SCEP-prosessi voi päivittää laitevarmenteen automaattisesti.

• Puhelin tarkistaa, vanheneeko varmenne 15 päivän kuluttua 4 tunnin välein. Jos näin on, puhelin aloittaa varmenteen uusimisprosessin automaattisesti.
• Jos haasteen salasana on tyhjä, puhelin käyttää MIC/SUDI-sertifikaattia sekä alkurekisteröinnissä että varmenteen uusimisessa. Jos haasteen salasana on määritetty ja sitä käytetään vain alkurekisteröintiin, olemassa olevaa/asennettua varmennetta käytetään varmenteen uusimiseen.
• Puhelin ei poista vanhaa laitevarmennetta ennen kuin se noutaa uuden.
• Jos varmenteen uusiminen epäonnistuu laitevarmenteen tai myöntäjän vanhentumisen vuoksi, puhelin käynnistää ensimmäisen ilmoittautumisen automaattisesti. Jos haasteen salasanan todennus epäonnistuu, puhelimen näyttöön avautuu salasanan syötenäyttö ja käyttäjiä kehotetaan antamaan puhelimen haastesalasana.

Cisco IP Phones tukee 802.1X-todennusta.

Cisco IP Phones- ja Cisco Catalyst -kytkimet käyttävät yleensä Cisco Discovery Protocol (CDP) -painikkeita tunnistaakseen toisensa ja määrittääkseen parametreja, kuten VLAN -varaus- ja linjavirtavaatimukset. CDP ei tunnista paikallisesti liitettyjä työasemia. Cisco IP Phones tarjota EAPOL-läpikulkumekanismin. Tämän mekanismin avulla Cisco IP Phone liitetty työasema voi välittää EAPOL-viestejä LAN-kytkimen 802.1X-todentimelle. Läpivientimekanismi varmistaa sen, että IP-puhelin ei toimi LÄHI-kytkimenä todentaakseen datapäätepisteen ennen verkkoon siirtymistä.

Cisco IP Phones myös välityspalvelimen EAPOL-uloskirjautumismekanismin. Jos paikallisesti liitetty tietokone katkeaa IP puhelimesta, LAN-kytkin ei näe fyysistä yhteyttä virheellisen, koska LAN-kytkimen ja IP-puhelimen välinen yhteys säilyy. Verkon eheyden välttämiseksi IP-puhelin lähettää EAPOL-Logoff-viestin kytkimelle vikasietoisen tietokoneen puolesta, mikä käynnistää LAN-kytkimen tyhjentämään vikasietoisen tietokoneen todennustietueen.

802.1X-todennuksen tuki edellyttää useita osia:

• Cisco IP Phone: Puhelin aloittaa verkkoyhteyspyynnön. Cisco IP Phones sisältää 802.1X-ant. Tämän anomuksen avulla verkonvalvojat voivat hallita IP puhelimien yhteyttä LÄHI-verkon kytkinportteihin. Puhelimen 802.1X-supplicant-versio käyttää verkon todennusasetuksia EAP-FAST ja EAP-TLS.

• Todennuspalvelin: Todennuspalvelin ja kytkin on määritettävä jaetulle salaisuudelta, joka todentaa puhelimen.

• Kytkin: Kytkimen on tuettava 802.1X-protokollaa, jotta se voi toimia todentajana ja välittää viestejä puhelimen ja todennuspalvelimen välillä. Kun vaihto on valmis, kytkin myöntää tai hylkää puhelinyhteyden verkkoon.

Sinun on määritettävä 802.1X seuraavilla toiminnoilla.

• Määritä muut osat, ennen kuin otat 802.1X-todennuksen käyttöön puhelimessa.

• Määritä PC-portti: 802.1X-standardi ei ota huomioon VLAN-laitteita, ja suosittelee siksi, että vain yksi laite todennetaan tiettyyn kytkinporttiin. Jotkin kytkimet tukevat kuitenkin monitoimitodennusta. Kytkinmääritykset määräävät, voiko tietokoneen liittää puhelimen PC-porttiin.

  • Käytössä: Jos käytät monitoimista todennusta tukevaa kytkintä, voit ottaa PC-portin käyttöön ja liittää siihen tietokoneen. Tässä tapauksessa Cisco IP Phones tukemaan välityspalvelinta EAPOL-Logoffia, jotta voit seurata kytkimen ja siihen liitetyn tietokoneen välistä todennus vaihtamista.

    Lisätietoja Cisco Catalyst -kytkimien IEEE 802.1X -tuesta on Cisco Catalyst -kytkinmäärityksissä seuraavassa osoitteessa:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Poissa käytöstä: Jos kytkin ei tue useita 802.1X-yhteensopivia laitteita samassa portissa, sinun tulee poistaa PC-portti käytöstä, kun 802.1X-todennus on käytössä. Jos et poista tätä porttia käytöstä ja yrität liittää siihen tietokoneen, kytkin estää verkkoyhteyden sekä puhelimeen että tietokoneeseen.

• Määritä puheposti VLAN: Koska 802.1X-standardi ei vastaa VLAN-standardista, määritä asetus kytkintuen perusteella.
  • Käytössä: Jos käytät monitoimista todennusta tukevaa kytkintä, voit käyttää sitä edelleen äänellä VLAN.
  • Poissa käytöstä: Jos kytkin ei tue monitoimitodennusta, poista ääni VLAN käytöstä ja harkitse portin määrittämistä natiiville VLAN.
• (Vain Cisco Desk Phone 9800 -sarjalle)

  Cisco Desk Phone 9800 -sarjassa on eri etuliite kuin muissa Cisco-puhelimissa. Määritä säde, jotta puhelin läpäisee 802.1X-todennuksen . Käyttäjänimiparametri , joka sisältää Cisco Desk Phone 9800 -sarjan.

  Esimerkiksi puhelimen 9841 PID on DP-9841; voit asettaa säteellä olevan aset. Käyttäjänimi , joka aloitetaan DP: stä tai sisältää DP:n. Voit määrittää sen molempiin seuraaviin kohtiin:

  • Käytäntö > Ehdot > Eibrary-ehdot

  • Käytäntö > Politiikkasarjat > Valtuutuskäytäntö > Valtuutussääntö 1

Koska kaikki WLAN -laitteet voivat vastaanottaa kaiken muun WLAN -liikennettä, puheviestinnän ottaminen käyttöön on WLAN-laitteissa erittäin tärkeää. Varmista, etteivät tunkeilijat manipuloi ääniliikennettä eivätkä kaappaa sitä, Cisco SAFE Security -arkkitehtuuri tukee puhelinta. Lisätietoja verkkojen suojauksen toiminnoista on kohdassa http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Cisco Langaton IP -puhelinratkaisu tarjoaa langattoman verkon suojauksen, joka estää luvattomia sisään- ja vaaranna viestintää käyttämällä seuraavia puhelimen tukemia todennusmenetelmiä:

• Avaa todennus: Kaikki langattomat laitteet voivat pyytää todennusta avoimessa järjestelmässä. Pyynnön vastaanottava käyttöasema voi myöntää todennuksen kenelle tahansa pyynnön esittäjälle tai vain pyynnön esittäjille, jotka ovat käyttäjäluettelossa. Langattoman laitteen ja TUKIASEMAn välistä viestintää ei ehkä salata.

• Laaja todennusprotokollan joustava todennus suojatun tunnelointitoiminnon (EAP-FAST) avulla -todennus: Tämä asiakas-palvelinsuojausarkkitehtuuli salata EAP-tapahtumat AP:n ja RADIUS-palvelimen välisessä siirtotason suojaustunnelissa (TLS), kuten Identity Services Engine (ISE).

  TLS-tunnelissa käytetään suojatun käytön tunnistetietoja (PAC) todennukseen asiakkaan (puhelimen) ja RADIUS-palvelimen välillä. Palvelin lähettää asiakkaalle (puhelimella) viranomaisen tunnuksen (AID), joka TURN valitsee asianmukaisen PAC-yhteyden. Asiakas (puhelin) palauttaa PAC-kvaque-palvelimen RADIUS-palvelimeen. Palvelin poistaa PAC:n salauksen ensisijaisella näppäimellä. Molemmissa päätepisteissä on nyt PAC-avain ja TLS-tunneli luodaan. EAP-FAST tukee automaattista PAC-valmistelua, mutta sinun on otettava se käyttöön RADIUS-palvelimessa.

  ISE:ssa PAC vanhenee oletusarvoisesti viikon kuluttua. Jos puhelimen pac on vanhentunut, todennus RADIUS-palvelimella kestää kauemmin, kun puhelin saa uuden PAC:n. Voit välttää PAC-valmistelun viiveet asettamalla PAC-vanhenemisajaksi 90 päivää tai pidempään ISE- tai RADIUS-palvelimessa.

• Laaja todennusprotokollan ja siirtokerrossuojauksen (EAP-TLS) todennus: EAP-TLS edellyttää asiakasvarmennetta todennusta ja verkkoyhteyttä varten. Langattomassa EAP-TLS asiakasvarmenne voi olla MIC, LSC, tai käyttäjän asentama varmenne.

• Suojattu laajennustodennusprotokolla (PEAP): Cisco asiakkaan (puhelimen) ja RADIUS-palvelimen välinen oma salasanapohjainen todennusmalli. Puhelin voi käyttää PEAP langattoman verkon todennukseen. Sekä PEAP-MSCHAPV2- että PEAP-GTC-todennusmenetelmiä tuetaan.

• Esijaettu avain (PSK): Puhelin tukee ASCII -muotoa. Tätä muotoa on käytettävä määritettäessä WPA/WPA2/SAE Esijaettua avainta:

  ASCII: ASCII-merkkinen merkkijono, jonka pituus on 8 - 63 merkkiä (0-9, pieni ja iso kirjaiminen A-Z sekä erikoismerkit)

  Esimerkki: GREG123567@9ZX&W

Seuraavat todennusmallit käyttävät RADIUS-palvelinta todennusavainten hallintaan:

• WPA/WPA2/WPA3: Käyttää RADIUS-palvelimen tietoja yksilöllisiä avaimia todennusta varten. Koska nämä avaimet luodaan keskitetylle RADIUS-palvelimelle, WPA2/WPA3 tarjoaa enemmän suojausta kuin WPA esivalmistetut avaimet, jotka on tallennettu käyttöp. ja puhelimeen.

• Fast Secure Roaming: Käyttää RADIUS-palvelinta ja WDS -tietoja avainten hallintaan ja todennukseen. WDS luo suojaustunnisteiden välimuistin FT-yhteensopiville asiakaslaitteille, jotta ne voidaan toistaa nopeasti ja turvallisesti. Cisco Desk -puhelin 9861 ja 9871 ja Cisco VideoPuhelin 8875 tukevat 802.11r (FT). Sekä ilmassa että DS:n yllä tuetaan, jotta verkkovierailu on nopea suojattu. Suosittelemme kuitenkin vahvasti, että käytät 802.11r (FT) ilmamenetelmää.

WPA/WPA2/WPA3 -näppäimellä salausavaimia ei syötetä puhelimeen, vaan ne johdetaan automaattisesti apin ja puhelimen välillä. Todennukseen käytettävä EAP-käyttäjänimi ja salasana on kuitenkin annettava kullekin puhelimelle.

Jotta ääniliikenne on turvallista, puhelin tukee TKIP-koodausta ja AES salausta varten. Kun näitä salausohjeita käytetään salaukseen, sekä viestittävät SIP-paketit että reaaliaikainen siirtoprotokolla (RTP) -paketit salataan ap:n ja puhelimen välillä.

TKIP

WPA käyttää TKIP-salausta, jossa on useita parannusta WEP-salaukseen. TKIP tarjoaa per-paketti-avainsalakirjoitusta ja pidempiä alustusvektoreita (IVs), jotka vahvistavat salausta. Lisäksi viestin eheystarkistus (MIC) varmistaa, ettei salattuja pakkauksia muuteta. TKIP poistaa WEP -näppäimen ennustettavuuden, joka auttaa tunkeilijoille WEP-avaimen tulkitsemisen.

AES

WPA2/WPA3-todennuksessa käytettävä salausmenetelmä. Tämä kansallinen salausnormi käyttää symmetristä algoritmia, jolla on sama avain salaukseen ja salauksen purkamiseen. AES käyttää kooltaan 128 bitin salausta ( Cipher Blocking Chain, CBC), joka tukee vähintään 128 bitin, 192 bitin ja 256 bitin avainkokoja. Puhelin tukee 256 bitin näppäinkokoa.

Todennus- ja salausjärjestelmät on määritetty langattomaan lähiverkkoon. VLAN-numerot on määritetty verkossa ja APS:ssä, ja ne määrittävät eri todennus- ja salausyhdistelmiä. SSID yhdistää ohjelman VLAN ja tietyn todennus- ja salausmallin. Jotta langattomat asiakaslaitteet todennetaan oikein, samat SSID-protokollat on määritettävä todennus- ja salausmalleille APS-laitteissa ja puhelimessa.

Jotkin todennusjärjestelmät edellyttävät tietyntyyppistä salausta.

Seuraavassa taulukossa on lueteltu tukiasemamäärityksiä vastaavat puhelimen verkkomääritykset.