このページの内容
EXシリーズスイッチでのVoIP
EXシリーズスイッチでVoIP(Voice over IP)を設定して、IP 電話をサポートできます。VoIP を使用する場合、スイッチに IP 電話を接続し、802.1X 互換 IP 電話用の IEEE 802.1X 認証を構成できます。詳細については、このトピックをお読みください。
EXシリーズスイッチでの802.1XとVoIPについて
VoIP を使用する場合、スイッチに IP 電話を接続し、802.1X 互換 IP 電話用の IEEE 802.1X 認証を構成できます。802.1X認証は、ネットワークエッジセキュリティを提供し、イーサネットLANを不正なユーザーアクセスから保護します。
VoIPは、パケット交換ネットワークを介して音声を送信するために使用されるプロトコルです。VoIPは、アナログ電話回線ではなくネットワーク接続を使用して音声通話を送信します。
VoIP を 802.1X で使用する場合、RADIUS サーバーが電話を認証し、Link Layer Discovery Protocol-Media Endpoint Discovery(LLDP-MED)がサービス クラス(CoS)パラメーターを電話に提供します。
802.1X認証を設定して、複数のサプリカントモードまたはシングルサプリカントモードでVoIPを動作させることができます。 複数のサプリカント モードでは、802.1Xプロセスにより、複数のサプリカントがインターフェイスに接続できます。各サプリカントは個別に認証されます。VoIPの複数のサプリカントトポロジーの例については、 図1を参照してください。
802.1X 互換 IP 電話に 802.1X ホストがなく、そのデータ ポートに別の 802.1X 互換デバイスが接続されている場合、シングル サプリカント モードで電話をインターフェイスに接続できます。 シングル サプリカント モードでは、802.1X プロセスは最初のサプリカントのみを認証します。後からインターフェイスに接続する他のすべてのサプリカントは、さらなる認証なしでフルアクセスを許可されます。これらは、最初のサプリカントの認証に事実上「ピギーバック」します。VoIPのシングルサプリカントトポロジーの例については、 図2 を参照してください。
IP 電話が 802.1X をサポートしていない場合、802.1X と LLDP-MED をバイパスしてパケットを VoIP VLAN に転送するように VoIP を設定できます。
マルチドメイン802.1X認証
マルチドメイン802.1X認証は、1つのデフォルトVoIPデバイスと複数のデータデバイスが単一のポートで認証できるようにするマルチサプリカントモードの拡張です。マルチドメイン802.1X認証は、ポート上の認証済みデータとVoIPセッションの数を制限することで、マルチサプリカントモードでのセキュリティ強化を提供します。マルチ サプリカント モードでは、任意の数の VoIP またはデータ セッションを認証できます。セッション数はMAC制限を使用して制限できますが、特にデータセッションまたはVoIPセッションに制限を適用する方法はありません。
マルチドメイン802.1X認証では、単一のポートが2つのドメインに分割されます。1つはデータドメインで、もう1つは音声ドメインです。マルチドメイン802.1X認証では、ドメインに基づいて個別のセッションカウントが維持されます。ポートで許可される認証済みデータセッションの最大数を設定できます。VoIPセッションの数は設定できません。ポートで許可される認証済みVoIPセッションは1つだけです。
最大セッション数に達した後に新しいクライアントがインターフェイスで認証を試みた場合、デフォルトのアクションはパケットをドロップし、エラーログメッセージを生成します。インターフェイスをシャットダウンするアクションを設定することもできます。ポートは、 clear dot1x recovery-timeout コマンドを発行して手動でダウン状態から回復することも、設定された回復タイムアウト期間後に自動的に回復することもできます。
マルチドメイン認証では、デバイス認証の順序は強制されません。ただし、最良の結果を得るには、マルチドメイン802.1X対応ポート上のデータデバイスよりも先にVoIPデバイスを認証する必要があります。マルチドメイン認証は、マルチサプリカントモードでのみサポートされます。
関連項目
例:EXシリーズスイッチで802.1XとLLDP-MEDを使用したVoIPをセットアップする
EXシリーズスイッチでVoIP(Voice over IP)を設定して、IP 電話をサポートできます。Link Layer Discovery Protocol–Media Endpoint Discovery(LLDP-MED)プロトコルは、スイッチから電話機に VoIP パラメーターを転送します。また、802.1X 認証を設定して、LAN への電話アクセスを許可します。認証は、バックエンドの RADIUS サーバーを介して行われます。
この例では、Avaya IP 電話、LLDP-MED プロトコル、802.1X 認証をサポートするように EXシリーズ スイッチ上で VoIP を設定する方法について説明します。
スイッチが拡張レイヤー 2 ソフトウェア(ELS)設定スタイルをサポートする EXシリーズ スイッチで Junos OS を実行している場合は、 例:ELS をサポートする EXシリーズ スイッチで 802.1X および LLDP-MED を使用した VoIP をセットアップするを参照してください。ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
EXシリーズスイッチ向け Junos OSリリース9.1以降
認証コードのポートアクセスエンティティ(PAE)として動作する1つのEXシリーズスイッチ。認証側PAEのインターフェイスは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
LLDP-MEDおよび802.1XをサポートするAvaya 9620 IP電話
VoIPを設定する前に、以下を確認してください。
EXシリーズスイッチをインストールしている。 EX3200スイッチの設置と接続を参照してください。
初期スイッチ設定を実行しました。 EXシリーズスイッチの接続と設定(J-Web手順)を参照してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。 例:EXシリーズスイッチの基本的なブリッジングとVLANの設定を参照してください。
RADIUSサーバーを802.1X認証用に構成し、アクセスプロファイルを設定します。 例:802.1X用RADIUSサーバーをEXシリーズスイッチに接続するを参照してください。
(オプション)パワーオーバーイーサネット(PoE)用にインターフェイス ge-0/0/2 を設定しました。VoIP サプリカントが電源アダプターを使用している場合、PoE の設定は必要ありません。PoEの設定については、 EXシリーズスイッチでのPoEインターフェイスの設定を参照してください。
IPアドレスがAvaya IP電話で設定されていない場合、電話はLLDP-MED情報を交換して音声VLANのVLAN IDを取得します。インターフェイスをVoIPインターフェイスとして指定し、スイッチが音声VLANのVLAN名とVLAN IDをIP電話に転送できるようにするには、インターフェイス上で voip ステートメントを設定する必要があります。次に、IP 電話は音声 VLAN を使用して(つまり、音声 VLAN の ID を参照します)、DHCP ディスカバリー要求を送信し、DHCP サーバー(音声ゲートウェイ)と情報を交換します。
概要とトポロジー
通常の電話を使用する代わりに、IP 電話をスイッチに直接接続します。IP 電話には、VoIP を処理するために必要なハードウェアとソフトウェアがすべて備わっています。また、スイッチ上のパワーオーバーイーサネット(PoE)インターフェイスの1つに接続することで、IP電話に電力を供給することもできます。
この例では、EX4200スイッチのアクセスインターフェイス ge-0/0/2 がAvaya 9620 IP電話に接続されています。Avaya 電話には、デスクトップ PC を電話に接続できるブリッジが組み込まれているため、1 つのオフィス内のデスクトップと電話では、スイッチ上のインターフェイスが 1 つだけ必要です。EXシリーズスイッチは、インターフェイス ge-0/0/10 上のRADIUSサーバーに接続されています( 図3を参照)。
この例では、VoIPパラメータを設定し、音声トラフィックの転送クラスを 保証 して指定することで、最高のサービス品質を提供します。
表1は、このVoIP設定例で使用するコンポーネントを示しています。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EX4200スイッチ |
VLAN名 |
data-vlan音声VLAN |
Avaya電話への接続—統合ハブを使用し、電話とデスクトップPCを単一のインターフェイスに接続します(PoEが必要) |
ge-0/0/2 |
1台のRADIUSサーバー |
インターフェイス ge-0/0/10を介してスイッチに接続されたバックエンドデータベースを提供します。 |
インターフェイス ge-0/0/2のVoIPを設定するだけでなく、以下も設定します。
802.1X認証。認証は、インターフェイスge-0/0/2を介して複数のサプリカントによるLANへのアクセスをサポートするために、複数のサプリカントに設定されています。
LLDP-MEDプロトコル情報。スイッチはLLDP-MEDを使用して電話機にVoIPパラメータを転送します。LLDP-MEDを使用することで、音声トラフィックが送信元自体で正しい値でタグ付けされ、優先度が付けられるようになります。例えば、802.1p サービス クラスと 802.1Q タグ情報を IP 電話に送信できます。
注:IP 電話が電源アダプターを使用している場合、PoE 設定は必要ありません。
設定
VoIP、LLDP-MED、および802.1X認証を設定するには:
手順
CLIクイックコンフィグレーション
VoIP、LLDP-MED、および 802.1X を迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
ステップバイステップの手順
LLDP-MEDおよび802.1XでVoIPを設定するには、次の手順に従います。
音声とデータのVLANを設定します。
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
VLAN data-vlan をインターフェイスに関連付けます。
[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0インターフェイスをアクセスインターフェイスとして設定し、イーサネットスイッチングのサポートを設定し、 data-vlan VLANを追加します。
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
インターフェイス上でVoIPを設定し、最も信頼性の高いサービスクラスを提供するために、 保証 転送フォワーディングクラスを指定します。
[edit ethernet—switching—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
LLDP-MEDプロトコルサポートを設定します。
[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
インターフェイス上でIP電話とIP電話に接続されたPCを認証するには、802.1X認証サポートを設定し、 複数の サプリカントモードを指定します。
注:デバイスを認証しない場合は、このインターフェイスでの 802.1X 設定をスキップします。
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
結果
設定の結果の表示:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2.0;
}
dot1x {
authenticator {
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
LLDP-MED設定の確認
目的
LLDP-MEDがインターフェイスで有効になっていることを確認します。
アクション
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
意味
show lldp detail出力は、LLDPとLLDP-MEDの両方がge-0/0/2.0インターフェイスで設定されていることを示しています。出力の末尾には、サポートされているLLDP基本TLV、802.3 TLV、およびLLDP-MED TLVのリストが表示されます。
IP 電話およびデスクトップ PC の 802.1X 認証の検証
目的
802.1X 設定を表示して、VoIP インターフェイスが LAN にアクセスできることを確認します。
アクション
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意味
ロールフィールドは、ge-0/0/2.0インターフェイスがオーセンティケータ状態であることを示しています。Supplicantフィールドは、インターフェイスが複数のサプリカントモードで設定されており、このインターフェイスで複数のサプリカントを認証できることを示しています。現在接続されているサプリカントのMACアドレスが出力の下部に表示されます。
インターフェイスとのVLANの関連付けの検証
目的
インターフェイスの状態とVLANメンバーシップを表示します。
アクション
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblocked
意味
フィールドVLANメンバーは、ge-0/0/2.0インターフェイスがdata-vlan VLANとvoice-vlan VLANの両方をサポートしていることを示しています。状態フィールドは、インターフェイスが稼働していることを示しています。
例:LLDP-MEDサポートなしのEXシリーズスイッチ上でVoIPを設定する
EXシリーズスイッチでVoIP(Voice over IP)を設定して、IP 電話をサポートできます。Link Layer Discovery Protocol–Media Endpoint Discovery(LLDP-MED)プロトコルは、スイッチから電話にVoIPパラメータを転送するためにIP電話で使用される場合があります。ただし、すべてのIP電話がLLDP-MEDをサポートしているわけではありません。
この例では、LLDP-MED を使用せずに EXシリーズ スイッチ上で VoIP を設定する方法について説明します。
- 要件
- 概要
- アクセス ポートで音声 VLAN を使用して、LLDP-MED なしの VoIP を設定する
- ネイティブVLANオプション付きトランクポートの使用によるLLDP-MEDなしのVoIPの設定
- 検証
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
ELS をサポートする 1 つの EXシリーズ スイッチは、認証コードのポートアクセスエンティティ(PAE)として機能します。認証側PAEのインターフェイスは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
LLDP-MEDをサポートしていないIP電話。
EXシリーズスイッチ向けJunos OSリリース13.2X50以降。
VoIPを設定する前に、以下を確認してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。 例:ELSをサポートするEXシリーズスイッチの基本的なブリッジングとVLANの設定 を参照してください。
IP 電話を音声 VLAN のメンバーとして構成しました。
(オプション)パワーオーバーイーサネット(PoE)用にインターフェイスge-0/0/2を設定しました。VoIP サプリカントが電源アダプターを使用している場合、PoE の設定は必要ありません。 EXシリーズスイッチでのPoEインターフェイスの設定を参照してください。
概要
通常の電話を使用する代わりに、IP 電話をスイッチに直接接続します。IP 電話には、VoIP を処理するために必要なハードウェアとソフトウェアがすべて備わっています。また、スイッチ上のパワーオーバーイーサネット(PoE)インターフェイスの1つに接続することで、IP電話に電力を供給することもできます。
EXシリーズスイッチは、1つのスイッチポートに接続されたIP電話とエンドホストを収容できます。このようなシナリオでは、音声トラフィックとデータトラフィックを異なるブロードキャストドメイン(VLAN)に分割する必要があります。これを実現する方法の1つは、音声VLANを設定することです。これにより、アクセスポートはタグなしのデータトラフィックとIP電話からのタグ付きの音声トラフィックを受け入れ、各タイプのトラフィックを個別の異なるVLANに関連付けることができます。音声トラフィック(タグ付き)は、通常、データトラフィック(タグなし)よりも優先度が高く、異なる方法で処理できます。
音声VLANは、LLDP-MEDをサポートするIP電話で使用した場合に最大のメリットをもたらしますが、LLDP-MEDをサポートしていないIP電話でも有効に使用できる柔軟性を備えています。ただし、LLDP-MEDがない場合、LLDP-MEDでは動的に実行できないため、音声VLAN IDをIP電話で手動で設定する必要があります。LLDP-MEDをサポートするIP電話の音声VLANの設定については、 例:ELSをサポートするEXシリーズスイッチで802.1XとLLDP-MEDを使用したVoIPを設定するを参照してください。
音声(タグ付き)トラフィックとデータ(タグなし)トラフィックを異なるVLANに分離する別の方法は、ネイティブVLAN IDオプションでトランクポートを使用することです。トランクポートは音声VLANのメンバーとして追加され、そのVLANからのタグ付き音声トラフィックのみを処理します。また、トランクポートはデータVLANからのタグなしデータトラフィックを処理できるように、データVLANのネイティブVLAN IDで設定する必要があります。この設定では、IP 電話で音声 VLAN ID を手動で設定する必要があります。
この例では、両方の方法を示しています。この例では、スイッチ上のインターフェイスge-0/0/2は、LLDP-MED以外のIP電話に接続されています。
IP 電話における音声 VLAN の実装は、ベンダーによって異なります。音声VLANの設定方法については、IP電話に付属のマニュアルを参照してください。例えば、Avaya電話では、DHCPオプション176を有効にすることで、LLDP-MEDがない場合でも電話が正しいVoIP VLAN IDを取得するようにすることができます。
トポロジー
アクセス ポートで音声 VLAN を使用して、LLDP-MED なしの VoIP を設定する
手順
CLIクイックコンフィグレーション
VoIPをすばやく設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding
ステップバイステップの手順
データトラフィック用と音声トラフィック用の2つのVLANを設定します。
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
注:音声VLAN IDは、IP電話で手動で設定する必要があります。
VLAN
data-vlanをインターフェイス ge-0/0/2 に関連付けます。[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0
インターフェイスge-0/0/2をデータVLANに属するアクセスポートとして設定します。
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
インターフェイスge-0/0/2でVoIPを設定し、このインターフェイスを音声VLANに追加します。
[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
最も信頼性の高いサービスクラスを提供するために、保証フォワーディングフォワーディングクラスを指定します。
[edit switch-options] user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
結果
設定の結果の表示:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
ネイティブVLANオプション付きトランクポートの使用によるLLDP-MEDなしのVoIPの設定
手順
CLIクイックコンフィグレーション
VoIPをすばやく設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
ステップバイステップの手順
データトラフィック用と音声トラフィック用の2つのVLANを設定します。
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
注:音声VLAN IDは、IP電話で手動で設定する必要があります。
音声 VLAN のみを含むトランク ポートとしてインターフェイス ge-0/0/2 を設定します。
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
トランクポートでデータVLANのネイティブVLAN IDを設定します。
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
結果
設定の結果の表示:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members voice-vlan;
}
native-vlan-id data-vlan;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
}
voice-vlan {
vlan-id 99;
}
}
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
インターフェイスとのVLANの関連付けの検証
目的
インターフェイスの状態とVLANメンバーシップを表示します。
アクション
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblocked
意味
フィールド VLAN members は、ge-0/0/2.0インターフェイスがデータVLAN(data-vlan)と音声VLAN(voice-vlan)の両方をサポートしていることを示しています。 State フィールドは、インターフェイスが稼働していることを示しています。
例:LLDP-MEDサポートなしのEXシリーズスイッチ上でVoIPを設定する
EXシリーズスイッチでVoIP(Voice over IP)を設定して、IP 電話をサポートできます。Link Layer Discovery Protocol–Media Endpoint Discovery(LLDP-MED)プロトコルは、スイッチから電話にVoIPパラメータを転送するためにIP電話で使用される場合があります。ただし、すべてのIP電話がLLDP-MEDをサポートしているわけではありません。
この例では、LLDP-MED を使用せずに EXシリーズ スイッチ上で VoIP を設定する方法について説明します。
- 要件
- 概要
- アクセス ポートで音声 VLAN を使用して、LLDP-MED なしの VoIP を設定する
- ネイティブVLANオプション付きトランクポートの使用によるLLDP-MEDなしのVoIPの設定
- 検証
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
認証コードのポートアクセスエンティティ(PAE)として動作する EX4200 スイッチ 1 台。認証側PAEのインターフェイスは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
LLDP-MEDをサポートしていないIP電話。
EXシリーズスイッチ向けJunos OSリリース9.1以降。
VoIPを設定する前に、以下を確認してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。 例:EXシリーズスイッチの基本的なブリッジングとVLANの設定を参照してください。
IP 電話を音声 VLAN のメンバーとして構成しました。
(オプション)パワーオーバーイーサネット(PoE)用にインターフェイスge-0/0/2を設定しました。VoIP サプリカントが電源アダプターを使用している場合、PoE の設定は必要ありません。 EXシリーズスイッチでのPoEインターフェイスの設定を参照してください。
概要
通常の電話を使用する代わりに、IP 電話をスイッチに直接接続します。IP 電話には、VoIP を処理するために必要なハードウェアとソフトウェアがすべて備わっています。また、スイッチ上のパワーオーバーイーサネット(PoE)インターフェイスの1つに接続することで、IP電話に電力を供給することもできます。
EXシリーズスイッチは、1つのスイッチポートに接続されたIP電話とエンドホストを収容できます。このようなシナリオでは、音声トラフィックとデータトラフィックを異なるブロードキャストドメイン(VLAN)に分割する必要があります。これを実現する方法の1つは、音声VLANを設定することです。これにより、アクセスポートはタグなしのデータトラフィックとIP電話からのタグ付きの音声トラフィックを受け入れ、各タイプのトラフィックを個別の異なるVLANに関連付けることができます。音声トラフィック(タグ付き)は、通常、データトラフィック(タグなし)よりも優先度が高く、異なる方法で処理できます。
音声VLANは、LLDP-MEDをサポートするIP電話で使用した場合に最大のメリットをもたらしますが、LLDP-MEDをサポートしていないIP電話でも有効に使用できる柔軟性を備えています。ただし、LLDP-MEDがない場合、LLDP-MEDでは動的に実行できないため、音声VLAN IDをIP電話で手動で設定する必要があります。LLDP-MEDをサポートするIP電話の音声VLANの設定については、 例:EXシリーズスイッチで802.1XとLLDP-MEDを使用したVoIPを設定するを参照してください。
音声(タグ付き)トラフィックとデータ(タグなし)トラフィックを異なるVLANに分離する別の方法は、ネイティブVLAN IDオプションでトランクポートを使用することです。トランクポートは音声VLANのメンバーとして追加され、そのVLANからのタグ付き音声トラフィックのみを処理します。また、トランクポートはデータVLANからのタグなしデータトラフィックを処理できるように、データVLANのネイティブVLAN IDで設定する必要があります。この設定では、IP 電話で音声 VLAN ID を手動で設定する必要があります。
この例では、両方の方法を示しています。この例では、EX4200スイッチのインターフェイスge-0/0/2は、LLDP-MED以外のIP電話に接続されています。
IP 電話における音声 VLAN の実装は、ベンダーによって異なります。音声VLANの設定方法については、IP電話に付属のマニュアルを参照してください。例えば、Avaya電話では、DHCPオプション176を有効にすることで、LLDP-MEDがない場合でも電話が正しいVoIP VLAN IDを取得するようにすることができます。
トポロジー
アクセス ポートで音声 VLAN を使用して、LLDP-MED なしの VoIP を設定する
手順
CLIクイックコンフィグレーション
VoIPをすばやく設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan
ステップバイステップの手順
データトラフィック用と音声トラフィック用の2つのVLANを設定します。
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
注:音声VLAN IDは、IP電話で手動で設定する必要があります。
インターフェイスge-0/0/2でVLAN data-vlan を設定します。
[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0
インターフェイスge-0/0/2をデータVLANに属するアクセスポートとして設定します。
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
インターフェイスge-0/0/2でVoIPを設定し、このインターフェイスを音声VLANに追加します。
[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
結果
設定の結果の表示:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
}
}
}
ネイティブVLANオプション付きトランクポートの使用によるLLDP-MEDなしのVoIPの設定
手順
CLIクイックコンフィグレーション
VoIPをすばやく設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
ステップバイステップの手順
データトラフィック用と音声トラフィック用の2つのVLANを設定します。
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
注:音声VLAN IDは、IP電話で手動で設定する必要があります。
音声 VLAN のみを含むトランク ポートとしてインターフェイス ge-0/0/2 を設定します。
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
トランクポートでデータVLANのネイティブVLAN IDを設定します。
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
結果
設定の結果の表示:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members voice-vlan;
}
native-vlan-id data-vlan;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
}
voice-vlan {
vlan-id 99;
}
}
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
インターフェイスとのVLANの関連付けの検証
目的
インターフェイスの状態とVLANメンバーシップを表示します。
アクション
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblocked
意味
フィールド VLAN members は、ge-0/0/2.0インターフェイスがデータVLAN(data-vlan)と音声VLAN(voice-vlan)の両方をサポートしていることを示しています。 State フィールドは、インターフェイスが稼働していることを示しています。
例:802.1X認証を含めずにEXシリーズスイッチ上でVoIPを設定する
EXシリーズスイッチでVoIP(Voice over IP)を設定して、IP 電話をサポートできます。
802.1X認証をサポートしないIP電話をサポートするようにEXシリーズスイッチでVoIPを設定するには、電話のMACアドレスを静的MACバイパスリストに追加するか、スイッチでMAC RADIUS認証を有効にする必要があります。
この例では、静的 MAC 認証バイパスを使用して、802.1X 認証なしで EXシリーズ スイッチで VoIP を設定する方法について説明します。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
EXシリーズスイッチ向け Junos OSリリース9.1以降
IP 電話
VoIPを設定する前に、以下を確認してください。
EXシリーズスイッチをインストールしている。スイッチのインストール情報を参照してください。
初期スイッチ設定を実行しました。 EXシリーズスイッチの接続と設定(CLI手順)を参照してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。 例:EXシリーズスイッチの基本的なブリッジングとVLANの設定を参照してください。
RADIUSサーバーを802.1X認証用に構成し、アクセスプロファイルを設定します。 例:802.1X用RADIUSサーバーをEXシリーズスイッチに接続するを参照してください。
(オプション)Power over Ethernet(PoE)用に設定されたインターフェイス
ge-0/0/2。VoIP サプリカントが電源アダプターを使用している場合、PoE の設定は必要ありません。PoEの設定については、 EXシリーズスイッチでのPoEインターフェイスの設定を参照してください。
IPアドレスがAvaya IP電話で設定されていない場合、電話はLLDP-MED情報を交換して音声VLANのVLAN IDを取得します。インターフェイスをVoIPインターフェイスとして指定し、スイッチが音声VLANのVLAN名とVLAN IDをIP電話に転送できるようにするには、インターフェイス上で voip ステートメントを設定する必要があります。次に、IP 電話は音声 VLAN を使用して(つまり、音声 VLAN の ID を参照します)、DHCP ディスカバリー要求を送信し、DHCP サーバー(音声ゲートウェイ)と情報を交換します。
概要
通常の電話を使用する代わりに、IP 電話をスイッチに直接接続します。IP 電話には、VoIP を処理するために必要なハードウェアとソフトウェアがすべて備わっています。また、スイッチ上のパワーオーバーイーサネット(PoE)インターフェイスの1つに接続することで、IP電話に電力を供給することもできます。
この例では、EX4200スイッチ上のアクセスインターフェイス ge-0/0/2 は、非802.1X IP電話に接続されています。
802.1X認証をサポートしていないIP電話をサポートするようにEXシリーズスイッチでVoIPを設定するには、電話のMACアドレスを認証データベースの静的エントリーとして追加し、サプリカントモードを複数に設定します。
設定
802.1X認証なしでVoIPを設定するには:
手順
CLIクイックコンフィグレーション
VoIPをすばやく設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
ステップバイステップの手順
802.1XなしにVoIPを設定するには:
音声とデータのVLANを設定します。
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
VLAN
data-vlanをインターフェイスに関連付けます。[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0インターフェイスをアクセス インターフェイスとして設定し、イーサネット スイッチングのサポートを設定して、
data-vlanVLAN を追加します。[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
インターフェイス上でVoIPを設定し、
assured-forwardingフォワーディングクラスを指定して、最も信頼性の高いサービスクラスを提供します。[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
LLDP-MEDプロトコルサポートを設定します。
[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
認証プロファイルを設定します( 802.1Xインターフェイス設定の設定(CLI手順) および 802.1X RADIUSアカウンティングの設定(CLI手順)を参照してください)。
[edit protocols] set dot1x authenticator authentication-profile-name auth-profile
電話の MACアドレスを静的 MAC バイパスリストに追加します。
[edit protocols] set dot1x authenticator static 00:04:f2:11:aa:a7
サプリカントモードを複数に設定します。
[edit protocols] set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
結果
設定の結果の表示:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2.0;
}
dot1x {
authenticator {
authentication-profile-name auth-profile;
static {
00:04:f2:11:aa:a7;
}
}
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
LLDP-MED設定の確認
目的
LLDP-MEDがインターフェイスで有効になっていることを確認します。
アクション
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
意味
show lldp detail出力は、LLDPとLLDP-MEDの両方がge-0/0/2.0インターフェイスで設定されていることを示しています。出力の末尾には、サポートされているLLDP基本TLV、802.3 TLV、およびLLDP-MED TLVのリストが表示されます。
デスクトップPCの認証の確認
目的
IP 電話を介して VoIP インターフェイスに接続されたデスクトップ PC の 802.1X 設定を表示します。
アクション
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意味
フィールド Role は、 ge-0/0/2.0 インターフェイスがオーセンティケータ状態であることを示しています。 Supplicant フィールドは、インターフェイスが複数のサプリカントモードで設定されており、このインターフェイスで複数のサプリカントを認証できることを示しています。現在接続されているサプリカントのMACアドレスが出力の下部に表示されます。
インターフェイスとのVLANの関連付けの検証
目的
インターフェイスの状態とVLANメンバーシップを表示します。
アクション
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblocked
意味
フィールド VLAN members は、 ge-0/0/2.0 インターフェイスが data-vlan VLANと voice-vlan VLANの両方をサポートしていることを示しています。 State フィールドは、インターフェイスが稼働していることを示しています。
例:ELSをサポートするEXシリーズスイッチで802.1XとLLDP-MEDを使用したVoIPをセットアップする
この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートする EXシリーズ スイッチに Junos OS を使用します。スイッチがELSをサポートしていないソフトウェアを実行している場合は、 例:EXシリーズスイッチで802.1XとLLDP-MEDを使用したVoIPを設定するを参照してください。ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
EXシリーズスイッチでVoIPを設定して、IP電話をサポートできます。Link Layer Discovery Protocol–Media Endpoint Discovery(LLDP-MED)プロトコルは、スイッチから電話機に VoIP パラメーターを転送します。また、802.1X 認証を設定して、LAN への電話アクセスを許可します。認証は、バックエンドの RADIUS サーバーを介して行われます。
この例では、Avaya IP 電話をサポートするように EXシリーズ スイッチで VoIP を設定する方法、LLDP-MED プロトコルと 802.1X 認証を設定する方法について説明します。
要件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています。
この例は、QFX5100スイッチにも適用されます。
EXシリーズスイッチのJunos OSリリース13.2X50以降
ELS をサポートする 1 つの EXシリーズ スイッチは、認証コードのポートアクセスエンティティ(PAE)として機能します。認証側PAEのインターフェイスは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
LLDP-MEDおよび802.1XをサポートするAvaya IP電話
VoIPを設定する前に、以下を確認してください。
EXシリーズスイッチをインストールしている。スイッチのインストール情報を参照してください。
初期スイッチ設定を実行しました。 EXシリーズスイッチの接続と設定(CLI手順)を参照してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。 例:ELS をサポートする EXシリーズスイッチの基本的なブリッジングとVLANの設定 または 例: スイッチでの基本的なブリッジングとVLANの設定を参照してください。
RADIUSサーバーを802.1X認証用に構成し、アクセスプロファイルを設定します。 例:802.1X用RADIUSサーバーをEXシリーズスイッチに接続するを参照してください。
(オプション)パワーオーバーイーサネット(PoE)用にインターフェイスge-0/0/2を設定しました。VoIP サプリカントが電源アダプターを使用する場合、PoE 設定は必要ありません。PoEの設定については、 EXシリーズスイッチでのPoEインターフェイスの設定を参照してください。
IP アドレスが Avaya IP 電話で設定されていない場合、電話は LLDP-MED 情報を交換して音声 VLAN の VLAN ID を取得します。インターフェイスをVoIPインターフェイスとして指定し、スイッチが音声VLANのVLAN名とVLAN IDをIP電話に転送できるようにするには、インターフェイス上で voip ステートメントを設定する必要があります。次に、IP 電話は音声 VLAN を使用して(つまり、音声 VLAN の ID を参照します)、DHCP ディスカバリー要求を送信し、DHCP サーバー(音声ゲートウェイ)と情報を交換します。
概要とトポロジー
通常の電話を使用する代わりに、IP 電話をスイッチに直接接続します。IP 電話には、VoIP を処理するために必要なハードウェアとソフトウェアがすべて備わっています。また、スイッチ上のパワーオーバーイーサネット(PoE)インターフェイスの1つに接続することで、IP電話に電力を供給することもできます。
EXシリーズスイッチは、1つのスイッチポートに接続されたIP電話とエンドホストを収容できます。このようなシナリオでは、音声トラフィックとデータトラフィックを異なるブロードキャストドメイン(VLAN)に分割する必要があります。これを実現する方法の1つは、音声VLANを設定することです。これにより、アクセスポートはタグなしのデータトラフィックとIP電話からのタグ付きの音声トラフィックを受け入れ、各タイプのトラフィックを個別の異なるVLANに関連付けることができます。音声トラフィック(タグ付き)は、通常、データトラフィック(タグなし)よりも優先度が高く、異なる方法で処理できます。
データVLANと音声VLANの両方でMACアドレスが学習された場合、両方のVLANから古くなったり、両方のVLANが削除されない限り、そのアドレスはアクティブなままになります。
この例では、EXシリーズスイッチのアクセスインターフェイスge-0/0/2はAvaya IP電話に接続されています。Avaya電話には、デスクトップPCを電話に接続できるブリッジが組み込まれているため、1つのオフィス内のデスクトップと電話では、スイッチ上に1つのインターフェイスのみが必要です。EXシリーズスイッチは、ge-0/0/10インターフェイス上のRADIUSサーバーに接続されています( 図4を参照)。
この図は、QFX5100スイッチにも適用されます。
この例では、VoIPパラメータを設定し、音声トラフィックの転送クラス assured-forward を指定することで、最高品質のサービスを実現します。
表2は、このVoIP設定例で使用するコンポーネントを示しています。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
ELSをサポートするEXシリーズスイッチ。 |
VLAN 名と ID |
data-vlan、77 voice-vlan、99 |
Avaya電話への接続—統合ハブを使用し、電話とデスクトップPCを単一のインターフェイスに接続します(PoEが必要) |
ge-0/0/2 |
1台のRADIUSサーバー |
インターフェイスge-0/0/10を介してスイッチに接続されたバックエンドデータベースを提供します。 |
インターフェイスge-0/0/2のVoIPの設定に加えて、以下を設定します。
802.1X認証。認証は
multipleサプリカントモードに設定されており、インターフェイスge-0/0/2を介して複数のサプリカントによるLANへのアクセスをサポートします。LLDP-MEDプロトコル情報。スイッチはLLDP-MEDを使用して電話機にVoIPパラメータを転送します。LLDP-MEDを使用することで、音声トラフィックが送信元自体で正しい値でタグ付けされ、優先度が付けられるようになります。例えば、802.1p サービス クラスと 802.1Q タグ情報を IP 電話に送信できます。
注:IP 電話が電源アダプターを使用する場合、PoE の設定は必要ありません。
トポロジー
設定
手順
CLIクイックコンフィグレーション
VoIP、LLDP-MED、および 802.1X を迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
ステップバイステップの手順
LLDP-MEDおよび802.1XでVoIPを設定するには、次の手順に従います。
音声とデータのVLANを設定します。
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
VLAN data-vlan をインターフェイスに関連付けます。
[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0インターフェイスをアクセスインターフェイスとして設定し、イーサネットスイッチングのサポートを設定し、 data-vlan VLANのメンバーとしてインターフェイスを追加します。
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
注:同じ VLAN 上でデータと音声の両方を設定することはできません。同じVLAN上でデータと音声を設定する場合、その設定は受け入れられません。
スイッチで 802.1X 認証を有効にしており、以下の場合:
-
設定した音声VLANは、認証サーバーから送信されるデータVLANと同じです。
-
設定したデータVLANが、認証サーバーから送信される音声VLANと同じである、または
-
認証サーバーが送信するデータVLANと音声VLANは同じです
クライアントはHELD状態に移行します。
-
インターフェイス上でVoIPを設定し、最も信頼性の高いサービスクラスを提供するために、
assured-forwardingフォワーディングクラスを指定します。[edit switch—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
LLDP-MEDプロトコルサポートを設定します。
[edit protocols] user@switch# set lldp-med interface ge-0/0/2
インターフェイス上でIP電話とIP電話に接続されたPCを認証するには、802.1X認証サポートを設定し、
multipleサプリカントモードを指定します。注:デバイスを認証しない場合は、このインターフェイスでの 802.1X 設定をスキップします。
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
結果
設定の結果の表示:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2;
}
dot1x {
authenticator {
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
switch-options {
interface ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
switch-options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
LLDP-MED設定の確認
目的
LLDP-MEDがインターフェイスで有効になっていることを確認します。
アクション
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
意味
show lldp detail出力は、LLDPとLLDP-MEDの両方がge-0/0/2インターフェイス上で設定されていることを示しています。出力の末尾には、サポートされているLLDP基本管理TLVと、サポートされている組織固有のTLVのリストが表示されます。
IP 電話およびデスクトップ PC の 802.1X 認証の検証
目的
802.1X 設定を表示して、VoIP インターフェイスが LAN にアクセスできることを確認します。
アクション
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意味
ロールフィールドは、ge-0/0/2.0インターフェイスがオーセンティケータ状態であることを示します。サプリカントモードフィールドは、インターフェイスがmultipleサプリカントモードで設定されており、このインターフェイスで複数のサプリカントを認証できることを示しています。現在接続されているサプリカントのMACアドレスが出力の下部に表示されます。
インターフェイスとのVLANの関連付けの検証
目的
インターフェイスのVLANメンバーシップを表示します。
アクション
user@switch> show ethernet-switching interface ge-0/0/2.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/2.0 65535 untagged
voice-vlan 99
65535 Discarding
data-vlan 77
65535 Discarding
意味
フィールドVLANメンバーは、ge-0/0/2.0インターフェイスがdata-vlan VLANとvoice-vlan VLANの両方をサポートしていることを示しています。
例:802.1X認証を含めずにELSをサポートするEXシリーズスイッチでVoIPを構成する
この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートする EXシリーズ スイッチに Junos OS を使用します。ご使用のスイッチがELSをサポートしていないソフトウェアを実行している場合は、 例:802.1X認証を含めずにEXシリーズスイッチ上でVoIPを構成するを参照してください。ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
EXシリーズスイッチでVoIP(Voice over IP)を設定して、IP 電話をサポートできます。
802.1X認証をサポートしないIP電話をサポートするようにEXシリーズスイッチでVoIPを設定するには、電話のMACアドレスを静的MACバイパスリストに追加するか、スイッチでMAC RADIUS認証を有効にする必要があります。
この例では、静的 MAC バイパス オブ 認証を使用して、802.1X 認証のない EXシリーズ スイッチ上で VoIP を設定する方法について説明します。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
この図は、QFX5100スイッチにも適用されます。
ELSをサポートする1つのEXシリーズスイッチ
EXシリーズスイッチのJunos OSリリース13.2以降
Avaya IP 電話
VoIPを設定する前に、以下を確認してください。
EXシリーズスイッチをインストールしている。スイッチのインストール情報を参照してください。
初期スイッチ設定を実行しました。 EXシリーズスイッチの接続と設定(CLI手順)を参照してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。 例:ELS をサポートする EXシリーズスイッチの基本的なブリッジングとVLANの設定 または 例: スイッチでの基本的なブリッジングとVLANの設定を参照してください。
RADIUSサーバーを802.1X認証用に構成し、アクセスプロファイルを設定します。 例:802.1X用RADIUSサーバーをEXシリーズスイッチに接続するを参照してください。
(オプション)パワーオーバーイーサネット(PoE)用にインターフェイスge-0/0/2を設定しました。VoIP サプリカントが電源アダプターを使用する場合、PoE 設定は必要ありません。PoEの設定については、 EXシリーズスイッチでのPoEインターフェイスの設定を参照してください。
IP アドレスが Avaya IP 電話で設定されていない場合、電話は LLDP-MED 情報を交換して音声 VLAN の VLAN ID を取得します。インターフェイスをVoIPインターフェイスとして指定し、スイッチが音声VLANのVLAN名とVLAN IDをIP電話に転送できるようにするには、インターフェイス上で voip ステートメントを設定する必要があります。次に、IP 電話は音声 VLAN を使用して(つまり、音声 VLAN の ID を参照します)、DHCP ディスカバリー要求を送信し、DHCP サーバー(音声ゲートウェイ)と情報を交換します。
概要
通常の電話を使用する代わりに、IP 電話をスイッチに直接接続します。IP 電話には、VoIP を処理するために必要なハードウェアとソフトウェアがすべて備わっています。また、スイッチ上のパワーオーバーイーサネット(PoE)インターフェイスの1つに接続することで、IP電話に電力を供給することもできます。
この例では、EXシリーズスイッチのアクセスインターフェイスge-0/0/2は、非802.1X IP電話に接続されています。
802.1X認証をサポートしていないIP電話をサポートするようにEXシリーズスイッチでVoIPを設定するには、電話のMACアドレスを認証データベースの静的エントリーとして追加し、サプリカントモードを複数に設定します。
設定
手順
CLIクイックコンフィグレーション
802.1X 認証を使用せずに VoIP を迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
ステップバイステップの手順
802.1X認証なしでVoIPを設定するには:
音声とデータのVLANを設定します。
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
インターフェイスをアクセスインターフェイスとして設定し、イーサネットスイッチングのサポートを設定し、インターフェイスを
data-vlanVLANのメンバーとして追加します。[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
注:同じ VLAN 上でデータと音声の両方を設定することはできません。同じVLAN上でデータと音声を設定する場合、その設定は受け入れられません。
インターフェイス上でVoIPを設定し、
assured-forwarding転送クラスを指定して、最も信頼性の高いサービスクラスを提供します。[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
LLDP-MEDプロトコルサポートを設定します。
[edit protocols] user@switch# set lldp-med interface ge-0/0/2
auth-profileという名前の認証プロファイルを設定します(802.1Xインターフェイス設定の設定(CLI手順)および802.1X RADIUSアカウンティングの設定(CLI手順)を参照)。[edit protocols] user@switch# set dot1x authenticator authentication-profile-name auth-profile
電話の MACアドレスを静的 MAC バイパスリストに追加します。
[edit protocols] user@switch# set dot1x authenticator static 00:04:f2:11:aa:a7
サプリカントモードを複数に設定します。
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
結果
設定の結果の表示:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2;
}
dot1x {
authenticator {
authentication-profile-name auth-profile;
static {
00:04:f2:11:aa:a7;
}
}
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
switch-options {
interface ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
switch-options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
LLDP-MED設定の確認
目的
LLDP-MEDがインターフェイスで有効になっていることを確認します。
アクション
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
意味
show lldp detailコマンドの出力は、LLDPとLLDP-MEDの両方がge-0/0/2インターフェイスで設定されていることを示しています。出力の末尾には、サポートされているLLDP基本管理TLVと、サポートされている組織固有のTLVのリストが表示されます。
デスクトップPCの認証の確認
目的
IP 電話を介して VoIP インターフェイスに接続されたデスクトップ PC の 802.1X 設定を表示します。
アクション
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意味
フィールド Role は、 ge-0/0/2.0 インターフェイスがオーセンティケータロールであることを示しています。 Supplicant Mode フィールドは、インターフェイスが multiple サプリカントモードで設定されており、このインターフェイスで複数のサプリカントを認証できることを示しています。現在接続されているサプリカントのMACアドレスが出力の下部に表示されます。
インターフェイスとのVLANの関連付けの検証
目的
インターフェイスのVLANメンバーシップを表示します。
アクション
user@switch> show ethernet-switching interface ge-0/0/2.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/2.0 65535 untagged
voice-vlan 99
65535 Discarding
data-vlan 77
65535 Discarding
意味
Vlan members フィールドは、ge-0/0/2.0インターフェイスがdata-vlanVLANとvoice-vlanVLANの両方をサポートしていることを示しています。