Du kan give Cisco Unified Communications Manager mulighed for at fungere i et forbedret sikkerhedsmiljø. Med disse forbedringer fungerer dit telefonnetværk under et sæt strenge sikkerheds- og risikostyringskontroller for at beskytte dig og dine brugere.

Det forbedrede sikkerhedsmiljø omfatter følgende funktioner:

  • Bekræftelse af kontaktsøgning.

  • TCP som standardprotokollen til logføring af ekstern kontrol.

  • FIPS-tilstand.

  • En forbedret politik for legitimationsoplysninger.

  • Understøttelse af SHA-2-serien af hashtags til digitale signaturer.

  • Understøttelse af en RSA-nøglestørrelse på 512 bit og 4096 bit.

Med Cisco Unified Communications Manager version 14.0 og firmwareversion til Cisco-videotelefon 2.1 og senere understøtter telefonerne SIP OAuth-godkendelse.

OAuth understøttes for TFTP (Proxy Trivial File Transfer Protocol) med Cisco Unified Communications Manager version 14.0(1)SU1 eller nyere. Proxy-TFTP og OAuth til proxy-TFTP understøttes ikke på MRA (Mobile Remote Access).

Få yderligere oplysninger om sikkerhed i følgende:

Din telefon kan kun gemme et begrænset antal ITL-filer (Identity Trust List). ITL-filer må ikke overstige 64K på telefonen, så begræns antallet af filer, som Cisco Unified Communications Manager sender til telefonen.

Understøttede sikkerhedsfunktioner

Sikkerhedsfunktioner beskytter mod trusler, herunder trusler mod telefonens identitet og data. Disse funktioner opretter og vedligeholder godkendte kommunikationsstreams mellem telefonen og Cisco Unified Communications Manager-serveren og sikrer, at telefonen kun bruger filer, der er signeret digitalt.

Cisco Unified Communications Manager version 8.5(1) og senere inkluderer Sikkerhed som standard, som giver følgende sikkerhedsfunktioner for Cisco IP-telefoner uden at køre CTL-klienten:

  • Underskrivning af telefonkonfigurationsfilerne

  • Kryptering af telefonkonfigurationsfil

  • HTTPS med Tomcat og andre webtjenester

Sikre signal- og mediefunktioner kræver stadig, at du kører CTL-klienten og bruger hardware-eTokens.

Implementering af sikkerhed i Cisco Unified Communications Manager-systemet forhindrer identitetstyveri af telefonen og Cisco Unified Communications Manager-serveren, forhindrer manipulation af data og forhindrer manipulation af opkaldssignaler og mediestrømme.

For at afhjælpe disse trusler etablerer og vedligeholder Cisco IP-telefoninetværket sikre (krypterede) kommunikationsstreams mellem en telefon og serveren, signerer filer digitalt, før de overføres til en telefon, og krypterer mediestreams og opkaldssignaler mellem Cisco IP-telefoner.

Et LSC (Locally Significant Certificate) installeres på telefoner, når du har udført de nødvendige opgaver, der er knyttet til CAPF (Certificate Authority Proxy Function). Du kan bruge Cisco Unified Communications Manager Administration til at konfigurere en LSC, som beskrevet i sikkerhedsvejledningen til Cisco Unified Communications Manager. Du kan også starte installationen af en LSC fra menuen Sikkerhedsindstillinger på telefonen. Denne menu lader dig også opdatere eller fjerne en LSC.

En LSC kan ikke bruges som brugercertifikat til EAP-TLS med WLAN-godkendelse.

Telefonerne bruger telefonens sikkerhedsprofil, som definerer, om enheden ikke er sikker eller sikker. Få oplysninger om anvendelse af sikkerhedsprofilen på telefonen i dokumentationen til din specifikke version af Cisco Unified Communications Manager.

Hvis du konfigurerer sikkerhedsrelaterede indstillinger i Cisco Unified Communications Manager Administration, indeholder telefonkonfigurationsfilen følsomme oplysninger. For at sikre fortroligheden af en konfigurationsfil skal du konfigurere den til kryptering. Få detaljerede oplysninger i dokumentationen til din specifikke version af Cisco Unified Communications Manager.

Telefonen er i overensstemmelse med FIPS (Federal Information Processing Standard). For at fungere korrekt kræver FIPS-tilstanden en nøglestørrelse på 2048 bit eller mere. Hvis certifikatet er mindre end 2048 bit, registreres telefonen ikke i Cisco Unified Communications Manager, og telefonen kunne ikke registreres. Størrelsen på certificeringsnøglen er ikke FIPS-kompatibel vises på telefonen.

Hvis telefonen har en LSC, skal du opdatere størrelsen af LSC-nøglen til 2048 bit eller mere, før du aktiverer FIPS.

Følgende tabel indeholder en oversigt over de sikkerhedsfunktioner, som telefonerne understøtter. Få flere oplysninger i dokumentationen til din specifikke version af Cisco Unified Communications Manager.

For at se sikkerhedstilstanden skal du trykke på Indstillinger den hårde tast til indstillinger og navigere til Netværk og tjeneste > Sikkerhedsindstillinger.

Tabel 1. Oversigt over sikkerhedsfunktioner

Funktion

Beskrivelse

Billedgodkendelse

Signerede binære filer forhindrer manipulation med firmwareafbildningen, før afbildningen indlæses på en telefon.

Manipulation af billedet medfører, at en telefon mislykkes i godkendelsesprocessen og afviser det nye billede.

Installation af kundewebstedscertifikat

Hver enkelt Cisco IP-telefon kræver et unikt certifikat til enhedsgodkendelse. Telefoner har et produktionsinstalleret certifikat (MIC), men af hensyn til ekstra sikkerhed kan du angive certifikatinstallation i Cisco Unified Communications Manager Administration ved hjælp af CAPF (Certificate Authority Proxy Function). Du kan også installere et LSC (Locally Significant Certificate) fra menuen Sikkerhedskonfiguration på telefonen.

Enhedsgodkendelse

Sker mellem Cisco Unified Communications Manager-serveren og telefonen, når hver enhed accepterer certifikatet for den anden enhed. Bestemmer, om der skal forekomme en sikker forbindelse mellem telefonen og en Cisco Unified Communications Manager, og opretter om nødvendigt en sikker signalsti mellem enhederne ved hjælp af TLS-protokollen. Cisco Unified Communications Manager registrerer ikke telefoner, medmindre den kan godkende dem.

Filgodkendelse

Validerer digitalt signerede filer, som telefonen downloader. Telefonen validerer signaturen for at sikre, at filen ikke blev manipuleret efter oprettelse af filen. Filer, der ikke kan godkendes, skrives ikke til telefonens Flash-hukommelse. Telefonen afviser sådanne filer uden yderligere behandling.

Filkryptering

Kryptering forhindrer, at følsomme oplysninger bliver afsløret, mens filen er i transit til telefonen. Desuden validerer telefonen signaturen for at sikre, at filmanipulation ikke fandt sted efter oprettelse af filen. Filer, der ikke kan godkendes, skrives ikke til telefonens Flash-hukommelse. Telefonen afviser sådanne filer uden yderligere behandling.

Signalbekræftelse

Bruger TLS-protokollen til at validere, at der ikke er sket manipulation af signalpakker under overførslen.

Produktionsinstalleret certifikat

Hver Cisco IP-telefon indeholder et unikt MIC (manufacturing installed certificate), som bruges til enhedsgodkendelse. MIC giver et permanent, entydigt bevis på telefonens identitet og giver Cisco Unified Communications Manager mulighed for at godkende telefonen.

Kryptering af medier

Bruger SRTP til at sikre, at mediestreams mellem understøttede enheder er sikre, og at kun den tilsigtede enhed modtager og læser dataene. Omfatter oprettelse af et medieprimært nøglepar for enhederne, levering af nøglerne til enhederne og sikring af levering af nøglerne, mens nøglerne transporteres.

CAPF (Certificate Authority Proxy Function)

Implementerer dele af proceduren for oprettelse af certifikater, der er for behandlingskrævende for telefonen, og interagerer med telefonen til oprettelse af nøgler og installation af certifikater. CAPF kan konfigureres til at anmode om certifikater fra kundeangivne certifikatmyndigheder på vegne af telefonen, eller den kan konfigureres til at generere certifikater lokalt.

Både EC- (elliptisk kurve) og RSA-nøgletyper understøttes. Hvis du vil bruge EC-nøglen, skal du sørge for, at parameteren "Support til slutpunktsavancerede krypteringsalgoritmer" (fra System > Virksomhedsparameter) er aktiveret.

Få flere oplysninger om CAPF og relaterede konfigurationer i følgende dokumenter:

Sikkerhedsprofil

Definerer, om telefonen ikke er sikker, godkendt, krypteret eller beskyttet. Andre poster i denne tabel beskriver sikkerhedsfunktioner.

Krypterede konfigurationsfiler

Giver dig mulighed for at sikre fortroligheden af telefonkonfigurationsfilerne.

Valgfri deaktivering af webserver for en telefon

Af sikkerhedsmæssige årsager kan du forhindre adgang til websider for en telefon (som viser forskellige driftsstatistikker for telefonen) og selvbetjeningsportalen.

Hærdning af telefon

Yderligere sikkerhedsindstillinger, som du styrer fra Cisco Unified Communications Manager Administration:

  • Deaktivering af pc-port
  • Deaktivering af Gratuitous ARP (GARP)
  • Deaktivering af pc-tale-VLAN-adgang
  • Deaktivering af adgang til indstillingsmenuen eller tilvejebringelse af begrænset adgang
  • Deaktivering af adgang til websider for en telefon
  • Deaktivering af Bluetooth-tilbehørsport
  • Begrænsning af TLS-kryptering

802.1X-godkendelse

Cisco IP-telefon kan bruge 802.1X-godkendelse til at anmode om og få adgang til netværket. Se 802.1X-godkendelse for yderligere oplysninger.

Sikker SIP-failover til SRST

Når du har konfigureret en SRST-reference (Survivable Remote Site Telephony) af sikkerhedsmæssige årsager og derefter nulstiller de afhængige enheder i Cisco Unified Communications Manager Administration, føjer TFTP-serveren SRST-certifikatet til telefonens cnf.xml-fil og sender filen til telefonen. En sikker telefon bruger derefter en TLS-forbindelse til at interagere med den SRST-aktiverede router.

Kryptering af signaler

Sikrer, at alle SIP-signalmeddelelser, der sendes mellem enheden og Cisco Unified Communications Manager-serveren, krypteres.

Alarm om opdatering af tillidsliste

Når tillidslisten opdateres på telefonen, modtager Cisco Unified Communications Manager en alarm, der angiver, om opdateringen lykkedes eller mislykkedes. Se følgende tabel for yderligere oplysninger.

AES 256-kryptering

Når der er oprettet forbindelse til Cisco Unified Communications Manager version 10.5(2) og senere, understøtter telefonerne AES 256-kryptering til TLS og SIP til signal- og mediekryptering. Dette gør det muligt for telefoner at starte og understøtte TLS 1.2-forbindelser ved hjælp af AES-256-baserede krypteringer, der overholder SHA-2-standarderne (Secure Hash Algorithm) og overholder FIPS (Federal Information Processing Standards). Krypteringerne omfatter:

  • For TLS-forbindelser:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Til sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Få flere oplysninger i dokumentationen til Cisco Unified Communications Manager.

ECDSA-certifikater (Elliptic Curve Digital Signature Algorithm)

Som en del af CC-certificeringen (Common Criteria) har Cisco Unified Communications Manager; tilføjet ECDSA-certifikater i version 11.0. Dette påvirker alle VOS-produkter (Voice Operating System), der kører CUCM 11.5 og nyere versioner.

Tomcat-certifikat med flere servere (SAN) med Cisco UCM

Telefonen understøtter Cisco UCM med SAN-tomcat-certifikater (Multi-server), der er konfigureret. Den korrekte TFTP-serveradresse kan findes i telefonens ITL-fil til telefonens registrering.

Få flere oplysninger om funktionen i følgende:

Følgende tabel indeholder alarmmeddelelser om opdatering af tillidsliste og betydning. Få flere oplysninger i dokumentationen til Cisco Unified Communications Manager.

Tabel 2. Alarmmeddelelser om opdatering af tillidsliste
Kode og meddelelse Beskrivelse

1 - TL_LYKKEDES

Modtog ny CTL og/eller ITL

2 - CTL_INDLEDENDE_SUCCES

Modtaget ny CTL, ingen eksisterende TL

3 - ITL_INDLEDENDE_SUCCES

Modtog ny ITL, ingen eksisterende TL

4 - TL_INDLEDENDE_SUCCES

Modtog ny CTL og ITL, ingen eksisterende TL

5 - TL_MISLYKKET_GAMMEL_CTL

Opdatering til ny CTL mislykkedes, men har tidligere TL

6 - TL_MISLYKKET_NR_TL

Opdatering til ny TL mislykkedes og har ingen gammel TL

7 - TL_MISLYKKEDES

Generisk fejl

8 - TL_MISLYKKET_GAMMEL_ITL

Opdatering til ny ITL mislykkedes, men har tidligere TL

9 - TL_MISLYKKET_GAMMEL_TL

Opdatering til ny TL mislykkedes, men har tidligere TL

Menuen Sikkerhedsopsætning indeholder oplysninger om forskellige sikkerhedsindstillinger. Menuen giver også adgang til menuen Tillidsliste og angiver, om CTL- eller ITL-filen er installeret på telefonen.

Følgende tabel beskriver valgmulighederne i menuen Sikkerhedsopsætning.

Tabel 3. Menuen Sikkerhedsopsætning

Valgmulighed

Beskrivelse

Sådan ændres

Sikkerhedstilstand

Viser den sikkerhedstilstand, der er indstillet for telefonen.

Vælg Enhed > Telefon i Cisco Unified Communications Manager Administration. Indstillingen vises i delen Protokolspecifikke oplysninger i vinduet Telefonkonfiguration.

lsc

Angiver, om et certifikat, der er væsentligt lokalt, og som bruges til sikkerhedsfunktioner, er installeret på telefonen (installeret) eller ikke er installeret på telefonen (ikke installeret).

Få oplysninger om, hvordan du administrerer LSC til din telefon, i dokumentationen til din specifikke version af Cisco Unified Communications Manager.

Konfigurer et certifikat, der er væsentligt lokalt (LSC)

Denne opgave gælder for konfiguration af en LSC med godkendelsesstrengmetoden.

Før du begynder

Sørg for, at de relevante sikkerhedskonfigurationer af Cisco Unified Communications Manager og CAPF (Certificate Authority Proxy Function) er fuldført:

  • CTL- eller ITL-filen har et CAPF-certifikat.

  • Bekræft, at CAPF-certifikatet er installeret i Cisco Unified Communications Operating System Administration.

  • CAPF kører og er konfigureret.

Få flere oplysninger om disse indstillinger i dokumentationen til din specifikke version af Cisco Unified Communications Manager.

1

Få den CAPF-godkendelseskode, der blev indstillet, da CAPF blev konfigureret.

2

Tryk på Indstillingerden hårde tast til indstillinger på telefonen.

3

Hvis du bliver bedt om det, skal du indtaste adgangskoden for at få adgang til menuen Indstillinger . Du kan få adgangskoden fra din administrator.

4

Naviger til Netværk og tjeneste > Sikkerhedsindstillinger > LSC.

Du kan kontrollere adgangen til menuen Indstillinger ved hjælp af feltet Adgang til indstillinger i Cisco Unified Communications Manager Administration.

5

Indtast bekræftelsesstrengen, og vælg Indsend.

Telefonen begynder at installere, opdatere eller fjerne LSC, afhængigt af hvordan CAPF er konfigureret. Når proceduren er fuldført, vises Installeret eller Ikke installeret på telefonen.

Det kan tage lang tid at gennemføre LSC-installations-, opdaterings- eller fjernelsesprocessen.

Når telefonens installationsprocedure er gennemført, vises meddelelsen Installeret . Hvis telefonen viser Ikke installeret, kan godkendelsesstrengen være forkert, eller telefonopgraderingen er muligvis ikke aktiveret. Hvis CAPF-handlingen sletter LSC, viser telefonen Ikke installeret for at angive, at handlingen lykkedes. CAPF-serveren logger fejlmeddelelserne. Se dokumentationen til CAPF-serveren for at finde logfilerne og forstå, hvad fejlmeddelelserne betyder.

Aktivér FIPS-tilstand

1

I Cisco Unified Communications Manager Administration skal du vælge Enhed > Telefon og finde telefonen.

2

Naviger til området Produktspecifik konfiguration .

3

Indstil feltet FIPS-tilstand til Aktiveret.

4

Vælg Gem.

5

Vælg Anvend konfiguration.

6

Genstart telefonen.

Sluk for højttalertelefon, hovedtelefon og håndsæt på en telefon

Du har mulighed for permanent at slukke højttalertelefonen, hovedtelefonerne og håndsættet på en telefon for din bruger.

1

I Cisco Unified Communications Manager Administration skal du vælge Enhed > Telefon og finde telefonen.

2

Naviger til området Produktspecifik konfiguration .

3

Markér et eller flere af følgende afkrydsningsfelter for at deaktivere telefonens funktioner:

  • Deaktiver højttalertelefon
  • Deaktiver højttalertelefon og hovedtelefon
  • Deaktiver håndsæt

Som standard er disse afkrydsningsfelter ikke markeret.

4

Vælg Gem.

5

Vælg Anvend konfiguration.

802.1X-godkendelse

Cisco IP-telefon understøtter 802.1X-godkendelse.

Cisco IP-telefoner og Cisco Catalyst-switches bruger traditionelt CDP (Cisco Discovery Protocol) til at identificere hinanden og bestemme parametre som f.eks. VLAN-tildeling og krav til integreret strøm. CDP identificerer ikke lokalt tilknyttede arbejdsstationer. Cisco IP-telefon har en EAPOL-gennemføringsmekanisme. Denne mekanisme gør det muligt for en arbejdsstation, der er tilsluttet Cisco IP-telefon, at overføre EAPOL-meddelelser til 802.1X-godkenderen på LAN-switchen. Gennemføringsmekanismen sikrer, at IP-telefonen ikke fungerer som LAN-switch til at godkende et dataslutpunkt, før den får adgang til netværket.

Cisco IP-telefon har også en proxy-EAPOL-logoff-mekanisme. Hvis den lokalt tilsluttede pc afbryder forbindelsen til IP-telefonen, ser LAN-switchen ikke, at den fysiske forbindelse mislykkes, fordi forbindelsen mellem LAN-switchen og IP-telefonen bevares. For at undgå at kompromittere netværkets integritet sender IP-telefonen en EAPOL-Logoff-meddelelse til switchen på vegne af downstream-pc'en, hvilket udløser LAN-switchen til at rydde godkendelsesposten for downstream-pc'en.

Understøttelse af 802.1X-godkendelse kræver flere komponenter:

  • Cisco IP-telefon: Telefonen starter anmodningen om at få adgang til netværket. Cisco IP-telefon indeholder en 802.1X-supplikant. Denne supplikant giver netværksadministratorer mulighed for at styre forbindelsen mellem IP-telefoner og LAN-switchportene. Den aktuelle version af telefonens 802.1X-supplikant bruger EAP-FAST- og EAP-TLS-indstillingerne til netværksgodkendelse.

  • Godkendelsesserver: Godkendelsesserveren og switchen skal begge konfigureres med en delt hemmelighed, der godkender telefonen.

  • Afbryder: Switchen skal understøtte 802.1X, så den kan fungere som godkendelsesfunktion og overføre meddelelserne mellem telefonen og godkendelsesserveren. Når udvekslingen er fuldført, giver eller afviser switchen telefonens adgang til netværket.

Du skal udføre følgende handlinger for at konfigurere 802.1X.

  • Konfigurer de andre komponenter, før du aktiverer 802.1X-godkendelse på telefonen.

  • Konfigurer pc-port: 802.1X-standarden tager ikke højde for VLAN'er og anbefaler derfor, at der kun godkendes én enkelt enhed til en bestemt switchport. Nogle switches understøtter dog godkendelse på flere domæner. Switchkonfigurationen bestemmer, om du kan tilslutte en pc til telefonens pc-port.

    • Aktiveret: Hvis du bruger en switch, der understøtter godkendelse på flere domæner, kan du aktivere pc-porten og tilslutte en pc til den. I dette tilfælde understøtter Cisco IP-telefon proxy-EAPOL-logoff til at overvåge godkendelsesudvekslingerne mellem switchen og den tilsluttede pc.

      Få flere oplysninger om understøttelse af IEEE 802.1X på Cisco Catalyst-switches i konfigurationsvejledningerne til Cisco Catalyst-switchen på:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Deaktiveret: Hvis switchen ikke understøtter flere 802.1X-kompatible enheder på den samme port, skal du deaktivere pc-porten, når 802.1X-godkendelse er aktiveret. Hvis du ikke deaktiverer denne port og derefter forsøger at tilslutte en pc til den, nægter switchen netværksadgang til både telefonen og pc'en.

  • Konfigurer tale-VLAN: Da 802.1X-standarden ikke tager højde for VLAN'er, skal du konfigurere denne indstilling baseret på switchunderstøttelsen.
    • Aktiveret: Hvis du bruger en switch, der understøtter godkendelse på flere domæner, kan du fortsætte med at bruge tale-VLAN'et.
    • Deaktiveret: Hvis switchen ikke understøtter godkendelse på flere domæner, skal du deaktivere tale-VLAN'et og overveje at tildele porten til det indbyggede VLAN.
  • (Kun for Cisco Desk Phone 9800-serien)

    Cisco Desk Phone 9800-serien har et andet præfiks i PID end for de andre Cisco-telefoner. For at gøre det muligt for din telefon at bestå 802.1X-godkendelse skal du indstille parameteren Radius·Brugernavn til at inkludere din Cisco Desk Phone 9800-serie.

    For eksempel er PID for telefon 9841 DP-9841. Du kan indstille Radius·Brugernavn til Start med DP eller Indeholder DP. Du kan indstille den i begge følgende afsnit:

    • Politik > Betingelser > Biblioteksbetingelser

    • Politik > Politiksæt > Godkendelsespolitik > Godkendelsesregel 1

Aktivér 802.1X-godkendelse

Du kan aktivere 802.1X-godkendelse for din telefon ved at følge disse trin:

1

Tryk på Indstillingerden hårde tast til indstillinger.

2

Hvis du bliver bedt om det, skal du indtaste adgangskoden for at få adgang til menuen Indstillinger . Du kan få adgangskoden fra din administrator.

3

Naviger til Netværk og tjeneste > Sikkerhedsindstillinger > 802.1X-godkendelse.

4

Slå IEEE 802.1X-godkendelse til.

5

Vælg Anvend.

Vis oplysninger om sikkerhedsindstillinger på telefon

Du kan få vist oplysninger om sikkerhedsindstillingerne i telefonmenuen. Tilgængeligheden af oplysningerne afhænger af netværksindstillingerne i din organisation.

1

Tryk på Indstillingernøglen Indstillinger.

2

Naviger til Netværk og tjeneste > Sikkerhedsindstillinger.

3

I Sikkerhedsindstillinger skal du se følgende oplysninger.

Tabel 4. Parametre for sikkerhedsindstillinger

Parametre

Beskrivelse

Sikkerhedstilstand

Viser den sikkerhedstilstand, der er indstillet for telefonen.

lsc

Angiver, om et certifikat, der er væsentligt lokalt, og som bruges til sikkerhedsfunktioner, er installeret på telefonen (Ja) eller ikke er installeret på telefonen (Nej).

Tillidsliste

Tillidslisten indeholder undermenuer til CTL-, ITL- og underskrevne konfigurationsfiler.

Undermenuen CTL-fil viser indholdet af CTL-filen. Undermenuen ITL-fil viser indholdet af ITL-filen.

Menuen Tillidsliste viser også følgende oplysninger:

  • CTL-signatur: SHA1-hashen for CTL-filen
  • Unified CM-/TFTP-server: navnet på den Cisco Unified Communications Manager og TFTP-server, som telefonen bruger. Viser et certifikatikon, hvis der er installeret et certifikat for denne server.
  • CAPF-server: navnet på den CAPF-server, som telefonen bruger. Viser et certifikatikon, hvis der er installeret et certifikat for denne server.
  • SRST-router: IP-adressen på den SRST-router, som telefonen kan bruge. Viser et certifikatikon, hvis der er installeret et certifikat for denne server.

Sikkerhed for telefonopkald

Når sikkerhed er implementeret for en telefon, kan du identificere sikre telefonopkald ved hjælp af ikoner på telefonskærmen. Du kan også bestemme, om den tilsluttede telefon er sikker og beskyttet, hvis der afspilles en sikkerhedstone i begyndelsen af opkaldet.

I et sikkert opkald krypteres alle opkaldssignaler og mediestreams. Et sikkert opkald tilbyder et højt sikkerhedsniveau, der giver opkaldet integritet og beskyttelse af personlige oplysninger. Når et igangværende opkald er krypteret, kan du se det sikre ikon låseikonet for et sikkert opkald på linjen. For en sikker telefon kan du også se det godkendte ikon eller det krypterede ikon ved siden af den tilsluttede server i telefonmenuen (Indstillinger > Om denne enhed).

Hvis opkaldet dirigeres gennem ikke-IP-opkaldsben, f.eks. PSTN, kan opkaldet være ikke-sikkert, selvom det er krypteret i IP-netværket og har et låseikon tilknyttet.

I et sikkert opkald afspilles der en sikkerhedstone i begyndelsen af et opkald for at angive, at den anden tilsluttede telefon også modtager og sender sikker lyd. Hvis dit opkald opretter forbindelse til en ikke-sikker telefon, afspilles sikkerhedstonen ikke.

Sikre opkald understøttes kun for forbindelser mellem to telefoner. Nogle funktioner, f.eks. konferenceopkald og delte linjer, er ikke tilgængelige, når sikre opkald er konfigureret.

Når en telefon er konfigureret som sikker (krypteret og pålidelig) i Cisco Unified Communications Manager, kan den tildeles en beskyttet -status. Derefter kan den beskyttede telefon, hvis det ønskes, konfigureres til at afspille en indikationstone i begyndelsen af et opkald:

  • Beskyttet enhed: Hvis du vil ændre statussen for en sikker telefon til beskyttet, skal du markere afkrydsningsfeltet Beskyttet enhed i vinduet Telefonkonfiguration i Cisco Unified Communications Manager Administration (Enhed > Telefon).

  • Afspil sikker indikationstone: Hvis du vil gøre det muligt for den beskyttede telefon at afspille en sikker eller ikke-sikker indikationstone, skal du indstille indstillingen Afspil sikker indikationstone til sand. Afspil sikker indikationstone er som standard indstillet til Falsk. Du indstiller denne valgmulighed i Cisco Unified Communications Manager Administration (System > Tjenesteparametre). Vælg serveren og derefter Unified Communications Manager-tjenesten. I vinduet Konfiguration af serviceparameter skal du vælge indstillingen i området Funktion – sikker tone. Standardindstillingen er Falsk.

Sikker identifikation af konferenceopkald

Du kan starte et sikkert konferenceopkald og overvåge deltagernes sikkerhedsniveau. Der oprettes et sikkert konferenceopkald ved hjælp af denne proces:

  1. En bruger starter konferencen fra en sikker telefon.

  2. Cisco Unified Communications Manager tildeler en sikker konferencebro til opkaldet.

  3. Når deltagere tilføjes, kontrollerer Cisco Unified Communications Manager sikkerhedstilstanden for hver telefon og opretholder det sikre niveau for konferencen.

  4. Telefonen viser sikkerhedsniveauet for konferenceopkaldet. En sikker konference viser ikonet låseikonet for et sikkert opkald.

Sikre opkald understøttes mellem to telefoner. For beskyttede telefoner er nogle funktioner, f.eks. konferenceopkald, delte linjer og Extension Mobility, ikke tilgængelige, når sikre opkald er konfigureret.

Følgende tabel indeholder oplysninger om ændringer af konferencens sikkerhedsniveauer afhængigt af igangsætterens telefonsikkerhedsniveau, deltagernes sikkerhedsniveauer og tilgængeligheden af sikre konferencebroer.

Tabel 5. Sikkerhedsbegrænsninger med konferenceopkald

Igangsætterens telefonsikkerhedsniveau

Funktion brugt

Deltagernes sikkerhedsniveau

Resultater af handling

Ikke-sikker

Konference

Sikker

Ikke-sikker konferencebro

Ikke-sikker konference

Sikker

Konference

Mindst ét medlem er ikke sikkert.

Sikker konferencebro

Ikke-sikker konference

Sikker

Konference

Sikker

Sikker konferencebro

Sikker konference på krypteret niveau

Ikke-sikker

Mød mig

Minimumssikkerhedsniveau er krypteret.

Initiativtager modtager meddelelsen Overholder ikke sikkerhedsniveau, opkald afvist.

Sikker

Mød mig

Minimumsniveauet for sikkerhed er ikke-sikkert.

Sikker konferencebro

Konference accepterer alle opkald.

Sikker identifikation af telefonopkald

Der oprettes et sikkert opkald, når din telefon og telefonen i den anden ende er konfigureret til sikkert opkald. Den anden telefon kan være i det samme Cisco IP-netværk eller på et netværk uden for IP-netværket. Sikre opkald kan kun foretages mellem to telefoner. Konferenceopkald bør understøtte sikre opkald, når en sikker konferencebro er konfigureret.

Et sikret opkald oprettes ved hjælp af denne proces:

  1. En bruger starter opkaldet fra en sikret telefon (sikret sikkerhedstilstand).

  2. Telefonen viser ikonet for sikkerhed låseikonet for et sikkert opkald på telefonskærmen. Dette ikon angiver, at telefonen er konfigureret til sikre opkald, men det betyder ikke, at den anden tilsluttede telefon også er sikret.

  3. Brugeren hører en sikkerhedstone, hvis opkaldet opretter forbindelse til en anden sikret telefon, hvilket angiver, at begge ender af samtalen er krypteret og sikret. Hvis opkaldet opretter forbindelse til en ikke-sikker telefon, hører brugeren ikke sikkerhedstonen.

Sikre opkald understøttes mellem to telefoner. For beskyttede telefoner er nogle funktioner, f.eks. konferenceopkald, delte linjer og Extension Mobility, ikke tilgængelige, når sikre opkald er konfigureret.

Kun beskyttede telefoner afspiller disse sikre eller ikke-sikre indikationstoner. Ikke-beskyttede telefoner afspiller aldrig toner. Hvis den overordnede opkaldsstatus ændres under opkaldet, ændres indikationstonen, og den beskyttede telefon afspiller den relevante tone.

En beskyttet telefon afspiller en tone eller ej under disse omstændigheder:

  • Når valgmuligheden Afspil sikker indikationstone er aktiveret:

    • Når et sikkert slutpunkt-til-slutpunkt-medie er oprettet, og opkaldsstatussen er sikker, afspiller telefonen den sikre indikationstone (tre lange bip med pauser).

    • Når ikke-sikkert slutpunkt-til-slutpunkt-medie er etableret, og opkaldsstatussen ikke er sikker, afspiller telefonen den ikke-sikre indikationstone (seks korte bip med korte pauser).

Hvis indstillingen Afspil sikker indikationstone er deaktiveret, afspilles der ingen tone.

Giv kryptering til bryd ind

Cisco Unified Communications Manager kontrollerer telefonens sikkerhedsstatus, når der oprettes konferencer, og ændrer sikkerhedsangivelsen for konferencen eller blokerer afslutningen af opkaldet for at bevare integriteten og sikkerheden i systemet.

En bruger kan ikke bryde ind i et krypteret opkald, hvis den telefon, der bruges til at bryde ind, ikke er konfigureret til kryptering. Når bryd ind-handlingen mislykkes i dette tilfælde, afspilles en omorganiseringstone (hurtig optaget) på den telefon, hvor bryd ind-handlingen blev startet.

Hvis den startende telefon er konfigureret til kryptering, kan den, der starter bryd ind-handlingen, bryde ind i et ikke-sikkert opkald fra den krypterede telefon. Når bryd ind-handlingen er sket, klassificerer Cisco Unified Communications Manager opkaldet som ikke-sikkert.

Hvis den startende telefon er konfigureret til kryptering, kan den, der starter bryd ind-handlingen, bryde ind i et krypteret opkald, og telefonen angiver, at opkaldet er krypteret.

WLAN-sikkerhed

Da alle WLAN-enheder, der er inden for rækkevidde, kan modtage al anden WLAN-trafik, er det vigtigt at sikre talekommunikation i WLAN'er. For at sikre, at ubudne personer ikke manipulerer eller opfanger taletrafikken, understøtter Cisco SAFE Security-arkitekturen telefonen. For yderligere oplysninger om sikkerhed i netværk, se http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Ciscos løsning til trådløs IP-telefoni giver sikkerhed for trådløst netværk, der forhindrer uautoriseret logon og kompromitteret kommunikation ved at bruge følgende godkendelsesmetoder, som telefonen understøtter:

  • Åbn godkendelse: Enhver trådløs enhed kan anmode om godkendelse i et åbent system. Det adgangspunkt, der modtager anmodningen, kan give godkendelse til enhver anmoder eller kun til anmodere, der findes på en liste over brugere. Kommunikationen mellem den trådløse enhed og adgangspunktet (AP) kunne ikke krypteres.

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST)-godkendelse: Denne klient-server-sikkerhedsarkitektur krypterer EAP-transaktioner inden for en TLS-tunnel (Transport Level Security) mellem AP'en og RADIUS-serveren, f.eks. ISE (Identity Services Engine).

    TLS-tunnelen bruger PAC'er (Protected Access Credentials) til godkendelse mellem klienten (telefonen) og RADIUS-serveren. Serveren sender et Authority ID (AID) til klienten (telefonen), som igen vælger den relevante PAC. Klienten (telefon) returnerer en PAC-uigennemsigtig til RADIUS-serveren. Serveren dekrypterer PAC med den primære nøgle. Begge slutpunkter indeholder nu PAC-nøglen, og der oprettes en TLS-tunnel. EAP-FAST understøtter automatisk PAC-klargøring, men du skal aktivere den på RADIUS-serveren.

    I ISE udløber PAC som standard om en uge. Hvis telefonen har en udløbet PAC, tager godkendelse med RADIUS-serveren længere tid, mens telefonen får en ny PAC. For at undgå forsinkelser i PAC-klargøring skal du indstille PAC-udløbsperioden til 90 dage eller længere på ISE- eller RADIUS-serveren.

  • Godkendelse af Extensible Authentication Protocol-Transport Layer Security (EAP-TLS): EAP-TLS kræver et klientcertifikat til godkendelse og netværksadgang. Når det gælder trådløs EAP-TLS, kan klientcertifikatet være et MIC-, LSC- eller brugerinstalleret certifikat.

  • Protected Extensible Authentication Protocol (PEAP): Ciscos beskyttede adgangskodebaserede gensidige godkendelsesordning mellem klienten (telefonen) og en RADIUS-server. Telefonen kan bruge PEAP til godkendelse med det trådløse netværk. Både PEAP-MSCHAPV2- og PEAP GTC-godkendelsesmetoder understøttes.

  • Forhåndsdelt nøgle (PSK): Telefonen understøtter ASCII-format. Du skal bruge dette format, når du konfigurerer en forhåndsdelt WPA/WPA2/SAE-nøgle:

    ASCII: en ASCII-tegnstreng med en længde på 8 til 63 tegn (0-9, små og store bogstaver A-Z og specialtegn)

    Eksempel: Greg123567@9zx&w

Følgende godkendelsesmetoder bruger RADIUS-serveren til at administrere godkendelsesnøgler:

  • wpa/wpa2/wpa3: Bruger RADIUS-serveroplysninger til at generere unikke nøgler til godkendelse. Da disse nøgler genereres på den centrale RADIUS-server, giver WPA2/WPA3 mere sikkerhed end forhåndsdelte WPA-nøgler, der er gemt på adgangspunktet og telefonen.

  • Hurtig og sikker roaming: Bruger oplysninger om RADIUS-server og en trådløs domæneserver (WDS) til at administrere og godkende nøgler. WDS opretter en cache med sikkerhedslegitimationsoplysninger for FT-aktiverede klientenheder for hurtig og sikker gengodkendelse. Cisco Desk Phone 9861 og 9871 og Cisco Video Phone 8875 understøtter 802.11r (FT). Både over luften og over DS understøttes for at muliggøre hurtig sikker roaming. Men vi anbefaler kraftigt at bruge 802.11r (FT) over luft-metoden.

Med WPA/WPA2/WPA3 indtastes krypteringsnøgler ikke på telefonen, men afledes automatisk mellem adgangspunktet og telefonen. Men det EAP-brugernavn og den adgangskode, der bruges til godkendelse, skal angives på hver enkelt telefon.

For at sikre, at taletrafikken er sikker, understøtter telefonen TKIP og AES til kryptering. Når disse mekanismer bruges til kryptering, krypteres både signal-SIP-pakker og RTP-talepakker (Real-Time Transport Protocol) mellem adgangspunktet og telefonen.

tkip

WPA bruger TKIP-kryptering, der har flere forbedringer i forhold til WEP. TKIP giver nøglekryptering pr. pakke og længere initialiseringsvektorer (IV'er), der styrker kryptering. Derudover sikrer en MIC (message integrity check), at krypterede pakker ikke ændres. TKIP fjerner forudsigeligheden af WEP, der hjælper uvedkommende med at dekryptere WEP-nøglen.

aes

En krypteringsmetode, der bruges til WPA2/WPA3-godkendelse. Denne nationale standard for kryptering bruger en symmetrisk algoritme, der har den samme nøgle til kryptering og dekryptering. AES bruger CBC-kryptering (Cipher Blocking Chain) på 128 bit i størrelse, som understøtter nøglestørrelser på som minimum 128 bit, 192 bit og 256 bit. Telefonen understøtter en nøglestørrelse på 256 bit.

Cisco Desk Phone 9861 og 9871 og Cisco Video Phone 8875 understøtter ikke Cisco Key Integrity Protocol (CKIP) med CMIC.

Godkendelses- og krypteringsmetoder konfigureres inden for det trådløse LAN. VLAN'er konfigureres på netværket og på adgangspunkterne og angiver forskellige kombinationer af godkendelse og kryptering. Et SSID er knyttet til et VLAN og den specifikke godkendelses- og krypteringsmetode. Hvis trådløse klientenheder skal godkendes, skal du konfigurere de samme SSID'er med deres godkendelses- og krypteringsmetoder på adgangspunkterne og på telefonen.

Nogle godkendelsesordninger kræver specifikke typer kryptering.

  • Når du bruger forhåndsdelt WPA-nøgle, forhåndsdelt WPA2-nøgle eller SAE, skal den forhåndsdelte nøgle være indstillet statisk på telefonen. Disse nøgler skal matche de nøgler, der er på adgangspunktet.

  • Telefonen understøtter automatisk EAP-forhandling for FAST eller PEAP, men ikke for TLS. For EAP-TLS-tilstand skal du angive den.

Godkendelses- og krypteringsmetoderne i følgende tabel viser indstillingerne for netværkskonfiguration for den telefon, der svarer til konfigurationen af AP.

Tabel 6. Godkendelses- og krypteringsmetoder
FSR-typeGodkendelseNøgleadministrationKrypteringBeskyttet administrationsramme (PMF)
802.11r (FT)PSK

wpa-psk

wpa-psk-sha256

FT-psk

aesNej
802.11r (FT)WPA3

længdegrad

højre-sae

aesJa
802.11r (FT)EAP-TLS

WPA-EAP

ft-eap (sprog)

aesNej
802.11r (FT)eap-tls (wpa3)

wpa-eap-sha256

ft-eap (sprog)

aesJa
802.11r (FT)EAP-FAST

WPA-EAP

ft-eap (sprog)

aesNej
802.11r (FT)eap-fast (wpa3)

wpa-eap-sha256

ft-eap (sprog)

aesJa
802.11r (FT)EAP-PEAP

WPA-EAP

ft-eap (sprog)

aesNej
802.11r (FT)eap-peap (wpa3)

wpa-eap-sha256

ft-eap (sprog)

aesJa

Konfigurer profil for trådløst LAN

Du kan administrere din trådløse netværksprofil ved at konfigurere legitimationsoplysninger, frekvensbånd, godkendelsesmetode osv.

Husk følgende noter, før du konfigurerer WLAN-profilen:

  • Brugernavn og adgangskode

    • Når dit netværk bruger EAP-FAST og PEAP til brugergodkendelse, skal du konfigurere både brugernavnet og adgangskoden, hvis det er nødvendigt, på RADIUS (Remote Authentication Dial-In User Service) og telefonen.

    • De legitimationsoplysninger, du angiver i profilen for det trådløse LAN, skal være identiske med de legitimationsoplysninger, du har konfigureret på RADIUS-serveren.

    • Hvis du bruger domæner i dit netværk, skal du angive brugernavnet med domænenavnet i formatet: domæne\brugernavn.

  • Følgende handlinger kan medføre, at den eksisterende Wi-Fi-adgangskode bliver ryddet:

    • Indtastning af et ugyldigt bruger-id eller adgangskode
    • Installation af et ugyldigt eller udløbet rod-CA, når EAP-typen er indstillet til PEAP-MSCHAPV2 eller PEAP GTC
    • Deaktivering af EAP-typen i brug på RADIUS-serveren, før du skifter telefonen til den nye EAP-type
  • Hvis du vil ændre EAP-typen, skal du først sørge for at aktivere den nye EAP-type på RADIUS-serveren og derefter skifte telefonen til EAP-typen. Når alle telefonerne er blevet ændret til den nye EAP-type, kan du deaktivere den tidligere EAP-type, hvis du ønsker det.
1

I Cisco Unified Communications Manager Administration skal du vælge Enhed > Enhedsindstillinger > Trådløs LAN-profil.

2

Vælg den netværksprofil, du vil konfigurere.

3

Opsæt parametrene.

4

Klik på Gem.

Konfigurer SCEP-parametrene

SCEP (Simple Certificate Enrollment Protocol) er standarden for automatisk klargøring og fornyelse af certifikater. SCEP-serveren kan automatisk vedligeholde dine bruger- og servercertifikater.

Du skal konfigurere følgende SCEP-parametre på telefonens webside

  • RA IP-adresse

  • SHA-1- eller SHA-256-fingeraftryk af rod-CA-certifikatet til SCEP-serveren

Cisco IOS Registration Authority (RA) fungerer som proxy til SCEP-serveren. SCEP-klienten på telefonen bruger de parametre, der downloades fra Cisco Unified Communication Manager. Når du har konfigureret parametrene, sender telefonen en SCEP getcs -anmodning til RA, og rod-CA-certifikatet valideres ved hjælp af det definerede fingeraftryk.

Før du begynder

På SCEP-serveren skal du konfigurere SCEP-registreringsagenten (RA) til at:

  • Fungerer som et PKI-tillidspunkt
  • Fungerer som en PKI RA
  • Udfør enhedsgodkendelse ved hjælp af en RADIUS-server

Få flere oplysninger i dokumentationen til SCEP-serveren.

1

Vælg Enhed > Telefon i Cisco Unified Communications Manager Administration.

2

Find telefonen.

3

Rul ned til området Produktspecifikt konfigurationslayout .

4

Markér afkrydsningsfeltet WLAN SCEP-server for at aktivere SCEP-parameteren.

5

Markér afkrydsningsfeltet WLAN Root CA Fingerprint (SHA256 eller SHA1) for at aktivere SCEP QED-parameteren.

Konfigurer de understøttede versioner af TLS

Du kan konfigurere den mindste påkrævede version af TLS for henholdsvis klient og server.

Som standard er den mindste TLS-version af server og klient både 1.2. Indstillingen har indflydelse på følgende funktioner:

  • HTTPS-webadgangsforbindelse
  • Onboarding af lokal telefon
  • Onboarding til Mobile and Remote Access (MRA)
  • HTTPS-tjenester, f.eks. katalogtjenester
  • DTLS (Datagram Transport Layer Security)
  • PAE (Port Access Entity)
  • EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

For yderligere oplysninger om TLS 1.3-kompatibiliteten for Cisco IP-telefoner, se TLS 1.3-kompatibilitetsmatrix for Cisco-samarbejdsprodukter.

1

Log på Cisco Unified Communications Manager Administration som administrator.

2

Naviger til et af følgende vinduer:

  • System > Konfiguration af virksomhedstelefon
  • Enhed > Enhedsindstillinger > Almindelig telefonprofil
  • Enhed > Telefon > Telefonkonfiguration
3

Opsæt feltet Min version af TLS-klient :

Valgmuligheden "TLS 1.3" er tilgængelig på Cisco Unified CM 15SU2 eller nyere.
  • TLS 1.1: TLS-klienten understøtter versionerne af TLS fra 1.1 til 1.3.

    Hvis TLS-versionen på serveren er lavere end 1.1, f.eks. 1.0, kan forbindelsen ikke oprettes.

  • TLS 1.2 (standard): TLS-klienten understøtter TLS 1.2 og 1.3.

    Hvis TLS-versionen på serveren er lavere end 1.2, f.eks. 1.1 eller 1.0, kan forbindelsen ikke oprettes.

  • TLS 1.3: TLS-klienten understøtter kun TLS 1.3.

    Hvis TLS-versionen på serveren er lavere end 1.3, f.eks. 1.2, 1.1 eller 1.0, kan forbindelsen ikke oprettes.

4

Opsæt feltet Min version af TLS-server :

  • TLS 1.1: TLS-serveren understøtter versionerne af TLS fra 1.1 til 1.3.

    Hvis TLS-versionen i klienten er lavere end 1.1, f.eks. 1.0, kan forbindelsen ikke oprettes.

  • TLS 1.2 (standard): TLS-serveren understøtter TLS 1.2 og 1.3.

    Hvis TLS-versionen i klienten er lavere end 1.2, f.eks. 1.1 eller 1.0, kan forbindelsen ikke oprettes.

  • TLS 1.3: TLS-serveren understøtter kun TLS 1.3.

    Hvis TLS-versionen i klienten er lavere end 1.3, f.eks. 1.2, 1.1 eller 1.0, kan forbindelsen ikke oprettes.

Fra PhoneOS 3.2-udgivelsen påvirker indstillingen af feltet "Deaktiver TLS 1.0 og TLS 1.1 for webadgang" ikke telefonerne.
5

Klik på Gem.

6

Klik på Anvend konfiguration.

7

Genstart telefonerne.

SIP for sikrede tjenester

AS-SIP (Assured Services SIP) er en samling funktioner og protokoller, der tilbyder et meget sikkert opkaldsflow for Cisco IP-telefoner og tredjepartstelefoner. Følgende funktioner kaldes samlet AS-SIP:

  • MLPP (Multilevel Precedence and Preemption)
  • Differentieret tjenestekodepunkt (DSCP)
  • TLS (Transport Layer Security) og SRTP (Secure Real-time Transport Protocol)
  • Internetprotokol version 6 (IPv6)

AS-SIP bruges ofte med MLPP (Multilevel Precedence and Preemption) til at prioritere opkald under en nødsituation. Med MLPP tildeler du et prioritetsniveau til udgående opkald, fra niveau 1 (lavt) til niveau 5 (højt). Når du modtager et opkald, vises et ikon for prioritetsniveau på telefonen, der viser opkaldsprioriteten.

Hvis du vil konfigurere AS-SIP, skal du udføre følgende opgaver på Cisco Unified Communications Manager:

  • Konfigurer en digest-bruger – konfigurer slutbrugeren til at bruge digest-godkendelse til SIP-anmodninger.
  • Konfigurer sikker port til SIP-telefon – Cisco Unified Communications Manager bruger denne port til at lytte til SIP-telefoner til SIP-linjeregistreringer via TLS.
  • Genstart tjenester – når du har konfigureret den sikre port, skal du genstarte tjenesterne Cisco Unified Communications Manager og Cisco CTL Provider. Konfigurer SIP-profil for AS-SIP-konfigurer en SIP-profil med SIP-indstillinger for dine AS-SIP-slutpunkter og dine SIP-trunks. De telefonspecifikke parametre downloades ikke til en tredjeparts-AS-SIP-telefon. De bruges kun af Cisco Unified Manager. Tredjepartstelefoner skal lokalt konfigurere de samme indstillinger.
  • Konfigurer telefonsikkerhedsprofil for AS-SIP – du kan bruge telefonens sikkerhedsprofil til at tildele sikkerhedsindstillinger som f.eks. TLS, SRTP og digest-godkendelse.
  • Konfigurer AS-SIP-slutpunkt – konfigurer en Cisco IP-telefon eller et tredjepartsslutpunkt med AS-SIP-understøttelse.
  • Knyt enhed til slutbruger – knyt slutpunktet til en bruger.
  • Konfigurer SIP-trunksikkerhedsprofil for AS-SIP – du kan bruge sip-trunk-sikkerhedsprofilen til at tildele sikkerhedsfunktioner som f.eks. TLS eller digest-godkendelse til en SIP-trunk.
  • Konfigurer SIP-trunk for AS-SIP – konfigurer en SIP-trunk med AS-SIP-understøttelse.
  • Konfigurer AS-SIP-funktioner – konfigurer yderligere AS-SIP-funktioner som f.eks. MLPP, TLS, V.150 og IPv6.

Få detaljerede oplysninger om konfiguration af AS-SIP i kapitlet "Konfigurer AS-SIP-slutpunkter" i Vejledning til funktionskonfiguration til Cisco Unified Communications Manager.

Forrang og forrang på flere niveauer

MLPP (Multilevel Precedence and Preemption) giver dig mulighed for at prioritere opkald i nødsituationer eller andre krisesituationer. Du tildeler en prioritet til dine udgående opkald, der går fra 1 til 5. Indgående opkald viser et ikon og opkaldsprioriteten. Godkendte brugere kan foranstille opkald til enten målrettede stationer eller via fuldt tilmeldte TDM-trunks.

Denne funktion sikrer kommunikationspersonale på højt niveau til kritiske organisationer og medarbejdere.

MLPP bruges ofte med AS-SIP (Assured Services SIP). Få detaljerede oplysninger om konfiguration af MLPP i kapitlet Konfigurer multiniveauprioritet og forrang i Funktionskonfigurationsvejledning til Cisco Unified Communications Manager.

Opsæt FAC og CMC

Når FAC (Forced Authorization Codes) eller CMC (Client Matter Codes) eller begge er konfigureret på telefonen, skal brugerne indtaste de påkrævede adgangskoder for at ringe op til et nummer.

For yderligere oplysninger om, hvordan du konfigurerer FAC og CMC i Cisco Unified Communications Manager, henvises der til kapitlet "Klient Matter Codes and Forced Authorization Codes" i Vejledning til funktionskonfiguration for Cisco Unified Communications Manager, version 12.5(1) eller nyere.