Características de seguridad admitidas
Compatibilidad del servidor del protocolo de inscripción de certificado simple
Si utiliza un servidor del protocolo de inscripción de certificado simple (SCEP), el servidor puede mantener
automáticamente los certificados de usuario y servidor. En el servidor SCEP, configure el agente de registro
de SCEP (RA) en:
• Actuar como un punto de confianza PKI
• Actuar como un RA PKI
• Realizar la autenticación del dispositivo mediante un servidor RADIUS
Para obtener más información, consulte la documentación del servidor SCEP.
Autenticación 802.1x
Los teléfonos IP de Cisco admiten la autenticación 802.1X.
Los teléfonos IP de Cisco y los switches Cisco Catalyst usan tradicionalmente el protocolo de descubrimiento
de Cisco (CDP) para identificarse entre sí y determinar parámetros tales como la asignación de VLAN y los
requisitos energéticos internos. CDP no identifica localmente las estaciones de trabajo conectadas. Los teléfonos
IP de Cisco proporcionan un mecanismo de pasarela EAPOL. Este mecanismo permite a una estación de
trabajo conectada al teléfono IP de Cisco transferir mensajes EAPOL al autenticador 802.1X en el switch
LAN. El mecanismo de pasarela garantiza que el teléfono IP actúa como switch LAN para autenticar un
terminal de datos antes de acceder a la red.
Los teléfonos IP de Cisco también incluyen un mecanismo de cierre de sesión de EAPOL por proxy. En caso
de que el PC conectado localmente se desconecte del teléfono IP, el switch de LAN no sufre un error de enlace
físico, ya que el enlace entre este switch LAN y el teléfono IP se conserva. Para evitar poner en peligro la
integridad de la red, el teléfono IP envía un mensaje de cierre de sesión de EAPOL al switch en nombre del
PC conectado más adelante, lo que desencadena que el switch LAN borre la entrada de autenticación de ese
PC.
Para la compatibilidad con la autenticación 802.1X se requieren varios componentes:
• Teléfono IP de Cisco: el teléfono inicia la solicitud para acceder a la red. Los teléfonos IP de Cisco
incluyen un solicitante de 802.1X. Este solicitante permite a los administradores de red controlar la
conectividad de los teléfonos IP con los puertos switch de LAN. La versión actual del solicitante 802.1X
del teléfono usa las opciones EAP-FAST y EAP-TLS para la autenticación de red.
• Cisco Secure Access Control Server (ACS) u otro servidor de autenticación de terceros: tanto el servidor
de autenticación como el teléfono deben estar configurados con un secreto compartido que autentique
el teléfono.
• El switch Cisco Catalyst (o de otro fabricante): el switch debe ser compatible con 802.1X para poder
actuar como autenticador y transferir los mensajes entre el teléfono y el servidor de autenticación. Cuando
se completa el intercambio, el switch otorga o deniega el acceso del teléfono a la red.
Debe llevar a cabo las acciones siguientes para configurar 802.1X.
• Configurar los demás componentes antes de habilitar la autenticación 802.1X en el teléfono.
• Configurar el puerto PC: el estándar 802.1X no tiene en cuenta las VLAN y, por lo tanto, se recomienda
que solo se autentique un único dispositivo en un puerto de switch específico. Sin embargo, algunos
switches (incluidos los switches Cisco Catalyst) admiten la autenticación multidominio. La configuración
del switch determina si es posible conectar un PC al puerto PC del teléfono.
Guía de administración de los teléfonos IP serie 8800 de Cisco para Cisco Unified Communications Manager
170