Nesta página
Exemplo: Configurando o VoIP com 802.1X e LLDP-MED em um switch da Série EX
Exemplo: Configuração do VoIP em um switch da Série EX sem incluir o suporte a LLDP-MED
Exemplo: Configuração do VoIP em um switch da Série EX sem incluir o suporte a LLDP-MED
Exemplo: Configuração do VoIP em um switch da Série EX sem incluir a autenticação 802.1X
Exemplo: Configurando o VoIP com 802.1X e LLDP-MED em um switch da Série EX com suporte a ELS
VoIP nos switches da Série EX
Você pode configurar a voz sobre IP (VoIP) em um switch da Série EX para oferecer suporte a telefones IP. Ao usar o VoIP, você pode conectar telefones IP ao switch e configurar a autenticação IEEE 802.1X para telefones IP compatíveis com 802.1X. Para obter mais informações, leia este tópico.
Entenda o 802.1X e o VoIP nos switches da Série EX
Ao usar o VoIP, você pode conectar telefones IP ao switch e configurar a autenticação IEEE 802.1X para telefones IP compatíveis com 802.1X. A autenticação 802.1X oferece segurança de borda de rede, protegendo as LANs Ethernet contra acesso de usuário não autorizado.
VoIP é um protocolo usado para a transmissão de voz por redes comutada por pacotes. O VoIP transmite chamadas de voz usando uma conexão de rede em vez de uma linha telefônica analógica.
Quando o VoIP é usado com o 802.1X, o servidor RADIUS autentica o telefone e o Link Layer Discovery Protocol — Media Endpoint Discovery (LLDP-MED) fornece os parâmetros de classe de serviço (CoS) para o telefone.
Você pode configurar a autenticação 802.1X para trabalhar com VoIP em vários modos suplicantes ou suplicantes únicos. Em vários modos suplicantes , o processo 802.1X permite que vários suplicantes se conectem à interface. Cada suplicante é autenticado individualmente. Para um exemplo de topologia de múltiplos suplicantes voIP, veja Figura 1.
Se um telefone IP compatível com 802.1X não tiver um host 802.1X, mas tiver outro dispositivo compatível com 802.1X conectado à sua porta de dados, você pode conectar o telefone a uma interface em modo suplicante único. Em um único modo suplicante , o processo 802.1X autentica apenas o primeiro suplicante. Todos os outros suplicantes que se conectam mais tarde à interface têm acesso completo sem qualquer autenticação adicional. Eles efetivamente "piggyback" na autenticação do primeiro suplicante. Para um exemplo de topologia de suplicante único de VoIP, veja Figura 2 .
Se um telefone IP não oferece suporte ao 802.1X, você pode configurar o VoIP para ignorar o 802.1X e o LLDP-MED e encaminhar os pacotes para um VLAN VoIP.
Autenticação multi domínio 802.1X
A autenticação multi domínio 802.1X é uma extensão do modo suplicante múltiplo que permite que um dispositivo VoIP padrão e vários dispositivos de dados autenuem em uma única porta. A autenticação multi domínio 802.1X oferece segurança aprimorada em vários modos suplicantes restringindo o número de dados autenticados e sessões de VoIP na porta. Em vários modos de suplicante, qualquer número de VoIP ou sessões de dados pode ser autenticado; o número de sessões pode ser restringido usando a limitação de MAC, mas não há como aplicar o limite especificamente a sessões de dados ou VoIP.
Com autenticação multi domínio 802.1X, a única porta é dividida em dois domínios; um é o domínio de dados e o outro é o domínio de voz. A autenticação multi domínio 802.1X mantém contagens de sessão separadas com base no domínio. Você pode configurar o número máximo de sessões de dados autenticadas permitidas na porta. O número de sessões de VoIP não é configurável; apenas uma sessão voIP autenticada é permitida na porta.
Se um novo cliente tentar autenticar a interface após o alcance da contagem máxima de sessão, a ação padrão é soltar o pacote e gerar uma mensagem de log de erro. Você também pode configurar a ação para desativar a interface. A porta pode ser recuperada manualmente do estado de inatividade, emitindo o clear dot1x recovery-timeout comando, ou podendo se recuperar automaticamente após um período de tempo de recuperação configurado.
A autenticação multi domínio não aplica a ordem de autenticação do dispositivo. No entanto, para obter os melhores resultados, o dispositivo VoIP deve ser autenticado antes de um dispositivo de dados em uma porta multi domínio habilitada para 802.1X. A autenticação multi domínio é suportada apenas em vários modos suplicantes.
Consulte também
Exemplo: Configurando o VoIP com 802.1X e LLDP-MED em um switch da Série EX
Você pode configurar a voz sobre IP (VoIP) em um switch da Série EX para oferecer suporte a telefones IP. O protocolo Link Layer Discovery Protocol — Media Endpoint Discovery (LLDP-MED) encaminha parâmetros voIP do switch para o telefone. Você também configura a autenticação 802.1X para permitir o acesso telefônico à LAN. A autenticação é feita por meio de um servidor RADIUS back-end.
Este exemplo descreve como configurar o VoIP em um switch da Série EX para oferecer suporte a um telefone IP Avaya, bem como ao protocolo LLDP-MED e autenticação 802.1X:
Se o seu switch executa o Junos OS para switches da Série EX com suporte ao estilo de configuração do Software de Camada 2 (ELS), veja Exemplo: Configurando o VoIP com 802.1X e LLDP-MED em um switch da Série EX com suporte a ELS. Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Versão 9.1 ou posterior do Junos OS para switches da Série EX
Um switch da Série EX atua como uma entidade de acesso de porta autenticadora (PAE). As interfaces no PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que eles sejam autenticados.
Um telefone IP Avaya 9620 que oferece suporte a LLDP-MED e 802.1X
Antes de configurar o VoIP, certifique-se de ter:
Instalou seu switch série EX. Veja a instalação e a conexão de um switch EX3200.
Executou a configuração inicial do switch. Veja a conexão e a configuração de um switch da Série EX (procedimento J-Web).
Realizou a ponte básica e a configuração de VLAN no switch. Veja exemplo: Configurando uma ponte básica e uma VLAN para um switch da Série EX.
Configurou o servidor RADIUS para autenticação 802.1X e configurou o perfil de acesso. Veja exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX.
(Opcional) Interface configurada ge-0/0/2 para Power over Ethernet (PoE). A configuração de PoE não é necessária se o suplicante VoIP estiver usando um adaptador de energia. Para obter informações sobre a configuração do PoE, consulte Configuração de interfaces PoE em switches da Série EX.
Se o endereço IP não estiver configurado no telefone IP da Avaya, o telefone troca informações de LLDP-MED para obter o VLAN ID para o VLAN de voz. Você deve configurar a voip declaração na interface para designar a interface como uma interface VoIP e permitir que o switch encaminhe o nome VLAN e o ID VLAN para o VLAN de voz para o telefone IP. O telefone IP então usa o VLAN de voz (ou seja, faz referência ao ID da VLAN de voz) para enviar um DHCP para descobrir informações de solicitação e troca com o servidor DHCP (gateway de voz).
Visão geral e topologia
Em vez de usar um telefone regular, você conecta um telefone IP diretamente ao switch. Um telefone IP tem todo o hardware e software necessários para lidar com o VoIP. Você também pode alimentar um telefone IP conectando-o a uma das interfaces Power over Ethernet (PoE) no switch.
Neste exemplo, a interface ge-0/0/2 de acesso no switch EX4200 está conectada a um telefone IP Avaya 9620. Os telefones Avaya têm uma ponte integrada que permite que você conecte um PC desktop ao telefone, de modo que o desktop e o telefone em um único escritório exigem apenas uma interface no switch. O switch da Série EX está conectado a um servidor RADIUS na interface ge-0/0/10 (ver Figura 3).
Neste exemplo, você configura parâmetros de VoIP e especifica a classe assured-forward de encaminhamento para tráfego de voz para fornecer a mais alta qualidade de serviço.
Tabela 1 descreve os componentes usados neste exemplo de configuração de VoIP.
| Propriedade | Configurações |
|---|---|
Hardware do switch |
Switch EX4200 |
Nomes de VLAN |
data-vlan voice-vlan |
Conexão ao telefone Avaya — com hub integrado, para conectar o PC de telefone e desktop a uma única interface (requer PoE) |
ge-0/0/2 |
Um servidor RADIUS |
Fornece banco de dados back-end conectado ao switch por meio de interface ge-0/0/10. |
Além de configurar um VoIP para interface ge-0/0/2, você configura:
Autenticação 802.1X. A autenticação é definida como multiple suplicante para oferecer suporte a mais de um suplicante de acesso à LAN por meio de interface ge-0/0/2.
Informações de protocolo LLDP-MED. O switch usa LLDP-MED para encaminhar parâmetros de VoIP para o telefone. O uso do LLDP-MED garante que o tráfego de voz seja marcado e priorizado com os valores corretos na própria fonte. Por exemplo, informações de tags de 802.1p e 802.1Q podem ser enviadas para o telefone IP.
Nota:Uma configuração de PoE não é necessária se um telefone IP estiver usando um adaptador de energia.
Configuração
Para configurar VoIP, LLDP-MED e autenticação 802.1X:
Procedimento
Configuração rápida da CLI
Para configurar rapidamente o VoIP, LLDP-MED e 802.1X, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procedimento passo a passo
Para configurar o VoIP com LLDP-MED e 802.1X:
Configure as VLANs para voz e dados:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Associe a VLAN data-vlan com a interface:
[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0Configure a interface como uma interface de acesso, configure o suporte para comutação Ethernet e adicione a data-vlan VLAN:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
Configure o VoIP na interface e especifique a assured-forwarding classe de encaminhamento para fornecer a classe de serviço mais confiável:
[edit ethernet—switching—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configure o suporte ao protocolo LLDP-MED:
[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
Para autenticar um telefone IP e um PC conectados ao telefone IP na interface, configure o suporte de autenticação 802.1X e especifique multiple o modo suplicante:
Nota:Se você não quiser autenticar nenhum dispositivo, pule a configuração 802.1X nesta interface.
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Resultados
Exibir os resultados da configuração:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2.0;
}
dot1x {
authenticator {
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Verificação da configuração do LLDP-MED
- Verificando a autenticação do 802.1X para IP Phone e DESKTOP PC
- Verificando a Associação de VLAN com a Interface
Verificação da configuração do LLDP-MED
Propósito
Verifique se o LLDP-MED está habilitado na interface.
Ação
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
Significado
A show lldp detail saída mostra que tanto o LLDP quanto o LLDP-MED estão configurados na ge-0/0/2.0 interface. O fim da saída mostra a lista de TLVs básicas LLDP suportadas, 802.3 TLVs e TLVs LLDP-MED que são suportadas.
Verificando a autenticação do 802.1X para IP Phone e DESKTOP PC
Propósito
Exibir a configuração 802.1X para confirmar que a interface VoIP tem acesso à LAN.
Ação
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
O campo Role mostra que a ge-0/0/2.0 interface está no estado do autenticador. O Supplicant campo mostra que a interface está configurada em múltiplos modos suplicantes, permitindo que vários suplicantes sejam autenticados nesta interface. Os endereços MAC dos suplicantes conectados atualmente são exibidos na parte inferior da saída.
Verificando a Associação de VLAN com a Interface
Propósito
Exibir o estado da interface e a associação de VLAN.
Ação
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblockedSignificado
O campo VLAN members mostra que a ge-0/0/2.0 interface oferece suporte tanto à VLAN quanto voice-vlan à data-vlan VLAN. O State campo mostra que a interface está ativa.
Exemplo: Configuração do VoIP em um switch da Série EX sem incluir o suporte a LLDP-MED
Você pode configurar a voz sobre IP (VoIP) em um switch da Série EX para oferecer suporte a telefones IP. O protocolo Link Layer Discovery Protocol — Media Endpoint Discovery (LLDP-MED) é às vezes usado com telefones IP para encaminhar parâmetros voIP do switch para o telefone. No entanto, nem todos os telefones IP oferecem suporte a LLDP-MED.
Este exemplo descreve como configurar o VoIP em um switch da Série EX sem usar LLDP-MED:
- Requisitos
- Visão geral
- Configuração do VoIP sem LLDP-MED usando uma VLAN de voz em uma porta de acesso
- Configurando VoIP sem LLDP-MED usando uma porta tronco com opção VLAN nativa
- Verificação
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch da Série EX com suporte para ELS atuando como uma entidade de acesso de porta autenticadora (PAE). As interfaces no PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que eles sejam autenticados.
Um telefone IP que não oferece suporte a LLDP-MED.
Junos OS Versão 13.2X50 ou posterior para switches da Série EX.
Antes de configurar o VoIP, certifique-se de ter:
Realizou a ponte básica e a configuração de VLAN no switch. Veja exemplo: Configuração de pontes básicas e uma VLAN para um switch da Série EX com suporte a ELS.
Configurou o telefone IP como um membro da VLAN de voz.
(Opcional) Interface configurada ge-0/0/2 para Power over Ethernet (PoE). A configuração de PoE não é necessária se o suplicante VoIP estiver usando um adaptador de energia. Veja a configuração de interfaces PoE em switches da Série EX.
Visão geral
Em vez de usar um telefone regular, você conecta um telefone IP diretamente ao switch. Um telefone IP tem todo o hardware e software necessários para lidar com o VoIP. Você também pode alimentar um telefone IP conectando-o a uma das interfaces Power over Ethernet (PoE) no switch.
Os switches da Série EX podem acomodar um telefone IP e um host final conectados a uma única porta de switch. Nesse cenário, o tráfego de voz e dados deve ser separado em diferentes domínios de broadcast ou VLANs. Um método para realizar isso é configurando um VLAN de voz, que permite que as portas de acesso aceitem tráfego de dados não registrados, bem como tráfego de voz marcado de telefones IP, e associem cada tipo de tráfego com VLANs separadas e distintas. O tráfego de voz (tags) pode então ser tratado de forma diferente, geralmente com uma prioridade maior do que o tráfego de dados (não registrado).
O VLAN de voz oferece o maior benefício quando usado com telefones IP que oferecem suporte ao LLDP-MED, mas é flexível o suficiente para que os telefones IP que não oferecem suporte ao LLDP-MED também possam usá-lo de forma eficaz. No entanto, na ausência de LLDP-MED, o ID VLAN de voz deve ser definido manualmente no telefone IP porque o LLDP-MED não está disponível para realizar isso dinamicamente. Para obter informações sobre a configuração de uma VLAN de voz para telefones IP que oferecem suporte ao LLDP-MED, veja Exemplo: Configurando o VoIP com 802.1X e LLDP-MED em um switch da Série EX com suporte a ELS.
Outro método para separar o tráfego de voz (tags) e dados (não registrados) em diferentes VLANs é usar uma porta de tronco com a opção VLAN ID nativa. A porta de tronco é adicionada como um membro da VLAN de voz, e processa apenas o tráfego de voz marcado a partir desse VLAN. A porta de tronco também deve ser configurada com o VLAN ID nativo para o VLAN de dados para que ele possa processar o tráfego de dados não registrados a partir da VLAN de dados. Essa configuração também exige que o ID VLAN de voz seja definido manualmente no telefone IP.
Este exemplo ilustra ambos os métodos. Neste exemplo, a interface ge-0/0/2 no switch está conectada a um telefone IP não LLDP-MED.
A implementação de uma VLAN de voz em um telefone IP é específica do fornecedor. Consulte a documentação que veio com seu telefone IP para obter instruções sobre a configuração de uma VLAN de voz. Por exemplo, em um telefone Avaya, você pode garantir que o telefone receba o ID VLAN voIP correto mesmo na ausência de LLDP-MED, habilitando a opção DHCP 176.
Topologia
Configuração do VoIP sem LLDP-MED usando uma VLAN de voz em uma porta de acesso
Procedimento
Configuração rápida da CLI
Para configurar o VoIP rapidamente, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Procedimento passo a passo
Configure duas VLANs: um para tráfego de dados e outro para tráfego de voz:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Nota:O ID VLAN de voz deve ser definido manualmente no telefone IP.
Associe a VLAN
data-vlanà interface ge-0/0/2:[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0
Configure a interface ge-0/0/2 como uma porta de acesso pertencente à VLAN de dados:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
Configure o VoIP na interface ge-0/0/2 e adicione esta interface à VLAN de voz:
[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
Especifique a classe de encaminhamento com encaminhamento garantido para fornecer a classe de serviço mais confiável:
[edit switch-options] user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Resultados
Exibir os resultados da configuração:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Configurando VoIP sem LLDP-MED usando uma porta tronco com opção VLAN nativa
Procedimento
Configuração rápida da CLI
Para configurar o VoIP rapidamente, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Procedimento passo a passo
Configure duas VLANs: um para tráfego de dados e outro para tráfego de voz:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Nota:O ID VLAN de voz deve ser definido manualmente no telefone IP.
Configure a interface ge-0/0/2 como uma porta-tronco que inclui apenas a VLAN de voz:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
Configure o VLAN ID nativo para a VLAN de dados na porta do tronco:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Resultados
Exibir os resultados da configuração:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members voice-vlan;
}
native-vlan-id data-vlan;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
}
voice-vlan {
vlan-id 99;
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute a seguinte tarefa:
Verificando a associação de VLAN com a interface
Propósito
Exibir o estado da interface e a associação de VLAN.
Ação
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblockedSignificado
O campo VLAN members mostra que a interface ge-0/0/2.0 oferece suporte tanto ao VLAN de dados, data-vlan, quanto ao VLAN de voz, voice-vlan. O State campo mostra que a interface está ativa.
Exemplo: Configuração do VoIP em um switch da Série EX sem incluir o suporte a LLDP-MED
Você pode configurar a voz sobre IP (VoIP) em um switch da Série EX para oferecer suporte a telefones IP. O protocolo Link Layer Discovery Protocol — Media Endpoint Discovery (LLDP-MED) é às vezes usado com telefones IP para encaminhar parâmetros voIP do switch para o telefone. No entanto, nem todos os telefones IP oferecem suporte a LLDP-MED.
Este exemplo descreve como configurar o VoIP em um switch da Série EX sem usar LLDP-MED:
- Requisitos
- Visão geral
- Configuração do VoIP sem LLDP-MED usando uma VLAN de voz em uma porta de acesso
- Configurando VoIP sem LLDP-MED usando uma porta tronco com opção VLAN nativa
- Verificação
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch EX4200 atua como uma entidade de acesso de porta autenticadora (PAE). As interfaces no PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que eles sejam autenticados.
Um telefone IP que não oferece suporte a LLDP-MED.
Junos OS Versão 9.1 ou posterior para switches da Série EX.
Antes de configurar o VoIP, certifique-se de ter:
Realizou a ponte básica e a configuração de VLAN no switch. Veja exemplo: Configurando uma ponte básica e uma VLAN para um switch da Série EX.
Configurou o telefone IP como um membro da VLAN de voz.
(Opcional) Interface configurada ge-0/0/2 para Power over Ethernet (PoE). A configuração de PoE não é necessária se o suplicante VoIP estiver usando um adaptador de energia. Veja a configuração de interfaces PoE em switches da Série EX.
Visão geral
Em vez de usar um telefone regular, você conecta um telefone IP diretamente ao switch. Um telefone IP tem todo o hardware e software necessários para lidar com o VoIP. Você também pode alimentar um telefone IP conectando-o a uma das interfaces Power over Ethernet (PoE) no switch.
Os switches da Série EX podem acomodar um telefone IP e um host final conectados a uma única porta de switch. Nesse cenário, o tráfego de voz e dados deve ser separado em diferentes domínios de broadcast ou VLANs. Um método para realizar isso é configurando um VLAN de voz, que permite que as portas de acesso aceitem tráfego de dados não registrados, bem como tráfego de voz marcado de telefones IP, e associem cada tipo de tráfego com VLANs separadas e distintas. O tráfego de voz (tags) pode então ser tratado de forma diferente, geralmente com uma prioridade maior do que o tráfego de dados (não registrado).
O VLAN de voz oferece o maior benefício quando usado com telefones IP que oferecem suporte ao LLDP-MED, mas é flexível o suficiente para que os telefones IP que não oferecem suporte ao LLDP-MED também possam usá-lo de forma eficaz. No entanto, na ausência de LLDP-MED, o ID VLAN de voz deve ser definido manualmente no telefone IP porque o LLDP-MED não está disponível para realizar isso dinamicamente. Para obter informações sobre a configuração de uma VLAN de voz para telefones IP que oferecem suporte ao LLDP-MED, veja Exemplo: Configurando o VoIP com 802.1X e LLDP-MED em um switch da Série EX.
Outro método para separar o tráfego de voz (tags) e dados (não registrados) em diferentes VLANs é usar uma porta de tronco com a opção VLAN ID nativa. A porta de tronco é adicionada como um membro da VLAN de voz, e processa apenas o tráfego de voz marcado a partir desse VLAN. A porta de tronco também deve ser configurada com o VLAN ID nativo para o VLAN de dados para que ele possa processar o tráfego de dados não registrados a partir da VLAN de dados. Essa configuração também exige que o ID VLAN de voz seja definido manualmente no telefone IP.
Este exemplo ilustra ambos os métodos. Neste exemplo, a interface ge-0/0/2 no switch EX4200 está conectada a um telefone IP não LLDP-MED.
A implementação de uma VLAN de voz em um telefone IP é específica do fornecedor. Consulte a documentação que veio com seu telefone IP para obter instruções sobre a configuração de uma VLAN de voz. Por exemplo, em um telefone Avaya, você pode garantir que o telefone receba o ID VLAN voIP correto mesmo na ausência de LLDP-MED, habilitando a opção DHCP 176.
Topologia
Configuração do VoIP sem LLDP-MED usando uma VLAN de voz em uma porta de acesso
Procedimento
Configuração rápida da CLI
Para configurar o VoIP rapidamente, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan
Procedimento passo a passo
Configure duas VLANs: um para tráfego de dados e outro para tráfego de voz:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Nota:O ID VLAN de voz deve ser definido manualmente no telefone IP.
Configure a VLAN data-vlan na interface ge-0/0/2:
[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0
Configure a interface ge-0/0/2 como uma porta de acesso pertencente à VLAN de dados:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
Configure o VoIP na interface ge-0/0/2 e adicione esta interface à VLAN de voz:
[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
Resultados
Exibir os resultados da configuração:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
}
}
}
Configurando VoIP sem LLDP-MED usando uma porta tronco com opção VLAN nativa
Procedimento
Configuração rápida da CLI
Para configurar o VoIP rapidamente, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Procedimento passo a passo
Configure duas VLANs: um para tráfego de dados e outro para tráfego de voz:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Nota:O ID VLAN de voz deve ser definido manualmente no telefone IP.
Configure a interface ge-0/0/2 como uma porta-tronco que inclui apenas a VLAN de voz:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
Configure o VLAN ID nativo para a VLAN de dados na porta do tronco:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
Resultados
Exibir os resultados da configuração:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members voice-vlan;
}
native-vlan-id data-vlan;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
}
voice-vlan {
vlan-id 99;
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute a seguinte tarefa:
Verificando a associação de VLAN com a interface
Propósito
Exibir o estado da interface e a associação de VLAN.
Ação
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblockedSignificado
O campo VLAN members mostra que a interface ge-0/0/2.0 oferece suporte tanto ao VLAN de dados, data-vlan, quanto ao VLAN de voz, voice-vlan. O State campo mostra que a interface está ativa.
Exemplo: Configuração do VoIP em um switch da Série EX sem incluir a autenticação 802.1X
Você pode configurar a voz sobre IP (VoIP) em um switch da Série EX para oferecer suporte a telefones IP.
Para configurar o VoIP em um switch da Série EX para oferecer suporte a um telefone IP que não oferece suporte à autenticação 802.1X, você deve adicionar o endereço MAC do telefone à lista de desvios MAC estático ou habilitar a autenticação MAC RADIUS no switch.
Este exemplo descreve como configurar o VoIP em um switch da Série EX sem autenticação 802.1X usando o desvio mac estático da autenticação:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Versão 9.1 ou posterior do Junos OS para switches da Série EX
Um telefone IP
Antes de configurar o VoIP, certifique-se de ter:
Instalou seu switch série EX. Veja as informações de instalação do seu switch.
Executou a configuração inicial do switch. Veja a conexão e a configuração de um switch da Série EX (procedimento CLI).
Realizou a ponte básica e a configuração de VLAN no switch. Veja exemplo: Configurando uma ponte básica e uma VLAN para um switch da Série EX.
Configurou o servidor RADIUS para autenticação 802.1X e configurou o perfil de acesso. Veja exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX.
(Opcional) Interface configurada
ge-0/0/2para Power over Ethernet (PoE). A configuração de PoE não é necessária se o suplicante VoIP estiver usando um adaptador de energia. Para obter informações sobre a configuração do PoE, consulte Configuração de interfaces PoE em switches da Série EX.
Se o endereço IP não estiver configurado no telefone IP da Avaya, o telefone troca informações de LLDP-MED para obter o VLAN ID para o VLAN de voz. Você deve configurar a voip declaração na interface para designar a interface como uma interface VoIP e permitir que o switch encaminhe o nome VLAN e o ID VLAN para o VLAN de voz para o telefone IP. O telefone IP então usa o VLAN de voz (ou seja, faz referência ao ID da VLAN de voz) para enviar um DHCP para descobrir informações de solicitação e troca com o servidor DHCP (gateway de voz).
Visão geral
Em vez de usar um telefone regular, você conecta um telefone IP diretamente ao switch. Um telefone IP tem todo o hardware e software necessários para lidar com o VoIP. Você também pode alimentar um telefone IP conectando-o a uma das interfaces Power over Ethernet (PoE) no switch.
Neste exemplo, a interface ge-0/0/2 de acesso no switch EX4200 está conectada a um telefone IP não-802.1X.
Para configurar o VoIP em um switch da Série EX para oferecer suporte a um telefone IP que não oferece suporte à autenticação 802.1X, adicione o endereço MAC do telefone como uma entrada estática no banco de dados do autenticador e configure o modo suplicante para vários.
Configuração
Para configurar o VoIP sem autenticação 802.1X:
Procedimento
Configuração rápida da CLI
Para configurar o VoIP rapidamente, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procedimento passo a passo
Para configurar o VoIP sem 802.1X:
Configure as VLANs para voz e dados:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Associe a VLAN
data-vlancom a interface:[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0Configure a interface como uma interface de acesso, configure o suporte para comutação Ethernet e adicione a
data-vlanVLAN:[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
Configure o VoIP na interface e especifique a
assured-forwardingclasse de encaminhamento para fornecer a classe de serviço mais confiável:[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configure o suporte ao protocolo LLDP-MED:
[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
Defina o perfil de autenticação (veja Configuração das configurações da interface 802.1X (procedimento CLI) e configuração da contabilidade RADIUS (Procedimento CLI) de 802.1X):
[edit protocols] set dot1x authenticator authentication-profile-name auth-profile
Adicione o endereço MAC do telefone à lista de desvios MAC estático:
[edit protocols] set dot1x authenticator static 00:04:f2:11:aa:a7
Defina o modo suplicante para vários:
[edit protocols] set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Resultados
Exibir os resultados da configuração:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2.0;
}
dot1x {
authenticator {
authentication-profile-name auth-profile;
static {
00:04:f2:11:aa:a7;
}
}
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Verificação da configuração do LLDP-MED
- Verificando a autenticação para o PC desktop
- Verificando a Associação de VLAN com a Interface
Verificação da configuração do LLDP-MED
Propósito
Verifique se o LLDP-MED está habilitado na interface.
Ação
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
Significado
A show lldp detail saída mostra que tanto o LLDP quanto o LLDP-MED estão configurados na ge-0/0/2.0 interface. O fim da saída mostra a lista de TLVs básicas LLDP suportadas, 802.3 TLVs e TLVs LLDP-MED que são suportadas.
Verificando a autenticação para o PC desktop
Propósito
Exibir a configuração 802.1X para o PC desktop conectado à interface VoIP por meio do telefone IP.
Ação
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
O campo Role mostra que a ge-0/0/2.0 interface está no estado do autenticador. O Supplicant campo mostra que a interface está configurada em múltiplos modos suplicantes, permitindo que vários suplicantes sejam autenticados nesta interface. Os endereços MAC dos suplicantes conectados atualmente são exibidos na parte inferior da saída.
Verificando a Associação de VLAN com a Interface
Propósito
Exibir o estado da interface e a associação de VLAN.
Ação
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblockedSignificado
O campo VLAN members mostra que a ge-0/0/2.0 interface oferece suporte tanto à VLAN quanto voice-vlan à data-vlan VLAN. O State campo mostra que a interface está ativa.
Exemplo: Configurando o VoIP com 802.1X e LLDP-MED em um switch da Série EX com suporte a ELS
Este exemplo usa o Junos OS para switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS). Se o seu switch executa um software que não oferece suporte ao ELS, veja Exemplo: Configurando o VoIP com 802.1X e LLDP-MED em um switch da Série EX. Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.
Você pode configurar o VoIP em um switch da Série EX para oferecer suporte a telefones IP. O protocolo Link Layer Discovery Protocol — Media Endpoint Discovery (LLDP-MED) encaminha parâmetros voIP do switch para o telefone. Você também configura a autenticação 802.1X para permitir o acesso telefônico à LAN. A autenticação é feita por meio de um servidor RADIUS back-end.
Este exemplo descreve como configurar o VoIP em um switch da Série EX para oferecer suporte a um telefone IP Avaya, bem como como configurar o protocolo LLDP-MED e a autenticação 802.1X:
Requisitos
Este exemplo usa os seguintes componentes de software e hardware:
Este exemplo também se aplica a switches QFX5100.
Junos OS Versão 13.2X50 ou posterior para switches da Série EX
Um switch da Série EX com suporte para ELS atuando como uma entidade de acesso de porta autenticadora (PAE). As interfaces no PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que eles sejam autenticados.
Um telefone IP Avaya que oferece suporte a LLDP-MED e 802.1X
Antes de configurar o VoIP, certifique-se de ter:
Instalou seu switch série EX. Veja as informações de instalação do seu switch.
Executou a configuração inicial do switch. Veja a conexão e a configuração de um switch da Série EX (procedimento CLI).
Realizou a ponte básica e a configuração de VLAN no switch. Veja exemplo: Configuração de pontes básicas e uma VLAN para um switch da Série EX com suporte ou exemplo de ELS: Configuração de pontes básicas e uma VLAN em switches.
Configurou o servidor RADIUS para autenticação 802.1X e configurou o perfil de acesso. Veja exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX.
(Opcional) Configurou a interface ge-0/0/2 para Power over Ethernet (PoE). A configuração de PoE não é necessária se o suplicante VoIP usar um adaptador de energia. Para obter informações sobre a configuração do PoE, consulte Configuração de interfaces PoE em switches da Série EX.
Se o endereço IP não estiver configurado no telefone IP da Avaya, o telefone troca informações de LLDP-MED para obter o VLAN ID para o VLAN de voz. Você deve configurar a voip declaração na interface para designar a interface como uma interface VoIP e permitir que o switch encaminhe o nome VLAN e o ID VLAN para o VLAN de voz para o telefone IP. O telefone IP então usa o VLAN de voz (ou seja, faz referência ao ID da VLAN de voz) para enviar um DHCP para descobrir informações de solicitação e troca com o servidor DHCP (gateway de voz).
Visão geral e topologia
Em vez de usar um telefone regular, você conecta um telefone IP diretamente ao switch. Um telefone IP tem todo o hardware e software necessários para lidar com o VoIP. Você também pode alimentar um telefone IP conectando-o a uma das interfaces Power over Ethernet (PoE) no switch.
Os switches da Série EX podem acomodar um telefone IP e um host final conectados a uma única porta de switch. Nesse cenário, o tráfego de voz e dados deve ser separado em diferentes domínios de broadcast ou VLANs. Um método para realizar isso é configurando um VLAN de voz, que permite que as portas de acesso aceitem tráfego de dados não registrados, bem como tráfego de voz marcado de telefones IP, e associem cada tipo de tráfego com VLANs separadas e distintas. O tráfego de voz (tags) pode então ser tratado de forma diferente, geralmente com uma prioridade maior do que o tráfego de dados (não registrado).
Se um endereço MAC tiver sido aprendido em VLANs de dados e voz, ele permanecerá ativo a menos que ele fique fora de ambas as VLANs ou ambas as VLANs sejam excluídas.
Neste exemplo, a interface de acesso ge-0/0/2 no switch da Série EX está conectada a um telefone IP Avaya. Os telefones Avaya têm uma ponte integrada que permite que você conecte um PC desktop ao telefone, de modo que o desktop e o telefone em um único escritório exigem apenas uma interface no switch. O switch da Série EX está conectado a um servidor RADIUS na interface ge-0/0/10 (ver Figura 4).
Esse número também se aplica a switches QFX5100.
Neste exemplo, você configura parâmetros de VoIP e especifica a classe assured-forward de encaminhamento para tráfego de voz para fornecer a mais alta qualidade de serviço.
Tabela 2 descreve os componentes usados neste exemplo de configuração de VoIP.
| Propriedade | Configurações |
|---|---|
Hardware do switch |
Switch série EX com suporte para ELS. |
Nomes de VLAN e IDs |
data-vlan, 77 voice-vlan, 99 |
Conexão ao telefone Avaya — com hub integrado, para conectar o PC de telefone e desktop a uma única interface (requer PoE) |
ge-0/0/2 |
Um servidor RADIUS |
Fornece banco de dados de back-end conectado ao switch por meio da interface ge-0/0/10. |
Além de configurar um VoIP para a interface ge-0/0/2, você configura:
Autenticação 802.1X. A autenticação está definida como
multipleum modo suplicante para oferecer suporte a mais de um suplicante de acesso à LAN por meio da interface ge-0/0/2.Informações de protocolo LLDP-MED. O switch usa LLDP-MED para encaminhar parâmetros de VoIP para o telefone. O uso do LLDP-MED garante que o tráfego de voz seja marcado e priorizado com os valores corretos na própria fonte. Por exemplo, informações de tags de 802.1p e 802.1Q podem ser enviadas para o telefone IP.
Nota:Uma configuração de PoE não é necessária se um telefone IP usar um adaptador de energia.
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente o VoIP, LLDP-MED e 802.1X, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procedimento passo a passo
Para configurar o VoIP com LLDP-MED e 802.1X:
Configure as VLANs para voz e dados:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Associe a VLAN data-vlan com a interface:
[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0Configure a interface como uma interface de acesso, configure o suporte para comutação Ethernet e adicione a interface como membro da data-vlan VLAN:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
Nota:Você não deve configurar dados e voz na mesma VLAN. Se você configurar dados e voz na mesma VLAN, a configuração não será aceita.
Se você tiver habilitado a autenticação do 802.1X em seu switch e:
-
O VLAN de voz que você configurou é o mesmo que a VLAN de dados que o servidor de autenticação envia,
-
O VLAN de dados que você configurou é o mesmo que a VLAN de voz que o servidor de autenticação envia, ou
-
O VLAN de dados e a VLAN de voz que o servidor de autenticação envia são os mesmos
O cliente se mudaria para o held state.
-
Configure o VoIP na interface e especifique a
assured-forwardingclasse de encaminhamento para fornecer a classe de serviço mais confiável:[edit switch—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configure o suporte ao protocolo LLDP-MED:
[edit protocols] user@switch# set lldp-med interface ge-0/0/2
Para autenticar um telefone IP e um PC conectados ao telefone IP na interface, configure o suporte de autenticação 802.1X e especifique
multipleo modo suplicante:Nota:Se você não quiser autenticar nenhum dispositivo, pule a configuração 802.1X nesta interface.
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Resultados
Exibir os resultados da configuração:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2;
}
dot1x {
authenticator {
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
switch-options {
interface ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
switch-options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Verificação da configuração do LLDP-MED
- Verificando a autenticação do 802.1X para IP Phone e DESKTOP PC
- Verificando a Associação de VLAN com a Interface
Verificação da configuração do LLDP-MED
Propósito
Verifique se o LLDP-MED está habilitado na interface.
Ação
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
Significado
A show lldp detail saída mostra que ambos LLDP e LLDP-MED estão configurados na ge-0/0/2 interface. O fim da saída mostra a lista de TLVs de gerenciamento básico LLDP suportadas e TLVs específicas da organização que são suportadas.
Verificando a autenticação do 802.1X para IP Phone e DESKTOP PC
Propósito
Exibir a configuração 802.1X para confirmar que a interface VoIP tem acesso à LAN.
Ação
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
O campo Role mostra que a ge-0/0/2.0 interface está no estado do autenticador. O Supplicant mode campo mostra que a interface está configurada no multiple modo suplicante, permitindo que vários suplicantes sejam autenticados nesta interface. Os endereços MAC dos suplicantes conectados atualmente são exibidos na parte inferior da saída.
Verificando a Associação de VLAN com a Interface
Propósito
Exibir a associação VLAN da interface.
Ação
user@switch> show ethernet-switching interface ge-0/0/2.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/2.0 65535 untagged
voice-vlan 99
65535 Discarding
data-vlan 77
65535 DiscardingSignificado
O campo VLAN members mostra que a ge-0/0/2.0 interface oferece suporte tanto à VLAN quanto voice-vlan à data-vlan VLAN.
Exemplo: Configuração do VoIP em um switch da Série EX com suporte a ELS sem incluir a autenticação 802.1X
Este exemplo usa o Junos OS para switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS). Se o seu switch executa um software que não oferece suporte ao ELS, veja Exemplo: Configurando o VoIP em um switch da Série EX sem incluir a autenticação 802.1X. Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.
Você pode configurar a voz sobre IP (VoIP) em um switch da Série EX para oferecer suporte a telefones IP.
Para configurar o VoIP em um switch da Série EX para oferecer suporte a um telefone IP que não oferece suporte à autenticação 802.1X, você deve adicionar o endereço MAC do telefone à lista de desvios MAC estático ou habilitar a autenticação MAC RADIUS no switch.
Este exemplo descreve como configurar o VoIP em um switch da Série EX sem autenticação 802.1X usando o desvio mac estático da autenticação:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Esse número também se aplica a switches QFX5100.
Um switch da Série EX com suporte para ELS
Versão 13.2 ou posterior do Junos OS para switches da Série EX
Um telefone IP da Avaya
Antes de configurar o VoIP, certifique-se de ter:
Instalou seu switch série EX. Veja as informações de instalação do seu switch.
Executou a configuração inicial do switch. Veja a conexão e a configuração de um switch da Série EX (procedimento CLI).
Realizou a ponte básica e a configuração de VLAN no switch. Veja exemplo: Configuração de pontes básicas e uma VLAN para um switch da Série EX com suporte ou exemplo de ELS: Configuração de pontes básicas e uma VLAN em switches.
Configurou o servidor RADIUS para autenticação 802.1X e configurou o perfil de acesso. Veja exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX.
(Opcional) Configurou a interface ge-0/0/2 para Power over Ethernet (PoE). A configuração de PoE não é necessária se o suplicante VoIP usar um adaptador de energia. Para obter informações sobre a configuração do PoE, consulte Configuração de interfaces PoE em switches da Série EX.
Se o endereço IP não estiver configurado no telefone IP da Avaya, o telefone troca informações de LLDP-MED para obter o VLAN ID para o VLAN de voz. Você deve configurar a voip declaração na interface para designar a interface como uma interface VoIP e permitir que o switch encaminhe o nome VLAN e o ID VLAN para o VLAN de voz para o telefone IP. O telefone IP então usa o VLAN de voz (ou seja, faz referência ao ID da VLAN de voz) para enviar um DHCP para descobrir informações de solicitação e troca com o servidor DHCP (gateway de voz).
Visão geral
Em vez de usar um telefone regular, você conecta um telefone IP diretamente ao switch. Um telefone IP tem todo o hardware e software necessários para lidar com o VoIP. Você também pode alimentar um telefone IP conectando-o a uma das interfaces Power over Ethernet (PoE) no switch.
Neste exemplo, a interface de acesso ge-0/0/2 no switch da Série EX está conectada a um telefone IP não-802.1X.
Para configurar o VoIP em um switch da Série EX para oferecer suporte a um telefone IP que não oferece suporte à autenticação 802.1X, adicione o endereço MAC do telefone como uma entrada estática no banco de dados do autenticador e configure o modo suplicante para vários.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar o VoIP rapidamente sem usar a autenticação 802.1X, copie os seguintes comandos e cole-os na janela terminal do switch:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Procedimento passo a passo
Para configurar o VoIP sem autenticação 802.1X:
Configure as VLANs para voz e dados:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
Configure a interface como uma interface de acesso, configure o suporte para comutação Ethernet e adicione a interface como membro da
data-vlanVLAN:[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
Nota:Você não deve configurar dados e voz na mesma VLAN. Se você configurar dados e voz na mesma VLAN, a configuração não será aceita.
Configure o VoIP na interface e especifique a
assured-forwardingclasse de encaminhamento para fornecer a classe de serviço mais confiável:[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
Configure o suporte ao protocolo LLDP-MED:
[edit protocols] user@switch# set lldp-med interface ge-0/0/2
Defina o perfil de autenticação com o nome
auth-profile(veja Configuração das configurações da interface 802.1X (procedimento CLI) e configuração da contabilidade RADIUS 802.1X (Procedimento CLI)):[edit protocols] user@switch# set dot1x authenticator authentication-profile-name auth-profile
Adicione o endereço MAC do telefone à lista de desvios MAC estático:
[edit protocols] user@switch# set dot1x authenticator static 00:04:f2:11:aa:a7
Defina o modo suplicante para vários:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
Resultados
Exibir os resultados da configuração:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2;
}
dot1x {
authenticator {
authentication-profile-name auth-profile;
static {
00:04:f2:11:aa:a7;
}
}
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
switch-options {
interface ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
switch-options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Verificação da configuração do LLDP-MED
- Verificando a autenticação para o PC desktop
- Verificando a Associação de VLAN com a Interface
Verificação da configuração do LLDP-MED
Propósito
Verifique se o LLDP-MED está habilitado na interface.
Ação
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
Significado
A show lldp detail saída de comando mostra que tanto o LLDP quanto o LLDP-MED estão configurados na ge-0/0/2 interface. O fim da saída mostra a lista de TLVs de gerenciamento básico LLDP suportadas e TLVs específicas da organização que são suportadas.
Verificando a autenticação para o PC desktop
Propósito
Exibir a configuração 802.1X para o PC desktop conectado à interface VoIP por meio do telefone IP.
Ação
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
O campo Role mostra que a ge-0/0/2.0 interface está na função de autenticador. O Supplicant Mode campo mostra que a interface está configurada no multiple modo suplicante, permitindo que vários suplicantes sejam autenticados nesta interface. Os endereços MAC dos suplicantes conectados atualmente são exibidos na parte inferior da saída.
Verificando a Associação de VLAN com a Interface
Propósito
Exibir a associação VLAN da interface.
Ação
user@switch> show ethernet-switching interface ge-0/0/2.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/2.0 65535 untagged
voice-vlan 99
65535 Discarding
data-vlan 77
65535 DiscardingSignificado
O Vlan members campo mostra que a ge-0/0/2.0 interface oferece suporte tanto à VLAN quanto voice-vlan à data-vlan VLAN.