Ejemplo de Configuración de Autenticación de Dominios Múltiples IEEE 802.1x en Cisco Catalyst Switches de Capa 3 con configuración fija

Transcripción

1 Ejemplo de Configuración de Autenticación de Dominios Múltiples IEEE 801x en Cisco Catalyst Switches de Capa 3 con configuración fija Contenido Introducción Prerrequisitos Requisitos Componentes Utilizados Productos Relacionados Convenciones Antecedentes Configuración Diagrama de Red Configuración del Switch Catalyst para la Autenticación de Dominios Múltiples 801x Configuración del Servidor RADIUS Configuración de Clientes PC para Utilizar la Autenticación 801x Configuración de Teléfonos IP para Utilizar la Autenticación 801x Verificación Clientes PC Teléfonos IP Switch de Capa 3 Troubleshooting Error en la Autenticación del Teléfono IP Introducción La Autenticación de Dominios Múltiples permite autenticar un teléfono IP y una PC en el mismo puerto de switch mientras los ubica en las redes de área local virtuales (VLAN) de voz y de datos correspondientes. En este documento, se explica cómo configurar la Autenticación de Dominios Múltiples (MDA) IEEE 801x en los Cisco Catalyst Switches de capa 3 con configuración fija. Prerrequisitos Requisitos Asegúrese de cumplir los siguientes requisitos antes de utilizar esta configuración: Funcionamiento de RADIUS Catalyst Switching y Guía de Implementación ACS Guía del Usuario para Cisco Secure Access Control Server 4.1 Descripción General del Cisco Unified IP Phone Componentes Utilizados La información de este documento se basa en las siguientes versiones de software y hardware: Cisco Catalyst 3560 Series Switch que ejecuta Cisco IOS Software Release 12(37)SE1 Nota: La Autenticación de Dominios Múltiples está soportada sólo en Cisco IOS Software Release 12(35)SE y posteriores. En este ejemplo, se utiliza Cisco Secure Access Control Server (ACS) 4.1 como servidor RADIUS.

2 Nota: Se debe especificar un servidor RADIUS antes de activar 801x en el switch. Clientes PC que admiten autenticación 801x. Nota: En este ejemplo se utilizan clientes Microsoft Windows XP. Cisco Unified IP Phone 7970G con versión 8.2(1) de firmware SCCP. Cisco Unified IP Phone 7961G con versión 8.2(2) de firmware SCCP. Media Convergence Server (MCS) con Cisco Unified Communications Manager (Cisco CallManager) 4.1(3)sr2 La información de este documento se creó a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración vacía (predeterminada). Si su red está en funcionamiento, asegúrese de comprender el posible efecto de los comandos. Productos Relacionados Esta configuración también se puede utilizar con el siguiente hardware: Cisco Catalyst 3560-E Series Switch Cisco Catalyst 3750 Series Switch Cisco Catalyst 3750-E Series Switch Nota: Cisco Catalyst 3550 Series Switch no soporta la Autenticación de Dominios Múltiples 801x. Convenciones Consulte Cisco Technical Tips Conventions para obtener más información sobre las convenciones del documento. Antecedentes El estándar IEEE 801x define un control de acceso basado en cliente-servidor y un protocolo de autenticación que impide que los dispositivos no autorizados se conecten a una red de área local (LAN) a través de puertos de acceso público. 801x controla el acceso a la red mediante la creación de dos puntos de acceso virtuales diferentes en cada puerto. Un punto de acceso es un puerto no controlado, mientras que el otro es un puerto controlado. Todo el tráfico de un solo puerto está disponible para ambos puntos de acceso. 801x autentica cada dispositivo de usuario que está conectado a un puerto del switch y asigna el puerto a una VLAN antes de facilitar los servicios que ofrecen el switch o la LAN. Hasta que se autentica el dispositivo, el control de acceso 801x sólo permite el tráfico del Extensible Authentication Protocol over LAN (EAPOL) a través del puerto al cual está conectado el dispositivo. Una vez que se realizó una autenticación correcta, el tráfico normal puede pasar a través del puerto. El estándar 801x está formado por tres componentes principales, cada uno de los cuales se denomina Entidad de Acceso a Puerto (PAE). Solicitante: Dispositivo cliente que solicita acceso a la red, por ejemplo, teléfonos IP y PC conectadas. Autenticador: Dispositivo de red que facilita las solicitudes de autorización de solicitantes, por ejemplo, Cisco Catalyst Servidor de Autenticación: Servidor de Servicio de Usuario de Acceso Telefónico de Autenticación Remota (RADIUS) que proporciona el servicio de autenticación, por ejemplo, Cisco Secure Access Control Server. Los Cisco Unified IP phones también contienen un solicitante 801X. Este solicitante permite a los administradores de red controlar la conectividad de los teléfonos IP a los puertos de switch de la LAN. La versión inicial del solicitante 801X de teléfonos IP implementa la opción EAP-MD5 para la autenticación 801X. En una configuración de dominios múltiples, el teléfono IP y la PC conectada deben solicitar acceso a la red de forma independiente, especificando un nombre de usuario y una contraseña. El dispositivo Autenticador puede solicitar información, denominada atributos, al RADIUS. Los atributos especifican información adicional sobre la autorización, por ejemplo, si el acceso a una VLAN determinada está permitido para un Solicitante. Estos atributos pueden ser específicos para cada proveedor. Cisco utiliza el atributo cisco-avpair de RADIUS para informarle al Autenticador (Cisco Catalyst 3560) que un Solicitante (teléfono IP) tiene permitido el acceso a la VLAN de voz. Configuración En esta sección, encontrará la información para configurar la función de autenticación de dominios múltiples 801x descrita en este documento. Esta configuración requiere los siguientes pasos:

3 Configuración del Switch Catalyst para la Autenticación de Dominios Múltiples 801x. Configuración del Servidor RADIUS. Configuración de Clientes PC para Utilizar la Autenticación 801x. Configuración de Teléfonos IP para Utilizar la Autenticación 801x. Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en este documento. Diagrama de Red En este documento, se utiliza la siguiente configuración de red: Servidor RADIUS: Lleva a cabo la autenticación del cliente. El servidor RADIUS valida la identidad del cliente y notifica al switch si el cliente está o no está autorizado para acceder a los servicios del switch y de la LAN. En este caso, Cisco ACS está instalado y configurado en un Media Convergence Server (MCS) para la autenticación y asignación de VLAN. El MCS también es el servidor TFTP y el Cisco Unified Communications Manager (Cisco CallManager) para los teléfonos IP. Switch: Controla el acceso físico a la red mediante el estado de autenticación del cliente. El switch actúa como intermediario (proxy) entre el cliente y el servidor RADIUS. Solicita información sobre la identidad del cliente, verifica dicha información con el servidor RADIUS y envía una respuesta al cliente. En este caso, el switch Catalyst 3560 está configurado también como un servidor DHCP. La compatibilidad de la autenticación 801x con el Dynamic Host Configuration Protocol (DHCP) permite al servidor DHCP asignar las direcciones IP a las diferentes clases de usuarios finales. Para ello, agrega la identidad del usuario autenticado al proceso de detección DHCP. Los puertos FastEthernet 0/1 y 0/4 son los únicos puertos configurados para la autenticación de dominios múltiples 801x. Los puertos FastEthernet 0/2 y 0/3 se encuentran en el modo de host único 801x predeterminado. El puerto FastEthernet 0/24 se conecta al servidor RADIUS. Nota: Si utiliza un servidor DHCP externo, no olvide agregar el comando ip helper-address en la Interfaz Virtual Conmutada o SVI (vlan) en la que el cliente reside, la cual apunta al servidor DHCP. Clientes: Dispositivos tales como teléfonos IP o estaciones de trabajo que solicitan acceso a los servicios del switch y de la LAN y que responden a las peticiones del switch. En este caso, los clientes están configurados para alcanzar la dirección IP desde un servidor DHCP. Los dispositivos M-1, M-2, S-1 y S-2 son los clientes de estaciones de trabajo que solicitan acceso a la red. P-1 y P-2 son los clientes de teléfonos IP que solicitan acceso a la red. M-1, M-2 y P-1 son dispositivos clientes del Departamento de Marketing. S-1, S-2 y P-2 son dispositivos clientes del Departamento de Sales. Los teléfonos IP P-1 y P-2 están configurados para estar en la misma VLAN de voz (VLAN 3). La estaciones de trabajo M-1 y M-2 están configuradas para estar en la misma VLAN de datos (VLAN 4) después de una autenticación correcta. Las estaciones de trabajo S-1 y S-2 también están configuradas para estar en la misma VLAN de datos (VLAN 5) después de una autenticación correcta. Nota: Puede utilizar la asignación de VLAN dinámica desde un servidor RADIUS sólo para los dispositivos de datos. Configuración del Switch Catalyst para la Autenticación de Dominios Múltiples 801x

4 Este ejemplo de configuración de switch incluye: Cómo habilitar la autenticación de dominios múltiples 801x en los puertos de switch. Configuración relacionada con el servidor RADIUS. Configuración del servidor DHCP para la asignación de dirección IP. Ruteo entre VLANs para tener conectividad entre clientes una vez efectuada la autenticación. Consulte Uso de Autenticación de Dominios Múltiples para obtener más información sobre las directrices de configuración de la MDA. Nota: Asegúrese de que el servidor RADIUS siempre se conecte detrás de un puerto autorizado. Nota: En este ejemplo, sólo se muestra la configuración relevante. Cat-3560 Switch#configure terminal Switch(config)#hostname Cat-3560!--- Establece el nombre de host para el switch. Cat-3560(config)#vlan 2 Cat-3560(config-vlan)#name SERVER Cat-3560(config-vlan)#vlan 3 Cat-3560(config-vlan)#name VOICE Cat-3560(config-vlan)#vlan 4 Cat-3560(config-vlan)#name MARKETING Cat-3560(config-vlan)#vlan 5 Cat-3560(config-vlan)#name SALES Cat-3560(config-vlan)#vlan 6 Cat-3560(config-vlan)#name GUEST_and_AUTHFAIL!--- Para que la autenticación sea correcta, la VLAN ya debe existir en el switch. Cat-3560(config-vlan)#exit Cat-3560(config)#interface vlan 2 Cat-3560(config-if)#ip address Cat-3560(config-if)#no shut!--- Ésta es la dirección de la gateway para el servidor RADIUS. Cat-3560(config-if)#interface vlan 3 Cat-3560(config-if)#ip address Cat-3560(config-if)#no shut!--- Ésta es la dirección de la gateway para clientes de teléfonos IP en la VLAN Cat-3560(config-if)#interface vlan 4 Cat-3560(config-if)#ip address Cat-3560(config-if)#no shut!--- Ésta es la dirección de la gateway para clientes PC en la VLAN 4. Cat-3560(config-if)#interface vlan 5 Cat-3560(config-if)#ip address Cat-3560(config-if)#no shut!--- Ésta es la dirección de la gateway para clientes PC en la VLAN 5. Cat-3560(config-if)#exit Cat-3560(config)#ip routing!--- Activa el ruteo IP para el ruteo de la intervlan. Cat-3560(config)#interface range fastethernet 0/1-4 Cat-3560(config-if-range)#shut Cat-3560(config-if-range)#exit Cat-3560(config)#interface fastethernet 0/24 Cat-3560(config-if)#switchport mode access Cat-3560(config-if)#switchport access vlan 2!--- Ésta es una VLAN dedicada para el servidor RADIUS. Cat-3560(config-if)#spanning-tree portfast

5 Cat-3560(config-if)#exit Cat-3560(config)#interface range fastethernet 0/1, fastethernet 0/4 Cat-3560(config-if-range)#switchport mode access Cat-3560(config-if-range)#switchport voice vlan 3!--- Debe configurar la VLAN de voz para el teléfono IP cuando el!--- modo de host está configurado en dominios múltiples.!--- Nota: Si se utiliza una VLAN dinámica para asignar una VLAN de voz!--- en un puerto de switch habilitado para MDA, el dispositivo de voz no permite realizar la autorización. Cat-3560(config-if-range)#dot1x port-control auto!--- Activa la autenticación IEEE 801x en el puerto. Cat-3560(config-if-range)#dot1x host-mode multi-domain!--- Permite que se autentiquen un host y un dispositivo de voz!--- en un puerto autorizado para IEEE 801x. Cat-3560(config-if-range)#dot1x guest-vlan 6 Cat-3560(config-if-range)#dot1x auth-fail vlan 6!--- Las funciones de la VLAN de invitados y la VLAN restringida sólo se aplican a los dispositivos de datos!--- de un puerto habilitado para MDA. Cat-3560(config-if-range)#dot1x reauthentication!--- Activa la reautenticación periódica del cliente. Cat-3560(config-if-range)#dot1x timeout reauth-period 60!--- Configuración de la cantidad de segundos entre los intentos de reautenticación. Cat-3560(config-if-range)#dot1x auth-fail max-attempts 2!--- Especifica la cantidad de intentos de autenticación permitidos!--- antes de que un puerto se mueva a la VLAN restringida. Cat-3560(config-if-range)#exit Cat-3560(config)#interface range fastethernet 0/2-3 Cat-3560(config-if-range)#switchport mode access Cat-3560(config-if-range)#dot1x port-control auto!--- De forma predeterminada, un puerto 801x autorizado sólo permite un cliente. Cat-3560(config-if-range)#dot1x guest-vlan 6 Cat-3560(config-if-range)#dot1x auth-fail vlan 6 Cat-3560(config-if-range)#dot1x reauthentication Cat-3560(config-if-range)#dot1x timeout reauth-period 60 Cat-3560(config-if-range)#dot1x auth-fail max-attempts 2 Cat-3560(config-if-range)#spanning-tree portfast Cat-3560(config)#ip dhcp pool IP-Phones Cat-3560(dhcp-config)#network Cat-3560(dhcp-config)#default-router Cat-3560(dhcp-config)#option 150 ip !--- Esta agrupación asigna la dirección ip para IP Phones.!--- La opción 150 es para el servidor TFTP. Cat-3560(dhcp-config)#ip dhcp pool Marketing Cat-3560(dhcp-config)#network Cat-3560(dhcp-config)#default-router !--- Esta agrupación asigna la dirección ip para los clientes PC del Dpto. Marketing. Cat-3560(dhcp-config)#ip dhcp pool Sales Cat-3560(dhcp-config)#network Cat-3560(dhcp-config)#default-router !--- Esta agrupación asigna la dirección ip para los clientes PC del Dpto. Sales. Cat-3560(dhcp-config)#exit Cat-3560(config)#ip dhcp excluded-address Cat-3560(config)#ip dhcp excluded-address Cat-3560(config)#ip dhcp excluded-address Cat-3560(config)#aaa new-model Cat-3560(config)#aaa authentication dot1x default group radius!--- La lista de métodos debe ser predeterminada. De lo contrario, dot1x no funciona. Cat-3560(config)#aaa authorization network default group radius!--- Necesita autorización para que la asignación de VLAN dinámica funcione con RADIUS.

6 Cat-3560(config)#radius-server host key CisCo123!--- La clave debe coincidir con la clave utilizada en el servidor RADIUS. Cat-3560(config)#dot1x system-auth-control!--- Habilita 801x de manera global. Cat-3560(config)#interface range fastethernet 0/1-4 Cat-3560(config-if-range)#no shut Cat-3560(config-if-range)#^Z Cat-3560#show vlan VLAN Name Status Ports default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Gi0/1 Gi0/2 2 SERVER active Fa0/24 3 VOICE active Fa0/1, Fa0/4 4 MARKETING active 5 SALES active 6 GUEST_and_AUTHFAIL active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección. Configuración del Servidor RADIUS El servidor RADIUS está configurado con la dirección IP estática /24. Siga estos pasos para configurar el servidor RADIUS para un cliente AAA: Haga clic en Network Configuration en la ventana de administración de ACS para configurar un cliente AAA. Haga clic en Add Entry debajo de la sección de clientes AAA. Configure el nombre de host, la dirección IP, la clave secreta compartida y el tipo de autenticación del cliente AAA como se indica a continuación: Nombre de host del cliente AAA = Nombre de host del switch (Cat-3560). Dirección IP del cliente AAA = Dirección IP de la interfaz de administración del switch (1716.1). Secreto compartido = Clave de RADIUS configurada en el switch (CisCo123). Nota: Para un correcto funcionamiento, la clave secreta compartida debe ser idéntica en el cliente AAA y en el ACS. Las claves distinguen entre mayúsculas y minúsculas. Autenticar mediante = RADIUS (Cisco IOS/PIX 6.0).

7 Nota: El par atributo-valor (AV) de Cisco está disponible en esta opción. 4. Haga clic en Submit + Apply para hacer efectivos estos cambios, como se muestra en este ejemplo: Configuración de Grupo Consulte esta tabla para configurar el servidor RADIUS para la autenticación. Dispositivo Dpto. Grupo Usuario Contraseña VLAN Agrupación DHCP M-1 Marketing Marketing mkt-manager MMcisco MARKETING Marketing M-2 Marketing Marketing mkt-staff MScisco MARKETING Marketing S-2 Sales Sales sales-manager SMcisco SALES Sales S-1 Sales Sales sales-staff SScisco Sales Sales P-1 Marketing IP Phones CP-7970G- SEP001759E7492C P1cisco VOICE IP Phones P-2 Sales IP Phones CP-7961G- SEP001A2F80381F P2cisco VOICE IP Phones Cree grupos para clientes que se conectan a las VLAN 3 (VOICE), 4 (MARKETING) y 5 (SALES). En este caso, se crearon los grupos IP Phones, Marketing y Sales para este propósito. Nota: Ésta es la configuración de los grupos Marketing y IP Phones. Para la configuración del grupo Sales, complete los pasos del grupo Marketing.

8 Para crear un grupo, elija Group Setup y cambie el nombre de grupo predeterminado. Para configurar un grupo, elija el grupo de la lista y haga clic en Edit Settings. Defina la asignación de dirección IP de cliente como Assigned by AAA client pool. Ingrese el nombre de la agrupación de dirección IP configurado en el switch para los clientes de este grupo. Nota: Elija esta opción e ingrese en el cuadro el nombre de la agrupación de IP de cliente AAA, sólo si el usuario debe tener la dirección IP asignada por una agrupación de dirección IP configurada en el cliente AAA. Nota: Para configurar sólo el grupo IP Phones, omita el siguiente paso, paso 4, y vaya al paso Defina los atributos del Grupo de Trabajo de Ingeniería de Internet (IETF) 64, 65 y 81 y haga clic en Submit + Restart. Asegúrese de que las Etiquetas de los Valores están configuradas en 1, como se muestra en este ejemplo. Catalyst ignora cualquier otra etiqueta que no sea Para asignar un usuario a una VLAN específica, también debe definir el atributo 81 con el nombre de VLAN o número de VLAN que corresponda. Nota: Si utiliza el nombre de VLAN, debe ser exactamente igual al que está configurado en el switch.

9 Nota: Consulte RFC 2868: Atributos de RADIUS para Soporte Técnico de Tunnel Protocol atributos de IETF. para obtener más información sobre estos 5. Nota: En la configuración inicial del servidor ACS, es posible que los atributos de IETF de RADIUS no aparezcan en User Setup. Para habilitar los atributos de IETF en las pantallas de configuración del usuario, elija Interface configuration > RADIUS (IETF). Luego, marque los atributos 64, 65 y 81 en las columnas User y Group. Nota: Si no define el atributo de IETF 81 y el puerto es un puerto de switch en modo acceso, el cliente se asigna a la VLAN de acceso del puerto. Si definió el atributo 81 para la asignación de VLAN dinámica y el puerto es un puerto de switch en modo acceso, debe ejecutar el comando aaa authorization network default group radius en el switch. Este comando asigna el puerto a la VLAN que el servidor RADIUS provee. De lo contrario, 801x mueve el puerto al estado AUTHORIZED después de la autenticación del usuario; pero el puerto aún está en la VLAN predeterminada del puerto, y la conectividad puede fallar. Nota: El siguiente paso sólo se aplica al grupo IP Phones. Configure el servidor RADIUS para enviar un par atributo-valor (AV) de Cisco para autorizar un dispositivo de voz. Sin esto, el switch trata el dispositivo de voz como un dispositivo de datos. Defina el par valor-atributo (AV) de Cisco con un valor de device-trafficclass=voice y haga clic en Submit + Restart.

10 Configuración de Usuario Complete estos pasos para agregar y configurar un usuario. Para agregar y configurar usuarios, elija User Setup. Ingrese el nombre de usuario y haga clic en Add/Edit. Defina el nombre de usuario, la contraseña y el grupo para el usuario. El teléfono IP utiliza el Id. de dispositivo como nombre de usuario y el secreto compartido como contraseña para la autenticación. Estos valores deben coincidir con los del servidor RADIUS. Para los teléfonos IP P-1 y P-2 cree nombres de usuarios iguales a los respectivos Id. de dispositivo y contraseña igual al secreto compartido configurado. Consulte la sección Configuración de Teléfonos IP para Utilizar la Autenticación 801x para obtener más información sobre la Id. de dispositivo y el secreto compartido de un teléfono IP.

11 Configuración de Clientes PC para Utilizar la Autenticación 801x Este ejemplo es específico para el Extensible Authentication Protocol (EAP) sobre cliente LAN (EAPOL) de Microsoft Windows XP: 4. Elija Start > Control Panel > Network Connections, haga clic con el botón derecho en su Local Area Connection y elija Properties. Marque Show icon in notification area when connected en la ficha General. En la ficha Authentication, marque Enable IEEE 801x authentication for this network. Establezca el tipo de EAP en MD5-Challenge, como se muestra en el ejemplo: Complete estos pasos para configurar los clientes y obtener la dirección IP de un servidor DHCP. Elija Start > Control Panel > Network Connections, haga clic con el botón derecho en su Local Area Connection y elija Properties. En la ficha General, haga clic en Internet Protocol (TCP/IP) y luego en Properties. Elija Obtain an IP address automatically.

12 Configuración de Teléfonos IP para Utilizar la Autenticación 801x Complete estos pasos para configurar los teléfonos IP para la autenticación 801x Presione el botón Settings para acceder a la configuración 801X Authentication y elija Security Configuration > 801X Authentication > Device Authentication. Establezca la opción Device Authentication como Enabled. Presione la tecla programable Save. Elija 801X Authentication > EAP-MD5 > Shared Secret para establecer una contraseña en el teléfono. Ingrese el secreto compartido y presione Save. Nota: La contraseña debe tener entre 6 y 32 caracteres y debe estar formada por cualquier combinación de números o letras. Si no se cumple esta condición, se muestra el mensaje That key is not active here y no se guarda la contraseña. Nota: Si desactiva la autenticación 801X o restablece la configuración de fábrica en el teléfono, se elimina el secreto compartido MD5 previamente configurado. Nota: Las otras opciones, Id. de dispositivo y Dominio, no se pueden configurar. El Id. de dispositivo se utiliza como nombre de usuario para la autenticación 801x. Esto es un derivado del número de modelo del teléfono y de la dirección MAC única que aparece en este formato: CP-<modelo>-SEP-<MAC>. Por ejemplo, CP-7970G-SEP001759E7492C. Para obtener más información, consulte Configuración de la Autenticación 801X. Complete estos pasos para configurar el teléfono IP y obtener la dirección IP de un servidor DHCP. Presione el botón Settings para acceder a la configuración Network Configuration y elija Network Configuration. Desbloquee las opciones Network Configuration. Para desbloquearlas, presione **#. Nota: Después de presionar **# para desbloquear las opciones, no vuelva a presionar **# inmediatamente para bloquearlas. El teléfono interpreta esta secuencia como **#**, la cual reinicia el teléfono. Para bloquear las opciones después de desbloquearlas, espere al menos 10 segundos antes de volver a presionar **#. 4. Desplácese hasta la opción DHCP Enabled y presione la tecla programable Yes para habilitar DHCP. Presione la tecla programable Save. Verificación Utilice esta sección para confirmar que la configuración funciona correctamente. Clientes PC Si completó correctamente la configuración, aparecerá un mensaje emergente en los clientes PC para que ingrese un nombre de usuario y una contraseña.

13 Haga clic en el mensaje, que se muestra en este ejemplo: Aparecerá una ventana para ingresar el nombre de usuario y la contraseña. Nota: La MDA no exige un orden para la autenticación de dispositivos. Sin embargo, para obtener mejores resultados, Cisco recomienda autenticar los dispositivos de voz antes de los dispositivos de datos en un puerto habilitado para MDA. Ingrese el nombre de usuario y la contraseña. Si no aparece un mensaje de error, verifique la conectividad mediante los métodos usuales, como el acceso a los recursos de la red y el comando ping. Nota: Si aparece este mensaje de error, verifique que el nombre de usuario y la contraseña sean correctos: IP Phones El menú 801X Authentication Status de los teléfonos IP permite controlar el estado de la autenticación. Presione el botón Settings para acceder a 801X Authentication Real-Time Stats y elija Security Configuration > 801X Authentication Status. El Transaction Status debe ser Authenticated. Para obtener más información, consulte Estado en Tiempo Real de la Autenticación 801X. Nota: El estado de la autenticación también puede verificarse desde Settings > Status > Status Messages. Switch de Capa 3 Si el nombre de usuario y la contraseña son correctos, verifique el estado del puerto 801x en el switch. Busque un estado de puerto que indique AUTHORIZED. Cat-3560#show dot1x all summary Interface PAE Client Status Fa0/1 AUTH c AUTHORIZED

14 e7.492c AUTHORIZED Fa0/2 AUTH e94.5f99 AUTHORIZED Fa0/3 AUTH D.9AF9 AUTHORIZED Fa0/4 AUTH F3C.A342 AUTHORIZED 001a.2f80.381f AUTHORIZED Cat-3560#show dot1x interface fastethernet 0/1 details Dot1x Info for FastEthernet0/ PAE = AUTHENTICATOR PortControl = AUTO ControlDirection = Both HostMode = MULTI_DOMAIN ReAuthentication = Enabled QuietPeriod = 10 ServerTimeout = 30 SuppTimeout = 30 ReAuthPeriod = 60 (Locally configured) ReAuthMax = 2 MaxReq = 2 TxPeriod = 30 RateLimitPeriod = 0 Auth-Fail-Vlan = 6 Auth-Fail-Max-attempts = 2 Guest-Vlan = 6 Dot1x Authenticator Client List Domain = DATA Supplicant = c Auth SM State = AUTHENTICATED Auth BEND SM State = IDLE Port Status = AUTHORIZED ReAuthPeriod = 60 ReAuthAction = Reauthenticate TimeToNextReauth = 29 Authentication Method = Dot1x Authorized By = Authentication Server Vlan Policy = 4 Domain = VOICE Supplicant = e7.492c Auth SM State = AUTHENTICATED Auth BEND SM State = IDLE Port Status = AUTHORIZED ReAuthPeriod = 60 ReAuthAction = Reauthenticate TimeToNextReauth = 15 Authentication Method = Dot1x Authorized By = Authentication Server Verifique el estado de la VLAN una vez que se completó correctamente la autenticación. Cat-3560#show vlan VLAN Name Status Ports default active Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Gi0/1 Gi0/2 2 SERVER active Fa0/24 3 VOICE active Fa0/1, Fa0/4 4 MARKETING active Fa0/1, Fa0/2 5 SALES active Fa0/3, Fa0/4 6 GUEST_and_AUTHFAIL active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup!--- Salida omitida. Verifique el estado de enlace de DHCP una vez que se completó correctamente la autenticación.

15 Router#show ip dhcp binding IP address Hardware address Lease expiration Type e749.2c Aug :35 AM Automatic a2f f Aug :43 AM Automatic c Aug :50 AM Automatic e.945f.99 Aug :17 AM Automatic F.3CA42 Aug :23 AM Automatic D9A.F9 Aug :51 AM Automatic La herramienta Output Interpreter (sólo para clientes registrados) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis de los resultados de los comandos show. Troubleshooting Error en la Autenticación del Teléfono IP En el estado del teléfono IP, se muestra Configuring IP o Registering si falla la autenticación 801x. Complete estos pasos para resolver este problema: Confirme que 801x esté habilitado en el teléfono IP. Verifique que haya ingresado el Id. de dispositivo como nombre de usuario en el servidor de autenticación (RADIUS). Confirme que el secreto compartido esté configurado en el teléfono IP. Si el secreto compartido está configurado, verifique que haya ingresado el mismo secreto compartido en el servidor de autenticación. Verifique que haya configurado correctamente los otros dispositivos requeridos, por ejemplo, el switch y el servidor de autenticación Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 25 Agosto