Cisco Cisco IP Phone 8841 User Guide
Los teléfonos IP de Cisco y los switches Cisco Catalyst usan tradicionalmente el protocolo de descubrimiento
de Cisco (CDP) para identificarse entre sí y determinar parámetros tales como la asignación de VLAN y los
requisitos energéticos internos. CDP no identifica localmente las estaciones de trabajo conectadas. Los teléfonos
IP de Cisco proporcionan un mecanismo de pasarela EAPOL. Este mecanismo permite a una estación de
trabajo conectada al teléfono IP de Cisco transferir mensajes EAPOL al autenticador 802.1X en el switch
LAN. El mecanismo de pasarela garantiza que el teléfono IP actúa como switch LAN para autenticar un
terminal de datos antes de acceder a la red.
de Cisco (CDP) para identificarse entre sí y determinar parámetros tales como la asignación de VLAN y los
requisitos energéticos internos. CDP no identifica localmente las estaciones de trabajo conectadas. Los teléfonos
IP de Cisco proporcionan un mecanismo de pasarela EAPOL. Este mecanismo permite a una estación de
trabajo conectada al teléfono IP de Cisco transferir mensajes EAPOL al autenticador 802.1X en el switch
LAN. El mecanismo de pasarela garantiza que el teléfono IP actúa como switch LAN para autenticar un
terminal de datos antes de acceder a la red.
Los teléfonos IP de Cisco también incluyen un mecanismo de cierre de sesión de EAPOL por proxy. En caso
de que el PC conectado localmente se desconecte del teléfono IP, el switch de LAN no sufre un error de enlace
físico, ya que el enlace entre este switch LAN y el teléfono IP se conserva. Para evitar poner en peligro la
integridad de la red, el teléfono IP envía un mensaje de cierre de sesión de EAPOL al switch en nombre del
PC conectado más adelante, lo que desencadena que el switch LAN borre la entrada de autenticación de ese
PC.
de que el PC conectado localmente se desconecte del teléfono IP, el switch de LAN no sufre un error de enlace
físico, ya que el enlace entre este switch LAN y el teléfono IP se conserva. Para evitar poner en peligro la
integridad de la red, el teléfono IP envía un mensaje de cierre de sesión de EAPOL al switch en nombre del
PC conectado más adelante, lo que desencadena que el switch LAN borre la entrada de autenticación de ese
PC.
Para la compatibilidad con la autenticación 802.1X se requieren varios componentes:
• Teléfono IP de Cisco: el teléfono inicia la solicitud para acceder a la red. Los teléfonos IP de Cisco
incluyen un solicitante de 802.1X. Este solicitante permite a los administradores de red controlar la
conectividad de los teléfonos IP con los puertos switch de LAN. La versión actual del solicitante 802.1X
del teléfono usa las opciones EAP-FAST y EAP-TLS para la autenticación de red.
conectividad de los teléfonos IP con los puertos switch de LAN. La versión actual del solicitante 802.1X
del teléfono usa las opciones EAP-FAST y EAP-TLS para la autenticación de red.
• Cisco Secure Access Control Server (ACS) u otro servidor de autenticación de terceros: tanto el servidor
de autenticación como el teléfono deben estar configurados con un secreto compartido que autentique
el teléfono.
el teléfono.
• El switch Cisco Catalyst (o de otro fabricante): el switch debe ser compatible con 802.1X para poder
actuar como autenticador y transferir los mensajes entre el teléfono y el servidor de autenticación. Cuando
se completa el intercambio, el switch otorga o deniega el acceso del teléfono a la red.
se completa el intercambio, el switch otorga o deniega el acceso del teléfono a la red.
Debe llevar a cabo las acciones siguientes para configurar 802.1X.
• Configurar los demás componentes antes de habilitar la autenticación 802.1X en el teléfono.
• Configurar el puerto PC: el estándar 802.1X no tiene en cuenta las VLAN y, por lo tanto, se recomienda
que solo se autentique un único dispositivo en un puerto de switch específico. Sin embargo, algunos
switches (incluidos los switches Cisco Catalyst) admiten la autenticación multidominio. La configuración
del switch determina si es posible conectar un PC al puerto PC del teléfono.
switches (incluidos los switches Cisco Catalyst) admiten la autenticación multidominio. La configuración
del switch determina si es posible conectar un PC al puerto PC del teléfono.
◦ Activado: si usa un switch que admite la autenticación multidominio, puede activar el puerto PC
y conectar en él un PC. En tal caso, los teléfonos IP de Cisco admiten el cierre de sesión de EAPOL
por proxy para supervisar los intercambios de autenticación entre el switch y el PC conectado.
Para obtener más información sobre la compatibilidad con IEEE 802.1X en los switches Cisco
Catalyst, consulte las guías de configuración del switch Cisco Catalyst en:
por proxy para supervisar los intercambios de autenticación entre el switch y el PC conectado.
Para obtener más información sobre la compatibilidad con IEEE 802.1X en los switches Cisco
Catalyst, consulte las guías de configuración del switch Cisco Catalyst en:
◦ Desactivado: si el switch no admite varios dispositivos 802.1X en el mismo puerto, debe desactivar
el puerto PC en caso de que la autenticación 802.1X esté activada. Si no desactiva este puerto e
intenta conectar en él un PC, el switch deniega el acceso a red tanto del teléfono como del PC.
intenta conectar en él un PC, el switch deniega el acceso a red tanto del teléfono como del PC.
• Configurar VLAN de voz: dado que el estándar 802.1X no tiene en cuenta la VLAN, debe configurar
este ajuste según la compatibilidad del switch.
◦ Activado: si usa un switch que admita la autenticación multidominio, puede continuar usando la
VLAN de voz.
Guía de administración de los teléfonos IP serie 8800 de Cisco
163
Características de seguridad admitidas