Switches de LAN : Segurança de LAN

Exemplo de Configuração de Autenticação de Domínios Múltiplos IEEE 802.1x em Switches de Configuração Fixa da Camada 3 Cisco Catalyst

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (27 Agosto 2007) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Informações de Apoio
Configuração
      Diagrama de Rede
      Configuração do Catalyst Switch para Autenticação de Domínios Múltiplos 802.1x
      Configuração do Servidor RADIUS
      Configuração de Clientes PC para Uso da Autenticação 802.1x
      Configuração de IP Phones para Uso da Autenticação 802.1x
Verificação
      Clientes PC
      IP Phones
      Switch da Camada 3
Troubleshooting
      Falha na Autenticação do IP Phone
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Uma Autenticação de Domínios Múltiplos permite que um IP Phone e um PC autentiquem na mesma porta de switch enquanto são colocados nas VLANs de voz e dados apropriadas. Este documento explica como configurar a Autenticação de Domínios Múltiplos (MDA) IEEE 802.1x em switches de configuração fixa da Camada 3 Cisco Catalyst.

Pré-requisitos

Requisitos

Verifique se você atende a estes requisitos antes de tentar esta configuração:

Componentes Utilizados

As informações neste documento baseiam-se nestas versões de software e hardware:

  • Cisco Catalyst 3560 Series Switch com Cisco IOS® Software Release 12.2(37)SE1

    Nota: O suporte à Autenticação de Domínios Múltiplos está disponível somente no Cisco IOS Software Release 12.2(35)SE e posterior.

  • Este exemplo usa o Cisco Secure Access Control Server (ACS) 4.1 como o servidor RADIUS.

    Nota: Um servidor RADIUS deve ser especificado antes de você ativar o 802.1x no switch.

  • Clientes PC que oferecem suporte à autenticação 802.1x

    Nota: Este exemplo usa clientes Microsoft Windows XP.

  • Cisco Unified IP Phone 7970G com firmware SCCP versão 8.2(1)

  • Cisco Unified IP Phone 7961G com firmware SCCP versão 8.2(2)

  • Media Covergence Server (MCS) com Cisco Unified Communications Manager (Cisco CallManager) 4.1(3)sr2

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser utilizada com o seguinte hardware:

  • Cisco Catalyst 3560-E Series Switch

  • Cisco Catalyst 3750 Series Switch

  • Cisco Catalyst 3750-E Series Switch

Nota: O Cisco Catalyst 3550 Series Switch não oferece suporte à Autenticação de Domínios Múltiplos 802.1x.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

O padrão IEEE 802.1x define um controle de acesso baseado em cliente-servidor e um protocolo de autenticação que restringe a conexão de dispositivos não autorizados a uma LAN através de portas acessíveis publicamente. 802.1x controla o acesso à rede pela criação de dois pontos de acesso virtuais distintos em cada porta. Um ponto de acesso é uma porta não controlada; o outro é uma porta controlada. Todo tráfego através da porta única está disponível para ambos os pontos de acesso. O padrão 802.1x autentica cada dispositivo de usuário conectado a uma porta do switch e atribui a porta a uma VLAN antes de disponibilizar serviços oferecidos pelo switch ou pela LAN. Até que o dispositivo seja autenticado, o controle de acesso do padrão 802.1x permitirá somente o tráfego Extensible Authentication Protocol sobre LAN (EAPOL) através da porta à qual o dispositivo está conectado. Após o êxito na autenticação, o tráfego normal poderá passar através da porta.

O padrão 802.1x é composto de três componentes principais. Cada um é referido como uma Entidade de Acesso de Porta (PAE).

  • Suplicante — Dispositivo cliente que solicita acesso à rede, por exemplo IP Phones e PCs conectados

  • Autenticador — Dispositivo de rede que facilita as solicitações de autorização do Suplicante, por exemplo, Cisco Catalyst 3560

  • Servidor de Autenticação — Um Remote Authentication Dial-in User Server (RADIUS), que fornece serviço de autenticação, por exemplo, Cisco Secure Access Control Server

Os Cisco Unified IP Phones também contém um suplicante 802.1X. Esse suplicante permite que os administradores de rede controlem a conectividade dos IP Phones às portas de switches da LAN. A versão inicial do suplicante 802.1X do IP Phone implementa a opção EAP-MD5 para autenticação 802.1X. Em uma configuração de domínios múltiplos, o IP Phone e o PC conectado devem solicitar independentemente acesso à rede pela especificação de um nome de usuário e senha. O dispositivo Autenticador pode necessitar de informações de atributos chamados do RADIUS. Esses atributos especificam informações de autorização adicionais, por exemplo, se o acesso a uma VLAN específica é permitido para um Suplicante. Eles podem ser específicos para cada fornecedor. A Cisco usa o atributo cisco-av-pair do RADIUS para informar ao Autenticador (Cisco Catalyst 3560) que um Suplicante (IP Phone) é permitido na VLAN de voz.

Configuração

Nesta seção, você encontrará informações para configurar o recurso de autenticação de domínios múltiplos 802.1x descrito neste documento.

Essa configuração requer a execução dos seguintes passos:

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados neste documento.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

8021x-cat-layer3-01.gif

  • Servidor RADIUS — Executa a autenticação real do cliente. O servidor RADIUS valida a identidade do cliente e notifica o switch se o cliente está ou não autorizado a acessar os serviços do switch e da LAN. Aqui, o Cisco ACS está instalado e configurado em um Media Covergence Server (MCS) para autenticação e atribuição da VLAN. O MCS também é o servidor TFTP e o Cisco Unified Communications Manager (Cisco CallManager) para IP Phones.

  • Switch — Controla o acesso físico à rede com base no status de autenticação do cliente. O switch age como um intermediário (proxy) entre o cliente e o servidor RADIUS. Ele solicita informações de identidade do cliente, verifica essas informações com o servidor RADIUS e transmite a resposta ao cliente. Aqui, o Catalyst 3560 Switch também está configurado como um servidor DHCP. O suporte à autenticação 802.1x para o Dynamic Host Configuration Protocol (DHCP) permite que o servidor DHCP atribua endereços IP a diferentes classes de usuários finais. Para fazer isso, ele adiciona a identidade do usuário autenticado ao processo de descoberta do DHCP. As portas FastEthernet 0/1 e 0/4 são as únicas portas configuradas para autenticação de domínios múltiplos 802.1x. As portas FastEthernet 0/2 e 0/3 estão no modo de host único 802.1x padrão. A porta FastEthernet 0/24 conecta ao servidor RADIUS.

    Nota: Se você usar um servidor DHCP externo, não esqueça de adicionar o comando ip helper-address à interface SVI (vlan), na qual o cliente reside, que aponta para o servidor DHCP.

  • Clientes — Dispositivos, por exemplo, IP Phones ou Estações de Trabalho, que solicitam acesso aos serviços da LAN e do switch e respondem a solicitações do switch. Aqui os clientes estão configurados para obter o endereço IP de um servidor DHCP. Os dispositivos M-1, M-2, S-1 e S-2 são clientes de estação de trabalho que solicitam acesso à rede. P-1 e P-2 são os clientes de IP Phone que solicitam acesso à rede. M-1, M-2 e P-1 são dispositivos clientes no departamento de marketing. S-1, S-2 e P-2 são dispositivos clientes no departamento de vendas. Os IP Phones P-1 e P-2 estão configurados para a mesma VLAN (VLAN 3) de voz. As estações de trabalho M-1 e M-2 são configuradas para a mesma VLAN (VLAN 4) de dados após o êxito na autenticação. As estações de trabalho S-1 e S-2 também são configuradas para a mesma VLAN (VLAN 5) de dados após o êxito na autenticação.

    Nota: Você pode usar a atribuição dinâmica de VLANs de um servidor RADIUS somente para dispositivos de dados.

Configuração do Catalyst Switch para Autenticação de Domínios Múltiplos 802.1x

Este exemplo de configuração de switch inclui:

  • Como ativar a autenticação de domínios múltiplos 802.1x nas portas do switch

  • Configuração relacionada ao servidor RADIUS

  • Configuração do servidor DHCP para atribuição de endereços IP

  • Roteamento entre VLANs para conectividade entre clientes após autenticação

Consulte Usando a Autenticação de Domínios Múltiplos para obter mais informações sobre as diretrizes para configurar a MDA.

Nota: Certifique-se de que o servidor RADIUS sempre se conecte por trás de um porta autorizada.

Nota Somente as configurações relevantes são mostradas aqui.

Cat-3560

Switch#configure terminal
Switch(config)#hostname Cat-3560

!--- Define o nome de host do switch.

Cat-3560(config)#vlan 2
Cat-3560(config-vlan)#name SERVER
Cat-3560(config-vlan)#vlan 3
Cat-3560(config-vlan)#name VOICE
Cat-3560(config-vlan)#vlan 4
Cat-3560(config-vlan)#name MARKETING
Cat-3560(config-vlan)#vlan 5
Cat-3560(config-vlan)#name SALES
Cat-3560(config-vlan)#vlan 6
Cat-3560(config-vlan)#name GUEST_and_AUTHFAIL

!--- A VLAN já deve existir no switch para uma autenticação bem-sucedida.

Cat-3560(config-vlan)#exit
Cat-3560(config)#interface vlan 2
Cat-3560(config-if)#ip address 172.16.2.1 255.255.255.0
Cat-3560(config-if)#no shut

!--- Este é o endereço do gateway do servidor RADIUS.

Cat-3560(config-if)#interface vlan 3
Cat-3560(config-if)#ip address 172.16.3.1 255.255.255.0
Cat-3560(config-if)#no shut

!--- Este é o endereço do gateway dos clientes IP Phone na VLAN 3.

Cat-3560(config-if)#interface vlan 4
Cat-3560(config-if)#ip address 172.16.4.1 255.255.255.0
Cat-3560(config-if)#no shut

!--- Este é o endereço do gateway dos clientes PC na VLAN 4.

Cat-3560(config-if)#interface vlan 5
Cat-3560(config-if)#ip address 172.16.5.1 255.255.255.0
Cat-3560(config-if)#no shut

!--- Este é o endereço do gateway dos clientes PC na VLAN 5.

Cat-3560(config-if)#exit
Cat-3560(config)#ip routing

!--- Ativa o roteamento IP o roteamento entre VLANs.

Cat-3560(config)#interface range fastEthernet 0/1 - 4
Cat-3560(config-if-range)#shut
Cat-3560(config-if-range)#exit
Cat-3560(config)#interface fastEthernet 0/24
Cat-3560(config-if)#switchport mode access
Cat-3560(config-if)#switchport access vlan 2

!--- Esta é uma VLAN dedicada para o servidor RADIUS.

Cat-3560(config-if)#spanning-tree portfast
Cat-3560(config-if)#exit
Cat-3560(config)#interface range fastEthernet 0/1 , fastEthernet 0/4
Cat-3560(config-if-range)#switchport mode access
Cat-3560(config-if-range)#switchport voice vlan 3

!--- Você deverá configurar a VLAN de voz para o IP phone quando o
!--- modo do host estiver definido como domínios múltiplos.
!--- Nota: Se você usar uma VLAN dinâmica para atribuir uma VLAN de voz
!--- em uma porta de switch com suporte a MDA, a autorização do dispositivo de voz falhará.

Cat-3560(config-if-range)#dot1x port-control auto

!--- Ativa a autenticação IEEE 802.1x na porta.

Cat-3560(config-if-range)#dot1x host-mode multi-domain

!--- Permite que um host e um dispositivo de voz sejam
!--- autenticados em uma porta com autorização IEEE 802.1x.

Cat-3560(config-if-range)#dot1x guest-vlan 6
Cat-3560(config-if-range)#dot1x auth-fail vlan 6

!--- Os recursos da VLAN convidada e da VLAN restrita se aplicam somente aos dispositivos de dados
!--- em uma porta com suporte a MDA.

Cat-3560(config-if-range)#dot1x reauthentication

!--- Ativa a reautenticação períodica do cliente.

Cat-3560(config-if-range)#dot1x timeout reauth-period 60

!--- Define o número de segundos entre as tentativas de reautenticação.

Cat-3560(config-if-range)#dot1x auth-fail max-attempts 2

!--- Especifica o número de tentativas de autenticação que serão permitidas
!--- antes que uma porta seja movida para a VLAN restrita.

Cat-3560(config-if-range)#exit
Cat-3560(config)#interface range fastEthernet 0/2 - 3
Cat-3560(config-if-range)#switchport mode access
Cat-3560(config-if-range)#dot1x port-control auto

!--- Por padrão, uma porta autorizada 802.1x permite somente um único cliente.

Cat-3560(config-if-range)#dot1x guest-vlan 6
Cat-3560(config-if-range)#dot1x auth-fail vlan 6
Cat-3560(config-if-range)#dot1x reauthentication
Cat-3560(config-if-range)#dot1x timeout reauth-period 60
Cat-3560(config-if-range)#dot1x auth-fail max-attempts 2
Cat-3560(config-if-range)#spanning-tree portfast
Cat-3560(config)#ip dhcp pool IP-Phones
Cat-3560(dhcp-config)#network 172.16.3.0 255.255.255.0
Cat-3560(dhcp-config)#default-router 172.16.3.1
Cat-3560(dhcp-config)#option 150 ip 172.16.2.201

!--- Este pool atribui endereços IP a IP Phones.
!--- A opção 150 se aplica ao servidor TFTP.

Cat-3560(dhcp-config)#ip dhcp pool Marketing
Cat-3560(dhcp-config)#network 172.16.4.0 255.255.255.0
Cat-3560(dhcp-config)#default-router 172.16.4.1

!--- Este pool atribui endereços IP a clientes PC no departamento Marketing.

Cat-3560(dhcp-config)#ip dhcp pool Sales
Cat-3560(dhcp-config)#network 172.16.5.0 255.255.255.0
Cat-3560(dhcp-config)#default-router 172.16.5.1

!--- Este pool atribui endereços IP a clientes PC no departamento Vendas.

Cat-3560(dhcp-config)#exit
Cat-3560(config)#ip dhcp excluded-address 172.16.3.1
Cat-3560(config)#ip dhcp excluded-address 172.16.4.1
Cat-3560(config)#ip dhcp excluded-address 172.16.5.1
Cat-3560(config)#aaa new-model
Cat-3560(config)#aaa authentication dot1x default group radius

!---  A lista de métodos deve ser padrão. Caso contrário, dot1x não funcionará.

Cat-3560(config)#aaa authorization network default group radius

!--- Você precisa de autorização para atribuição de VLAN dinâmica para trabalhar com o RADIUS.

Cat-3560(config)#radius-server host 172.16.2.201 key CisCo123

!--- A chave deve corresponder à chave usada no servidor RADIUS.

Cat-3560(config)#dot1x system-auth-control

!--- Ativa o 802.1x globalmente.

Cat-3560(config)#interface range fastEthernet 0/1 - 4
Cat-3560(config-if-range)#no shut
Cat-3560(config-if-range)#^Z
Cat-3560#show vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                Fa0/21, Fa0/22, Fa0/23, Gi0/1
                                                Gi0/2
2    SERVER                           active    Fa0/24
3    VOICE                            active    Fa0/1, Fa0/4
4    MARKETING                        active
5    SALES                            active
6    GUEST_and_AUTHFAIL               active
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Configuração do Servidor RADIUS

O servidor RADIUS está configurado com um endereço IP estático 172.16.2.201/24. Execute estes passos para configurar o servidor RADIUS para um cliente AAA:

  1. Clique em Network Configuration na janela de administração do ACS para configurar um cliente AAA.

  2. Clique em Add Entry na seção de clientes AAA.

    8021x-cat-layer3-02.gif

  3. Configure o nome de host do cliente AAA, o endereço IP, a chave secreta compartilhada e o tipo de autenticação como:

    • Nome de host do cliente AAA = Nome de host do switch (Cat-3560).

    • Endereço IP do cliente AAA = Endereço IP da interface de gerenciamento do switch (172.16.2.1).

    • Segredo Compartilhado = Chave RADIUS configurada no switch (CisCo123).

      Nota: Para operação correta, a chave secreta compartilhada deve ser idêntica no cliente AAA e no ACS. As chaves diferenciam maiúsculas de minúsculas.

    • Autenticar Usando = RADIUS (Cisco IOS/PIX 6.0).

      Nota: O atributo de par Cisco Attribute-Value (AV) está disponível nesta opção.

  4. Clique em Submit + Apply para efetivar essas alterações, como mostrado neste exemplo:

    8021x-cat-layer3-03.gif

Configuração de Grupo

Consulte esta tabela para configurar o servidor RADIUS para autenticação.

Dispositivo

Departamento

Grupo

Usuário

Senha

VLAN

Pool do DHCP

M-1

Marketing

Marketing

mkt-manager

MMcisco

MARKETING

Marketing

M-2

Marketing

Marketing

mkt-staff

MScisco

MARKETING

Marketing

S-2

Sales

Sales

sales-manager

SMcisco

SALES

Sales

S-1

Sales

Sales

sales-staff

SScisco

SALES

Sales

P-1

Marketing

IP Phones

CP-7970G-SEP001759E7492C

P1cisco

VOICE

IP-Phones

P-2

Sales

IP Phones

CP-7961G-SEP001A2F80381F

P2cisco

VOICE

IP-Phones

Crie grupos para os clientes que conectam às VLANs 3 (VOICE), 4 (MARKETING) e 5 (SALES). Aqui os grupos IP Phones, Marketing e Sales são criados com esta finalidade.

Nota: Esta é a configuração dos grupos Marketing e IP Phones. Para a configuração do grupo Sales, execute estes passos para o grupo Marketing.

  1. Para criar um grupo, escolha Group Setup e renomeie o nome de grupo padrão.

    8021x-cat-layer3-04.gif

  2. Para configurar um grupo, escolha o grupo na lista e clique em Edit Settings

    8021x-cat-layer3-05.gif

  3. Defina a atribuição do endereço IP do cliente como Assigned by AAA client pool. Insira o nome do pool de endereços IP configurado no switch para estes clientes de grupo.

    8021x-cat-layer3-06.gif

    Nota: Escolha esta opção e digite o nome do pool de IPs de clientes AAA na caixa, somente se o endereço IP deste usuário deve ser atribuído por um pool de endereços IP configurado no cliente AAA.

    Nota: Somente para a configuração do grupo IP Phones, ignore o próximo passo, passo 4 e vá para o passo 5.

  4. Defina os atributos de Internet Engineering Task Force (IETF) 64, 65 e 81 e, em seguida, clique em Submit + Restart.

    Certifique-se de que as marcas dos valores estejam definidas como 1, como mostrado neste exemplo. O Catalyst ignora qualquer marca diferente de 1. Para atribuir um usuário a uma VLAN específica, você deverá definir o atributo 81 com um nome ou número de VLAN correspondente.

    Nota: Se você usar o nome da VLAN, ele deverá ser exatamente igual ao configurado no switch.

    8021x-cat-layer3-07.gif

    Nota:  Consulte RFC 2868: Atributos do RADIUS para Suporte ao Tunnel Protocol leavingcisco.com para obter mais informações sobre estes atributos IETF.

    Nota: Na configuração inicial do servidor ACS, talvez os atributos RADIUS IETF não sejam exibidos em User Setup. Para ativar os atributos IETF nas telas de configuração dos usuários, escolha Interface configuration > RADIUS (IETF). Em seguida, selecione os atributos 64, 65 e 81 nas colunas User e Group.

    Nota: Se você não definir o atributo IETF 81 e a porta pertencer a um switch no modo de acesso, o cliente será atribuído à VLAN de acesso da porta. Se você tiver definido o atributo 81 para atribuição dinâmica de VLAN e a porta pertencer a um switch no modo de acesso, você precisará executar o comando aaa authorization network default group radius no switch. Este comando atribui a porta à VLAN que o servidor de RADIUS fornece. Caso contrário, 802.1x moverá a porta para o estado AUTHORIZED após a autenticação do usuário, mas a porta ainda estará na VLAN padrão da porta, e poderá haver falha na conectividade.

    Nota: O próximo passo é aplicável somente ao grupo IP Phones.

  5. Configure o servidor RADIUS para enviar um atributo de par Cisco Attribute-Value (AV) para autorizar um dispositivo de voz. Sem isso, o switch tratará o dispositivo de voz como um dispositivo de dados. Defina o atributo de par Cisco Attribute-Value (AV) com um valor de device-traffic-class=voice e clique em Submit + Restart.

    8021x-cat-layer3-08.gif

Configuração do Usuário

Execute estes passos para adicionar e configurar um usuário.

  1. Para adicionar e configurar usuários, escolha User Setup. Insira o nome de usuário e clique em Add/Edit

    8021x-cat-layer3-09.gif

  2. Defina o nome de usuário, a senha e o grupo para o usuário.

    8021x-cat-layer3-10.gif

  3. O IP Phone usa a sua ID de dispositivo como o nome de usuário e o segredo compartilhado como a senha para autenticação. Esses valores devem coincidir no servidor RADIUS. Para os IP Phones P-1 e P-2, crie nomes de usuários iguais às suas IDs de dispositivo e senhas iguais ao segredo compartilhado configurado. Consulte a seção Configuração de IP Phones para Uso da Autenticação 802.1x para obter mais informações sobre a ID de Dispositivo e o Segredo Compartilhado em um IP Phone.

    8021x-cat-layer3-101.gif

Configuração de Clientes PC para Uso da Autenticação 802.1x

Este exemplo é especifico ao protocolo EAP do Microsoft Windows XP sobre cliente de LAN (EAPOL):

  1. Escolha Start > Control Panel > Network Connections, clique com o botão direito do mouse na sua Local Area Connection e escolha Properties.

  2. Marque Show icon in notification area when connected na guia General.

  3. Na guia Authentication, marque Enable IEEE 802.1x authentication for this network.

  4. Defina o tipo de EAP para MD5-Challenge, como mostrado neste exemplo:

    8021x-cat-layer3-11.gif

Execute estes passos para configurar os clientes para obtenção de endereços IP de um servidor DHCP.

  1. Escolha Start > Control Panel > Network Connections, clique com o botão direito do mouse na sua Local Area Connection e escolha Properties.

  2. Na guia General, clique em Internet Protocol (TCP/IP) e, em seguida, Properties.

  3. Escolha Obtain an IP address automatically.

    8021x-cat-layer3-12.gif

Configuração de IP Phones para Uso da Autenticação 802.1x

Execute estes passos para configurar os IP Phones para autenticação 802.1x.

  1. Pressione o botão Settings para acessar as configurações 802.1X Authentication e escolha Security Configuration > 802.1X Authentication > Device Authentication.

  2. Defina a opção Device Authentication como Enabled.

  3. Pressione Save.

  4. Escolha 802.1X Authentication > EAP-MD5 > Shared Secret para definir uma senha no telefone.

  5. Insira o segredo compartilhado e pressione Save.

    Nota: A senha deve possuir entre 6 e 32 caracteres e pode ser uma combinação qualquer de números ou letras. A mensagem That key is not active here é exibida e a senha não será salva se esta condição não for satisfeita.

    Nota: Se você desativar a autenticação 802.1X ou executar uma redefinição de fábrica no telefone, o segredo compartilhado de MD5 configurado anteriormente será excluído.

    Nota: As outras opções, Device ID e Realm não podem ser configuradas. Device ID é usada como o nome de usuário para a autenticação 802.1x. Isso é derivado do número do modelo do telefone e endereço MAC exclusivo exibido no formato: CP-<modelo>-SEP-<MAC>. Por exemplo, CP-7970G-SEP001759E7492C. Consulte Configurações de Autenticação 802.1X para obter mais informações.

Execute estes passos para configurar o IP Phone para obtenção do endereço IP de um servidor DHCP.

  1. Pressione o botão Settings para acessar as configurações Network Configuration e escolha Network Configuration.

  2. Desbloqueie as opções de Network Configuration. Para desbloquear, pressione **#.

    Nota:  Não pressione **# para desbloquear as opções e, em seguida, pressione **# imediatamente novamente para bloquear as opções. O telefone interpreta esta seqüência como **#**, que redefine o telefone. Para bloquear as opções após desbloqueá-las, aguarde pelo menos 10 segundos antes de pressionar **# novamente.

  3. Role para a opção DHCP Enabled e pressione Yes para ativar o DHCP.

  4. Pressione Save.

Verificação

Utilize esta seção para confirmar se a sua configuração está funcionando corretamente.

Clientes PC

Se você tiver concluído a configuração corretamente, os clientes PC exibirão um prompt pop-up para a inserção de um nome de usuário e uma senha.

  1. Clique no prompt mostrado neste exemplo:

    8021x-cat-layer3-13.gif

    Uma janela para a inserção do nome de usuário e da senha será exibida.

    Nota: O MDA não impõe a ordem da autenticação de dispositivos. Entretanto, para obter melhores resultados, a Cisco recomenda que um dispositivo de voz seja autenticado antes que um dispositivo de dados em uma porta com suporte a MDA.

  2. Insira o nome de usuário e a senha.

    8021x-cat-layer3-14.gif

  3. Se nenhuma mensagem de erro for exibida, verifique a conectividade com os métodos usuais, como acesso a recursos de rede e com ping.

    Nota: Se este erro for exibido, verifique se o nome de usuário e a senha estão corretos:

    8021x-cat-layer3-15.gif

IP Phones

O menu 802.1X Authentication Status nos IP Phones permite monitorar o status da autenticação.

  1. Pressione o botão Settings para acessar 802.1X Authentication Real-Time Stats e escolha Security Configuration > 802.1X Authentication Status.

  2. A opção Transaction Status deve ser Authenticated. Consulte Status em Tempo Real da Autenticação 802.1X para obter mais informações.

    Nota: O status da autenticação também pode ser verificado de Settings > Status > Status Messages.

Switch da Camada 3

Se a senha e o nome de usuário forem exibidos corretamente, verifique o estado da porta 802.1x no switch.

  1. Procure um status de porta que indique AUTHORIZED.

    Cat-3560#show dot1x all summary
    Interface       PAE     Client          Status
    --------------------------------------------------------
    Fa0/1           AUTH    0016.3633.339c  AUTHORIZED
                            0017.59e7.492c  AUTHORIZED
    Fa0/2           AUTH    0014.5e94.5f99  AUTHORIZED
    Fa0/3           AUTH    0011.858D.9AF9  AUTHORIZED
    Fa0/4           AUTH    0016.6F3C.A342  AUTHORIZED
                            001a.2f80.381f  AUTHORIZED
    
    
    Cat-3560#show dot1x interface fastEthernet 0/1 details
    
    Dot1x Info for FastEthernet0/1
    -----------------------------------
    PAE                       = AUTHENTICATOR
    PortControl               = AUTO
    ControlDirection          = Both
    HostMode                  = MULTI_DOMAIN
    ReAuthentication          = Enabled
    QuietPeriod               = 10
    ServerTimeout             = 30
    SuppTimeout               = 30
    ReAuthPeriod              = 60 (Locally configured)
    ReAuthMax                 = 2
    MaxReq                    = 2
    TxPeriod                  = 30
    RateLimitPeriod           = 0
    Auth-Fail-Vlan            = 6
    Auth-Fail-Max-attempts    = 2
    Guest-Vlan                = 6
    
    Dot1x Authenticator Client List
    -------------------------------
    Domain                    = DATA
    Supplicant                = 0016.3633.339c
        Auth SM State         = AUTHENTICATED
        Auth BEND SM State    = IDLE
    Port Status               = AUTHORIZED
    ReAuthPeriod              = 60
    ReAuthAction              = Reauthenticate
    TimeToNextReauth          = 29
    Authentication Method     = Dot1x
    Authorized By             = Authentication Server
    Vlan Policy               = 4
    
    Domain                    = VOICE
    Supplicant                = 0017.59e7.492c
        Auth SM State         = AUTHENTICATED
        Auth BEND SM State    = IDLE
    Port Status               = AUTHORIZED
    ReAuthPeriod              = 60
    ReAuthAction              = Reauthenticate
    TimeToNextReauth          = 15
    Authentication Method     = Dot1x
    Authorized By             = Authentication Server
    

    Verifique o status da VLAN após o êxito da autenticação.

    Cat-3560#show vlan
    
    VLAN Name                             Status    Ports
    ---- -------------------------------- --------- -------------------------------
    1    default                          active    Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                    Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                    Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                    Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                    Fa0/21, Fa0/22, Fa0/23, Gi0/1
                                                    Gi0/2
    2    SERVER                           active    Fa0/24
    3    VOICE                            active    Fa0/1, Fa0/4
    4    MARKETING                        active    Fa0/1, Fa0/2
    5    SALES                            active    Fa0/3, Fa0/4
    6    GUEST_and_AUTHFAIL               active
    1002 fddi-default                     act/unsup
    1003 token-ring-default               act/unsup
    1004 fddinet-default                  act/unsup
    1005 trnet-default                    act/unsup
    
    !--- Saída suprimida.
    
    
  2. Verifique o status de ligação do DHCP após o êxito da autenticação.

    Router#show ip dhcp binding
    IP address       Hardware address        Lease expiration        Type
    172.16.3.2       0100.1759.e749.2c       Aug 24 2007 06:35 AM    Automatic
    172.16.3.3       0100.1a2f.8038.1f       Aug 24 2007 06:43 AM    Automatic
    172.16.4.2       0100.1636.3333.9c       Aug 24 2007 06:50 AM    Automatic
    172.16.4.3       0100.145e.945f.99       Aug 24 2007 08:17 AM    Automatic
    172.16.5.2       0100.166F.3CA3.42       Aug 24 2007 08:23 AM    Automatic
    172.16.5.3       0100.1185.8D9A.F9       Aug 24 2007 08:51 AM    Automatic
    

    A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Troubleshooting

Falha na Autenticação do IP Phone

O status do IP phone exibirá Configuring IP ou Registering se houver falha na autenticação 802.1x. Execute estes passos para solucionar esse problema:

  • Confirme se o padrão 802.1x está ativado no IP phone.

  • Verifique se a Device ID está definida no servidor (RADIUS) de autenticação como o nome de usuário.

  • Certifique-se de que o segredo compartilhado esteja configurado no IP phone.

  • Se o segredo compartilhado estiver configurado, verifique se você possui o mesmo segredo compartilhado inserido no servidor de autenticação.

  • Verifique se você configurou corretamente outros dispositivos necessários, por exemplo, o switch e o servidor de autenticação.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 98523