EX 系列交换机上的 VoIP
您可以在 EX 系列交换机上配置 IP 语音 (VoIP) 以支持 IP 电话。使用 VoIP 时,可以将 IP 电话连接到交换机,并为兼容 802.1X 的 IP 电话配置 IEEE 802.1X 身份验证。有关更多信息,请阅读本主题。
了解 EX 系列交换机上的 802.1X 和 VoIP
使用 VoIP 时,可以将 IP 电话连接到交换机,并为兼容 802.1X 的 IP 电话配置 IEEE 802.1X 身份验证。802.1X 身份验证提供网络边缘安全性,保护以太网 LAN 免受未经授权的用户访问。
VoIP是一种用于通过分组交换网络传输语音的协议。VoIP 使用网络连接而不是模拟电话线传输语音呼叫。
当 VoIP 与 802.1X 配合使用时,RADIUS 服务器会对电话进行身份验证,链路层发现协议 – 媒体端点发现 (LLDP-MED) 会为电话提供服务等级 (CoS) 参数。
您可以将 802.1X 身份验证配置为在多请求方或单个请求方模式下与 VoIP 配合使用。在 多请求方 模式下,802.1X 进程允许多个请求方连接到接口。每个请求方都经过单独身份验证。有关 VoIP 多请求方拓扑的示例,请参见 图 1。
如果兼容 802.1X 的 IP 电话没有 802.1X 主机,但有另一台兼容 802.1X 的设备连接到其数据端口,则可以将电话连接到单请求模式的接口。在 单一请求方 模式下,802.1X 进程仅对第一个请求方进行身份验证。稍后连接到接口的所有其他请求方都可以完全访问,而无需任何进一步的身份验证。他们有效地“捎带”了第一个请求方的身份验证。有关 VoIP 单一请求方拓扑的示例,请参见 图 2 。
如果 IP 电话不支持 802.1X,您可以将 VoIP 配置为绕过 802.1X 和 LLDP-MED,并将数据包转发到 VoIP VLAN。
多域 802.1X 身份验证
多域 802.1X 身份验证是多请求模式的扩展,允许一个默认 VoIP 设备和多个数据设备在单个端口上进行身份验证。多域 802.1X 身份验证通过限制端口上经过身份验证的数据和 VoIP 会话的数量,在多个请求方模式下提供增强的安全性。在多请求模式下,可以对任意数量的VoIP或数据会话进行身份验证;可以使用 MAC 限制来限制会话数,但无法将限制专门应用于数据或 VoIP 会话。
通过多域802.1X身份验证,单个端口分为两个域;一个是数据域,另一个是语音域。多域 802.1X 身份验证根据域维护单独的会话计数。您可以配置端口上允许的最大经过身份验证的数据会话数。VoIP 会话的数量不可配置;端口上只允许一个经过身份验证的 VoIP 会话。
如果在达到最大会话计数后,新客户端尝试在接口上进行身份验证,则默认操作是丢弃数据包并生成错误日志消息。您还可以配置操作以关闭接口。可以通过发出 clear dot1x recovery-timeout 命令手动从关闭状态恢复端口,也可以通过在配置的恢复超时期限后自动恢复端口。
多域身份验证不会强制执行设备身份验证的顺序。但是,为了获得最佳结果,VoIP 设备应在启用多域 802.1X 的端口上的数据设备之前进行身份验证。仅在多请求方模式下支持多域身份验证。
另请参阅
示例:在 EX 系列交换机上使用 802.1X 和 LLDP-MED 设置 VoIP
您可以在 EX 系列交换机上配置 IP 语音 (VoIP) 以支持 IP 电话。链路层发现协议 – 媒体端点发现 (LLDP-MED) 协议将 VoIP 参数从交换机转发到电话。您还可以配置 802.1X 身份验证以允许电话访问 LAN。身份验证通过后端 RADIUS 服务器完成。
此示例介绍如何在 EX 系列交换机上配置 VoIP 以支持 Avaya IP 电话,以及 LLDP-MED 协议和 802.1X 身份验证:
如果您的交换机运行的 Junos OS for EX 系列交换机支持增强型第 2 层软件 (ELS) 配置样式,请参阅 示例:在支持 ELS 的 EX 系列交换机上设置 802.1X 和 LLDP-MED 的 VoIP。有关 ELS 的详细信息,请参阅使用增强型第 2 层软件 CLI。
要求
此示例使用以下硬件和软件组件:
适用于 EX 系列交换机的 Junos OS 9.1 或更高版本
一台 EX 系列交换机充当身份验证器端口访问实体 (PAE)。验证方 PAE 上的接口形成一个控制门,用于阻止请求方来往的所有流量,直到它们通过身份验证。
支持 LLDP-MED 和 802.1X 的 Avaya 9620 IP 电话
在配置 VoIP 之前,请确保您已:
已安装EX系列交换机。请参阅 安装和连接 EX3200 交换机。
已执行初始交换机配置。请参阅连接和配置 EX 系列交换机(J-Web 过程)。
已在交换机上执行基本桥接和VLAN配置。请参阅 示例:为 EX 系列交换机设置基本桥接和 VLAN。
已将 RADIUS 服务器配置为 802.1X 身份验证并设置访问配置文件。请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
(可选)以太网供电 (PoE) 的配置接口 ge-0/0/2 。如果 VoIP 请求方使用的是电源适配器,则不需要 PoE 配置。有关配置 PoE 的信息,请参阅 在 EX 系列交换机上配置 PoE 接口。
如果未在 Avaya IP 电话上配置 IP 地址,电话将交换 LLDP-MED 信息,以获取语音 VLAN 的 VLAN ID。您必须在接口上配置 voip 语句以将该接口指定为 VoIP 接口,并允许交换机将语音 VLAN 的 VLAN 名称和 VLAN ID 转发到 IP 电话。然后,IP 电话使用语音 VLAN(即,它引用语音 VLAN 的 ID)发送 DHCP 发现请求并与 DHCP 服务器(语音网关)交换信息。
概述和拓扑
您可以不用使用普通电话,而是将 IP 电话直接连接到交换机。IP电话具有处理VoIP所需的所有硬件和软件。您还可以通过将 IP 电话连接到交换机上的其中一个以太网供电 (PoE) 接口来为其供电。
在此示例中,EX4200 交换机上的接入接口 ge-0/0/2 连接到 Avaya 9620 IP 电话。Avaya手机具有内置桥接器,可让您将台式PC连接到手机,因此单个办公室中的台式机和电话只需要交换机上的一个接口。EX 系列交换机连接到接口 ge-0/0/10 上的 RADIUS 服务器(请参阅 图 3)。
在此示例中,您将配置 VoIP 参数并指定语音流量的转发类 assured-forward ,以提供最高质量的服务。
表 1 介绍了此 VoIP 配置示例中使用的组件。
| 属性 | 设置 |
|---|---|
交换机硬件 |
EX4200 交换机 |
VLAN 名称 |
data-vlan voice-vlan |
连接至Avaya手机—通过集成集线器,将手机和台式PC连接至单一接口(需要PoE) |
ge-0/0/2 |
一台 RADIUS 服务器 |
提供通过接口 ge-0/0/10连接到交换机的后端数据库。 |
除了为 接口 ge-0/0/2配置 VoIP 之外,您还可以配置:
802.1X 身份验证。身份验证设置为 multiple 请求方,以支持多个请求方通过接口 ge-0/0/2访问 LAN。
LLDP-MED 协议信息。交换机使用 LLDP-MED 将 VoIP 参数转发到电话。使用 LLDP-MED 可确保语音流量在源本身使用正确的值进行标记和优先级排序。例如,可以将 802.1p 服务等级和 802.1Q 标记信息发送到 IP 电话。
注:如果 IP 电话使用电源适配器,则不需要 PoE 配置。
配置
要配置 VoIP、LLDP-MED 和 802.1X 身份验证,请执行以下操作:
程序
CLI 快速配置
要快速配置 VoIP、LLDP-MED 和 802.1X,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
分步过程
要使用 LLDP-MED 和 802.1X 配置 VoIP:
为语音和数据配置 VLAN:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
将 VLAN data-vlan 与接口关联:
[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0将接口配置为接入接口,配置对以太网交换的支持,并添加 data-vlan VLAN:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
在接口上配置 VoIP 并指定 assured-forwarding 转发类以提供最可靠的服务等级:
[edit ethernet—switching—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
配置 LLDP-MED 协议支持:
[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
要在接口上对连接到 IP 电话的 IP 电话和 PC 进行身份验证,请配置 802.1X 身份验证支持并指定 multiple 请求方模式:
注:如果不想对任何设备进行身份验证,请跳过此接口上的 802.1X 配置。
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
结果
显示配置结果:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2.0;
}
dot1x {
authenticator {
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
验证
要确认配置工作正常,请执行以下任务:
验证 LLDP-MED 配置
目的
验证接口上是否启用了 LLDP-MED。
操作
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
意义
show lldp detail输出显示接口上ge-0/0/2.0同时配置了 LLDP 和 LLDP-MED。输出的末尾显示受支持的 LLDP 基本 TLV、802.3 TLV 和受支持的 LLDP-MED TLV 的列表。
验证 IP 电话和台式 PC 的 802.1X 身份验证
目的
显示 802.1X 配置以确认 VoIP 接口可以访问 LAN。
操作
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意义
该字段 Role 显示 ge-0/0/2.0 接口处于身份验证器状态。该 Supplicant 字段显示接口配置为多个请求方模式,允许在此接口上对多个请求方进行身份验证。当前连接的请求方的 MAC 地址显示在输出的底部。
验证 VLAN 与接口的关联
目的
显示接口状态和 VLAN 成员资格。
操作
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblocked意义
该字段 VLAN members 显示 ge-0/0/2.0 接口同时支持 data-vlan VLAN 和 voice-vlan VLAN。该 State 字段显示接口已启动。
示例:在 EX 系列交换机上配置 VoIP,而不包括 LLDP-MED 支持
您可以在 EX 系列交换机上配置 IP 语音 (VoIP) 以支持 IP 电话。链路层发现协议 – 媒体端点发现 (LLDP-MED) 协议有时与 IP 电话一起使用,以将 VoIP 参数从交换机转发到电话。但是,并非所有 IP 电话都支持 LLDP-MED。
此示例介绍如何在不使用 LLDP-MED 的情况下在 EX 系列交换机上配置 VoIP:
要求
此示例使用以下硬件和软件组件:
一台 EX 系列交换机,支持 ELS 充当身份验证器端口访问实体 (PAE)。验证方 PAE 上的接口形成一个控制门,用于阻止请求方来往的所有流量,直到它们通过身份验证。
不支持 LLDP-MED 的 IP 电话。
适用于 EX 系列交换机的 Junos OS 13.2X50 或更高版本。
在配置 VoIP 之前,请确保您已:
已在交换机上执行基本桥接和VLAN配置。请参阅 示例:为支持 ELS 的 EX 系列交换机设置基本桥接和 VLAN。
已将 IP 电话配置为语音 VLAN 的成员。
(可选)为以太网供电 (PoE) 配置接口 ge-0/0/2。如果 VoIP 请求方使用的是电源适配器,则不需要 PoE 配置。请参阅 在 EX 系列交换机上配置 PoE 接口。
概述
您可以不用使用普通电话,而是将 IP 电话直接连接到交换机。IP电话具有处理VoIP所需的所有硬件和软件。您还可以通过将 IP 电话连接到交换机上的其中一个以太网供电 (PoE) 接口来为其供电。
EX 系列交换机可容纳连接到单个交换机端口的 IP 电话和终端主机。在这种情况下,语音和数据流量必须分离到不同的广播域或 VLAN 中。实现此目的的一种方法是配置语音 VLAN,使接入端口能够接受来自 IP 电话的未标记数据流量和标记语音流量,并将每种类型的流量与单独且不同的 VLAN 相关联。然后,可以对语音流量(已标记)进行区别对待,通常具有比数据流量(未标记)更高的优先级。
当与支持 LLDP-MED 的 IP 电话一起使用时,语音 VLAN 可提供最大的优势,但它足够灵活,不支持 LLDP-MED 的 IP 电话也可以有效地使用它。但是,在没有 LLDP-MED 的情况下,必须在 IP 电话上手动设置语音 VLAN ID,因为 LLDP-MED 无法动态完成此操作。有关为支持 LLDP-MED 的 IP 电话设置语音 VLAN 的信息,请参阅 示例:在支持 ELS 的 EX 系列交换机上设置 802.1X 和 LLDP-MED 的 VoIP。
将语音(标记)和数据(未标记)流量分离到不同 VLAN 的另一种方法是使用具有本机 VLAN ID 选项的中继端口。中继端口将添加为语音 VLAN 的成员,并仅处理来自该 VLAN 的标记语音流量。中继端口还必须配置数据 VLAN 的本机 VLAN ID,以便它可以处理来自数据 VLAN 的未标记数据流量。此配置还要求在 IP 电话上手动设置语音 VLAN ID。
此示例说明了这两种方法。在此示例中,交换机上的接口 ge-0/0/2 连接到非 LLDP-MED IP 电话。
IP 电话上语音 VLAN 的实施因供应商而异。有关配置语音 VLAN 的说明,请参阅 IP 电话随附的文档。例如,在Avaya手机上,您可以通过启用DHCP选项176来确保电话即使在没有LLDP-MED的情况下也能获得正确的VoIP VLAN ID。
拓扑学
通过在接入端口上使用语音 VLAN 配置不带 LLDP-MED 的 VoIP
程序
CLI 快速配置
要快速配置 VoIP,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding
分步过程
配置两个 VLAN:一个用于数据流量,一个用于语音流量:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
注:必须在 IP 电话上手动设置语音 VLAN ID。
将 VLAN
data-vlan与接口 ge-0/0/2 关联:[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0
将接口 ge-0/0/2 配置为属于数据 VLAN 的接入端口:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
在接口 ge-0/0/2 上配置 VoIP,并将此接口添加到语音 VLAN:
[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
指定有保证的转发类以提供最可靠的服务等级:
[edit switch-options] user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
结果
显示配置结果:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
使用具有本机 VLAN 选项的中继端口配置不带 LLDP-MED 的 VoIP
程序
CLI 快速配置
要快速配置 VoIP,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
分步过程
配置两个 VLAN:一个用于数据流量,一个用于语音流量:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
注:必须在 IP 电话上手动设置语音 VLAN ID。
将接口 ge-0/0/2 配置为仅包含语音 VLAN 的中继端口:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
为中继端口上的数据 VLAN 配置本机 VLAN ID:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
结果
显示配置结果:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members voice-vlan;
}
native-vlan-id data-vlan;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
}
voice-vlan {
vlan-id 99;
}
}
验证
要确认配置工作正常,请执行以下任务:
验证 VLAN 与接口的关联
目的
显示接口状态和 VLAN 成员资格。
操作
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblocked意义
该字段 VLAN members 显示 ge-0/0/2.0 接口同时支持数据 VLAN(数据 VLAN)和语音 VLAN(语音 VLAN)。该 State 字段显示接口已启动。
示例:在 EX 系列交换机上配置 VoIP,而不包括 LLDP-MED 支持
您可以在 EX 系列交换机上配置 IP 语音 (VoIP) 以支持 IP 电话。链路层发现协议 – 媒体端点发现 (LLDP-MED) 协议有时与 IP 电话一起使用,以将 VoIP 参数从交换机转发到电话。但是,并非所有 IP 电话都支持 LLDP-MED。
此示例介绍如何在不使用 LLDP-MED 的情况下在 EX 系列交换机上配置 VoIP:
要求
此示例使用以下硬件和软件组件:
一台 EX4200 交换机充当身份验证器端口访问实体 (PAE)。验证方 PAE 上的接口形成一个控制门,用于阻止请求方来往的所有流量,直到它们通过身份验证。
不支持 LLDP-MED 的 IP 电话。
适用于 EX 系列交换机的 Junos OS 9.1 或更高版本。
在配置 VoIP 之前,请确保您已:
已在交换机上执行基本桥接和VLAN配置。请参阅 示例:为 EX 系列交换机设置基本桥接和 VLAN。
已将 IP 电话配置为语音 VLAN 的成员。
(可选)为以太网供电 (PoE) 配置接口 ge-0/0/2。如果 VoIP 请求方使用的是电源适配器,则不需要 PoE 配置。请参阅 在 EX 系列交换机上配置 PoE 接口。
概述
您可以不用使用普通电话,而是将 IP 电话直接连接到交换机。IP电话具有处理VoIP所需的所有硬件和软件。您还可以通过将 IP 电话连接到交换机上的其中一个以太网供电 (PoE) 接口来为其供电。
EX 系列交换机可容纳连接到单个交换机端口的 IP 电话和终端主机。在这种情况下,语音和数据流量必须分离到不同的广播域或 VLAN 中。实现此目的的一种方法是配置语音 VLAN,使接入端口能够接受来自 IP 电话的未标记数据流量和标记语音流量,并将每种类型的流量与单独且不同的 VLAN 相关联。然后,可以对语音流量(已标记)进行区别对待,通常具有比数据流量(未标记)更高的优先级。
当与支持 LLDP-MED 的 IP 电话一起使用时,语音 VLAN 可提供最大的优势,但它足够灵活,不支持 LLDP-MED 的 IP 电话也可以有效地使用它。但是,在没有 LLDP-MED 的情况下,必须在 IP 电话上手动设置语音 VLAN ID,因为 LLDP-MED 无法动态完成此操作。有关为支持 LLDP-MED 的 IP 电话设置语音 VLAN 的信息,请参阅 示例:在 EX 系列交换机上使用 802.1X 和 LLDP-MED 设置 VoIP。
将语音(标记)和数据(未标记)流量分离到不同 VLAN 的另一种方法是使用具有本机 VLAN ID 选项的中继端口。中继端口将添加为语音 VLAN 的成员,并仅处理来自该 VLAN 的标记语音流量。中继端口还必须配置数据 VLAN 的本机 VLAN ID,以便它可以处理来自数据 VLAN 的未标记数据流量。此配置还要求在 IP 电话上手动设置语音 VLAN ID。
此示例说明了这两种方法。在此示例中,EX4200 交换机上的接口 ge-0/0/2 连接到非 LLDP-MED IP 电话。
IP 电话上语音 VLAN 的实施因供应商而异。有关配置语音 VLAN 的说明,请参阅 IP 电话随附的文档。例如,在Avaya手机上,您可以通过启用DHCP选项176来确保电话即使在没有LLDP-MED的情况下也能获得正确的VoIP VLAN ID。
拓扑学
通过在接入端口上使用语音 VLAN 配置不带 LLDP-MED 的 VoIP
程序
CLI 快速配置
要快速配置 VoIP,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan
分步过程
配置两个 VLAN:一个用于数据流量,一个用于语音流量:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
注:必须在 IP 电话上手动设置语音 VLAN ID。
在接口 ge-0/0/2 上配置 VLAN data-vlan :
[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0
将接口 ge-0/0/2 配置为属于数据 VLAN 的接入端口:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
在接口 ge-0/0/2 上配置 VoIP,并将此接口添加到语音 VLAN:
[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
结果
显示配置结果:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
}
}
}
使用具有本机 VLAN 选项的中继端口配置不带 LLDP-MED 的 VoIP
程序
CLI 快速配置
要快速配置 VoIP,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
分步过程
配置两个 VLAN:一个用于数据流量,一个用于语音流量:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
注:必须在 IP 电话上手动设置语音 VLAN ID。
将接口 ge-0/0/2 配置为仅包含语音 VLAN 的中继端口:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
为中继端口上的数据 VLAN 配置本机 VLAN ID:
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
结果
显示配置结果:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members voice-vlan;
}
native-vlan-id data-vlan;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
}
voice-vlan {
vlan-id 99;
}
}
验证
要确认配置工作正常,请执行以下任务:
验证 VLAN 与接口的关联
目的
显示接口状态和 VLAN 成员资格。
操作
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblocked意义
该字段 VLAN members 显示 ge-0/0/2.0 接口同时支持数据 VLAN(数据 VLAN)和语音 VLAN(语音 VLAN)。该 State 字段显示接口已启动。
示例:在 EX 系列交换机上配置 VoIP,而不包括 802.1X 身份验证
您可以在 EX 系列交换机上配置 IP 语音 (VoIP) 以支持 IP 电话。
要在 EX 系列交换机上配置 VoIP 以支持不支持 802.1X 身份验证的 IP 电话,您必须将电话的 MAC 地址添加到静态 MAC 旁路列表或在交换机上启用 MAC RADIUS 身份验证。
此示例介绍如何使用静态 MAC 旁路身份验证,在没有 802.1X 身份验证的情况下在 EX 系列交换机上配置 VoIP:
要求
此示例使用以下硬件和软件组件:
适用于 EX 系列交换机的 Junos OS 9.1 或更高版本
一部 IP 电话
在配置 VoIP 之前,请确保您已:
已安装EX系列交换机。请参阅交换机的安装信息。
已执行初始交换机配置。请参阅连接和配置 EX 系列交换机(CLI 过程)。
已在交换机上执行基本桥接和VLAN配置。请参阅 示例:为 EX 系列交换机设置基本桥接和 VLAN。
已将 RADIUS 服务器配置为 802.1X 身份验证并设置访问配置文件。请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
(可选)以太网供电 (PoE) 的配置接口
ge-0/0/2。如果 VoIP 请求方使用的是电源适配器,则不需要 PoE 配置。有关配置 PoE 的信息,请参阅 在 EX 系列交换机上配置 PoE 接口。
如果未在 Avaya IP 电话上配置 IP 地址,电话将交换 LLDP-MED 信息,以获取语音 VLAN 的 VLAN ID。您必须在接口上配置 voip 语句以将该接口指定为 VoIP 接口,并允许交换机将语音 VLAN 的 VLAN 名称和 VLAN ID 转发到 IP 电话。然后,IP 电话使用语音 VLAN(即,它引用语音 VLAN 的 ID)发送 DHCP 发现请求并与 DHCP 服务器(语音网关)交换信息。
概述
您可以不用使用普通电话,而是将 IP 电话直接连接到交换机。IP电话具有处理VoIP所需的所有硬件和软件。您还可以通过将 IP 电话连接到交换机上的其中一个以太网供电 (PoE) 接口来为其供电。
此示例中,EX4200 交换机上的接入接口 ge-0/0/2 连接到非 802.1X IP 电话。
要在 EX 系列交换机上配置 VoIP 以支持不支持 802.1X 身份验证的 IP 电话,请将电话的 MAC 地址作为静态条目添加到身份验证器数据库中,并将请求方模式设置为多个。
配置
要在不使用 802.1X 身份验证的情况下配置 VoIP:
程序
CLI 快速配置
要快速配置 VoIP,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
分步过程
要在没有 802.1X 的情况下配置 VoIP:
为语音和数据配置 VLAN:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
将 VLAN
data-vlan与接口关联:[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0将接口配置为接入接口,配置对以太网交换的支持,并添加
data-vlanVLAN:[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
在接口上配置 VoIP 并指定
assured-forwarding转发类以提供最可靠的服务等级:[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
配置 LLDP-MED 协议支持:
[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
设置身份验证配置文件(请参阅 配置 802.1X 接口设置(CLI 过程) 和 配置 802.1X RADIUS 记帐(CLI 过程)):
[edit protocols] set dot1x authenticator authentication-profile-name auth-profile
将电话的 MAC 地址添加到静态 MAC 旁路列表:
[edit protocols] set dot1x authenticator static 00:04:f2:11:aa:a7
将请求方模式设置为多个:
[edit protocols] set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
结果
显示配置结果:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2.0;
}
dot1x {
authenticator {
authentication-profile-name auth-profile;
static {
00:04:f2:11:aa:a7;
}
}
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
验证
要确认配置工作正常,请执行以下任务:
验证 LLDP-MED 配置
目的
验证接口上是否启用了 LLDP-MED。
操作
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
意义
show lldp detail输出显示接口上ge-0/0/2.0同时配置了 LLDP 和 LLDP-MED。输出的末尾显示受支持的 LLDP 基本 TLV、802.3 TLV 和受支持的 LLDP-MED TLV 的列表。
验证台式 PC 的身份验证
目的
显示通过 IP 电话连接到 VoIP 接口的台式 PC 的 802.1X 配置。
操作
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意义
该字段 Role 显示 ge-0/0/2.0 接口处于身份验证器状态。该 Supplicant 字段显示接口配置为多个请求方模式,允许在此接口上对多个请求方进行身份验证。当前连接的请求方的 MAC 地址显示在输出的底部。
验证 VLAN 与接口的关联
目的
显示接口状态和 VLAN 成员资格。
操作
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblocked意义
该字段 VLAN members 显示 ge-0/0/2.0 接口同时支持 data-vlan VLAN 和 voice-vlan VLAN。该 State 字段显示接口已启动。
示例:在支持 ELS 的 EX 系列交换机上设置 802.1X 和 LLDP-MED 的 VoIP
此示例使用支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机的 Junos OS。如果您的交换机运行的软件不支持 ELS,请参阅 示例:在 EX 系列交换机上使用 802.1X 和 LLDP-MED 设置 VoIP。有关 ELS 的详细信息,请参阅使用增强型第 2 层软件 CLI。
您可以在 EX 系列交换机上配置 VoIP 以支持 IP 电话。链路层发现协议 – 媒体端点发现 (LLDP-MED) 协议将 VoIP 参数从交换机转发到电话。您还可以配置 802.1X 身份验证以允许电话访问 LAN。身份验证通过后端 RADIUS 服务器完成。
此示例介绍如何在EX系列交换机上配置VoIP以支持AvayaIP电话,以及如何配置LLDP-MED协议和802.1X身份验证:
要求
此示例使用以下软件和硬件组件:
此示例也适用于QFX5100交换机。
适用于 EX 系列交换机的 Junos OS 13.2X50 或更高版本
一台 EX 系列交换机,支持 ELS 充当身份验证器端口访问实体 (PAE)。验证方 PAE 上的接口形成一个控制门,用于阻止请求方来往的所有流量,直到它们通过身份验证。
支持 LLDP-MED 和 802.1X 的 Avaya IP 电话
在配置 VoIP 之前,请确保您已:
已安装EX系列交换机。请参阅交换机的安装信息。
已执行初始交换机配置。请参阅连接和配置 EX 系列交换机(CLI 过程)。
已在交换机上执行基本桥接和VLAN配置。请参阅 示例:为支持 ELS 的 EX 系列交换机设置基本桥接和 VLAN 或 示例:在交换机上设置基本桥接和 VLAN。
已将 RADIUS 服务器配置为 802.1X 身份验证并设置访问配置文件。请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
(可选)已为以太网供电 (PoE) 配置接口 ge-0/0/2。如果 VoIP 请求方使用电源适配器,则不需要 PoE 配置。有关配置 PoE 的信息,请参阅 在 EX 系列交换机上配置 PoE 接口。
如果未在 Avaya IP 电话上配置 IP 地址,电话将交换 LLDP-MED 信息以获取语音 VLAN 的 VLAN ID。您必须在接口上配置 voip 语句以将该接口指定为 VoIP 接口,并允许交换机将语音 VLAN 的 VLAN 名称和 VLAN ID 转发到 IP 电话。然后,IP 电话使用语音 VLAN(即,它引用语音 VLAN 的 ID)发送 DHCP 发现请求并与 DHCP 服务器(语音网关)交换信息。
概述和拓扑
您可以不用使用普通电话,而是将 IP 电话直接连接到交换机。IP电话具有处理VoIP所需的所有硬件和软件。您还可以通过将 IP 电话连接到交换机上的其中一个以太网供电 (PoE) 接口来为其供电。
EX 系列交换机可容纳连接到单个交换机端口的 IP 电话和终端主机。在这种情况下,语音和数据流量必须分离到不同的广播域或 VLAN 中。实现此目的的一种方法是配置语音 VLAN,使接入端口能够接受来自 IP 电话的未标记数据流量和标记语音流量,并将每种类型的流量与单独且不同的 VLAN 相关联。然后,可以对语音流量(已标记)进行区别对待,通常具有比数据流量(未标记)更高的优先级。
如果在数据和语音 VLAN 上都获知了某个 MAC 地址,则该地址将保持活动状态,除非该地址在两个 VLAN 中老化,或者两个 VLAN 都被删除。
在此示例中,EX 系列交换机上的接入接口 ge-0/0/2 连接到 Avaya IP 电话。Avaya电话具有内置桥接器,可让您将台式PC连接到手机,因此单个办公室中的台式机和电话只需要交换机上的一个接口。EX 系列交换机连接到 ge-0/0/10 接口上的 RADIUS 服务器(请参阅 图 4)。
此数字也适用于QFX5100交换机。
在此示例中,您将配置 VoIP 参数并指定语音流量的转发类 assured-forward ,以提供最高质量的服务。
表 2 介绍了此 VoIP 配置示例中使用的组件。
| 属性 | 设置 |
|---|---|
交换机硬件 |
支持 ELS 的 EX 系列交换机。 |
VLAN 名称和 ID |
数据 VLAN, 77 语音 VLAN,99 |
连接至Avaya手机—通过集成集线器,将手机和台式PC连接至单一接口(需要PoE) |
ge-0/0/2 |
一台 RADIUS 服务器 |
提供通过接口 ge-0/0/10 连接到交换机的后端数据库。 |
除了为接口 ge-0/0/2 配置 VoIP 之外,您还可以配置:
802.1X 身份验证。身份验证设置为
multiple请求方模式,以支持多个请求方通过接口 ge-0/0/2 访问 LAN。LLDP-MED 协议信息。交换机使用 LLDP-MED 将 VoIP 参数转发到电话。使用 LLDP-MED 可确保语音流量在源本身使用正确的值进行标记和优先级排序。例如,可以将 802.1p 服务等级和 802.1Q 标记信息发送到 IP 电话。
注:如果 IP 电话使用电源适配器,则不需要 PoE 配置。
拓扑学
配置
程序
CLI 快速配置
要快速配置 VoIP、LLDP-MED 和 802.1X,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
分步过程
要使用 LLDP-MED 和 802.1X 配置 VoIP:
为语音和数据配置 VLAN:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
将 VLAN data-vlan 与接口关联:
[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0将接口配置为接入接口,配置对以太网交换的支持,并将接口添加为 VLAN 的成员 data-vlan :
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
注:您不得在同一 VLAN 上同时配置数据和语音。如果在同一 VLAN 上配置数据和语音,则不接受该配置。
如果您在交换机上启用了 802.1X 身份验证,并且:
-
您配置的语音 VLAN 与身份验证服务器发送的数据 VLAN 相同,
-
您配置的数据 VLAN 与身份验证服务器发送的语音 VLAN 相同,或者
-
身份验证服务器发送的数据 VLAN 和语音 VLAN 相同
客户端将移动到 HELD 状态。
-
在接口上配置 VoIP 并指定
assured-forwarding转发类以提供最可靠的服务等级:[edit switch—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
配置 LLDP-MED 协议支持:
[edit protocols] user@switch# set lldp-med interface ge-0/0/2
要在接口上对连接到 IP 电话的 IP 电话和 PC 进行身份验证,请配置 802.1X 身份验证支持并指定
multiple请求方模式:注:如果不想对任何设备进行身份验证,请跳过此接口上的 802.1X 配置。
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
结果
显示配置结果:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2;
}
dot1x {
authenticator {
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
switch-options {
interface ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
switch-options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
验证
要确认配置工作正常,请执行以下任务:
验证 LLDP-MED 配置
目的
验证接口上是否启用了 LLDP-MED。
操作
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
意义
show lldp detail输出显示,和LLDP-MED均LLDP在接口上ge-0/0/2配置。输出的末尾显示受支持的 LLDP 基本管理 TLV 和受支持的组织特定 TLV 的列表。
验证 IP 电话和台式 PC 的 802.1X 身份验证
目的
显示 802.1X 配置以确认 VoIP 接口可以访问 LAN。
操作
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意义
该字段 Role 显示 ge-0/0/2.0 接口处于身份验证器状态。该 Supplicant mode 字段显示接口配置为 multiple 请求方模式,允许在此接口上对多个请求方进行身份验证。当前连接的请求方的 MAC 地址显示在输出的底部。
验证 VLAN 与接口的关联
目的
显示接口的 VLAN 成员资格。
操作
user@switch> show ethernet-switching interface ge-0/0/2.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/2.0 65535 untagged
voice-vlan 99
65535 Discarding
data-vlan 77
65535 Discarding意义
该字段 VLAN members 显示 ge-0/0/2.0 接口同时支持 data-vlan VLAN 和 voice-vlan VLAN。
示例:在支持 ELS 的 EX 系列交换机上配置 VoIP,而不包括 802.1X 身份验证
此示例使用支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机的 Junos OS。如果您的交换机运行的软件不支持 ELS,请参阅 示例:在 EX 系列交换机上配置 VoIP,而不包括 802.1X 身份验证。有关 ELS 的详细信息,请参阅使用增强型第 2 层软件 CLI。
您可以在 EX 系列交换机上配置 IP 语音 (VoIP) 以支持 IP 电话。
要在 EX 系列交换机上配置 VoIP 以支持不支持 802.1X 身份验证的 IP 电话,您必须将电话的 MAC 地址添加到静态 MAC 旁路列表或在交换机上启用 MAC RADIUS 身份验证。
此示例介绍如何使用静态 MAC 旁路进行身份验证,在没有 802.1X 身份验证的情况下在 EX 系列交换机上配置 VoIP:
要求
此示例使用以下硬件和软件组件:
此数字也适用于QFX5100交换机。
一台支持 ELS 的 EX 系列交换机
适用于 EX 系列交换机的 Junos OS 13.2 或更高版本
一部 Avaya IP 电话
在配置 VoIP 之前,请确保您已:
已安装EX系列交换机。请参阅交换机的安装信息。
已执行初始交换机配置。请参阅连接和配置 EX 系列交换机(CLI 过程)。
已在交换机上执行基本桥接和VLAN配置。请参阅 示例:为支持 ELS 的 EX 系列交换机设置基本桥接和 VLAN 或 示例:在交换机上设置基本桥接和 VLAN。
已将 RADIUS 服务器配置为 802.1X 身份验证并设置访问配置文件。请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
(可选)已为以太网供电 (PoE) 配置接口 ge-0/0/2。如果 VoIP 请求方使用电源适配器,则不需要 PoE 配置。有关配置 PoE 的信息,请参阅 在 EX 系列交换机上配置 PoE 接口。
如果未在 Avaya IP 电话上配置 IP 地址,电话将交换 LLDP-MED 信息以获取语音 VLAN 的 VLAN ID。您必须在接口上配置 voip 语句以将该接口指定为 VoIP 接口,并允许交换机将语音 VLAN 的 VLAN 名称和 VLAN ID 转发到 IP 电话。然后,IP 电话使用语音 VLAN(即,它引用语音 VLAN 的 ID)发送 DHCP 发现请求并与 DHCP 服务器(语音网关)交换信息。
概述
您可以不用使用普通电话,而是将 IP 电话直接连接到交换机。IP电话具有处理VoIP所需的所有硬件和软件。您还可以通过将 IP 电话连接到交换机上的其中一个以太网供电 (PoE) 接口来为其供电。
此示例中,EX 系列交换机上的接入接口 ge-0/0/2 连接到非 802.1X IP 电话。
要在 EX 系列交换机上配置 VoIP 以支持不支持 802.1X 身份验证的 IP 电话,请将电话的 MAC 地址作为静态条目添加到身份验证器数据库中,并将请求方模式设置为多个。
配置
程序
CLI 快速配置
要在不使用 802.1X 身份验证的情况下快速配置 VoIP,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
分步过程
要在不使用 802.1X 身份验证的情况下配置 VoIP:
为语音和数据配置 VLAN:
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
将接口配置为接入接口,配置对以太网交换的支持,并将接口添加为 VLAN 的成员
data-vlan:[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
注:您不得在同一 VLAN 上同时配置数据和语音。如果在同一 VLAN 上配置数据和语音,则不接受该配置。
在接口上配置 VoIP 并指定
assured-forwarding转发类以提供最可靠的服务等级:[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
配置 LLDP-MED 协议支持:
[edit protocols] user@switch# set lldp-med interface ge-0/0/2
使用以下名称
auth-profile设置身份验证配置文件(请参阅 配置 802.1X 接口设置(CLI 过程) 和 配置 802.1X RADIUS 记帐(CLI 过程)):[edit protocols] user@switch# set dot1x authenticator authentication-profile-name auth-profile
将电话的 MAC 地址添加到静态 MAC 旁路列表:
[edit protocols] user@switch# set dot1x authenticator static 00:04:f2:11:aa:a7
将请求方模式设置为多个:
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
结果
显示配置结果:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2;
}
dot1x {
authenticator {
authentication-profile-name auth-profile;
static {
00:04:f2:11:aa:a7;
}
}
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
switch-options {
interface ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
switch-options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
验证
要确认配置工作正常,请执行以下任务:
验证 LLDP-MED 配置
目的
验证接口上是否启用了 LLDP-MED。
操作
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
意义
show lldp detail命令输出显示接口上ge-0/0/2同时配置了 LLDP 和 LLDP-MED。输出的末尾显示受支持的 LLDP 基本管理 TLV 和受支持的组织特定 TLV 的列表。
验证台式 PC 的身份验证
目的
显示通过 IP 电话连接到 VoIP 接口的台式 PC 的 802.1X 配置。
操作
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意义
该字段 Role 显示 ge-0/0/2.0 接口处于验证者角色。该 Supplicant Mode 字段显示接口配置为 multiple 请求方模式,允许在此接口上对多个请求方进行身份验证。当前连接的请求方的 MAC 地址显示在输出的底部。
验证 VLAN 与接口的关联
目的
显示接口的 VLAN 成员资格。
操作
user@switch> show ethernet-switching interface ge-0/0/2.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/2.0 65535 untagged
voice-vlan 99
65535 Discarding
data-vlan 77
65535 Discarding意义
该 Vlan members 字段显示 ge-0/0/2.0 接口同时支持 data-vlan VLAN 和 voice-vlan VLAN。