téléphone échange des informations LLDP-MED pour obtenir l’ID VLAN pour le VLAN vocal. Vous devez configurer l’instruction voip sur l’interface pour désigner l’interface comme une interface VoIP et permettre au commutateur de transférer le nom du VLAN et l’ID VLAN pour le VLAN vocal vers le téléphone IP. Le téléphone IP utilise ensuite le VLAN vocal (c’est-à-dire qu’il fait référence à l’ID du VLAN vocal) pour envoyer une demande de découverte DHCP et échanger des informations avec le serveur DHCP (passerelle vocale).
Présentation
Au lieu d’utiliser un téléphone ordinaire, vous connectez un téléphone IP directement au commutateur. Un téléphone IP possède tout le matériel et les logiciels nécessaires pour gérer la VoIP. Vous pouvez également alimenter un téléphone IP en le connectant à l’une des interfaces PoE (Power over Ethernet) du commutateur.
Dans cet exemple, l’interface ge-0/0/2 d’accès du commutateur EX4200 est connectée à un téléphone IP non-802.1X.
Pour configurer la VoIP sur un commutateur EX Series afin de prendre en charge un téléphone IP qui ne prend pas en charge l’authentification 802.1X, ajoutez l’adresse MAC du téléphone en tant qu’entrée statique dans la base de données de l’authentificateur et définissez le mode demandeur sur plusieurs.
Configuration
Pour configurer la VoIP sans authentification 802.1X :
Procédure
Configuration rapide cli
Pour configurer rapidement la VoIP, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procédure étape par étape
Pour configurer la VoIP sans 802.1X :
Configurez les VLAN pour la voix et les données :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Associez le VLAN
data-vlanà l’interface :[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0Configurez l’interface en tant qu’interface d’accès, configurez la prise en charge de la commutation Ethernet et ajoutez le
data-vlanVLAN :[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
Configurez la VoIP sur l’interface et spécifiez la
assured-forwardingclasse de transfert pour fournir la classe de service la plus fiable :[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configurer la prise en charge du protocole LLDP-MED :
[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
Définissez le profil d’authentification (voir Configuration des paramètres d’interface 802.1X (procédure CLI) et Configuration de la comptabilité RADIUS 802.1X (procédure CLI)) :
[edit protocols] set dot1x authenticator authentication-profile-name auth-profile
Ajoutez l’adresse MAC du téléphone à la liste de contournement MAC statique :
[edit protocols] set dot1x authenticator static 00:04:f2:11:aa:a7
Définissez le mode demandeur sur plusieurs :
[edit protocols] set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Résultats
Affichez les résultats de la configuration :
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2.0;
}
dot1x {
authenticator {
authentication-profile-name auth-profile;
static {
00:04:f2:11:aa:a7;
}
}
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérification de la configuration LLDP-MED
- Vérification de l’authentification pour le PC de bureau
- Vérifier l’association VLAN avec l’interface
Vérification de la configuration LLDP-MED
But
Vérifiez que LLDP-MED est activé sur l’interface.
Action
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
Sens
Le show lldp detail résultat montre que LLDP et LLDP-MED sont tous deux configurés sur l’interface ge-0/0/2.0 . La fin de la sortie affiche la liste des TLV de base LLDP prises en charge, des TLV 802.3 et des TLV LLDP-MED prises en charge.
Vérification de l’authentification pour le PC de bureau
But
Affichez la configuration 802.1X pour le PC de bureau connecté à l’interface VoIP via le téléphone IP.
Action
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Sens
Le champ Role indique que l’interface ge-0/0/2.0 est à l’état d’authentificateur. Le Supplicant champ indique que l’interface est configurée en mode multi-demandeur, ce qui permet d’authentifier plusieurs demandeurs sur cette interface. Les adresses MAC des demandeurs actuellement connectés sont affichées au bas de la sortie.
Vérifier l’association VLAN avec l’interface
But
Affichez l’état de l’interface et l’appartenance au VLAN.
Action
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblockedSens
Le champ VLAN members montre que l’interface ge-0/0/2.0 prend en charge à la fois le data-vlan VLAN et le voice-vlan VLAN. Le State champ indique que l’interface est en place.
Exemple : Configuration de la VoIP avec 802.1X et LLDP-MED sur un commutateur EX Series avec prise en charge ELS
Cet exemple utilise Junos OS pour les commutateurs EX Series avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, consultez l’exemple : Configuration de la VoIP avec 802.1X et LLDP-MED sur un commutateur EX Series. Pour plus de détails sur els, voir Utilisation de l’interface cli logicielle de couche 2 améliorée.
Vous pouvez configurer la VoIP sur un commutateur EX Series pour prendre en charge les téléphones IP. Le protocole LLDP-MED (Link Layer Discovery Protocol-Media Endpoint Discovery) transfère les paramètres VoIP du commutateur au téléphone. Vous configurez également l’authentification 802.1X pour permettre au téléphone d’accéder au LAN. L’authentification est effectuée via un serveur RADIUS back-end.
Cet exemple explique comment configurer la VoIP sur un commutateur EX Series pour prendre en charge un téléphone IP Avaya, ainsi que comment configurer le protocole LLDP-MED et l’authentification 802.1X :
Conditions préalables
Cet exemple utilise les composants logiciels et matériels suivants :
Cet exemple s’applique également aux commutateurs QFX5100.
Junos OS Version 13.2X50 ou ultérieure pour les commutateurs EX Series
Un commutateur EX Series avec prise en charge d’ELS faisant office d’entité d’accès aux ports d’authentificateur (PAE). Les interfaces de l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic vers et depuis les demandeurs jusqu’à ce qu’ils soient authentifiés.
Un téléphone IP Avaya prenant en charge LLDP-MED et 802.1X
Avant de configurer la VoIP, assurez-vous d’avoir :
Installez votre commutateur EX Series. Consultez les informations d’installation de votre commutateur.
A effectué la configuration initiale du commutateur. Voir Connexion et configuration d’un commutateur EX Series (procédure CLI).
Effectué un pontage de base et une configuration VLAN sur le commutateur. Voir l’exemple : Configuration du pontage de base et d’un VLAN pour un commutateur EX Series avec prise en charge ELS ou par exemple : Configuration du pontage de base et d’un VLAN sur les commutateurs.
Configurez le serveur RADIUS pour l’authentification 802.1X et configurez le profil d’accès. Voir l’exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
(Facultatif) Configurez l’interface ge-0/0/2 pour Power over Ethernet (PoE). La configuration PoE n’est pas nécessaire si le demandeur VoIP utilise un adaptateur d’alimentation. Pour plus d’informations sur la configuration de PoE, voir Configuration des interfaces PoE sur les commutateurs EX Series.
Si l’adresse IP n’est pas configurée sur le téléphone IP Avaya, le téléphone échange des informations LLDP-MED pour obtenir l’ID VLAN pour le VLAN vocal. Vous devez configurer l’instruction voip sur l’interface pour désigner l’interface comme une interface VoIP et permettre au commutateur de transférer le nom du VLAN et l’ID VLAN pour le VLAN vocal vers le téléphone IP. Le téléphone IP utilise ensuite le VLAN vocal (c’est-à-dire qu’il fait référence à l’ID du VLAN vocal) pour envoyer une demande de découverte DHCP et échanger des informations avec le serveur DHCP (passerelle vocale).
Présentation et topologie
Au lieu d’utiliser un téléphone ordinaire, vous connectez un téléphone IP directement au commutateur. Un téléphone IP possède tout le matériel et les logiciels nécessaires pour gérer la VoIP. Vous pouvez également alimenter un téléphone IP en le connectant à l’une des interfaces PoE (Power over Ethernet) du commutateur.
Les commutateurs EX Series peuvent accueillir un téléphone IP et un hôte final connectés à un seul port de commutation. Dans un tel scénario, le trafic vocal et de données doit être séparé en différents domaines de diffusion, ou VLAN. L’une des méthodes pour y parvenir consiste à configurer un VLAN vocal, ce qui permet aux ports d’accès d’accepter le trafic de données non balisé ainsi que le trafic vocal balisé provenant de téléphones IP, et d’associer chaque type de trafic à des VLAN distincts. Le trafic vocal (balisé) peut alors être traité différemment, généralement avec une priorité plus élevée que le trafic de données (non balisé).
Si une adresse MAC a été apprise à la fois sur les VLAN vocaux et de données, elle reste active à moins qu’elle ne soit obsolète ou que les deux VLAN ne soient supprimés.
Dans cet exemple, l’interface d’accès ge-0/0/2 du commutateur EX Series est connectée à un téléphone IP Avaya. Les téléphones Avaya disposent d’un pont intégré qui vous permet de connecter un PC de bureau au téléphone, de sorte que le bureau et le téléphone d’un seul bureau ne nécessitent qu’une seule interface sur le commutateur. Le commutateur EX Series est connecté à un serveur RADIUS sur l’interface ge-0/0/10 (voir Figure 4).
Ce chiffre s’applique également aux commutateurs QFX5100.
Dans cet exemple, vous configurez les paramètres VoIP et spécifiez la classe assured-forward de transfert pour le trafic vocal afin d’offrir la meilleure qualité de service.
Tableau 2 décrit les composants utilisés dans cet exemple de configuration VoIP.
| Propriété | Paramètres |
|---|---|
Matériel de commutation |
Commutateur EX Series avec prise en charge d’ELS. |
Noms et ID VLAN |
data-vlan, 77 voix-vlan, 99 |
Connexion au téléphone Avaya avec hub intégré pour connecter le téléphone et l’ordinateur de bureau à une interface unique (poE requis) |
ge-0/0/2 |
Un seul serveur RADIUS |
Fournit une base de données back-end connectée au commutateur via l’interface ge-0/0/10. |
Outre la configuration d’une VoIP pour l’interface ge-0/0/2, vous configurez :
Authentification 802.1X. L’authentification est définie en
multiplemode demandeur pour prendre en charge l’accès de plusieurs demandeurs au LAN via l’interface ge-0/0/2.Informations sur le protocole LLDP-MED. Le commutateur utilise LLDP-MED pour transférer les paramètres VoIP au téléphone. L’utilisation de LLDP-MED garantit que le trafic vocal est balisé et hiérarchisé avec les valeurs correctes à la source elle-même. Par exemple, les informations relatives à la classe de service 802.1p et à la balise 802.1Q peuvent être envoyées au téléphone IP.
REMARQUE :Une configuration PoE n’est pas nécessaire si un téléphone IP utilise un adaptateur d’alimentation.
topologie
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement la VoIP, LLDP-MED et 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procédure étape par étape
Pour configurer la VoIP avec LLDP-MED et 802.1X :
Configurez les VLAN pour la voix et les données :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Associez le VLAN data-vlan à l’interface :
[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0Configurez l’interface en tant qu’interface d’accès, configurez la prise en charge de la commutation Ethernet et ajoutez l’interface en tant que membre du data-vlan VLAN :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
REMARQUE :Vous ne devez pas configurer à la fois les données et la voix sur le même VLAN. Si vous configurez les données et la voix sur le même VLAN, la configuration ne sera pas acceptée.
Si vous avez activé l’authentification 802.1X sur votre commutateur et :
-
Le VLAN vocal que vous avez configuré est le même que le VLAN de données que le serveur d’authentification envoie,
-
Le VLAN de données que vous avez configuré est le même que le VLAN vocal que le serveur d’authentification envoie, ou
-
Le VLAN de données et le VLAN vocal envoyé par le serveur d’authentification sont les mêmes
Le client passerait à l’état HELD.
-
Configurez la VoIP sur l’interface et spécifiez la
assured-forwardingclasse de transfert pour fournir la classe de service la plus fiable :[edit switch—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configurer la prise en charge du protocole LLDP-MED :
[edit protocols] user@switch# set lldp-med interface ge-0/0/2
Pour authentifier un téléphone IP et un PC connecté au téléphone IP sur l’interface, configurez la prise en charge de l’authentification 802.1X et spécifiez
multiplele mode demandeur :REMARQUE :Si vous ne souhaitez pas authentifier un équipement, ignorez la configuration 802.1X sur cette interface.
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Résultats
Affichez les résultats de la configuration :
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2;
}
dot1x {
authenticator {
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
switch-options {
interface ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
switch-options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérification de la configuration LLDP-MED
- Vérification de l’authentification 802.1X pour les téléphones IP et les PC de bureau
- Vérifier l’association VLAN avec l’interface
Vérification de la configuration LLDP-MED
But
Vérifiez que LLDP-MED est activé sur l’interface.
Action
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
Sens
La show lldp detail sortie montre que les deux LLDP et LLDP-MED sont configurés sur l’interface ge-0/0/2 . La fin du résultat affiche la liste des TLV de gestion de base LLDP prises en charge et des TLV spécifiques à l’organisation prises en charge.
Vérification de l’authentification 802.1X pour les téléphones IP et les PC de bureau
But
Affichez la configuration 802.1X pour confirmer que l’interface VoIP a accès au LAN.
Action
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Sens
Le champ Role indique que l’interface ge-0/0/2.0 est à l’état d’authentificateur. Le Supplicant mode champ indique que l’interface est configurée en multiple mode demandeur, ce qui permet d’authentifier plusieurs demandeurs sur cette interface. Les adresses MAC des demandeurs actuellement connectés sont affichées au bas de la sortie.
Vérifier l’association VLAN avec l’interface
But
Affichez l’appartenance au VLAN de l’interface.
Action
user@switch> show ethernet-switching interface ge-0/0/2.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/2.0 65535 untagged
voice-vlan 99
65535 Discarding
data-vlan 77
65535 DiscardingSens
Le champ VLAN members montre que l’interface ge-0/0/2.0 prend en charge à la fois le data-vlan VLAN et le voice-vlan VLAN.
Exemple : Configuration de la VoIP sur un commutateur EX Series avec prise en charge d’ELS sans inclure l’authentification 802.1X
Cet exemple utilise Junos OS pour les commutateurs EX Series avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, consultez l’exemple : Configuration de la VoIP sur un commutateur EX Series sans inclure l’authentification 802.1X. Pour plus de détails sur els, voir Utilisation de l’interface cli logicielle de couche 2 améliorée.
Vous pouvez configurer la voix sur IP (VoIP) sur un commutateur EX Series pour prendre en charge les téléphones IP.
Pour configurer la VoIP sur un commutateur EX Series afin de prendre en charge un téléphone IP qui ne prend pas en charge l’authentification 802.1X, vous devez soit ajouter l’adresse MAC du téléphone à la liste de contournement MAC statique, soit activer l’authentification MAC RADIUS sur le commutateur.
Cet exemple explique comment configurer la VoIP sur un commutateur EX Series sans authentification 802.1X à l’aide d’un contournement MAC statique de l’authentification :
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Ce chiffre s’applique également aux commutateurs QFX5100.
Un commutateur EX Series avec prise en charge d’ELS
Junos OS version 13.2 ou ultérieure pour les commutateurs EX Series
Un téléphone IP Avaya
Avant de configurer la VoIP, assurez-vous d’avoir :
Installez votre commutateur EX Series. Consultez les informations d’installation de votre commutateur.
A effectué la configuration initiale du commutateur. Voir Connexion et configuration d’un commutateur EX Series (procédure CLI).
Effectué un pontage de base et une configuration VLAN sur le commutateur. Voir l’exemple : Configuration du pontage de base et d’un VLAN pour un commutateur EX Series avec prise en charge ELS ou par exemple : Configuration du pontage de base et d’un VLAN sur les commutateurs.
Configurez le serveur RADIUS pour l’authentification 802.1X et configurez le profil d’accès. Voir l’exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
(Facultatif) Configurez l’interface ge-0/0/2 pour Power over Ethernet (PoE). La configuration PoE n’est pas nécessaire si le demandeur VoIP utilise un adaptateur d’alimentation. Pour plus d’informations sur la configuration de PoE, voir Configuration des interfaces PoE sur les commutateurs EX Series.
Si l’adresse IP n’est pas configurée sur le téléphone IP Avaya, le téléphone échange des informations LLDP-MED pour obtenir l’ID VLAN pour le VLAN vocal. Vous devez configurer l’instruction voip sur l’interface pour désigner l’interface comme une interface VoIP et permettre au commutateur de transférer le nom du VLAN et l’ID VLAN pour le VLAN vocal vers le téléphone IP. Le téléphone IP utilise ensuite le VLAN vocal (c’est-à-dire qu’il fait référence à l’ID du VLAN vocal) pour envoyer une demande de découverte DHCP et échanger des informations avec le serveur DHCP (passerelle vocale).
Présentation
Au lieu d’utiliser un téléphone ordinaire, vous connectez un téléphone IP directement au commutateur. Un téléphone IP possède tout le matériel et les logiciels nécessaires pour gérer la VoIP. Vous pouvez également alimenter un téléphone IP en le connectant à l’une des interfaces PoE (Power over Ethernet) du commutateur.
Dans cet exemple, l’interface d’accès ge-0/0/2 du commutateur EX Series est connectée à un téléphone IP non-802.1X.
Pour configurer la VoIP sur un commutateur EX Series afin de prendre en charge un téléphone IP qui ne prend pas en charge l’authentification 802.1X, ajoutez l’adresse MAC du téléphone en tant qu’entrée statique dans la base de données de l’authentificateur et définissez le mode demandeur sur plusieurs.
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement la VoIP sans utiliser l’authentification 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procédure étape par étape
Pour configurer la VoIP sans authentification 802.1X :
Configurez les VLAN pour la voix et les données :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Configurez l’interface en tant qu’interface d’accès, configurez la prise en charge de la commutation Ethernet et ajoutez l’interface en tant que membre du
data-vlanVLAN :[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
REMARQUE :Vous ne devez pas configurer à la fois les données et la voix sur le même VLAN. Si vous configurez les données et la voix sur le même VLAN, la configuration ne sera pas acceptée.
Configurez la VoIP sur l’interface et spécifiez la
assured-forwardingclasse de transfert pour fournir la classe de service la plus fiable :[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configurer la prise en charge du protocole LLDP-MED :
[edit protocols] user@switch# set lldp-med interface ge-0/0/2
Définissez le nom
auth-profiledu profil d’authentification (voir Configuration des paramètres d’interface 802.1X (procédure CLI) et Configuration de la comptabilité RADIUS 802.1X (procédure CLI)) :[edit protocols] user@switch# set dot1x authenticator authentication-profile-name auth-profile
Ajoutez l’adresse MAC du téléphone à la liste de contournement MAC statique :
[edit protocols] user@switch# set dot1x authenticator static 00:04:f2:11:aa:a7
Définissez le mode demandeur sur plusieurs :
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Résultats
Affichez les résultats de la configuration :
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2;
}
dot1x {
authenticator {
authentication-profile-name auth-profile;
static {
00:04:f2:11:aa:a7;
}
}
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
switch-options {
interface ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
switch-options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérification de la configuration LLDP-MED
- Vérification de l’authentification pour le PC de bureau
- Vérifier l’association VLAN avec l’interface
Vérification de la configuration LLDP-MED
But
Vérifiez que LLDP-MED est activé sur l’interface.
Action
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
Sens
La show lldp detail sortie de commande indique que LLDP et LLDP-MED sont tous deux configurés sur l’interface ge-0/0/2 . La fin du résultat affiche la liste des TLV de gestion de base LLDP prises en charge et des TLV spécifiques à l’organisation prises en charge.
Vérification de l’authentification pour le PC de bureau
But
Affichez la configuration 802.1X pour le PC de bureau connecté à l’interface VoIP via le téléphone IP.
Action
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Sens
Le champ Role montre que l’interface ge-0/0/2.0 joue le rôle d’authentificateur. Le Supplicant Mode champ indique que l’interface est configurée en multiple mode demandeur, ce qui permet d’authentifier plusieurs demandeurs sur cette interface. Les adresses MAC des demandeurs actuellement connectés sont affichées au bas de la sortie.
Vérifier l’association VLAN avec l’interface
But
Affichez l’appartenance au VLAN de l’interface.
Action
user@switch> show ethernet-switching interface ge-0/0/2.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/2.0 65535 untagged
voice-vlan 99
65535 Discarding
data-vlan 77
65535 DiscardingSens
Le Vlan members champ montre que l’interface ge-0/0/2.0 prend en charge à la fois le data-vlan VLAN et le voice-vlan VLAN.