VoIP en conmutadores de la serie EX
Puede configurar la voz sobre IP (VoIP) en un conmutador de la serie EX para que admita teléfonos IP. Cuando usa VoIP, puede conectar teléfonos IP al conmutador y configurar la autenticación IEEE 802.1X para teléfonos IP compatibles con 802.1X. Para obtener más información, lea este tema.
Descripción de 802.1X y VoIP en conmutadores de la serie EX
Cuando usa VoIP, puede conectar teléfonos IP al conmutador y configurar la autenticación IEEE 802.1X para teléfonos IP compatibles con 802.1X. La autenticación 802.1X ofrece seguridad de borde de red y protege a las LAN Ethernet del acceso de usuarios no autorizados.
VoIP es un protocolo utilizado para la transmisión de voz a través de redes conmutadas por paquetes. VoIP transmite llamadas de voz mediante una conexión de red en lugar de una línea telefónica analógica.
Cuando se usa VoIP con 802.1X, el servidor RADIUS autentica el teléfono, y el descubrimiento de puntos de conexión de medios de detección de capa de vínculo (LLDP-MED) proporciona los parámetros de clase de servicio (CoS) al teléfono.
Puede configurar la autenticación 802.1X para que funcione con VoIP en modo de suplicante múltiple o suplicante único. En el modo de múltiples suplicantes , el proceso 802.1X permite que varios suplicantes se conecten a la interfaz. Cada suplicante se autentica de forma individual. Para obtener un ejemplo de una topología de múltiples suplicantes VoIP, consulte Figura 1.
Si un teléfono IP compatible con 802.1X no tiene un host 802.1X pero tiene otro dispositivo compatible con 802.1X conectado a su puerto de datos, puede conectar el teléfono a una interfaz en modo de suplicante único. En el modo de suplicante único , el proceso 802.1X autentica solo al primer suplicante. A todos los demás suplicantes que se conectan más tarde a la interfaz se les permite acceder por completo sin ninguna autenticación adicional. De hecho, se "reservan" en la autenticación del primer suplicante. Para obtener un ejemplo de una topología de suplicante único De VoIP, consulte Figura 2 .
Si un teléfono IP no es compatible con 802.1X, puede configurar VoIP para omitir 802.1X y LLDP-MED y que los paquetes se reenvíen a una VLAN VoIP.
Autenticación multi dominio 802.1X
La autenticación multidominio 802.1X es una extensión del modo de suplicante múltiple que permite que un dispositivo VoIP predeterminado y varios dispositivos de datos se autentifiquen en un solo puerto. La autenticación multidominio 802.1X ofrece una seguridad mejorada en el modo de suplicación múltiple mediante la restricción de la cantidad de datos autenticados y sesiones de VoIP en el puerto. En el modo de suplicante múltiple, se puede autenticar cualquier número de sesiones de VoIP o datos; la cantidad de sesiones se puede restringir mediante la limitación de MAC, pero no hay forma de aplicar el límite específicamente a datos o sesiones de VoIP.
Con la autenticación 802.1X de varios dominios, el puerto único se divide en dos dominios; uno es el dominio de datos y el otro es el dominio de voz. La autenticación 802.1X de varios dominios mantiene recuentos de sesiones independientes según el dominio. Puede configurar la cantidad máxima de sesiones de datos autenticadas permitidas en el puerto. El número de sesiones de VoIP no es configurable; solo se permite una sesión de VoIP autenticada en el puerto.
Si un cliente nuevo intenta autenticarse en la interfaz después de alcanzar el recuento máximo de sesiones, la acción predeterminada es soltar el paquete y generar un mensaje de registro de error. También puede configurar la acción para apagar la interfaz. El puerto se puede recuperar manualmente del estado descendente mediante la emisión del clear dot1x recovery-timeout comando, o puede recuperarse automáticamente después de un período de tiempo de espera de recuperación configurado.
La autenticación de varios dominios no aplica el orden de la autenticación de dispositivo. Sin embargo, para obtener los mejores resultados, el dispositivo VoIP debe autenticarse antes que un dispositivo de datos en un puerto habilitado para 802.1X de varios dominios. La autenticación de varios dominios solo se admite en modo de suplicante múltiple.
Consulte también
Ejemplo: Configuración de VoIP con 802.1X y LLDP-MED en un conmutador de la serie EX
Puede configurar la voz sobre IP (VoIP) en un conmutador de la serie EX para que admita teléfonos IP. El protocolo de detección de capa de vínculo-descubrimiento de punto de conexión de medios (LLDP-MED) reenvía los parámetros de VoIP desde el conmutador al teléfono. También configura la autenticación 802.1X para permitir el acceso telefónico a la LAN. La autenticación se realiza a través de un servidor RADIUS de backend.
En este ejemplo, se describe cómo configurar VoIP en un conmutador de la serie EX para que admita un teléfono IP Avaya, así como el protocolo LLDP-MED y la autenticación 802.1X:
Si el conmutador ejecuta Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS), consulte ejemplo : Configurar VoIP con 802.1X y LLDP-MED en un conmutador serie EX con soporte ELS. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 9.1 o posterior para conmutadores serie EX
Un conmutador de la serie EX que actúa como una entidad de acceso a puerto (PAE) de autenticador. Las interfaces del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un teléfono IP Avaya 9620 compatible con LLDP-MED y 802.1X
Antes de configurar VoIP, asegúrese de tener lo siguiente:
Instaló el conmutador de la serie EX. Consulte Instalación y conexión de un conmutador EX3200.
Llevó a cabo la configuración inicial del conmutador. Consulte Conexión y configuración de un conmutador de la serie EX (procedimiento de J-Web).
Realizó puentes básicos y configuración de VLAN en el conmutador. Vea el ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX.
Configure el servidor RADIUS para la autenticación 802.1X y configure el perfil de acceso. Vea el ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
(Opcional) Interfaz configurada ge-0/0/2 para alimentación por Ethernet (PoE). La configuración PoE no es necesaria si el suplicante VoIP usa un adaptador de alimentación. Para obtener más información acerca de la configuración de PoE, consulte Configurar interfaces PoE en conmutadores de la serie EX.
Si la dirección IP no está configurada en el teléfono IP de Avaya, el teléfono intercambia información de LLDP-MED para obtener el ID de VLAN para la VLAN de voz. Debe configurar la voip instrucción en la interfaz para designarla como interfaz VoIP y permitir que el conmutador reenvíe el nombre de VLAN y el ID de VLAN para la VLAN de voz al teléfono IP. Luego, el teléfono IP usa la VLAN de voz (es decir, hace referencia al ID de la VLAN de voz) para enviar una solicitud de detección DHCP e intercambiar información con el servidor DHCP (puerta de enlace de voz).
Descripción general y topología
En lugar de usar un teléfono regular, conecta un teléfono IP directamente al conmutador. Un teléfono IP tiene todo el hardware y el software necesarios para manejar VoIP. También puede alimentar un teléfono IP conectándole a una de las interfaces de alimentación por Ethernet (PoE) en el conmutador.
En este ejemplo, la interfaz ge-0/0/2 de acceso en el conmutador EX4200 se conecta a un teléfono IP Avaya 9620. Los teléfonos Avaya tienen un puente incorporado que le permite conectar una PC de escritorio al teléfono, por lo que el escritorio y el teléfono en una sola oficina requieren solo una interfaz en el conmutador. El conmutador de la serie EX está conectado a un servidor RADIUS en la interfaz ge-0/0/10 (consulte Figura 3).
En este ejemplo, se configuran los parámetros de VoIP y se especifica la clase assured-forward de reenvío para que el tráfico de voz proporcione la más alta calidad de servicio.
Tabla 1 describe los componentes utilizados en este ejemplo de configuración de VoIP.
| Propiedad | Configuración |
|---|---|
Hardware del conmutador |
Conmutador EX4200 |
Nombres de VLAN |
data-vlan voice-vlan |
Conexión al teléfono avaya: con hub integrado, para conectar el teléfono y la PC de escritorio a una sola interfaz (requiere PoE) |
ge-0/0/2 |
Un servidor RADIUS |
Proporciona una base de datos de backend conectada al conmutador a través de la interfaz ge-0/0/10. |
Además de configurar un VoIP para la interfaz ge-0/0/2, puede configurar lo siguiente:
Autenticación 802.1X. La autenticación se establece en multiple suplicante para admitir el acceso de más de un suplicante a la LAN a través de la interfaz ge-0/0/2.
Información de protocolo LLDP-MED. El conmutador usa LLDP-MED para reenviar parámetros VoIP al teléfono. El uso de LLDP-MED garantiza que el tráfico de voz se etiquete y priorice con los valores correctos en la propia fuente. Por ejemplo, la información de la etiqueta 802.1p y de la etiqueta 802.1Q se puede enviar al teléfono IP.
Nota:No es necesaria una configuración PoE si un teléfono IP utiliza un adaptador de alimentación.
Configuración
Para configurar la autenticación de VoIP, LLDP-MED y 802.1X:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente VoIP, LLDP-MED y 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procedimiento paso a paso
Para configurar VoIP con LLDP-MED y 802.1X:
Configure las VLAN para voz y datos:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Asocie la VLAN data-vlan con la interfaz:
[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0Configure la interfaz como una interfaz de acceso, configure la compatibilidad con la conmutación Ethernet y agregue la data-vlan VLAN:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
Configure VoIP en la interfaz y especifique la assured-forwarding clase de reenvío para proporcionar la clase de servicio más confiable:
[edit ethernet—switching—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configure la compatibilidad con el protocolo LLDP-MED:
[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
Para autenticar un teléfono IP y un PC conectados al teléfono IP en la interfaz, configure la compatibilidad de autenticación 802.1X y especifique el multiple modo suplicante:
Nota:Si no desea autenticar ningún dispositivo, omita la configuración 802.1X en esta interfaz.
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Resultados
Mostrar los resultados de la configuración:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2.0;
}
dot1x {
authenticator {
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar la configuración de LLDP-MED
- Verificar la autenticación 802.1X para teléfono IP y PC de escritorio
- Verificar la asociación de VLAN con la interfaz
Verificar la configuración de LLDP-MED
Propósito
Verifique que LLDP-MED esté habilitado en la interfaz.
Acción
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
Significado
El show lldp detail resultado muestra que tanto LLDP como LLDP-MED están configurados en la ge-0/0/2.0 interfaz. El final del resultado muestra la lista de LTLV básicos LLDP compatibles, 802.3 TLV y LLDP-MED TLV compatibles.
Verificar la autenticación 802.1X para teléfono IP y PC de escritorio
Propósito
Muestre la configuración 802.1X para confirmar que la interfaz VoIP tiene acceso a la LAN.
Acción
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
El campo Role muestra que la ge-0/0/2.0 interfaz se encuentra en estado de autenticación. El Supplicant campo muestra que la interfaz está configurada en modo de varios suplicantes, lo que permite que varios suplicantes se autentifiquen en esta interfaz. Las direcciones MAC de los suplicantes conectados actualmente se muestran en la parte inferior de la salida.
Verificar la asociación de VLAN con la interfaz
Propósito
Muestra el estado de la interfaz y la pertenencia a VLAN.
Acción
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblockedSignificado
El campo VLAN members muestra que la ge-0/0/2.0 interfaz admite tanto la VLAN voice-vlan como la data-vlan VLAN. El State campo muestra que la interfaz está activa.
Ejemplo: Configuración de VoIP en un conmutador de la serie EX sin incluir la compatibilidad con LLDP-MED
Puede configurar la voz sobre IP (VoIP) en un conmutador de la serie EX para que admita teléfonos IP. El protocolo de detección de capa de vínculo-descubrimiento de puntos de conexión de medios (LLDP-MED) se utiliza a veces con teléfonos IP para reenviar parámetros de VoIP desde el conmutador al teléfono. Sin embargo, no todos los teléfonos IP son compatibles con LLDP-MED.
En este ejemplo, se describe cómo configurar VoIP en un conmutador de la serie EX sin usar LLDP-MED:
- Requisitos
- Descripción general
- Configuración de VoIP sin LLDP-MED mediante una VLAN de voz en un puerto de acceso
- Configuración de VoIP sin LLDP-MED mediante un puerto de troncalización con opción de VLAN nativa
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador de la serie EX compatible con ELS que actúa como una entidad de acceso de puerto (PAE) de autenticador. Las interfaces del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un teléfono IP que no admite LLDP-MED.
Junos OS versión 13.2X50 o posterior para conmutadores de la serie EX.
Antes de configurar VoIP, asegúrese de tener lo siguiente:
Realizó puentes básicos y configuración de VLAN en el conmutador. Vea el ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX compatible con ELS .
Configuró el teléfono IP como miembro de la VLAN de voz.
(Opcional) Interfaz configurada ge-0/0/2 para alimentación por Ethernet (PoE). La configuración PoE no es necesaria si el suplicante VoIP usa un adaptador de alimentación. Consulte Configuración de interfaces PoE en conmutadores de la serie EX.
Descripción general
En lugar de usar un teléfono regular, conecta un teléfono IP directamente al conmutador. Un teléfono IP tiene todo el hardware y el software necesarios para manejar VoIP. También puede alimentar un teléfono IP conectándole a una de las interfaces de alimentación por Ethernet (PoE) del conmutador.
Los conmutadores de la serie EX pueden alojar un teléfono IP y un host final conectados a un único puerto de conmutación. En tal situación, el tráfico de voz y datos se debe separar en dominios de difusión diferentes o VLAN. Un método para lograr esto es configurar una VLAN de voz, que permite que los puertos de acceso acepten tráfico de datos sin etiquetar, así como tráfico de voz etiquetado desde teléfonos IP, y asociar cada tipo de tráfico con VLAN separadas y distintas. El tráfico de voz (etiquetado) se puede tratar de manera diferente, generalmente con una prioridad más alta que el tráfico de datos (sin etiquetar).
La VLAN de voz ofrece el mayor beneficio cuando se usa con teléfonos IP que admiten LLDP-MED, pero es lo suficientemente flexible como para que los teléfonos IP que no admiten LLDP-MED también puedan usarla de manera efectiva. Sin embargo, en ausencia de LLDP-MED, el ID de VLAN de voz debe configurarse manualmente en el teléfono IP, ya que LLDP-MED no está disponible para lograr esto dinámicamente. Para obtener más información acerca de cómo configurar una VLAN de voz para teléfonos IP compatibles con LLDP-MED, consulte ejemplo: Configurar VoIP con 802.1X y LLDP-MED en un conmutador serie EX con soporte ELS.
Otro método para separar el tráfico de voz (etiquetado) y de datos (sin etiquetar) en diferentes VLAN es usar un puerto de troncalización con la opción de ID de VLAN nativa. El puerto de troncalización se agrega como miembro de la VLAN de voz y procesa solo el tráfico de voz etiquetado de esa VLAN. El puerto de troncalización también debe configurarse con el ID de VLAN nativo para la VLAN de datos, de modo que pueda procesar el tráfico de datos sin etiquetar desde la VLAN de datos. Esta configuración también requiere que el ID de VLAN de voz se establezca manualmente en el teléfono IP.
En este ejemplo, se ilustran ambos métodos. En este ejemplo, la interfaz ge-0/0/2 del conmutador está conectada a un teléfono IP que no sea LLDP-MED.
La implementación de una VLAN de voz en un teléfono IP es específica del proveedor. Consulte la documentación que viene con su teléfono IP para obtener instrucciones sobre cómo configurar una VLAN de voz. Por ejemplo, en un teléfono Avaya, puede asegurarse de que el teléfono reciba el ID de VLAN VoIP correcto incluso en ausencia de LLDP-MED habilitando la opción 176 de DHCP.
Topología
Configuración de VoIP sin LLDP-MED mediante una VLAN de voz en un puerto de acceso
Procedimiento
Configuración rápida de CLI
Para configurar voIP rápidamente, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Procedimiento paso a paso
Configure dos VLAN: uno para el tráfico de datos y otro para el tráfico de voz:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Nota:El ID de VLAN de voz se debe configurar manualmente en el teléfono IP.
Asocie la VLAN
data-vlancon la interfaz ge-0/0/2:[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0
Configure la interfaz ge-0/0/2 como un puerto de acceso perteneciente a la VLAN de datos:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
Configure VoIP en la interfaz ge-0/0/2 y agregue esta interfaz a la VLAN de voz:
[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
Especifique la clase de reenvío garantizado para proporcionar la clase de servicio más confiable:
[edit switch-options] user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Resultados
Mostrar los resultados de la configuración:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Configuración de VoIP sin LLDP-MED mediante un puerto de troncalización con opción de VLAN nativa
Procedimiento
Configuración rápida de CLI
Para configurar voIP rápidamente, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Procedimiento paso a paso
Configure dos VLAN: uno para el tráfico de datos y otro para el tráfico de voz:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Nota:El ID de VLAN de voz se debe configurar manualmente en el teléfono IP.
Configure la interfaz ge-0/0/2 como un puerto de troncalización que incluya solo la VLAN de voz:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
Configure el ID de VLAN nativo para la VLAN de datos en el puerto de troncalización:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Resultados
Mostrar los resultados de la configuración:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members voice-vlan;
}
native-vlan-id data-vlan;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
}
voice-vlan {
vlan-id 99;
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice la siguiente tarea:
Verificar la asociación de VLAN con la interfaz
Propósito
Muestra el estado de la interfaz y la pertenencia a VLAN.
Acción
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblockedSignificado
El campo VLAN members muestra que la interfaz ge-0/0/2.0 admite tanto la VLAN de datos, data-vlan, y la VLAN de voz, voz-vlan. El State campo muestra que la interfaz está activa.
Ejemplo: Configuración de VoIP en un conmutador de la serie EX sin incluir la compatibilidad con LLDP-MED
Puede configurar la voz sobre IP (VoIP) en un conmutador de la serie EX para que admita teléfonos IP. El protocolo de detección de capa de vínculo-descubrimiento de puntos de conexión de medios (LLDP-MED) se utiliza a veces con teléfonos IP para reenviar parámetros de VoIP desde el conmutador al teléfono. Sin embargo, no todos los teléfonos IP son compatibles con LLDP-MED.
En este ejemplo, se describe cómo configurar VoIP en un conmutador de la serie EX sin usar LLDP-MED:
- Requisitos
- Descripción general
- Configuración de VoIP sin LLDP-MED mediante una VLAN de voz en un puerto de acceso
- Configuración de VoIP sin LLDP-MED mediante un puerto de troncalización con opción de VLAN nativa
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador EX4200 actúa como una entidad de acceso de puerto (PAE) de autenticador. Las interfaces del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un teléfono IP que no admite LLDP-MED.
Junos OS versión 9.1 o posterior para conmutadores serie EX.
Antes de configurar VoIP, asegúrese de tener lo siguiente:
Realizó puentes básicos y configuración de VLAN en el conmutador. Vea el ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX.
Configuró el teléfono IP como miembro de la VLAN de voz.
(Opcional) Interfaz configurada ge-0/0/2 para alimentación por Ethernet (PoE). La configuración PoE no es necesaria si el suplicante VoIP usa un adaptador de alimentación. Consulte Configuración de interfaces PoE en conmutadores de la serie EX.
Descripción general
En lugar de usar un teléfono regular, conecta un teléfono IP directamente al conmutador. Un teléfono IP tiene todo el hardware y el software necesarios para manejar VoIP. También puede alimentar un teléfono IP conectándole a una de las interfaces de alimentación por Ethernet (PoE) del conmutador.
Los conmutadores de la serie EX pueden alojar un teléfono IP y un host final conectados a un único puerto de conmutación. En tal situación, el tráfico de voz y datos se debe separar en dominios de difusión diferentes o VLAN. Un método para lograr esto es configurar una VLAN de voz, que permite que los puertos de acceso acepten tráfico de datos sin etiquetar, así como tráfico de voz etiquetado desde teléfonos IP, y asociar cada tipo de tráfico con VLAN separadas y distintas. El tráfico de voz (etiquetado) se puede tratar de manera diferente, generalmente con una prioridad más alta que el tráfico de datos (sin etiquetar).
La VLAN de voz ofrece el mayor beneficio cuando se usa con teléfonos IP que admiten LLDP-MED, pero es lo suficientemente flexible como para que los teléfonos IP que no admiten LLDP-MED también puedan usarla de manera efectiva. Sin embargo, en ausencia de LLDP-MED, el ID de VLAN de voz debe configurarse manualmente en el teléfono IP, ya que LLDP-MED no está disponible para lograr esto dinámicamente. Para obtener más información acerca de cómo configurar una VLAN de voz para teléfonos IP compatibles con LLDP-MED, consulte ejemplo: Configuración de VoIP con 802.1X y LLDP-MED en un conmutador de la serie EX.
Otro método para separar el tráfico de voz (etiquetado) y de datos (sin etiquetar) en diferentes VLAN es usar un puerto de troncalización con la opción de ID de VLAN nativa. El puerto de troncalización se agrega como miembro de la VLAN de voz y procesa solo el tráfico de voz etiquetado de esa VLAN. El puerto de troncalización también debe configurarse con el ID de VLAN nativo para la VLAN de datos, de modo que pueda procesar el tráfico de datos sin etiquetar desde la VLAN de datos. Esta configuración también requiere que el ID de VLAN de voz se establezca manualmente en el teléfono IP.
En este ejemplo, se ilustran ambos métodos. En este ejemplo, la interfaz ge-0/0/2 en el conmutador EX4200 está conectada a un teléfono IP que no sea LLDP-MED.
La implementación de una VLAN de voz en un teléfono IP es específica del proveedor. Consulte la documentación que viene con su teléfono IP para obtener instrucciones sobre cómo configurar una VLAN de voz. Por ejemplo, en un teléfono Avaya, puede asegurarse de que el teléfono reciba el ID de VLAN VoIP correcto incluso en ausencia de LLDP-MED habilitando la opción 176 de DHCP.
Topología
Configuración de VoIP sin LLDP-MED mediante una VLAN de voz en un puerto de acceso
Procedimiento
Configuración rápida de CLI
Para configurar voIP rápidamente, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan
Procedimiento paso a paso
Configure dos VLAN: uno para el tráfico de datos y otro para el tráfico de voz:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Nota:El ID de VLAN de voz se debe configurar manualmente en el teléfono IP.
Configure la VLAN data-vlan en la interfaz ge-0/0/2:
[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0
Configure la interfaz ge-0/0/2 como un puerto de acceso perteneciente a la VLAN de datos:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
Configure VoIP en la interfaz ge-0/0/2 y agregue esta interfaz a la VLAN de voz:
[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
Resultados
Mostrar los resultados de la configuración:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
}
}
}
Configuración de VoIP sin LLDP-MED mediante un puerto de troncalización con opción de VLAN nativa
Procedimiento
Configuración rápida de CLI
Para configurar voIP rápidamente, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Procedimiento paso a paso
Configure dos VLAN: uno para el tráfico de datos y otro para el tráfico de voz:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Nota:El ID de VLAN de voz se debe configurar manualmente en el teléfono IP.
Configure la interfaz ge-0/0/2 como un puerto de troncalización que incluya solo la VLAN de voz:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
Configure el ID de VLAN nativo para la VLAN de datos en el puerto de troncalización:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Resultados
Mostrar los resultados de la configuración:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members voice-vlan;
}
native-vlan-id data-vlan;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
}
voice-vlan {
vlan-id 99;
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice la siguiente tarea:
Verificar la asociación de VLAN con la interfaz
Propósito
Muestra el estado de la interfaz y la pertenencia a VLAN.
Acción
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblockedSignificado
El campo VLAN members muestra que la interfaz ge-0/0/2.0 admite tanto la VLAN de datos, data-vlan, y la VLAN de voz, voz-vlan. El State campo muestra que la interfaz está activa.
Ejemplo: Configuración de VoIP en un conmutador de la serie EX sin incluir la autenticación 802.1X
Puede configurar la voz sobre IP (VoIP) en un conmutador de la serie EX para que admita teléfonos IP.
Para configurar VoIP en un conmutador de la serie EX para que admita un teléfono IP que no admita la autenticación 802.1X, debe agregar la dirección MAC del teléfono a la lista de omisión mac estática o habilitar la autenticación MAC RADIUS en el conmutador.
En este ejemplo, se describe cómo configurar VoIP en un conmutador de la serie EX sin autenticación 802.1X mediante el bypass de autenticación de MAC estático:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 9.1 o posterior para conmutadores serie EX
Un teléfono IP
Antes de configurar VoIP, asegúrese de tener lo siguiente:
Instaló el conmutador de la serie EX. Consulte la información de instalación del conmutador.
Llevó a cabo la configuración inicial del conmutador. Consulte Conexión y configuración de conmutadores de la serie EX (procedimiento de la CLI).
Realizó puentes básicos y configuración de VLAN en el conmutador. Vea el ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX.
Configure el servidor RADIUS para la autenticación 802.1X y configure el perfil de acceso. Vea el ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
(Opcional) Interfaz configurada
ge-0/0/2para alimentación por Ethernet (PoE). La configuración PoE no es necesaria si el suplicante VoIP usa un adaptador de alimentación. Para obtener más información acerca de la configuración de PoE, consulte Configurar interfaces PoE en conmutadores de la serie EX.
Si la dirección IP no está configurada en el teléfono IP de Avaya, el teléfono intercambia información de LLDP-MED para obtener el ID de VLAN para la VLAN de voz. Debe configurar la voip instrucción en la interfaz para designarla como interfaz VoIP y permitir que el conmutador reenvíe el nombre de VLAN y el ID de VLAN para la VLAN de voz al teléfono IP. Luego, el teléfono IP usa la VLAN de voz (es decir, hace referencia al ID de la VLAN de voz) para enviar una solicitud de detección DHCP e intercambiar información con el servidor DHCP (puerta de enlace de voz).
Descripción general
En lugar de usar un teléfono regular, conecta un teléfono IP directamente al conmutador. Un teléfono IP tiene todo el hardware y el software necesarios para manejar VoIP. También puede alimentar un teléfono IP conectándole a una de las interfaces de alimentación por Ethernet (PoE) en el conmutador.
En este ejemplo, la interfaz ge-0/0/2 de acceso en el conmutador EX4200 se conecta a un teléfono IP que no sea 802.1X.
Para configurar VoIP en un conmutador de la serie EX para que admita un teléfono IP que no admita la autenticación 802.1X, agregue la dirección MAC del teléfono como una entrada estática en la base de datos del autenticador y establezca el modo suplicante en varios.
Configuración
Para configurar VoIP sin autenticación 802.1X:
Procedimiento
Configuración rápida de CLI
Para configurar voIP rápidamente, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procedimiento paso a paso
Para configurar VoIP sin 802.1X:
Configure las VLAN para voz y datos:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Asocie la VLAN
data-vlancon la interfaz:[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0Configure la interfaz como una interfaz de acceso, configure la compatibilidad con la conmutación Ethernet y agregue la
data-vlanVLAN:[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
Configure VoIP en la interfaz y especifique la
assured-forwardingclase de reenvío para proporcionar la clase de servicio más confiable:[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configure la compatibilidad con el protocolo LLDP-MED:
[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
Establezca el perfil de autenticación (consulte Configuración de la configuración de interfaz 802.1X (procedimiento de CLI) y Configuración de la contabilidad RADIUS 802.1X (procedimiento de CLI):
[edit protocols] set dot1x authenticator authentication-profile-name auth-profile
Agregue la dirección MAC del teléfono a la lista de omisión MAC estática:
[edit protocols] set dot1x authenticator static 00:04:f2:11:aa:a7
Establezca el modo suplicante en varios:
[edit protocols] set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Resultados
Mostrar los resultados de la configuración:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2.0;
}
dot1x {
authenticator {
authentication-profile-name auth-profile;
static {
00:04:f2:11:aa:a7;
}
}
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar la configuración de LLDP-MED
- Verificar la autenticación para la PC de escritorio
- Verificar la asociación de VLAN con la interfaz
Verificar la configuración de LLDP-MED
Propósito
Verifique que LLDP-MED esté habilitado en la interfaz.
Acción
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
Significado
El show lldp detail resultado muestra que tanto LLDP como LLDP-MED están configurados en la ge-0/0/2.0 interfaz. El final del resultado muestra la lista de LTLV básicos LLDP compatibles, 802.3 TLV y LLDP-MED TLV compatibles.
Verificar la autenticación para la PC de escritorio
Propósito
Muestra la configuración 802.1X para la PC de escritorio conectada a la interfaz VoIP a través del teléfono IP.
Acción
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
El campo Role muestra que la ge-0/0/2.0 interfaz se encuentra en estado de autenticación. El Supplicant campo muestra que la interfaz está configurada en modo de varios suplicantes, lo que permite que varios suplicantes se autentifiquen en esta interfaz. Las direcciones MAC de los suplicantes conectados actualmente se muestran en la parte inferior de la salida.
Verificar la asociación de VLAN con la interfaz
Propósito
Muestra el estado de la interfaz y la pertenencia a VLAN.
Acción
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblockedSignificado
El campo VLAN members muestra que la ge-0/0/2.0 interfaz admite tanto la VLAN voice-vlan como la data-vlan VLAN. El State campo muestra que la interfaz está activa.
Ejemplo: Configuración de VoIP con 802.1X y LLDP-MED en un conmutador serie EX con soporte ELS
En este ejemplo, se usa Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte ejemplo: Configuración de VoIP con 802.1X y LLDP-MED en un conmutador de la serie EX. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Puede configurar VoIP en un conmutador de la serie EX para que admita teléfonos IP. El protocolo de detección de capa de vínculo-descubrimiento de punto de conexión de medios (LLDP-MED) reenvía los parámetros de VoIP desde el conmutador al teléfono. También configura la autenticación 802.1X para permitir el acceso telefónico a la LAN. La autenticación se realiza a través de un servidor RADIUS de backend.
En este ejemplo, se describe cómo configurar VoIP en un conmutador de la serie EX para admitir un teléfono IP Avaya, así como cómo configurar el protocolo LLDP-MED y la autenticación 802.1X:
Requisitos
En este ejemplo, se usan los siguientes componentes de software y hardware:
Este ejemplo también se aplica a los conmutadores QFX5100.
Junos OS versión 13.2X50 o posterior para conmutadores serie EX
Un conmutador de la serie EX compatible con ELS que actúa como una entidad de acceso de puerto (PAE) de autenticador. Las interfaces del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un teléfono IP Avaya que admite LLDP-MED y 802.1X
Antes de configurar VoIP, asegúrese de tener lo siguiente:
Instaló el conmutador de la serie EX. Consulte la información de instalación del conmutador.
Llevó a cabo la configuración inicial del conmutador. Consulte Conexión y configuración de conmutadores de la serie EX (procedimiento de la CLI).
Realizó puentes básicos y configuración de VLAN en el conmutador. Vea el ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX con soporte ELS o ejemplo: Configurar puentes básicos y una VLAN en conmutadores.
Configure el servidor RADIUS para la autenticación 802.1X y configure el perfil de acceso. Vea el ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
(Opcional) Configuró la interfaz ge-0/0/2 para alimentación por Ethernet (PoE). La configuración PoE no es necesaria si el suplicante VoIP usa un adaptador de alimentación. Para obtener más información acerca de la configuración de PoE, consulte Configurar interfaces PoE en conmutadores de la serie EX.
Si la dirección IP no está configurada en el teléfono IP de Avaya, el teléfono intercambia información de LLDP-MED para obtener el ID de VLAN para la VLAN de voz. Debe configurar la voip instrucción en la interfaz para designarla como interfaz VoIP y permitir que el conmutador reenvíe el nombre de VLAN y el ID de VLAN para la VLAN de voz al teléfono IP. Luego, el teléfono IP usa la VLAN de voz (es decir, hace referencia al ID de la VLAN de voz) para enviar una solicitud de detección DHCP e intercambiar información con el servidor DHCP (puerta de enlace de voz).
Descripción general y topología
En lugar de usar un teléfono regular, conecta un teléfono IP directamente al conmutador. Un teléfono IP tiene todo el hardware y el software necesarios para manejar VoIP. También puede alimentar un teléfono IP conectándole a una de las interfaces de alimentación por Ethernet (PoE) en el conmutador.
Los conmutadores de la serie EX pueden alojar un teléfono IP y un host final conectados a un único puerto de conmutación. En tal situación, el tráfico de voz y datos se debe separar en dominios de difusión diferentes o VLAN. Un método para lograr esto es configurar una VLAN de voz, que permite que los puertos de acceso acepten tráfico de datos sin etiquetar, así como tráfico de voz etiquetado desde teléfonos IP, y asociar cada tipo de tráfico con VLAN separadas y distintas. El tráfico de voz (etiquetado) se puede tratar de manera diferente, generalmente con una prioridad más alta que el tráfico de datos (sin etiquetar).
Si se ha aprendido una dirección MAC tanto en las VLAN de datos como en las VLAN de voz, permanece activa a menos que se ateje de ambas VLAN o se eliminen ambas VLAN.
En este ejemplo, la interfaz de acceso ge-0/0/2 en el conmutador de la serie EX está conectada a un teléfono IP de Avaya. Los teléfonos Avaya tienen un puente integrado que le permite conectar una PC de escritorio al teléfono, por lo que el escritorio y el teléfono en una sola oficina requieren solo una interfaz en el conmutador. El conmutador de la serie EX está conectado a un servidor RADIUS en la interfaz ge-0/0/10 (consulte Figura 4).
Esta figura también se aplica a los conmutadores QFX5100.
En este ejemplo, se configuran los parámetros de VoIP y se especifica la clase assured-forward de reenvío para que el tráfico de voz proporcione la más alta calidad de servicio.
Tabla 2 describe los componentes utilizados en este ejemplo de configuración de VoIP.
| Propiedad | Configuración |
|---|---|
Hardware del conmutador |
Conmutador de la serie EX compatible con ELS. |
Nombres e identificadores de VLAN |
data-vlan, 77 voz-vlan, 99 |
Conexión al teléfono avaya: con hub integrado, para conectar el teléfono y la PC de escritorio a una sola interfaz (requiere PoE) |
ge-0/0/2 |
Un servidor RADIUS |
Proporciona una base de datos de backend conectada al conmutador a través de la interfaz ge-0/0/10. |
Además de configurar un VoIP para la interfaz ge-0/0/2, usted configura:
Autenticación 802.1X. La autenticación se establece en
multiplemodo suplicante para admitir el acceso de más de un suplicante a la LAN a través de la interfaz ge-0/0/2.Información de protocolo LLDP-MED. El conmutador usa LLDP-MED para reenviar parámetros VoIP al teléfono. El uso de LLDP-MED garantiza que el tráfico de voz se etiquete y priorice con los valores correctos en la propia fuente. Por ejemplo, la información de la etiqueta 802.1p y de la etiqueta 802.1Q se puede enviar al teléfono IP.
Nota:No es necesaria una configuración PoE si un teléfono IP utiliza un adaptador de alimentación.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente VoIP, LLDP-MED y 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procedimiento paso a paso
Para configurar VoIP con LLDP-MED y 802.1X:
Configure las VLAN para voz y datos:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Asocie la VLAN data-vlan con la interfaz:
[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0Configure la interfaz como una interfaz de acceso, configure la compatibilidad con la conmutación Ethernet y agregue la interfaz como miembro de la data-vlan VLAN:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
Nota:No debe configurar datos y voz en la misma VLAN. Si configura datos y voz en la misma VLAN, no se aceptará la configuración.
Si ha habilitado la autenticación 802.1X en el conmutador y:
-
La VLAN de voz que haya configurado es la misma que la VLAN de datos que envía el servidor de autenticación,
-
La VLAN de datos que haya configurado es la misma que la VLAN de voz que envía el servidor de autenticación, o
-
La VLAN de datos y la VLAN de voz que envía el servidor de autenticación son las mismas
El cliente se trasladaría al estado HELD.
-
Configure VoIP en la interfaz y especifique la
assured-forwardingclase de reenvío para proporcionar la clase de servicio más confiable:[edit switch—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configure la compatibilidad con el protocolo LLDP-MED:
[edit protocols] user@switch# set lldp-med interface ge-0/0/2
Para autenticar un teléfono IP y un PC conectados al teléfono IP en la interfaz, configure la compatibilidad de autenticación 802.1X y especifique el
multiplemodo suplicante:Nota:Si no desea autenticar ningún dispositivo, omita la configuración 802.1X en esta interfaz.
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Resultados
Mostrar los resultados de la configuración:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2;
}
dot1x {
authenticator {
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
switch-options {
interface ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
switch-options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar la configuración de LLDP-MED
- Verificar la autenticación 802.1X para teléfono IP y PC de escritorio
- Verificar la asociación de VLAN con la interfaz
Verificar la configuración de LLDP-MED
Propósito
Verifique que LLDP-MED esté habilitado en la interfaz.
Acción
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
Significado
El show lldp detail resultado muestra que ambos LLDP y LLDP-MED están configurados en la ge-0/0/2 interfaz. Al final del resultado, se muestra la lista de TTL de administración básica de LLDP compatibles y TAV específicos de la organización que se admiten.
Verificar la autenticación 802.1X para teléfono IP y PC de escritorio
Propósito
Muestre la configuración 802.1X para confirmar que la interfaz VoIP tiene acceso a la LAN.
Acción
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
El campo Role muestra que la ge-0/0/2.0 interfaz se encuentra en estado de autenticación. El Supplicant mode campo muestra que la interfaz está configurada en multiple modo suplicante, lo que permite que varios suplicantes se autentifiquen en esta interfaz. Las direcciones MAC de los suplicantes conectados actualmente se muestran en la parte inferior de la salida.
Verificar la asociación de VLAN con la interfaz
Propósito
Muestra la membresía VLAN de la interfaz.
Acción
user@switch> show ethernet-switching interface ge-0/0/2.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/2.0 65535 untagged
voice-vlan 99
65535 Discarding
data-vlan 77
65535 DiscardingSignificado
El campo VLAN members muestra que la ge-0/0/2.0 interfaz admite tanto la VLAN voice-vlan como la data-vlan VLAN.
Ejemplo: Configuración de VoIP en un conmutador de la serie EX compatible con ELS sin incluir la autenticación 802.1X
En este ejemplo, se usa Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte ejemplo: Configuración de VoIP en un conmutador de la serie EX sin incluir la autenticación 802.1X. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Puede configurar la voz sobre IP (VoIP) en un conmutador de la serie EX para que admita teléfonos IP.
Para configurar VoIP en un conmutador de la serie EX para que admita un teléfono IP que no admita la autenticación 802.1X, debe agregar la dirección MAC del teléfono a la lista de omisión mac estática o habilitar la autenticación MAC RADIUS en el conmutador.
En este ejemplo, se describe cómo configurar VoIP en un conmutador de la serie EX sin autenticación 802.1X mediante el uso de bypass de MAC estático de autenticación:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Esta figura también se aplica a los conmutadores QFX5100.
Conmutador de la serie EX compatible con ELS
Junos OS versión 13.2 o posterior para conmutadores serie EX
Un teléfono IP de Avaya
Antes de configurar VoIP, asegúrese de tener lo siguiente:
Instaló el conmutador de la serie EX. Consulte la información de instalación del conmutador.
Llevó a cabo la configuración inicial del conmutador. Consulte Conexión y configuración de conmutadores de la serie EX (procedimiento de la CLI).
Realizó puentes básicos y configuración de VLAN en el conmutador. Vea el ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX con soporte ELS o ejemplo: Configurar puentes básicos y una VLAN en conmutadores.
Configure el servidor RADIUS para la autenticación 802.1X y configure el perfil de acceso. Vea el ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
(Opcional) Configuró la interfaz ge-0/0/2 para alimentación por Ethernet (PoE). La configuración PoE no es necesaria si el suplicante VoIP usa un adaptador de alimentación. Para obtener más información acerca de la configuración de PoE, consulte Configurar interfaces PoE en conmutadores de la serie EX.
Si la dirección IP no está configurada en el teléfono IP de Avaya, el teléfono intercambia información de LLDP-MED para obtener el ID de VLAN para la VLAN de voz. Debe configurar la voip instrucción en la interfaz para designarla como interfaz VoIP y permitir que el conmutador reenvíe el nombre de VLAN y el ID de VLAN para la VLAN de voz al teléfono IP. Luego, el teléfono IP usa la VLAN de voz (es decir, hace referencia al ID de la VLAN de voz) para enviar una solicitud de detección DHCP e intercambiar información con el servidor DHCP (puerta de enlace de voz).
Descripción general
En lugar de usar un teléfono regular, conecta un teléfono IP directamente al conmutador. Un teléfono IP tiene todo el hardware y el software necesarios para manejar VoIP. También puede alimentar un teléfono IP conectándole a una de las interfaces de alimentación por Ethernet (PoE) en el conmutador.
En este ejemplo, la interfaz de acceso ge-0/0/2 en el conmutador de la serie EX está conectada a un teléfono IP que no sea 802.1X.
Para configurar VoIP en un conmutador de la serie EX para que admita un teléfono IP que no admita la autenticación 802.1X, agregue la dirección MAC del teléfono como una entrada estática en la base de datos del autenticador y establezca el modo suplicante en varios.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente VoIP sin usar la autenticación 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procedimiento paso a paso
Para configurar VoIP sin autenticación 802.1X:
Configure las VLAN para voz y datos:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Configure la interfaz como una interfaz de acceso, configure la compatibilidad con la conmutación Ethernet y agregue la interfaz como miembro de la
data-vlanVLAN:[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
Nota:No debe configurar datos y voz en la misma VLAN. Si configura datos y voz en la misma VLAN, no se aceptará la configuración.
Configure VoIP en la interfaz y especifique la
assured-forwardingclase de reenvío para proporcionar la clase de servicio más confiable:[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configure la compatibilidad con el protocolo LLDP-MED:
[edit protocols] user@switch# set lldp-med interface ge-0/0/2
Establezca el perfil de autenticación con el nombre
auth-profile(consulte Configuración de la configuración de interfaz 802.1X (procedimiento de CLI) y Configuración de la contabilidad RADIUS 802.1X (procedimiento de CLI)):[edit protocols] user@switch# set dot1x authenticator authentication-profile-name auth-profile
Agregue la dirección MAC del teléfono a la lista de omisión MAC estática:
[edit protocols] user@switch# set dot1x authenticator static 00:04:f2:11:aa:a7
Establezca el modo suplicante en varios:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Resultados
Mostrar los resultados de la configuración:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2;
}
dot1x {
authenticator {
authentication-profile-name auth-profile;
static {
00:04:f2:11:aa:a7;
}
}
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
switch-options {
interface ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
switch-options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar la configuración de LLDP-MED
- Verificar la autenticación para la PC de escritorio
- Verificar la asociación de VLAN con la interfaz
Verificar la configuración de LLDP-MED
Propósito
Verifique que LLDP-MED esté habilitado en la interfaz.
Acción
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
Significado
El show lldp detail resultado del comando muestra que tanto LLDP como LLDP-MED están configurados en la ge-0/0/2 interfaz. Al final del resultado, se muestra la lista de TTL de administración básica de LLDP compatibles y TAV específicos de la organización que se admiten.
Verificar la autenticación para la PC de escritorio
Propósito
Muestra la configuración 802.1X para la PC de escritorio conectada a la interfaz VoIP a través del teléfono IP.
Acción
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
El campo Role muestra que la ge-0/0/2.0 interfaz está en el rol de autenticador. El Supplicant Mode campo muestra que la interfaz está configurada en multiple modo suplicante, lo que permite que varios suplicantes se autentifiquen en esta interfaz. Las direcciones MAC de los suplicantes conectados actualmente se muestran en la parte inferior de la salida.
Verificar la asociación de VLAN con la interfaz
Propósito
Muestra la membresía VLAN de la interfaz.
Acción
user@switch> show ethernet-switching interface ge-0/0/2.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/2.0 65535 untagged
voice-vlan 99
65535 Discarding
data-vlan 77
65535 DiscardingSignificado
El Vlan members campo muestra que la ge-0/0/2.0 interfaz admite tanto la VLAN voice-vlan como la data-vlan VLAN.