Autenticación 802.1X
Autenticación 802.1X
Los teléfonos IP de Cisco usan Cisco Discovery Protocol (CDP) para identificar el switch LAN y determinar
parámetros tales como la asignación de VLAN y los requisitos energéticos internos. CDP no identifica
localmente las estaciones de trabajo conectadas. Los teléfonos IP de Cisco proporcionan un mecanismo de
pasarela EAPOL. Este mecanismo permite a una estación de trabajo conectada al teléfono IP de Cisco transferir
mensajes EAPOL al autenticador 802.1X en el switch LAN. El mecanismo de pasarela garantiza que el teléfono
IP actúa como switch LAN para autenticar un terminal de datos antes de acceder a la red.
Los teléfonos IP de Cisco también incluyen un mecanismo de cierre de sesión de EAPOL por proxy. En caso
de que el PC conectado localmente se desconecte del teléfono IP, el switch de LAN no sufre un error de enlace
físico, ya que el enlace entre este switch LAN y el teléfono IP se conserva. Para evitar poner en peligro la
integridad de la red, el teléfono IP envía un mensaje de cierre de sesión de EAPOL al switch en nombre del
PC conectado más adelante, lo que desencadena que el switch LAN borre la entrada de autenticación de ese
PC.
Para la compatibilidad con la autenticación 802.1X se requieren varios componentes:
• Teléfono IP de Cisco: el teléfono inicia la solicitud para acceder a la red. Los teléfonos IP de Cisco
• Cisco Secure Access Control Server (ACS) u otro servidor de autenticación de terceros: tanto el servidor
• Un switch LAN compatible con 802.1X: el switch actúa como autenticador y transfiere los mensajes
Debe llevar a cabo las acciones siguientes para configurar 802.1X.
• Configurar los demás componentes antes de habilitar la autenticación 802.1X en el teléfono.
• Configurar el puerto PC: el estándar 802.1X no tiene en cuenta las VLAN y, por lo tanto, se recomienda
• Configurar VLAN de voz: dado que el estándar 802.1X no tiene en cuenta la VLAN, debe configurar
Guía de administración de los teléfonos IP multiplataforma de la serie 7800 de Cisco para la versión de firmware 11.3(1) y posteriores
146
incluyen un solicitante de 802.1X. Este solicitante permite a los administradores de red controlar la
conectividad de los teléfonos IP con los puertos switch de LAN. La versión actual del solicitante 802.1X
del teléfono usa las opciones EAP-FAST y EAP-TLS para la autenticación de red.
de autenticación como el teléfono deben estar configurados con un secreto compartido que autentique
el teléfono.
entre el teléfono y el servidor de autenticación. Cuando se completa el intercambio, el switch otorga o
deniega el acceso del teléfono a la red.
que solo se autentique un único dispositivo en un puerto switch específico. Sin embargo, algunos switches
admiten la autenticación multidominio. La configuración del switch determina si es posible conectar un
PC al puerto PC del teléfono.
• Sí: si usa un switch que admite la autenticación multidominio, puede activar el puerto PC y conectar
en él un PC. En tal caso, los teléfonos IP de Cisco admiten el cierre de sesión de EAPOL por proxy
para supervisar los intercambios de autenticación entre el switch y el PC conectado.
• No: si el switch no admite varios dispositivos 802.1X en el mismo puerto, debe desactivar el puerto
PC en caso de que la autenticación 802.1X esté activada. Si no desactiva este puerto e intenta conectar
en él un PC, el switch deniega el acceso a red tanto del teléfono como del PC.
este ajuste según la compatibilidad del switch.
• Activado: si usa un switch que admita la autenticación multidominio, puede continuar usando la
VLAN de voz.
Configuración del teléfono IP de Cisco