EN ESTA PÁGINA
Ejemplo: Configuración de VoIP con 802.1X y LLDP-MED en un conmutador de la serie EX
Ejemplo: Configuración de VoIP en un conmutador de la serie EX sin incluir soporte LLDP-MED
Ejemplo: Configuración de VoIP en un conmutador de la serie EX sin incluir soporte LLDP-MED
Ejemplo: Configuración de VoIP en un conmutador de la serie EX sin incluir autenticación 802.1X
VoIP en conmutadores de la serie EX
Puede configurar voz sobre IP (VoIP) en un conmutador de la serie EX para admitir teléfonos IP. Cuando utiliza VoIP, puede conectar teléfonos IP al conmutador y configurar la autenticación IEEE 802.1X para teléfonos IP compatibles con 802.1X. Para obtener más información, lea este tema.
Descripción de 802.1X y VoIP en conmutadores de la serie EX
Cuando utiliza VoIP, puede conectar teléfonos IP al conmutador y configurar la autenticación IEEE 802.1X para teléfonos IP compatibles con 802.1X. La autenticación 802.1X proporciona seguridad en el borde de la red, protegiendo las LAN Ethernet del acceso no autorizado de usuarios.
VoIP es un protocolo utilizado para la transmisión de voz a través de redes conmutadas por paquetes. VoIP transmite llamadas de voz mediante una conexión de red en lugar de una línea telefónica analógica.
Cuando se usa VoIP con 802.1X, el servidor RADIUS autentica el teléfono y Link Layer Discovery Protocol–Media Endpoint Discovery (LLDP-MED) proporciona los parámetros de clase de servicio (CoS) al teléfono.
Puede configurar la autenticación 802.1X para que funcione con VoIP en modo de súplica múltiple o suplicante único. En el modo de súplica múltiple , el proceso 802.1X permite que varios suplicantes se conecten a la interfaz. Cada suplicante se autentica individualmente. Para obtener un ejemplo de una topología de suplicante múltiple VoIP, consulte Figura 1.
Si un teléfono IP compatible con 802.1X no tiene un host 802.1X pero tiene otro dispositivo compatible con 802.1X conectado a su puerto de datos, puede conectar el teléfono a una interfaz en modo suplicante único. En el modo de suplicante único, el proceso 802.1X autentica sólo al primer suplicante . Todos los demás suplicantes que se conectan más tarde a la interfaz tienen acceso completo sin ninguna autenticación adicional. Efectivamente "se aprovechan" de la autenticación del primer suplicante. Para obtener un ejemplo de una topología suplicante única de VoIP, consulte .Figura 2
Si un teléfono IP no admite 802.1X, puede configurar VoIP para omitir 802.1X y LLDP-MED y hacer que los paquetes se reenvíen a una VLAN VoIP.
Autenticación 802.1X multidominio
La autenticación 802.1X multidominio es una extensión del modo suplicante múltiple que permite que un dispositivo VoIP predeterminado y múltiples dispositivos de datos se autentiquen en un solo puerto. La autenticación 802.1X multidominio proporciona seguridad mejorada en el modo de súplica múltiple al restringir el número de datos autenticados y sesiones VoIP en el puerto. En modo suplicante múltiple, se puede autenticar cualquier número de sesiones de VoIP o de datos; el número de sesiones se puede restringir mediante la limitación de MAC, pero no hay forma de aplicar el límite específicamente a los datos o a las sesiones de VoIP.
Con la autenticación 802.1X multidominio, el puerto único se divide en dos dominios; Uno es el dominio de datos y el otro es el dominio de voz. La autenticación 802.1X multidominio mantiene recuentos de sesiones independientes según el dominio. Puede configurar el número máximo de sesiones de datos autenticadas permitidas en el puerto. El número de sesiones de VoIP no es configurable; solo se permite una sesión VoIP autenticada en el puerto.
Si un nuevo cliente intenta autenticarse en la interfaz después de haber alcanzado el número máximo de sesiones, la acción predeterminada es soltar el paquete y generar un mensaje de registro de errores. También puede configurar la acción para apagar la interfaz. El puerto se puede recuperar manualmente desde el estado inactivo emitiendo el comando, o puede recuperarse automáticamente después de un período de tiempo de espera de recuperación configurado.cleardot1x recovery-timeout
La autenticación multidominio no aplica el orden de autenticación del dispositivo. Sin embargo, para obtener los mejores resultados, el dispositivo VoIP debe autenticarse antes que un dispositivo de datos en un puerto habilitado para 802.1X de varios dominios. La autenticación multidominio solo se admite en el modo de súplica múltiple.
Consulte también
Ejemplo: Configuración de VoIP con 802.1X y LLDP-MED en un conmutador de la serie EX
Puede configurar voz sobre IP (VoIP) en un conmutador de la serie EX para admitir teléfonos IP. El protocolo Link Layer Discovery Protocol–Media Endpoint Discovery (LLDP-MED) reenvía los parámetros de VoIP desde el conmutador al teléfono. También configure la autenticación 802.1X para permitir el acceso telefónico a la LAN. La autenticación se realiza a través de un servidor RADIUS backend.
En este ejemplo se describe cómo configurar VoIP en un conmutador de la serie EX para admitir un teléfono IP Avaya, así como el protocolo LLDP-MED y la autenticación 802.1X:
Si el conmutador ejecuta Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS), consulte el ejemplo: Configuración de VoIP con 802.1X y LLDP-MED en un conmutador de la serie EX compatible con ELS. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 9.1 o posterior para conmutadores serie EX
Un conmutador de la serie EX que actúa como entidad de acceso al puerto (PAE) de autenticación. Las interfaces en el PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un teléfono IP Avaya 9620 compatible con LLDP-MED y 802.1X
Antes de configurar VoIP, asegúrese de tener:
Instaló el conmutador de la serie EX. Consulte Instalación y conexión de un conmutador EX3200.https://www.juniper.net/documentation/en_US/release-independent/junos/topics/topic-map/ex3200-unpacking-mounting.html
Se realizó la configuración inicial del conmutador. Consulte Conexión y configuración de un conmutador de la serie EX (procedimiento J-Web).
Se realizó una configuración básica de puentes y VLAN en el conmutador. Consulte Ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX.
Configuró el servidor RADIUS para la autenticación 802.1X y configuró el perfil de acceso. Consulte Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
(Opcional) Interfaz configurada para alimentación por Ethernet (PoE).ge-0/0/2 La configuración de PoE no es necesaria si el suplicante de VoIP utiliza un adaptador de corriente. Para obtener información acerca de la configuración de PoE, consulte Configuración de interfaces PoE en conmutadores de la serie EX.Configuring PoE Interfaces on EX Series Switches
Si la dirección IP no está configurada en el teléfono IP de Avaya, el teléfono intercambia información LLDP-MED para obtener el ID de VLAN para la VLAN de voz. Debe configurar la instrucción en la interfaz para designarla como interfaz VoIP y permitir que el conmutador reenvíe el nombre y el ID de VLAN de la VLAN de voz al teléfono IP.voip A continuación, el teléfono IP utiliza la VLAN de voz (es decir, hace referencia al ID de la VLAN de voz) para enviar una solicitud de descubrimiento DHCP e intercambiar información con el servidor DHCP (puerta de enlace de voz).
Descripción general y topología
En lugar de utilizar un teléfono normal, conecte un teléfono IP directamente al conmutador. Un teléfono IP tiene todo el hardware y software necesario para manejar VoIP. También puede alimentar un teléfono IP conectándolo a una de las interfaces de alimentación por Ethernet (PoE) del conmutador.
En este ejemplo, la interfaz de acceso en el conmutador EX4200 está conectada a un teléfono IP Avaya 9620.ge-0/0/2 Los teléfonos Avaya tienen un puente incorporado que le permite conectar una PC de escritorio al teléfono, por lo que el escritorio y el teléfono en una sola oficina requieren solo una interfaz en el conmutador. El conmutador de la serie EX está conectado a un servidor RADIUS en la interfaz (consulte ).ge-0/0/10Figura 3
En este ejemplo, configure los parámetros de VoIP y especifique la clase de reenvío para el tráfico de voz a fin de proporcionar la máxima calidad de servicio.assured-forward
Tabla 1 describe los componentes utilizados en este ejemplo de configuración de VoIP.
| Propiedad | Configuraciones |
|---|---|
Hardware del conmutador |
Conmutador EX4200 |
Nombres de VLAN |
data-vlan voice-vlan |
Conexión al teléfono Avaya: con concentrador integrado, para conectar el teléfono y la PC de escritorio a una sola interfaz (requiere PoE) |
ge-0/0/2 |
Un servidor RADIUS |
Proporciona una base de datos back-end conectada al conmutador a través de la interfaz .ge-0/0/10 |
Además de configurar un VoIP para la interfaz , configure:ge-0/0/2
Autenticación 802.1X. La autenticación se establece en suplicante para admitir el acceso de más de un solicitante a la LAN a través de la interfaz .multiplege-0/0/2
Información del protocolo LLDP-MED. El conmutador utiliza LLDP-MED para reenviar los parámetros de VoIP al teléfono. El uso de LLDP-MED garantiza que el tráfico de voz se etiquete y priorice con los valores correctos en la propia fuente. Por ejemplo, la clase de servicio 802.1p y la información de la etiqueta 802.1Q se pueden enviar al teléfono IP.
Nota:No es necesaria una configuración PoE si un teléfono IP utiliza un adaptador de corriente.
Configuración
Para configurar la autenticación VoIP, LLDP-MED y 802.1X:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente VoIP, LLDP-MED y 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procedimiento paso a paso
Para configurar VoIP con LLDP-MED y 802.1X:
Configure las VLAN para voz y datos:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Asocie la VLAN con la interfaz:data-vlan
[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0Configure la interfaz como interfaz de acceso, configure la compatibilidad con la conmutación Ethernet y agregue la VLAN:data-vlan
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
Configure VoIP en la interfaz y especifique la clase de reenvío para proporcionar la clase de servicio más confiable:assured-forwarding
[edit ethernet—switching—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configure la compatibilidad con el protocolo LLDP-MED:
[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
Para autenticar un teléfono IP y un PC conectado al teléfono IP en la interfaz, configure la compatibilidad con la autenticación 802.1X y especifique el modo suplicante:multiple
Nota:Si no desea autenticar ningún dispositivo, omita la configuración 802.1X en esta interfaz.
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Resultados
Mostrar los resultados de la configuración:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2.0;
}
dot1x {
authenticator {
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
- Verificación de la configuración de LLDP-MED
- Verificación de la autenticación 802.1X para teléfono IP y PC de escritorio
- Verificación de la asociación de VLAN con la interfaz
Verificación de la configuración de LLDP-MED
Propósito
Compruebe que LLDP-MED esté habilitado en la interfaz.
Acción
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
Significado
El resultado muestra que tanto LLDP como LLDP-MED están configurados en la interfaz.show lldp detailge-0/0/2.0 El final de la salida muestra la lista de TLV básicos de LLDP, TLV 802.3 y TLV LLDP-MED compatibles con ellos.
Verificación de la autenticación 802.1X para teléfono IP y PC de escritorio
Propósito
Muestre la configuración 802.1X para confirmar que la interfaz VoIP tiene acceso a la LAN.
Acción
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
El campo muestra que la interfaz está en estado de autenticación.Rolege-0/0/2.0 El campo muestra que la interfaz está configurada en modo de súplica múltiple, lo que permite autenticar varios suplicantes en esta interfaz.Supplicant Las direcciones MAC de los suplicantes conectados actualmente se muestran en la parte inferior de la salida.
Verificación de la asociación de VLAN con la interfaz
Propósito
Muestra el estado de la interfaz y la pertenencia a VLAN.
Acción
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblockedSignificado
El campo muestra que la interfaz admite tanto la VLAN como la VLAN.VLAN membersge-0/0/2.0data-vlanvoice-vlan El campo muestra que la interfaz está activa.State
Ejemplo: Configuración de VoIP en un conmutador de la serie EX sin incluir soporte LLDP-MED
Puede configurar voz sobre IP (VoIP) en un conmutador de la serie EX para admitir teléfonos IP. El protocolo Link Layer Discovery Protocol–Media Endpoint Discovery (LLDP-MED) a veces se usa con teléfonos IP para reenviar parámetros de VoIP desde el conmutador al teléfono. Sin embargo, no todos los teléfonos IP son compatibles con LLDP-MED.
En este ejemplo se describe cómo configurar VoIP en un conmutador de la serie EX sin utilizar LLDP-MED:
- Requisitos
- Descripción general
- Configuración de VoIP sin LLDP-MED mediante una VLAN de voz en un puerto de acceso
- Configuración de VoIP sin LLDP-MED mediante un puerto troncal con opción de VLAN nativa
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador de la serie EX compatible con ELS que actúa como entidad de acceso al puerto (PAE) de autenticación. Las interfaces en el PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un teléfono IP que no admite LLDP-MED.
Junos OS versión 13.2X50 o posterior para conmutadores serie EX.
Antes de configurar VoIP, asegúrese de tener:
Se realizó una configuración básica de puentes y VLAN en el conmutador. Consulte Ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX compatible con ELS .
Se configuró el teléfono IP como miembro de la VLAN de voz.
(Opcional) Interfaz configurada ge-0/0/2 para alimentación por Ethernet (PoE). La configuración de PoE no es necesaria si el suplicante de VoIP utiliza un adaptador de corriente. Consulte Configuración de interfaces PoE en conmutadores de la serie EX.Configuring PoE Interfaces on EX Series Switches
Descripción general
En lugar de utilizar un teléfono normal, conecte un teléfono IP directamente al conmutador. Un teléfono IP tiene todo el hardware y software necesario para manejar VoIP. También puede alimentar un teléfono IP conectándolo a una de las interfaces de alimentación por Ethernet (PoE) del conmutador.
Los conmutadores de la serie EX pueden alojar un teléfono IP y un host final conectados a un único puerto de conmutador. En tal escenario, el tráfico de voz y datos debe separarse en diferentes dominios de difusión, o VLAN. Un método para lograr esto es configurar una VLAN de voz, que permite que los puertos de acceso acepten tráfico de datos sin etiquetar, así como tráfico de voz etiquetado de teléfonos IP, y asocien cada tipo de tráfico con VLAN separadas y distintas. El tráfico de voz (etiquetado) se puede tratar de manera diferente, generalmente con una prioridad más alta que el tráfico de datos (sin etiquetar).
La VLAN de voz ofrece el mayor beneficio cuando se usa con teléfonos IP compatibles con LLDP-MED, pero es lo suficientemente flexible como para que los teléfonos IP que no admiten LLDP-MED también puedan usarla de manera efectiva. Sin embargo, en ausencia de LLDP-MED, el ID de VLAN de voz debe configurarse manualmente en el teléfono IP porque LLDP-MED no está disponible para realizar esto dinámicamente. Para obtener información acerca de cómo configurar una VLAN de voz para teléfonos IP compatibles con LLDP-MED, consulte Ejemplo: Configuración de VoIP con 802.1X y LLDP-MED en un conmutador de la serie EX compatible con ELS.
Otro método para separar el tráfico de voz (etiquetado) y de datos (sin etiquetar) en diferentes VLAN es usar un puerto troncal con la opción de ID de VLAN nativo. El puerto de troncalización se agrega como miembro de la VLAN de voz y solo procesa el tráfico de voz etiquetado desde esa VLAN. El puerto de troncalización también debe configurarse con el ID de VLAN nativo de la VLAN de datos, de modo que pueda procesar el tráfico de datos sin etiquetar de la VLAN de datos. Esta configuración también requiere que el ID de VLAN de voz se establezca manualmente en el teléfono IP.
En este ejemplo se ilustran ambos métodos. En este ejemplo, la interfaz ge-0/0/2 del conmutador está conectada a un teléfono IP que no es LLDP-MED.
La implementación de una VLAN de voz en un teléfono IP es específica del proveedor. Consulte la documentación suministrada con el teléfono IP para obtener instrucciones sobre cómo configurar una VLAN de voz. Por ejemplo, en un teléfono Avaya, puede asegurarse de que el teléfono obtenga el ID de VLAN VoIP correcto incluso en ausencia de LLDP-MED habilitando la opción 176 de DHCP.
Topología
Configuración de VoIP sin LLDP-MED mediante una VLAN de voz en un puerto de acceso
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente VoIP, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Procedimiento paso a paso
Configure dos VLAN: uno para el tráfico de datos y otro para el tráfico de voz:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Nota:El ID de VLAN de voz debe configurarse manualmente en el teléfono IP.
Asocie la VLAN con la interfaz ge-0/0/2:
data-vlan[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0
Configure la interfaz ge-0/0/2 como puerto de acceso que pertenece a la VLAN de datos:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
Configure VoIP en la interfaz ge-0/0/2 y agregue esta interfaz a la VLAN de voz:
[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
Especifique la clase de reenvío asegurado para proporcionar la clase de servicio más confiable:
[edit switch-options] user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Resultados
Mostrar los resultados de la configuración:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Configuración de VoIP sin LLDP-MED mediante un puerto troncal con opción de VLAN nativa
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente VoIP, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Procedimiento paso a paso
Configure dos VLAN: uno para el tráfico de datos y otro para el tráfico de voz:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Nota:El ID de VLAN de voz debe configurarse manualmente en el teléfono IP.
Configure la interfaz ge-0/0/2 como un puerto troncal que incluya solo la VLAN de voz:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
Configure el ID de VLAN nativo para la VLAN de datos en el puerto de troncalización:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Resultados
Mostrar los resultados de la configuración:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members voice-vlan;
}
native-vlan-id data-vlan;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
}
voice-vlan {
vlan-id 99;
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice la siguiente tarea:
Verificación de la asociación de VLAN con la interfaz
Propósito
Muestra el estado de la interfaz y la pertenencia a VLAN.
Acción
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblockedSignificado
El campo muestra que la interfaz ge-0/0/2.0 admite tanto la VLAN de datos, data-vlan, como la VLAN de voz, voz-vlan.VLAN members El campo muestra que la interfaz está activa.State
Ejemplo: Configuración de VoIP en un conmutador de la serie EX sin incluir soporte LLDP-MED
Puede configurar voz sobre IP (VoIP) en un conmutador de la serie EX para admitir teléfonos IP. El protocolo Link Layer Discovery Protocol–Media Endpoint Discovery (LLDP-MED) a veces se usa con teléfonos IP para reenviar parámetros de VoIP desde el conmutador al teléfono. Sin embargo, no todos los teléfonos IP son compatibles con LLDP-MED.
En este ejemplo se describe cómo configurar VoIP en un conmutador de la serie EX sin utilizar LLDP-MED:
- Requisitos
- Descripción general
- Configuración de VoIP sin LLDP-MED mediante una VLAN de voz en un puerto de acceso
- Configuración de VoIP sin LLDP-MED mediante un puerto troncal con opción de VLAN nativa
- Verificación
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador EX4200 que actúa como entidad de acceso al puerto de autenticación (PAE). Las interfaces en el PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un teléfono IP que no admite LLDP-MED.
Junos OS versión 9.1 o posterior para conmutadores de la serie EX.
Antes de configurar VoIP, asegúrese de tener:
Se realizó una configuración básica de puentes y VLAN en el conmutador. Consulte Ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX.
Se configuró el teléfono IP como miembro de la VLAN de voz.
(Opcional) Interfaz configurada ge-0/0/2 para alimentación por Ethernet (PoE). La configuración de PoE no es necesaria si el suplicante de VoIP utiliza un adaptador de corriente. Consulte Configuración de interfaces PoE en conmutadores de la serie EX.Configuring PoE Interfaces on EX Series Switches
Descripción general
En lugar de utilizar un teléfono normal, conecte un teléfono IP directamente al conmutador. Un teléfono IP tiene todo el hardware y software necesario para manejar VoIP. También puede alimentar un teléfono IP conectándolo a una de las interfaces de alimentación por Ethernet (PoE) del conmutador.
Los conmutadores de la serie EX pueden alojar un teléfono IP y un host final conectados a un único puerto de conmutador. En tal escenario, el tráfico de voz y datos debe separarse en diferentes dominios de difusión, o VLAN. Un método para lograr esto es configurar una VLAN de voz, que permite que los puertos de acceso acepten tráfico de datos sin etiquetar, así como tráfico de voz etiquetado de teléfonos IP, y asocien cada tipo de tráfico con VLAN separadas y distintas. El tráfico de voz (etiquetado) se puede tratar de manera diferente, generalmente con una prioridad más alta que el tráfico de datos (sin etiquetar).
La VLAN de voz ofrece el mayor beneficio cuando se usa con teléfonos IP compatibles con LLDP-MED, pero es lo suficientemente flexible como para que los teléfonos IP que no admiten LLDP-MED también puedan usarla de manera efectiva. Sin embargo, en ausencia de LLDP-MED, el ID de VLAN de voz debe configurarse manualmente en el teléfono IP porque LLDP-MED no está disponible para realizar esto dinámicamente. Para obtener información acerca de cómo configurar una VLAN de voz para teléfonos IP compatibles con LLDP-MED, consulte Ejemplo: Configuración de VoIP con 802.1X y LLDP-MED en un conmutador de la serie EX.
Otro método para separar el tráfico de voz (etiquetado) y de datos (sin etiquetar) en diferentes VLAN es usar un puerto troncal con la opción de ID de VLAN nativo. El puerto de troncalización se agrega como miembro de la VLAN de voz y solo procesa el tráfico de voz etiquetado desde esa VLAN. El puerto de troncalización también debe configurarse con el ID de VLAN nativo de la VLAN de datos, de modo que pueda procesar el tráfico de datos sin etiquetar de la VLAN de datos. Esta configuración también requiere que el ID de VLAN de voz se establezca manualmente en el teléfono IP.
En este ejemplo se ilustran ambos métodos. En este ejemplo, la interfaz ge-0/0/2 del conmutador EX4200 está conectada a un teléfono IP que no es LLDP-ME.
La implementación de una VLAN de voz en un teléfono IP es específica del proveedor. Consulte la documentación suministrada con el teléfono IP para obtener instrucciones sobre cómo configurar una VLAN de voz. Por ejemplo, en un teléfono Avaya, puede asegurarse de que el teléfono obtenga el ID de VLAN VoIP correcto incluso en ausencia de LLDP-MED habilitando la opción 176 de DHCP.
Topología
Configuración de VoIP sin LLDP-MED mediante una VLAN de voz en un puerto de acceso
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente VoIP, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan
Procedimiento paso a paso
Configure dos VLAN: uno para el tráfico de datos y otro para el tráfico de voz:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Nota:El ID de VLAN de voz debe configurarse manualmente en el teléfono IP.
Configure la VLAN en la interfaz ge-0/0/2:data-vlan
[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0
Configure la interfaz ge-0/0/2 como puerto de acceso que pertenece a la VLAN de datos:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
Configure VoIP en la interfaz ge-0/0/2 y agregue esta interfaz a la VLAN de voz:
[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
Resultados
Mostrar los resultados de la configuración:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
}
}
}
Configuración de VoIP sin LLDP-MED mediante un puerto troncal con opción de VLAN nativa
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente VoIP, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Procedimiento paso a paso
Configure dos VLAN: uno para el tráfico de datos y otro para el tráfico de voz:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Nota:El ID de VLAN de voz debe configurarse manualmente en el teléfono IP.
Configure la interfaz ge-0/0/2 como un puerto troncal que incluya solo la VLAN de voz:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
Configure el ID de VLAN nativo para la VLAN de datos en el puerto de troncalización:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Resultados
Mostrar los resultados de la configuración:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members voice-vlan;
}
native-vlan-id data-vlan;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
}
voice-vlan {
vlan-id 99;
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice la siguiente tarea:
Verificación de la asociación de VLAN con la interfaz
Propósito
Muestra el estado de la interfaz y la pertenencia a VLAN.
Acción
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblockedSignificado
El campo muestra que la interfaz ge-0/0/2.0 admite tanto la VLAN de datos, data-vlan, como la VLAN de voz, voz-vlan.VLAN members El campo muestra que la interfaz está activa.State
Ejemplo: Configuración de VoIP en un conmutador de la serie EX sin incluir autenticación 802.1X
Puede configurar voz sobre IP (VoIP) en un conmutador de la serie EX para admitir teléfonos IP.
Para configurar VoIP en un conmutador de la serie EX para que admita un teléfono IP que no admita la autenticación 802.1X, debe agregar la dirección MAC del teléfono a la lista de omisión MAC estática o habilitar la autenticación MAC RADIUS en el conmutador.
En este ejemplo se describe cómo configurar VoIP en un conmutador de la serie EX sin autenticación 802.1X mediante la omisión estática de autenticación MAC:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 9.1 o posterior para conmutadores serie EX
Un teléfono IP
Antes de configurar VoIP, asegúrese de tener:
Instaló el conmutador de la serie EX. Consulte la información de instalación del conmutador.
Se realizó la configuración inicial del conmutador. Consulte Conexión y configuración de un conmutador de la serie EX (procedimiento de la CLI).Connecting and Configuring an EX Series Switch (CLI Procedure)
Se realizó una configuración básica de puentes y VLAN en el conmutador. Consulte Ejemplo: Configuración de puentes básicos y una VLAN para un conmutador de la serie EX.
Configuró el servidor RADIUS para la autenticación 802.1X y configuró el perfil de acceso. Consulte Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
(Opcional) Interfaz configurada para alimentación por Ethernet (PoE).
ge-0/0/2La configuración de PoE no es necesaria si el suplicante de VoIP utiliza un adaptador de corriente. Para obtener información acerca de la configuración de PoE, consulte Configuración de interfaces PoE en conmutadores de la serie EX.Configuring PoE Interfaces on EX Series Switches
Si la dirección IP no está configurada en el teléfono IP de Avaya, el teléfono intercambia información LLDP-MED para obtener el ID de VLAN para la VLAN de voz. Debe configurar la instrucción en la interfaz para designarla como interfaz VoIP y permitir que el conmutador reenvíe el nombre y el ID de VLAN de la VLAN de voz al teléfono IP.voip A continuación, el teléfono IP utiliza la VLAN de voz (es decir, hace referencia al ID de la VLAN de voz) para enviar una solicitud de descubrimiento DHCP e intercambiar información con el servidor DHCP (puerta de enlace de voz).
Descripción general
En lugar de utilizar un teléfono normal, conecte un teléfono IP directamente al conmutador. Un teléfono IP tiene todo el hardware y software necesario para manejar VoIP. También puede alimentar un teléfono IP conectándolo a una de las interfaces de alimentación por Ethernet (PoE) del conmutador.
En este ejemplo, la interfaz de acceso en el conmutador EX4200 está conectada a un teléfono IP que no es 802.1X.ge-0/0/2
Para configurar VoIP en un conmutador de la serie EX para que admita un teléfono IP que no admite la autenticación 802.1X, agregue la dirección MAC del teléfono como una entrada estática en la base de datos del autenticador y establezca el modo suplicante en múltiples.
Configuración
Para configurar VoIP sin autenticación 802.1X:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente VoIP, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procedimiento paso a paso
Para configurar VoIP sin 802.1X:
Configure las VLAN para voz y datos:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Asocie la VLAN con la interfaz:
data-vlan[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0Configure la interfaz como interfaz de acceso, configure la compatibilidad con la conmutación Ethernet y agregue la VLAN:
data-vlan[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
Configure VoIP en la interfaz y especifique la clase de reenvío para proporcionar la clase de servicio más confiable:
assured-forwarding[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configure la compatibilidad con el protocolo LLDP-MED:
[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
Establezca el perfil de autenticación (consulte Configuración de la interfaz 802.1X (procedimiento de CLI) y Configuración de la contabilidad RADIUS 802.1X (procedimiento de CLI)):Configuración de los ajustes de la interfaz 802.1X (procedimiento de la CLI)Configuración de la contabilidad RADIUS 802.1X (procedimiento de la CLI)
[edit protocols] set dot1x authenticator authentication-profile-name auth-profile
Agregue la dirección MAC del teléfono a la lista de omisión de MAC estática:
[edit protocols] set dot1x authenticator static 00:04:f2:11:aa:a7
Establezca el modo suplicante en varios:
[edit protocols] set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Resultados
Mostrar los resultados de la configuración:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2.0;
}
dot1x {
authenticator {
authentication-profile-name auth-profile;
static {
00:04:f2:11:aa:a7;
}
}
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
- Verificación de la configuración de LLDP-MED
- Comprobación de la autenticación para el equipo de escritorio
- Verificación de la asociación de VLAN con la interfaz
Verificación de la configuración de LLDP-MED
Propósito
Compruebe que LLDP-MED esté habilitado en la interfaz.
Acción
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
Significado
El resultado muestra que tanto LLDP como LLDP-MED están configurados en la interfaz.show lldp detailge-0/0/2.0 El final de la salida muestra la lista de TLV básicos de LLDP, TLV 802.3 y TLV LLDP-MED compatibles con ellos.
Comprobación de la autenticación para el equipo de escritorio
Propósito
Muestra la configuración 802.1X para el PC de escritorio conectado a la interfaz VoIP a través del teléfono IP.
Acción
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
El campo muestra que la interfaz está en estado de autenticación.Rolege-0/0/2.0 El campo muestra que la interfaz está configurada en modo de súplica múltiple, lo que permite autenticar varios suplicantes en esta interfaz.Supplicant Las direcciones MAC de los suplicantes conectados actualmente se muestran en la parte inferior de la salida.
Verificación de la asociación de VLAN con la interfaz
Propósito
Muestra el estado de la interfaz y la pertenencia a VLAN.
Acción
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblockedSignificado
El campo muestra que la interfaz admite tanto la VLAN como la VLAN.VLAN membersge-0/0/2.0data-vlanvoice-vlan El campo muestra que la interfaz está activa.State
Ejemplo: Configuración de VoIP con 802.1X y LLDP-MED en un conmutador de la serie EX compatible con ELS
En este ejemplo se utiliza Junos OS para conmutadores serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte el ejemplo: Configuración de VoIP con 802.1X y LLDP-MED en un conmutador de la serie EX. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Puede configurar VoIP en un conmutador de la serie EX para admitir teléfonos IP. El protocolo Link Layer Discovery Protocol–Media Endpoint Discovery (LLDP-MED) reenvía los parámetros de VoIP desde el conmutador al teléfono. También configure la autenticación 802.1X para permitir el acceso telefónico a la LAN. La autenticación se realiza a través de un servidor RADIUS backend.
En este ejemplo se describe cómo configurar VoIP en un conmutador de la serie EX para admitir un teléfono IP Avaya, así como cómo configurar el protocolo LLDP-MED y la autenticación 802.1X:
Requisitos
En este ejemplo se utilizan los siguientes componentes de software y hardware:
Este ejemplo también se aplica a los conmutadores QFX5100.
Junos OS versión 13.2X50 o posterior para conmutadores serie EX
Un conmutador de la serie EX compatible con ELS que actúa como entidad de acceso al puerto (PAE) de autenticación. Las interfaces en el PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un teléfono IP de Avaya compatible con LLDP-MED y 802.1X
Antes de configurar VoIP, asegúrese de tener:
Instaló el conmutador de la serie EX. Consulte la información de instalación del conmutador.
Se realizó la configuración inicial del conmutador. Consulte Conexión y configuración de un conmutador de la serie EX (procedimiento de la CLI).Connecting and Configuring an EX Series Switch (CLI Procedure)
Se realizó una configuración básica de puentes y VLAN en el conmutador. Consulte Ejemplo: Configuración de un puente básico y una VLAN para un conmutador de la serie EX compatible con ELS o ejemplo: Configuración de puentes básicos y una VLAN en conmutadores.
Configuró el servidor RADIUS para la autenticación 802.1X y configuró el perfil de acceso. Consulte Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
(Opcional) Se configuró la interfaz ge-0/0/2 para alimentación por Ethernet (PoE). La configuración de PoE no es necesaria si el suplicante de VoIP utiliza un adaptador de corriente. Para obtener información acerca de la configuración de PoE, consulte Configuración de interfaces PoE en conmutadores de la serie EX.Configuring PoE Interfaces on EX Series Switches
Si la dirección IP no está configurada en el teléfono IP de Avaya, el teléfono intercambia información LLDP-MED para obtener el ID de VLAN para la VLAN de voz. Debe configurar la instrucción en la interfaz para designarla como interfaz VoIP y permitir que el conmutador reenvíe el nombre y el ID de VLAN de la VLAN de voz al teléfono IP.voip A continuación, el teléfono IP utiliza la VLAN de voz (es decir, hace referencia al ID de la VLAN de voz) para enviar una solicitud de descubrimiento DHCP e intercambiar información con el servidor DHCP (puerta de enlace de voz).
Descripción general y topología
En lugar de utilizar un teléfono normal, conecte un teléfono IP directamente al conmutador. Un teléfono IP tiene todo el hardware y software necesario para manejar VoIP. También puede alimentar un teléfono IP conectándolo a una de las interfaces de alimentación por Ethernet (PoE) del conmutador.
Los conmutadores de la serie EX pueden alojar un teléfono IP y un host final conectados a un único puerto de conmutador. En tal escenario, el tráfico de voz y datos debe separarse en diferentes dominios de difusión, o VLAN. Un método para lograr esto es configurar una VLAN de voz, que permite que los puertos de acceso acepten tráfico de datos sin etiquetar, así como tráfico de voz etiquetado de teléfonos IP, y asocien cada tipo de tráfico con VLAN separadas y distintas. El tráfico de voz (etiquetado) se puede tratar de manera diferente, generalmente con una prioridad más alta que el tráfico de datos (sin etiquetar).
Si se ha aprendido una dirección MAC tanto en las VLAN de datos como en las de voz, permanece activa a menos que quede sin antigüedad de ambas VLAN o se eliminen ambas VLAN.
En este ejemplo, la interfaz de acceso ge-0/0/2 del conmutador de la serie EX está conectada a un teléfono IP de Avaya. Los teléfonos Avaya tienen un puente incorporado que le permite conectar una PC de escritorio al teléfono, por lo que el escritorio y el teléfono en una sola oficina requieren solo una interfaz en el conmutador. El conmutador de la serie EX está conectado a un servidor RADIUS en la interfaz ge-0/0/10 (consulte ).Figura 4
Esta cifra también se aplica a QFX5100 conmutadores.
En este ejemplo, configure los parámetros de VoIP y especifique la clase de reenvío para el tráfico de voz a fin de proporcionar la máxima calidad de servicio.assured-forward
Tabla 2 describe los componentes utilizados en este ejemplo de configuración de VoIP.
| Propiedad | Configuraciones |
|---|---|
Hardware del conmutador |
Conmutador de la serie EX compatible con ELS. |
Nombres e ID de VLAN |
Data-VLAN, 77 voz-vlan, 99 |
Conexión al teléfono Avaya: con concentrador integrado, para conectar el teléfono y la PC de escritorio a una sola interfaz (requiere PoE) |
ge-0/0/2 |
Un servidor RADIUS |
Proporciona una base de datos backend conectada al conmutador a través de la interfaz ge-0/0/10. |
Además de configurar un VoIP para la interfaz ge-0/0/2, configure:
Autenticación 802.1X. La autenticación se establece en modo suplicante para admitir el acceso de más de un suplicante a la LAN a través de la interfaz ge-0/0/2.
multipleInformación del protocolo LLDP-MED. El conmutador utiliza LLDP-MED para reenviar los parámetros de VoIP al teléfono. El uso de LLDP-MED garantiza que el tráfico de voz se etiquete y priorice con los valores correctos en la propia fuente. Por ejemplo, la clase de servicio 802.1p y la información de la etiqueta 802.1Q se pueden enviar al teléfono IP.
Nota:No es necesaria una configuración PoE si un teléfono IP utiliza un adaptador de corriente.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente VoIP, LLDP-MED y 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procedimiento paso a paso
Para configurar VoIP con LLDP-MED y 802.1X:
Configure las VLAN para voz y datos:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Asocie la VLAN con la interfaz:data-vlan
[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0Configure la interfaz como interfaz de acceso, configure la compatibilidad con la conmutación Ethernet y agregue la interfaz como miembro de la VLAN:data-vlan
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
Nota:No debe configurar tanto los datos como la voz en la misma VLAN. Si configura datos y voz en la misma VLAN, no se aceptará la configuración.
Si habilitó la autenticación 802.1X en el conmutador y:
-
La VLAN de voz que ha configurado es la misma que la VLAN de datos que envía el servidor de autenticación,
-
La VLAN de datos que ha configurado es la misma que la VLAN de voz que envía el servidor de autenticación, o
-
La VLAN de datos y la VLAN de voz que envía el servidor de autenticación son las mismas
El cliente pasaría al estado HOLD.
-
Configure VoIP en la interfaz y especifique la clase de reenvío para proporcionar la clase de servicio más confiable:
assured-forwarding[edit switch—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configure la compatibilidad con el protocolo LLDP-MED:
[edit protocols] user@switch# set lldp-med interface ge-0/0/2
Para autenticar un teléfono IP y un PC conectado al teléfono IP en la interfaz, configure la compatibilidad con la autenticación 802.1X y especifique el modo suplicante:
multipleNota:Si no desea autenticar ningún dispositivo, omita la configuración 802.1X en esta interfaz.
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Resultados
Mostrar los resultados de la configuración:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2;
}
dot1x {
authenticator {
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
switch-options {
interface ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
switch-options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
- Verificación de la configuración de LLDP-MED
- Verificación de la autenticación 802.1X para teléfono IP y PC de escritorio
- Verificación de la asociación de VLAN con la interfaz
Verificación de la configuración de LLDP-MED
Propósito
Compruebe que LLDP-MED esté habilitado en la interfaz.
Acción
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
Significado
El resultado muestra que ambos y están configurados en la interfaz.show lldp detailLLDPLLDP-MEDge-0/0/2 El final del resultado muestra la lista de TLV de administración básica de LLDP compatibles y TLV específicos de la organización que son compatibles.
Verificación de la autenticación 802.1X para teléfono IP y PC de escritorio
Propósito
Muestre la configuración 802.1X para confirmar que la interfaz VoIP tiene acceso a la LAN.
Acción
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
El campo muestra que la interfaz está en estado de autenticación.Rolege-0/0/2.0 El campo muestra que la interfaz está configurada en modo suplicante, lo que permite autenticar varios suplicantes en esta interfaz.Supplicant modemultiple Las direcciones MAC de los suplicantes conectados actualmente se muestran en la parte inferior de la salida.
Verificación de la asociación de VLAN con la interfaz
Propósito
Muestra la pertenencia a VLAN de la interfaz.
Acción
user@switch> show ethernet-switching interface ge-0/0/2.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/2.0 65535 untagged
voice-vlan 99
65535 Discarding
data-vlan 77
65535 DiscardingSignificado
El campo muestra que la interfaz admite tanto la VLAN como la VLAN.VLAN membersge-0/0/2.0data-vlanvoice-vlan
Ejemplo: Configuración de VoIP en un conmutador de la serie EX compatible con ELS sin incluir autenticación 802.1X
En este ejemplo se utiliza Junos OS para conmutadores serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte el ejemplo: Configuración de VoIP en un conmutador de la serie EX sin incluir autenticación 802.1X. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Puede configurar voz sobre IP (VoIP) en un conmutador de la serie EX para admitir teléfonos IP.
Para configurar VoIP en un conmutador de la serie EX para que admita un teléfono IP que no admita la autenticación 802.1X, debe agregar la dirección MAC del teléfono a la lista de omisión MAC estática o habilitar la autenticación MAC RADIUS en el conmutador.
En este ejemplo se describe cómo configurar VoIP en un conmutador de la serie EX sin autenticación 802.1X mediante la omisión estática de autenticación MAC:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Esta cifra también se aplica a QFX5100 conmutadores.
Un conmutador de la serie EX compatible con ELS
Junos OS versión 13.2 o posterior para conmutadores serie EX
Un teléfono IP de Avaya
Antes de configurar VoIP, asegúrese de tener:
Instaló el conmutador de la serie EX. Consulte la información de instalación del conmutador.
Se realizó la configuración inicial del conmutador. Consulte Conexión y configuración de un conmutador de la serie EX (procedimiento de la CLI).Connecting and Configuring an EX Series Switch (CLI Procedure)
Se realizó una configuración básica de puentes y VLAN en el conmutador. Consulte Ejemplo: Configuración de un puente básico y una VLAN para un conmutador de la serie EX compatible con ELS o ejemplo: Configuración de puentes básicos y una VLAN en conmutadores.
Configuró el servidor RADIUS para la autenticación 802.1X y configuró el perfil de acceso. Consulte Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
(Opcional) Se configuró la interfaz ge-0/0/2 para alimentación por Ethernet (PoE). La configuración de PoE no es necesaria si el suplicante de VoIP utiliza un adaptador de corriente. Para obtener información acerca de la configuración de PoE, consulte Configuración de interfaces PoE en conmutadores de la serie EX.Configuring PoE Interfaces on EX Series Switches
Si la dirección IP no está configurada en el teléfono IP de Avaya, el teléfono intercambia información LLDP-MED para obtener el ID de VLAN para la VLAN de voz. Debe configurar la instrucción en la interfaz para designarla como interfaz VoIP y permitir que el conmutador reenvíe el nombre y el ID de VLAN de la VLAN de voz al teléfono IP.voip A continuación, el teléfono IP utiliza la VLAN de voz (es decir, hace referencia al ID de la VLAN de voz) para enviar una solicitud de descubrimiento DHCP e intercambiar información con el servidor DHCP (puerta de enlace de voz).
Descripción general
En lugar de utilizar un teléfono normal, conecte un teléfono IP directamente al conmutador. Un teléfono IP tiene todo el hardware y software necesario para manejar VoIP. También puede alimentar un teléfono IP conectándolo a una de las interfaces de alimentación por Ethernet (PoE) del conmutador.
En este ejemplo, la interfaz de acceso ge-0/0/2 del conmutador de la serie EX está conectada a un teléfono IP que no es 802.1X.
Para configurar VoIP en un conmutador de la serie EX para que admita un teléfono IP que no admite la autenticación 802.1X, agregue la dirección MAC del teléfono como una entrada estática en la base de datos del autenticador y establezca el modo suplicante en múltiples.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar VoIP rápidamente sin usar la autenticación 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procedimiento paso a paso
Para configurar VoIP sin autenticación 802.1X:
Configure las VLAN para voz y datos:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Configure la interfaz como interfaz de acceso, configure la compatibilidad con la conmutación Ethernet y agregue la interfaz como miembro de la VLAN:
data-vlan[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
Nota:No debe configurar tanto los datos como la voz en la misma VLAN. Si configura datos y voz en la misma VLAN, no se aceptará la configuración.
Configure VoIP en la interfaz y especifique la clase de reenvío para proporcionar la clase de servicio más confiable:
assured-forwarding[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configure la compatibilidad con el protocolo LLDP-MED:
[edit protocols] user@switch# set lldp-med interface ge-0/0/2
Establezca el perfil de autenticación con el nombre (consulte Configuración de la interfaz 802.1X (procedimiento de CLI) y Configuración de la contabilidad de RADIUS 802.1X (procedimiento de CLI)):
auth-profileConfiguración de los ajustes de la interfaz 802.1X (procedimiento de la CLI)Configuración de la contabilidad RADIUS 802.1X (procedimiento de la CLI)[edit protocols] user@switch# set dot1x authenticator authentication-profile-name auth-profile
Agregue la dirección MAC del teléfono a la lista de omisión de MAC estática:
[edit protocols] user@switch# set dot1x authenticator static 00:04:f2:11:aa:a7
Establezca el modo suplicante en varios:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Resultados
Mostrar los resultados de la configuración:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2;
}
dot1x {
authenticator {
authentication-profile-name auth-profile;
static {
00:04:f2:11:aa:a7;
}
}
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
switch-options {
interface ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
switch-options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
- Verificación de la configuración de LLDP-MED
- Comprobación de la autenticación para el equipo de escritorio
- Verificación de la asociación de VLAN con la interfaz
Verificación de la configuración de LLDP-MED
Propósito
Compruebe que LLDP-MED esté habilitado en la interfaz.
Acción
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
Significado
El resultado del comando muestra que tanto LLDP como LLDP-MED están configurados en la interfaz.show lldp detailge-0/0/2 El final del resultado muestra la lista de TLV de administración básica de LLDP compatibles y TLV específicos de la organización que son compatibles.
Comprobación de la autenticación para el equipo de escritorio
Propósito
Muestra la configuración 802.1X para el PC de escritorio conectado a la interfaz VoIP a través del teléfono IP.
Acción
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
El campo muestra que la interfaz está en el rol de autenticador.Rolege-0/0/2.0 El campo muestra que la interfaz está configurada en modo suplicante, lo que permite autenticar varios suplicantes en esta interfaz.Supplicant Modemultiple Las direcciones MAC de los suplicantes conectados actualmente se muestran en la parte inferior de la salida.
Verificación de la asociación de VLAN con la interfaz
Propósito
Muestra la pertenencia a VLAN de la interfaz.
Acción
user@switch> show ethernet-switching interface ge-0/0/2.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/2.0 65535 untagged
voice-vlan 99
65535 Discarding
data-vlan 77
65535 DiscardingSignificado
El campo muestra que la interfaz admite tanto la VLAN como la VLAN.Vlan members ge-0/0/2.0data-vlanvoice-vlan