Du kan aktivere Cisco Unified Communications Manager, så den fungerer i et miljø med udvidet sikkerhed. Disse forbedringer gør, at dit telefonnetværk skal overholde et sæt strenge sikkerheds- og risikostyringskontroller, så du og dine brugere er beskyttet.

Det forbedrede sikkerhedsmiljø indeholder følgende funktioner:

  • Autorisation af kontaktsøgning.

  • TCP som standardprotokol til ekstern revisionslogføring.

  • FIPS-tilstand.

  • En forbedret politik om legitimationsoplysninger.

  • Understøttelse af SHA-2-serien af hastværdier til digitale signaturer.

  • Understøttelse af RSA-nøglestørrelse på 512 og 4096 bit.

Med Cisco Unified Communications Manager version 14.0 og Cisco Video Phone Firmware Release 2.1 og nyere understøtter telefonerne SIP OAuth-godkendelse.

OAuth understøttes for Proxy Trivial File Transfer Protocol (TFTP) med Cisco Unified Communications Manager version 14.0(1)SU1 eller nyere. Proxy-TFTP og OAuth til proxy-TFTP understøttes ikke på MRA (Mobile Remote Access).

Få yderligere oplysninger om sikkerhed under følgende:

Telefonen kan kun lagre et begrænset antal ITL-filer (Identity Trust List). ITL-filer kan ikke overstige 64K på telefonen, så begræns antallet af filer, som Cisco Unified Communications Manager sender til telefonen.

Understøttede sikkerhedsfunktioner

Sikkerhedsfunktionerne beskytter mod trusler, herunder trusler i forhold til identiteten af telefonen og dataene. Disse funktioner etablerer og opretholder godkendte kommunikationsstrømme mellem telefonen og Cisco Unified Communications Manager-servere og sikrer, at telefonen kun bruger filer, der er signeret digitalt.

Cisco Unified Communications Manager Release 8.5(1) og senere omfatter Security by Default, der giver følgende sikkerhedsfunktioner for Cisco IP-telefon, uden at køre CTL-klienten:

  • Signering af telefonkonfigurationsfilerne

  • Kryptering af telefonkonfigurationsfiler

  • HTTPS med Tomcat og andre webservices

Sikre signalerings- og mediefunktioner kræver stadig, at du kører CTL-klienten og bruger hardware-eTokens.

Implementering af sikkerheden i Cisco Unified Communications Manager-systemet forhindrer identitetstyveri på telefonen, og Cisco Unified Communications Manager-serveren forhindrer datamanipulation og forhindrer manipulation af opkaldssignaler og mediestreams.

For at afhjælpe disse trusler etablerer og opretholder Cisco IP-telefon-netværket sikre (krypterede) kommunikationsstrømme mellem en telefon og serveren, signerer filer digitalt, før de overføres til en telefon, og krypterer mediestreams og opkaldssignaler mellem Cisco IP-telefon.

Et lokalt LSC (Locally Significant Certificate) installeres på telefoner, når du har udført de nødvendige opgaver, der er knyttet til CAPF (Certificate Authority Proxy Function). Du kan bruge Cisco Unified Communications Manager Administration til at konfigurere en LSC, sådan som det er beskrevet i Cisco Unified Communications Manager Security Guide. Du kan også starte installationen af en LSC fra telefonens menu med sikkerhedsindstillinger. I denne menu kan du også opdatere eller fjerne en LSC.

En LSC kan ikke bruges som brugercertifikatet til EAP-TLS med WLAN-godkendelse.

Telefonerne bruger telefonsikkerhedsprofilen, der definerer, om enheden er sikker eller sikker. Få oplysninger om anvendelse af sikkerhedsprofilen på telefonen i dokumentationen til din specifikke version af Cisco Unified Communications Manager

Hvis du konfigurerer sikkerhedsmæssige indstillinger i Cisco Unified Communications Manager Administration, indeholder telefonkonfigurationsfilen følsomme oplysninger. For at sikre fortroligheden af en konfigurationsfil skal du konfigurere den til kryptering. Få mere detaljerede oplysninger i dokumentationen til din specifikke version af Cisco Unified Communications Manager.

Telefonen overholder FIPS (Federal Information Processing Standard). For at kunne fungere korrekt kræver FIPS-tilstanden en nøgle på 2048 bit eller mere. Hvis RSA-servercertifikatet er mindre end 2048 bit, tilmeldes telefonen ikke i Cisco Unified Communications Manager, og telefonen kan ikke tilmeldes. Størrelsen på certificeringsnøglen er ikke FIPS-kompatibel vises på telefonen.

Hvis telefonen har en LSC, skal du opdatere størrelsen af LSC-nøglen til 2048 bit eller mere, før FIPS aktiveres.

Følgende tabel indeholder en oversigt over sikkerhedsfunktioner, som telefonerne understøtter. Få flere oplysninger i dokumentationen til din specifikke version af Cisco Unified Communications Manager.

For at se sikkerhedstilstanden skal du trykke på Indstillinger Den hårde tast Indstillinger Og naviger til Netværk og tjeneste > sikkerhedsindstillinger.

Tabel 1. Oversigt over sikkerhedsfunktioner

Funktion

Beskrivelse

Godkendelse af afbildning

Signerede binære filer forhindrer manipulation med firewareafbildningen, før afbildningen indlæses på en telefon.

Hvis afbildningen bliver manipuleret, får det telefonen til at give fejl under godkendelsesprocessen og afvise den nye afbildning.

Installation af certifikat på kundewebsted

Hver enkelt Cisco IP-telefon understøttet et unikt certifikat for enhedsgodkendelse. Telefoner har et produktionsinstalleret certifikat (MIC), men som ekstra sikkerhed kan du angive certifikatinstallation i Cisco Unified Communications Manager Administration ved hjælp af CAPF (Certificate Authority Proxy Function). Du kan også vælge at installere et LSC (Locally Significant Certificate) fra menuen Sikkerhedskonfiguration på telefonen.

Enhedsgodkendelse

Sker mellem Cisco Unified Communications Manager-serveren og profilen, når hver enkelt enhed accepterer den anden enheds certifikat. Bestemmer, om en sikker forbindelse mellem telefon og en Cisco Unified Communications Manager bør ske, og opretter en sikker signalsti mellem enhederne ved hjælp af TLS-protokollen, hvis det er nødvendigt. Cisco Unified Communications Manager registrerer ikke telefoner, medmindre den kan godkende dem.

Filgodkendelse

Validerer digitalt signerede filer, som telefonen downloader. Telefonen validerer signaturen for at sikre, at filen ikke er blevet manipuleret efter oprettelse af filen. Filer, der ikke kan godkendes, skrives ikke på telefonens Flash-hukommelse. Telefonen afviser sådanne filer uden yderligere behandling.

Kryptering af filer

Kryptering forhindrer, at følsomme oplysninger bliver vist, mens filen er undervejs til telefonen. Derudover validerer telefonen signaturen for at sikre, at filen ikke er blevet manipuleret efter oprettelse af filen. Filer, der ikke kan godkendes, skrives ikke på telefonens Flash-hukommelse. Telefonen afviser sådanne filer uden yderligere behandling.

Godkendelse af signaler

Bruger TLS-protokollen til at validere, at signalpakker ikke er blevet manipuleret under afsendelse.

Produktionsinstalleret certifikat

Hver enkelt Cisco IP-telefon indeholder et unikt MIC (manufacturing installed certificate), der bruges til godkendelse af enheder. MIC giver et permanent og entydigt bevis på telefonens identitet og giver Cisco Unified Communications Manager mulighed for godkende telefonen.

Mediekryptering

Bruger SRTP til at sikre, mediestreams mellem understøttede enheder er beskyttet, og at det kun er den tilsigtede enhed, der modtager og læser dataene. Omfatter oprettelse af et mediehovednøglepar for enhederne, levering af nøglerne til enhederne og sikring af levering af nøglerne, når nøglerne transporteres.

CAPF (Certificate Authority Proxy Function)

Implementerer dele af proceduren til oprettelse af certifikat, der er for behandlingskrævende for telefonen, og interagerer med telefonen i forhold til oprettelse af nøgler og installation af certifikater. CAPF kan konfigureres til at anmode om certifikater fra kundeangivne nøglecentre på vegne af telefonen, eller den kan konfigureres til at oprette certifikater lokalt.

Både EC (elliptisk kurve) og RSA nøgletyper understøttes. Hvis du vil bruge EC-tasten, skal du sørge for, at parameteren "Endpoint Advanced Encryption Algorithms Support" (fra parameteren System > Enterprise) er aktiveret.

Du kan finde flere oplysninger om CAPF og relaterede konfigurationer i følgende dokumenter:

Sikkerhedsprofil

Definerer, om telefonen ikke er sikker, godkendt, krypteret eller beskyttet. Andre poster i denne tabel beskriver sikkerhedsfunktioner.

Krypterede konfigurationsfiler

Giver dig mulighed for at sikre fortroligheden af telefonkonfigurationsfilerne.

Valgfri deaktivering af webserver for en telefon

Af sikkerhedsmæssige hensyn kan du forhindre adgang til websider for en telefon (der vises forskellige statistiske oplysninger om telefonen) og Selvbetjeningsportal.

Telefonhærdning

Ekstra sikkerhedsindstillinger, du kan styre fra Cisco Unified Communications Manager Administration:

  • Deaktivering af pc-port
  • Deaktivering af GARP (Gratuitous ARP)
  • Deaktivering af PC Voice VLAN-adgang
  • Deaktivering af adgang til menuen Indstilling eller sikring af begrænset adgang
  • Deaktivering af adgang til websider for en telefon
  • Deaktivering af Bluetooth-tilbehørsport
  • Begrænse TLS-kryptering

802.1X autentificering

Cisco IP-telefon kan bruge 802.1X-godkendelse til at anmode om og få adgang til netværket. Se 802.1X-godkendelse for at få flere oplysninger.

Sikker SIP-failover for SRST

Når du har konfigureret en SRST-reference (Survivable Remote Site Telephony) af sikkerhedsmæssige årsager og derefter nulstiller de afhængige enheder i Cisco Unified Communications Manager Administration, føjer TFTP-serveren SRST-certifikatet til telefonens cnf.xml-fil og sender filen til telefonen. Derefter bruger en sikker telefon en TLS-forbindelse for at interagere med den SRST-aktiverede router.

Kryptering af signaler

Sikrer, at alle SIP signalmeddelelserne, der sendes mellem enheden og Cisco Unified Communications Manager-serveren, er krypteret.

Alarm om opdatering af tillidsliste

Når tillidslisten opdateres på telefonen, modtager Cisco Unified Communications Manager en alarm for at angive, om opdateringen blev gennemført eller mislykkedes. Se følgende tabel for at få flere oplysninger.

AES 256-kryptering

Når telefonerne har forbindelse til Cisco Unified Communications Manager Release 10.5(2) og senere, understøtter de AES 256-krypteringsunderstøttelse for TLS og SIP for brug af signaler og mediekryptering. Dette betyder, at telefoner kan igangsætte og understøtte TLS 1.2-forbindelser ved hjælp af AES-256-baserede koder, der overholder SHA-2-standarderne (Secure Hash Algorithm) og FIPS (Federal Information Processing Standards). Krypteringen omfatter:

  • For TLS-forbindelser:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • For sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Få flere oplysninger i dokumentationen til Cisco Unified Communications Manager.

ECDSA-certifikater (Elliptic Curve Digital Signature Algorithm)

Som del af CC-certificeringen (Common Criteria) har Cisco Unified Communications Manager tilføjet ECDSA-certifikater i version 11.0. Dette påvirker alle VOS-produkter (Voice Operating System), der kører CUCM 11.5 og senere versioner.

Multi-server (SAN) Tomcat-certifikat med Cisco UCM

Telefonen understøtter Cisco UCM med SAN-tomcat-certifikater (Multi-server) konfigureret. Den korrekte TFTP-serveradresse findes i telefonens ITL-fil til telefonens registrering.

Du kan finde flere oplysninger om funktionen i følgende:

Følgende tabel indeholder alarmmeddelelser om opdatering af tillidsliste og deres betydning Få flere oplysninger i dokumentationen til Cisco Unified Communications Manager.

Tabel 2. Alarmmeddelelser om opdatering af tillidsliste
Kode og meddelelse Beskrivelse

1 - TL_SUCCESS

Modtaget ny CTL og/eller ITL

2 - CTL_INITIAL_SUCCESS

Modtaget ny CTL, ingen eksisterende TL

3 - ITL_INITIAL_SUCCESS

Modtaget ny ITL, ingen eksisterende TL

4 - TL_INITIAL_SUCCESS

Modtaget ny CTL og ITL, ingen eksisterende TL

5 - TL_FAILED_OLD_CTL

Opdatering til CTL mislykkedes, men har tidligere TL

6 - TL_FAILED_NO_TL

Opdatering til ny TL mislykkedes og har ingen gammel TL

7 - TL_FAILED

Generisk fejl

8 - TL_FAILED_OLD_ITL

Opdatering til ITL mislykkedes, men har tidligere TL

9 - TL_FAILED_OLD_TL

Opdatering til TL mislykkedes, men har tidligere TL

Menuen Sikkerhedsopsætning indeholder oplysninger om forskellige sikkerhedsindstillinger. Menuen giver også adgang til menuen Tillidsliste og angiver, om CTL- eller ITL-filen er installeret på telefonen.

Følgende tabel indeholder en beskrivelse af indstillingerne i menuen Sikkerhedsopsætning.

Tabel 3. Menuen Sikkerhedsopsætning

Indstilling

Beskrivelse

Hvis du vil ændre

Sikkerhedstilstand

Viser den sikkerhedstilstand, der er indstillet for telefonen.

Gå til Cisco Unified Communications Manager Administration, og vælg Enhed > Telefon. Indstillingen vises i delen med protokolspecifikke oplysninger i vinduet Telefonkonfiguration.

LSC

Angiver, om et certifikat der er væsentligt lokalt, og som bruges til sikkerhedsfunktioner, er installeret på telefonen (installeret) eller ikke er installeret på telefonen (ikke installeret).

Få oplysninger om, hvordan du administrerer LSC for din telefon, i dokumentationen til din specifikke version af Cisco Unified Communications Manager

Konfigurer et lokalt signifikant certifikat (LSC)

Denne opgave anvendes til at konfigurere en LSC med godkendelsesstrengmetoden.

Før du begynder

Sørg for, at de rigtige sikkerhedskonfigurationer af Cisco Unified Communications Manager og Certificate Authority Proxy Function (CAPF) er angivet:

  • CTL- eller ITL-filen har et CAPF-certifikat.

  • Bekræft, at CAPF-certifikatet er installeret i Cisco Unified Communications Operating System Administration.

  • CAPF kører og er konfigureret.

Få flere oplysninger om disse indstillinger i dokumentationen til din specifikke version af Cisco Unified Communications Manager.

1

Få den CAPF-godkendelseskode, der blev indstillet, da CAPF blev konfigureret.

2

Tryk på Indstillinger på telefonen the Settings hard key.

3

Indtast adgangskoden for at få adgang til menuen Indstillinger , hvis du bliver bedt om det. Du kan få adgangskoden fra administratoren.

4

Naviger til Netværk og tjeneste > sikkerhedsindstillinger > LSC.

Du kan kontrollere adgang til menuen Indstillinger ved at bruge feltet Adgang til indstillinger i Cisco Unified Communications Manager Administration.

5

Angiv godkendelsesstrengen, og vælg Send.

Telefonen begynder at installere, opdatere eller fjerne LSC'en, afhængigt af hvordan CAPF er konfigureret. Når proceduren er fuldført, vises Installeret eller Ikke installeret på telefonen.

Processen til installation, opdatering eller fjernelse af LSC kan tage lang tid at fuldføre.

Når proceduren til installation af telefonen er gennemført, vises meddelelsen Installeret. Hvis telefonen viser Ikke installeret, kan godkendelsesstrengen være forkert, eller telefonopgraderingen er muligvis ikke aktiveret. Hvis CAPF-handlingen sletter LSC, viser telefonen Ikke installeret for at angive, at handlingen er gennemført. CAPF-serveren logfører fejlmeddelelserne. Se i dokumentationen til CAPF-serveren for at finde logfilerne og for at forstå, hvad fejlmeddelelserne betyder.

Aktivér FIPS-tilstand

1

Gå til Cisco Unified Communications Manager Administration, og vælg Enhed > Telefon, og find telefonen.

2

Gå til området Produktspecifikt konfigurationslayout.

3

Indstil feltet FIPS-tilstand til Aktiveret.

4

Vælg Gem.

5

Vælg Anvend konfig.

6

Genstart telefonen.

Slå højttalertelefon, hovedtelefoner og håndsæt fra på en telefon

Du har mulighed for permanent at slukke for højttalertelefonen, hovedtelefonerne og håndsættet på en telefon for din bruger.

1

Gå til Cisco Unified Communications Manager Administration, og vælg Enhed > Telefon, og find telefonen.

2

Gå til området Produktspecifikt konfigurationslayout.

3

Markér et eller flere af følgende afkrydsningsfelter for at deaktivere telefonens funktioner:

  • Deaktiver højttalertelefon
  • Deaktiver højttalertelefon og hovedtelefoner
  • Deaktiver håndsæt

Disse afkrydsningsfelter er som standard ikke markeret.

4

Vælg Gem.

5

Vælg Anvend konfig.

802.1X autentificering

Cisco IP-telefon understøtter 802.1X-godkendelse.

Cisco IP-telefon og Cisco Catalyst-switches bruger traditionelt set Cisco Discovery Protocol (CDP) til at identificere hinanden og bestemme parametre som f.eks. VLAN-tildeling og integreret strømkrav. CDP identificerer ikke lokalt tilknyttede arbejdsstationer. Cisco IP-telefon har en EAPOL-gennemføringsmekanisme. Denne mekanisme giver mulighed for, at en arbejdsstation, der er knyttet til Cisco IP-telefon, kan overføre EAPOL-meddelelser til 802.1X-godkendelsesfunktionen på LAN-switchen. Gennemføringsmekanismen sikrer, at IP-telefonen ikke fungerer som den LAN-switch, der skal godkende et dataslutpunkt før adgang til netværket.

Cisco IP-telefon har også en proxymekanisme til EAPOL-aflogning. Hvis den lokalt tilknyttede pc kobles fra IP-telefonen, ser LAN-kontakten ikke afbrydelsen af det fysiske link, fordi linket mellem LAN-switchen og IP-telefonen bevares. For at undgå at kompromittere netværkets integritet sender IP-telefonen en meddelelse om EAPOL-aflogning til switchen på vegne af nedstrøms-pc'en, der får LAN-switchen til at rydde godkendelsesposten for nedstrøms-pc'en.

Understøttelse af 802.1X-godkendelse kræver flere komponenter:

  • Cisco IP-telefon: Telefonen starter anmodningen for at få adgang til netværket. Cisco IP-telefon indeholder en 802.1X-supplikant. Denne supplikant giver netværksadministratorer kontrol over forbindelsen mellem IP-telefoner og porte på LAN-switch. Den aktuelle version af telefonens 802.1X-supplikant bruger EAP-FAST- og EAP-TLS-indstillingerne til netværksgodkendelse.

  • Godkendelsesserver: Godkendelsesserveren og switchen skal begge være konfigureret med en delt hemmelighed, der godkender telefonen.

  • Switch: Switchen skal understøtter 802.1X, så den kan fungere som godkendelsesfunktion og sender meddelelserne mellem telefonen og godkendelsesserveren. Når udvekslingen er fuldført, giver eller afviser switchen at give telefonen adgang til netværket.

Du skal udføre følgende handlinger for at konfigurere 802.1X.

  • Konfigurer de andre komponenter, før du aktiverer 802.1X-godkendelse på telefonen.

  • Konfigurer pc-port: 802.1X-standarden tager ikke højde for VLAN'er og anbefaler derfor, at der kun godkendes én enkelt enhed til en bestemt switchport. Visse switches understøtter imidlertid godkendelse på flere domæner. Konfigurationen af switchen bestemmer, om du kan forbinde en pc til telefonens pc-port.

    • Aktiveret: Hvis du bruger en switch, der understøtter godkendelse på flere domæner, kan du aktivere pc-porten og tilslutte en pc til den. I dette tilfælde understøtter Cisco IP-telefon proxy-EAPOL-aflogning for at overvåge godkendelsesudvekslingen mellem switchen og den tilsluttede pc.

      Få flere oplysninger om IEEE 802.1X-understøttelse på Cisco Catalyst-switches ved at se vejledninger i konfiguration af Cisco Catalyst-switchen på:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Deaktiveret: Hvis switchen ikke understøtter flere 802.1X-kompatible enheder på den samme port, skal du deaktivere pc-porten, når 802.1X-godkendelse er aktiveret. Hvis du ikke deaktiverer denne port og derefter forsøger at tilslutte en pc til den, afviser switchen netværksadgang til både telefonen og pc'en.

  • Konfigurer tale-VLAN: Da 802.1X-standarden ikke tager højde for VLAN'er, skal du konfigurere denne indstilling ud fra switchunderstøttelsen.
    • Aktiveret: Hvis du bruger en switch, der understøtter godkendelse på flere domæner, kan du fortsat bruge tale-VLAN'et.
    • Deaktiveret: Hvis switchen ikke understøtter godkendelse på flere domæner, skal du deaktivere tale-VLAN'et og overveje at tildele porten til det indbyggede VLAN.
  • (Kun for Cisco Desk Phone 9800-serien)

    Cisco Desk Phone 9800-serien har et andet præfiks i PID end for andre Cisco-telefoner. Indstil Radius· for at aktivere din telefon til at passere 802.1X-godkendelse Parameteren Brugernavn , der inkluderer din Cisco Desk Phone 9800-serie.

    For eksempel er PID på telefon 9841 DP-9841; du kan indstille Radius· Brugernavn : Starter med DP eller indeholder DP. Du kan angive det i begge følgende afsnit:

    • Politik > Betingelser > Biblioteksbetingelser

    • Politik > Politiksæt> Autorisationspolitik > Autorisationsregel 1

Aktivér 802.1X-godkendelse

Du kan aktivere 802.1 X-godkendelse for din telefon ved at følge disse trin:

1

Tryk på Indstillinger.the Settings hard key.

2

Indtast adgangskoden for at få adgang til menuen Indstillinger , hvis du bliver bedt om det. Du kan få adgangskoden fra administratoren.

3

Naviger til Netværks- og tjeneste >sikkerhedsindstillinger > 802.1X-godkendelse .

4

Slå IEEE 802.1X-godkendelse til.

5

Vælg Anvend.

Få vist oplysninger om sikkerhedsindstillinger på telefonen

Du kan få vist oplysninger om sikkerhedsindstillingerne i telefonmenuen. Tilgængeligheden af oplysningerne afhænger af netværksindstillingerne i din organisation.

1

Tryk på Indstillinger.the Settings key.

2

Naviger til Indstillinger for netværk og tjeneste > sikkerhed.

3

Få vist følgende oplysninger under Sikkerhedsindstillinger.

Tabel 4. Parametre for sikkerhedsindstillinger

Parametre

Beskrivelse

Sikkerhedstilstand

Viser den sikkerhedstilstand, der er indstillet for telefonen.

LSC

Angiver, om et certifikat, der er væsentligt lokalt, og som bruges til sikkerhedsfunktionerne, er installeret på telefonen (Ja) eller ikke er installeret på telefonen (Nej).

Trust-liste

Tillidslisten giver undermenuer for CTL-, ITL- og signerede konfigurationsfiler.

Undermenuen CTL-fil viser indholdet af CTL-filen. Undermenuen ITL-fil viser indholdet af ITL-filen.

Menuen Tillidslisten viser også følgende oplysninger:

  • CTL-signatur: SHA1-hash-værdien for CTL-filen
  • Unified CM/TFTP-server: navnet på Cisco Unified Communications Manager og TFTP-serveren, telefonen bruger. Viser et ikon for certifikat, hvis et certifikat er installeret for denne server.
  • CAPF-Server: navnet på den CAPF-server, telefonen bruger. Viser et ikon for certifikat, hvis et certifikat er installeret for denne server.
  • SRST-Router: IP-adressen for den betroede SRST-router, telefonen kan bruge. Viser et ikon for certifikat, hvis et certifikat er installeret for denne server.

Telefonopkaldssikkerhed

Når der implementeres sikkerhed for en telefon, kan du identificere sikre telefonopkald på ikoner på telefonskærmen. Du kan også bestemme, om den tilsluttede telefon er sikker og beskyttet, hvis der afspilles en sikkerhedstone i begyndelsen af opkaldet.

I et sikkert opkald krypteres alle signal- og mediestreams. Et sikkert opkald tilbyder et højt niveau af sikkerhed med integritet og beskyttelse af personlige oplysninger ved opkaldet. Når et igangværende opkald er krypteret, kan du se ikonet sikkert Låseikonet for et sikkert opkald På linjen. For en sikker telefon kan du også se det godkendte ikon Eller det krypterede ikon Ud for den tilsluttede server i telefonmenuen (Indstillinger > Om denne enhed).

Hvis opkaldet sendes gennem ikke-IP-opkaldslogge, f.eks. PSTN, er opkaldet muligvis ikke-sikkert, selvom det er krypteret på IP-netværket og har et låseikon tilknyttet.

I et sikkert opkald afspilles der en sikkerhedstone i begyndelsen af et opkald for at angive, at den anden tilsluttede telefon også modtager og sender sikker lyd. Hvis dit opkald forbinder til en ikke-sikker telefon, afspilles sikkerhedstonen ikke.

Sikre opkald understøttes kun for forbindelse mellem to telefoner. Visse funktioner, f.eks. konferenceopkald og delte linjer, er ikke tilgængelige, når sikre opkald er konfigureret.

Når en telefon konfigureres som sikker (krypteret og med tillid til) i Cisco Unified Communications Manager, kan den få en Beskyttet status. Derefter kan den beskyttede telefon konfigureres til at afspille en indikationstone i begyndelsen af et opkald:

  • Beskyttet enhed: Hvis du vil ændre en sikker telefons status til beskyttet, skal du markere afkrydsningsfeltet Beskyttet enhed i vinduet Telefonkonfiguration i Cisco Unified Communications Manager Administration (Enhed > Telefon).

  • Afspil sikker indikationstone: Hvis den beskyttede telefon skal afspille en sikker eller ikke-sikker indikationstone, skal du sætte indstillingen Afspil sikker indikationstone til Sand. Afspil sikker indikationstone er som standard indstillet til Falsk. Du angiver denne indstilling i Cisco Unified Communications Manager Administration (System > Serviceparametre). Vælg serveren og derefter tjenesten Unified Communications Manager. I vinduet Konfiguration af serviceparametre skal du vælge indstillingen i området Funktion - Sikker tone. Er som standard Falsk.

Sikker identifikation af konferenceopkald

Du kan starte et sikkert konferenceopkald og overvåge deltagernes sikkerhedsniveau. Sådan etablerer du et sikkert konferenceopkald:

  1. En bruger starter konferencen fra en sikker telefon.

  2. Cisco Unified Communications Manager tildeler en sikker konferencebro til opkaldet.

  3. Efterhånden som deltagere tilføjes, bekræfter Cisco Unified Communications Manager sikkerhedstilstanden for hver telefon og beholder det sikre niveau for konferencen.

  4. Telefonen viser konferenceopkaldets sikkerhedsniveau. En sikker konference viser ikonet for sikkert Låseikonet for et sikkert opkald.

Sikre opkald understøttes mellem to telefoner. For beskyttede telefoner er visse funktioner, f.eks. konferenceopkald, delte linjer og Extension Mobility, ikke tilgængelige, når sikre opkald er konfigureret.

Følgende tabel indeholder oplysninger om ændringer af konferencens sikkerhedsniveauer afhængigt af igangsætterens telefonsikkerhedsniveau, deltagernes sikkerhedsniveau og tilgængeligheden af sikre konferencebroer.

Tabel 5. Sikkerhedsbegrænsninger med konferenceopkald

Igangsætterens telefonsikkerhedsniveau

Anvendt funktion

Deltagernes sikkerhedsniveau

Resultater af handling

Ikke-sikker

Konference

Sikker

Ikke-sikker konferencebro

Ikke-sikker konference

Sikker

Konference

Mindst ét medlem er ikke-sikkert.

Sikker konferencebro

Ikke-sikker konference

Sikker

Konference

Sikker

Sikker konferencebro

Sikker og krypteret konference

Ikke-sikker

Mød Mig

Det minimale sikkerhedsniveau er krypteret.

Igangsætteren får beskeden Opfylder ikke sikkerhedsniveauet, opkald afvist.

Sikker

Mød Mig

Det minimale sikkerhedsniveau er ikke-sikkert.

Sikker konferencebro

Konferencen accepterer alle opkald.

Sikker identifikation af telefonopkald

Et sikkert opkald etableres, når din telefon og telefonen i den anden ende er konfigureret til sikre opkald. Den anden telefon kan være på samme Cisco IP-netværk eller på et netværk uden for IP-netværket. Sikre opkald kan kun foretages mellem to telefoner. Konferenceopkald bør understøtte sikre opkald, efter en sikker konferencebro er konfigureret.

Et sikret opkald etableres ved hjælp af denne proces:

  1. En bruger starter opkaldet fra en sikret telefon (sikret sikkerhedstilstand).

  2. Telefonen viser ikonet for sikkert opkald Låseikonet for et sikkert opkald På telefonskærmen. Dette ikon angiver, at telefonen er konfigureret til sikre opkald, men dette betyder ikke, at den anden tilsluttede telefon også er sikret.

  3. Brugeren hører en sikkerhedstone, hvis opkaldet opretter forbindelse til en anden sikret telefon, hvilket angiver, at begge ender af samtalen er krypteret og sikret. Hvis opkaldet opretter forbindelse til en ikke-sikret telefon, vil brugere ikke høre sikkerhedstonen.

Sikre opkald understøttes mellem to telefoner. For beskyttede telefoner er visse funktioner, f.eks. konferenceopkald, delte linjer og Extension Mobility, ikke tilgængelige, når sikre opkald er konfigureret.

Kun beskyttede telefoner afspiller disse sikre eller ikke-sikre indikationstoner. Ikke-beskyttede telefoner afspiller aldrig toner. Hvis den generelle opkaldsstatus ændrer sig under opkaldet, ændres indikationstonen, og den beskyttede telefon afspiller den passende tone.

En beskyttet telefon afspiller en tone (eller ikke) under følgende omstændigheder:

  • Når indstillingen Afspil sikker indikationstone er aktiveret:

    • Når sikkert end-to-end-medie er etableret, og opkaldsstatussen er sikker, afspiller telefonen den sikre indikationstone (tre lange bip med pauser).

    • Når usikkert end-to-end-medie er etableret, og opkaldsstatussen er ikke-sikker, afspiller telefonen den ikke-sikre indikationstone (seks korte bip med korte pauser).

Hvis indstillingen Afspil sikker indikationstone er deaktiveret, afspilles der ingen tone.

Giv kryptering til pramme

Cisco Unified Communications Manager kontrollerer telefonens sikkerhedsstatus, når der er etableret konferencer, og ændrer sikkerhedsangivelse for konferencen eller blokerer afslutningen af opkaldet for at sikre systemets integritet og sikkerhed.

En bruger kan ikke bryde ind i et krypteret opkald, hvis den telefon, der bruges til at bryde ind med, ikke er konfigureret til kryptering. Når bryd ind-handlingen mislykkes i dette tilfælde, afspilles en omorganiseringstone (hurtig optaget) på den telefon, hvor bryd ind blev startet.

Hvis den startende telefon er konfigureret til kryptering, kan den, der starter bryd ind-handlingen, bryde ind i et ikke-sikkert opkald fra den krypterede telefon. Når bryd ind-handlingen er sket, klassificerer Cisco Unified Communications Manager opkaldet som ikke-sikkert

Hvis den startende telefon er konfigureret til kryptering, kan den, der starter bryd ind-handlingen, bryde ind i et krypteret opkald, og telefonen angiver, at opkaldet er krypteret.

WLAN-sikkerhed

Dette afsnit gælder kun for telefonmodeller med Wi-Fi funktion.

WLAN-sikkerhed

Da alle WLAN-enheder, der er inden for rækkevidde, kan modtage alle andres WLAN-trafik, er beskyttelse af talekommunikation vigtigt i WLAN. For at sikre, at ubudne gæster ikke manipulerer eller opfanger taletrafik, understøtter Cisco SAFE Security-arkitekturen telefonen. Få flere oplysninger om sikkerhed i netværk under http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Cisco trådløs IP telefoniløsning giver trådløs netværkssikkerhed, der forhindrer uautoriseret login og kompromitteret kommunikation ved hjælp af følgende godkendelsesmetoder, som telefonen understøtter:

  • Åben godkendelse: Trådløse enheder kan anmode om godkendelse i et åbent system. Det AP, der modtager anmodningen, kan give godkendelse til en person eller kun de anmodere, der findes på en liste over brugere. Kommunikationen mellem den trådløse enhed og adgangspunktet (AP) kan være ikke-krypteret.

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Authentication: Denne klient-server-sikkerhedsarkitektur krypterer EAP transaktioner inden for en TLS (Transport Level Security)-tunnel mellem adgangspunktet og RADIUS-serveren, f.eks. Identity Services Engine (ISE).

    TLS-tunnelen bruger PAC'er (Protected Access Credentials) til godkendelse mellem klienten (telefon) og RADIUS-serveren. Serveren sender et AID (Authority ID) til klienten (telefonen), som gengæld vælger det relevante PAC. Klienten (telefonen) returnerer en PAC-Opaque til RADIUS-serveren. Serveren dekrypterer PAC med masternøglen. Begge slutpunkter indeholder nu PAC-nøglen, og der oprettes en TLS-tunnel. EAP-FAST understøtter automatisk PAC-klargøring, men du skal aktivere det på RADIUS-serveren.

    I ISE udløber PAC som standard om en uge. Hvis telefonen har en udløbet PAC, tager en godkendelse med RADIUS-serveren længere tid, mens telefonen får en ny PAC. For at undgå forsinkelser pga. PAC-klargøring skal du indstille PAC-udløbsperioden til 90 dage eller længere på ISE'en eller RADIUS-serveren.

  • EAP-TLS-godkendelse (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS kræver et klientcertifikat til godkendelse og netværksadgang. For trådløse EAP-TLS kan klientcertifikatet være MIC, LSC eller brugerinstalleret certifikat.

  • PEAP (Protected Extensible Authentication Protocol): Ciscos beskyttede adgangskodebaserede gensidige godkendelsesmetode mellem klienten (telefonen) og en RADIUS-server. Telefonen kan bruge PEAP til godkendelse med det trådløse netværk. Både PEAP MSCHAPV2- og PEAP GTC-godkendelsesmetoden understøttes.

  • Pre-Shared Key (PSK): Telefonen understøtter ASCII format. Du skal bruge dette format, når du konfigurerer en forhåndsdelt nøgle til WPA/WPA2/SAE:

    ASCII: en ASCII-tegnstreng med 8 til 63 tegn (0-9, små bogstaver og store bogstaver A-Z og specialtegn)

    Eksempel: GREG123567@9ZX&W

Følgende godkendelsesmetode bruger RADIUS-serveren til at administrere godkendelsesnøgler:

  • WPA/WPA2/WPA3: Bruger RADIUS-serveroplysninger til at generere entydige nøgler til godkendelse. Da disse nøgler genereres på den centrale RADIUS-server, giver WPA2/WPA3 mere sikkerhed end forhåndsdelte WPA-nøgler, der er gemt på AP'en og telefonen.

  • Hurtig sikker roaming: Bruger oplysninger om RADIUS-server og en trådløs domæneserver (WDS) for at administrere og godkende nøgler. WDS opretter en cache med sikkerhedslegitimationsoplysninger for FT-aktiverede klientenheder til hurtig og sikker gengodkendelse. Cisco Desk Phone 9861 og 9871 og Cisco Video Phone 8875 understøtter 802.11r (FT). Både trådløst og over DS understøttes for at muliggøre hurtig sikker roaming. Men vi anbefaler på det kraftigste, at trådløse 802.11r-metode (FT) bruges.

Med WPA/WPA2/WPA3 angives krypteringsnøgler ikke på telefonen, men hentes automatisk mellem adgangspunktet og telefonen. Men det EAP-brugernavn og den adgangskode, der bruges til godkendelse, skal angives på hver enkelt telefon.

For at sikre, at taletrafikken er sikker, understøtter telefonen TKIP og AES til kryptering. Når disse mekanismer bruges til kryptering, krypteres både signal-SIP-pakkerne og tale-RTP-pakkerne (Real-Time Transport Protocol) mellem adgangspunktet og telefonen.

TKIP

WPA bruger TKIP-kryptering, der har flere forbedringer over WEP. TKIP giver nøglekryptering med pr. pakke og længere initialiseringsvektorer, der styrker kryptering. Desuden sikrer et MIC (message integrity check), at krypterede pakker ikke ændres. TKIP fjerner forudsigeligheden ved WEP, der hjælper personer med uautoriseret adgang med at tyde WEP-nøglen.

AES

En krypteringsmetode, der bruges til WPA2/WPA3-godkendelse. Denne nationale standard for kryptering bruger en symmetrisk algoritme, der har den samme nøgle til kryptering og dekryptering. AES CBC-kryptering (Cipher Blocking Chain) i 128-bit størrelse, der som minimum understøtter nøglestørrelser på 128 bit, 192 bit og 256 bit. Telefonen understøtter en nøglestørrelse på 256 bit.

Cisco Desk Phone 9861 og 9871 og Cisco Video Phone 8875 understøtter ikke Cisco Key Integrity Protocol (CKIP) med CMIC.

Godkendelses- og krypteringsmetoder konfigureres inden for det trådløse LAN. VLAN'er konfigureres i netværket og på AP'er og angiver forskellige kombinationer af godkendelse og kryptering. Et SSID er knyttet til et VLAN og det specifikke godkendelses- og krypteringsmetode. Hvis trådløse klientenheder skal kunne godkendes, skal du konfigurere de samme SSID'er med deres godkendelses- og krypteringsskemaer på AP'erne og på telefonen.

Visse godkendelsesmetoder kræver bestemte typer kryptering.

  • Når du bruger WPA forhåndsdelt nøgle, WPA2 forhåndsdelt nøgle eller SAE, skal den forhåndsdelte nøgle indstilles statisk på telefonen. Disse nøgler skal matche de nøgler, der er i AP'en.

  • Telefonen understøtter automatisk EAP forhandling for FAST eller PEAP, men ikke for TLS. For EAP-TLS tilstand skal du angive det.

Godkendelses- og krypteringsskemaerne i følgende tabel viser netværkskonfigurationsindstillingerne for telefonen, der svarer til AP-konfigurationen.

Tabel 6. Godkendelses- og krypteringsmetoder
FSR-TypeGodkendelseTaststyringKrypteringBeskyttet styringsramme (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNej
802.11r (FT)WPA3

SAE

FT-SAE

AESJa
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNej
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNej
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNej
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa

Konfigurer trådløs LAN-profil

Du kan administrere din trådløse netværksprofil ved at konfigurere legitimationsoplysninger, frekvensbånd, godkendelsesmetode osv.

Vær opmærksom på følgende bemærkninger, før du konfigurerer WLAN-profilen:

  • Brugernavn og adgangskode

    • Når dit netværk bruger EAP-FAST og PEAP til brugergodkendelse, skal du konfigurere både brugernavnet og adgangskoden, hvis det er nødvendigt, på RADIUS (Remote Authentication Dial-In User Service) og telefonen.

    • De legitimationsoplysninger, du angiver i den trådløse LAN-profil, skal være identiske med de legitimationsoplysninger, du har konfigureret på RADIUS-serveren.

    • Hvis du bruger domæner i dit netværk, skal du angive brugernavnet med domænenavnet i formatet: domæne\brugernavn.

  • Følgende handlinger kunne medføre, at den eksisterende Wi-Fi-adgangskode bliver fjernet:

    • Angivelse af et ugyldigt bruger-id eller ugyldig adgangskode
    • Installation af et ugyldigt eller udløbet rod-CA, når EAP-typen er indstillet til PEAP MSCHAPV2 eller PEAP GTC
    • Deaktivering af EAP-typen i brug på RADIUS-serveren, før du skifter telefonen til den nye EAP-type
  • Hvis du vil ændre EAP-typen, skal du kontrollere, at du først aktiverer den nye EAP-type på RADIUS-serveren, og derefter skifter telefonen til EAP-typen. Når alle telefonerne er blevet ændret til den nye EAP-type, kan du deaktivere den forrige EAP-type, hvis du ønsker.
1

Gå til Cisco Unified Communications Manager Administration, og vælg Enhed > Enhedsindstillinger > Trådløs LAN-profil.

2

Vælg den netværksprofil, som du vil konfigurere.

3

Angiv parametrene.

4

Klik på Gem.

Installér et certifikat til godkendelsesserver manuelt

Du kan manuelt installere et godkendelsesservercertifikat på telefonen, hvis SCEP (Simple Certificate Enrollment Protocol) ikke er tilgængeligt.

Rod CA-certifikatet, der udstedte RADIUS-servercertifikatet, skal være installeret for EAP-TLS.

Før du begynder

Før du kan installere et certifikat på en telefon, skal du have en godkendelsesservercertifikat, der er gemt på din pc. Certifikatet skal kodes i PEM (base-64) eller DER.

1

Vælg Certifikater på websiden for telefonsadministration.

2

Find feltet Godkendelsesserveren CA, og klik på Installér.

3

Gå til certifikatet på din pc.

4

Klik på Upload.

5

Genstart telefonen, når overførslen er fuldført.

Hvis du geninstallerer mere end ét certifikat, bruges kun det sidst installerede.

Installér et brugercertifikat manuelt

Du kan manuelt installere et brugercertifikat på telefonen, hvis SCEP (Simple Certificate Enrollment Protocol) ikke er tilgængeligt.

Det forhåndsinstallerede MIC (Manufacturing Installed Certificate) kan anvendes som brugercertifikat for EAP-TLS.

Når brugercertifikatet er installeret, skal du føje det til RADIUS-serverens tillidsliste.

Før du begynder

Før du kan installere et brugercertifikat for en telefon, skal du have:

  • Et brugercertifikat gemt på din pc. Certifikatet skal have formatet PKCS nr. 12.

  • Adgangskoden til udpakning af certifikatet.

    Denne adgangskode kan være op til 16 tegn lang.

1

Vælg Certifikater på websiden for telefonsadministration.

2

Find feltet Brugerinstalleret, og klik på Installér.

3

Gå til certifikatet på din pc.

4

I feltet Udtræk adgangskode skal du angive certifikatudtræksadgangskode.

5

Klik på Upload.

6

Genstart telefonen, når overførslen er fuldført.

Fjern et sikkerhedscertifikat manuelt

Du kan manuelt fjerne et sikkerhedscertifikat fra en telefon, hvis SCEP (Enrollment Protocol SCEP) ikke er tilgængeligt.

1

Vælg Certifikater på websiden for telefonsadministration.

2

Find certifikatet på siden Certifikater.

3

Klik på Slet.

4

Genstart telefonen, når sletningen er fuldført.

Konfigurer SCEP-parametrene

SCEP (Simple Certificate Enrollment Protocol) er standarden til automatisk anskaffelse og fornyelse af certifikater. SCEP-serveren kan automatisk vedligeholde dine bruger- og servercertifikater.

Du skal konfigurere følgende SCEP-parametre på din telefonwebside

  • RA IP-adresse

  • SHA-1- eller SHA-256-fingeraftryk af CA-rodcertifikatet til SCEP-serveren

Cisco IOS Registration Authority (RA) fungerer somen proxy i forhold til SCEP-serveren. SCEP -klienten på telefonen bruger de parametre, der er hentet fra Cisco Unified Communication Manager. Når du har konfigureret parametrene, sender telefonen en SCEP getcs-anmodning til RA, og rod-CA-certifikatet valideres ved hjælp af det definerede fingeraftryk.

Før du begynder

På SCEP-serveren skal du konfigurere SCEP-registreringsagenten til at:

  • Fungerere som et PKI-tillidspunkt
  • Fungerere som en PKI-registreringsagent
  • Udføre enhedsgodkendelse ved hjælp af en RADIUS-server

Du kan finde flere oplysninger i dokumentationen til din SCEP-server.

1

Gå til Cisco Unified Communications Manager Administration, og vælg Enhed > Telefon.

2

Find telefonen.

3

Rul til området Produktspecifikt konfigurationslayout.

4

Markér afkrydsningsfeltet WLAN SCEP-server for at aktivere SCEP-parameteren.

5

Markér afkrydsningsfeltet WLAN-rod-CA-fingeraftryk (SHA256 eller SHA1) for at aktivere SCEP QED-parameteren.

Konfigurer de understøttede versioner af TLS

Du kan konfigurere den mindste version af TLS, der kræves til henholdsvis klient og server.

Som standard er den mindste TLS version af server og klient begge 1.2. Indstillingen påvirker følgende funktioner:

  • HTTPS-webadgangsforbindelse
  • Onboarding af lokal telefon
  • Onboarding til mobil og Remote Access (MRA)
  • HTTPS-tjenester, f.eks. katalogtjenester
  • Datagram Transport Layer Security (DTLS)
  • Port Access Entity (PAE)
  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)

Du kan finde flere oplysninger om TLS 1.3-kompatibilitet for Cisco IP Phones under TLS 1.3 Kompatibilitetsmatrix for Cisco Collaboration-produkter.

1

Log på Cisco Unified Communications Manager Administration som administrator.

2

Naviger til et af følgende vinduer:

  • System > Konfiguration af firmatelefon
  • Enhed > Enhedsindstillinger > Fælles telefonprofil
  • Konfiguration af enhed > telefon > telefon
3

Indstil feltet TLS klientens min. version :

Indstillingen "TLS 1.3" er tilgængelig på Cisco Unified CM 15SU2 eller nyere.
  • TLS 1.1: TLS klienten understøtter versionerne af TLS fra 1.1 til 1.3.

    Hvis TLS-versionen på serveren er lavere end 1.1, f.eks. 1.0, kan forbindelsen ikke oprettes.

  • TLS 1.2 (standard): TLS klienten understøtter TLS 1.2 og 1.3.

    Hvis den TLS version på serveren er lavere end 1.2, f.eks. 1.1 eller 1.0, kan forbindelsen ikke oprettes.

  • TLS 1.3: TLS klienten understøtter kun TLS 1.3.

    Hvis den TLS version på serveren er lavere end 1.3, f.eks. 1.2, 1.1 eller 1.0, kan forbindelsen ikke oprettes.

4

Indstil feltet TLS Min. serverversion :

  • TLS 1.1: TLS-serveren understøtter versionerne af TLS fra 1.1 til 1.3.

    Hvis den TLS version i klienten er lavere end 1.1, f.eks. 1.0, kan forbindelsen ikke oprettes.

  • TLS 1.2 (standard): TLS-serveren understøtter TLS 1.2 og 1.3.

    Hvis den TLS version i klienten er lavere end 1.2, f.eks. 1.1 eller 1.0, kan forbindelsen ikke oprettes.

  • TLS 1.3: TLS-serveren understøtter kun TLS 1.3.

    Hvis den TLS version i klienten er lavere end 1.3, f.eks. 1.2, 1.1 eller 1.0, kan forbindelsen ikke oprettes.

Fra udgivelsen af PhoneOS 3.2 påvirker indstillingen af feltet "Deaktiver TLS 1.0 og TLS 1.1 for internetadgang" ikke telefonerne.
5

Klik på Gem.

6

Klik på Anvend konfig.

7

Genstart telefonerne.

AS-SIP (Assured Services SIP)

AS-SIP (Assured Services SIP) er en samling af funktioner og protokoller, der giver et særdeles sikkert opkaldsflow for Cisco IP-telefon og tredjepartstelefoner. Følgende funktioner kaldes samlet AS-SIP:

  • MLPP (multilevel precedence and preemption)
  • DSCP (Differentiated Services Code Point)
  • TLS (Transport Layer Security) og SRTP (Secure Real-time Transport Protocol)
  • IPv6 (Internet Protocol version 6)

AS-SIP bruges ofte med flere niveauer af rangfølge og forrang (MLPP) til at prioritere opkald under en nødsituation. Med MLPP tildeler du et prioritetsniveau til udgående opkald, fra 1 (lavest) til 5 (højest). Når du modtager et opkald, vises et ikon for prioritetsniveau på telefonen, der angiver opkaldets prioritet.

Hvis du vil konfigurere AS-SIP, skal du udføre følgende opgaver i Cisco Unified Communications Manager:

  • Konfigurer en digest-bruger – konfigurer slutbrugeren til at bruge digest-godkendelse til SIP-anmodninger.
  • Konfigurer sikker port til SIP-telefon - Cisco Unified Communications Manager bruger denne port til at lytte til SIP-telefoner ved registrering af SIP-linjer over TLS.
  • Genstart tjenester – når du har konfigureret en sikker port, skal du genstarte Cisco Unified Communications Manager- og Cisco CTL Provider-tjenesterne. Konfigurer SIP-profilen for AS-SIP - konfigurer en SIP-profil med SIP-indstillinger for dine AS-SIP-slutpunkter og SIP-trunks. De telefonspecifikke parametre er ikke overført til en tredjeparts-AS-SIP-telefon. De bruges kun af Cisco Unified Manager. Tredjepartstelefoner skal lokalt konfigurere de samme indstillinger.
  • Konfigurer telefonsikkerhedsprofil for AS-SIP - du kan bruge telefonsikkerhedsprofilen til at tildele sikkerhedsindstillinger som f.eks. TLS, SRTP og digest-autentificering.
  • Konfigurer AS-SIPs-slutpunkt - konfigurer en Cisco IP-telefon eller et tredjepartsslutpunkt med AS-SIP-understøttelse.
  • Knyt enhed til slutbruger – Tilknyt slutpunktet til en bruger.
  • Konfigurer SIP-trunksikkerhedsprofil for AS-SIP - du kan bruge sip-trunksikkerhedsprofilen til at tildele sikkerhedsfunktioner som f.eks. TLS eller digest-autentifcering til en SIP-trunk.
  • Konfigurer SIP-trunk for AS-SIP - konfigurer en SIP-trunk med AS-SIP-understøttelse.
  • Konfigurer AS-SIP-funktioner - konfigurer yderligere AS-SIP-funktioner som f.eks. MLPP, TLS, V.150 og IPv6.

Du kan finde detaljerede oplysninger om konfiguration af AS-SIP i kapitlet "Konfigurer AS-SIP-slutpunkter" i Funktionskonfigurationsvejledning for Cisco Unified Communications Manager.

MLPP (multilevel precedence and preemption)

MLPP (Multilevel Precedence and Preemption) gør det muligt at prioritere opkald i nødsitatuioner eller i andre krisesituationer. Du tildeler en prioritet til dine udgående opkald fra 1 til 5. Indgående opkald viser et ikon og opkaldsprioriteten. Godkendte brugere kan overføre opkald til bestemte stationer eller via fuldt abonnerede TDM-trunks.

Denne funktion sikrer, at kritisk kommuniktion når frem til højtrangerende personer i organisationen.

MLPP bruges ofte med AS-SIP (Assured Services SIP). Du kan finde detaljerede oplysninger om konfiguration af MLPP i kapitlet Konfigurer rangfølge og forrang på flere niveauer i funktionskonfigurationsvejledning til Cisco Unified Communications Manager.

Konfigurer FAC og CMC

Når FAC eller CMC (Forced Authorization Codes) eller begge er konfigureret på telefonen, skal brugerne indtaste de nødvendige adgangskoder for at ringe til et nummer.

Du kan finde flere oplysninger om, hvordan du konfigurerer FAC og CMC i Cisco Unified Communications Manager, i kapitlet "Klientsagskoder og koder til tvungen godkendelse" i Vejledning i konfiguration af funktioner for Cisco Unified Communications Manager, version 12.5 (1) eller nyere.