EXシリーズスイッチでのVoIP
EXシリーズスイッチでボイスオーバーIP(VoIP)を設定し、IP電話をサポートすることができます。VoIP を使用すると、スイッチに IP 電話を接続し、802.1X 対応 IP 電話の IEEE 802.1X 認証を設定できます。詳細については、このトピックを参照してください。
EX シリーズ スイッチでの 802.1X と VoIP について
VoIP を使用すると、スイッチに IP 電話を接続し、802.1X 対応 IP 電話の IEEE 802.1X 認証を設定できます。802.1X認証は、ネットワークエッジセキュリティを提供し、イーサネットLANを不正なユーザーアクセスから保護します。
VoIPは、パケット交換ネットワークを介して音声を送信するために使用されるプロトコルです。VoIP は、アナログ電話回線の代わりにネットワーク接続を使用して音声通話を送信します。
802.1XでVoIPを使用する場合、RADIUSサーバーが電話を認証し、Link Layer Discovery Protocol–Media Endpoint Discovery(LLDP-MED)が電話にclass-of-service(CoS)パラメータを提供します。
802.1X認証は、複数のサプリカントモードまたは単一のサプリカントモードでVoIPで動作するように設定できます。マルチ サプリカント モードでは、802.1X プロセスにより、複数のサプリカントがインターフェイスに接続できます。各サプリカントは個別に認証されます。VoIPマルチサプリカントトポロジーの例については、 図 1を参照してください。
802.1X 対応 IP 電話に 802.1X ホストがなく、そのデータ ポートに別の 802.1X 対応デバイスが接続されている場合、シングル サプリカント モードで電話機をインターフェイスに接続できます。シングル サプリカント モードでは、802.1X プロセスは最初のサプリカントのみを認証します。後でインターフェイスに接続する他のすべてのサプリカントは、それ以上の認証なしで完全なアクセスを許可されます。最初のサプリカントの認証に対して、事実上「ピギーバック」します。VoIPシングルサプリカントトポロジーの例については、 図 2 を参照してください。
IP 電話が 802.1X をサポートしていない場合、802.1X および LLDP-MED をバイパスしてパケットを VoIP VLAN に転送するように VoIP を設定できます。
マルチドメイン802.1X認証
マルチドメイン 802.1X 認証は、1 つのデフォルト VoIP デバイスと複数のデータ デバイスを 1 つのポートで認証できるようにするマルチ サプリカント モードの拡張です。マルチドメイン 802.1X 認証は、ポート上の認証済みデータと VoIP セッションの数を制限することにより、マルチ サプリカント モードでセキュリティを強化します。マルチ サプリカント モードでは、任意の数の VoIP またはデータ セッションを認証できます。MAC制限を使用してセッション数を制限することはできますが、データまたはVoIPセッションに制限を適用する方法はありません。
マルチドメイン 802.1X 認証では、1 つのポートが 2 つのドメインに分割されます。1つはデータドメインで、もう1つは音声ドメインです。マルチドメイン 802.1X 認証では、ドメインに基づいて個別のセッション数が維持されます。ポートで許可される認証済みデータ セッションの最大数を設定できます。VoIP セッションの数は構成できません。ポートで許可される認証済みVoIPセッションは1つだけです。
最大セッション数に達した後に新しいクライアントがインターフェイスで認証を試みた場合、デフォルトのアクションはパケットをドロップし、エラーメッセージメッセージを生成することです。また、インターフェイスをシャットダウンするようにアクションを設定することもできます。ポートは、 clear dot1x recovery-timeout コマンドを発行してダウン状態から手動で回復するか、設定された回復タイムアウト期間後に自動的に回復することができます。
マルチドメイン認証では、デバイス認証の順序は強制されません。ただし、最良の結果を得るには、VoIP デバイスをマルチドメイン 802.1X 対応ポート上のデータ デバイスの前に認証する必要があります。マルチドメイン認証は、マルチ サプリカント モードでのみサポートされます。
関連項目
例:EXシリーズスイッチで802.1XとLLDP-MEDを使用したVoIPをセットアップする
EXシリーズスイッチでボイスオーバーIP(VoIP)を設定し、IP電話をサポートすることができます。LLDP-MED(Link Layer Discovery Protocol:Media Endpoint Discovery)プロトコルは、VoIP パラメータをスイッチから電話機に転送します。また、電話で LAN にアクセスできるように 802.1X 認証を構成します。認証はバックエンドのRADIUSサーバーを介して行われます。
この例では、EXシリーズスイッチ上でVoIPを設定して、Avaya IP電話、LLDP-MEDプロトコル、および802.1X認証をサポートする方法を説明します。
拡張レイヤー2ソフトウェア(ELS)設定スタイルをサポートするEXシリーズスイッチでJunos OSを実行しているスイッチの場合は、 例: ELSをサポートするEXシリーズスイッチで802.1XとLLDP-MEDを使用したVoIPをセットアップする。ELSの詳細については、「拡張レイヤー2ソフトウェアCLIの使用」を参照してください。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
EXシリーズスイッチ向けJunos OSリリース9.1以降
認証コードのポートアクセスエンティティ (PAE) として動作する EX シリーズスイッチ 1 台。認証側PAEのインターフェイスは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
LLDP-MEDおよび802.1XをサポートするAvaya 9620 IP電話
VoIPを設定する前に、以下が完了していることを確認してください。
EX シリーズ スイッチをインストールしている。EX3200スイッチの設置と接続を参照してください。
初期スイッチ設定を実行している。EXシリーズスイッチの接続および設定(J-Web手順)を参照してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。「例 :EXシリーズスイッチの基本的なブリッジングとVLANの設定を参照してください。
RADIUS サーバーを 802.1X 認証用に構成し、アクセス プロファイルをセットアップします。「例 :802.1XによるRADIUSサーバーとEXシリーズスイッチの接続例をご覧ください。
(オプション)PoE(Power over Ethernet)用に設定されたインターフェイス ge-0/0/2 。VoIPサプリカントが電源アダプタを使用している場合、PoEの設定は必要ありません。PoE の設定については、 EX シリーズ スイッチでの PoE インターフェイスの設定を参照してください。
Avaya IP電話にIPアドレスが設定されていない場合、電話はLLDP-MED情報を交換して音声VLANのVLAN IDを取得します。インターフェイスをVoIPインターフェイスとして指定し、音声VLANのVLAN名とVLAN IDをスイッチがIP電話に転送できるようにするには、インターフェイスで voip ステートメントを設定する必要があります。次に、IP 電話は音声 VLAN を使用して(つまり、音声 VLAN の ID を参照します)、DHCP 検出要求を送信し、DHCP サーバー(音声ゲートウェイ)と情報を交換します。
概要とトポロジー
通常の電話を使用する代わりに、IP 電話をスイッチに直接接続します。IP 電話には、VoIP の処理に必要なすべてのハードウェアとソフトウェアが搭載されています。スイッチのPoE(パワーオーバーイーサネット)インターフェイスの1つにIP電話を接続することで、IP電話に電力を供給することもできます。
この例では、EX4200スイッチのアクセス・インターフェース・ ge-0/0/2 がAvaya 9620 IP電話に接続されています。Avaya電話には、デスクトップPCを電話に接続できるブリッジが組み込まれているため、1室のオフィス内にデスクトップと電話がある場合、スイッチには1つのインターフェイスのみが必要です。EXシリーズスイッチは、インターフェイス ge-0/0/10 でRADIUSサーバーに接続されています( 図 3参照)。
この例では、VoIPパラメータを設定し、音声トラフィックの転送クラス assured-forward を指定して、最高のサービス品質を提供します。
表 1 は、このVoIP設定例で使用されるコンポーネントについて説明しています。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EX4200スイッチ |
VLAN名 |
data-vlan voice-vlan |
Avaya電話への接続:ハブを統合して、電話とデスクトップPCを単一のインターフェイスに接続(PoEが必要) |
ge-0/0/2 |
1台のRADIUSサーバー |
インターフェイス ge-0/0/10を介してスイッチに接続されたバックエンド データベースを提供します。 |
インターフェイス ge-0/0/2用のVoIPの設定に加えて、以下も設定します。
802.1X 認証認証はサプリカント multiple 設定され、インターフェイス ge-0/0/2を介して複数のサプリカントからLANへのアクセスをサポートします。
LLDP-MED プロトコル情報。スイッチは LLDP-MED を使用して VoIP パラメータを電話機に転送します。LLDP-MEDを使用することで、音声トラフィックが送信元自体で正しい値でタグ付けされ、優先順位が付けられます。例えば、802.1p サービス クラスと 802.1Q タグ情報を IP 電話に送信できます。
注:IP 電話が電源アダプタを使用している場合、PoE 設定は必要ありません。
設定
VoIP、LLDP-MED、および 802.1X 認証を設定するには、次の手順を実行します。
手順
CLIクイック構成
VoIP、LLDP-MED、および 802.1X を迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
ステップバイステップでの手順
LLDP-MEDと802.1XでVoIPを設定するには、次の手順に従います。
音声とデータのVLANを設定します。
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
VLAN data-vlan をインターフェイスに関連付けます。
[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0インターフェイスをアクセス インターフェイスとして設定し、イーサネット スイッチングのサポートを設定し、 data-vlan VLAN を追加します。
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
インターフェイスにVoIPを設定し、 assured-forwarding 転送クラスを指定して、最も信頼性の高いサービスクラスを提供します。
[edit ethernet—switching—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
LLDP-MEDプロトコルサポートを設定します。
[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
インターフェイスでIP電話とIP電話に接続されたPCを認証するには、802.1X認証サポートを設定し、サプリカントモード multiple を指定します。
注:デバイスを認証しない場合は、このインターフェイスでの 802.1X 設定をスキップします。
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
結果
設定の結果の表示:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2.0;
}
dot1x {
authenticator {
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
LLDP-MED設定の確認
目的
LLDP-MEDがインターフェイスで有効になっていることを確認します。
アクション
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
意味
show lldp detail出力は、LLDPとLLDP-MEDの両方がge-0/0/2.0インターフェイスで設定されていることを示しています。出力の最後には、サポートされているLLDP基本TLV、802.3 TLV、およびサポートされているLLDP-MED TLVのリストが表示されます。
IP 電話とデスクトップ PC での 802.1X 認証の検証
目的
802.1X 設定を表示して、VoIP インターフェイスが LAN にアクセスできることを確認します。
アクション
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意味
フィールド Role は、 ge-0/0/2.0 インターフェイスがオーセンティケータ状態であることを示しています。Supplicantフィールドは、インターフェイスがマルチサプリカントモードで設定されており、このインターフェイスで複数のサプリカントを認証できるようになっていることを示しています。現在接続されているサプリカントのMACアドレスが出力の下部に表示されます。
VLAN とインターフェイスの関連付けの検証
目的
インターフェイスの状態と VLAN メンバーシップを表示します。
アクション
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblocked意味
フィールド VLAN members は、 ge-0/0/2.0 インターフェイスが data-vlan VLAN と voice-vlan VLAN の両方をサポートしていることを示しています。Stateフィールドは、インターフェイスが稼働していることを示しています。
例:LLDP-MEDサポートを含めずにEXシリーズスイッチ上でVoIPを設定する
EXシリーズスイッチでボイスオーバーIP(VoIP)を設定し、IP電話をサポートすることができます。Link Layer Discovery Protocol–Media Endpoint Discovery(LLDP-MED)プロトコルは、スイッチから電話機にVoIPパラメータを転送するためにIP電話で使用されることがあります。ただし、すべての IP 電話が LLDP-MED をサポートしているわけではありません。
この例では、LLDP-MEDを使用せずにEXシリーズスイッチでVoIPを設定する方法を説明します。
- 要件
- 概要
- アクセス ポートで音声 VLAN を使用した LLDP-MED なしの VoIP の設定
- ネイティブVLANオプション付きトランクポートを使用したLLDP-MEDなしのVoIPの設定
- 検証
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
認証コードのポートアクセスエンティティ(PAE)として機能するELSに対応したEXシリーズスイッチ1台。認証側PAEのインターフェイスは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
LLDP-MEDをサポートしていないIP電話。
EX シリーズスイッチ向け Junos OS リリース 13.2X50 以降。
VoIPを設定する前に、以下が完了していることを確認してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。「例 :ELSをサポートするEXシリーズスイッチで基本的なブリッジングとVLANを設定するを参照してください。
IP フォンを音声 VLAN のメンバーとして設定していること。
(オプション)PoE(パワーオーバーイーサネット)用に設定されたインターフェイスge-0/0/2。VoIPサプリカントが電源アダプタを使用している場合、PoEの設定は必要ありません。EXシリーズスイッチでのPoEインターフェイスの設定を参照してください。
概要
通常の電話を使用する代わりに、IP 電話をスイッチに直接接続します。IP 電話には、VoIP の処理に必要なすべてのハードウェアとソフトウェアが搭載されています。スイッチのPoE(Power over Ethernet)インターフェイスの1つにIP電話を接続して、IP電話に電力を供給することもできます。
EX シリーズ スイッチは、1 つのスイッチ ポートに接続された IP 電話とエンド ホストに対応できます。このシナリオでは、音声トラフィックとデータ トラフィックを異なるブロードキャスト ドメイン(VLAN)に分離する必要があります。これを実現する 1 つの方法は、音声 VLAN を設定することです。この VLAN では、アクセス ポートがタグなしデータ トラフィックと IP 電話からのタグ付き音声トラフィックを受け入れ、各タイプのトラフィックを個別の VLAN に関連付けることができます。音声トラフィック(タグ付き)は、通常、データトラフィック(タグなし)よりも高い優先度で、異なる方法で処理できます。
音声 VLAN は、LLDP-MED をサポートする IP 電話と併用すると最大のメリットが得られますが、LLDP-MED をサポートしていない IP 電話でも効果的に使用できる柔軟性を備えています。ただし、LLDP-MEDがない場合、これを動的に実現するためのLLDP-MEDは利用できないため、IP電話で音声VLAN IDを手動で設定する必要があります。LLDP-MEDをサポートするIP電話の音声VLANの設定については、 例: ELSをサポートするEXシリーズスイッチで802.1XとLLDP-MEDを使用したVoIPをセットアップする。
音声(タグ付き)とデータ(タグなし)トラフィックを異なる VLAN に分離する別の方法は、ネイティブ VLAN ID オプションで指定されたトランク ポートを使用することです。トランク ポートは音声 VLAN のメンバーとして追加され、その VLAN からのタグ付き音声トラフィックのみを処理します。また、データ VLAN からのタグなしデータ トラフィックを処理できるように、トランク ポートにデータ VLAN のネイティブ VLAN ID を設定する必要があります。この設定では、IP フォンで音声 VLAN ID を手動で設定する必要もあります。
この例では、両方の方法を示します。この例では、スイッチ上のインターフェイスge-0/0/2は、非LLDP-MEDのIP電話に接続されています。
IP 電話における音声 VLAN の実装は、ベンダーによって異なります。音声 VLAN の設定手順については、IP 電話に付属のマニュアルを参照してください。例えば、Avaya電話では、DHCPオプション176を有効にすることで、LLDP-MEDがない場合でも電話が正しいVoIP VLAN IDを取得するようにすることができます。
トポロジー
アクセス ポートで音声 VLAN を使用した LLDP-MED なしの VoIP の設定
手順
CLIクイック構成
VoIPを迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウにペーストします。
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding
ステップバイステップでの手順
2 つの VLAN を設定します。1つはデータトラフィック用、もう1つは音声トラフィック用です。
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
注:IP フォンで音声 VLAN ID を手動で設定する必要があります。
VLAN
data-vlanをインターフェイス ge-0/0/2 に関連付けます。[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0
インターフェイスge-0/0/2を、データVLANに属するアクセスポートとして設定します。
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
インターフェイス ge-0/0/2 で VoIP を設定し、次のインターフェイスを音声 VLAN に追加します。
[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
最も信頼性の高いサービス クラスを提供するために、保証転送クラスを指定します。
[edit switch-options] user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
結果
設定の結果の表示:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
ネイティブVLANオプション付きトランクポートを使用したLLDP-MEDなしのVoIPの設定
手順
CLIクイック構成
VoIPを迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウにペーストします。
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
ステップバイステップでの手順
2 つの VLAN を設定します。1つはデータトラフィック用、もう1つは音声トラフィック用です。
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
注:IP フォンで音声 VLAN ID を手動で設定する必要があります。
インターフェイス ge-0/0/2 を、音声 VLAN のみを含むトランク ポートとして設定します。
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
トランク ポートのデータ VLAN のネイティブ VLAN ID を構成します。
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
結果
設定の結果の表示:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members voice-vlan;
}
native-vlan-id data-vlan;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
}
voice-vlan {
vlan-id 99;
}
}
検証
設定が正しく機能していることを確認するには、以下のタスクを実行します。
VLAN とインターフェイスの関連付けの検証
目的
インターフェイスの状態と VLAN メンバーシップを表示します。
アクション
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblocked意味
フィールド VLAN members は、ge-0/0/2.0 インターフェイスがデータ VLAN(データ VLAN)と音声 VLAN(音声 VLAN)の両方をサポートしていることを示しています。Stateフィールドは、インターフェイスが稼働していることを示しています。
例:LLDP-MEDサポートを含めずにEXシリーズスイッチ上でVoIPを設定する
EXシリーズスイッチでボイスオーバーIP(VoIP)を設定し、IP電話をサポートすることができます。Link Layer Discovery Protocol–Media Endpoint Discovery(LLDP-MED)プロトコルは、スイッチから電話機にVoIPパラメータを転送するためにIP電話で使用されることがあります。ただし、すべての IP 電話が LLDP-MED をサポートしているわけではありません。
この例では、LLDP-MEDを使用せずにEXシリーズスイッチでVoIPを設定する方法を説明します。
- 要件
- 概要
- アクセス ポートで音声 VLAN を使用した LLDP-MED なしの VoIP の設定
- ネイティブVLANオプション付きトランクポートを使用したLLDP-MEDなしのVoIPの設定
- 検証
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
認証コードのポートアクセスエンティティ (PAE) として動作する EX4200 スイッチ 1 台。認証側PAEのインターフェイスは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
LLDP-MEDをサポートしていないIP電話。
EXシリーズスイッチ向けJunos OSリリース9.1またはそれ以降
VoIPを設定する前に、以下が完了していることを確認してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。「例 :EXシリーズスイッチの基本的なブリッジングとVLANの設定を参照してください。
IP フォンを音声 VLAN のメンバーとして設定していること。
(オプション)PoE(パワーオーバーイーサネット)用に設定されたインターフェイスge-0/0/2。VoIPサプリカントが電源アダプタを使用している場合、PoEの設定は必要ありません。EXシリーズスイッチでのPoEインターフェイスの設定を参照してください。
概要
通常の電話を使用する代わりに、IP 電話をスイッチに直接接続します。IP 電話には、VoIP の処理に必要なすべてのハードウェアとソフトウェアが搭載されています。スイッチのPoE(Power over Ethernet)インターフェイスの1つにIP電話を接続して、IP電話に電力を供給することもできます。
EX シリーズ スイッチは、1 つのスイッチ ポートに接続された IP 電話とエンド ホストに対応できます。このシナリオでは、音声トラフィックとデータ トラフィックを異なるブロードキャスト ドメイン(VLAN)に分離する必要があります。これを実現する 1 つの方法は、音声 VLAN を設定することです。この VLAN では、アクセス ポートがタグなしデータ トラフィックと IP 電話からのタグ付き音声トラフィックを受け入れ、各タイプのトラフィックを個別の VLAN に関連付けることができます。音声トラフィック(タグ付き)は、通常、データトラフィック(タグなし)よりも高い優先度で、異なる方法で処理できます。
音声 VLAN は、LLDP-MED をサポートする IP 電話と併用すると最大のメリットが得られますが、LLDP-MED をサポートしていない IP 電話でも効果的に使用できる柔軟性を備えています。ただし、LLDP-MEDがない場合、これを動的に実現するためのLLDP-MEDは利用できないため、IP電話で音声VLAN IDを手動で設定する必要があります。LLDP-MEDをサポートするIP電話の音声VLANの設定については、 例: EXシリーズスイッチで802.1XとLLDP-MEDを使用したVoIPをセットアップする。
音声(タグ付き)とデータ(タグなし)トラフィックを異なる VLAN に分離する別の方法は、ネイティブ VLAN ID オプションで指定されたトランク ポートを使用することです。トランク ポートは音声 VLAN のメンバーとして追加され、その VLAN からのタグ付き音声トラフィックのみを処理します。また、データ VLAN からのタグなしデータ トラフィックを処理できるように、トランク ポートにデータ VLAN のネイティブ VLAN ID を設定する必要があります。この設定では、IP フォンで音声 VLAN ID を手動で設定する必要もあります。
この例では、両方の方法を示します。この例では、EX4200スイッチのインターフェイスge-0/0/2が非LLDP-MEDのIP電話に接続されています。
IP 電話における音声 VLAN の実装は、ベンダーによって異なります。音声 VLAN の設定手順については、IP 電話に付属のマニュアルを参照してください。例えば、Avaya電話では、DHCPオプション176を有効にすることで、LLDP-MEDがない場合でも電話が正しいVoIP VLAN IDを取得するようにすることができます。
トポロジー
アクセス ポートで音声 VLAN を使用した LLDP-MED なしの VoIP の設定
手順
CLIクイック構成
VoIPを迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウにペーストします。
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan
ステップバイステップでの手順
2 つの VLAN を設定します。1つはデータトラフィック用、もう1つは音声トラフィック用です。
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
注:IP フォンで音声 VLAN ID を手動で設定する必要があります。
インターフェイス ge-0/0/2 で VLAN data-vlan を設定します。
[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0
インターフェイスge-0/0/2を、データVLANに属するアクセスポートとして設定します。
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
インターフェイス ge-0/0/2 で VoIP を設定し、次のインターフェイスを音声 VLAN に追加します。
[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
結果
設定の結果の表示:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
}
}
}
ネイティブVLANオプション付きトランクポートを使用したLLDP-MEDなしのVoIPの設定
手順
CLIクイック構成
VoIPを迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウにペーストします。
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
ステップバイステップでの手順
2 つの VLAN を設定します。1つはデータトラフィック用、もう1つは音声トラフィック用です。
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
注:IP フォンで音声 VLAN ID を手動で設定する必要があります。
インターフェイス ge-0/0/2 を、音声 VLAN のみを含むトランク ポートとして設定します。
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
トランク ポートのデータ VLAN のネイティブ VLAN ID を構成します。
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
結果
設定の結果の表示:
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members voice-vlan;
}
native-vlan-id data-vlan;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
}
voice-vlan {
vlan-id 99;
}
}
検証
設定が正しく機能していることを確認するには、以下のタスクを実行します。
VLAN とインターフェイスの関連付けの検証
目的
インターフェイスの状態と VLAN メンバーシップを表示します。
アクション
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblocked意味
フィールド VLAN members は、ge-0/0/2.0 インターフェイスがデータ VLAN(データ VLAN)と音声 VLAN(音声 VLAN)の両方をサポートしていることを示しています。Stateフィールドは、インターフェイスが稼働していることを示しています。
例:802.1X認証を含めずにEXシリーズスイッチ上でVoIPを設定する
EXシリーズスイッチでボイスオーバーIP(VoIP)を設定し、IP電話をサポートすることができます。
802.1X認証をサポートしていないIP電話をサポートするためにEXシリーズスイッチ上のVoIPを設定するには、静的MACバイパスリストに電話のMACアドレスを追加するか、スイッチでMAC RADIUS認証を有効にする必要があります。
この例では、認証の静的 MAC バイパスを使用して、802.1X 認証なしで EX シリーズ スイッチ上で VoIP を設定する方法について説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
EXシリーズスイッチ向けJunos OSリリース9.1以降
IP電話
VoIPを設定する前に、以下が完了していることを確認してください。
EX シリーズ スイッチをインストールしている。スイッチのインストール情報を参照してください。
初期スイッチ設定を実行している。EXシリーズスイッチの接続および設定(CLI 手順)を参照してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。「例 :EXシリーズスイッチの基本的なブリッジングとVLANの設定を参照してください。
RADIUS サーバーを 802.1X 認証用に構成し、アクセス プロファイルをセットアップします。「例 :802.1XによるRADIUSサーバーとEXシリーズスイッチの接続例をご覧ください。
(オプション)PoE(Power over Ethernet)用に設定されたインターフェイス
ge-0/0/2。VoIPサプリカントが電源アダプタを使用している場合、PoEの設定は必要ありません。PoE の設定については、 EX シリーズ スイッチでの PoE インターフェイスの設定を参照してください。
Avaya IP電話にIPアドレスが設定されていない場合、電話はLLDP-MED情報を交換して音声VLANのVLAN IDを取得します。インターフェイスをVoIPインターフェイスとして指定し、音声VLANのVLAN名とVLAN IDをスイッチがIP電話に転送できるようにするには、インターフェイスで voip ステートメントを設定する必要があります。次に、IP 電話は音声 VLAN を使用して(つまり、音声 VLAN の ID を参照します)、DHCP 検出要求を送信し、DHCP サーバー(音声ゲートウェイ)と情報を交換します。
概要
通常の電話を使用する代わりに、IP 電話をスイッチに直接接続します。IP 電話には、VoIP の処理に必要なすべてのハードウェアとソフトウェアが搭載されています。スイッチのPoE(パワーオーバーイーサネット)インターフェイスの1つにIP電話を接続することで、IP電話に電力を供給することもできます。
この例では、EX4200スイッチのアクセスインターフェイス ge-0/0/2 が、802.1X以外のIP電話に接続されています。
802.1X認証をサポートしないIP電話をサポートするためにEXシリーズスイッチでVoIPを設定するには、電話のMACアドレスを認証データベースの静的エントリーとして追加し、サプリカントモードを複数に設定します。
設定
802.1X認証なしでVoIPを設定するには、次の手順に従います。
手順
CLIクイック構成
VoIPを迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウにペーストします。
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
ステップバイステップでの手順
802.1XなしでVoIPを設定するには、次の手順に従います。
音声とデータのVLANを設定します。
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
VLAN
data-vlanをインターフェイスに関連付けます。[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0インターフェイスをアクセス インターフェイスとして設定し、イーサネット スイッチングのサポートを設定し、
data-vlanVLAN を追加します。[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
インターフェイスにVoIPを設定し、
assured-forwarding転送クラスを指定して、最も信頼性の高いサービスクラスを提供します。[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
LLDP-MEDプロトコルサポートを設定します。
[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
認証プロファイルを設定します(802.1X インターフェイス設定の構成(CLI 手順)および 802.1X RADIUS アカウンティングの構成(CLI 手順)を参照)。
[edit protocols] set dot1x authenticator authentication-profile-name auth-profile
電話機の MAC アドレスをスタティック MAC バイパス リストに追加します。
[edit protocols] set dot1x authenticator static 00:04:f2:11:aa:a7
サプリカント モードを複数に設定します。
[edit protocols] set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
結果
設定の結果の表示:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2.0;
}
dot1x {
authenticator {
authentication-profile-name auth-profile;
static {
00:04:f2:11:aa:a7;
}
}
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
LLDP-MED設定の確認
目的
LLDP-MEDがインターフェイスで有効になっていることを確認します。
アクション
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
意味
show lldp detail出力は、LLDPとLLDP-MEDの両方がge-0/0/2.0インターフェイスで設定されていることを示しています。出力の最後には、サポートされているLLDP基本TLV、802.3 TLV、およびサポートされているLLDP-MED TLVのリストが表示されます。
デスクトップPCの認証の確認
目的
IP フォンを介して VoIP インターフェイスに接続されているデスクトップ PC の 802.1X 設定を表示します。
アクション
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意味
フィールド Role は、 ge-0/0/2.0 インターフェイスがオーセンティケータ状態であることを示しています。Supplicantフィールドは、インターフェイスがマルチサプリカントモードで設定されており、このインターフェイスで複数のサプリカントを認証できるようになっていることを示しています。現在接続されているサプリカントのMACアドレスが出力の下部に表示されます。
VLAN とインターフェイスの関連付けの検証
目的
インターフェイスの状態と VLAN メンバーシップを表示します。
アクション
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblocked意味
フィールド VLAN members は、 ge-0/0/2.0 インターフェイスが data-vlan VLAN と voice-vlan VLAN の両方をサポートしていることを示しています。Stateフィールドは、インターフェイスが稼働していることを示しています。
例:ELS をサポートする EX シリーズ スイッチで 802.1X と LLDP-MED を使用した VoIP をセットアップする
この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルのサポートにより、EX シリーズ スイッチで Junos OS を使用します。スイッチで ELS をサポートしていないソフトウェアが実行されている場合は、 例: を参照してください。EXシリーズスイッチで802.1XとLLDP-MEDを使用したVoIPをセットアップする。ELSの詳細については、「拡張レイヤー2ソフトウェアCLIの使用」を参照してください。
EXシリーズスイッチでVoIPを設定し、IP電話をサポートすることができます。LLDP-MED(Link Layer Discovery Protocol:Media Endpoint Discovery)プロトコルは、VoIP パラメータをスイッチから電話機に転送します。また、電話で LAN にアクセスできるように 802.1X 認証を構成します。認証はバックエンドのRADIUSサーバーを介して行われます。
この例では、Avaya IP電話をサポートするためにEXシリーズスイッチ上でVoIPを設定する方法、およびLLDP-MEDプロトコルと802.1X認証を設定する方法について説明します。
要件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています:
この例は、QFX5100スイッチにも適用されます。
EX シリーズスイッチの Junos OS リリース 13.2X50 以降
認証コードのポートアクセスエンティティ(PAE)として機能するELSに対応したEXシリーズスイッチ1台。認証側PAEのインターフェイスは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
LLDP-MEDおよび802.1XをサポートするAvaya IP電話
VoIPを設定する前に、以下が完了していることを確認してください。
EX シリーズ スイッチをインストールしている。スイッチのインストール情報を参照してください。
初期スイッチ設定を実行している。EXシリーズスイッチの接続および設定(CLI 手順)を参照してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。「例 :ELS をサポートする EX シリーズスイッチの基本的なブリッジングと VLAN を設定する または 例: スイッチに基本的なブリッジングと VLAN の設定。
RADIUS サーバーを 802.1X 認証用に構成し、アクセス プロファイルをセットアップします。「例 :802.1XによるRADIUSサーバーとEXシリーズスイッチの接続例をご覧ください。
(オプション)インターフェイスge-0/0/2をPoE(パワーオーバーイーサネット)用に設定。VoIP サプリカントが電源アダプタを使用する場合、PoE の設定は必要ありません。PoE の設定については、 EX シリーズ スイッチでの PoE インターフェイスの設定を参照してください。
Avaya IP電話にIPアドレスが設定されていない場合、電話はLLDP-MED情報を交換して、音声VLANのVLAN IDを取得します。インターフェイスをVoIPインターフェイスとして指定し、音声VLANのVLAN名とVLAN IDをスイッチがIP電話に転送できるようにするには、インターフェイスで voip ステートメントを設定する必要があります。次に、IP 電話は音声 VLAN を使用して(つまり、音声 VLAN の ID を参照します)、DHCP 検出要求を送信し、DHCP サーバー(音声ゲートウェイ)と情報を交換します。
概要とトポロジー
通常の電話を使用する代わりに、IP 電話をスイッチに直接接続します。IP 電話には、VoIP の処理に必要なすべてのハードウェアとソフトウェアが搭載されています。スイッチのPoE(パワーオーバーイーサネット)インターフェイスの1つにIP電話を接続することで、IP電話に電力を供給することもできます。
EX シリーズ スイッチは、1 つのスイッチ ポートに接続された IP 電話とエンド ホストに対応できます。このシナリオでは、音声トラフィックとデータ トラフィックを異なるブロードキャスト ドメイン(VLAN)に分離する必要があります。これを実現する 1 つの方法は、音声 VLAN を設定することです。この VLAN では、アクセス ポートがタグなしデータ トラフィックと IP 電話からのタグ付き音声トラフィックを受け入れ、各タイプのトラフィックを個別の VLAN に関連付けることができます。音声トラフィック(タグ付き)は、通常、データトラフィック(タグなし)よりも高い優先度で、異なる方法で処理できます。
データ VLAN と音声 VLAN の両方で MAC アドレスが学習された場合、両方の VLAN から古くなるか、両方の VLAN が削除されない限り、そのアドレスはアクティブなままになります。
この例では、EXシリーズスイッチのアクセスインターフェイスge-0/0/2がAvaya IP電話に接続されています。Avaya電話には、デスクトップPCを電話に接続できるブリッジが組み込まれているため、1室のオフィス内にデスクトップと電話がある場合、スイッチには1つのインターフェイスしか必要ありません。EX シリーズ スイッチは、ge-0/0/10 インターフェイスで RADIUS サーバーに接続されています( 図 4 参照)。
この図は、QFX5100 スイッチにも適用されます。
この例では、VoIPパラメータを設定し、音声トラフィックの転送クラス assured-forward を指定して、最高のサービス品質を提供します。
表 2 は、このVoIP設定例で使用されるコンポーネントについて説明しています。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
ELSに対応するEXシリーズスイッチ。 |
VLAN 名と ID |
データVLAN、77 音声VLAN、99 |
Avaya電話への接続:ハブを統合して、電話とデスクトップPCを単一のインターフェイスに接続(PoEが必要) |
ge-0/0/2 |
1台のRADIUSサーバー |
インターフェイスge-0/0/10を介してスイッチに接続されたバックエンドデータベースを提供します。 |
インターフェイス ge-0/0/2 用に VoIP を設定する以外に、以下を設定します。
802.1X 認証認証は、インターフェイス ge-0/0/2 を介した LAN への複数のサプリカントのアクセスをサポートするために、
multipleサプリカント モードに設定されます。LLDP-MED プロトコル情報。スイッチは LLDP-MED を使用して VoIP パラメータを電話機に転送します。LLDP-MEDを使用することで、音声トラフィックが送信元自体で正しい値でタグ付けされ、優先順位が付けられます。例えば、802.1p サービス クラスと 802.1Q タグ情報を IP 電話に送信できます。
注:IP 電話が電源アダプタを使用する場合、PoE 設定は必要ありません。
トポロジー
設定
手順
CLIクイック構成
VoIP、LLDP-MED、および 802.1X を迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
ステップバイステップでの手順
LLDP-MEDと802.1XでVoIPを設定するには、次の手順に従います。
音声とデータのVLANを設定します。
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
VLAN data-vlan をインターフェイスに関連付けます。
[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0インターフェイスをアクセス インターフェイスとして設定し、イーサネット スイッチングのサポートを設定し、インターフェイスを data-vlan VLAN のメンバーとして追加します。
[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
注:同じ VLAN でデータと音声の両方を設定することはできません。同じVLANでデータと音声を設定した場合、設定は受け付けられません。
スイッチで 802.1X 認証を有効にし、次の操作を行った場合:
-
設定した音声VLANは、認証サーバーが送信するデータVLANと同じで、
-
設定したデータVLANが、認証サーバが送信する音声VLANと同じである、または
-
認証サーバが送信するデータ VLAN と音声 VLAN は同じです
クライアントは HELD状態に移行します。
-
インターフェイスにVoIPを設定し、
assured-forwarding転送クラスを指定して、最も信頼性の高いサービスクラスを提供します。[edit switch—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
LLDP-MEDプロトコルサポートを設定します。
[edit protocols] user@switch# set lldp-med interface ge-0/0/2
インターフェイスでIP電話とIP電話に接続されたPCを認証するには、802.1X認証サポートを設定し、サプリカントモード
multipleを指定します。注:デバイスを認証しない場合は、このインターフェイスでの 802.1X 設定をスキップします。
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
結果
設定の結果の表示:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2;
}
dot1x {
authenticator {
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
switch-options {
interface ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
switch-options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
LLDP-MED設定の確認
目的
LLDP-MEDがインターフェイスで有効になっていることを確認します。
アクション
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
意味
show lldp detail出力は、ge-0/0/2インターフェイスに LLDP と LLDP-MED の両方が設定されていることを示しています。出力の最後には、サポートされているLLDP基本管理TLVと、サポートされている組織固有のTLVのリストが表示されます。
IP 電話とデスクトップ PC での 802.1X 認証の検証
目的
802.1X 設定を表示して、VoIP インターフェイスが LAN にアクセスできることを確認します。
アクション
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意味
フィールド Role は、 ge-0/0/2.0 インターフェイスがオーセンティケータ状態であることを示しています。Supplicant mode フィールドは、インターフェイスがサプリカント モードで設定されておりmultipleこのインターフェイスで複数のサプリカントを認証できるようになっていることを示しています。現在接続されているサプリカントのMACアドレスが出力の下部に表示されます。
VLAN とインターフェイスの関連付けの検証
目的
インターフェイスの VLAN メンバーシップを表示します。
アクション
user@switch> show ethernet-switching interface ge-0/0/2.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/2.0 65535 untagged
voice-vlan 99
65535 Discarding
data-vlan 77
65535 Discarding意味
フィールド VLAN members は、 ge-0/0/2.0 インターフェイスが data-vlan VLAN と voice-vlan VLAN の両方をサポートしていることを示しています。
例:802.1X認証を含めずに、ELSをサポートするEXシリーズスイッチでVoIPを設定する
この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルのサポートにより、EX シリーズ スイッチで Junos OS を使用します。スイッチで ELS をサポートしていないソフトウェアが実行されている場合は、 例: を参照してください。802.1X認証を含めずにEXシリーズスイッチ上でVoIPを設定するELSの詳細については、「拡張レイヤー2ソフトウェアCLIの使用」を参照してください。
EXシリーズスイッチでボイスオーバーIP(VoIP)を設定し、IP電話をサポートすることができます。
802.1X認証をサポートしていないIP電話をサポートするためにEXシリーズスイッチ上のVoIPを設定するには、静的MACバイパスリストに電話のMACアドレスを追加するか、スイッチでMAC RADIUS認証を有効にする必要があります。
この例では、認証の静的 MAC バイパスを使用して、802.1X 認証なしで EX シリーズ スイッチ上で VoIP を構成する方法について説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
この図は、QFX5100 スイッチにも適用されます。
ELSをサポートする1つのEXシリーズスイッチ
EX シリーズスイッチの Junos OS リリース 13.2 以降
アバイアのIP電話
VoIPを設定する前に、以下が完了していることを確認してください。
EX シリーズ スイッチをインストールしている。スイッチのインストール情報を参照してください。
初期スイッチ設定を実行している。EXシリーズスイッチの接続および設定(CLI 手順)を参照してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。「例 :ELS をサポートする EX シリーズスイッチの基本的なブリッジングと VLAN を設定する または 例: スイッチに基本的なブリッジングと VLAN の設定。
RADIUS サーバーを 802.1X 認証用に構成し、アクセス プロファイルをセットアップします。「例 :802.1XによるRADIUSサーバーとEXシリーズスイッチの接続例をご覧ください。
(オプション)インターフェイスge-0/0/2をPoE(パワーオーバーイーサネット)用に設定。VoIP サプリカントが電源アダプタを使用する場合、PoE の設定は必要ありません。PoE の設定については、 EX シリーズ スイッチでの PoE インターフェイスの設定を参照してください。
Avaya IP電話にIPアドレスが設定されていない場合、電話はLLDP-MED情報を交換して、音声VLANのVLAN IDを取得します。インターフェイスをVoIPインターフェイスとして指定し、音声VLANのVLAN名とVLAN IDをスイッチがIP電話に転送できるようにするには、インターフェイスで voip ステートメントを設定する必要があります。次に、IP 電話は音声 VLAN を使用して(つまり、音声 VLAN の ID を参照します)、DHCP 検出要求を送信し、DHCP サーバー(音声ゲートウェイ)と情報を交換します。
概要
通常の電話を使用する代わりに、IP 電話をスイッチに直接接続します。IP 電話には、VoIP の処理に必要なすべてのハードウェアとソフトウェアが搭載されています。スイッチのPoE(パワーオーバーイーサネット)インターフェイスの1つにIP電話を接続することで、IP電話に電力を供給することもできます。
この例では、EX シリーズ スイッチのアクセス インターフェイス ge-0/0/2 が 802.1X 以外の IP 電話に接続されています。
802.1X認証をサポートしないIP電話をサポートするためにEXシリーズスイッチでVoIPを設定するには、電話のMACアドレスを認証データベースの静的エントリーとして追加し、サプリカントモードを複数に設定します。
設定
手順
CLIクイック構成
802.1X認証を使用せずにVoIPをすばやく構成するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
ステップバイステップでの手順
802.1X認証なしでVoIPを設定するには、次の手順に従います。
音声とデータのVLANを設定します。
[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
インターフェイスをアクセス インターフェイスとして設定し、イーサネット スイッチングのサポートを設定し、インターフェイスを
data-vlanVLAN のメンバーとして追加します。[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
注:同じ VLAN でデータと音声の両方を設定することはできません。同じVLANでデータと音声を設定した場合、設定は受け付けられません。
インターフェイスにVoIPを設定し、
assured-forwarding転送クラスを指定して、最も信頼性の高いサービスクラスを提供します。[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
LLDP-MEDプロトコルサポートを設定します。
[edit protocols] user@switch# set lldp-med interface ge-0/0/2
auth-profileという名前の認証プロファイルを設定します(802.1X インターフェイス設定の構成(CLI 手順)および 802.1X RADIUS アカウンティングの構成(CLI 手順)を参照)。[edit protocols] user@switch# set dot1x authenticator authentication-profile-name auth-profile
電話機の MAC アドレスをスタティック MAC バイパス リストに追加します。
[edit protocols] user@switch# set dot1x authenticator static 00:04:f2:11:aa:a7
サプリカント モードを複数に設定します。
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
結果
設定の結果の表示:
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2;
}
dot1x {
authenticator {
authentication-profile-name auth-profile;
static {
00:04:f2:11:aa:a7;
}
}
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
switch-options {
interface ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
switch-options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
LLDP-MED設定の確認
目的
LLDP-MEDがインターフェイスで有効になっていることを確認します。
アクション
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
意味
show lldp detail コマンドの出力は、LLDP と LLDP-MED の両方が ge-0/0/2 インターフェイスで設定されていることを示しています。出力の最後には、サポートされているLLDP基本管理TLVと、サポートされている組織固有のTLVのリストが表示されます。
デスクトップPCの認証の確認
目的
IP フォンを介して VoIP インターフェイスに接続されているデスクトップ PC の 802.1X 設定を表示します。
アクション
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意味
フィールド Role は、 ge-0/0/2.0 インターフェイスがオーセンティケータ ロールであることを示しています。Supplicant Modeフィールドは、インターフェイスがmultiple サプリカントモードで設定されており、このインターフェイスで複数のサプリカントを認証できるようになっていることを示しています。現在接続されているサプリカントのMACアドレスが出力の下部に表示されます。
VLAN とインターフェイスの関連付けの検証
目的
インターフェイスの VLAN メンバーシップを表示します。
アクション
user@switch> show ethernet-switching interface ge-0/0/2.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/2.0 65535 untagged
voice-vlan 99
65535 Discarding
data-vlan 77
65535 Discarding意味
Vlan members フィールドは、ge-0/0/2.0インターフェイスがdata-vlan VLANとvoice-vlan VLANの両方をサポートしていることを示しています。