验证思科IP电话8800系列多平台电话上的802.1X状态
目标
802.1X是IEEE标准,它定义了基于客户端和服务器的访问控制和身份验证协议,该协议限制未经授权的客户端通过可公开访问的端口连接到局域网(LAN)。身份验证服务器对连接到交换机端口的每个客户端进行身份验证,并在提供交换机或LAN提供的任何资源之前将端口分配给虚拟局域网(VLAN)。在客户端通过身份验证之前,802.1X访问控制只允许通过客户端所连接的端口的LAN可扩展身份验证协议(EAPoL)流量。认证成功后,普通流量可以通过该端口。
802.1X身份验证在大型网络中特别有用,因为可以部署证书和用户凭证,用于对网络进行身份验证。这提供了安全性、可扩展性、易于管理和易用性。
下图显示根据特定角色配置设备的网络。
本文旨在向您展示如何检查思科IP电话8800系列多平台电话上端口身份验证的状态。它假设您已在交换机上配置了端口身份验证设置。如需指导,请点击这里。
适用设备
软件版本
检验802.1X状态
步骤1.在电话上,按“应用”按钮。
步骤2.使用“导航”群集按钮导航至“网络”配置。
步骤3.选择以太网配置。
步骤4.选择802.1X身份验证。
步骤5.验证设备身份验证是否打开。
步骤6.选择事务状态。
状态可以是以下任一项:
- 已禁用 — 这意味着802.1X在电话上处于非活动状态。
- 已验证 — 这意味着电话的凭证已通过身份验证过程。在此状态下,允许从网络到电话的流量。如果为802.1X身份验证选择可扩展身份验证协议传输层安全(EAP-TLS),则EAP-TLS显示在协议区域中。如果状态为Authenticated,而Protocol为None,则交换机上已禁用或强制进行了802.1X身份验证。这表示电话已向交换机发送EAP启动消息。在未能接收身份请求后,电话会假设它已通过身份验证。
- 连接 — 这意味着电话正在向交换机发送EAP启动消息。每30秒就会一次。如果在三次尝试后未收到来自交换机的身份请求,则会将身份验证状态更改为Authenticated。
- 身份验证 — 这意味着EAP-TLS/EAP-FAST正在进行。这通常是未启用EAP-FAST的PAC时的状态。由于身份验证在600毫秒内完成,电话通常不处于此状态。
- 保留 — 这意味着交换机已处理电话的EAP请求。EAP-FAST或EAP-TLS身份验证已被拒绝,电话正在重试。电话将每30秒继续发送一次EAP开始消息。
- 已获取 — 这意味着电话的EAP请求已被拒绝。未从交换机收到EAP-TLS或EAP-FAST质询。电话将每30秒向交换机发送一次EAP启动消息。
- 已断开连接 — 这意味着以太网电缆已断开连接。
注意:在本例中,事务状态为Authenticated,协议为None。
您现在应该已验证电话的802.1X状态。