Switching de LAN : Seguridad de LAN

Ejemplo de Configuración de Autenticación de Dominios Múltiples IEEE 802.1x en Cisco Catalyst Switches de Capa 3 con configuración fija

25 Agosto 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (27 Agosto 2007) | Comentarios

Contenido

Introducción
Prerrequisitos
      Requisitos
      Componentes Utilizados
      Productos Relacionados
      Convenciones
Antecedentes
Configuración
      Diagrama de Red
      Configuración del Switch Catalyst para la Autenticación de Dominios Múltiples 802.1x
      Configuración del Servidor RADIUS
      Configuración de Clientes PC para Utilizar la Autenticación 802.1x
      Configuración de Teléfonos IP para Utilizar la Autenticación 802.1x
Verificación
      Clientes PC
      Teléfonos IP
      Switch de Capa 3
Troubleshooting
      Error en la Autenticación del Teléfono IP
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

La Autenticación de Dominios Múltiples permite autenticar un teléfono IP y una PC en el mismo puerto de switch mientras los ubica en las redes de área local virtuales (VLAN) de voz y de datos correspondientes. En este documento, se explica cómo configurar la Autenticación de Dominios Múltiples (MDA) IEEE 802.1x en los Cisco Catalyst Switches de capa 3 con configuración fija.

Prerrequisitos

Requisitos

Asegúrese de cumplir los siguientes requisitos antes de utilizar esta configuración:

Componentes Utilizados

La información de este documento se basa en las siguientes versiones de software y hardware:

  • Cisco Catalyst 3560 Series Switch que ejecuta Cisco IOS® Software Release 12.2(37)SE1

    Nota: La Autenticación de Dominios Múltiples está soportada sólo en Cisco IOS Software Release 12.2(35)SE y posteriores.

  • En este ejemplo, se utiliza Cisco Secure Access Control Server (ACS) 4.1 como servidor RADIUS.

    Nota: Se debe especificar un servidor RADIUS antes de activar 802.1x en el switch.

  • Clientes PC que admiten autenticación 802.1x.

    Nota: En este ejemplo se utilizan clientes Microsoft Windows XP.

  • Cisco Unified IP Phone 7970G con versión 8.2(1) de firmware SCCP.

  • Cisco Unified IP Phone 7961G con versión 8.2(2) de firmware SCCP.

  • Media Convergence Server (MCS) con Cisco Unified Communications Manager (Cisco CallManager) 4.1(3)sr2

La información de este documento se creó a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración vacía (predeterminada). Si su red está en funcionamiento, asegúrese de comprender el posible efecto de los comandos.

Productos Relacionados

Esta configuración también se puede utilizar con el siguiente hardware:

  • Cisco Catalyst 3560-E Series Switch

  • Cisco Catalyst 3750 Series Switch

  • Cisco Catalyst 3750-E Series Switch

Nota: Cisco Catalyst 3550 Series Switch no soporta la Autenticación de Dominios Múltiples 802.1x.

Convenciones

Consulte Cisco Technical Tips Conventions para obtener más información sobre las convenciones del documento.

Antecedentes

El estándar IEEE 802.1x define un control de acceso basado en cliente-servidor y un protocolo de autenticación que impide que los dispositivos no autorizados se conecten a una red de área local (LAN) a través de puertos de acceso público. 802.1x controla el acceso a la red mediante la creación de dos puntos de acceso virtuales diferentes en cada puerto. Un punto de acceso es un puerto no controlado, mientras que el otro es un puerto controlado. Todo el tráfico de un solo puerto está disponible para ambos puntos de acceso. 802.1x autentica cada dispositivo de usuario que está conectado a un puerto del switch y asigna el puerto a una VLAN antes de facilitar los servicios que ofrecen el switch o la LAN. Hasta que se autentica el dispositivo, el control de acceso 802.1x sólo permite el tráfico del Extensible Authentication Protocol over LAN (EAPOL) a través del puerto al cual está conectado el dispositivo. Una vez que se realizó una autenticación correcta, el tráfico normal puede pasar a través del puerto.

El estándar 802.1x está formado por tres componentes principales, cada uno de los cuales se denomina Entidad de Acceso a Puerto (PAE).

  • Solicitante: Dispositivo cliente que solicita acceso a la red, por ejemplo, teléfonos IP y PC conectadas.

  • Autenticador: Dispositivo de red que facilita las solicitudes de autorización de solicitantes, por ejemplo, Cisco Catalyst 3560.

  • Servidor de Autenticación: Servidor de Servicio de Usuario de Acceso Telefónico de Autenticación Remota (RADIUS) que proporciona el servicio de autenticación, por ejemplo, Cisco Secure Access Control Server.

Los Cisco Unified IP phones también contienen un solicitante 802.1X. Este solicitante permite a los administradores de red controlar la conectividad de los teléfonos IP a los puertos de switch de la LAN. La versión inicial del solicitante 802.1X de teléfonos IP implementa la opción EAP-MD5 para la autenticación 802.1X. En una configuración de dominios múltiples, el teléfono IP y la PC conectada deben solicitar acceso a la red de forma independiente, especificando un nombre de usuario y una contraseña. El dispositivo Autenticador puede solicitar información, denominada atributos, al RADIUS. Los atributos especifican información adicional sobre la autorización, por ejemplo, si el acceso a una VLAN determinada está permitido para un Solicitante. Estos atributos pueden ser específicos para cada proveedor. Cisco utiliza el atributo cisco-av-pair de RADIUS para informarle al Autenticador (Cisco Catalyst 3560) que un Solicitante (teléfono IP) tiene permitido el acceso a la VLAN de voz.

Configuración

En esta sección, encontrará la información para configurar la función de autenticación de dominios múltiples 802.1x descrita en este documento.

Esta configuración requiere los siguientes pasos:

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en este documento.

Diagrama de Red

En este documento, se utiliza la siguiente configuración de red:

8021x-cat-layer3-01.gif

  • Servidor RADIUS: Lleva a cabo la autenticación del cliente. El servidor RADIUS valida la identidad del cliente y notifica al switch si el cliente está o no está autorizado para acceder a los servicios del switch y de la LAN. En este caso, Cisco ACS está instalado y configurado en un Media Convergence Server (MCS) para la autenticación y asignación de VLAN. El MCS también es el servidor TFTP y el Cisco Unified Communications Manager (Cisco CallManager) para los teléfonos IP.

  • Switch: Controla el acceso físico a la red mediante el estado de autenticación del cliente. El switch actúa como intermediario (proxy) entre el cliente y el servidor RADIUS. Solicita información sobre la identidad del cliente, verifica dicha información con el servidor RADIUS y envía una respuesta al cliente. En este caso, el switch Catalyst 3560 está configurado también como un servidor DHCP. La compatibilidad de la autenticación 802.1x con el Dynamic Host Configuration Protocol (DHCP) permite al servidor DHCP asignar las direcciones IP a las diferentes clases de usuarios finales. Para ello, agrega la identidad del usuario autenticado al proceso de detección DHCP. Los puertos FastEthernet 0/1 y 0/4 son los únicos puertos configurados para la autenticación de dominios múltiples 802.1x. Los puertos FastEthernet 0/2 y 0/3 se encuentran en el modo de host único 802.1x predeterminado. El puerto FastEthernet 0/24 se conecta al servidor RADIUS.

    Nota: Si utiliza un servidor DHCP externo, no olvide agregar el comando ip helper-address en la Interfaz Virtual Conmutada o SVI (vlan) en la que el cliente reside, la cual apunta al servidor DHCP.

  • Clientes: Dispositivos tales como teléfonos IP o estaciones de trabajo que solicitan acceso a los servicios del switch y de la LAN y que responden a las peticiones del switch. En este caso, los clientes están configurados para alcanzar la dirección IP desde un servidor DHCP. Los dispositivos M-1, M-2, S-1 y S-2 son los clientes de estaciones de trabajo que solicitan acceso a la red. P-1 y P-2 son los clientes de teléfonos IP que solicitan acceso a la red. M-1, M-2 y P-1 son dispositivos clientes del Departamento de Marketing. S-1, S-2 y P-2 son dispositivos clientes del Departamento de Sales. Los teléfonos IP P-1 y P-2 están configurados para estar en la misma VLAN de voz (VLAN 3). La estaciones de trabajo M-1 y M-2 están configuradas para estar en la misma VLAN de datos (VLAN 4) después de una autenticación correcta. Las estaciones de trabajo S-1 y S-2 también están configuradas para estar en la misma VLAN de datos (VLAN 5) después de una autenticación correcta.

    Nota: Puede utilizar la asignación de VLAN dinámica desde un servidor RADIUS sólo para los dispositivos de datos.

Configuración del Switch Catalyst para la Autenticación de Dominios Múltiples 802.1x

Este ejemplo de configuración de switch incluye:

  • Cómo habilitar la autenticación de dominios múltiples 802.1x en los puertos de switch.

  • Configuración relacionada con el servidor RADIUS.

  • Configuración del servidor DHCP para la asignación de dirección IP.

  • Ruteo entre VLANs para tener conectividad entre clientes una vez efectuada la autenticación.

Consulte Uso de Autenticación de Dominios Múltiples para obtener más información sobre las directrices de configuración de la MDA.

Nota: Asegúrese de que el servidor RADIUS siempre se conecte detrás de un puerto autorizado.

Nota: En este ejemplo, sólo se muestra la configuración relevante.

Cat-3560

Switch#configure terminal
Switch(config)#hostname Cat-3560

!--- Establece el nombre de host para el switch.

Cat-3560(config)#vlan 2
Cat-3560(config-vlan)#name SERVER
Cat-3560(config-vlan)#vlan 3
Cat-3560(config-vlan)#name VOICE
Cat-3560(config-vlan)#vlan 4
Cat-3560(config-vlan)#name MARKETING
Cat-3560(config-vlan)#vlan 5
Cat-3560(config-vlan)#name SALES
Cat-3560(config-vlan)#vlan 6
Cat-3560(config-vlan)#name GUEST_and_AUTHFAIL

!--- Para que la autenticación sea correcta, la VLAN ya debe existir en el switch.

Cat-3560(config-vlan)#exit
Cat-3560(config)#interface vlan 2
Cat-3560(config-if)#ip address 172.16.2.1 255.255.255.0
Cat-3560(config-if)#no shut

!--- Ésta es la dirección de la gateway para el servidor RADIUS.

Cat-3560(config-if)#interface vlan 3
Cat-3560(config-if)#ip address 172.16.3.1 255.255.255.0
Cat-3560(config-if)#no shut

!--- Ésta es la dirección de la gateway para clientes de teléfonos IP en la VLAN 3.

Cat-3560(config-if)#interface vlan 4
Cat-3560(config-if)#ip address 172.16.4.1 255.255.255.0
Cat-3560(config-if)#no shut

!--- Ésta es la dirección de la gateway para clientes PC en la VLAN 4.

Cat-3560(config-if)#interface vlan 5
Cat-3560(config-if)#ip address 172.16.5.1 255.255.255.0
Cat-3560(config-if)#no shut

!--- Ésta es la dirección de la gateway para clientes PC en la VLAN 5.

Cat-3560(config-if)#exit
Cat-3560(config)#ip routing

!--- Activa el ruteo IP para el ruteo de la interVLAN.

Cat-3560(config)#interface range fastEthernet 0/1 - 4
Cat-3560(config-if-range)#shut
Cat-3560(config-if-range)#exit
Cat-3560(config)#interface fastEthernet 0/24
Cat-3560(config-if)#switchport mode access
Cat-3560(config-if)#switchport access vlan 2

!--- Ésta es una VLAN dedicada para el servidor RADIUS.

Cat-3560(config-if)#spanning-tree portfast
Cat-3560(config-if)#exit
Cat-3560(config)#interface range fastEthernet 0/1 , fastEthernet 0/4 
Cat-3560(config-if-range)#switchport mode access
Cat-3560(config-if-range)#switchport voice vlan 3

!--- Debe configurar la VLAN de voz para el teléfono IP cuando el 
!--- modo de host está configurado en dominios múltiples.
!--- Nota: Si se utiliza una VLAN dinámica para asignar una VLAN de voz 
!--- en un puerto de switch habilitado para MDA, el dispositivo de voz no permite realizar la autorización.

Cat-3560(config-if-range)#dot1x port-control auto

!--- Activa la autenticación IEEE 802.1x en el puerto.

Cat-3560(config-if-range)#dot1x host-mode multi-domain

!--- Permite que se autentiquen un host y un dispositivo de voz 
!--- en un puerto autorizado para IEEE 802.1x.

Cat-3560(config-if-range)#dot1x guest-vlan 6
Cat-3560(config-if-range)#dot1x auth-fail vlan 6

!--- Las funciones de la VLAN de invitados y la VLAN restringida sólo se aplican a los dispositivos de datos
!--- de un puerto habilitado para MDA.

Cat-3560(config-if-range)#dot1x reauthentication

!--- Activa la reautenticación periódica del cliente.

Cat-3560(config-if-range)#dot1x timeout reauth-period 60

!--- Configuración de la cantidad de segundos entre los intentos de reautenticación.

Cat-3560(config-if-range)#dot1x auth-fail max-attempts 2

!--- Especifica la cantidad de intentos de autenticación permitidos
!--- antes de que un puerto se mueva a la VLAN restringida.

Cat-3560(config-if-range)#exit
Cat-3560(config)#interface range fastEthernet 0/2 - 3
Cat-3560(config-if-range)#switchport mode access
Cat-3560(config-if-range)#dot1x port-control auto

!--- De forma predeterminada, un puerto 802.1x autorizado sólo permite un cliente.

Cat-3560(config-if-range)#dot1x guest-vlan 6
Cat-3560(config-if-range)#dot1x auth-fail vlan 6
Cat-3560(config-if-range)#dot1x reauthentication
Cat-3560(config-if-range)#dot1x timeout reauth-period 60
Cat-3560(config-if-range)#dot1x auth-fail max-attempts 2
Cat-3560(config-if-range)#spanning-tree portfast
Cat-3560(config)#ip dhcp pool IP-Phones
Cat-3560(dhcp-config)#network 172.16.3.0 255.255.255.0
Cat-3560(dhcp-config)#default-router 172.16.3.1
Cat-3560(dhcp-config)#option 150 ip 172.16.2.201

!--- Esta agrupación asigna la dirección ip para IP Phones.
!--- La opción 150 es para el servidor TFTP.

Cat-3560(dhcp-config)#ip dhcp pool Marketing
Cat-3560(dhcp-config)#network 172.16.4.0 255.255.255.0
Cat-3560(dhcp-config)#default-router 172.16.4.1

!--- Esta agrupación asigna la dirección ip para los clientes PC del Dpto. Marketing.

Cat-3560(dhcp-config)#ip dhcp pool Sales
Cat-3560(dhcp-config)#network 172.16.5.0 255.255.255.0
Cat-3560(dhcp-config)#default-router 172.16.5.1

!--- Esta agrupación asigna la dirección ip para los clientes PC del Dpto. Sales.

Cat-3560(dhcp-config)#exit
Cat-3560(config)#ip dhcp excluded-address 172.16.3.1
Cat-3560(config)#ip dhcp excluded-address 172.16.4.1
Cat-3560(config)#ip dhcp excluded-address 172.16.5.1
Cat-3560(config)#aaa new-model 
Cat-3560(config)#aaa authentication dot1x default group radius

!---  La lista de métodos debe ser predeterminada. De lo contrario, dot1x no funciona.

Cat-3560(config)#aaa authorization network default group radius

!--- Necesita autorización para que la asignación de VLAN dinámica funcione con RADIUS.

Cat-3560(config)#radius-server host 172.16.2.201 key CisCo123

!--- La clave debe coincidir con la clave utilizada en el servidor RADIUS.

Cat-3560(config)#dot1x system-auth-control

!--- Habilita 802.1x de manera global.

Cat-3560(config)#interface range fastEthernet 0/1 - 4
Cat-3560(config-if-range)#no shut
Cat-3560(config-if-range)#^Z
Cat-3560#show vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                Fa0/21, Fa0/22, Fa0/23, Gi0/1
                                                Gi0/2
2    SERVER                           active    Fa0/24
3    VOICE                            active    Fa0/1, Fa0/4
4    MARKETING                        active    
5    SALES                            active    
6    GUEST_and_AUTHFAIL               active    
1002 fddi-default                     act/unsup 
1003 token-ring-default               act/unsup 
1004 fddinet-default                  act/unsup 
1005 trnet-default                    act/unsup

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Configuración del Servidor RADIUS

El servidor RADIUS está configurado con la dirección IP estática 172.16.2.201/24. Siga estos pasos para configurar el servidor RADIUS para un cliente AAA:

  1. Haga clic en Network Configuration en la ventana de administración de ACS para configurar un cliente AAA.

  2. Haga clic en Add Entry debajo de la sección de clientes AAA.

    8021x-cat-layer3-02.gif

  3. Configure el nombre de host, la dirección IP, la clave secreta compartida y el tipo de autenticación del cliente AAA como se indica a continuación:

    • Nombre de host del cliente AAA = Nombre de host del switch (Cat-3560).

    • Dirección IP del cliente AAA = Dirección IP de la interfaz de administración del switch (172.16.2.1).

    • Secreto compartido = Clave de RADIUS configurada en el switch (CisCo123).

      Nota: Para un correcto funcionamiento, la clave secreta compartida debe ser idéntica en el cliente AAA y en el ACS. Las claves distinguen entre mayúsculas y minúsculas.

    • Autenticar mediante = RADIUS (Cisco IOS/PIX 6.0).

      Nota: El par atributo-valor (AV) de Cisco está disponible en esta opción.

  4. Haga clic en Submit + Apply para hacer efectivos estos cambios, como se muestra en este ejemplo:

    8021x-cat-layer3-03.gif

Configuración de Grupo

Consulte esta tabla para configurar el servidor RADIUS para la autenticación.

Dispositivo

Dpto.

Grupo

Usuario

Contraseña

VLAN

Agrupación DHCP

M-1

Marketing

Marketing

mkt-manager

MMcisco

MARKETING

Marketing

M-2

Marketing

Marketing

mkt-staff

MScisco

MARKETING

Marketing

S-2

Sales

Sales

sales-manager

SMcisco

SALES

Sales

S-1

Sales

Sales

sales-staff

SScisco

Sales

Sales

P-1

Marketing

IP Phones

CP-7970G-SEP001759E7492C

P1cisco

VOICE

IP Phones

P-2

Sales

IP Phones

CP-7961G-SEP001A2F80381F

P2cisco

VOICE

IP Phones

Cree grupos para clientes que se conectan a las VLAN 3 (VOICE), 4 (MARKETING) y 5 (SALES). En este caso, se crearon los grupos IP Phones, Marketing y Sales para este propósito.

Nota: Ésta es la configuración de los grupos Marketing y IP Phones.  Para la configuración del grupo Sales, complete los pasos del grupo Marketing.

  1. Para crear un grupo, elija Group Setup y cambie el nombre de grupo predeterminado.

    8021x-cat-layer3-04.gif

  2. Para configurar un grupo, elija el grupo de la lista y haga clic en Edit Settings.

    8021x-cat-layer3-05.gif

  3. Defina la asignación de dirección IP de cliente como Assigned by AAA client pool. Ingrese el nombre de la agrupación de dirección IP configurado en el switch para los clientes de este grupo.

    8021x-cat-layer3-06.gif

    Nota: Elija esta opción e ingrese en el cuadro el nombre de la agrupación de IP de cliente AAA, sólo si el usuario debe tener la dirección IP asignada por una agrupación de dirección IP configurada en el cliente AAA.

    Nota: Para configurar sólo el grupo IP Phones, omita el siguiente paso, paso 4, y vaya al paso 5.

  4. Defina los atributos del Grupo de Trabajo de Ingeniería de Internet (IETF) 64, 65 y 81 y haga clic en Submit + Restart.

    Asegúrese de que las Etiquetas de los Valores están configuradas en 1, como se muestra en este ejemplo. Catalyst ignora cualquier otra etiqueta que no sea 1. Para asignar un usuario a una VLAN específica, también debe definir el atributo 81 con el nombre de VLAN o número de VLAN que corresponda.

    Nota: Si utiliza el nombre de VLAN, debe ser exactamente igual al que está configurado en el switch.

    8021x-cat-layer3-07.gif

    Nota:  Consulte RFC 2868: Atributos de RADIUS para Soporte Técnico de Tunnel Protocol leavingcisco.com para obtener más información sobre estos atributos de IETF.

    Nota: En la configuración inicial del servidor ACS, es posible que los atributos de IETF de RADIUS no aparezcan en User Setup.  Para habilitar los atributos de IETF en las pantallas de configuración del usuario, elija Interface configuration > RADIUS (IETF). Luego, marque los atributos 64, 65 y 81 en las columnas User y Group.

    Nota: Si no define el atributo de IETF 81 y el puerto es un puerto de switch en modo acceso, el cliente se asigna a la VLAN de acceso del puerto. Si definió el atributo 81 para la asignación de VLAN dinámica y el puerto es un puerto de switch en modo acceso, debe ejecutar el comando aaa authorization network default group radius en el switch. Este comando asigna el puerto a la VLAN que el servidor RADIUS provee. De lo contrario, 802.1x mueve el puerto al estado AUTHORIZED después de la autenticación del usuario; pero el puerto aún está en la VLAN predeterminada del puerto, y la conectividad puede fallar.

    Nota: El siguiente paso sólo se aplica al grupo IP Phones. 

  5. Configure el servidor RADIUS para enviar un par atributo-valor (AV) de Cisco para autorizar un dispositivo de voz. Sin esto, el switch trata el dispositivo de voz como un dispositivo de datos. Defina el par valor-atributo (AV) de Cisco con un valor de device-traffic-class=voice y haga clic en Submit + Restart.

    8021x-cat-layer3-08.gif

Configuración de Usuario

Complete estos pasos para agregar y configurar un usuario.

  1. Para agregar y configurar usuarios, elija User Setup. Ingrese el nombre de usuario y haga clic en Add/Edit.

    8021x-cat-layer3-09.gif

  2. Defina el nombre de usuario, la contraseña y el grupo para el usuario.

    8021x-cat-layer3-10.gif

  3. El teléfono IP utiliza el Id. de dispositivo como nombre de usuario y el secreto compartido como contraseña para la autenticación. Estos valores deben coincidir con los del servidor RADIUS. Para los teléfonos IP P-1 y P-2 cree nombres de usuarios iguales a los respectivos Id. de dispositivo y contraseña igual al secreto compartido configurado. Consulte la sección Configuración de Teléfonos IP para Utilizar la Autenticación 802.1x para obtener más información sobre la Id. de dispositivo y el secreto compartido de un teléfono IP.

    8021x-cat-layer3-101.gif

Configuración de Clientes PC para Utilizar la Autenticación 802.1x

Este ejemplo es específico para el Extensible Authentication Protocol (EAP) sobre cliente LAN (EAPOL) de Microsoft Windows XP:

  1. Elija Start > Control Panel > Network Connections, haga clic con el botón derecho en su Local Area Connection y elija Properties.

  2. Marque Show icon in notification area when connected en la ficha General.

  3. En la ficha Authentication, marque Enable IEEE 802.1x authentication for this network.

  4. Establezca el tipo de EAP en MD5-Challenge, como se muestra en el ejemplo:

    8021x-cat-layer3-11.gif

Complete estos pasos para configurar los clientes y obtener la dirección IP de un servidor DHCP.

  1. Elija Start > Control Panel > Network Connections, haga clic con el botón derecho en su Local Area Connection y elija Properties.

  2. En la ficha General, haga clic en Internet Protocol (TCP/IP) y luego en Properties.

  3. Elija Obtain an IP address automatically.

    8021x-cat-layer3-12.gif

Configuración de Teléfonos IP para Utilizar la Autenticación 802.1x

Complete estos pasos para configurar los teléfonos IP para la autenticación 802.1x.

  1. Presione el botón Settings para acceder a la configuración 802.1X Authentication y elija Security Configuration > 802.1X Authentication > Device Authentication.

  2. Establezca la opción Device Authentication como Enabled.

  3. Presione la tecla programable Save.

  4. Elija 802.1X Authentication > EAP-MD5 > Shared Secret para establecer una contraseña en el teléfono.

  5. Ingrese el secreto compartido y presione Save.

    Nota: La contraseña debe tener entre 6 y 32 caracteres y debe estar formada por cualquier combinación de números o letras. Si no se cumple esta condición, se muestra el mensaje That key is not active here y no se guarda la contraseña.

    Nota: Si desactiva la autenticación 802.1X o restablece la configuración de fábrica en el teléfono, se elimina el secreto compartido MD5 previamente configurado.

    Nota: Las otras opciones, Id. de dispositivo y Dominio, no se pueden configurar. El Id. de dispositivo se utiliza como nombre de usuario para la autenticación 802.1x. Esto es un derivado del número de modelo del teléfono y de la dirección MAC única que aparece en este formato: CP-<modelo>-SEP-<MAC>. Por ejemplo, CP-7970G-SEP001759E7492C. Para obtener más información, consulte Configuración de la Autenticación 802.1X.

Complete estos pasos para configurar el teléfono IP y obtener la dirección IP de un servidor DHCP.

  1. Presione el botón Settings para acceder a la configuración Network Configuration y elija Network Configuration.

  2. Desbloquee las opciones Network Configuration. Para desbloquearlas, presione **#.

    Nota: Después de presionar **#  para desbloquear las opciones, no vuelva a presionar **#  inmediatamente para bloquearlas. El teléfono interpreta esta secuencia como **#**, la cual reinicia el teléfono. Para bloquear las opciones después de desbloquearlas, espere al menos 10 segundos antes de volver a presionar **#.

  3. Desplácese hasta la opción DHCP Enabled y presione la tecla programable Yes para habilitar DHCP.

  4. Presione la tecla programable Save.

Verificación

Utilice esta sección para confirmar que la configuración funciona correctamente.

Clientes PC

Si completó correctamente la configuración, aparecerá un mensaje emergente en los clientes PC para que ingrese un nombre de usuario y una contraseña.

  1. Haga clic en el mensaje, que se muestra en este ejemplo:

    8021x-cat-layer3-13.gif

    Aparecerá una ventana para ingresar el nombre de usuario y la contraseña.

    Nota: La MDA no exige un orden para la autenticación de dispositivos. Sin embargo, para obtener mejores resultados, Cisco recomienda autenticar los dispositivos de voz antes de los dispositivos de datos en un puerto habilitado para MDA.

  2. Ingrese el nombre de usuario y la contraseña.

    8021x-cat-layer3-14.gif

  3. Si no aparece un mensaje de error, verifique la conectividad mediante los métodos usuales, como el acceso a los recursos de la red y el comando ping.

    Nota: Si aparece este mensaje de error, verifique que el nombre de usuario y la contraseña sean correctos:

    8021x-cat-layer3-15.gif

IP Phones

El menú 802.1X Authentication Status de los teléfonos IP permite controlar el estado de la autenticación.

  1. Presione el botón Settings para acceder a 802.1X Authentication Real-Time Stats y elija Security Configuration > 802.1X Authentication Status.

  2. El Transaction Status debe ser Authenticated. Para obtener más información, consulte Estado en Tiempo Real de la Autenticación 802.1X.

    Nota: El estado de la autenticación también puede verificarse desde Settings > Status > Status Messages .

Switch de Capa 3

Si el nombre de usuario y la contraseña son correctos, verifique el estado del puerto 802.1x en el switch.

  1. Busque un estado de puerto que indique AUTHORIZED.

    Cat-3560#show dot1x all summary 
    Interface       PAE     Client          Status          
    --------------------------------------------------------
    Fa0/1           AUTH    0016.3633.339c  AUTHORIZED
                            0017.59e7.492c  AUTHORIZED
    Fa0/2           AUTH    0014.5e94.5f99  AUTHORIZED
    Fa0/3           AUTH    0011.858D.9AF9  AUTHORIZED
    Fa0/4           AUTH    0016.6F3C.A342  AUTHORIZED
                            001a.2f80.381f  AUTHORIZED
    
    
    Cat-3560#show dot1x interface fastEthernet 0/1 details 
    
    Dot1x Info for FastEthernet0/1
    -----------------------------------
    PAE                       = AUTHENTICATOR
    PortControl               = AUTO
    ControlDirection          = Both 
    HostMode                  = MULTI_DOMAIN
    ReAuthentication          = Enabled
    QuietPeriod               = 10
    ServerTimeout             = 30
    SuppTimeout               = 30
    ReAuthPeriod              = 60 (Locally configured)
    ReAuthMax                 = 2
    MaxReq                    = 2
    TxPeriod                  = 30
    RateLimitPeriod           = 0
    Auth-Fail-Vlan            = 6
    Auth-Fail-Max-attempts    = 2
    Guest-Vlan                = 6
    
    Dot1x Authenticator Client List
    -------------------------------
    Domain                    = DATA
    Supplicant                = 0016.3633.339c
        Auth SM State         = AUTHENTICATED
        Auth BEND SM State    = IDLE
    Port Status               = AUTHORIZED
    ReAuthPeriod              = 60
    ReAuthAction              = Reauthenticate
    TimeToNextReauth          = 29
    Authentication Method     = Dot1x
    Authorized By             = Authentication Server
    Vlan Policy               = 4
    
    Domain                    = VOICE
    Supplicant                = 0017.59e7.492c
        Auth SM State         = AUTHENTICATED
        Auth BEND SM State    = IDLE
    Port Status               = AUTHORIZED
    ReAuthPeriod              = 60
    ReAuthAction              = Reauthenticate
    TimeToNextReauth          = 15
    Authentication Method     = Dot1x
    Authorized By             = Authentication Server
    

    Verifique el estado de la VLAN una vez que se completó correctamente la autenticación.

    Cat-3560#show vlan
    
    VLAN Name                             Status    Ports
    ---- -------------------------------- --------- -------------------------------
    1    default                          active    Fa0/5, Fa0/6, Fa0/7, Fa0/8 
                                                    Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                    Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                    Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                    Fa0/21, Fa0/22, Fa0/23, Gi0/1
                                                    Gi0/2
    2    SERVER                           active    Fa0/24
    3    VOICE                            active    Fa0/1, Fa0/4
    4    MARKETING                        active    Fa0/1, Fa0/2
    5    SALES                            active    Fa0/3, Fa0/4 
    6    GUEST_and_AUTHFAIL               active    
    1002 fddi-default                     act/unsup 
    1003 token-ring-default               act/unsup 
    1004 fddinet-default                  act/unsup 
    1005 trnet-default                    act/unsup
    
    !--- Salida omitida.
    
    
  2. Verifique el estado de enlace de DHCP una vez que se completó correctamente la autenticación.

    Router#show ip dhcp binding
    IP address       Hardware address        Lease expiration        Type
    172.16.3.2       0100.1759.e749.2c       Aug 24 2007 06:35 AM    Automatic
    172.16.3.3       0100.1a2f.8038.1f       Aug 24 2007 06:43 AM    Automatic
    172.16.4.2       0100.1636.3333.9c       Aug 24 2007 06:50 AM    Automatic
    172.16.4.3       0100.145e.945f.99       Aug 24 2007 08:17 AM    Automatic
    172.16.5.2       0100.166F.3CA3.42       Aug 24 2007 08:23 AM    Automatic
    172.16.5.3       0100.1185.8D9A.F9       Aug 24 2007 08:51 AM    Automatic
    

    La herramienta Output Interpreter (sólo para clientes registrados) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis de los resultados de los comandos show.

Troubleshooting

Error en la Autenticación del Teléfono IP

En el estado del teléfono IP, se muestra Configuring IP o Registering si falla la autenticación 802.1x. Complete estos pasos para resolver este problema:

  • Confirme que 802.1x esté habilitado en el teléfono IP.

  • Verifique que haya ingresado el Id. de dispositivo como nombre de usuario en el servidor de autenticación (RADIUS).

  • Confirme que el secreto compartido esté configurado en el teléfono IP.

  • Si el secreto compartido está configurado, verifique que haya ingresado el mismo secreto compartido en el servidor de autenticación.

  • Verifique que haya configurado correctamente los otros dispositivos requeridos, por ejemplo, el switch y el servidor de autenticación.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 98523