U ovome članku
Podržane sigurnosne značajke
dropdown icon
Sigurnost telefonskih poziva
    Sigurna identifikacija konferencijskih poziva
    Identifikacija sigurnog telefonskog poziva
    Omogući šifriranje za teglenicu
dropdown icon
Bežična LAN sigurnost
    Postavljanje profila Wi-Fi
    Instaliranje korisničkog certifikata s web-stranice administracije telefona
    Instalirajte CA poslužitelja za provjeru autentičnosti s web-stranice administracije telefona
    Ručno uklanjanje sigurnosnog certifikata s web-stranice administracije telefona
    Uspostavite SCEP
Postavljanje cenrtifikata lokalnog značaja (LSC)
dropdown icon
802.1X Provjera autentičnosti za žičane mreže
    Omogućivanje provjere autentičnosti 802.1X za ožičene mreže na telefonu
    Omogući provjeru autentičnosti 802.1X za ožičene mreže u aplikaciji Cisco Unified Communications Manager Administration
    Izbornik sigurnosnih postavki na telefonu
Postavite podržane verzije programa TLS
TURN isključen zvučnik i slušalice na Cisco bežičnom telefonu 9821
Cisco Sigurnost bežičnog telefona 9821 (Unified CM)
list-menuU ovome članku
list-menuŽelite li poslati povratne informacije?

Ovaj članak pomoći odnosi se na Cisco bežični telefon 9821 registriran na Cisco Unified Communications Manager (Unified CM).

Aplikaciji Cisco Unified Communications Manager (Unified CM) možete omogućiti rad u poboljšanom sigurnosnom okruženju. S pomoću tih poboljšanja telefonska mreža djeluje u skladu sa skupinom strogih kontrola za sigurnost i upravljanje rizicima kako biste vi i vaši korisnici bili zaštićeni.

Poboljšano sigurnosno okruženje uključuje sljedeće značajke:

  • Provjera autentičnosti pretraživanja kontakata

  • TCP kao zadani protokol za zapisivanje daljinskog nadzora

  • Poboljšano pravilo vjerodajnica

  • Podrška obitelji hashova SHA-2 za digitalne potpise

  • Podrška za RSA veličine ključa do 4096 bita

Uz Cisco Unified CM Release 14.0 ili noviji, telefoni podržavaju SIP OAuth provjeru autentičnosti.

OAuth je podržan za proxy trivijalni protokol za prijenos datoteka (TFTP) s Cisco Unified CM Release 14.0 (1) SU1 ili novijim.

Dodatne informacije o sigurnosti potražite u sljedećim vodičima:

Vaš telefon može pohraniti samo ograničeni broj datoteka iz popisa pouzdanih identiteta (engl. Identity Trust List, ITL). ITL datoteke ne mogu prelaziti 64K na telefonu pa ograničite broj datoteka koje Cisco Unified CM šalje na telefon.

Podržane sigurnosne značajke

Sigurnosne značajke štite od prijetnji, uključujući prijetnje identitetu telefona i podacima. Te značajke uspostavljaju i održavaju prijenose komunikacije provjerene autentičnosti između telefona i poslužitelja sustava Cisco Unified Communications Manager te osiguravaju da telefon upotrebljava samo digitalno potpisane datoteke.

Cisco Unified Communications Manager, izdanje 8.5 (1) i kasnije, uključuje sigurnost prema zadanim postavkama, što omogućuje slijedeće sigurnosne mogućnosti za Cisco IP telefone bez funkcioniranja CTL klijenta:

  • Potpisivanje konfiguracijskih datoteka telefona

  • Šifriranje konfiguracijske datoteke telefona

  • HTTPS s uslugom Tomcat i ostalim web-uslugama

Sigurnosna upozorenja i medijske značajke i dalje zahtijevaju od vas da pokrenete CTL klijenta i upotrebljavate hardverske e-tokene.

Provedba sigurnosti u sustavu Cisco Unified Communications Manager sprječava krađu identiteta telefona i poslužitelja sustava Cisco Unified Communications Manager,sprječava neovlašteno mijenjanje podataka i signala poziva i prijenos medijskog sadržaja.

Kako bi ublažili te prijetnje, mreža Cisco IP telefonije uspostavlja i održava sigurne (šifrirane) prijenose komunikacije između telefona i poslužitelja, digitalno potpisuje datoteke prije nego što se prenesu na telefon te šifrira prijenose medijskog sadržaja i signalizaciju poziva između Cisco IP telefona.

Certifikat lokalnog značaja (engl. Locally Significant Certificate, LSC) instalira se na telefone nakon izvršavanja potrebnih zadataka povezanih s Proxy funkcijom izdavatelja certifikata (engl. Certificate Authority Proxy Function, CAPF). Cisco Unified Communications Manager Administration možete koristiti za konfiguriranje LSC, kako je opisano u Vodiču za sigurnost Cisco Unified Communications Manager. Možete pokrenuti i instalaciju pogreške LSC s izbornika Sigurnost na telefonu. Ovaj izbornik omogućuje vam ažuriranje ili uklanjanje LSC-a.

Telefoni upotrebljavaju sigurnosni profil telefona, koji definira je li uređaj siguran. Informacije o primjeni sigurnosnog profila na telefon potražite u dokumentaciji za određeno izdanje sustava Cisco Unified Communications Manager.

Ako konfigurirate postavke vezane uz sigurnost u sustavu Cisco Unified Communications Manager Administration, konfiguracijska datoteka telefona sadrži osjetljive informacije. Kako biste osigurali privatnost konfiguracijske datoteke, morate je konfigurirati za šifriranje. Podrobne informacije potražite u dokumentaciji određenog izdanja sustava Cisco Unified Communications Manager koji imate.

Sljedeća tablica pruža pregled sigurnosnih značajki koje telefoni podržavaju. Dodatne informacije potražite u dokumentaciji određenog izdanja sustava Cisco Unified Communications Manager koji imate.

Tablica 1. Pregled sigurnosnih značajki

Značajka

Opis

Provjera autentičnosti slike

Potpisane binarne datoteke sprječavaju neovlaštene izmjene slike firmvera prije učitavanja slike na telefon.

Neovlaštene izmjene slike uzrokuju da telefon ne uspijeva dovršiti postupak provjere autentičnosti i odbacuje nove slike.

Instalacija certifikata web-mjesta klijenta

Za svaki Cisco IP telefon potreban je jedinstveni certifikat za provjeru autentičnosti uređaja. Telefoni uključuju certifikat instaliran u proizvodnji (engl. manufacturing installed certificate, MIC), ali za dodatnu sigurnost možete odrediti instalaciju certifikata u sustav Cisco Unified Communications Manager Administration s pomoću Proxyja davatelja certifikata (engl. Certificate Authority Proxy, CAPF). Možete i instalirati pogrešku Locally Significant Certificate (LSC) s izbornika Sigurnost na telefonu.

Autentifikacija uređaja

Prikazuje se između poslužitelja sustava Cisco Unified Communications Manager i telefona kada svaki entitet prihvati certifikat drugog entiteta. Određuje hoće li se prikazati sigurna veza između telefona i sustava Cisco Unified Communications Manager; i, ako je potrebno, stvara sigurnu putanju signalizacija između entiteta s pomoću TLS protokola. Cisco Unified Communications Manager ne registrira telefone ako im ne može provjeriti autentičnost.

Provjera autentičnosti datoteke

Potvrdjuje digitalno potpisane datoteke koje telefon preuzima. Telefon provjerava valjanost potpisa kako bi bilo sigurno da se nije dogodila neovlaštena izmjena nakon stvaranja datoteke. Datoteke kod kojih provjera autentčnosti ne uspije ne upisuju se u brzu memoriju telefona. Telefon odbacuje takve datoteke bez daljnje obrade.

Šifriranje datoteke

Šifriranje sprječava otkrivanje osjetljivih informacija za vrijeme prijenosa datoteke na telefon. Uz to, telefon provjerava valjanost potpisa kako bi bilo sigurno da se nije dogodila neovlaštena izmjena nakon stvaranja datoteke. Datoteke kod kojih provjera autentčnosti ne uspije ne upisuju se u brzu memoriju telefona. Telefon odbacuje takve datoteke bez daljnje obrade.

Signalizacija provjere autentičnosti

Upotrebljava TLS protokol kako bi se provjerilo da tijekom prijenosa nije došlo do neovlaštenih izmjena signalnih pakiranja.

Certifikat koji je instalirao proizvođač

Svaki Cisco IP telefon sadrži jedinstveni certifikat koji je instalirao proizvođač (MIC) i koji se upotrebljava za provjeru autentičnosti uređaja. MIC pruža stalni jedinstven dokaz identiteta za telefon i omogućuje sustavu Cisco Unified Communications Manager provjeru autentičnosti telefona.

Šifriranje medija

Upotrebljava SRTP kako bi se osiguralo da prijenos medijskih sadržaja između podržanih uređaja bude siguran i da samo željeni uređaj prima i čita podatke. Uključuje stvaranje para primarnog medijskog ključa za uređaje, isporuku ključeva uređajima i osiguravanje isporuke ključeva tijekom prenošenja ključeva.

CAPF (engl. Certificate Authority Proxy Function, Proxy funkcija izdavatelja certifikata)

Implementira dijelove postupka za stvaranje certifikata koji su preintenzivno obrađivani za telefon i komunicira s telefonom za stvaranje ključa i instalaciju certifikata. CAPF se može konfigurirati kako bi zatražio potvrde od ovlaštenih korisnika certifikata u ime telefona ili se može konfigurirati za lokalno stvaranje certifikata.

Podržane su i vrste tipki EC (eliptična krivulja) i RSA. Da biste koristili ključ EC, provjerite je li omogućen parametar "Endpoint Advanced Encryption Algorithms Support" (iz parametra System >Enterprise).

Dodatne informacije o CAPF i povezanim konfiguracijama potražite u sljedećim dokumentima:

Sigurnosni profil

Određuje je li telefon nesiguran, je li mu provjerena autentičnost, je li šifriran ili zaštićen. Ostali unosi u ovoj tablici opisuju sigurnosne značajke.

Šifrirane konfiguracijske datoteke

Omogućuje vam osiguravanje privatnosti konfiguracijskih datoteka telefona.

Onemogućavanje neobveznog web-poslužitelja za telefon

Iz sigurnosnih razloga možete spriječiti pristup web-mjestima za telefon (što prikazuju razne operacijske statistike za telefon) i portal za samoodržavanje.

Ojačavanje sigurnosti telefona

Dodatne sigurnosne mogućnosti koje nadzirete iz sustava Cisco Unified Communications Manager Administration:

  • Onemogućivanje besplatnog ARP-a (engl. Gratuitous ARP, GARP)
  • Onemogućavanje pristupa izborniku postavki ili pružanje ograničenog pristupa
  • Onemogućavanje pristupa web stranicama za administraciju telefona
  • Onemogućivanje priključnice za Bluetooth pribor
  • Ograničavanje šifri TLS-a

Siguran SIP za prebacivanje u slučaju pogreške za SRST

Nakon konfiguriranja reference za sigurnost Opstanak telefonije na udaljenom mjestu (engl. Survivable Remote Site Telephony, SRST), a zatim vraćanja na izvorne postavke ovisnih uređaja u sustav Cisco Unified Communications Manager Administration, poslužitelj TFTP-a dodaje certifikat SRST datoteci cnf. xml telefona i datoteku šalje telefonu. Siguran telefon zatim upotrebljava TLS vezu za interakciju s usmjerivačem s omogućenim SRST-om.

Šifriranje signalizacije

Jamči da će sve poruke SIP signalizacije koje se šalju između uređaja i sustava Cisco Unified Communications Manager server biti šifrirane.

Alarm za ažuriranje popisa pouzdanih

Kada se na telefonu ažurira Popis pouzdanih, Cisco Unified Communications Manager prima alarm koji označuje uspjeh ili neuspjeh ažuriranja. Dodatne informacije potražite u tablicama u nastavku.

Šifriranje AES 256

Kada ste spojeni na sustav Cisco Unified Communications Manager Release 10.5 (2) i noviji, telefoni podržavaju šifriranje AES 256 podržano za protokole TLS i SIP za signaliziranje i medijsko šifriranje. Ovo omogućuje telefonima da pokreću i podržavaju TLS 1.2 povezivanja s pomoću šifri koje se temelje na algoritmu AES-256 koji se poklapa sa standardom SHA-2 (engl. Secure Hash Algorithm, Sigurnosni algoritam za pretvaranje vrijednosti) i sukladne su Saveznim standardima za obradu informacija (engl. Federal Information Processing Standards, FIPS). Šifre uključuju:

  • Za TLS veze:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Za sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Za više informacija pogledajte dokumentaciju za Cisco Unified Communications Manager.

Algoritam digitalnog potpisa eliptične krivulje (Certifikati Eliptička krivulja digitalni potpis algoritam, ECDSA)

Kao dio certifikacije zajedničkih kriterija (engl. Common Criteria, CC), Cisco Unified Communications Manager; dodani ECDSA certifikati u verziji 11.0. To se odnosi na sve proizvode Glasovnog operativnog sustava (engl. Voice Operating System, VOS) koji se odvijaju na CUCM 11.5 i novijim verzijama.

Tomcat certifikat za više poslužitelja (SAN) s Cisco UCM

Telefon podržava Cisco UCM s konfiguriranim Tomcat certifikatima za više poslužitelja (SAN). Ispravnu adresu TFTP poslužitelja možete pronaći u ITL datoteci telefona za registraciju telefona.

Dodatne informacije o značajki potražite u sljedećim člancima:

Tablica u nastavku sadrži Popis pouzdanih poruka s alarmima za ažuriranje i značenjem. Za više informacija pogledajte dokumentaciju za Cisco Unified Communications Manager.

Tablica 2. Popis pouzdanih poruka s alarmima za ažuriranje
Šifra i poruka Opis

1 – TL_SUCCESS

Primljen novi CTL i/ili ITL

2 – CTL_INITIAL_SUCCESS

Primljen novi CTL, nema postojećih TL

3 – ITL_INITIAL_SUCCESS

Primljen novi ITL, nema postojećih TL

4 – TL_INITIAL_SUCCESS

Primljen novi CTL i ITL, nema postojećih TL

5 – TL_FAILED_OLD_CTL

Ažuriranje na novi CTL nije uspjelo, ali imaju prethodni TL

6 – TL_FAILED_NO_TL

Ažuriranje na novi TL nije uspjelo i nemaju stare TL

7 – TL_FAILED

Generički neuspjeh

8 – TL_FAILED_OLD_ITL

Ažuriranje na novi ITL nije uspjelo, ali imaju prethodni TL

9 – TL_FAILED_OLD_TL

Ažuriranje na novi TL nije uspjelo, ali imaju prethodni TL

Sigurnost telefonskih poziva

Kada se sigurnost za telefon implementira, možete identificirati sigurne telefonske pozive prema ikonama na zaslonu telefona. Također možete utvrditi je li spojeni telefon siguran i zaštićen ako se na početku poziva reproducira sigurnosni ton.

U sigurnom pozivu, šifrirani su svi signali poziva i prijenos medijskog sadržaja. Siguran poziv pruža visoku razinu sigurnosti, pružajući integritet i privatnost poziva. Kada je poziv u tijeku šifriran, možete vidjeti ikonu sigurnosti Ikona sigurnog poziva 9821 Na liniji.

  • Ako je poziv usmjeren putem etape poziva koji nije IP poziv, na primjer, PSTN, poziv može biti nesiguran, iako je šifriran unutar IP mreže i ima ikonu zaključavanja povezanu s njom.

  • Sigurno pozivanje podržano je samo za veze između dva telefona. Neke značajke, kao što su konferencijski poziv i dijeljene linije, nisu dostupni kada je konfigurirano sigurno pozivanje.

U Cisco Unified Communications Manager telefonima konfiguriranim kao sigurni (šifrirani i pouzdani) može se dodijeliti zaštićeni status. Nakon zaštite, ovi se uređaji mogu konfigurirati za reprodukciju sigurnosnog tona na početku svakog poziva.

  • Zaštićeni uređaj:

    Da biste status sigurnog telefona promijenili u zaštićeni:

    1. U Cisco Unified Communications Manager Administration odaberite Uređaj > Telefon.
    2. Pronađite telefon koji ćete postaviti.
    3. U prozoru Konfiguracija telefona potvrdite okvir Zaštićeni uređaj .
    4. Kliknite Spremi.
  • Reproduciraj ton sigurne indikacije:

    Da biste zaštićenom telefonu omogućili reprodukciju sigurnog ili nesigurnog tona indikacije:

    1. U Cisco Unified Communications Manager Administration odaberite Parametri sustava >usluge.
    2. Odaberite poslužitelj, a zatim uslugu Cisco CallManager .
    3. U području Parametri za clusterwide (značajka - siguran ton) postavite postavku Reproduciraj da bi naznačio status sigurnog/nesigurnog poziva na Istinito.
    4. Kliknite Spremi.

Sigurna identifikacija konferencijskih poziva

Možete pokrenuti siguran konferencijski poziv i nadzirati razinu sigurnosti sudionika. Siguran konferencijski poziv uspostavlja se ovim postupkom:

  1. Korisnik pokreće konferenciju sa sigurnog telefona.

  2. Cisco Unified Communications Manager dodjeljuje pozivu sigurnu konferencijsku vezu.

  3. Nakon dodavanja sudionika, Cisco Unified Communications Manager provjerava način sigurnosti svakog telefona i održava sigurnu razinu za konferenciju.

  4. Telefon prikazuje razinu sigurnosti konferencijskog poziva. Sigurna konferencija prikazuje ikonu sigurnosti Ikona sigurnog poziva 9821.

Sigurno pozivanje podržano je između dva telefona. Za zaštićene telefone, neke značajke, kao što su konferencijski poziv, dijeljene linije i značajka Extension Mobility nisu dostupni kada je konfigurirano sigurno pozivanje.

U tablici u nastavku nalaze se informacije o promjenama razina sigurnosti konferencije, ovisno o razini sigurnosti inicijalnog telefona, razinama sigurnosti sudionika te dostupnosti sigurne konferencijske veze.

Tablica 3. Sigurnosna ograničenja glede konferencijskih poziva

Razina sigurnosti inicijalnog telefona

Upotrijebljena značajka

Razina sigurnosti sudionika

Rezultati djelovanja

Nije siguran

Konferencija

Siguran

Konferencijska veza nije sigurna

Konferencija nije sigurna

Siguran

Konferencija

Barem jedan član nije siguran.

Konferencijska veza je sigurna

Konferencija nije sigurna

Siguran

Konferencija

Siguran

Konferencijska veza je sigurna

Sigurna šifrirana razina konferencije

Nije siguran

Meet Me

Minimalna razina sigurnosti šifrirana je.

Inicijator prima ton ponovnog naručivanja.

Siguran

Meet Me

Minimalna razina sigurnosti nije sigurna.

Konferencijska veza je sigurna

Konferencija prihvaća sve pozive.

Identifikacija sigurnog telefonskog poziva

Siguran poziv uspostavlja se kada se vaš telefon i telefon s druge strane, konfiguriraju za sigurno pozivanje. Drugi telefon može biti u istoj Cisco IP mreži ili na mreži izvan IP mreže. Sigurni pozivi mogu se uspostaviti samo između dva telefona. Konferencijski pozivi trebali bi podržavati siguran poziv nakon postavljanja sigurne konferencijske veze.

Siguran poziv uspostavlja se ovim postupkom:

  1. Korisnik započinje poziv sa sigurnog telefona (zaštićen sigurnosni način rada).

  2. Telefon prikazuje ikonu sigurnosti Ikona sigurnog poziva 9821 Na zaslonu telefona. Ova ikona označuje da je telefon konfiguriran za sigurne pozive, ali to ne znači da je i drugi spojeni telefon također siguran.

  3. Korisnik će čuti sigurnosni ton ako se poziv poveže s drugim sigurnim telefonom, što označuje da su oba kraja razgovora šifrirana i osigurana. Ako se poziv poveže s telefonom koji nije siguran, korisnik neće čuti sigurnosni ton.

Sigurno pozivanje podržano je između dva telefona. Za zaštićene telefone, neke značajke, kao što su konferencijski poziv, dijeljene linije i značajka Extension Mobility nisu dostupni kada je konfigurirano sigurno pozivanje.

Samo zaštićeni telefoni reproduciraju ove tonove indikatora sigurnosti tj. nesigurnosti. Nezaštićeni telefoni nikada ne reproduciraju tonove. Ako se tijekom poziva promijeni ukupnan statusa poziva, mijenja se ton indikatora i zaštićeni telefon reproducira odgovarajući ton.

Kada je mogućnost Reproduciraj ton za označavanje statusa sigurnog/nesigurnog poziva postavljena na Istinito:

  • Kada se uspostavi siguran medij s jednog na drugi kraj i status poziva je siguran, telefon reproducira sigurni ton indikatora (tri duga zvučna signala s pauzama).

  • Kada se uspostavi nesiguran medij s jednog na drugi kraj i status poziva nije siguran, telefon reproducira ton indikatora koji ukazuje na nesigurnost (šest kratkih zvučnih signala s kratkim pauzama).

Ako je mogućnost Reproduciraj ton za označavanje statusa sigurnog/nesigurnog poziva postavljena na False, ton se ne reproducira.

Omogući šifriranje za teglenicu

Cisco Unified Communications Manager provjerava status sigurnosti telefona kada se uspostave konferencije i mijenja sigurnosnu oznaku za konferenciju ili blokira dovršetak poziva radi održavanja integriteta i sigurnosti u sustavu.

Korisnik ne može upasti u šifrirani poziv ako telefon koji se koristi za upadanje nije konfiguriran za šifriranje. Kada teglenica u ovom slučaju ne uspije, na telefonu se reproducira ton za promjenu redoslijeda (brzo zauzet) da je teglenica pokrenuta.

Ako je telefon pokretača konfiguriran za šifriranje, pokretač teglenice može upasti u nesiguran poziv sa šifriranog telefona. Nakon što dođe do teglenice, Cisco Unified Communications Manager klasificira poziv kao nesiguran.

Ako je telefon pokretača konfiguriran za šifriranje, pokretač upada može upasti u šifrirani poziv, a telefon naznačuje da je poziv šifriran.

Bežična LAN sigurnost

Budući da svi uređaji WLAN-a koji su u dometu mogu primati sav drugi WLAN promet, osiguravanje glasovne komunikacije je nužno u WLAN-ovima. Kako uljezi ne bi manipulirali niti presreli glasovni promet, arhitektura Cisco SAFE Security podržava telefon. Dodatne informacije o sigurnosti u mrežama potražite u članku http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Rješenje Cisco Wireless IP telefonije pruža sigurnost bežične mreže koja sprječava neovlaštene prijave i ugroženu komunikaciju pomoću sljedećih metoda provjere autentičnosti koje telefon podržava.

  • Otvori provjeru autentičnosti: svaki bežični uređaj može zatražiti provjeru autentičnosti u otvorenom sustavu. AP koji prima zahtjev može odobriti provjeru autentičnosti svakom tražitelju ili samo tražiteljima koji se nalaze na popisu korisnika. Komunikacija između bežičnog uređaja i pristupne točke (AP) može biti nešifrirana.

  • Proširivi protokol provjere autentičnosti – fleksibilna provjera autentičnosti putem sigurnog tuneliranja (EAP-FAST) Provjera autentičnosti: Ova sigurnosna arhitektura klijent-poslužitelj šifrira EAP transakcije unutar tunela Transport Level Security (TLS) između AP-a i RADIUS poslužitelja, kao što je Identity Services Engine (ISE).

    Tunel TLS upotrebljava Vjerodajnice za zaštićeni pristup (engl. Protected Access Credential, PAC) za provjeru autentičnosti između klijenta (telefona) i poslužitelja RADIUS. Poslužitelj šalje ID ovlaštenja (engl. Authority ID, AID) klijentu (telefon), što zauzvrat odabire odgovarajući PAC. Klijent (telefon) vraća neproziran PAC poslužitelju RADIUS-u. Poslužitelj primarnim ključem dešifrira PAC. Obje krajnje točke sada sadrže ključ PAC i stvara se TLS tunel. EAP-FAST podržava automatsku dodjelu PAC-a, ali ga morate omogućiti na poslužitelju RADIUS-u.

    U ISE-u, prema zadanim postavkama, PAC istječe za tjedan dana. Ako telefon ima istekli PAC, provjera autentičnosti na poslužitelju RADIUS traje dulje dok telefon dobije novi PAC. Kako biste izbjegli kašnjenja pri dodjeli PAC-ova, postavite razdoblje trajanja PAC-a na 90 dana ili dulje na ISE-u ili poslužitelju RADIUS.

  • Protokol proširene provjere autentičnosti – Sigurnost na razini prijenosa (engl. Extensible Authentication Protocol-Transport Layer Security, EAP-TLS) za provjeru autentičnosti: EAP-TLS zahtijeva certifikat klijenta za provjeru autentičnosti i pristup mreži. Za bežičnu EAP-TLS certifikat klijenta može biti MIC, LSC, ili certifikat koji je instalirao korisnik.

  • Protokol za zaštićenu proširenu provjeru autentičnosti (engl. Protected Extensible Authentication Protocol, PEAP): Vlasnička shema tvrtke Cisco uzajamne provjere autentičnosti temeljena na lozinci između klijenta (telefona) i poslužitelja RADIUS. Telefon može koristiti PEAP za provjeru autentičnosti s bežičnom mrežom. Podržani su i PEAP-MSCHAPV2 i PEAP-GTC načini provjere autentičnosti.

  • Unaprijed dijeljeni ključ (PSK): telefon podržava formate ASCII i heksadecimalne (HEX). Te oblike morate koristiti prilikom postavljanja unaprijed dijeljenog ključa WPA2/SAE.

    ASCII: Niz ASCII znakova duljine od 8 do 63 znaka (0-9, mala slova a-z, velika slova A-Z i posebni znakovi). Na primjer,GREG123567@9ZX &W.

    HEX: HEX-znakovni niz sa 64 šesterokutne znamenke duljine (0-9, a-f ili A-F).

Sheme provjere autentičnosti u nastavku upotrebljavaju poslužitelj RADIUS za upravljanje ključevima za provjeru autentičnosti:

  • WPA2/WPA3: upotrebljava podatke poslužitelja RADIUS za stvaranje jedinstvenih ključeva za provjeru autentičnosti. Budući da se ovi ključevi stvaraju na središnjem poslužitelju RADIUS, WPA2/WPA3 pruža više sigurnosti nego unaprijed dijeljeni ključevi WPA pohranjeni na AP-u i telefonu.

  • Brz i siguran roaming: upotrebljava poslužitelj RADIUS i podatke o poslužitelju bežične domene (engl. wireless domain server, WDS) za upravljanje i provjeru autentičnosti ključeva. WDS stvara predmemoriju sigurnosnih vjerodajnica za klijentske uređaje s omogućenim FT-om za brzu i sigurnu ponovnu provjeru autentičnosti.

Uz WPA2/WPA3 ključevi za šifriranje ne unose se na telefon, već se automatski izvode između AP-a i telefona. No, EAP korisničko ime i lozinka koji se upotrebljavaju za provjeru autentičnosti moraju biti unesene u svaki telefon.

Da bi zaštitio glasovni promet putem bežične veze, telefon podržava šifriranje temeljeno na AES-u za WPA2/WPA3 provjeru autentičnosti. AES je simetrična šifra bloka standardizirana od strane NIST-a. AES koristi fiksnu 128-bitnu veličinu bloka i podržava veličine ključeva od 128 bita, 192 bita i 256 bita. U Wi-Fi mrežama AES koriste paketi šifri kao što su CCMP ili GCMP, dok provjeru autentičnosti zasebno pružaju PSK, SAE ili 802.1X/EAP, ovisno o konfiguriranom WLAN sigurnosnom načinu rada. Podržani paket šifri i veličina ključa ovise o modelu telefona i konfiguraciji WLAN.

Kada telefon koristi šifriranje AES, paketi signala SIP i paketi glasovnog protokola prijenosa u stvarnom vremenu (RTP) šifrirani su između AP-a i telefona.

Provjera autentičnosti i sheme šifriranja postavljeni su unutar bežičnog LAN-a. VLAN-ovi su konfigurirani u mreži i na AP-ovima i određuju različite kombinacije provjere autentičnosti i šifriranja. SSID se povezuje s VLAN-om i određenom shemom za provjeru autentičnosti i šifriranje. Da bi bežični klijentski uređaji uspješno provjerili autentičnost, morate konfigurirati iste SSID-ove s njihovim shemama provjere autentičnosti i šifriranja na AP-ovima i na telefonu.

Neke sheme za provjeru autentičnosti zahtijevaju određene vrste šifriranja.

Kada koristite unaprijed dijeljeni ključ WPA2 ili SAE, unaprijed dijeljeni ključ mora biti statički postavljen na telefonu. Ovi ključevi moraju se poklapati s ključevima koji se nalaze na AP-u.

Sheme provjere autentičnosti i šifriranja u sljedećoj tablici prikazuju mogućnosti mrežne konfiguracije za Cisco bežični telefon 9821 koje odgovaraju AP konfiguraciji.

Tablica 4. Sheme za provjeru autentičnosti i šifriranje
Vrsta FSRProvjeru autentičnostiUpravljanje ključevimaŠifriranjeZaštićeni okvir upravljanja (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNe
802.11r (FT)WPA3

SAE

FT-SAE

AESDa
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa
ne-FTSuite-BWPA-EAP-SUITE-BGCMPDa
ne-FTApartman-B-192WPA-EAP-SUITE-B-192GCMPDa

Postavljanje profila Wi-Fi

Možete konfigurirati Wi-Fi profil i dodijeliti ga Cisco bežičnom telefonu 9821. Ovaj profil sadrži potrebne parametre kako bi telefon uspostavio vezu Wi-Fi i nakon toga se registrirao na Cisco Unified CM. Kada stvarate i koristite profil Wi-Fi, vi ili vaši korisnici ne morate konfigurirati bežičnu mrežu za pojedinačne telefone.

Preporučujemo da koristite sigurni profil s omogućenim TFTP šifriranjem za zaštitu tipki i lozinki kada koristite Wi-Fi profil.

Telefoni podržavaju jedan certifikat poslužitelja po načinu instalacije (ručno, SCEP ili TFTP).

Imajte na umu sljedeće bilješke prije nego što konfigurirate WLAN profil:

  • Korisničko ime i lozinka

    • Kada vaša mreža upotrebljava EAP-FAST i PEAP za provjeru autentičnosti korisnika, morate konfigurirati i korisničko ime i lozinku, ako je to potrebno, na Korisničkoj usluzi biranja za daljinsku provjeru autentičnosti (engl. Remote Authentication Dial-In User Service, RADIUS) i telefonu.

    • Vjerodajnice koje unesete u profil bežičnog LAN-a moraju biti identične vjerodajnicama koje ste konfigurirali na poslužitelju RADIUS.
    • Ako upotrebljavate domene unutar svoje mreže, morate unijeti korisničko ime s nazivom domene, u formatu: domena\korisničkoime.

  • Sljedeće radnje mogle bi rezultirati poništavanjem postojeće Wi-Fi lozinke:

    • Unos nevaljanog ID-a korisnika ili lozinke
    • Instaliranje nevaljanog ili isteklog Korijenskog CA kada je vrsta EAP postavljena na PEAP-MSCHAPV2 ili PEAP-GTC
    • Onemogućivanje EAP vrste koja se upotrebljava na poslužitelju RADIUS prije prebacivanja telefona na novu vrstu EAP-a
  • Za promjenu vrste EAP-a provjerite jeste li najprije omogućili novu vrstu EAP-a na poslužitelju RADIUS, a zatim prebacite telefon na vrstu EAP. Kada su svi telefoni promijenjeni na novu vrstu EAP-a, možete onemogućiti prethodnu vrstu EAP-a, ako želite.
1

U sustavu Cisco Unified Communications Manager Administration odaberite stavke Uređaj > Postavke uređaja > Profil bežičnog LAN-a.

2

Kliknite Dodaj novo.

3

U odjeljku Wireless LAN Profile Information (Informacije o bežičnom LAN profilu ) postavite parametre:

  • Naziv – unesite jedinstveni naziv za profil Wi-Fi. To ime se prikazuje na telefonu.

  • Opis – unesite opis profila Wi-Fi koji će vam pomoći razlikovati ovaj profil od ostalih profila Wi-Fi.

  • Modifiable korisnika – odaberite jednu od sljedećih mogućnosti:

    • Dopušteno – naznačuje da korisnik može mijenjati postavke Wi-Fi sa svog telefona. Ova je mogućnost odabrana prema zadanim postavkama.

    • Nedopušteno – označava da korisnik ne može mijenjati postavke Wi-Fi na svom telefonu.

    • Ograničeno – označava da korisnik može promijeniti korisničko ime i lozinku za Wi-Fi na svom telefonu. No, korisnicima nije dopušteno mijenjati druge postavke Wi-Fi na telefonu. Kada mreža koristi EAP-TLS za provjeru autentičnosti korisnika, korisnik može odabrati vrstu certifikata (MIC, LSC ili instalirani korisnik).

4

U odjeljku Bežične postavke postavite parametre:

  • SSID (Naziv mreže) – unesite naziv mreže dostupan u korisničkom okruženju s kojim se telefon može povezati. Taj se naziv prikazuje na popisu dostupnih mreža na telefonu i telefon se može povezati s tom bežičnom mrežom.

  • Frekvencijski pojas – dostupne opcije su Automatski, 2,4 GHz i 5 GHz. Ovo polje određuje frekvencijski pojas koji koristi bežična veza. Ako odaberete Automatski, telefon prvo pokušava koristiti pojas 5 GHz ili 6 GHz i koristi pojas od 2,4 GHz samo kada nije dostupno 5 GHz ili 6 GHz.

5

U odjeljku Postavke provjere autentičnosti postavite metodu provjere autentičnosti na jednu od sljedećih metoda provjere autentičnosti: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK i Ništa.

Cisco bežični telefon 9821 ne podržava WEP.

Nakon što postavite ovo polje, možda ćete vidjeti dodatna polja koja trebate postaviti.

  • Korisnički certifikat – potreban za EAP-TLS provjeru autentičnosti. Odaberite MIC, LSC ili Instaliran korisnik. Telefon zahtijeva instalaciju certifikata, bilo automatski iz SCEP-a ili ručno sa stranice administracije na telefonu.

  • PSK pristupni izraz – potreban za PSK provjeru autentičnosti. Unesite prolaznu frazu od 8- 63 znaka ASCII ili 64 HEX.

  • Navedite zajedničke vjerodajnice: obavezno za EAP-FAST, PEAP-MSCHAPv2 i PEAP-GTC provjeru autentičnosti.

    • Ako korisnik upravlja korisničkim imenom i lozinkom, ostavite polja Korisničko ime i Lozinka prazna.

    • Ako svi vaši korisnici dijele isto korisničko ime i lozinku, podatke možete unijeti u polja Korisničko ime i Lozinka .

    • Unesite opis u polje Opis lozinke.

    Ako svakom korisniku trebate dodijeliti jedinstveno korisničko ime i lozinku, morate stvoriti profil za svakog korisnika.

Cisco Bežični telefon 9821 ne podržava polje profila pristupa mreži.

6

Kliknite Spremi.

Što sljedeće učiniti

Povežite bežični LAN profil s grupom profila WLAN, a zatim grupu profila WLAN primijenite na skupinu uređaja (System>Device Pool) ili izravno na telefon ( Device >Phone).

Instaliranje korisničkog certifikata s web-stranice administracije telefona

Korisnički certifikat možete ručno instalirati na telefon ako nije dostupan protokol Simple Certificate Enrollment Protocol (SCEP).

Predinstalirani certifikat instalirane proizvodnje (MIC) može se koristiti kao korisnički certifikat za EAP-TLS.

Nakon instalacije korisničkog certifikata morate dodati lanac ca koji je izdao korisnički certifikat na popis pouzdanosti RADIUS poslužitelja.

Prije nego što počnete

Prije nego što instalirate certifikat korisnika za telefon, morate imati:

  • Certifikat korisnika spremljen na računalu. Certifikat mora biti u formatu PKCS #12.

  • Lozinka za izdvajanje certifikata. Duljina lozinke ne smije prelaziti 32 znaka.

1

Na web-stranici za administraciju telefona odaberite mogućnost Certifikati.

2

Pronađite polje Korisnički instalirano i kliknite mogućnost Instaliraj.

3

Potražite certifikat na vašem računalu.

4

U polje Izdvoji lozinku unesite lozinku izdvojenu iz certifikata.

5

Kliknite na Prijenos.

6

Ponovno pokrenite telefon nakon dovršetka prijenosa.

Instalirajte CA poslužitelja za provjeru autentičnosti s web-stranice administracije telefona

Ako SCEP (Simple Certificate Enrollment Protocol) nije dostupan, na telefon možete ručno instalirati CA (Simple Certificate Enrollment Protocol).

Potrebno je instalirati korijenski CA certifikat koji je izdao certifikat poslužitelja RADIUS.

Prije nego što počnete

Da biste mogli instalirati certifikat na telefon, na PC-ju morate spremiti CA za poslužitelj za provjeru autentičnosti. Certifikat mora biti šifriran u PEM (Base-64) ili DER.

1

Na web-stranici za administraciju telefona odaberite mogućnost Certifikati.

2

Pronađite polje CA poslužitelja za provjeru autentičnosti i kliknite stavku Instaliraj.

3

Potražite certifikat na vašem računalu.

4

Kliknite na Prijenos.

5

Ponovno pokrenite telefon nakon dovršetka prijenosa.

Ručno uklanjanje sigurnosnog certifikata s web-stranice administracije telefona

Možete ručno ukloniti sigurnosni certifikat s telefona ako Jednostavan protokol za upisivanje certifikata (engl. Simple Certificate Enrollment Protocol, SCEP) nije dostupan.

1

Na web-stranici za administraciju telefona odaberite mogućnost Certifikati.

2

Pronađite certifikat na stranici Certifikati.

3

Kliknite Izbriši.

4

Nakon dovršetka procesa brisanja ponovno pokrenite telefon.

Uspostavite SCEP

Simple Certificate Enrollment Protocol (SCEP) je standard za automatsku dodjelu i obnavljanje certifikata. Izbjegava ručnu instalaciju certifikata na vašim telefonima.

Aktivirajte konfiguracijske parametre specifične za SCEP proizvod

Sljedeće SCEP parametre morate konfigurirati na Cisco Unified Communications Manager (Unified CM).

  • RA IP adresa ili naziv glavnog računala

  • SHA-1 ili SHA-256 otisak otiska korijenskog CA certifikata za poslužitelj SCEP

Cisco IOS ovlaštenje za registraciju (engl. Registration Authority, RA) služi kao proxy na poslužitelj SCEP. SCEP klijent na telefonu koristi parametre preuzete s Cisco Unified CM. Nakon što konfigurirate parametre, telefon šalje SCEP getcs zahtjev RA-u, a korijenski CA certifikat se provjerava pomoću definiranog otiska prsta.

1

U odjeljku Cisco Unified Communications Manager Administration odaberite Uređaj > Telefon.

2

Pronađite telefon.

3

Pomaknite se do područja Prikaz konfiguracije specifične za proizvod.

4

Potvrdite okvir WLAN SCEP Server da biste aktivirali SCEP parametar.

5

Potvrdite okvir WLAN Root CA otisak prsta (SHA256 ili SHA1) da biste aktivirali parametar SCEP QED.

Podrška za SCEP poslužitelj

Ako koristite SCEP (Simple Certificate Enrollment Protocol) poslužitelj, poslužitelj može automatski održavati vaše korisničke i poslužiteljske certifikate. Na poslužitelju SCEP konfigurirajte agenta SCEP-a za registraciju (engl. Registration Agent, RA) na:

  • Djelovanje kao PKI točka povjerenja

  • Djelovanje kao PKI RA

  • Izvođenje provjere autentičnosti uređaja s pomoću poslužitelja RADIUS

Dodatne informacije potražite u dokumentaciji o poslužitelju SCEP.

Postavljanje cenrtifikata lokalnog značaja (LSC)

Postoji nekoliko načina za instaliranje pogreške LSC. Ovaj ogledni zadatak primjenjuje se na postavljanje pogreške LSC s metodom niza za provjeru autentičnosti na Cisco bežičnom telefonu 9821.

Prije nego što počnete

Provjerite jesu li dovršene odgovarajuće sigurnosne konfiguracije Cisco Unified CM i certificate authority proxy function (CAPF).

  • Datoteka CTL ili ITL ima certifikat CAPF.

  • U administraciji sustava Cisco Unified Communications Operating provjerite je li instaliran ceetifikat CAPF.

  • CAPF je konfiguriran i radi.

Dodatne informacije o tim postavkama potražite u dokumentaciji za određeno izdanje aplikacije Cisco Unified CM.

1

Pribavite niz za provjeru autentičnosti CAPF koji je postavljen prilikom konfiguracije CAPF.

2

Na telefonu pristupite postavkama 9821 Settings app icon App.

3

Odaberite Administratorske postavke > Konfiguracija sustava> Sigurnost > LSC.

4

Unesite niz za provjeru autentičnosti.

5

Pritisnite više 9821 More button i odaberite Pošalji.

Telefon počinje instalirati, ažurirati ili uklanjiti LSC, ovisno o tome kako je konfiguriran CAPF. Kada se postupak dovrši, na telefonu se prikaže poruka instaliran ili nije instaliran.

Postupak instaliranja, ažuriranja ili uklanjanja LSC-a može potrajati dugo vremena.

Kada je postupak instaliranja telefona uspješan, prikazuje se poruka Instalirano. Ako se na telefonu prikazuje Nije instalirano, onda autorizacijski niz možda nije točan ili nadogradnja telefona možda nije omogućena. Ako operacija CAPF izbriše LSC, telefon prikazuje poruku Nije instaliran kako bi označio da je operacija bila uspješna. CAPF poslužitelj zapisuje poruke o pogreškama. Pogledajte dokumentaciju CAPF poslužitelja kako biste pronašli zapise i razumjeli značenje poruka o pogrešci.

802.1X Provjera autentičnosti za žičane mreže

Cisco bežični telefon 9821 podržava provjeru autentičnosti 802.1X za žičane mreže. To se obično koristi tijekom automatskog dodjeljivanja resursa kada je telefon povezan s stolnim punjačem putem podržanog adaptera USB-to-Ethernet.

Podrška za provjeru autentičnosti 802.1X na žičanim mrežama zahtijeva nekoliko komponenti kako slijedi:

  • Cisco IP telefoni: telefon inicira zahtjev za pristup mreži. Cisco IP telefoni sadrže alt za slanje zamolbe u protokolu 802.1X Ovaj alat za slanje zamolbe omogućuje administratorima mreže kontrolu povezanosti IP telefona s LAN ulazima za prespajanje. Trenutačno izdanje alata za slanje zamolbe u protokolu 802.1X telefona upotrebljava mogućnosti EAP-FAST i EAP-TLS za provjeru autentičnosti mreže.

  • Poslužitelj za provjeru autentičnosti: Poslužitelj za provjeru autentičnosti i skretnica moraju biti konfigurirani s zajedničkom tajnom RADIUS-a.

  • Prekidač: skretnica mora podržavati 802.1X kako bi mogla djelovati kao autentifikator i prenositi poruke EAP između telefona i poslužitelja za provjeru autentičnosti. Nakon dovršetka razmjene, prespojnik odobrava ili odbija odobriti pristup telefona mreži.

Cisco IP telefoni i prespojnici Cisco Catalyst uobičajeno upotrebljavaju Cisco protokol za otkrivanje (engl. Cisco Discovery Protocol, CDP) kako bi identificirali jedni druge i utvrditi parametre kao što su alokacija VLAN-a i zahtjevi za linijsko napajanje.

Kako biste konfigurirali protokol 802.1X, morate izvršiti radnje navedene u nastavku.

  • Konfigurirajte CDP/LLDP glas VLAN zaobiđi.

  • Konfigurirajte poslužitelj za provjeru autentičnosti i skretnicu prije omogućivanja provjere autentičnosti 802.1X za ožičene mreže na telefonu.

  • Konfiguriranje Glasovnog VLAN-a: Budući da standard 802.1X ne računa na VLAN-ove, trebali biste konfigurirati ovu postavku na temelju podrške prespojnika.

    • Omogućeno: ako koristite skretnicu koja podržava provjeru autentičnosti više korisnika, možete je konfigurirati tako da koristi glas VLAN.
    • Onemogućeno: ako prespojnik ne podržava provjeru autentičnosti višestukih domena, onemogućite glasovni VLAN i razmislite o dodjeljivanju ulaza izvornom VLAN-u.
  • Cisco Bežični telefon 9821 ima drugačiji prefiks u PID-u od onog za ostale Cisco telefone. Da biste telefonu omogućili prolazak provjere autentičnosti 802.1X, postavite radij· Parametar korisničkog imena koji uključuje vaš Cisco bežični telefon 9821.

    Na primjer, PID Cisco bežičnog telefona 9821 je WP-9821. Možete postaviti radijus· Korisničko ime za početak s WP ili sadrži WP u oba sljedeća odjeljka:

    • Uvjeti > Uvjeti > Uvjeti biblioteke

    • Pravila > Skupovi pravila> Pravila autorizacije> Pravilo autorizacije 1

Omogućivanje provjere autentičnosti 802.1X za ožičene mreže na telefonu

Slijedite ove korake da biste omogućili provjeru autentičnosti 802.1X za ožičene mreže na telefonu. Imajte na umu da je provjera autentičnosti 802.1X za Wi-Fi omogućena prema zadanim postavkama i da ne zahtijeva ručnu konfiguraciju.

1

Pristup postavkama 9821 Settings app icon App.

2

Ako se to od vas zatraži, unesite lozinku za pristup izborniku Postavke . Lozinku možete dobiti od administratora.

3

Odaberite Administratorske postavke > Postavljanje sigurnosti> 802.1X provjera autentičnosti.

4

Označite provjeru autentičnosti uređaja i pritisnite Uključeno.

Omogući provjeru autentičnosti 802.1X za ožičene mreže u aplikaciji Cisco Unified Communications Manager Administration

Slijedite ove korake da biste omogućili provjeru autentičnosti 802.1X za ožičene mreže na Cisco Unified CM. Imajte na umu da je provjera autentičnosti 802.1X za Wi-Fi omogućena prema zadanim postavkama i ne zahtijeva ručnu konfiguraciju.

Status transakcije i sigurnosne postavke možete pregledati na izborniku zaslona telefona. Dodatne informacije potražite u odjeljku Izbornik sigurnosnih postavki na telefonu.

1

U Cisco Unified Communications Manager Administration odaberite Uređaj > Telefon.

2

Pronađite telefon koji ćete postaviti.

3

Pomaknite se do područja izgleda konfiguracije specifične za proizvod.

4

Na padajućem izborniku provjere autentičnosti 802.1x odaberite Omogućeno .

Kada je konfigurirana na omogućeno ili onemogućeno, mogućnost provjere autentičnosti uređaja na Cisco bežičnom telefonu 9821 postaje samo za čitanje, što korisnicima onemogućuje izmjenu postavki provjere autentičnosti 802.1X.

5

Izaberite Spremi.

6

Odaberite Primijeni konfiguraciju.

Izbornik sigurnosnih postavki na telefonu

Za pregled informacija o sigurnosnim postavkama s izbornika telefona pristupite Postavkama 9821 Settings app icon i odaberite Administratorske postavke > Postavljanje sigurnosti> 802.1X provjera autentičnosti. Dostupnost informacija ovisi o mrežnim postavkama u vašoj tvrtki ili ustanovi.

Parametri

Mogućnosti

Zadano

Opis

Autentifikacija uređaja

Uključi

Off

Off

Omogućuje ili onemogućuje provjeru autentičnosti 802.1X na telefonu.

Postavka parametra može se zadržati nakon registracije telefona Out-Of-Box (OOB).

Status transakcije

Onemogućeni

Prikazuje stanje provjere autentičnosti 802.1X. Država može biti (ne ograničavajući se na):

  • Provjera autentičnosti – pokazuje da je postupak provjere autentičnosti u tijeku.
  • Autentificirana – označava da je telefon autentificiran.
  • Onemogućeno – znači da je na telefonu onemogućena provjera autentičnosti 802.1x.
  • Povezivanje – naznačuje da telefon šalje EAP početne poruke na prekidač svakih 30 sekundi.
  • Dohvaćeno – označava da je prekidač odbio zahtjev telefona EAP i da telefon ne prima EAP-TLS ili EAP-FAST izazov od prekidača. Telefon ponovno pokušava poslati zahtjeve za EAP.
  • Prekinuta veza – ukazuje na to da je Ethernet kabel odspojen.
  • Zadržano – označava da je skretnica obradila zahtjev telefona EAP, ali je odbila provjeru autentičnosti EAP-FAST ili EAP-TLS. Telefon ponovno pokušava poslati zahtjeve za EAP.

Protokol

Ništa

Prikazuje metodu EAP koja se koristi za provjeru autentičnosti 802.1X. Protokol može biti EAP-FAST ili EAP-TLS.

Postavite podržane verzije programa TLS

Možete postaviti minimalnu verziju TLS potrebnu za klijenta, odnosno poslužitelj.

Prema zadanim postavkama minimalna TLS verzija poslužitelja i klijenta je 1.2. Postavka utječe na sljedeće funkcije:

  • Veza za HTTPS web pristup
  • Uvođenje za lokalni telefon
  • HTTPS usluge, kao što su imenički servisi
  • Datagram Transport Layer Security (DTLS)
  • Entitet pristupa priključku (PAE)
  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)

Dodatne informacije o kompatibilnosti s TLS 1.3 za Cisco IP Phones potražite u članku TLS 1.3 Matrica kompatibilnosti za Cisco Proizvodi za suradnju.

1

U Cisco Unified Communications Manager Administration po potrebi izvršite jednu od sljedećih radnji:

  • Da biste konfigurirali sve implementirane telefone, idite na Konfiguracija telefona system > enterprise.
  • Da biste konfigurirali telefone koji dijele isti profil telefona, otvorite Postavke uređaja > Postavke uređaja> uobičajeni profil telefona.
  • Da biste konfigurirali pojedinačni telefon, idite na Uređaj > Telefon. Zatim pronađite telefon i otvorite stranicu Konfiguracija telefona.

Konfiguracija slijedi hijerarhijsku strukturu:

  • Pojedinačne postavke uređaja imaju prednost pred postavkama u uobičajenom telefonskom profilu i na razini tvrtke
  • Uobičajene postavke profila telefona nadjačavaju postavke na razini tvrtke

2

Postavite polje TLS Client Min Version :

Opcija TLS 1.3 dostupna je na Cisco Unified CM 15SU2 ili novijem.

  • TLS 1.1: Klijent TLS podržava verzije TLS od 1.1 do 1.3.

    Ako je verzija TLS na poslužitelju niža od 1.1, na primjer, 1.0, tada se veza ne može uspostaviti.

  • TLS 1.2 (zadano): TLS klijent podržava TLS 1.2 i 1.3.

    Ako je verzija TLS na poslužitelju niža od 1.2, na primjer, 1.1 ili 1.0, tada se veza ne može uspostaviti.

  • TLS 1.3: Klijent TLS podržava samo TLS 1.3.

    Ako je verzija TLS na poslužitelju niža od 1.3, na primjer, 1.2, 1.1 ili 1.0, tada se veza ne može uspostaviti.

3

Postavite polje TLS Server Min Version :

  • TLS 1.1: Poslužitelj TLS podržava verzije TLS od 1.1 do 1.3.

    Ako je verzija TLS u klijentu niža od 1.1, na primjer, 1.0, tada se veza ne može uspostaviti.

  • TLS 1.2 (zadano): poslužitelj TLS podržava TLS 1.2 i 1.3.

    Ako je verzija TLS u klijentu niža od 1.2, na primjer, 1.1 ili 1.0, tada se veza ne može uspostaviti.

  • TLS 1.3: Poslužitelj TLS podržava samo TLS 1.3.

    Ako je verzija TLS u klijentu niža od 1.3, na primjer, 1.2, 1.1 ili 1.0, tada se veza ne može uspostaviti.

4

Kliknite Spremi.

5

Kliknite Primijeni konfiguraciju.

6

Ponovo pokrenite telefone.

TURN isključen zvučnik i slušalice na Cisco bežičnom telefonu 9821

Imate mogućnosti trajno TURN isključiti zvučnik i slušalice na Cisco bežičnom telefonu 9821 za vašeg korisnika. Isključivanje tih audioizlaza osigurava da drugi u blizini ne čuju razgovore, što je važno u zajedničkim ili otvorenim uredskim okruženjima.

1

U Cisco Unified Communications Manager Administration odaberite Uređaj > Telefon.

2

Pronađite telefon koji ćete postaviti.

3

Pomaknite se do područja izgleda konfiguracije specifične za proizvod.

4

Potvrdite jedan ili više sljedećih potvrdnih okvira da biste TURN isključili mogućnosti telefona:

  • Onemogući zvučnik
  • Onemogući zvučnik i naglavne slušalice

Prema zadanim postavkama ti potvrdni okviri nisu potvrđeni.

5

Izaberite Spremi.

6

Odaberite Primijeni konfiguraciju.

Je li taj članak bio koristan?
Je li taj članak bio koristan?