- play_arrow 로그인 클래스 및 로그인 설정
- play_arrow 사용자 계정
- play_arrow 사용자 액세스를 위한 암호
- play_arrow 신뢰할 수 있는 플랫폼 모듈
- play_arrow 사용자 인증
- play_arrow 원격 액세스 관리
- play_arrow IEEE 802.1x 포트 기반 네트워크 액세스 제어 구성
- play_arrow 향상된 LAN 모드에서 IEEE 802.1x 포트 기반 네트워크 액세스 제어 구성
- 향상된 LAN 모드의 MX 시리즈 라우터용 802.1X 개요
- 향상된 LAN 모드의 MX 시리즈 라우터에서 802.1X 및 LLDP와 LLDP-MED 이해
- 향상된 LAN 모드의 MX 시리즈 라우터에서 802.1X 및 RADIUS 어카운팅 이해하기
- Enhanced LAN 모드의 MX 시리즈 라우터에서 802.1X 및 VoIP 이해하기
- 향상된 LAN 모드의 MX 시리즈 라우터에서 802.1X에 대한 게스트 VLAN 이해하기
- 향상된 LAN 모드의 MX 시리즈 라우터에서 802.1X에 대한 동적 VLAN 이해
- 향상된 LAN 모드의 MX 시리즈 라우터에서 서버 장애 복구 및 인증 이해
- 향상된 LAN 모드의 MX 시리즈 라우터에서 802.1X RADIUS 어카운팅 구성
- Enhanced LAN 모드의 MX 시리즈 라우터에서 802.1X 인터페이스 설정 구성
- 향상된 LAN 모드의 MX 시리즈 라우터에서 LLDP-MED 구성
- 향상된 LAN 모드의 MX 시리즈 라우터에서 LLDP 구성
- 향상된 LAN 모드의 MX 시리즈 라우터에서 서버 장애 복구 구성
- MX 시리즈 라우터의 캡티브 포털 인증 이해
- MX 시리즈 라우터의 인증 세션 시간 초과 이해
- 향상된 LAN 모드의 MX 시리즈 라우터에 대한 인증 프로세스 플로우
- 향상된 LAN 모드의 MX 시리즈 라우터에서 RADIUS 서버 연결 지정
- 향상된 LAN 모드의 MX 시리즈 라우터에서 캡티브 포털 인증 구성
- MX 시리즈 라우터에서 캡티브 포털 인증 로그인 페이지 설계
- 향상된 LAN 모드의 MX 시리즈 라우터에서 인증의 정적 MAC 바이패스 구성
- 향상된 LAN 모드의 MX 시리즈 라우터에서 인증 세션 시간 초과 제어
- 향상된 LAN 모드의 MX 시리즈 라우터에서 MAC RADIUS 인증 구성
- 예: MX 시리즈 라우터에서 MAC RADIUS 인증 구성
- 예: MX 시리즈 라우터에서 캡티브 포털 인증 설정
- 예: 802.1X용 RADIUS 서버를 MX 시리즈 라우터에 연결
- 예: MX 시리즈 라우터에서 기업 방문자에게 인터넷 액세스를 제공하기 위해 컨퍼런스 룸에서 802.1X 설정
- 예: MX 시리즈 라우터에서 인증의 정적 MAC 바이패스 구성
- 예: MX 시리즈 라우터에서 802.1X 또는 MAC RADIUS 인증이 활성화된 인터페이스의 여러 요청자에 방화벽 필터 적용
- play_arrow 디바이스 검색
- play_arrow 도메인 이름 보안
- play_arrow 권한 플래그
- play_arrow 구성 명령문 및 작동 명령
이 페이지에서
EX 시리즈 스위치의 VoIP
EX 시리즈 스위치에서 VoIP(Voice over IP)를 구성하여 IP 전화를 지원할 수 있습니다. VoIP를 사용하는 경우 IP 전화를 스위치에 연결하고 802.1X 호환 IP 전화에 대해 IEEE 802.1X 인증을 구성할 수 있습니다. 자세한 내용은 이 주제를 읽어보십시오.
EX 시리즈 스위치의 802.1X 및 VoIP 이해하기
VoIP를 사용하는 경우 IP 전화를 스위치에 연결하고 802.1X 호환 IP 전화에 대해 IEEE 802.1X 인증을 구성할 수 있습니다. 802.1X 인증은 네트워크 에지 보안을 제공하여 무단 사용자 액세스로부터 이더넷 LAN을 보호합니다.
VoIP는 패킷 교환 네트워크를 통해 음성을 전송하는 데 사용되는 프로토콜입니다. VoIP는 아날로그 전화선 대신 네트워크 연결을 사용하여 음성 통화를 전송합니다.
VoIP를 802.1X와 함께 사용하는 경우, RADIUS 서버는 전화기를 인증하고 LLDP-MED(Link Layer Discovery Protocol–Media Endpoint Discovery)는 전화기에 CoS(Class-of-Service) 매개 변수를 제공합니다.
다중 요청자 또는 단일 요청자 모드에서 VoIP와 함께 작동하도록 802.1X 인증을 구성할 수 있습니다. 다중 신청자 모드에서 802.1X 프로세스는 여러 신청자가 인터페이스에 연결할 수 있도록 합니다. 각 신청자는 개별적으로 인증됩니다. VoIP 다중 서플리컨트 토폴로지의 예는 을 참조하십시오 그림 1.
802.1X 호환 IP 전화기에 802.1X 호스트가 없지만 데이터 포트에 연결된 다른 802.1X 호환 장치가 있는 경우, 단일 신청자 모드에서 전화기를 인터페이스에 연결할 수 있습니다. 단일 요청자 모드에서 802.1X 프로세스는 첫 번째 요청자만 인증합니다. 나중에 인터페이스에 연결하는 다른 모든 신청자는 추가 인증 없이 전체 액세스가 허용됩니다. 그들은 첫 번째 신청자의 인증에 효과적으로 "피기백"합니다. VoIP 단일 서플리컨트 토폴로지의 예는 을 참조하십시오 그림 2 .
IP 전화가 802.1X를 지원하지 않는 경우 802.1X 및 LLDP-MED를 우회하고 패킷을 VoIP VLAN으로 전달하도록 VoIP를 구성할 수 있습니다.
다중 도메인 802.1X 인증
다중 도메인 802.1X 인증은 하나의 기본 VoIP 디바이스와 여러 데이터 디바이스가 단일 포트에서 인증할 수 있도록 하는 다중 신청자 모드의 확장입니다. 다중 도메인 802.1X 인증은 포트에서 인증된 데이터 및 VoIP 세션의 수를 제한하여 다중 서플리컨트 모드에 비해 강화된 보안을 제공합니다. 다중 서플리컨트 모드에서는 원하는 수의 VoIP 또는 데이터 세션을 인증할 수 있습니다. MAC 제한을 사용하여 세션 수를 제한할 수 있지만 데이터 또는 VoIP 세션에 제한을 구체적으로 적용할 수 있는 방법은 없습니다.
다중 도메인 802.1X 인증을 사용하면 단일 포트가 두 개의 도메인으로 나뉩니다. 하나는 데이터 도메인이고 다른 하나는 음성 도메인입니다. 다중 도메인 802.1X 인증은 도메인에 따라 별도의 세션 수를 유지합니다. 포트에서 허용되는 최대 인증 데이터 세션 수를 구성할 수 있습니다. VoIP 세션 수는 구성할 수 없습니다. 포트에서는 인증된 VoIP 세션이 하나만 허용됩니다.
최대 세션 수에 도달한 후 새 클라이언트가 인터페이스에서 인증을 시도하는 경우 기본 작업은 패킷을 삭제하고 오류 로그 메시지를 생성하는 것입니다. 인터페이스를 종료하도록 작업을 구성할 수도 있습니다. 명령을 실행하여 clear dot1x recovery-timeout 포트를 다운 상태에서 수동으로 복구하거나, 구성된 복구 시간 초과 기간 후에 자동으로 복구할 수 있습니다.
다중 도메인 인증은 디바이스 인증 순서를 적용하지 않습니다. 그러나 최상의 결과를 얻으려면 다중 도메인 802.1X 지원 포트의 데이터 디바이스보다 먼저 VoIP 디바이스를 인증해야 합니다. 다중 도메인 인증은 다중 신청자 모드에서만 지원됩니다.
참조
예: EX 시리즈 스위치에서 802.1X 및 LLDP-MED를 사용하는 VoIP 설정
EX 시리즈 스위치에서 VoIP(Voice over IP)를 구성하여 IP 전화를 지원할 수 있습니다. LLDP-MED(Link Layer Discovery Protocol–Media Endpoint Discovery) 프로토콜은 스위치에서 전화기로 VoIP 매개 변수를 전달합니다. 또한 LAN에 대한 전화 액세스를 허용하도록 802.1X 인증을 구성합니다. 인증은 백엔드 RADIUS 서버를 통해 수행됩니다.
이 예에서는 Avaya IP 전화와 LLDP-MED 프로토콜 및 802.1X 인증을 지원하기 위해 EX 시리즈 스위치에서 VoIP를 구성하는 방법을 설명합니다.
스위치에서 ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 EX 시리즈 스위치용 Junos OS를 실행하는 경우 예: ELS를 지원하는 EX 시리즈 스위치에서 802.1X 및 LLDP-MED를 사용한 VoIP 설정. ELS 세부 사항은 Enhanced Layer 2 Software CLI 사용을 참조하십시오.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
EX 시리즈 스위치용 Junos OS 릴리즈 9.1 이상
인증자 포트 액세스 엔티티(PAE) 역할을 하는 EX 시리즈 스위치 1개. 인증자 PAE의 인터페이스는 신청자가 인증될 때까지 모든 트래픽을 차단하는 제어 게이트를 형성합니다.
LLDP-MED 및 802.1X를 지원하는 Avaya 9620 IP 전화
VoIP를 구성하기 전에 다음을 확인하십시오.
EX 시리즈 스위치를 설치합니다. EX3200 스위치 설치 및 연결을 참조하십시오.
초기 스위치 구성을 수행했는지 확인합니다. EX 시리즈 스위치 연결 및 구성(J-Web 절차)을 참조합니다.
스위치에서 기본 브리징 및 VLAN 구성을 수행했습니다. 예: EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정.
802.1X 인증을 위해 RADIUS 서버를 구성하고 액세스 프로파일을 설정했습니다. 예: 802.1X용 RADIUS 서버를 EX 시리즈 스위치에 연결합니다.
(선택 사항) PoE(Power over Ethernet)에 대해 구성된 인터페이스 ge-0/0/2 . VoIP 신청자가 전원 어댑터를 사용하는 경우 PoE 구성이 필요하지 않습니다. PoE 구성에 대한 자세한 정보는 EX 시리즈 스위치에서 PoE 인터페이스 구성을 참조하십시오.
IP 주소가 Avaya IP 전화기에 구성되지 않은 경우, 전화기는 LLDP-MED 정보를 교환하여 음성 VLAN에 대한 VLAN ID를 가져옵니다. 인터페이스에서 명령문을 구성 voip 하여 인터페이스를 VoIP 인터페이스로 지정하고 스위치가 음성 VLAN의 VLAN 이름 및 VLAN ID를 IP 전화로 전달할 수 있도록 해야 합니다. 그런 다음 IP 전화는 음성 VLAN(즉, 음성 VLAN의 ID를 참조함)을 사용하여 DHCP 검색 요청을 보내고 DHCP 서버(음성 게이트웨이)와 정보를 교환합니다.
개요 및 토폴로지
일반 전화기를 사용하는 대신 IP 전화기를 스위치에 직접 연결합니다. IP 전화에는 VoIP를 처리하는 데 필요한 모든 하드웨어와 소프트웨어가 있습니다. 또한 IP 전화를 스위치의 PoE(Power over Ethernet) 인터페이스 중 하나에 연결하여 전원을 공급할 수도 있습니다.
이 예에서 EX4200 스위치의 액세스 인터페이스는 ge-0/0/2 Avaya 9620 IP 전화에 연결됩니다. Avaya 전화기에는 데스크톱 PC를 전화기에 연결할 수 있는 브리지가 내장되어 있으므로 한 사무실의 데스크탑과 전화기에는 스위치에 하나의 인터페이스만 있으면 됩니다. EX 시리즈 스위치는 인터페이스의 ge-0/0/10 RADIUS 서버에 연결됩니다( 그림 3참조).
이 예에서는 VoIP 매개 변수를 구성하고 음성 트래픽에 대한 포워딩 클래스를 assured-forward 지정하여 최고 서비스 품질을 제공합니다.
표 1 은(는) 이 VoIP 구성 예에서 사용되는 구성 요소를 설명합니다.
| 속성 | 설정 |
|---|---|
스위치 하드웨어 | EX4200 스위치 |
VLAN 이름 | data-vlan voice-vlan |
Avaya 전화기에 연결 - 통합 허브를 사용하여 전화기와 데스크탑 PC를 단일 인터페이스에 연결(PoE 필요) | ge-0/0/2 |
단일 RADIUS 서버 | 인터페이스를 ge-0/0/10통해 스위치에 연결된 백엔드 데이터베이스를 제공합니다. |
인터페이스에 ge-0/0/2대한 VoIP를 구성할 뿐만 아니라 다음을 구성합니다.
802.1X 인증. 인터페이스를 ge-0/0/2통해 LAN에 대한 두 개 이상의 신청자의 액세스를 지원하기 위해 인증이 신청자로 multiple 설정됩니다.
LLDP-MED 프로토콜 정보. 스위치는 LLDP-MED를 사용하여 VoIP 매개 변수를 전화기로 전달합니다. LLDP-MED를 사용하면 음성 트래픽에 태그가 지정되고 소스 자체에서 올바른 값으로 우선 순위가 지정됩니다. 예를 들어, 802.1p 서비스 등급 및 802.1Q 태그 정보를 IP 전화로 전송할 수 있습니다.
주:IP 전화가 전원 어댑터를 사용하는 경우에는 PoE 구성이 필요하지 않습니다.
구성
VoIP, LLDP-MED 및 802.1X 인증 구성:
절차
CLI 빠른 구성
VoIP, LLDP-MED 및 802.1X를 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣으십시오.
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
단계별 절차
LLDP-MED 및 802.1X를 사용하여 VoIP를 구성하려면:
음성 및 데이터에 대한 VLAN을 구성합니다.
content_copy zoom_out_map[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
VLAN data-vlan 을 인터페이스와 연결합니다.
content_copy zoom_out_map[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0인터페이스를 액세스 인터페이스로 구성하고, 이더넷 스위칭에 대한 지원을 구성하고, VLAN을 data-vlan 추가합니다.
content_copy zoom_out_map[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
인터페이스에서 VoIP를 구성하고 포워딩 클래스를 지정하여 assured-forwarding 가장 신뢰할 수 있는 서비스 등급을 제공합니다.
content_copy zoom_out_map[edit ethernet—switching—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
LLDP-MED 프로토콜 지원 구성:
content_copy zoom_out_map[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
인터페이스에서 IP 전화와 IP 전화에 연결된 PC를 인증하려면 802.1X 인증 지원을 구성하고 신청자 모드를 지정합니다 multiple .
주:디바이스를 인증하지 않으려면 이 인터페이스에서 802.1X 구성을 건너뜁니다.
content_copy zoom_out_map[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
결과
구성의 결과를 표시합니다.
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2.0;
}
dot1x {
authenticator {
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
LLDP-MED 구성 확인
목적
인터페이스에서 LLDP-MED가 활성화되었는지 확인합니다.
작업
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
의미
출력은 show lldp detail LLDP와 LLDP-MED가 모두 인터페이스에 구성되어 ge-0/0/2.0 있음을 보여줍니다. 출력의 끝에는 지원되는 LLDP 기본 TLV, 802.3 TLV 및 지원되는 LLDP-MED TLV 목록이 표시됩니다.
IP 전화기 및 데스크탑 PC에 대한 802.1X 인증 확인
목적
802.1X 구성을 표시하여 VoIP 인터페이스가 LAN에 액세스할 수 있는지 확인합니다.
작업
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
의미
필드는 Role 인터페이스가 인증자 상태임을 ge-0/0/2.0 보여줍니다. 필드는 Supplicant 인터페이스가 다중 신청자 모드로 구성되어 이 인터페이스에서 여러 신청자를 인증할 수 있음을 보여줍니다. 현재 연결된 서플리컨트의 MAC 주소가 출력 하단에 표시됩니다.
인터페이스와 VLAN 연결 확인
목적
인터페이스 상태 및 VLAN 멤버십을 표시합니다.
작업
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblocked의미
필드는 VLAN members 인터페이스가 VLAN과 voice-vlan VLAN을 data-vlan 모두 지원함을 ge-0/0/2.0 보여줍니다. State 필드는 인터페이스가 작동 중임을 보여줍니다.
예: LLDP-MED 지원을 포함하지 않고 EX 시리즈 스위치에서 VoIP 구성
EX 시리즈 스위치에서 VoIP(Voice over IP)를 구성하여 IP 전화를 지원할 수 있습니다. LLDP-MED(Link Layer Discovery Protocol–Media Endpoint Discovery) 프로토콜은 스위치에서 전화기로 VoIP 매개 변수를 전달하기 위해 IP 전화와 함께 사용되기도 합니다. 그러나 모든 IP 전화가 LLDP-MED를 지원하는 것은 아닙니다.
다음 예에서는 LLDP-MED를 사용하지 않고 EX 시리즈 스위치에서 VoIP를 구성하는 방법을 설명합니다.
- 요구 사항
- 개요
- 액세스 포트에서 음성 VLAN을 사용하여 LLDP-MED 없이 VoIP 구성
- 네이티브 VLAN 옵션의 트렁크 포트를 사용하여 LLDP-MED 없이 VoIP 구성
- 검증
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
인증자 포트 액세스 엔티티(PAE) 역할을 하는 ELS를 지원하는 EX 시리즈 스위치 1개. 인증자 PAE의 인터페이스는 신청자가 인증될 때까지 모든 트래픽을 차단하는 제어 게이트를 형성합니다.
LLDP-MED를 지원하지 않는 IP 전화.
EX 시리즈 스위치용 Junos OS 릴리스 13.2X50 이상.
VoIP를 구성하기 전에 다음을 확인하십시오.
스위치에서 기본 브리징 및 VLAN 구성을 수행했습니다. 예: ELS를 지원하는 EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정을 참조하십시오.
IP 전화기를 음성 VLAN의 구성원으로 구성했습니다.
(선택 사항) PoE(Power over Ethernet)를 위해 인터페이스 ge-0/0/2를 구성했습니다. VoIP 신청자가 전원 어댑터를 사용하는 경우 PoE 구성이 필요하지 않습니다. EX 시리즈 스위치에서 PoE 인터페이스 구성을 참조하십시오.
개요
일반 전화기를 사용하는 대신 IP 전화기를 스위치에 직접 연결합니다. IP 전화에는 VoIP를 처리하는 데 필요한 모든 하드웨어와 소프트웨어가 있습니다. IP 전화를 스위치의 PoE(Power over Ethernet) 인터페이스 중 하나에 연결하여 전원을 공급할 수도 있습니다.
EX 시리즈 스위치는 단일 스위치 포트에 연결된 IP 전화 및 엔드 호스트를 수용할 수 있습니다. 이러한 시나리오에서는 음성 및 데이터 트래픽을 서로 다른 브로드캐스트 도메인 또는 VLAN으로 분리해야 합니다. 이를 수행하는 한 가지 방법은 음성 VLAN을 구성하는 것인데, 이를 통해 액세스 포트는 태그가 지정되지 않은 데이터 트래픽과 IP 전화의 태그가 지정된 음성 트래픽을 수락하고 각 유형의 트래픽을 별도의 개별 VLAN과 연결할 수 있습니다. 그러면 음성 트래픽(태그 지정됨)이 다르게 처리될 수 있으며, 일반적으로 데이터 트래픽(태그 처리되지 않음)보다 우선 순위가 높습니다.
음성 VLAN은 LLDP-MED를 지원하는 IP 전화와 함께 사용할 때 가장 큰 이점을 제공하지만, LLDP-MED를 지원하지 않는 IP 전화도 효과적으로 사용할 수 있을 만큼 유연합니다. 그러나 LLDP-MED가 없는 경우 LLDP-MED를 사용하여 이 작업을 동적으로 수행할 수 없으므로 IP 전화에서 음성 VLAN ID를 수동으로 설정해야 합니다. LLDP-MED를 지원하는 IP 전화에 대한 음성 VLAN 설정에 대한 자세한 내용은 예: ELS를 지원하는 EX 시리즈 스위치에서 802.1X 및 LLDP-MED를 사용한 VoIP 설정.
음성(태그 지정) 트래픽과 데이터(태그 처리되지 않은) 트래픽을 서로 다른 VLAN으로 분리하는 또 다른 방법은 네이티브 VLAN ID 옵션과 함께 트렁크 포트를 사용하는 것입니다. 트렁크 포트는 음성 VLAN의 멤버로 추가되고 해당 VLAN에서 태그가 지정된 음성 트래픽만 처리합니다. 트렁크 포트는 데이터 VLAN의 태그 없는 데이터 트래픽을 처리할 수 있도록 데이터 VLAN에 대한 네이티브 VLAN ID로 구성되어야 합니다. 또한 이 컨피그레이션을 사용하려면 IP 전화에서 음성 VLAN ID를 수동으로 설정해야 합니다.
이 예제에서는 두 가지 방법을 모두 보여 줍니다. 이 예에서는 스위치의 인터페이스 ge-0/0/2가 비 LLDP-MED IP 전화에 연결됩니다.
IP 전화에서 음성 VLAN의 구현은 공급업체에 따라 다릅니다. 음성 VLAN 구성에 대한 지침은 IP 전화와 함께 제공된 설명서를 참조하십시오. 예를 들어, Avaya 전화기에서 DHCP 옵션 176을 활성화하여 LLDP-MED가 없는 경우에도 전화기가 올바른 VoIP VLAN ID를 가져오도록 할 수 있습니다.
토폴로지
액세스 포트에서 음성 VLAN을 사용하여 LLDP-MED 없이 VoIP 구성
절차
CLI 빠른 구성
VoIP를 빠르게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding
단계별 절차
두 개의 VLAN을 구성합니다. 하나는 데이터 트래픽용이고 다른 하나는 음성 트래픽용입니다.
content_copy zoom_out_map[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
주:음성 VLAN ID는 IP 전화기에서 수동으로 설정해야 합니다.
VLAN
data-vlan을 인터페이스 ge-0/0/2와 연결합니다.content_copy zoom_out_map[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0
인터페이스 ge-0/0/2를 데이터 VLAN에 속하는 액세스 포트로 구성합니다.
content_copy zoom_out_map[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
인터페이스 ge-0/0/2에서 VoIP를 구성하고 이 인터페이스를 음성 VLAN에 추가합니다.
content_copy zoom_out_map[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
가장 신뢰할 수 있는 서비스 등급을 제공하기 위해 assured-forwarding 포워딩 클래스를 지정합니다.
content_copy zoom_out_map[edit switch-options] user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
결과
구성의 결과를 표시합니다.
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
네이티브 VLAN 옵션의 트렁크 포트를 사용하여 LLDP-MED 없이 VoIP 구성
절차
CLI 빠른 구성
VoIP를 빠르게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
단계별 절차
두 개의 VLAN을 구성합니다. 하나는 데이터 트래픽용이고 다른 하나는 음성 트래픽용입니다.
content_copy zoom_out_map[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
주:음성 VLAN ID는 IP 전화기에서 수동으로 설정해야 합니다.
인터페이스 ge-0/0/2를 음성 VLAN만 포함하는 트렁크 포트로 구성합니다.
content_copy zoom_out_map[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
트렁크 포트에서 데이터 VLAN에 대한 네이티브 VLAN ID를 구성합니다.
content_copy zoom_out_map[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
결과
구성의 결과를 표시합니다.
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members voice-vlan;
}
native-vlan-id data-vlan;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
}
voice-vlan {
vlan-id 99;
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.
인터페이스와의 VLAN 연결 확인
목적
인터페이스 상태 및 VLAN 멤버십을 표시합니다.
작업
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblocked의미
필드는 VLAN members ge-0/0/2.0 인터페이스가 데이터 VLAN, 데이터 VLAN 및 음성 VLAN, 음성 VLAN을 모두 지원함을 보여줍니다. State 필드는 인터페이스가 작동 중임을 보여줍니다.
예: LLDP-MED 지원을 포함하지 않고 EX 시리즈 스위치에서 VoIP 구성
EX 시리즈 스위치에서 VoIP(Voice over IP)를 구성하여 IP 전화를 지원할 수 있습니다. LLDP-MED(Link Layer Discovery Protocol–Media Endpoint Discovery) 프로토콜은 스위치에서 전화기로 VoIP 매개 변수를 전달하기 위해 IP 전화와 함께 사용되기도 합니다. 그러나 모든 IP 전화가 LLDP-MED를 지원하는 것은 아닙니다.
다음 예에서는 LLDP-MED를 사용하지 않고 EX 시리즈 스위치에서 VoIP를 구성하는 방법을 설명합니다.
- 요구 사항
- 개요
- 액세스 포트에서 음성 VLAN을 사용하여 LLDP-MED 없이 VoIP 구성
- 네이티브 VLAN 옵션의 트렁크 포트를 사용하여 LLDP-MED 없이 VoIP 구성
- 검증
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
인증자 포트 액세스 엔티티(PAE) 역할을 하는 EX4200 스위치 1개. 인증자 PAE의 인터페이스는 신청자가 인증될 때까지 모든 트래픽을 차단하는 제어 게이트를 형성합니다.
LLDP-MED를 지원하지 않는 IP 전화.
EX 시리즈 스위치를 위한 Junos OS 릴리스 9.1 이상.
VoIP를 구성하기 전에 다음을 확인하십시오.
스위치에서 기본 브리징 및 VLAN 구성을 수행했습니다. 예: EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정.
IP 전화기를 음성 VLAN의 구성원으로 구성했습니다.
(선택 사항) PoE(Power over Ethernet)를 위해 인터페이스 ge-0/0/2를 구성했습니다. VoIP 신청자가 전원 어댑터를 사용하는 경우 PoE 구성이 필요하지 않습니다. EX 시리즈 스위치에서 PoE 인터페이스 구성을 참조하십시오.
개요
일반 전화기를 사용하는 대신 IP 전화기를 스위치에 직접 연결합니다. IP 전화에는 VoIP를 처리하는 데 필요한 모든 하드웨어와 소프트웨어가 있습니다. IP 전화를 스위치의 PoE(Power over Ethernet) 인터페이스 중 하나에 연결하여 전원을 공급할 수도 있습니다.
EX 시리즈 스위치는 단일 스위치 포트에 연결된 IP 전화 및 엔드 호스트를 수용할 수 있습니다. 이러한 시나리오에서는 음성 및 데이터 트래픽을 서로 다른 브로드캐스트 도메인 또는 VLAN으로 분리해야 합니다. 이를 수행하는 한 가지 방법은 음성 VLAN을 구성하는 것인데, 이를 통해 액세스 포트는 태그가 지정되지 않은 데이터 트래픽과 IP 전화의 태그가 지정된 음성 트래픽을 수락하고 각 유형의 트래픽을 별도의 개별 VLAN과 연결할 수 있습니다. 그러면 음성 트래픽(태그 지정됨)이 다르게 처리될 수 있으며, 일반적으로 데이터 트래픽(태그 처리되지 않음)보다 우선 순위가 높습니다.
음성 VLAN은 LLDP-MED를 지원하는 IP 전화와 함께 사용할 때 가장 큰 이점을 제공하지만, LLDP-MED를 지원하지 않는 IP 전화도 효과적으로 사용할 수 있을 만큼 유연합니다. 그러나 LLDP-MED가 없는 경우 LLDP-MED를 사용하여 이 작업을 동적으로 수행할 수 없으므로 IP 전화에서 음성 VLAN ID를 수동으로 설정해야 합니다. LLDP-MED를 지원하는 IP 전화에 대한 음성 VLAN 설정에 대한 자세한 내용은 예: EX 시리즈 스위치에서 802.1X 및 LLDP-MED를 사용한 VoIP 설정.
음성(태그 지정) 트래픽과 데이터(태그 처리되지 않은) 트래픽을 서로 다른 VLAN으로 분리하는 또 다른 방법은 네이티브 VLAN ID 옵션과 함께 트렁크 포트를 사용하는 것입니다. 트렁크 포트는 음성 VLAN의 멤버로 추가되고 해당 VLAN에서 태그가 지정된 음성 트래픽만 처리합니다. 트렁크 포트는 데이터 VLAN의 태그 없는 데이터 트래픽을 처리할 수 있도록 데이터 VLAN에 대한 네이티브 VLAN ID로 구성되어야 합니다. 또한 이 컨피그레이션을 사용하려면 IP 전화에서 음성 VLAN ID를 수동으로 설정해야 합니다.
이 예제에서는 두 가지 방법을 모두 보여 줍니다. 이 예에서 EX4200 스위치의 인터페이스 ge-0/0/2는 비 LLDP-MED IP 전화에 연결됩니다.
IP 전화에서 음성 VLAN의 구현은 공급업체에 따라 다릅니다. 음성 VLAN 구성에 대한 지침은 IP 전화와 함께 제공된 설명서를 참조하십시오. 예를 들어, Avaya 전화기에서 DHCP 옵션 176을 활성화하여 LLDP-MED가 없는 경우에도 전화기가 올바른 VoIP VLAN ID를 가져오도록 할 수 있습니다.
토폴로지
액세스 포트에서 음성 VLAN을 사용하여 LLDP-MED 없이 VoIP 구성
절차
CLI 빠른 구성
VoIP를 빠르게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan
단계별 절차
두 개의 VLAN을 구성합니다. 하나는 데이터 트래픽용이고 다른 하나는 음성 트래픽용입니다.
content_copy zoom_out_map[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
주:음성 VLAN ID는 IP 전화기에서 수동으로 설정해야 합니다.
인터페이스 ge-0/0/2에서 VLAN data-vlan 을 구성합니다.
content_copy zoom_out_map[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0
인터페이스 ge-0/0/2를 데이터 VLAN에 속하는 액세스 포트로 구성합니다.
content_copy zoom_out_map[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member data-vlan
인터페이스 ge-0/0/2에서 VoIP를 구성하고 이 인터페이스를 음성 VLAN에 추가합니다.
content_copy zoom_out_map[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan
결과
구성의 결과를 표시합니다.
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
}
}
}
네이티브 VLAN 옵션의 트렁크 포트를 사용하여 LLDP-MED 없이 VoIP 구성
절차
CLI 빠른 구성
VoIP를 빠르게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members voice-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
단계별 절차
두 개의 VLAN을 구성합니다. 하나는 데이터 트래픽용이고 다른 하나는 음성 트래픽용입니다.
content_copy zoom_out_map[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
주:음성 VLAN ID는 IP 전화기에서 수동으로 설정해야 합니다.
인터페이스 ge-0/0/2를 음성 VLAN만 포함하는 트렁크 포트로 구성합니다.
content_copy zoom_out_map[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan member voice-vlan
트렁크 포트에서 데이터 VLAN에 대한 네이티브 VLAN ID를 구성합니다.
content_copy zoom_out_map[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching native-vlan-id data-vlan
결과
구성의 결과를 표시합니다.
[edit]
user@switch> show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members voice-vlan;
}
native-vlan-id data-vlan;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
}
voice-vlan {
vlan-id 99;
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.
인터페이스와의 VLAN 연결 확인
목적
인터페이스 상태 및 VLAN 멤버십을 표시합니다.
작업
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblocked의미
필드는 VLAN members ge-0/0/2.0 인터페이스가 데이터 VLAN, 데이터 VLAN 및 음성 VLAN, 음성 VLAN을 모두 지원함을 보여줍니다. State 필드는 인터페이스가 작동 중임을 보여줍니다.
예: 802.1X 인증을 포함하지 않고 EX 시리즈 스위치에서 VoIP 구성
EX 시리즈 스위치에서 VoIP(Voice over IP)를 구성하여 IP 전화를 지원할 수 있습니다.
802.1X 인증을 지원하지 않는 IP 전화기를 지원하도록 EX 시리즈 스위치에서 VoIP를 구성하려면 전화기의 MAC 주소를 정적 MAC 바이패스 목록에 추가하거나 스위치에서 MAC RADIUS 인증을 활성화해야 합니다.
이 예에서는 인증의 정적 MAC 바이패스를 사용하여 802.1X 인증 없이 EX 시리즈 스위치에서 VoIP를 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
EX 시리즈 스위치용 Junos OS 릴리즈 9.1 이상
IP 전화
VoIP를 구성하기 전에 다음을 확인하십시오.
EX 시리즈 스위치를 설치합니다. 스위치에 대한 설치 정보를 참조하십시오.
초기 스위치 구성을 수행했는지 확인합니다. EX 시리즈 스위치 연결 및 구성(CLI 절차)을 참조하십시오.
스위치에서 기본 브리징 및 VLAN 구성을 수행했습니다. 예: EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정.
802.1X 인증을 위해 RADIUS 서버를 구성하고 액세스 프로파일을 설정했습니다. 예: 802.1X용 RADIUS 서버를 EX 시리즈 스위치에 연결합니다.
(선택 사항) PoE(Power over Ethernet)에 대해 구성된 인터페이스
ge-0/0/2. VoIP 신청자가 전원 어댑터를 사용하는 경우 PoE 구성이 필요하지 않습니다. PoE 구성에 대한 자세한 정보는 EX 시리즈 스위치에서 PoE 인터페이스 구성을 참조하십시오.
IP 주소가 Avaya IP 전화기에 구성되지 않은 경우, 전화기는 LLDP-MED 정보를 교환하여 음성 VLAN에 대한 VLAN ID를 가져옵니다. 인터페이스에서 명령문을 구성 voip 하여 인터페이스를 VoIP 인터페이스로 지정하고 스위치가 음성 VLAN의 VLAN 이름 및 VLAN ID를 IP 전화로 전달할 수 있도록 해야 합니다. 그런 다음 IP 전화는 음성 VLAN(즉, 음성 VLAN의 ID를 참조함)을 사용하여 DHCP 검색 요청을 보내고 DHCP 서버(음성 게이트웨이)와 정보를 교환합니다.
개요
일반 전화기를 사용하는 대신 IP 전화기를 스위치에 직접 연결합니다. IP 전화에는 VoIP를 처리하는 데 필요한 모든 하드웨어와 소프트웨어가 있습니다. 또한 IP 전화를 스위치의 PoE(Power over Ethernet) 인터페이스 중 하나에 연결하여 전원을 공급할 수도 있습니다.
이 예에서 EX4200 스위치의 액세스 인터페이스는 ge-0/0/2 802.1X가 아닌 IP 전화에 연결됩니다.
802.1X 인증을 지원하지 않는 IP 전화기를 지원하기 위해 EX 시리즈 스위치에서 VoIP를 구성하려면 전화기의 MAC 주소를 인증자 데이터베이스의 정적 항목으로 추가하고 신청자 모드를 다중으로 설정합니다.
구성
802.1X 인증 없이 VoIP를 구성하려면:
절차
CLI 빠른 구성
VoIP를 빠르게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set vlans data-vlan interface ge-0/0/2.0 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set ethernet-switching-options voip interface ge-0/0/2.0 vlan voice-vlan set ethernet-switching-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2.0 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
단계별 절차
802.1X 없이 VoIP를 구성하려면:
음성 및 데이터에 대한 VLAN을 구성합니다.
content_copy zoom_out_map[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
VLAN
data-vlan을 인터페이스와 연결합니다.content_copy zoom_out_map[edit vlans] user@switch# set data-vlan interface ge-0/0/2.0인터페이스를 액세스 인터페이스로 구성하고, 이더넷 스위칭에 대한 지원을 구성하고, VLAN을
data-vlan추가합니다.content_copy zoom_out_map[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan user@switch# set ge-0/0/2 unit 0 family ethernet-switching port-mode access
인터페이스에서 VoIP를 구성하고 포워딩 클래스를 지정하여
assured-forwarding가장 신뢰할 수 있는 서비스 등급을 제공합니다.content_copy zoom_out_map[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
LLDP-MED 프로토콜 지원 구성:
content_copy zoom_out_map[edit protocols] user@switch# set lldp-med interface ge-0/0/2.0
인증 프로파일을 설정합니다( 802.1X 인터페이스 설정 구성(CLI 절차) 및 802.1X RADIUS 계정 구성(CLI 절차) 참조).
content_copy zoom_out_map[edit protocols] set dot1x authenticator authentication-profile-name auth-profile
전화기의 MAC 주소를 정적 MAC 바이패스 목록에 추가합니다.
content_copy zoom_out_map[edit protocols] set dot1x authenticator static 00:04:f2:11:aa:a7
요청자 모드를 multiple로 설정합니다.
content_copy zoom_out_map[edit protocols] set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
결과
구성의 결과를 표시합니다.
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2.0;
}
dot1x {
authenticator {
authentication-profile-name auth-profile;
static {
00:04:f2:11:aa:a7;
}
}
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
interface {
ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
ethernet-switching options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
LLDP-MED 구성 확인
목적
인터페이스에서 LLDP-MED가 활성화되었는지 확인합니다.
작업
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 Second(s) Transmit delay : 2 Second(s) Hold timer : 2 Second(s) Config Trap Interval : 300 Second(s) Connection Hold timer : 60 Second(s) LLDP MED : Enabled MED fast start count : 3 Packet(s) Interface LLDP LLDP-MED Neighbor count all Enabled - 0 ge-0/0/2.0 - Enabled 0 Interface VLAN-id VLAN-name ge-0/0/0.0 0 default ge-0/0/1.0 0 employee-vlan ge-0/0/2.0 0 data-vlan ge-0/0/2.0 99 voice-vlan ge-0/0/3.0 0 employee-vlan ge-0/0/8.0 0 employee-vlan ge-0/0/10.0 0 default ge-0/0/11.0 20 employee-vlan ge-0/0/23.0 0 default LLDP basic TLVs supported: Chassis identifier, Port identifier, Port description, System name, System description, System capabilities, Management address. LLDP 802 TLVs supported: Power via MDI, Link aggregation, Maximum frame size, Port VLAN tag, Port VLAN name. LLDP MED TLVs supported: LLDP MED capabilities, Network policy, Endpoint location, Extended power Via MDI.
의미
출력은 show lldp detail LLDP와 LLDP-MED가 모두 인터페이스에 구성되어 ge-0/0/2.0 있음을 보여줍니다. 출력의 끝에는 지원되는 LLDP 기본 TLV, 802.3 TLV 및 지원되는 LLDP-MED TLV 목록이 표시됩니다.
데스크탑 PC에 대한 인증 확인
목적
IP 전화를 통해 VoIP 인터페이스에 연결된 데스크탑 PC의 802.1X 구성을 표시합니다.
작업
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
의미
필드는 Role 인터페이스가 인증자 상태임을 ge-0/0/2.0 보여줍니다. 필드는 Supplicant 인터페이스가 다중 신청자 모드로 구성되어 이 인터페이스에서 여러 신청자를 인증할 수 있음을 보여줍니다. 현재 연결된 서플리컨트의 MAC 주소가 출력 하단에 표시됩니다.
인터페이스와 VLAN 연결 확인
목적
인터페이스 상태 및 VLAN 멤버십을 표시합니다.
작업
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee-vlan unblocked
ge-0/0/5.0 down employee-vlan unblocked
ge-0/0/3.0 down employee-vlan unblocked
ge-0/0/8.0 down employee-vlan unblocked
ge-0/0/10.0 down default unblocked
ge-0/0/11.0 down employee-vlan unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/2.0 up voice-vlan unblocked
data-vlan unblocked의미
필드는 VLAN members 인터페이스가 VLAN과 voice-vlan VLAN을 data-vlan 모두 지원함을 ge-0/0/2.0 보여줍니다. State 필드는 인터페이스가 작동 중임을 보여줍니다.
예: ELS를 지원하는 EX 시리즈 스위치에서 802.1X 및 LLDP-MED를 사용한 VoIP 설정
이 예에서는 Enhanced Layer 2 Software(ELS) 구성 스타일을 지원하는 EX 시리즈 스위치용 Junos OS를 사용합니다. 스위치에서 실행되는 소프트웨어가 ELS를 지원하지 않는 경우, 예: EX 시리즈 스위치에서 802.1X 및 LLDP-MED를 사용한 VoIP 설정. ELS 세부 사항은 Enhanced Layer 2 Software CLI 사용을 참조하십시오.
EX 시리즈 스위치에서 VoIP를 구성하여 IP 전화를 지원할 수 있습니다. LLDP-MED(Link Layer Discovery Protocol–Media Endpoint Discovery) 프로토콜은 스위치에서 전화기로 VoIP 매개 변수를 전달합니다. 또한 LAN에 대한 전화 액세스를 허용하도록 802.1X 인증을 구성합니다. 인증은 백엔드 RADIUS 서버를 통해 수행됩니다.
이 예에서는 Avaya IP 전화를 지원하기 위해 EX 시리즈 스위치에서 VoIP를 구성하는 방법과 LLDP-MED 프로토콜 및 802.1X 인증을 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 소프트웨어 및 하드웨어 구성 요소는 다음과 같습니다:
이 예는 QFX5100 스위치에도 적용됩니다.
EX 시리즈 스위치용 Junos OS 릴리스 13.2X50 이상
인증자 포트 액세스 엔티티(PAE) 역할을 하는 ELS를 지원하는 EX 시리즈 스위치 1개. 인증자 PAE의 인터페이스는 신청자가 인증될 때까지 모든 트래픽을 차단하는 제어 게이트를 형성합니다.
LLDP-MED 및 802.1X를 지원하는 Avaya IP 전화기
VoIP를 구성하기 전에 다음을 확인하십시오.
EX 시리즈 스위치를 설치합니다. 스위치에 대한 설치 정보를 참조하십시오.
초기 스위치 구성을 수행했는지 확인합니다. EX 시리즈 스위치 연결 및 구성(CLI 절차)을 참조하십시오.
스위치에서 기본 브리징 및 VLAN 구성을 수행했습니다. 예: ELS 또는 을(를) 지원하는 EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정의 예: 스위치에서 기본 브리징 및 VLAN 설정.
802.1X 인증을 위해 RADIUS 서버를 구성하고 액세스 프로파일을 설정했습니다. 예: 802.1X용 RADIUS 서버를 EX 시리즈 스위치에 연결합니다.
(선택 사항) PoE(Power over Ethernet)를 위해 인터페이스 ge-0/0/2를 구성했습니다. VoIP 신청자가 전원 어댑터를 사용하는 경우에는 PoE 구성이 필요하지 않습니다. PoE 구성에 대한 자세한 정보는 EX 시리즈 스위치에서 PoE 인터페이스 구성을 참조하십시오.
IP 주소가 Avaya IP 전화기에 구성되지 않은 경우, 전화기는 LLDP-MED 정보를 교환하여 음성 VLAN에 대한 VLAN ID를 가져옵니다. 인터페이스에서 명령문을 구성 voip 하여 인터페이스를 VoIP 인터페이스로 지정하고 스위치가 음성 VLAN의 VLAN 이름 및 VLAN ID를 IP 전화로 전달할 수 있도록 해야 합니다. 그런 다음 IP 전화는 음성 VLAN(즉, 음성 VLAN의 ID를 참조함)을 사용하여 DHCP 검색 요청을 보내고 DHCP 서버(음성 게이트웨이)와 정보를 교환합니다.
개요 및 토폴로지
일반 전화기를 사용하는 대신 IP 전화기를 스위치에 직접 연결합니다. IP 전화에는 VoIP를 처리하는 데 필요한 모든 하드웨어와 소프트웨어가 있습니다. 또한 IP 전화를 스위치의 PoE(Power over Ethernet) 인터페이스 중 하나에 연결하여 전원을 공급할 수도 있습니다.
EX 시리즈 스위치는 단일 스위치 포트에 연결된 IP 전화 및 엔드 호스트를 수용할 수 있습니다. 이러한 시나리오에서는 음성 및 데이터 트래픽을 서로 다른 브로드캐스트 도메인 또는 VLAN으로 분리해야 합니다. 이를 수행하는 한 가지 방법은 음성 VLAN을 구성하는 것인데, 이를 통해 액세스 포트는 태그가 지정되지 않은 데이터 트래픽과 IP 전화의 태그가 지정된 음성 트래픽을 수락하고 각 유형의 트래픽을 별도의 개별 VLAN과 연결할 수 있습니다. 그러면 음성 트래픽(태그 지정됨)이 다르게 처리될 수 있으며, 일반적으로 데이터 트래픽(태그 처리되지 않음)보다 우선 순위가 높습니다.
MAC 주소가 데이터 및 음성 VLAN 모두에서 학습된 경우 두 VLAN에서 모두 만료되거나 두 VLAN이 모두 삭제되지 않는 한 활성 상태로 유지됩니다.
이 예에서는 EX 시리즈 스위치의 액세스 인터페이스 ge-0/0/2가 Avaya IP 전화에 연결됩니다. Avaya 전화기에는 데스크톱 PC를 전화기에 연결할 수 있는 브리지가 내장되어 있으므로 한 사무실의 데스크탑과 전화기에는 스위치에 하나의 인터페이스만 있으면 됩니다. EX 시리즈 스위치는 ge-0/0/10 인터페이스의 RADIUS 서버에 연결됩니다( 그림 4참조).
해당 수치는 QFX5100 스위치에도 적용됩니다.
이 예에서는 VoIP 매개 변수를 구성하고 음성 트래픽에 대한 포워딩 클래스를 assured-forward 지정하여 최고 서비스 품질을 제공합니다.
표 2 은(는) 이 VoIP 구성 예에서 사용되는 구성 요소를 설명합니다.
| 속성 | 설정 |
|---|---|
스위치 하드웨어 | ELS를 지원하는 EX 시리즈 스위치. |
VLAN 이름 및 ID | 데이터 VLAN, 77 음성 VLAN, 99 |
Avaya 전화기에 연결 - 통합 허브를 사용하여 전화기와 데스크탑 PC를 단일 인터페이스에 연결(PoE 필요) | ge-0/0/2 |
단일 RADIUS 서버 | 인터페이스 ge-0/0/10을 통해 스위치에 연결된 백엔드 데이터베이스를 제공합니다. |
인터페이스 ge-0/0/2를 위한 VoIP를 구성하는 것 외에도 다음을 구성합니다.
802.1X 인증. 인증은 인터페이스 ge-0/0/2를
multiple통해 LAN에 대한 두 개 이상의 신청자의 액세스를 지원하기 위해 신청자 모드로 설정됩니다.LLDP-MED 프로토콜 정보. 스위치는 LLDP-MED를 사용하여 VoIP 매개 변수를 전화기로 전달합니다. LLDP-MED를 사용하면 음성 트래픽에 태그가 지정되고 소스 자체에서 올바른 값으로 우선 순위가 지정됩니다. 예를 들어, 802.1p 서비스 등급 및 802.1Q 태그 정보를 IP 전화로 전송할 수 있습니다.
주:IP 전화가 전원 어댑터를 사용하는 경우에는 PoE 구성이 필요하지 않습니다.
토폴로지
구성
절차
CLI 빠른 구성
VoIP, LLDP-MED 및 802.1X를 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣으십시오.
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
단계별 절차
LLDP-MED 및 802.1X를 사용하여 VoIP를 구성하려면:
음성 및 데이터에 대한 VLAN을 구성합니다.
content_copy zoom_out_map[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
VLAN data-vlan 을 인터페이스와 연결합니다.
content_copy zoom_out_map[edit vlans] user@switch# set data-vlan switch-options interface ge-0/0/2.0인터페이스를 액세스 인터페이스로 구성하고, 이더넷 스위칭에 대한 지원을 구성하고, 인터페이스를 VLAN의 data-vlan 멤버로 추가합니다.
content_copy zoom_out_map[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
주:동일한 VLAN에서 데이터와 음성을 모두 구성해서는 안 됩니다. 동일한 VLAN에서 데이터 및 음성을 구성하면 구성이 수락되지 않습니다.
스위치에서 802.1X 인증을 활성화하고 다음을 수행하는 경우:
구성한 음성 VLAN은 인증 서버가 전송하는 데이터 VLAN과 동일합니다.
구성한 데이터 VLAN이 인증 서버가 전송하는 음성 VLAN과 동일하거나
인증 서버가 전송하는 데이터 VLAN과 음성 VLAN은 동일합니다
클라이언트는 HELD 상태로 이동합니다.
인터페이스에서 VoIP를 구성하고 포워딩 클래스를 지정하여
assured-forwarding가장 신뢰할 수 있는 서비스 등급을 제공합니다.content_copy zoom_out_map[edit switch—options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
LLDP-MED 프로토콜 지원 구성:
content_copy zoom_out_map[edit protocols] user@switch# set lldp-med interface ge-0/0/2
인터페이스에서 IP 전화와 IP 전화에 연결된 PC를 인증하려면 802.1X 인증 지원을 구성하고 신청자 모드를 지정합니다
multiple.주:디바이스를 인증하지 않으려면 이 인터페이스에서 802.1X 구성을 건너뜁니다.
content_copy zoom_out_map[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
결과
구성의 결과를 표시합니다.
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2;
}
dot1x {
authenticator {
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
switch-options {
interface ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
switch-options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
LLDP-MED 구성 확인
목적
인터페이스에서 LLDP-MED가 활성화되었는지 확인합니다.
작업
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
의미
출력은 show lldp detail 및 LLDP-MED 가 모두 LLDP 인터페이스에 구성되어 ge-0/0/2 있음을 보여줍니다. 출력의 끝 부분에는 지원되는 LLDP 기본 관리 TLV 및 지원되는 조직별 TLV 목록이 표시됩니다.
IP 전화기 및 데스크탑 PC에 대한 802.1X 인증 확인
목적
802.1X 구성을 표시하여 VoIP 인터페이스가 LAN에 액세스할 수 있는지 확인합니다.
작업
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
의미
필드는 Role 인터페이스가 인증자 상태임을 ge-0/0/2.0 보여줍니다. 필드는 Supplicant mode 인터페이스가 신청자 모드로 구성되어 multiple 이 인터페이스에서 여러 신청자를 인증할 수 있음을 보여줍니다. 현재 연결된 서플리컨트의 MAC 주소가 출력 하단에 표시됩니다.
인터페이스와 VLAN 연결 확인
목적
인터페이스의 VLAN 멤버십을 표시합니다.
작업
user@switch> show ethernet-switching interface ge-0/0/2.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/2.0 65535 untagged
voice-vlan 99
65535 Discarding
data-vlan 77
65535 Discarding의미
필드는 VLAN members 인터페이스가 VLAN과 voice-vlan VLAN을 data-vlan 모두 지원함을 ge-0/0/2.0 보여줍니다.
예: 802.1X 인증을 포함하지 않고 ELS를 지원하는 EX 시리즈 스위치에서 VoIP 구성
이 예에서는 Enhanced Layer 2 Software(ELS) 구성 스타일을 지원하는 EX 시리즈 스위치용 Junos OS를 사용합니다. 스위치에서 실행되는 소프트웨어가 ELS를 지원하지 않는 경우, 예: 802.1X 인증을 포함하지 않고 EX 시리즈 스위치에서 VoIP 구성. ELS 세부 사항은 Enhanced Layer 2 Software CLI 사용을 참조하십시오.
EX 시리즈 스위치에서 VoIP(Voice over IP)를 구성하여 IP 전화를 지원할 수 있습니다.
802.1X 인증을 지원하지 않는 IP 전화기를 지원하도록 EX 시리즈 스위치에서 VoIP를 구성하려면 전화기의 MAC 주소를 정적 MAC 바이패스 목록에 추가하거나 스위치에서 MAC RADIUS 인증을 활성화해야 합니다.
다음 예에서는 인증의 정적 MAC 바이패스를 사용하여 802.1X 인증 없이 EX 시리즈 스위치에서 VoIP를 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
해당 수치는 QFX5100 스위치에도 적용됩니다.
ELS를 지원하는 EX 시리즈 스위치 1개
EX 시리즈 스위치용 Junos OS 릴리스 13.2 이상
Avaya IP 전화
VoIP를 구성하기 전에 다음을 확인하십시오.
EX 시리즈 스위치를 설치합니다. 스위치에 대한 설치 정보를 참조하십시오.
초기 스위치 구성을 수행했는지 확인합니다. EX 시리즈 스위치 연결 및 구성(CLI 절차)을 참조하십시오.
스위치에서 기본 브리징 및 VLAN 구성을 수행했습니다. 예: ELS 또는 을(를) 지원하는 EX 시리즈 스위치를 위한 기본 브리징 및 VLAN 설정의 예: 스위치에서 기본 브리징 및 VLAN 설정.
802.1X 인증을 위해 RADIUS 서버를 구성하고 액세스 프로파일을 설정했습니다. 예: 802.1X용 RADIUS 서버를 EX 시리즈 스위치에 연결합니다.
(선택 사항) PoE(Power over Ethernet)를 위해 인터페이스 ge-0/0/2를 구성했습니다. VoIP 신청자가 전원 어댑터를 사용하는 경우에는 PoE 구성이 필요하지 않습니다. PoE 구성에 대한 자세한 정보는 EX 시리즈 스위치에서 PoE 인터페이스 구성을 참조하십시오.
IP 주소가 Avaya IP 전화기에 구성되지 않은 경우, 전화기는 LLDP-MED 정보를 교환하여 음성 VLAN에 대한 VLAN ID를 가져옵니다. 인터페이스에서 명령문을 구성 voip 하여 인터페이스를 VoIP 인터페이스로 지정하고 스위치가 음성 VLAN의 VLAN 이름 및 VLAN ID를 IP 전화로 전달할 수 있도록 해야 합니다. 그런 다음 IP 전화는 음성 VLAN(즉, 음성 VLAN의 ID를 참조함)을 사용하여 DHCP 검색 요청을 보내고 DHCP 서버(음성 게이트웨이)와 정보를 교환합니다.
개요
일반 전화기를 사용하는 대신 IP 전화기를 스위치에 직접 연결합니다. IP 전화에는 VoIP를 처리하는 데 필요한 모든 하드웨어와 소프트웨어가 있습니다. 또한 IP 전화를 스위치의 PoE(Power over Ethernet) 인터페이스 중 하나에 연결하여 전원을 공급할 수도 있습니다.
이 예에서는 EX 시리즈 스위치의 액세스 인터페이스 ge-0/0/2가 비 802.1X IP 전화에 연결됩니다.
802.1X 인증을 지원하지 않는 IP 전화기를 지원하기 위해 EX 시리즈 스위치에서 VoIP를 구성하려면 전화기의 MAC 주소를 인증자 데이터베이스의 정적 항목으로 추가하고 신청자 모드를 다중으로 설정합니다.
구성
절차
CLI 빠른 구성
802.1X 인증을 사용하지 않고 VoIP를 빠르게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣습니다.
[edit] set vlans data-vlan vlan-id 77 set vlans voice-vlan vlan-id 99 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan set switch-options voip interface ge-0/0/2.0 vlan voice-vlan set switch-options voip interface ge-0/0/2.0 forwarding-class assured-forwarding set protocols lldp-med interface ge-0/0/2 set protocols dot1x authenticator authentication-profile-name auth-profile set protocols dot1x authenticator static 00:04:f2:11:aa:a7 set protocols dot1x authenticator interface ge-0/0/2.0 supplicant multiple
단계별 절차
802.1X 인증 없이 VoIP를 구성하려면:
음성 및 데이터에 대한 VLAN을 구성합니다.
content_copy zoom_out_map[edit vlans] user@switch# set data-vlan vlan-id 77 user@switch# set voice-vlan vlan-id 99
인터페이스를 액세스 인터페이스로 구성하고, 이더넷 스위칭에 대한 지원을 구성하고, 인터페이스를 VLAN의
data-vlan멤버로 추가합니다.content_copy zoom_out_map[edit interfaces] user@switch# set ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@switch# set ge-0/0/2 unit 0 family ethernet-switching vlan members data-vlan
주:동일한 VLAN에서 데이터와 음성을 모두 구성해서는 안 됩니다. 동일한 VLAN에서 데이터 및 음성을 구성하면 구성이 수락되지 않습니다.
인터페이스에서 VoIP를 구성하고 포워딩 클래스를 지정하여
assured-forwarding가장 신뢰할 수 있는 서비스 등급을 제공합니다.content_copy zoom_out_map[edit switch-options] user@switch# set voip interface ge-0/0/2.0 vlan voice-vlan user@switch# set voip interface ge-0/0/2.0 forwarding-class assured-forwarding
LLDP-MED 프로토콜 지원 구성:
content_copy zoom_out_map[edit protocols] user@switch# set lldp-med interface ge-0/0/2
이름으로
auth-profile인증 프로파일을 설정합니다( 802.1X 인터페이스 설정 구성(CLI 절차) 및 802.1X RADIUS 계정 구성(CLI 절차) 참조).content_copy zoom_out_map[edit protocols] user@switch# set dot1x authenticator authentication-profile-name auth-profile
전화기의 MAC 주소를 정적 MAC 바이패스 목록에 추가합니다.
content_copy zoom_out_map[edit protocols] user@switch# set dot1x authenticator static 00:04:f2:11:aa:a7
요청자 모드를 multiple로 설정합니다.
content_copy zoom_out_map[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/2.0 supplicant multiple
결과
구성의 결과를 표시합니다.
[edit]
user@switch# show configuration
interfaces {
ge-0/0/2 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data-vlan;
}
}
}
}
}
protocols {
lldp-med {
interface ge-0/0/2;
}
dot1x {
authenticator {
authentication-profile-name auth-profile;
static {
00:04:f2:11:aa:a7;
}
}
interface {
ge-0/0/2.0 {
supplicant multiple;
}
}
}
}
vlans {
data-vlan {
vlan-id 77;
switch-options {
interface ge-0/0/2.0;
}
}
voice-vlan {
vlan-id 99;
}
}
switch-options {
voip {
interface ge-0/0/2.0 {
vlan voice-vlan;
forwarding-class assured-forwarding;
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
LLDP-MED 구성 확인
목적
인터페이스에서 LLDP-MED가 활성화되었는지 확인합니다.
작업
user@switch> show lldp detail LLDP : Enabled Advertisement interval : 30 seconds Transmit delay : 2 seconds Hold timer : 120 seconds Notification interval : 0 Second(s) Config Trap Interval : 0 seconds Connection Hold timer : 300 seconds LLDP MED : Enabled MED fast start count : 3 Packets Port ID TLV subtype : locally-assigned Interface Parent Interface LLDP LLDP-MED Power Negotiation Neighbor count all - Enabled Enabled Enabled 0 ge-0/0/2 - - Enabled - 0 Interface Parent Interface Vlan-id Vlan-name ge-0/0/0 - 1 vlan-1 ge-0/0/1 - 1 vlan-1 ge-0/0/2 - 77 vlan-77 ge-0/0/2 - 99 vlan-99 ge-0/0/3 - 1 vlan-1 ge-0/0/4 - 1 vlan-1 ge-0/0/5 - 1 vlan-1 ge-0/0/6 - 1 vlan-1 ge-0/0/7 - 1 vlan-1 ge-0/0/8 - 1 vlan-1 ge-0/0/9 - 1 vlan-1 ge-0/0/10 - 1 vlan-1 Basic Management TLVs supported: End Of LLDPDU, Chassis ID, Port ID, Time To Live, Port Description, System Name, System Description, System Capabilities, Management Address Organizationally Specific TLVs supported: MAC/PHY configuration/status, Power via MDI, Link aggregation, Maximum Frame Size, Port VLAN tag, Port VLAN name.
의미
명령 출력은 show lldp detail LLDP와 LLDP-MED가 모두 인터페이스에 구성되어 ge-0/0/2 있음을 보여줍니다. 출력의 끝 부분에는 지원되는 LLDP 기본 관리 TLV 및 지원되는 조직별 TLV 목록이 표시됩니다.
데스크탑 PC에 대한 인증 확인
목적
IP 전화를 통해 VoIP 인터페이스에 연결된 데스크탑 PC의 802.1X 구성을 표시합니다.
작업
user@switch> show dot1x interface ge/0/0/2.0 detail
ge-0/0/2.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
의미
필드는 Role 인터페이스가 인증자 역할에 있음을 ge-0/0/2.0 보여줍니다. 필드는 Supplicant Mode 인터페이스가 신청자 모드로 구성되어 multiple 이 인터페이스에서 여러 신청자를 인증할 수 있음을 보여줍니다. 현재 연결된 서플리컨트의 MAC 주소가 출력 하단에 표시됩니다.
인터페이스와 VLAN 연결 확인
목적
인터페이스의 VLAN 멤버십을 표시합니다.
작업
user@switch> show ethernet-switching interface ge-0/0/2.0
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/2.0 65535 untagged
voice-vlan 99
65535 Discarding
data-vlan 77
65535 Discarding의미
Vlan members 필드는 인터페이스가 VLAN과 voice-vlan VLAN을 data-vlan 모두 지원함을 ge-0/0/2.0 보여줍니다.
