802.1X switchs catalyst 2960

juanfdg030694 · ‎09-24-2013

Hola quisiera que me ayudaran con algo, estoy tratando de configurar 802.1x para la autenticación de los usuarios del Active Directory a travéz de radius, hasta este punto ya he llehado y todo me ha salido muy bien, el problema es autenticar los telefonos IP ya que no contamos con ACS y no es permitido la creación de las mac de los telefonos como usuarios en el DA, de que manera pudiera configurar esto para que no me pida autenticación en los telefonos y me entregue la VLAN de voz cuando conecte un telefono, los telefonos son Cisco.

Muchas gracias.

Iker Santamaria Molla · ‎10-18-2013

Hola Juan,

Los teléfonos los puedes autenticar bien por 802.1x (si lo soportan) o bien por MAB (Mac-authentication-bypass).

En este último caso, los puedes dar de alta en directorio activo como usuarios, nosotros lo empleamos con impresoras y funciona muy bien.

De todas formas te recomiendo que pruebes a configurar MDA (Multi-Domain-authentication) en el caso que emplees una vlan para la voz y otra para datos (te lo recomiendo), creo que es la mejor opción, ya que con MAB tendrías que modificar los timers de 802.1x para un buen funcionamiento ( nosotros los tenemos modificados).

http://d2zmdbbm9feqrf.cloudfront.net/2011/anz/pdf/BRKSEC-2005.pdf

De todas formas mira esté post te puede ayudar mucho:

https://supportforums.cisco.com/community/netpro/security/aaa/blog/2012/02/16/deploying-8021x-when-workstations-are-connected-behind-ip-phones

Un saludo.

Sent from Cisco Technical Support iPad App