Cisco 8800 Serie Guide D'administration page 183

Les téléphones IP Cisco et les commutateurs Cisco Catalyst utilisent habituellement le protocole CDP (Cisco
Discovery Protocol (Protocole de découverte Cisco)) pour s'identifier mutuellement et déterminer les paramètres
comme la répartition VLAN et les exigences d'alimentation. CDP n'identifie pas les postes de travail reliés
localement. Les téléphones IP Cisco disposent d'un mécanisme de transit EAPOL. Ce mécanisme permet à
un poste de travail relié au téléphone IP Cisco d'envoyer des messages EAPOL à l'authentificateur 802.1x du
commutateur LAN. Le mécanisme de transit empêche le téléphone IP d'agir comme un commutateur LAN
pour authentifier un terminal de données avant d'accéder au réseau.
Les téléphones IP Cisco disposent également d'un mécanisme de déconnexion proxy EAPOL. Si le PC relié
localement se déconnecte du téléphone IP, le commutateur LAN ne voit pas le lien physique échouer, car le
lien entre le commutateur LAN et le téléphone IP est maintenu. Pour éviter de compromettre l'intégrité du
réseau, le téléphone IP envoie des messages de déconnexion EAPOL au commutateur de la part du PC en
aval, ce qui déclenche la suppression par le commutateur LAN des entrées d'authentification pour le PC en
aval.
La prise en charge de l'authentification 802.1x nécessite plusieurs éléments :
• Téléphone IP Cisco : le téléphone lance la requête d'accès au réseau. Les téléphones IP Cisco intègrent
un client 802.1x. Le client permet aux administrateurs réseau de contrôler la connectivité des téléphones
IP aux ports du commutateur LAN. La dernière version en date du client 802.1x pour téléphones utilise
les options EAP-FAST et EAP-TLS pour l'authentification au réseau.
• Cisco Secure Access Control Server (ACS) (ou un autre serveur d'authentification tiers) : le serveur
d'authentification et le téléphone doivent tous deux être configurés avec un secret partagé qui authentifie
le téléphone.
• Commutateur Cisco Catalyst (ou autre commutateur tiers) : le commutateur doit prendre en charge
802.1x, de façon à agir comme l'authentificateur et relayer les messages entre le téléphone et le serveur
d'authentification. Une fois que l'échange est effectué, le commutateur autorise ou refuse l'accès du
téléphone au réseau.
Vous devez effectuer les actions suivantes pour configurer 802.1x.
• Configurez les autres éléments avant d'activer l'authentification 802.1x sur le téléphone.
• Configurez le port PC : la norme 802.1x ne prend pas en compte les VLAN et nous vous conseillons de
n'authentifier qu'un seul périphérique sur un port de commutateur spécifique. Toutefois, certains
commutateurs (y compris les commutateurs Cisco Catalyst) prennent en charge l'authentification
multi-domaine. La configuration du commutateur détermine si vous pouvez connecter un ordinateur au
port PC du téléphone.
◦ Activé : si vous utilisez un commutateur qui prend en charge l'authentification multi-domaine,
vous pouvez activer le port PC et y connecter un ordinateur. Dans ce cas, les téléphones IP Cisco
prennent en charge la déconnexion proxy EAPOL pour suivre les échanges d'authentification entre
le commutateur et le PC relié. Pour plus d'informations sur la prise en charge de IEEE 802.1x sur
les commutateurs Cisco Catalyst, consultez les guides de configuration du commutateur
Cisco Catalyst sur :
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
◦ Désactivé : si le commutateur ne prend pas en charge plusieurs périphériques conformes à 802.1x
sur le même port, vous devez désactiver le port PC lorsque l'authentification 802.1x est activée.
Si vous ne désactivez pas ce port et tentez ensuite d'y relier un PC, le commutateur refusera l'accès
réseau au téléphone ainsi qu'au PC.
Fonctionnalités de sécurité prises en charge
Guide d'administration des téléphones IP Cisco série 8800
165