VoIP sur les commutateurs EX Series
Vous pouvez configurer la voix sur IP (VoIP) sur un commutateur EX Series pour prendre en charge les téléphones IP. Lorsque vous utilisez la VoIP, vous pouvez connecter des téléphones IP au commutateur et configurer l’authentification IEEE 802.1X pour les téléphones IP compatibles 802.1X. Pour plus d’informations, lisez cette rubrique.
Comprendre la norme 802.1X et la VoIP sur les commutateurs EX Series
Lorsque vous utilisez la VoIP, vous pouvez connecter des téléphones IP au commutateur et configurer l’authentification IEEE 802.1X pour les téléphones IP compatibles 802.1X. L’authentification 802.1X assure la sécurité à la périphérie du réseau et protège les réseaux locaux Ethernet contre tout accès non autorisé par les utilisateurs.
La VoIP est un protocole utilisé pour la transmission de la voix via les réseaux à commutation de paquets. La VoIP transmet les appels vocaux en utilisant une connexion réseau au lieu d’une ligne téléphonique analogique.
Lorsque la VoIP est utilisée avec la norme 802.1X, le serveur RADIUS authentifie le téléphone et LLDP-MED (Link Layer Discovery Protocol-Media Endpoint Discovery) fournit les paramètres de classe de service (CoS) au téléphone.
Vous pouvez configurer l’authentification 802.1X pour qu’elle fonctionne avec VoIP en mode avec plusieurs ou un seul demandeur. En mode demandeur multiple , le processus 802.1X permet à plusieurs demandeurs de se connecter à l’interface. Chaque demandeur est authentifié individuellement. Pour obtenir un exemple de topologie VoIP à requêtes multiples, reportez-vous à la Figure 1.
de plusieurs suppliants VoIP
Si un téléphone IP compatible 802.1X n’a pas d’hôte 802.1X mais qu’un autre appareil compatible 802.1X est connecté à son port de données, vous pouvez connecter le téléphone à une interface en mode demandeur unique. En mode demandeur unique , le processus 802.1X authentifie uniquement le premier demandeur. Tous les autres demandeurs qui se connectent ultérieurement à l’interface disposent d’un accès complet sans autre authentification. Ils « se greffent » effectivement sur l’authentification du premier suppliant. Pour obtenir un exemple de topologie VoIP à demandeur unique, reportez-vous à la Figure 2 .
VoIP à demandeur unique
Si un téléphone IP ne prend pas en charge 802.1X, vous pouvez configurer la VoIP pour contourner 802.1X et LLDP-MED et faire transférer les paquets vers un VLAN VoIP.
Authentification 802.1X multidomaine
L’authentification 802.1X multidomaine est une extension du mode demandeur multiple qui permet à un périphérique VoIP par défaut et à plusieurs périphériques de données de s’authentifier sur un seul port. L’authentification 802.1X multidomaine offre une sécurité accrue en mode demandeur multiple en limitant le nombre de données authentifiées et de sessions VoIP sur le port. En mode demandeur multiple, un nombre illimité de sessions VoIP ou de données peuvent être authentifiées ; le nombre de sessions peut être limité à l’aide de la limitation MAC, mais il n’y a aucun moyen d’appliquer la limite spécifiquement aux sessions de données ou VoIP.
Avec l’authentification 802.1X multidomaine, le port unique est divisé en deux domaines ; l’un est le domaine des données et l’autre le domaine de la voix. L’authentification 802.1X multidomaine maintient un nombre de sessions distinct en fonction du domaine. Vous pouvez configurer le nombre maximal de sessions de données authentifiées autorisées sur le port. Le nombre de sessions VoIP n’est pas configurable ; une seule session VoIP authentifiée est autorisée sur le port.
Si un nouveau client tente de s’authentifier sur l’interface après avoir atteint le nombre maximal de sessions, l’action par défaut consiste à supprimer le paquet et à générer un message de journal d’erreurs. Vous pouvez également configurer l’action pour arrêter l’interface. Le port peut être récupéré manuellement à partir de l’état inactif en exécutant la clear dot1x recovery-timeout commande ou en récupérant automatiquement après un délai de récupération configuré.
L’authentification multidomaine n’applique pas l’ordre d’authentification des appareils. Cependant, pour de meilleurs résultats, le périphérique VoIP doit être authentifié avant un périphérique de données sur un port compatible 802.1X multidomaine. L’authentification multidomaine n’est prise en charge qu’en mode demandeur multiple.
Voir aussi
Exemple : configuration de la VoIP avec 802.1X et LLDP-MED sur un commutateur EX Series
Vous pouvez configurer la voix sur IP (VoIP) sur un commutateur EX Series pour prendre en charge les téléphones IP. Le protocole LLDP-MED (Link Layer Discovery Protocol-Media Endpoint Discovery) transfère les paramètres VoIP du commutateur au téléphone. Vous configurez également l’authentification 802.1X pour autoriser l’accès téléphonique au réseau LAN. L’authentification se fait via un serveur RADIUS backend.
Cet exemple décrit comment configurer la VoIP sur un commutateur EX Series pour prendre en charge un téléphone IP Avaya, ainsi que le protocole LLDP-MED et l’authentification 802.1X :
Si votre commutateur s’exécute Junos OS pour EX Series commutateurs prenant en charge le style de configuration ELS (Enhanced Layer 2 Logiciels), reportez-vous à Exemple : Configuration de la VoIP avec 802.1X et LLDP-MED sur un commutateur EX Series prenant en charge ELS. Pour plus de détails sur ELS, reportez-vous à la section Utilisation du CLI de Logiciels de couche 2 amélioré.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 9.1 ou ultérieure pour les commutateurs EX Series
Un commutateur EX Series agissant comme une entité d’accès aux ports d’authentification (PAE). Les interfaces du PAE d’authentificateur forment une porte de contrôle qui bloque tout le trafic à destination et en provenance des demandeurs jusqu’à ce qu’ils soient authentifiés.
Un téléphone IP Avaya 9620 prenant en charge LLDP-MED et 802.1X
Avant de configurer la VoIP, assurez-vous d’avoir :
Installez votre commutateur EX Series - effectué. Reportez-vous à la section Installation et connexion d’un commutateur EX3200.
Effectuez la configuration initiale du commutateur. Reportez-vous à la section Connexion et configuration d’un commutateur EX Series (procédure J-Web).
A effectué un pontage de base et une configuration VLAN sur le commutateur. Voir Exemple : Configuration d’un pontage de base et d’un VLAN pour un commutateur EX Series.
Configuration du serveur RADIUS pour l’authentification 802.1X et configuration du profil d’accès. Voir Exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
(Facultatif) Interface configurée ge-0/0/2 pour Power over Ethernet (PoE). La configuration PoE n’est pas nécessaire si le demandeur VoIP utilise un bloc d’alimentation. Pour plus d’informations sur la configuration du mode PoE, reportez-vous à la section Configuration des interfaces PoE sur les commutateurs EX Series.
Si l’adresse IP n’est pas configurée sur le téléphone IP Avaya, le téléphone échange des informations LLDP-MED pour obtenir l’ID VLAN du VLAN vocal. Vous devez configurer l’instruction voip sur l’interface pour désigner l’interface comme interface VoIP et permettre au commutateur de transférer le nom du VLAN et l’ID du VLAN vocal au téléphone IP. Le téléphone IP utilise ensuite le VLAN vocal (c’est-à-dire qu’il fait référence à l’ID du VLAN vocal) pour envoyer une requête de découverte DHCP et échanger des informations avec le serveur DHCP (passerelle vocale).
Vue d’ensemble et topologie
Au lieu d’utiliser un téléphone ordinaire, vous connectez un téléphone IP directement au commutateur. Un téléphone IP dispose de tout le matériel et des logiciels nécessaires pour gérer la VoIP. Vous pouvez également alimenter un téléphone IP en le connectant à l’une des interfaces Power over Ethernet (PoE) du commutateur.
Dans cet exemple, l’interface d’accès ge-0/0/2 du commutateur EX4200 est connectée à un téléphone IP Avaya 9620. Les téléphones Avaya ont un pont intégré qui vous permet de connecter un PC de bureau au téléphone, de sorte que le bureau et le téléphone d’un seul bureau ne nécessitent qu’une seule interface sur le commutateur. Le commutateur EX Series est connecté à un serveur RADIUS sur l’interface ge-0/0/10 (voir Figure 3).
VoIP
Dans cet exemple, vous configurez les paramètres VoIP et spécifiez la classe de transfert assurée pour le trafic vocal afin de fournir la meilleure qualité de service.
Le Tableau 1 décrit les composants utilisés dans cet exemple de configuration VoIP.
| Propriété | Paramètres |
|---|---|
Matériel de commutation |
Commutateur EX4200 |
Noms de VLAN |
données-VLAN VOLAN vocal |
Connexion au téléphone Avaya : avec hub intégré, pour connecter le téléphone et le PC de bureau à une interface unique (nécessite PoE) |
GE-0/0/2 |
Un serveur RADIUS |
Fournit une base de données backend connectée au commutateur via l’interface ge-0/0/10. |
En plus de configurer une VoIP pour l’interface ge-0/0/2, vous configurez :
Authentification 802.1X. L’authentification est définie sur plusieurs demandeurs pour prendre en charge l’accès de plusieurs demandeurs au LAN via l’interface ge-0/0/2.
Informations sur le protocole LLDP-MED. Le commutateur utilise LLDP-MED pour transmettre les paramètres VoIP au téléphone. L’utilisation de LLDP-MED garantit que le trafic vocal est balisé et hiérarchisé avec les valeurs correctes à la source même. Par exemple, les informations relatives à la classe de service 802.1p et à la balise 802.1Q peuvent être envoyées au téléphone IP.
Remarque :Une configuration PoE n’est pas nécessaire si un téléphone IP utilise un adaptateur secteur.
La configuration
Pour configurer la VoIP, LLDP-MED et l’authentification 802.1X :
Procédure
Configuration rapide de la CLI
Pour configurer rapidement VoIP, LLDP-MED et 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal de commutation :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procédure étape par étape
Pour configurer la VoIP avec LLDP-MED et 802.1X :
Configurez les VLAN pour la voix et les données :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Associez le vlan data-vlan à l’interface :
[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0Configurez l’interface en tant qu’interface d’accès, configurez la prise en charge de la commutation Ethernet et ajoutez le VLAN data-vlan :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
Configurez VoIP sur l’interface et spécifiez la classe de transfert assured-forwarding pour fournir la classe de service la plus fiable :
[edit ethernet—switching—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configurer la prise en charge du protocole LLDP-MED :
[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
Pour authentifier un téléphone IP et un PC connectés au téléphone IP sur l’interface, configurez la prise en charge de l’authentification 802.1X et spécifiez le mode de demandeur multiple :
Remarque :Si vous ne souhaitez authentifier aucun appareil, ignorez la configuration 802.1X sur cette interface.
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Résultats
Affichez les résultats de la configuration :
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2.0;
}
dot1x {
authenticator {
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérification de la configuration LLDP-MED
- Vérification de l’authentification 802.1X pour les téléphones IP et les PC de bureau
- Vérification de l’association du VLAN avec l’interface
Vérification de la configuration LLDP-MED
Objet
Vérifiez que LLDP-MED est activé sur l’interface.
Mesures à prendre
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
Signification
Le show lldp detail résultat montre que LLDP et LLDP-MED sont configurés sur l’interface ge-0/0/2.0 . La fin de la sortie affiche la liste des TLV de base LLDP, 802.3 TLV et LLDP-MED pris en charge.
Vérification de l’authentification 802.1X pour les téléphones IP et les PC de bureau
Objet
Affichez la configuration 802.1X pour confirmer que l’interface VoIP a accès au LAN.
Mesures à prendre
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Signification
Le champ Rôle indique que l’interface ge-0/0/2.0 est à l’état d’authentificateur. Le champ Demandeur indique que l’interface est configurée en mode demandeur multiple, ce qui permet d’authentifier plusieurs demandeurs sur cette interface. Les adresses MAC des demandeurs actuellement connectés sont affichées en bas de la sortie.
Vérification de l’association du VLAN avec l’interface
Objet
Affichez l’état de l’interface et l’appartenance au VLAN.
Mesures à prendre
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblocked
Signification
Le champ VLAN members indique que l’interface ge-0/0/2.0 prend en charge à la fois le VLAN data-vlan et le VLAN vocal-vlan . Le champ État indique que l’interface est opérationnelle.
Exemple : configuration de la VoIP sur un commutateur EX Series sans inclure la prise en charge LLDP-MED
Vous pouvez configurer la voix sur IP (VoIP) sur un commutateur EX Series pour prendre en charge les téléphones IP. Le protocole LLDP-MED (Link Layer Discovery Protocol-Media Endpoint Discovery) est parfois utilisé avec les téléphones IP pour transférer les paramètres VoIP du commutateur au téléphone. Cependant, tous les téléphones IP ne prennent pas en charge LLDP-MED.
Cet exemple décrit comment configurer la VoIP sur un commutateur EX Series sans utiliser LLDP-MED :
- Exigences
- Vue d’ensemble
- Configuration de la VoIP sans LLDP-MED à l’aide d’un VLAN vocal sur un port d’accès
- Configuration de la VoIP sans LLDP-MED à l’aide d’un port trunk avec option VLAN natif
- Vérification
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX Series avec prise en charge d’ELS agissant comme une entité d’accès au port d’authentification (PAE). Les interfaces du PAE d’authentificateur forment une porte de contrôle qui bloque tout le trafic à destination et en provenance des demandeurs jusqu’à ce qu’ils soient authentifiés.
Un téléphone IP qui ne prend pas en charge LLDP-MED.
Junos OS version 13.2X50 ou ultérieure pour les commutateurs EX Series.
Avant de configurer la VoIP, assurez-vous d’avoir :
A effectué un pontage de base et une configuration VLAN sur le commutateur. Voir Exemple : Configuration d’un pontage de base et d’un VLAN pour un commutateur EX Series avec prise en charge ELS .
Configuré le téléphone IP en tant que membre du VLAN vocal.
(Facultatif) Interface configurée ge-0/0/2 pour Power over Ethernet (PoE). La configuration PoE n’est pas nécessaire si le demandeur VoIP utilise un bloc d’alimentation. Voir Configuration d’interfaces PoE sur les commutateurs EX Series.
Vue d’ensemble
Au lieu d’utiliser un téléphone ordinaire, vous connectez un téléphone IP directement au commutateur. Un téléphone IP dispose de tout le matériel et des logiciels nécessaires pour gérer la VoIP. Vous pouvez également alimenter un téléphone IP en le connectant à l’une des interfaces Power over Ethernet (PoE) du commutateur.
Les commutateurs EX Series peuvent accueillir un téléphone IP et un hôte final connecté à un seul port de commutateur. Dans un tel scénario, le trafic voix et données doit être séparé en différents domaines de diffusion, ou VLAN. Une méthode pour y parvenir consiste à configurer un VLAN vocal, qui permet aux ports d’accès d’accepter le trafic de données non balisé ainsi que le trafic vocal balisé provenant de téléphones IP, et d’associer chaque type de trafic à des VLAN séparés et distincts. Le trafic vocal (étiqueté) peut alors être traité différemment, avec généralement une priorité plus élevée que le trafic de données (non étiqueté).
Le VLAN vocal offre le plus grand avantage lorsqu’il est utilisé avec des téléphones IP qui prennent en charge LLDP-MED, mais il est suffisamment flexible pour que les téléphones IP qui ne prennent pas en charge LLDP-MED puissent également l’utiliser efficacement. Cependant, en l’absence de LLDP-MED, l’ID de VLAN vocal doit être défini manuellement sur le téléphone IP CAR LLDP-MED N’est pas disponible pour accomplir cette opération dynamiquement. Pour plus d’informations sur la configuration d’un VLAN vocal pour les téléphones IP prenant en charge LLDP-MED, consultez Exemple : Configuration de VoIP avec 802.1X et LLDP-MED sur un commutateur EX Series prenant en charge ELS.
Une autre méthode pour séparer le trafic vocal (étiqueté) et le trafic de données (non étiqueté) dans différents VLAN consiste à utiliser un port trunk avec l’option d’ID VLAN natif. Le port trunk est ajouté en tant que membre du VLAN vocal et traite uniquement le trafic vocal balisé de ce VLAN. Le port trunk doit également être configuré avec l’ID de VLAN natif du VLAN de données afin qu’il puisse traiter le trafic de données non balisé du VLAN de données. Cette configuration nécessite également que l’ID de VLAN vocal soit défini manuellement sur le téléphone IP.
Cet exemple illustre les deux méthodes. Dans cet exemple, l’interface ge-0/0/2 du commutateur est connectée à un téléphone IP non-LLDP-MED.
L’implémentation d’un VLAN vocal sur un téléphone IP est spécifique à chaque fournisseur. Consultez la documentation fournie avec votre téléphone IP pour obtenir des instructions sur la configuration d’un VLAN vocal. Par exemple, sur un téléphone Avaya, vous pouvez vous assurer que le téléphone obtient le bon ID VLAN VoIP même en l’absence de LLDP-MED en activant l’option DHCP 176.
Topologie
Configuration de la VoIP sans LLDP-MED à l’aide d’un VLAN vocal sur un port d’accès
Procédure
Configuration rapide de la CLI
Pour configurer rapidement la VoIP, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Procédure étape par étape
Configurez deux VLAN : un pour le trafic de données et un pour le trafic vocal :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Remarque :L’ID VLAN vocal doit être défini manuellement sur le téléphone IP.
Associer le VLAN
data-vlanà l’interface ge-0/0/2 :[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0
Configurez l’interface ge-0/0/2 comme port d’accès appartenant au VLAN de données :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
Configurez la VoIP sur l’interface ge-0/0/2 et ajoutez cette interface au VLAN vocal :
[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
Spécifiez la classe de transfert assured-forwarding pour fournir la classe de service la plus fiable :
[edit switch-options] user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Résultats
Affichez les résultats de la configuration :
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Configuration de la VoIP sans LLDP-MED à l’aide d’un port trunk avec option VLAN natif
Procédure
Configuration rapide de la CLI
Pour configurer rapidement la VoIP, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Procédure étape par étape
Configurez deux VLAN : un pour le trafic de données et un pour le trafic vocal :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Remarque :L’ID VLAN vocal doit être défini manuellement sur le téléphone IP.
Configurez l’interface ge-0/0/2 en tant que port trunk incluant uniquement le VLAN vocal :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
Configurez l’ID de VLAN natif pour le VLAN de données sur le port trunk :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Résultats
Affichez les résultats de la configuration :
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members voice-vlan;
}
native-vlan-id data-vlan;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
}
voice-vlan {
vlan-id 99;
}
}
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez la tâche suivante :
Vérification de l’association du VLAN avec l’interface
Objet
Affichez l’état de l’interface et l’appartenance au VLAN.
Mesures à prendre
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblocked
Signification
Le champ VLAN members montre que l’interface ge-0/0/2.0 prend en charge à la fois le VLAN de données, le vlan de données et le VLAN vocal, voice-vlan. Le State champ indique que l’interface est opérationnelle.
Exemple : configuration de la VoIP sur un commutateur EX Series sans inclure la prise en charge LLDP-MED
Vous pouvez configurer la voix sur IP (VoIP) sur un commutateur EX Series pour prendre en charge les téléphones IP. Le protocole LLDP-MED (Link Layer Discovery Protocol-Media Endpoint Discovery) est parfois utilisé avec les téléphones IP pour transférer les paramètres VoIP du commutateur au téléphone. Cependant, tous les téléphones IP ne prennent pas en charge LLDP-MED.
Cet exemple décrit comment configurer la VoIP sur un commutateur EX Series sans utiliser LLDP-MED :
- Exigences
- Vue d’ensemble
- Configuration de la VoIP sans LLDP-MED à l’aide d’un VLAN vocal sur un port d’accès
- Configuration de la VoIP sans LLDP-MED à l’aide d’un port trunk avec option VLAN natif
- Vérification
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX4200 agissant comme une entité d’accès au port d’authentification (PAE). Les interfaces du PAE d’authentificateur forment une porte de contrôle qui bloque tout le trafic à destination et en provenance des demandeurs jusqu’à ce qu’ils soient authentifiés.
Un téléphone IP qui ne prend pas en charge LLDP-MED.
Junos OS version 9.1 ou ultérieure pour les commutateurs EX Series.
Avant de configurer la VoIP, assurez-vous d’avoir :
A effectué un pontage de base et une configuration VLAN sur le commutateur. Voir Exemple : Configuration d’un pontage de base et d’un VLAN pour un commutateur EX Series.
Configuré le téléphone IP en tant que membre du VLAN vocal.
(Facultatif) Interface configurée ge-0/0/2 pour Power over Ethernet (PoE). La configuration PoE n’est pas nécessaire si le demandeur VoIP utilise un bloc d’alimentation. Voir Configuration d’interfaces PoE sur les commutateurs EX Series.
Vue d’ensemble
Au lieu d’utiliser un téléphone ordinaire, vous connectez un téléphone IP directement au commutateur. Un téléphone IP dispose de tout le matériel et des logiciels nécessaires pour gérer la VoIP. Vous pouvez également alimenter un téléphone IP en le connectant à l’une des interfaces Power over Ethernet (PoE) du commutateur.
Les commutateurs EX Series peuvent accueillir un téléphone IP et un hôte final connecté à un seul port de commutateur. Dans un tel scénario, le trafic voix et données doit être séparé en différents domaines de diffusion, ou VLAN. Une méthode pour y parvenir consiste à configurer un VLAN vocal, qui permet aux ports d’accès d’accepter le trafic de données non balisé ainsi que le trafic vocal balisé provenant de téléphones IP, et d’associer chaque type de trafic à des VLAN séparés et distincts. Le trafic vocal (étiqueté) peut alors être traité différemment, avec généralement une priorité plus élevée que le trafic de données (non étiqueté).
Le VLAN vocal offre le plus grand avantage lorsqu’il est utilisé avec des téléphones IP qui prennent en charge LLDP-MED, mais il est suffisamment flexible pour que les téléphones IP qui ne prennent pas en charge LLDP-MED puissent également l’utiliser efficacement. Cependant, en l’absence de LLDP-MED, l’ID de VLAN vocal doit être défini manuellement sur le téléphone IP CAR LLDP-MED N’est pas disponible pour accomplir cette opération dynamiquement. Pour plus d’informations sur la configuration d’un VLAN vocal pour les téléphones IP qui prennent en charge LLDP-MED, consultez Exemple : configuration de VoIP avec 802.1X et LLDP-MED sur un commutateur EX Series.
Une autre méthode pour séparer le trafic vocal (étiqueté) et le trafic de données (non étiqueté) dans différents VLAN consiste à utiliser un port trunk avec l’option d’ID VLAN natif. Le port trunk est ajouté en tant que membre du VLAN vocal et traite uniquement le trafic vocal balisé de ce VLAN. Le port trunk doit également être configuré avec l’ID de VLAN natif du VLAN de données afin qu’il puisse traiter le trafic de données non balisé du VLAN de données. Cette configuration nécessite également que l’ID de VLAN vocal soit défini manuellement sur le téléphone IP.
Cet exemple illustre les deux méthodes. Dans cet exemple, l’interface ge-0/0/2 du commutateur EX4200 est connectée à un téléphone IP non-LLDP-MED.
L’implémentation d’un VLAN vocal sur un téléphone IP est spécifique à chaque fournisseur. Consultez la documentation fournie avec votre téléphone IP pour obtenir des instructions sur la configuration d’un VLAN vocal. Par exemple, sur un téléphone Avaya, vous pouvez vous assurer que le téléphone obtient le bon ID VLAN VoIP même en l’absence de LLDP-MED en activant l’option DHCP 176.
Topologie
Configuration de la VoIP sans LLDP-MED à l’aide d’un VLAN vocal sur un port d’accès
Procédure
Configuration rapide de la CLI
Pour configurer rapidement la VoIP, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan
Procédure étape par étape
Configurez deux VLAN : un pour le trafic de données et un pour le trafic vocal :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Remarque :L’ID VLAN vocal doit être défini manuellement sur le téléphone IP.
Configurer le VLAN data-vlan sur l’interface ge-0/0/2 :
[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0
Configurez l’interface ge-0/0/2 comme port d’accès appartenant au VLAN de données :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
Configurez la VoIP sur l’interface ge-0/0/2 et ajoutez cette interface au VLAN vocal :
[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
Résultats
Affichez les résultats de la configuration :
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
}
}
}
Configuration de la VoIP sans LLDP-MED à l’aide d’un port trunk avec option VLAN natif
Procédure
Configuration rapide de la CLI
Pour configurer rapidement la VoIP, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Procédure étape par étape
Configurez deux VLAN : un pour le trafic de données et un pour le trafic vocal :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Remarque :L’ID VLAN vocal doit être défini manuellement sur le téléphone IP.
Configurez l’interface ge-0/0/2 en tant que port trunk incluant uniquement le VLAN vocal :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
Configurez l’ID de VLAN natif pour le VLAN de données sur le port trunk :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Résultats
Affichez les résultats de la configuration :
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members voice-vlan;
}
native-vlan-id data-vlan;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
}
voice-vlan {
vlan-id 99;
}
}
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez la tâche suivante :
Vérification de l’association du VLAN avec l’interface
Objet
Affichez l’état de l’interface et l’appartenance au VLAN.
Mesures à prendre
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblocked
Signification
Le champ VLAN members montre que l’interface ge-0/0/2.0 prend en charge à la fois le VLAN de données, le vlan de données et le VLAN vocal, voice-vlan. Le State champ indique que l’interface est opérationnelle.
Exemple : configuration de la VoIP sur un commutateur EX Series sans inclure l’authentification 802.1X
Vous pouvez configurer la voix sur IP (VoIP) sur un commutateur EX Series pour prendre en charge les téléphones IP.
Pour configurer la VoIP sur un commutateur EX Series afin de prendre en charge un téléphone IP qui ne prend pas en charge l’authentification 802.1X, vous devez soit ajouter l’adresse MAC du téléphone à la liste de contournement MAC statique, soit activer l’authentification MAC RADIUS sur le commutateur.
Cet exemple décrit comment configurer la VoIP sur un commutateur EX Series sans authentification 802.1X à l’aide d’une authentification MAC statique de contournement de l’authentification :
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 9.1 ou ultérieure pour les commutateurs EX Series
Un téléphone IP
Avant de configurer la VoIP, assurez-vous d’avoir :
Installez votre commutateur EX Series - effectué. Consultez les informations d’installation de votre commutateur.
Effectuez la configuration initiale du commutateur. Reportez-vous à la section Connexion et configuration d’un commutateur EX Series (procédure CLI).
A effectué un pontage de base et une configuration VLAN sur le commutateur. Voir Exemple : Configuration d’un pontage de base et d’un VLAN pour un commutateur EX Series.
Configuration du serveur RADIUS pour l’authentification 802.1X et configuration du profil d’accès. Voir Exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
(Facultatif) Interface
ge-0/0/2configurée pour Power over Ethernet (PoE). La configuration PoE n’est pas nécessaire si le demandeur VoIP utilise un bloc d’alimentation. Pour plus d’informations sur la configuration du mode PoE, reportez-vous à la section Configuration des interfaces PoE sur les commutateurs EX Series.
Si l’adresse IP n’est pas configurée sur le téléphone IP Avaya, le téléphone échange des informations LLDP-MED pour obtenir l’ID VLAN du VLAN vocal. Vous devez configurer l’instruction voip sur l’interface pour désigner l’interface comme interface VoIP et permettre au commutateur de transférer le nom du VLAN et l’ID du VLAN vocal au téléphone IP. Le téléphone IP utilise ensuite le VLAN vocal (c’est-à-dire qu’il fait référence à l’ID du VLAN vocal) pour envoyer une requête de découverte DHCP et échanger des informations avec le serveur DHCP (passerelle vocale).
Vue d’ensemble
Au lieu d’utiliser un téléphone ordinaire, vous connectez un téléphone IP directement au commutateur. Un téléphone IP dispose de tout le matériel et des logiciels nécessaires pour gérer la VoIP. Vous pouvez également alimenter un téléphone IP en le connectant à l’une des interfaces Power over Ethernet (PoE) du commutateur.
Dans cet exemple, l’interface ge-0/0/2 d’accès du commutateur EX4200 est connectée à un téléphone IP non 802.1X.
Pour configurer VoIP sur un commutateur EX Series afin de prendre en charge un téléphone IP qui ne prend pas en charge l’authentification 802.1X, ajoutez l’adresse MAC du téléphone en tant qu’entrée statique dans la base de données d’authentification et définissez le mode demandeur sur multiple.
La configuration
Pour configurer la VoIP sans authentification 802.1X :
Procédure
Configuration rapide de la CLI
Pour configurer rapidement la VoIP, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procédure étape par étape
Pour configurer la VoIP sans 802.1X :
Configurez les VLAN pour la voix et les données :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Associez le VLAN
data-vlanà l’interface :[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0Configurez l’interface en tant qu’interface d’accès, configurez la prise en charge de la commutation Ethernet et ajoutez le
data-vlanVLAN :[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
Configurez la VoIP sur l’interface et spécifiez la
assured-forwardingclasse de transfert pour fournir la classe de service la plus fiable :[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configurer la prise en charge du protocole LLDP-MED :
[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
Définissez le profil d’authentification (voir Configuration des paramètres d’interface 802.1X (procédure CLI) et Configuration de la comptabilité RADIUS 802.1X (procédure CLI)) :
[edit protocols] set dot1x authenticator authentication-profile-name auth-profile
Ajoutez l’adresse MAC du téléphone à la liste de contournement MAC statique :
[edit protocols] set dot1x authenticator static 00:04:f2:11:aa:a7
Réglez le mode demandeur sur plusieurs :
[edit protocols] set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Résultats
Affichez les résultats de la configuration :
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2.0;
}
dot1x {
authenticator {
authentication-profile-name auth-profile;
static {
00:04:f2:11:aa:a7;
}
}
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérification de la configuration LLDP-MED
- Vérification de l’authentification pour l’ordinateur de bureau
- Vérification de l’association du VLAN avec l’interface
Vérification de la configuration LLDP-MED
Objet
Vérifiez que LLDP-MED est activé sur l’interface.
Mesures à prendre
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
Signification
Le show lldp detail résultat indique que LLDP et LLDP-MED sont configurés sur l’interface ge-0/0/2.0 . La fin de la sortie affiche la liste des TLV de base LLDP, 802.3 TLV et LLDP-MED pris en charge.
Vérification de l’authentification pour l’ordinateur de bureau
Objet
Affichez la configuration 802.1X pour le PC de bureau connecté à l’interface VoIP via le téléphone IP.
Mesures à prendre
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Signification
Le champ Role indique que l’interface ge-0/0/2.0 est à l’état d’authentificateur. Le Supplicant champ indique que l’interface est configurée en mode demandeur multiple, ce qui permet d’authentifier plusieurs demandeurs sur cette interface. Les adresses MAC des demandeurs actuellement connectés sont affichées en bas de la sortie.
Vérification de l’association du VLAN avec l’interface
Objet
Affichez l’état de l’interface et l’appartenance au VLAN.
Mesures à prendre
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblocked
Signification
Le champ VLAN members indique que l’interface ge-0/0/2.0 prend en charge à la fois le VLAN et voice-vlan le data-vlan VLAN. Le State champ indique que l’interface est opérationnelle.
Exemple : configuration de la VoIP avec 802.1X et LLDP-MED sur un commutateur EX Series avec prise en charge ELS
Cet exemple utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced Layer 2 Logiciels). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à Exemple : configuration de la VoIP avec 802.1X et LLDP-MED sur un commutateur EX Series. Pour plus de détails sur ELS, reportez-vous à la section Utilisation du CLI de Logiciels de couche 2 amélioré.
Vous pouvez configurer la VoIP sur un commutateur EX Series pour prendre en charge les téléphones IP. Le protocole LLDP-MED (Link Layer Discovery Protocol-Media Endpoint Discovery) transfère les paramètres VoIP du commutateur au téléphone. Vous configurez également l’authentification 802.1X pour autoriser l’accès téléphonique au réseau LAN. L’authentification se fait via un serveur RADIUS backend.
Cet exemple décrit comment configurer la VoIP sur un commutateur EX Series pour prendre en charge un téléphone IP Avaya, ainsi que comment configurer le protocole LLDP-MED et l’authentification 802.1X :
Exigences
Cet exemple utilise les composants logiciels et matériels suivants :
Cet exemple s’applique également aux commutateurs QFX5100.
Junos OS version 13.2X50 ou ultérieure pour les commutateurs EX Series
Un commutateur EX Series avec prise en charge d’ELS agissant comme une entité d’accès au port d’authentification (PAE). Les interfaces du PAE d’authentificateur forment une porte de contrôle qui bloque tout le trafic à destination et en provenance des demandeurs jusqu’à ce qu’ils soient authentifiés.
Un téléphone IP Avaya prenant en charge LLDP-MED et 802.1X
Avant de configurer la VoIP, assurez-vous d’avoir :
Installez votre commutateur EX Series - effectué. Consultez les informations d’installation de votre commutateur.
Effectuez la configuration initiale du commutateur. Reportez-vous à la section Connexion et configuration d’un commutateur EX Series (procédure CLI).
A effectué un pontage de base et une configuration VLAN sur le commutateur. Voir Exemple : configuration d’un pontage de base et d’un VLAN pour un commutateur EX Series avec prise en charge d’ELS ou Exemple : configuration d’un pontage de base et d’un VLAN sur des commutateurs.
Configuration du serveur RADIUS pour l’authentification 802.1X et configuration du profil d’accès. Voir Exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
(Facultatif) Configurez l’interface ge-0/0/2 pour Power over Ethernet (PoE). La configuration PoE n’est pas nécessaire si le demandeur VoIP utilise un bloc d’alimentation. Pour plus d’informations sur la configuration du mode PoE, reportez-vous à la section Configuration des interfaces PoE sur les commutateurs EX Series.
Si l’adresse IP n’est pas configurée sur le téléphone IP Avaya, le téléphone échange des informations LLDP-MED pour obtenir l’ID VLAN du VLAN vocal. Vous devez configurer l’instruction voip sur l’interface pour désigner l’interface comme interface VoIP et permettre au commutateur de transférer le nom du VLAN et l’ID du VLAN vocal au téléphone IP. Le téléphone IP utilise ensuite le VLAN vocal (c’est-à-dire qu’il fait référence à l’ID du VLAN vocal) pour envoyer une requête de découverte DHCP et échanger des informations avec le serveur DHCP (passerelle vocale).
Vue d’ensemble et topologie
Au lieu d’utiliser un téléphone ordinaire, vous connectez un téléphone IP directement au commutateur. Un téléphone IP dispose de tout le matériel et des logiciels nécessaires pour gérer la VoIP. Vous pouvez également alimenter un téléphone IP en le connectant à l’une des interfaces Power over Ethernet (PoE) du commutateur.
Les commutateurs EX Series peuvent accueillir un téléphone IP et un hôte final connecté à un seul port de commutateur. Dans un tel scénario, le trafic voix et données doit être séparé en différents domaines de diffusion, ou VLAN. Une méthode pour y parvenir consiste à configurer un VLAN vocal, qui permet aux ports d’accès d’accepter le trafic de données non balisé ainsi que le trafic vocal balisé provenant de téléphones IP, et d’associer chaque type de trafic à des VLAN séparés et distincts. Le trafic vocal (étiqueté) peut alors être traité différemment, avec généralement une priorité plus élevée que le trafic de données (non étiqueté).
Si une adresse MAC a été apprise sur les VLAN de données et vocaux, elle reste active à moins qu’elle ne soit égarée des deux VLAN ou que les deux VLAN soient supprimés.
Dans cet exemple, l’interface d’accès ge-0/0/2 du commutateur EX Series est connectée à un téléphone IP Avaya. Les téléphones Avaya ont un pont intégré qui vous permet de connecter un PC de bureau au téléphone, de sorte que le bureau et le téléphone d’un seul bureau ne nécessitent qu’une seule interface sur le commutateur. Le commutateur EX Series est connecté à un serveur RADIUS sur l’interface ge-0/0/10 (voir Figure 4).
Ce chiffre s’applique également aux commutateurs QFX5100.
VoIP
Dans cet exemple, vous configurez les paramètres VoIP et spécifiez la classe assured-forward de transfert pour le trafic vocal afin de fournir la meilleure qualité de service.
Le Tableau 2 décrit les composants utilisés dans cet exemple de configuration VoIP.
| Propriété | Paramètres |
|---|---|
Matériel de commutation |
Commutateur EX Series avec prise en charge d’ELS. |
Noms et ID de VLAN |
données-VLAN, 77 Voix-VLAN, 99 |
Connexion au téléphone Avaya : avec hub intégré, pour connecter le téléphone et le PC de bureau à une interface unique (nécessite PoE) |
GE-0/0/2 |
Un serveur RADIUS |
Fournit une base de données backend connectée au commutateur via l’interface ge-0/0/10. |
Outre la configuration d’une VoIP pour l’interface ge-0/0/2, vous configurez :
Authentification 802.1X. L’authentification est définie sur
multiplele mode demandeur pour prendre en charge l’accès de plusieurs demandeurs au LAN via l’interface ge-0/0/2.Informations sur le protocole LLDP-MED. Le commutateur utilise LLDP-MED pour transmettre les paramètres VoIP au téléphone. L’utilisation de LLDP-MED garantit que le trafic vocal est balisé et hiérarchisé avec les valeurs correctes à la source même. Par exemple, les informations relatives à la classe de service 802.1p et à la balise 802.1Q peuvent être envoyées au téléphone IP.
Remarque :Une configuration PoE n’est pas nécessaire si un téléphone IP utilise un bloc d’alimentation.
Topologie
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement VoIP, LLDP-MED et 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal de commutation :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procédure étape par étape
Pour configurer la VoIP avec LLDP-MED et 802.1X :
Configurez les VLAN pour la voix et les données :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Associez le vlan data-vlan à l’interface :
[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0Configurez l’interface en tant qu’interface d’accès, configurez la prise en charge de la commutation Ethernet et ajoutez l’interface en tant que membre du VLAN data-vlan :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
Remarque :Vous ne devez pas configurer à la fois les données et la voix sur le même VLAN. Si vous configurez les données et la voix sur le même VLAN, la configuration ne sera pas acceptée.
Si vous avez activé l’authentification 802.1X sur votre commutateur et que :
-
Le VLAN vocal que vous avez configuré est le même que le VLAN de données envoyé par le serveur d’authentification.
-
Le VLAN de données que vous avez configuré est le même que le VLAN vocal envoyé par le serveur d’authentification, ou
-
Le VLAN de données et le VLAN vocal envoyés par le serveur d’authentification sont les mêmes
Le client passe à l’état HELD.
-
Configurez la VoIP sur l’interface et spécifiez la
assured-forwardingclasse de transfert pour fournir la classe de service la plus fiable :[edit switch—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configurer la prise en charge du protocole LLDP-MED :
[edit protocols] user@switch# set lldp-med interface ge-0/0/2
Pour authentifier un téléphone IP et un PC connecté au téléphone IP sur l’interface, configurez la prise en charge de l’authentification 802.1X et spécifiez
multiplele mode suppliant :Remarque :Si vous ne souhaitez authentifier aucun appareil, ignorez la configuration 802.1X sur cette interface.
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Résultats
Affichez les résultats de la configuration :
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2;
}
dot1x {
authenticator {
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
switch-options {
interface ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
switch-options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérification de la configuration LLDP-MED
- Vérification de l’authentification 802.1X pour les téléphones IP et les PC de bureau
- Vérification de l’association du VLAN avec l’interface
Vérification de la configuration LLDP-MED
Objet
Vérifiez que LLDP-MED est activé sur l’interface.
Mesures à prendre
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
Signification
La show lldp detail sortie montre que les deux LLDP et LLDP-MED sont configurés sur l’interface ge-0/0/2 . La fin de la sortie affiche la liste des TLV de gestion de base LLDP pris en charge et des TLV spécifiques à l’organisation pris en charge.
Vérification de l’authentification 802.1X pour les téléphones IP et les PC de bureau
Objet
Affichez la configuration 802.1X pour confirmer que l’interface VoIP a accès au LAN.
Mesures à prendre
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Signification
Le champ Rôle indique que l’interface ge-0/0/2.0 est à l’état d’authentificateur. Le champ Mode demandeur indique que l’interface est configurée en multiple mode demandeur, ce qui permet d’authentifier plusieurs demandeurs sur cette interface. Les adresses MAC des demandeurs actuellement connectés sont affichées en bas de la sortie.
Vérification de l’association du VLAN avec l’interface
Objet
Affichez l’appartenance VLAN de l’interface.
Mesures à prendre
user@switch> show ethernet-switching interface ge-0/0/2.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/2.0 65535 untagged
voice-vlan 99
65535 Discarding
data-vlan 77
65535 Discarding
Signification
Le champ VLAN members indique que l’interface ge-0/0/2.0 prend en charge à la fois le VLAN de données et le VLAN vocal .
Exemple : configuration de la VoIP sur un commutateur EX Series prenant en charge ELS sans inclure l’authentification 802.1X
Cet exemple utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced Layer 2 Logiciels). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à Exemple : configuration de VoIP sur un commutateur EX Series sans inclure l’authentification 802.1X. Pour plus de détails sur ELS, reportez-vous à la section Utilisation du CLI de Logiciels de couche 2 amélioré.
Vous pouvez configurer la voix sur IP (VoIP) sur un commutateur EX Series pour prendre en charge les téléphones IP.
Pour configurer la VoIP sur un commutateur EX Series afin de prendre en charge un téléphone IP qui ne prend pas en charge l’authentification 802.1X, vous devez soit ajouter l’adresse MAC du téléphone à la liste de contournement MAC statique, soit activer l’authentification MAC RADIUS sur le commutateur.
Cet exemple décrit comment configurer la VoIP sur un commutateur EX Series sans authentification 802.1X en utilisant le contournement MAC statique de l’authentification :
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Ce chiffre s’applique également aux commutateurs QFX5100.
Un commutateur EX Series avec prise en charge d’ELS
Junos OS version 13.2 ou ultérieure pour les commutateurs EX Series
Un téléphone IP Avaya
Avant de configurer la VoIP, assurez-vous d’avoir :
Installez votre commutateur EX Series - effectué. Consultez les informations d’installation de votre commutateur.
Effectuez la configuration initiale du commutateur. Reportez-vous à la section Connexion et configuration d’un commutateur EX Series (procédure CLI).
A effectué un pontage de base et une configuration VLAN sur le commutateur. Voir Exemple : configuration d’un pontage de base et d’un VLAN pour un commutateur EX Series avec prise en charge d’ELS ou Exemple : configuration d’un pontage de base et d’un VLAN sur des commutateurs.
Configuration du serveur RADIUS pour l’authentification 802.1X et configuration du profil d’accès. Voir Exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
(Facultatif) Configurez l’interface ge-0/0/2 pour Power over Ethernet (PoE). La configuration PoE n’est pas nécessaire si le demandeur VoIP utilise un bloc d’alimentation. Pour plus d’informations sur la configuration du mode PoE, reportez-vous à la section Configuration des interfaces PoE sur les commutateurs EX Series.
Si l’adresse IP n’est pas configurée sur le téléphone IP Avaya, le téléphone échange des informations LLDP-MED pour obtenir l’ID VLAN du VLAN vocal. Vous devez configurer l’instruction voip sur l’interface pour désigner l’interface comme interface VoIP et permettre au commutateur de transférer le nom du VLAN et l’ID du VLAN vocal au téléphone IP. Le téléphone IP utilise ensuite le VLAN vocal (c’est-à-dire qu’il fait référence à l’ID du VLAN vocal) pour envoyer une requête de découverte DHCP et échanger des informations avec le serveur DHCP (passerelle vocale).
Vue d’ensemble
Au lieu d’utiliser un téléphone ordinaire, vous connectez un téléphone IP directement au commutateur. Un téléphone IP dispose de tout le matériel et des logiciels nécessaires pour gérer la VoIP. Vous pouvez également alimenter un téléphone IP en le connectant à l’une des interfaces Power over Ethernet (PoE) du commutateur.
Dans cet exemple, l’interface d’accès ge-0/0/2 du commutateur EX Series est connectée à un téléphone IP non 802.1X.
Pour configurer VoIP sur un commutateur EX Series afin de prendre en charge un téléphone IP qui ne prend pas en charge l’authentification 802.1X, ajoutez l’adresse MAC du téléphone en tant qu’entrée statique dans la base de données d’authentification et définissez le mode demandeur sur multiple.
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement la VoIP sans utiliser l’authentification 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procédure étape par étape
Pour configurer la VoIP sans authentification 802.1X :
Configurez les VLAN pour la voix et les données :
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Configurez l’interface en tant qu’interface d’accès, configurez la prise en charge de la commutation Ethernet et ajoutez l’interface en tant que membre du
data-vlanVLAN :[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
Remarque :Vous ne devez pas configurer à la fois les données et la voix sur le même VLAN. Si vous configurez les données et la voix sur le même VLAN, la configuration ne sera pas acceptée.
Configurez la VoIP sur l’interface et spécifiez la
assured-forwardingclasse de transfert pour fournir la classe de service la plus fiable :[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configurer la prise en charge du protocole LLDP-MED :
[edit protocols] user@switch# set lldp-med interface ge-0/0/2
Définissez le profil d’authentification avec le nom
auth-profile(voir Configuration des paramètres d’interface 802.1X (procédure CLI) et Configuration de la comptabilité RADIUS 802.1X (procédure CLI)) :[edit protocols] user@switch# set dot1x authenticator authentication-profile-name auth-profile
Ajoutez l’adresse MAC du téléphone à la liste de contournement MAC statique :
[edit protocols] user@switch# set dot1x authenticator static 00:04:f2:11:aa:a7
Réglez le mode demandeur sur plusieurs :
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Résultats
Affichez les résultats de la configuration :
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2;
}
dot1x {
authenticator {
authentication-profile-name auth-profile;
static {
00:04:f2:11:aa:a7;
}
}
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
switch-options {
interface ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
switch-options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérification de la configuration LLDP-MED
- Vérification de l’authentification pour l’ordinateur de bureau
- Vérification de l’association du VLAN avec l’interface
Vérification de la configuration LLDP-MED
Objet
Vérifiez que LLDP-MED est activé sur l’interface.
Mesures à prendre
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
Signification
La show lldp detail sortie de la commande indique que LLDP et LLDP-MED sont configurés sur l’interface ge-0/0/2 . La fin de la sortie affiche la liste des TLV de gestion de base LLDP pris en charge et des TLV spécifiques à l’organisation pris en charge.
Vérification de l’authentification pour l’ordinateur de bureau
Objet
Affichez la configuration 802.1X pour le PC de bureau connecté à l’interface VoIP via le téléphone IP.
Mesures à prendre
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Signification
Le champ Role indique que l’interface ge-0/0/2.0 a le rôle d’authentificateur. Le Supplicant Mode champ indique que l’interface est configurée en multiple mode demandeur, ce qui permet d’authentifier plusieurs demandeurs sur cette interface. Les adresses MAC des demandeurs actuellement connectés sont affichées en bas de la sortie.
Vérification de l’association du VLAN avec l’interface
Objet
Affichez l’appartenance VLAN de l’interface.
Mesures à prendre
user@switch> show ethernet-switching interface ge-0/0/2.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/2.0 65535 untagged
voice-vlan 99
65535 Discarding
data-vlan 77
65535 Discarding
Signification
Le Vlan members champ indique que l’interface ge-0/0/2.0 prend en charge à la fois le VLAN et voice-vlan le data-vlan VLAN.