Enhedscertifikatet kan opdateres automatisk af SCEP-processen.

• Telefonen kontrollerer, om certifikatet udløber om 15 dage hver 4. time. Hvis det er tilfældet, starter telefonen automatisk processen til fornyelse af certifikatet.
• Hvis udfordringsadgangskoden er tom, bruger telefonen MIC/SUDI til både indledende tilmelding og fornyelse af certifikat. Hvis udfordringsadgangskoden er konfigureret, bruges den kun til indledende tilmelding, bruges det eksisterende/installerede certifikat til certifikatfornyelse.
• Telefonen fjerner ikke det gamle enhedscertifikat, før den henter det nye.
• Hvis fornyelse af certifikat mislykkes, fordi enhedscertifikatet eller CA udløber, udløser telefonen automatisk den første tilmelding. Hvis godkendelse af udfordringsadgangskoden i mellemtiden mislykkes, vises der en skærm til indtastning af adgangskode på telefonskærmen, og brugerne bliver bedt om at indtaste udfordringsadgangskoden på telefonen.

Cisco IP-telefon understøtter 802.1X-godkendelse.

Cisco IP-telefoner og Cisco Catalyst-switches bruger traditionelt CDP (Cisco Discovery Protocol) til at identificere hinanden og bestemme parametre som f.eks. VLAN-tildeling og krav til integreret strøm. CDP identificerer ikke lokalt tilknyttede arbejdsstationer. Cisco IP-telefon har en EAPOL-gennemføringsmekanisme. Denne mekanisme gør det muligt for en arbejdsstation, der er tilsluttet Cisco IP-telefon, at overføre EAPOL-meddelelser til 802.1X-godkenderen på LAN-switchen. Gennemføringsmekanismen sikrer, at IP-telefonen ikke fungerer som LAN-switch til at godkende et dataslutpunkt, før den får adgang til netværket.

Cisco IP-telefon har også en proxy-EAPOL-logoff-mekanisme. Hvis den lokalt tilsluttede pc afbryder forbindelsen til IP-telefonen, ser LAN-switchen ikke, at den fysiske forbindelse mislykkes, fordi forbindelsen mellem LAN-switchen og IP-telefonen bevares. For at undgå at kompromittere netværkets integritet sender IP-telefonen en EAPOL-Logoff-meddelelse til switchen på vegne af downstream-pc'en, hvilket udløser LAN-switchen til at rydde godkendelsesposten for downstream-pc'en.

Understøttelse af 802.1X-godkendelse kræver flere komponenter:

• Cisco IP Phone Telefonen starter anmodningen om at få adgang til netværket. Cisco IP-telefon indeholder en 802.1X-supplikant. Denne supplikant giver netværksadministratorer mulighed for at styre forbindelsen mellem IP-telefoner og LAN-switchportene. Den aktuelle version af telefonens 802.1X-supplikant bruger EAP-FAST- og EAP-TLS-indstillingerne til netværksgodkendelse.

• godkendelsestjeneste Godkendelsesserveren og switchen skal begge konfigureres med en delt hemmelighed, der godkender telefonen.

• Afbryder: Switchen skal understøtte 802.1X, så den kan fungere som godkendelsesfunktion og overføre meddelelserne mellem telefonen og godkendelsesserveren. Når udvekslingen er fuldført, giver eller afviser switchen telefonens adgang til netværket.

Du skal udføre følgende handlinger for at konfigurere 802.1X.

• Konfigurer de andre komponenter, før du aktiverer 802.1X-godkendelse på telefonen.

• Konfigurer pc-port: 802.1X-standarden tager ikke højde for VLAN'er og anbefaler derfor, at der kun godkendes én enkelt enhed til en bestemt switchport. Nogle switches understøtter dog godkendelse på flere domæner. Switchkonfigurationen bestemmer, om du kan tilslutte en pc til telefonens pc-port.

  • Aktiveret: Hvis du bruger en switch, der understøtter godkendelse på flere domæner, kan du aktivere pc-porten og tilslutte en pc til den. I dette tilfælde understøtter Cisco IP-telefon proxy-EAPOL-logoff til at overvåge godkendelsesudvekslingerne mellem switchen og den tilsluttede pc.

    Få flere oplysninger om understøttelse af IEEE 802.1X på Cisco Catalyst-switches i konfigurationsvejledningerne til Cisco Catalyst-switchen på:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • deaktiveret Hvis switchen ikke understøtter flere 802.1X-kompatible enheder på den samme port, skal du deaktivere pc-porten, når 802.1X-godkendelse er aktiveret. Hvis du ikke deaktiverer denne port og derefter forsøger at tilslutte en pc til den, nægter switchen netværksadgang til både telefonen og pc'en.

• Konfigurer tale-VLAN: Da 802.1X-standarden ikke tager højde for VLAN'er, skal du konfigurere denne indstilling baseret på switchunderstøttelsen.
  • Aktiveret: Hvis du bruger en switch, der understøtter godkendelse på flere domæner, kan du fortsætte med at bruge tale-VLAN'et.
  • deaktiveret Hvis switchen ikke understøtter godkendelse på flere domæner, skal du deaktivere tale-VLAN'et og overveje at tildele porten til det indbyggede VLAN.
• (Kun for Cisco Desk Phone 9800-serien)

  Cisco Desk Phone 9800-serien har et andet præfiks i PID end for de andre Cisco-telefoner. For at gøre det muligt for din telefon at bestå 802.1X-godkendelse skal du indstille parameteren Radius·Brugernavn til at inkludere din Cisco Desk Phone 9800-serie.

  For eksempel er PID for telefon 9841 DP-9841. Du kan indstille Radius·Brugernavn til Start med DP eller Indeholder DP. Du kan indstille den i begge følgende afsnit:

  • Politik > Betingelser > Biblioteksbetingelser

  • Politik > Politiksæt > Godkendelsespolitik > Godkendelsesregel 1

Da alle WLAN-enheder, der er inden for rækkevidde, kan modtage al anden WLAN-trafik, er det vigtigt at sikre talekommunikation i WLAN'er. For at sikre, at ubudne personer ikke manipulerer eller opfanger taletrafikken, understøtter Cisco SAFE Security-arkitekturen telefonen. Få yderligere oplysninger om sikkerhed i netværk på http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Ciscos løsning til trådløs IP-telefoni giver sikkerhed for trådløst netværk, der forhindrer uautoriseret logon og kompromitteret kommunikation ved at bruge følgende godkendelsesmetoder, som telefonen understøtter:

• Åbn godkendelse: Enhver trådløs enhed kan anmode om godkendelse i et åbent system. Det adgangspunkt, der modtager anmodningen, kan give godkendelse til enhver anmoder eller kun til anmodere, der findes på en liste over brugere. Kommunikationen mellem den trådløse enhed og adgangspunktet (AP) kunne ikke krypteres.

• Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST)-godkendelse: Denne klient-server-sikkerhedsarkitektur krypterer EAP-transaktioner inden for en TLS-tunnel (Transport Level Security) mellem AP'en og RADIUS-serveren, f.eks. ISE (Identity Services Engine).

  TLS-tunnelen bruger PAC'er (Protected Access Credentials) til godkendelse mellem klienten (telefonen) og RADIUS-serveren. Serveren sender et Authority ID (AID) til klienten (telefonen), som igen vælger den relevante PAC. Klienten (telefon) returnerer en PAC-uigennemsigtig til RADIUS-serveren. Serveren dekrypterer PAC med den primære nøgle. Begge slutpunkter indeholder nu PAC-nøglen, og der oprettes en TLS-tunnel. EAP-FAST understøtter automatisk PAC-klargøring, men du skal aktivere den på RADIUS-serveren.

  I ISE udløber PAC som standard om en uge. Hvis telefonen har en udløbet PAC, tager godkendelse med RADIUS-serveren længere tid, mens telefonen får en ny PAC. For at undgå forsinkelser i PAC-klargøring skal du indstille PAC-udløbsperioden til 90 dage eller længere på ISE- eller RADIUS-serveren.

• Godkendelse af Extensible Authentication Protocol-Transport Layer Security (EAP-TLS): EAP-TLS kræver et klientcertifikat til godkendelse og netværksadgang. Når det gælder trådløs EAP-TLS, kan klientcertifikatet være et MIC-, LSC- eller brugerinstalleret certifikat.

• Protected Extensible Authentication Protocol (PEAP): Ciscos beskyttede adgangskodebaserede gensidige godkendelsesordning mellem klienten (telefonen) og en RADIUS-server. Telefonen kan bruge PEAP til godkendelse med det trådløse netværk. Både PEAP-MSCHAPV2- og PEAP GTC-godkendelsesmetoder understøttes.

• Forhåndsdelt nøgle (PSK): Telefonen understøtter ASCII-format. Du skal bruge dette format, når du konfigurerer en forhåndsdelt WPA/WPA2/SAE-nøgle:

  ASCII: en ASCII-tegnstreng med en længde på 8 til 63 tegn (0-9, små og store bogstaver A-Z og specialtegn)

  Eksempel: Greg123567@9zx&w