Cisco Cisco IP Phone 8841 Betriebsanweisung
Autenticazione 802.1X
I telefoni IP di Cisco supportano l'autenticazione 802.1X.
I telefoni IP di Cisco e gli switch Cisco Catalyst generalmente utilizzano il protocollo CDP (Cisco Discovery
Protocol) per l'identificazione reciproca e per l'individuazione di parametri come l'allocazione VLAN e i
requisiti di alimentazione in linea. Il protocollo CDP non identifica le postazioni di lavoro collegate in locale.
I telefoni IP di Cisco sono dotati di un meccanismo EAPOL pass-through. Questo meccanismo consente alla
postazione di lavoro collegata al telefono IP di Cisco di trasmettere i messaggi EAPOL all'autenticatore 802.1X
sullo switch LAN. Il meccanismo pass-through garantisce che il telefono IP non agisca come switch LAN
per l'autenticazione dell'endpoint dei dati prima di accedere alla rete.
Protocol) per l'identificazione reciproca e per l'individuazione di parametri come l'allocazione VLAN e i
requisiti di alimentazione in linea. Il protocollo CDP non identifica le postazioni di lavoro collegate in locale.
I telefoni IP di Cisco sono dotati di un meccanismo EAPOL pass-through. Questo meccanismo consente alla
postazione di lavoro collegata al telefono IP di Cisco di trasmettere i messaggi EAPOL all'autenticatore 802.1X
sullo switch LAN. Il meccanismo pass-through garantisce che il telefono IP non agisca come switch LAN
per l'autenticazione dell'endpoint dei dati prima di accedere alla rete.
I telefoni IP di Cisco sono dotati inoltre di un meccanismo di disconnessione EAPOL proxy. Nel caso in cui
il PC collegato in locale venga disconnesso dal telefono IP, lo switch LAN non rileva l'errore del collegamento
fisico perché il collegamento tra lo switch LAN e il telefono IP viene mantenuto. Per evitare di compromettere
l'integrità della rete, il telefono IP invia un messaggio di disconnessione EAPOL allo switch per conto del PC
downstream, che attiva lo switch LAN allo scopo di cancellare la voce di autenticazione relativa al PC
downstream.
il PC collegato in locale venga disconnesso dal telefono IP, lo switch LAN non rileva l'errore del collegamento
fisico perché il collegamento tra lo switch LAN e il telefono IP viene mantenuto. Per evitare di compromettere
l'integrità della rete, il telefono IP invia un messaggio di disconnessione EAPOL allo switch per conto del PC
downstream, che attiva lo switch LAN allo scopo di cancellare la voce di autenticazione relativa al PC
downstream.
Il supporto dell'autenticazione 802.1X richiede diversi componenti:
• Telefono IP di Cisco: il telefono avvia la richiesta di accesso alla rete. I telefoni IP di Cisco sono dotati
di un richiedente 802.1X. Tale richiedente consente agli amministratori di rete di controllare la connettività
dei telefoni IP alle porte dello switch LAN. Per l'autenticazione della rete, nella release corrente del
richiedente 802.1X del telefono vengono utilizzate le opzioni EAP-FAST e EAP-TLS.
dei telefoni IP alle porte dello switch LAN. Per l'autenticazione della rete, nella release corrente del
richiedente 802.1X del telefono vengono utilizzate le opzioni EAP-FAST e EAP-TLS.
• Cisco Secure Access Control Server (ACS), o un altro server di autenticazione di terze parti: per
autenticare il telefono, è necessario configurare il server di autenticazione e il telefono su un segreto
condiviso.
condiviso.
• Switch Cisco Catalyst (o altri switch di terze parti): affinché possa agire come autenticatore e trasmettere
i messaggi tra il telefono e il server di autenticazione, è necessario che lo switch supporti il protocollo
802.1X. Al termine dello scambio, lo switch concede o nega al telefono l'accesso alla rete.
802.1X. Al termine dello scambio, lo switch concede o nega al telefono l'accesso alla rete.
Per configurare l'autenticazione 802.1X, è necessario effettuare i passaggi seguenti.
• Configurare gli altri componenti prima di abilitare l'autenticazione 802.1X sul telefono.
• Configurare la porta PC: lo standard 802.1X non prende in considerazione le reti VLAN e pertanto è
consigliabile autenticare un solo dispositivo su una porta dello switch specifica. Tuttavia, alcuni switch
(inclusi gli switch Cisco Catalyst) supportano l'autenticazione multidominio. In base alla configurazione
dello switch, è possibile o meno collegare un PC alla porta PC del telefono.
(inclusi gli switch Cisco Catalyst) supportano l'autenticazione multidominio. In base alla configurazione
dello switch, è possibile o meno collegare un PC alla porta PC del telefono.
◦ Abilitato: se si sta utilizzando uno switch in grado di supportare l'autenticazione multidominio, è
possibile abilitare la porta PC e connettervi il PC. In questo caso, i telefoni IP di Cisco supportano
la disconnessione EAPOL del proxy per monitorare gli scambi di autenticazione tra lo switch e il
PC collegato. Per ulteriori informazioni sul supporto di IEEE 802.1X sugli switch Cisco Catalyst,
consultare le guide di configurazione dello switch Cisco Catalyst all'indirizzo:
la disconnessione EAPOL del proxy per monitorare gli scambi di autenticazione tra lo switch e il
PC collegato. Per ulteriori informazioni sul supporto di IEEE 802.1X sugli switch Cisco Catalyst,
consultare le guide di configurazione dello switch Cisco Catalyst all'indirizzo:
◦ Disabilitato: se lo switch non supporta più dispositivi conformi allo standard 802.1X sulla stessa
porta, è consigliabile disabilitare la porta PC quando l'autenticazione 802.1X è abilitata. Se questa
porta non viene disabilitata e successivamente si tenta di collegarvi un PC, lo switch nega l'accesso
alla rete sia al telefono sia al PC.
porta non viene disabilitata e successivamente si tenta di collegarvi un PC, lo switch nega l'accesso
alla rete sia al telefono sia al PC.
Guida di amministrazione di Cisco serie 8800 IP Phone
163
Funzioni di protezione supportate