Ebben a cikkben
Támogatott biztonsági funkciók
dropdown icon
Telefonhívás-biztonság
    Biztonságos konferenciahívás-azonosítás
    Biztonságos telefonoshívás azonosítása
    Titkosítás biztosítása az uszályhoz
dropdown icon
Vezeték nélküli LAN biztonság
    Wi-Fi profil beállítása
    Felhasználói tanúsítvány telepítése a telefon felügyeleti weboldaláról
    Hitelesítés-kiszolgáló hitelesítésszolgáltatójának telepítése a telefon felügyeleti weboldaláról
    Biztonsági tanúsítvány manuális eltávolítása a telefon felügyeleti weboldaláról
    SCEP beállítása
Helyi jelentőségű tanúsítvány (LSC) beállítása
dropdown icon
802.1X hitelesítés vezetékes hálózatokhoz
    802.1X hitelesítés engedélyezése vezetékes hálózatokhoz a telefonon
    802.1X hitelesítés engedélyezése vezetékes hálózatokhoz a Cisco Unified Communications Manager Administration
    Biztonsági beállítások menü a telefonon
A TLS támogatott verzióinak beállítása
TURN ki a kihangosítót és a fejhallgatót a Cisco vezeték nélküli 9821-es telefonon
Cisco A 9821-es vezeték nélküli telefon biztonsága (Unified CM)
list-menuEbben a cikkben
list-menuVisszajelzés?

Ez a súgócikk a Cisco Unified Communications Manager (Unified CM) számon regisztrált Cisco 9821-es vezeték nélküli telefonról szól.

A Cisco Unified Communications Manager (Unified CM) engedélyezésével fokozott biztonsági környezetben működhet. A fokozott biztonsági szolgáltatásokkal a telefonhálózata szigorú biztonsági és kockázatkezelési felügyelet alatt áll az Ön és a felhasználói védelme érdekében.

A fokozott biztonságú környezet a következő funkciókat tartalmazza:

  • Kapcsolatkeresés hitelesítése

  • TCP mint a távoli naplózás alapértelmezett protokollja

  • Továbbfejlesztett hitelesítőadat-szabályzat

  • A digitális aláírások SHA-2 kivonatcsaládjának támogatása

  • Legfeljebb 4096 bites RSA kulcsméret támogatása

A Cisco Unified CM 14.0-s vagy újabb kiadásával a telefonok támogatják a SIP OAuth-hitelesítést.

Az OAuth a Proxy Trivial File Transfer Protocol (TFTP) esetében támogatott a Cisco Unified CM Release 14.0 (1) SU1 vagy újabb verzióval.

A biztonsággal kapcsolatos további információkért tekintse meg az alábbi útmutatókat:

A telefon csak korlátozott számú Identity Trust List (ITL) fájlt képes tárolni. Az ITL-fájlok nem haladhatják meg a 64K-t a telefonon, ezért korlátozza a Cisco Unified CM által a telefonra küldött fájlok számát.

Támogatott biztonsági funkciók

A biztonsági funkciók védelmet biztosítanak a fenyegetések ellen, ideértve a telefonazonosítással és az adatokkal kapcsolatos veszélyeket is. Ezek a funkciók hitelesített kommunikációs folyamokat hoznak létre és tartanak fenn a telefon és a Cisco Unified Communications Manager server között, és biztosítják, hogy a telefon csak digitálisan aláírt fájlokat használjon.

A Cisco Unified Communications Manager 8.5(1) és későbbi kiadásai már alapértelmezés szerint tartalmazzák a Biztonság szolgáltatást, amely a következő biztonsági funkciókat nyújtja a CTL-ügyfél nélküli Cisco IP Phone készülékek számára:

  • A telefon konfigurációs fájljainak aláírása

  • A telefon konfigurációs fájljának titkosítása

  • HTTPS és Tomcat, valamint egyéb webes szolgáltatások

A biztonságos jelzés és a médiafunkciók továbbra is igénylik a CTL-ügyfél futtatását és a hardveres eTokenek használatát.

A Cisco Unified Communications Manager biztonsági szolgáltatásainak implementálása megakadályozza a telefon és a Cisco Unified Communications Manager-kiszolgáló személyazonosságának ellopását, megakadályozza az adatok, illetve a hívásjelzések és médiafolyamok meghamisítását.

Az ilyen fenyegetések enyhítése érdekében a Cisco IP telefonos hálózat biztonságos (titkosított) kommunikációs folyamokat hoz létre és tart fenn a telefonok és a kiszolgáló között, digitálisan aláírja a fájlokat, mielőtt azokat a rendszer átirányítja a telefonra, és titkosítja a Cisco IP Phone telefonok közötti hívásjelzéseket és médiafolyamokat.

A Certificate Authority Proxy (CAPF) funkcióhoz tartozó szükséges feladatok elvégzése után a rendszer egy Locally Significant Certificate (LSC) tanúsítványt telepít a telefonokra. A Cisco Unified Communications Manager Administration hashtaggel LSC konfigurálhat a Cisco Unified Communications Manager biztonsági útmutatóban leírtak szerint. A LSC telepítését a telefon Biztonság menüjéből is kezdeményezheti. Ez a menü az LSC-k frissítését vagy eltávolítását is lehetővé teszi.

A telefonok a telefonos biztonsági profilt használják, amely meghatározza, hogy az eszköz biztonságos vagy nem. A biztonsági profil telefonra való alkalmazásával kapcsolatban további információt az adott Cisco Unified Communications Manager kiadás dokumentációjában talál.

Ha a Cisco Unified Communications Manager Administration rendszerben a biztonsággal kapcsolatos beállításokat állít be, akkor a telefon konfigurációs fájlja bizalmas információkat tartalmaz. Ha meg szeretne győződni a konfigurációs fájl titkosságáról, akkor ahhoz titkosítást kell beállítania. Részletes információk az adott Cisco Unified Communications Manager-verzió dokumentációjában találhatók.

A következő táblázat áttekintést ad a telefon által támogatott biztonsági funkciókról. További információk az adott Cisco Unified Communications Manager-verzió dokumentációjában találhatók.

1. táblázat. A biztonsági funkciók áttekintése

Szolgáltatás

Leírás

Lemezkép-hitelesítés

Az aláírt bináris fájlok megakadályozzák, hogy a firmware-lemezképet meghamisítsák, mielőtt azt a rendszer betölti a telefonon.

A lemezkép meghamisítása esetén a telefonon sikertelen a hitelesítési folyamat, és a rendszer elutasítja az új lemezképet.

Vevői webhelytanúsítvány-telepítés

Minden Cisco IP Phone egyedi tanúsítványt igényel az eszközök hitelesítéséhez. A telefonok tartalmaznak egy gyártó által telepített tanúsítványt (MIC), de a további biztonság érdekében a tanúsítványtelepítést megadhatja a Cisco Unified Communications Manager Administration rendszer Certificate Authority Proxy Function (CAPF) szolgáltatásával is. Alternatív megoldásként a telefon Biztonság menüjéből is telepíthet egy Locally Significant Certificate (LSC).

Készülékhitelesítés

Akkor következik be a Cisco Unified Communications Manager-kiszolgáló és a telefon között, amikor a adott entitás elfogadja a másik entitás tanúsítványát. Azt határozza meg, hogy a telefon és a Cisco Unified Communications Manager között történjen-e biztonságos kapcsolat, és szükség esetén a TLS protokoll segítségével létrehoz egy biztonságos jelzésútvonalat az entitások között. A Cisco Unified Communications Manager nem regisztrálja a telefonokat, amíg nem tudja hitelesíteni azokat.

Fájlhitelesítés

A telefon által letöltött, digitálisan aláírt fájlokat ellenőrzi. A telefon ellenőrzi az aláírást, és meggyőződik arról, hogy a fájl létrehozása után a fájlt nem hamisították meg. A sikertelen hitelesítésű fájlokat a rendszer nem írja a telefon Flash-memóriájába. A telefon az ilyen fájlokat minden további feldolgozás nélkül elutasítja.

Fájltitkosítás

A titkosítás megakadályozza a bizalmas információk felfedését a fájl telefonra történő átvitele során. Emellett a telefon ellenőrzi az aláírást, és meggyőződik arról, hogy a fájl létrehozása után a fájlt nem hamisították meg. A sikertelen hitelesítésű fájlokat a rendszer nem írja a telefon Flash-memóriájába. A telefon az ilyen fájlokat minden további feldolgozás nélkül elutasítja.

Jelzéshitelesítés

A TLS protokollt használja annak ellenőrzésére, hogy az átvitel során nem hamisították-e meg a jelzéscsomagokat.

Gyártó által telepített tanúsítvány

Minden Cisco IP Phone tartalmaz egy egyedi, gyártó által telepített tanúsítványt (MIC), amelyet a rendszer az eszközök hitelesítésére használ. Az MIC állandó, egyedi személyazonosság-igazolást biztosít a telefon számára, és lehetővé teszi Cisco Unified Communications Manager számára a telefon hitelesítését.

Médiatitkosítás

Az SRTP segítségével biztosítja, hogy a támogatott eszközök közötti média-adatfolyamok biztonságosak legyenek, és hogy csak a kívánt eszköz fogadhassa és olvashassa be az adatokat. Ide tartozik a elsődleges médiakulcspár létrehozása az eszközökhöz, a kulcsok továbbítása az eszközökre, valamint a kulcsok biztonságának garantálása az átvitel során.

CAPF (Certificate Authority Proxy Function)

A tanúsítvány-generálási eljárás azon részeit valósítja meg, amelyek túlságosan feldolgozásigényesek a telefon számára, és elvégzi a telefonnal a kulcsgenerálásra és tanúsítványtelepítésre vonatkozó kommunikációt. A CAPF beállítható úgy, hogy a telefon nevében az ügyfél által megadott hitelesítésszolgáltatóktól tanúsítványokat igényeljen, illetve úgy is, hogy a tanúsítványokat helyben generálja.

A EC (elliptikus görbe) és a RSA kulcstípus is támogatott. A EC kulcs használatához győződjön meg arról, hogy az "Endpoint Advanced Encryption Algorithms Support" paraméter (a System > Enterprise paraméterből ) engedélyezve van.

A CAPF és a kapcsolódó konfigurációkról további információt a következő dokumentumokban talál:

Biztonsági profil

Megadja, hogy a telefon nem biztonságos, hitelesített, titkosított vagy védett-e. A táblázatban szereplő egyéb bejegyzések a biztonsági funkciókat ismertetik.

Titkosított konfigurációs fájlok

Lehetővé teszi a telefon konfigurációs fájljainak adatvédelmét.

Opcionális webkiszolgáló-letiltás a telefonhoz

Biztonsági okokból megakadályozhatja a telefonon és az önkiszolgáló portálon a weboldalakhoz való hozzáférést (amelyek a telefon különböző működési statisztikáit jelenítik meg).

Fokozott telefonbiztonság

További biztonsági lehetőségek, amelyek a Cisco Unified Communications Manager Administration segítségével vezérelhetők:

  • A Gratuitous ARP (GARP) letiltása
  • A Beállítás menü elérésének letiltása vagy korlátozott elérésének biztosítása
  • A telefonos adminisztrációs weboldalakhoz való hozzáférés letiltása
  • Bluetooth-kiegészítőport letiltása
  • TLS-titkosítások korlátozása

Biztonságos SIP-feladatátvétel SRST-hez

Miután biztonsági okokból konfigurál egy Survivable Remote Site Telephony (SRST) hivatkozást, majd visszaállítja a függő eszközöket a Cisco Unified Communications Manager Administration használatával, a TFTP-kiszolgáló hozzáadja az SRST-tanúsítványt a telefon cnf.xml fájljához, majd elküldi a fájlt a telefonra. A biztonságos telefonok ezután TLS-kapcsolatot használnak az SRST-kompatibilis routerrel való együttműködésre.

Jelzéstitkosítás

Biztosítja, hogy a készülék és a Cisco Unified Communications Manager-kiszolgáló közötti összes SIP-jelzésüzenet titkosítva legyen.

A megbízhatósági lista frissítési riasztása

Amikor a megbízhatósági lista frissül a telefonon, a Cisco Unified Communications Manager riasztást kap a frissítés sikerességének vagy hibájának jelzésére. További információt a következő táblázatban talál.

AES 256 titkosítás

Amikor a Cisco Unified Communications Manager 10.5 (2) vagy annál újabb kiadásához csatlakozva jelzés- és médiatitkosításkor a telefonok támogatják az AES 256 titkosítást TLS és SIP esetén. Ez lehetővé teszi a telefonok számára TLS 1.2-kapcsolatok kezdeményezését és támogatását olyan AES-256 alapú titkosításokkal, amelyek megfelelnek az SHA-2 (Secure Hash Algorithm) és a Federal Information Processing Standards (FIPS) szabványoknak. A titkosítások a következők:

  • TLS-kapcsolatok esetén:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • sRTP esetén:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

További információért lásd a Cisco Unified Communications Manager dokumentációját.

Elliptic Curve Digital Signature Algorithm (ECDSA) tanúsítványok

A Common Criteria (CC) tanúsítvány részeként a Cisco Unified Communications Manager ECDSA-tanúsítványokkal bővült a 11.0-ás verzióban. Ez hatással van az összes olyan Voice Operating System (VOS) termékre, amelyen a CUCM 11.5-ös vagy annál újabb verziója fut.

Többkiszolgálós (SAN) Tomcat-tanúsítvány Cisco UCM

A telefon támogatja a Cisco UCM funkciót, ha többkiszolgálós (SAN) Tomcat-tanúsítványok vannak konfigurálva. A helyes TFTP kiszolgálócím megtalálható a telefon ITL fájljában a telefon regisztrációjához.

A szolgáltatásról további információt a következő témakörökben talál:

A következő táblázat tartalmazza a megbízhatósági lista frissítésriasztási üzeneteit és azok jelentését. További információért lásd a Cisco Unified Communications Manager dokumentációját.

2. táblázat. Megbízhatósági lista frissítésriasztási üzenetei
Kód és üzenet Leírás

1 - TL_SUCCESS

Új CTL és/vagy ITL érkezett

2 - CTL_INITIAL_SUCCESS

Új CTL érkezett, nincs meglévő TL

3 - ITL_INITIAL_SUCCESS

Új ITL érkezett, nincs meglévő TL

4 - TL_INITIAL_SUCCESS

Új CTL és ITL érkezett, nincs meglévő TL

5 - TL_FAILED_OLD_CTL

Az új CTL frissítése sikertelen volt, de van korábbi TL

6 - TL_FAILED_NO_TL

Az új TL frissítése sikertelen volt, és nincs régi TL

7 - TL_FAILED

Általános hiba

8 - TL_FAILED_OLD_ITL

Az új ITL frissítése sikertelen volt, de van korábbi TL

9 - TL_FAILED_OLD_TL

Az új TL frissítése sikertelen volt, de van korábbi TL

Telefonhívás-biztonság

Amikor a telefonon biztonsági szolgáltatás van implementálva, a telefon kijelzőjén látható ikonok segítségével azonosíthatók a biztonságos hívások. Az alapján is meghatározhatja, hogy a csatlakoztatott telefon biztonságos és védett-e, ha a hívás elején a telefon biztonsági hangjelzést ad.

Biztonságos hívás esetén az összes hívásjelzés és médiafolyam titkosítva van. A biztonságos hívás magas szintű biztonságot nyújt, garantálva a hívás integritását és titkosítását. Ha egy folyamatban lévő hívás titkosítva van, a biztonságos ikon látható 9821 Biztonságos hívás ikon A vonalon.

  • Ha a hívást a rendszer nem IP hívási szakaszokon (például a PSTN-en) irányítja át, akkor előfordulhat, hogy a hívás annak ellenére sem biztonságos, hogy titkosítva van az IP-hálózaton belül, és hogy rendelkezik lakat ikonnal.

  • A biztonságos hívás csak két telefon közötti kapcsolat esetén támogatott. Bizonyos funkciók, mint például a konferenciahívás és a megosztott vonalak, nem érhetők el, ha a biztonságos hívás be van állítva.

A Cisco Unified Communications Manager-ben a biztonságosként (titkosítottként és megbízhatóként) konfigurált telefonokhoz védett státusz rendelhető. A védelem után ezek az eszközök beállíthatók úgy, hogy minden hívás elején biztonsági hangjelzést adjanak le.

  • Védett eszköz:

    Biztonságos telefon védettre állapotának módosítása:

    1. A Cisco Unified Communications Manager Administration helyen válassza a Device > Phone lehetőséget.
    2. Keresse meg a beállítani kívánt telefont.
    3. A Telefon konfigurációja ablakban jelölje be a Védett eszköz jelölőnégyzetet.
    4. Kattintson a Mentés gombra.
  • Biztonságos jelzés lejátszása:

    A védett telefon biztonságos vagy nem biztonságos jelzőhangjelzésének engedélyezése:

    1. A Cisco Unified Communications Manager Administration területen válassza a Rendszer > szolgáltatás paraméterei lehetőséget.
    2. Válassza ki a kiszolgálót, majd a Cisco CallManager szolgáltatást.
    3. A Fürtszintű paraméterek (funkció - Biztonságos hang) területen állítsa a Biztonságos/nem biztonságos hívásállapotot jelző lejátszási hang beállítást Igaz értékre.
    4. Kattintson a Mentés gombra.

Biztonságos konferenciahívás-azonosítás

Lehetősége van biztonságos konferenciahívás kezdeményezésére és a résztvevők biztonsági szintjének figyelésére . A következő folyamattal biztonságos konferenciahívás jön létre:

  1. A felhasználó egy biztonságos telefonról kezdeményezi a konferenciát.

  2. A Cisco Unified Communications Manager biztonságos konferenciahidat rendel a híváshoz.

  3. A résztvevők hozzáadásakor a Cisco Unified Communications Manager ellenőrzi az egyes telefonok biztonsági módját, és fenntartja a konferencia biztonsági szintjét.

  4. A telefon megjeleníti a konferenciahívás biztonsági szintjét. A biztonságos konferenciákon a biztonságos ikon látható 9821 Biztonságos hívás ikon.

A biztonságos hívás két telefon között támogatott. A védett telefonok esetében bizonyos funkciók (például a konferenciahívás, a megosztott vonalak és a Extension Mobility) nem érhetők el, ha a biztonságos hívás be van állítva.

A következő táblázat a konferencia biztonsági szintjeinek változásairól nyújt tájékoztatást a kezdeményező telefon biztonsági szintjének, a résztvevők biztonsági szintjének és a biztonságos konferenciahidak elérhetőségének függvényében.

3. táblázat. Biztonsági korlátozások konferenciahívásokhoz

Kezdeményező telefon biztonsági szintje

Használt funkció

A résztvevők biztonsági szintje

A művelet eredménye

Nem biztonságos

Konferenciabeszélgetés

Biztonságos

Nem biztonságos konferenciahíd

Nem biztonságos konferencia

Biztonságos

Konferenciabeszélgetés

Legalább egy tag nem biztonságos.

Biztonságos konferenciahíd

Nem biztonságos konferencia

Biztonságos

Konferenciabeszélgetés

Biztonságos

Biztonságos konferenciahíd

Biztonságos titkosítási szintű konferencia

Nem biztonságos

KonfHíd

A minimális biztonsági szint van titkosítva.

A kezdeményező újrarendezési hangot kap.

Biztonságos

KonfHíd

A minimális biztonsági szint nem biztonságos.

Biztonságos konferenciahíd

A konferencia minden hívást elfogad.

Biztonságos telefonoshívás azonosítása

Biztonságos hívás jön létre, amikor a telefonja és a másik telefon biztonságos hívásra van konfigurálva. A másik telefon ugyanazon a Cisco IP-hálózaton és egy, az IP-hálózaton kívüli hálózaton is lehet. Biztonságos hívások csak két telefon között lehetséges. A konferenciahívásoknak a biztonságos konferenciahíd beállítása után támogatniuk kell a biztonságos hívást.

Biztonságos hívás a következő folyamattal jön létre:

  1. A felhasználó a hívást biztonságos telefonról kezdeményezi („biztonságos” biztonsági mód).

  2. A telefonon megjelenik a biztonságos ikon 9821 Biztonságos hívás ikon A telefon képernyőjén. Ez az ikon azt jelzi, hogy a telefon konfigurálva van biztonságos hívásokra, azonban ez nem jelenti azt, hogy a másik csatlakoztatott telefon is biztonságos.

  3. A felhasználó egy biztonsági hangjelzést hall, ha egy másik biztonságos telefonnal jön létre kapcsolat; ez jelzi, hogy a beszélgetés mindkét végpontja titkosított és biztonságos. Ha a kapcsolat egy nem biztonságos telefonnal jön létre, a felhasználó nem hallja a biztonsági hangjelzést.

A biztonságos hívás két telefon között támogatott. A védett telefonok esetében bizonyos funkciók (például a konferenciahívás, a megosztott vonalak és a Extension Mobility) nem érhetők el, ha a biztonságos hívás be van állítva.

Csak a védett telefonok adnak biztonságos és nem biztonságos hangjelzést. A nem védett telefonok sosem adnak hangjelzést. Ha az általános hívásállapot a hívás során megváltozik, akkor a jelzőhang megváltozik, és a védett telefon lejátssza a megfelelő hangjelzést.

Ha a Biztonságos/nem biztonságos hívásállapotot jelző lejátszási hang beállítása Igaz:

  • Ha a végpontok között biztonságos médiakapcsolat jön létre, és a hívás állapota biztonságos, a telefon a biztonságos hangjelzést játssza le (három hosszú sípszó, szünetekkel).

  • Ha a végpontok között nem biztonságos médiakapcsolat jön létre, és a hívás állapota nem biztonságos, a telefon a nem biztonságos hangjelzést játssza le (hat rövid sípszó, rövid szünetekkel).

Ha a Biztonságos/nem biztonságos hívásállapotot jelző hangjelzés lejátszása beállítás értéke Hamis, akkor nem hallható hangjelzés.

Titkosítás biztosítása az uszályhoz

Cisco Unified Communications Manager Ellenőrzi a telefon biztonsági állapotát a konferenciák létrehozásakor, és megváltoztatja a konferencia biztonsági jelzését, vagy blokkolja a hívás befejezését a rendszer integritásának és biztonságának fenntartása érdekében.

A felhasználó nem tud titkosított hívásba belépni, ha az uszályhoz használt telefon nincs beállítva titkosításra. Ha ebben az esetben az uszály meghibásodik, az átrendezés (gyors foglaltság) hangjelzés hallható azon a telefonon, amelyen az uszályt elindították.

Ha a kezdeményező telefon titkosításra van beállítva, akkor a belépés kezdeményezője a titkosított telefonról nem biztonságos hívásba léphet be. Az uszály után a Cisco Unified Communications Manager nem biztonságosnak minősíti a hívást.

Ha a kezdeményező telefon titkosításra van konfigurálva, akkor a belépés kezdeményezője beleléphet egy titkosított hívásba, és a telefon jelzi, hogy a hívás titkosítva van.

Vezeték nélküli LAN biztonság

Mivel az összes hatókörön belüli WLAN-eszköz képes fogadni minden egyéb WLAN-forgalmat, a hangkommunikáció biztonságossá tétele alapvető fontosságú a WLAN-hálózatok esetén. Annak érdekében, hogy a behatolók ne manipulálják és ne fogják el a hangforgalmat, a Cisco SAFE Security architektúra támogatja a telefont. A hálózatok biztonságáról további információt a http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html című témakörben talál.

A Cisco vezeték nélküli IP telefonos megoldás vezeték nélküli hálózati biztonságot nyújt, amely megakadályozza a jogosulatlan bejelentkezéseket és a kommunikáció feltörését a telefon által támogatott alábbi hitelesítési módszerek használatával.

  • Nyílt hitelesítés: egy nyitott rendszerben bármely vezeték nélküli eszköz kérhet hitelesítést. A kérést fogadó hozzáférési pont jóváhagyhatja a hitelesítést bármely kérelmező számára, vagy csak a felhasználók listáján található kérelmezőknek. Előfordulhat, hogy a vezeték nélküli eszköz és az Access Point (AP) közötti kommunikáció titkosítatlan.

  • Bővíthető hitelesítési protokoll – Rugalmas hitelesítés biztonságos bújtatási (EAP-FAST) hitelesítéssel: Ez az ügyfél-kiszolgáló biztonsági architektúra EAP tranzakciókat titkosít az AP és a RADIUS-kiszolgáló közötti Transport Level Security (TLS) alagúton belül, például az Identity Services Engine (ISE) esetében.

    A TLS-alagút védett hozzáférési hitelesítő adatokat (PAC) használ az ügyfél (telefon) és a RADIUS-kiszolgáló közötti hitelesítéshez. A kiszolgáló egy Authority ID (AID) azonosítót küld az ügyfélnek (telefon), amely kiválasztja a megfelelő PAC-ot. Az ügyfél (telefon) egy PAC-Opaque választ ad vissza a RADIUS-kiszolgálónak. A kiszolgáló az elsődleges kulccsal visszafejti a PAC-ot. Ekkor már mindkét végpont tartalmazza a PAC-kulcsot, és létrejön egy TLS-alagút. Az EAP-FAST támogatja az automatikus PAC-létesítést, de Önnek engedélyeznie kell azt a RADIUS-kiszolgálón.

    Az ISE-ben alapértelmezés szerint a PAC egy hét múlva lejár. Ha a telefon lejárt PAC-kal rendelkezik, akkor a RADIUS-kiszolgálóval való hitelesítés hosszabb időt vesz igénybe, mert a telefon új PAC-ot kap. A PAC-létesítési késleltetések elkerülése érdekében a PAC lejárati időszakát 90 napra vagy hosszabb időszakra kell beállítani az ISE- vagy RADIUS-kiszolgálón.

  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Authentication: az EAP-TLS esetén egy ügyféltanúsítvány szükséges a hitelesítéshez és a hálózati eléréshez. Vezeték nélküli EAP-TLS esetén az ügyféltanúsítvány lehet MIC, LSC, vagy felhasználó által telepített tanúsítvány.

  • Protected Extensible Authentication Protocol (PEAP): a Cisco saját jelszóalapú kölcsönös hitelesítési sémája az ügyfél (telefon) és egy RADIUS-kiszolgáló között. A telefon a PEAP hashtaggel hitelesítheti magát a vezeték nélküli hálózaton. A PEAP-MSCHAPV2 és a PEAP-GTC hitelesítési módszerek is támogatottak.

  • Előmegosztott kulcs (PSK): A telefon támogatja a ASCII és a hexadecimális (HEX) formátumokat. Ezeket a formátumokat kell használnia WPA2/SAE előmegosztott kulcs beállításakor.

    ASCII: ASCII-karakterlánc 8–63 karakter hosszúsággal (0-9, kisbetűs a-z, nagybetűs A-Z és speciális karakterek). Például,GREG123567@9ZX &W.

    HEX: 64 hexadecimális számjegyből álló hexadecimális karakterlánc (0-9, a-f vagy A-F).

A következő hitelesítési sémák a RADIUS-kiszolgáló használatával kezelik a hitelesítési kulcsokat:

  • WPA2/WPA3: a RADIUS-kiszolgáló adatait használja egyedi kulcsok előállításához a hitelesítéskor. Mivel ezek a kulcsok a központosított RADIUS-kiszolgálón jönnek létre, a WPA2/WPA3 nagyobb biztonságot nyújt, mint a hozzáférési ponton és a telefonon tárolt előmegosztott WPA-kulcsok.

  • Gyors biztonságos barangolás: a RADIUS-kiszolgáló és egy vezeték nélküli tartományi kiszolgáló (WDS) adatait használja a kulcsok kezeléséhez és hitelesítéséhez. A WDS létrehozza az FT-kompatibilis ügyféleszközök biztonsági hitelesítő adatainak gyorsítótárát a gyors és biztonságos újrahitelesítés érdekében.

A WPA2/WPA3 titkosítás esetén a titkosítási kulcsok nem kerülnek be a telefonra, hanem automatikusan származnak a hozzáférési pont és a telefon között. A hitelesítéshez használt EAP-felhasználónevet és -jelszót azonban minden telefonon meg kell adni.

A vezeték nélküli kapcsolaton keresztüli hangforgalom védelme érdekében a telefon támogatja az AES-alapú titkosítást a WPA2/WPA3 hitelesítéshez. A AES a NIST által szabványosított szimmetrikus blokkrejtjel. A AES rögzített 128 bites blokkméretet használ, és támogatja a 128 bites, 192 bites és 256 bites kulcsméreteket. A Wi-Fi hálózatokban a AES értéket olyan titkosítási csomagok használják, mint a CCMP vagy a GCMP, míg a hitelesítést külön biztosítja a PSK, SAE vagy 802.1X/EAP, a beállított WLAN biztonsági módtól függően. A támogatott titkosítási csomag és kulcsméret a telefon típusától és a WLAN konfigurációtól függ.

Ha a telefon AES titkosítást használ, mind a SIP jelátviteli csomagok, mind a hangalapú Real-Time Transport Protocol (RTP) csomagok titkosítva vannak a hozzáférési pont és a telefon között.

A hitelesítési és titkosítási sémák a vezeték nélküli LAN-on belül vannak beállítva. A VLAN-beállítások a hálózaton és a hozzáférési ponton vannak konfigurálva, és a hitelesítés és titkosítás különböző kombinációit határozzák meg. A rendszer egy SSID-t társít egy VLAN-hoz és az adott hitelesítési és titkosítási rendszerhez. A vezeték nélküli ügyféleszközök sikeres hitelesítéséhez ugyanazokat az SSID-ket kell konfigurálnia hitelesítési és titkosítási sémáikkal a hozzáférési pontokon és a telefonon.

Egyes hitelesítési sémák adott típusú titkosítást igényelnek.

WPA2 előmegosztott kulcs vagy SAE használata esetén az előmegosztott kulcsot statikusan kell beállítani a telefonon. Ezeknek a kulcsoknak meg kell egyezniük a hozzáférési ponton megadott kulcsokkal.

A következő táblázatban látható hitelesítési és titkosítási sémák az AP konfigurációnak megfelelő Cisco vezeték nélküli telefon 9821-es hálózati konfigurációs beállításait mutatják be.

4. táblázat. Hitelesítési és titkosítási sémák
FSR TípusHitelesítésKulcskezelésTitkosításVédett felügyeleti keret (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNem
802.11r (FT)WPA3

SAE

FT-SAE

AESVan
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNem
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESVan
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNem
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESVan
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNem
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESVan
FT-n kívüliLakosztály-BWPA-EAP-SUITE-BGCMPVan
FT-n kívüliLakosztály-B-192WPA-EAP-SUITE-B-192GCMPVan

Wi-Fi-profil beállítása

Beállíthat egy Wi-Fi profilt, és hozzárendelheti a Cisco Wireless Phone 9821 telefonhoz. Ez a profil tartalmazza azokat a paramétereket, amelyek ahhoz szükségesek, hogy a telefon Wi-Fi kapcsolatot létesítsen, majd ezt követően regisztráljon a Cisco Unified CM. Wi-Fi profil létrehozásakor és használatakor sem Önnek, sem a felhasználóknak nem kell konfigurálniuk a vezeték nélküli hálózatot az egyes telefonokhoz.

Javasoljuk, hogy egy biztonságos profilt használjon engedélyezett TFTP titkosítással, hogy védje a Wi-Fi profil használatakor a kulcsokat és jelszavakat.

A telefonok telepítési módszerenként (manuális, SCEP vagy TFTP) egy kiszolgálótanúsítványt támogatnak.

A WLAN-profil konfigurálása előtt tartsa szem előtt a következőket:

  • Felhasználónév és jelszó

    • Amikor a hálózat EAP-FAST és PEAP protokollt használ a felhasználói hitelesítéshez, szükség esetén a felhasználónevet és a jelszót is konfigurálnia kell a Remote Authentication Dial-In User Service (RADIUS) szolgáltatásban és a telefonon.

    • A vezeték nélküli LAN-profilban megadott hitelesítő adatoknak meg kell egyezniük a RADIUS-kiszolgálón beállított hitelesítő adatokkal.
    • Ha a hálózaton belüli tartományokat használ, akkor a felhasználónevet a tartománynévvel együtt, a következő formátumban kell megadnia: tartomány tartomány\felhasználónév.

  • A következő műveletek a meglévő Wi-Fi-jelszó törléséhez vezethetnek:

    • Érvénytelen felhasználói azonosító vagy jelszó megadása
    • Érvénytelen vagy lejárt legfelső szintű hitelesítésszolgáltató telepítése, ha az EAP típusaként PEAP-MSCHAPV2 vagy PEAP-GTC van megadva
    • A használatban lévő EAP-típus letiltása a RADIUS-kiszolgálón, mielőtt a telefont átkapcsolná az új EAP-típusra
  • Az EAP-típus módosításához először engedélyezze az új EAP-típust a RADIUS-kiszolgálón, majd a telefont kapcsolja át az új EAP-típusra. Amikor az összes telefont átkapcsolta az új EAP-típusra, szükség esetén letilthatja az előző EAP-típust.
1

A Cisco Unified Communications Manager Administration felületen válassza az Eszköz > Eszközbeállítások > Vezeték nélküli LAN-profil lehetőséget.

2

Kattintson az Új hozzáadása gombra.

3

A Wireless LAN Profile Information (Vezeték nélküli LAN profil adatai) részben állítsa be a paramétereket:

  • Név – Adjon meg egy egyedi nevet a Wi-Fi profilnak. Ez a név jelenik meg a telefonon.

  • Leírás – Adja meg a Wi-Fi profil leírását, amely segít megkülönböztetni ezt a profilt a többi Wi-Fi profiltól.

  • Felhasználó által módosítható – Válasszon egy lehetőséget:

    • Engedélyezett – Azt jelzi, hogy a felhasználó módosíthatja a Wi-Fi beállításokat a telefonjáról. Ez a beállítás alapértelmezés szerint be van jelölve.

    • Nem engedélyezett – Azt jelzi, hogy a felhasználó nem módosíthatja a telefon Wi-Fi beállításait.

    • Korlátozott – Azt jelzi, hogy a felhasználó módosíthatja a Wi-Fi felhasználónevét és jelszavát a telefonján. A felhasználók azonban nem módosíthatják a telefon egyéb Wi-Fi beállításait. Ha a hálózat EAP-TLS értéket használ a felhasználó hitelesítéséhez, a felhasználó kiválaszthatja a tanúsítvány típusát (MIC, LSC vagy Felhasználó telepítve).

4

A Vezeték nélküli beállítások részben állítsa be a paramétereket:

  • SSID (Hálózat neve) – Adja meg az abban a felhasználói környezetben elérhető hálózatnevet, amelyhez a telefon csatlakoztatható. Ez a név jelenik meg a telefon elérhető hálózatainak listájában, és a telefon csatlakozni tud ehhez a vezeték nélküli hálózathoz.

  • Frekvenciasáv – Az elérhető opciók: Automatikus , 2,4 GHz és5 GHz . Ez a mező határozza meg a vezeték nélküli kapcsolat által használt frekvenciasávot. Ha az Automatikus lehetőséget választja, a telefon először az 5 GHz-es vagy a 6 GHz-es sávot próbálja meg használni, és csak akkor használja a 2,4 GHz-es sávot, ha az 5 GHz-es vagy a 6 GHz-es sáv nem érhető el.

5

A Hitelesítési beállítások szakaszban állítsa a Hitelesítési módszer beállítást a következő hitelesítési módszerek egyikére: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK és Nincs.

Cisco A 9821-es vezeték nélküli telefon nem támogatja a WEP.

Miután beállította ezt a mezőt, további mezőket láthat, amelyeket be kell állítania.

  • Felhasználói tanúsítvány – A EAP-TLS hitelesítéshez szükséges. Válassza a MIC ,LSC vagya Felhasználó telepítve lehetőséget . A telefonhoz telepíteni kell egy tanúsítványt, akár automatikusan az SCEP-ből, akár manuálisan, a telefon adminisztrációs lapjáról.

  • PSK-jelszó – PSK-hitelesítéshez szükséges. Írja be a 8–63 karakterből álló ASCII vagy 64 HEX karakteres jelszót.

  • Megosztott hitelesítő adatok megadása: A EAP-FAST, PEAP-MSCHAPv2 és PEAP-GTC hitelesítéshez szükséges.

    • Ha a felhasználó kezeli a felhasználónevet és a jelszót, hagyja üresen a Felhasználónév és a Jelszó mezőket.

    • Ha minden felhasználó ugyanazzal a felhasználónévvel és jelszóval rendelkezik, megadhatja az adatokat a Felhasználónév és a Jelszó mezőkben.

    • Adjon meg egy leírást a Jelszó leírása mezőben.

    Ha minden felhasználóhoz egyedi felhasználónevet és jelszót kell rendelnie, minden felhasználóhoz létre kell hoznia egy profilt.

Cisco A 9821-es vezeték nélküli telefon nem támogatja a Hálózatelérési profil mezőt.

6

Kattintson a Mentés gombra.

A következő teendő

Kösse a vezeték nélküli helyi hálózati profilt egy WLAN profilcsoporthoz, majd alkalmazza a WLAN profilcsoportot egy eszközkészletre (Rendszer>Eszközkészlet) vagy közvetlenül a telefonra ( Eszköz >Telefon).

Felhasználói tanúsítvány telepítése a telefon felügyeleti weboldaláról

A felhasználói tanúsítványt manuálisan is telepítheti a telefonra, ha az SCEP (Simple Certificate Enrollment Protocol) nem érhető el.

Az előre telepített gyártási tanúsítvány (MIC) használható a EAP-TLS felhasználói tanúsítványaként.

A felhasználói tanúsítvány telepítése után hozzá kell adnia a felhasználói tanúsítványt kiállító hitelesítésszolgáltatói láncot a RADIUS-kiszolgáló megbízhatósági listájához.

Mielőtt nekilátna

Ahhoz, hogy egy telefonhoz felhasználói tanúsítványt telepítsen, rendelkeznie kell az alábbiakkal:

  • Egy, a számítógépen mentett felhasználói tanúsítvány. A tanúsítvány csak PKCS #12 formátumú lehet.

  • A tanúsítvány kibontási jelszava. A jelszó hossza nem haladhatja meg a 32 karaktert.

1

A telefonadminisztrációs weboldalon válassza a Tanúsítványok lehetőséget.

2

Keresse meg a Felhasználó által telepített mezőt, majd kattintson a Telepítés gombra.

3

Keresse meg a tanúsítványt a számítógépen.

4

A Kibontási jelszó mezőbe írja be a tanúsítvány kibontási jelszavát.

5

Kattintson a Feltöltés gombra.

6

A feltöltés befejezése után indítsa újra a telefont.

Hitelesítés-kiszolgáló hitelesítésszolgáltatójának telepítése a telefon felügyeleti weboldaláról

A hitelesítés-kiszolgálói hitelesítésszolgáltatót manuálisan is telepítheti a telefonra, ha az SCEP protokoll nem érhető el.

A RADIUS-kiszolgáló tanúsítványát kiállító legfelső szintű hitelesítésszolgáltatói tanúsítványt telepíteni kell.

Mielőtt nekilátna

Mielőtt tanúsítványt telepíthetne a telefonra, mentenie kell a számítógépen a hitelesítő kiszolgáló hitelesítésszolgáltatóját. A tanúsítvány csak PEM (Base-64) vagy DER kódolású lehet.

1

A telefonadminisztrációs weboldalon válassza a Tanúsítványok lehetőséget.

2

Keresse meg a Hitelesítő kiszolgáló CA mezőt, és kattintson a Telepítés lehetőségre.

3

Keresse meg a tanúsítványt a számítógépen.

4

Kattintson a Feltöltés gombra.

5

A feltöltés befejezése után indítsa újra a telefont.

Biztonsági tanúsítvány manuális eltávolítása a telefon felügyeleti weboldaláról

Manuálisan is eltávolíthat egy biztonsági tanúsítványt a telefonról, ha az egyszerű tanúsítvány-beiktatási protokoll (SCEP) nem érhető el.

1

A telefonadminisztrációs weboldalon válassza a Tanúsítványok lehetőséget.

2

Keresse meg a tanúsítványt a Tanúsítványok oldalon.

3

Kattintson a Törlés gombra.

4

A törlési folyamat befejezése után indítsa újra a telefont.

SCEP beállítása

Az SCEP (Simple Certificate Enrollment Protocol – Egyszerű tanúsítvány-beiktatási protokoll) a tanúsítványok automatikus biztosításának és megújításának szabványa. Ezzel elkerülhető a tanúsítványok kézi telepítése a telefonokra.

Az SCEP termékspecifikus konfigurációs paramétereinek aktiválása

A következő SCEP-paramétereket kell konfigurálnia a Cisco Unified Communications Manager (Unified CM).

  • RA IP cím vagy állomásnév

  • Az SCEP-kiszolgáló legfelső szintű hitelesítő kiszolgálótanúsítványának SHA-1 vagy SHA-256 ujjlenyomata

A Cisco IOS regisztrációs szervezet (RA) proxyként szolgál az SCEP-kiszolgáló számára. A telefon SCEP-ügyfele a Cisco Unified CM webhelyről letöltött paramétereket használja. A paraméterek konfigurálása után a telefon SCEP getcs kérést küld az RA-nak, és a legfelső szintű hitelesítésszolgáltatói tanúsítványt a megadott ujjlenyomattal érvényesíti.

1

A Cisco Unified Communications Manager Administration helyen válassza az Eszköz > telefon lehetőséget.

2

Keresse meg a telefont.

3

Görgessen a Termékspecifikus konfigurációs elrendezés területre.

4

Jelölje be a WLAN SCEP-kiszolgáló jelölőnégyzetet az SCEP paraméter aktiválásához.

5

Jelölje be a WLAN legfelső szintű hitelesítésszolgáltató ujjlenyomata (SHA256 vagy SHA1) jelölőnégyzetet az SCEP QED paraméter aktiválásához.

SCEP-kiszolgálók támogatása

Egyszerű tanúsítványigénylési protokoll (SCEP) kiszolgáló használata esetén a kiszolgáló automatikusan képes karbantartani a felhasználói és kiszolgálói tanúsítványokat. Az SCEP kiszolgálón állítsa be a SCEP regisztrációs ügynököt (RA) a következőre:

  • PKI megbízhatósági pontként működik

  • PKI regisztrációs ügynökként működik

  • Eszközhitelesítés RADIUS-kiszolgálóval

További információkért lásd az SCEP dokumentációját.

Helyi jelentőségű tanúsítvány (LSC) beállítása

A LSC telepítésére több módszer is létezik. Ez a mintafeladat LSC hitelesítési karakterlánc módszerrel történő beállítására vonatkozik a Cisco 9821-es vezeték nélküli telefonon.

Mielőtt nekilátna

Győződjön meg arról, hogy a megfelelő Cisco Unified CM és certificate authority proxy function (CAPF) biztonsági beállítások befejeződtek.

  • A CTL- vagy ITL-fájl rendelkezik CAPF-tanúsítvánnyal.

  • A Cisco Unified Communications Operating System Administration felületen ellenőrizze, hogy a CAPF-tanúsítvány telepítve van-e.

  • A CAPF fut és konfigurálva van.

Ezekről a beállításokról további információt az adott Cisco Unified CM kiadás dokumentációjában talál.

1

Szerezze be a CAPF konfigurálásakor beállított CAPF hitelesítési karakterláncot.

2

A telefonon nyissa meg a Beállítások 9821 Settings app icon App.

3

Válassza a Rendszergazdai beállítások > Rendszerkonfiguráció > Biztonság > LSC lehetőséget.

4

Adja meg a hitelesítési karakterláncot.

5

Nyomja meg a Továbbiak gombot 9821 More button , és válassza a Küldés lehetőséget.

A telefon megkezdi a LSC telepítését, frissítését vagy eltávolítását attól függően, hogy a CAPF hogyan van konfigurálva. Ha az eljárás befejeződött, a Telepítve vagy Nincs telepítve felirat jelenik meg a telefonon.

Az LSC telepítésének, frissítésének és eltávolításának folyamata hosszú időt vehet igénybe.

Amikor a telefon telepítési eljárása sikeres, a Telepítve üzenet jelenik meg. Ha a telefon a Nincs telepítve üzenetet jeleníti meg, akkor lehet, hogy a hitelesítési karakterlánc hibás, vagy a telefon frissítése nincs engedélyezve. Ha a CAPF-művelet törli a LSC-t, a telefon a Nincs telepítve felirat megjelenítésével jelzi, hogy a művelet sikeres volt. A CAPF-kiszolgáló naplózza a hibaüzeneteket. A naplók megkereséséhez és a hibaüzenetek értelmezéséhez tekintse át a CAPF-kiszolgáló dokumentációját.

802.1X hitelesítés vezetékes hálózatokhoz

Cisco A 9821-es vezeték nélküli telefon támogatja a vezetékes hálózatok 802.1X hitelesítését. Ez általában az automatikus létesítés során használatos, amikor a telefon támogatott USB–Ethernet adapteren keresztül csatlakozik az asztali töltőhöz.

A vezetékes hálózatokon a 802.1X hitelesítés támogatásához több összetevőre van szükség, az alábbiak szerint:

  • Cisco IP Phone: a telefon kezdeményezi a hálózatelérési kérést. A Cisco IP Phone telefonok 802.1X kérelmezőt tartalmaznak. Ez a kérelmező lehetővé teszi a hálózati rendszergazdák számára az IP telefonok és a LAN-kapcsolóportok közötti kapcsolat vezérlését. A telefon 802.1X kérelmezőjének aktuális kiadása EAP-FAST és EAP-TLS lehetőségeket kínál a hálózati hitelesítéshez.

  • Hitelesítési kiszolgáló: A hitelesítési kiszolgálót és a kapcsolót egyaránt RADIUS közös titokkal kell konfigurálni.

  • Kapcsoló: A kapcsolónak támogatnia kell a 802.1X szabványt, hogy hitelesítőként működhessen, és továbbíthassa a EAP üzeneteket a telefon és a hitelesítési kiszolgáló között. Miután az adatcsere befejeződött, a kapcsoló engedélyezi vagy megtagadja a telefon számára a hálózat elérését.

A Cisco IP Phone telefonok és a Cisco Catalyst kapcsolók hagyományosan Cisco Discovery Protocol (CDP) segítségével azonosítják egymást és határozzák meg a paramétereket (például a VLAN-kiosztást és a vonali tápellátási követelményeket).

A 802.1X konfigurálásához a következő műveleteket kell végrehajtania.

  • Konfigurálja a CDP/LLDP hang VLAN megkerülését.

  • Konfigurálja a hitelesítési kiszolgálót és a kapcsolót, mielőtt engedélyezné a 802.1X hitelesítést a telefon vezetékes hálózatain.

  • Hang VLAN konfigurálása: mivel a 802.1X szabvány nem veszi figyelembe a VLAN-okat, ezt a beállítást a kapcsolótámogatás alapján kell beállítania.

    • Engedélyezve: Ha olyan kapcsolót használ, amely támogatja a többtartományos hitelesítést, konfigurálhatja úgy, hogy a VLAN hangot használja.
    • Letiltva: ha a kapcsoló nem támogatja a többtartományos hitelesítést, tiltsa le a hang VLAN-t, és fontolja meg a port natív VLAN-hoz való hozzárendelését.
  • Cisco A 9821-es vezeték nélküli telefon PID előtagja eltér a többi Cisco telefon előtagjától. Ha engedélyezni szeretné, hogy telefonja átmenjen a 802.1X hitelesítésen, állítsa be a Sugár· User-Name paraméter a Cisco 9821-es vezeték nélküli telefon felvételéhez.

    Például a Cisco 9821 vezeték nélküli telefon PID-je WP-9821. Beállíthatja a sugarat· A felhasználónév WP-vel kezdődik, vagy WP-t tartalmaz mindkét alábbi szakaszban:

    • Házirend > Feltételek > Könyvtári feltételek

    • Házirend > Házirendkészletek > Engedélyezési házirend > Engedélyezési szabály 1

802.1X hitelesítés engedélyezése vezetékes hálózatokhoz a telefonon

Kövesse az alábbi lépéseket a telefon vezetékes hálózatainak 802.1X hitelesítésének engedélyezéséhez. Ne feledje, hogy a Wi-Fi 802.1X hitelesítése alapértelmezés szerint engedélyezve van, és nem igényel kézi konfigurálást.

1

Nyissa meg a beállításokat 9821 Settings app icon App.

2

Ha a rendszer kéri, adja meg a jelszót a Beállítások menü eléréséhez. A jelszót a rendszergazdától szerezheti be.

3

Válassza a Rendszergazda beállítások > Biztonsági beállítás > 802.1X hitelesítés lehetőséget .

4

Jelölje ki az Eszközhitelesítés elemet , és nyomja meg a Be gombot.

802.1X hitelesítés engedélyezése vezetékes hálózatokhoz a Cisco Unified Communications Manager Administration

Kövesse az alábbi lépéseket a vezetékes hálózatok 802.1X hitelesítésének engedélyezéséhez a Cisco Unified CM. Ne feledje, hogy a Wi-Fi 802.1X hitelesítése alapértelmezés szerint engedélyezve van, és nem igényel kézi konfigurálást.

A tranzakció állapotát és a biztonsági beállításokat a telefon képernyőjének menüjében tekintheti meg. További információt a telefon Biztonsági beállítások menüje című témakörben talál.

1

A Cisco Unified Communications Manager Administration mezőben válassza a Device > Phone lehetőséget.

2

Keresse meg a beállítani kívánt telefont.

3

Lépjen a Termékspecifikus konfigurációs elrendezés területre.

4

Válassza az Engedélyezve lehetőséget a 802.1x hitelesítés legördülő menüből.

Ha Engedélyezve vagy Letiltva értékrevan állítva, a Cisco 9821-es vezeték nélküli telefon Eszközhitelesítés beállítása írásvédetté válik, megakadályozva, hogy a felhasználók módosítsák a 802.1X hitelesítési beállításokat.

5

Válassza a Mentés lehetőséget.

6

Válassza ki az Apply Config (Konfig. alkalmazása) elemet.

Biztonsági beállítások menü a telefonon

A biztonsági beállításokkal kapcsolatos információkat a telefon menüjéből a Beállítások 9821 Settings app icon alkalmazást, és válassza a Rendszergazdai beállítások > Biztonsági beállítás > 802.1X hitelesítés lehetőséget. Az információk elérhetősége a szervezet hálózati beállításaitól függ.

Paraméterek

Beállítások

Alapértelmezett

Leírás

Készülékhitelesítés

Be

Off

Off

Engedélyezi vagy letiltja a 802.1X hitelesítést a telefonon.

A paraméterbeállítás a telefon Out-Of-Box (OOB) regisztrációja után is megtartható.

Tranzakció állapota

Letiltva

Megjeleníti a 802.1X hitelesítés állapotát. Az állapot lehet (nem kizárólagosan):

  • Hitelesítés – Azt jelzi, hogy a hitelesítési folyamat folyamatban van.
  • Hitelesített – Azt jelzi, hogy a telefon hitelesítve van.
  • Letiltva – Azt jelzi, hogy a 802.1x hitelesítés le van tiltva a telefonon.
  • Csatlakozás – Azt jelzi, hogy a telefon 30 másodpercenként EAP start üzeneteket küld a kapcsolónak.
  • Megszerezve – Azt jelzi, hogy a kapcsoló elutasította a telefon EAP kérését, és a telefon nem kap EAP-TLS vagy EAP-FAST kihívást a kapcsolótól. A telefon újra megpróbál EAP kéréseket küldeni.
  • Leválasztva – Azt jelzi, hogy az Ethernet-kábel le van választva.
  • Tart – Azt jelzi, hogy a kapcsoló feldolgozta a telefon EAP kérését, de elutasította a EAP-FAST vagy EAP-TLS hitelesítést. A telefon újra megpróbál EAP kéréseket küldeni.

Protokoll

Nincs

Megjeleníti a 802.1X hitelesítéshez használt EAP módszert. A protokoll lehet EAP-FAST vagy EAP-TLS.

A TLS támogatott verzióinak beállítása

Beállíthatja az TLS minimális verzióját, amely az ügyfélhez, illetve a kiszolgálóhoz szükséges.

Alapértelmezés szerint a kiszolgáló és az ügyfél minimális TLS verziója egyaránt 1.2. A beállítás a következő funkciókra van hatással:

  • HTTPS webelérési kapcsolat
  • Bevezetés helyszíni telefonhoz
  • HTTPS-szolgáltatások, például a címtárszolgáltatások
  • Datagram Transport Layer Security (DTLS)
  • Porthozzáférési entitás (PAE)
  • Bővíthető hitelesítési protokoll-Transport Layer Security (EAP-TLS)

A Cisco IP Phones TLS 1.3 kompatibilitásáról további információt a TLS 1.3 kompatibilitási mátrix a Cisco együttműködési termékekhez című témakörben talál.

1

A Cisco Unified Communications Manager Administration részben szükség szerint hajtsa végre az alábbi műveletek egyikét:

  • Az összes telepített telefon konfigurálásához nyissa meg a Rendszer > Vállalati telefon konfigurációja lehetőséget .
  • Az azonos telefonprofilt használó telefonok konfigurálásához nyissa meg az Eszköz > Eszközbeállítások > Általános telefonprofil lehetőséget.
  • Egy adott telefon konfigurálásához lépjen az Eszköz > telefon elemre. Ezután keresse meg telefonját, és nyissa meg a Telefon konfigurációja oldalt.

A konfiguráció hierarchikus struktúrát követ:

  • Az egyes eszközbeállítások elsőbbséget élveznek az általános telefonprofil és vállalati szintű beállításokkal szemben
  • A telefonprofil általános beállításai felülbírálják a vállalati szintű beállításokat

2

Állítsa be a TLS ügyfél minimális verziója mezőt:

A TLS 1.3 opció a Cisco Unified CM 15SU2 vagy újabb verzión érhető el.

  • TLS 1.1: A TLS kliens a TLS 1.1 és 1.3 közötti verzióit támogatja.

    Ha a kiszolgálón a TLS verziója 1.1-esnél régebbi, például 1.0, akkor a kapcsolat nem hozható létre.

  • TLS 1.2 (alapértelmezett): A TLS ügyfél a TLS 1.2 és 1.3 verziókat támogatja.

    Ha a kiszolgáló TLS verziója 1.2-nél alacsonyabb, például 1.1 vagy 1.0, akkor a kapcsolat nem hozható létre.

  • TLS 1.3: A TLS kliens csak a TLS 1.3-at támogatja.

    Ha a kiszolgáló TLS verziója 1.3-nál régebbi, például 1.2, 1.1 vagy 1.0, akkor a kapcsolat nem hozható létre.

3

Állítsa be a TLS Server Min Version mezőt:

  • TLS 1.1: A TLS szerver a TLS 1.1 és 1.3 közötti verzióit támogatja.

    Ha az TLS verziója az ügyfélben alacsonyabb, mint 1.1, például 1.0, akkor a kapcsolat nem hozható létre.

  • TLS 1.2 (alapértelmezett): A TLS szerver támogatja a TLS 1.2 és 1.3 verziókat.

    Ha az TLS verziója az ügyfélben 1.2-esnél alacsonyabb, például 1.1 vagy 1.0, akkor a kapcsolat nem hozható létre.

  • TLS 1.3: A TLS szerver csak a TLS 1.3-at támogatja.

    Ha az TLS verziója az ügyfélben 1.3-nál alacsonyabb, például 1.2, 1.1 vagy 1.0, akkor a kapcsolat nem hozható létre.

4

Kattintson a Mentés gombra.

5

Kattintson a Apply Config (Konfiguráció alkalmazása) gombra.

6

Indítsa újra a telefonokat.

TURN ki a kihangosítót és a fejhallgatót a Cisco vezeték nélküli 9821-es telefonon

Lehetősége van arra, hogy véglegesen TURN kikapcsolja a kihangosítót és a fejhallgatót a Cisco Wireless Phone 9821 telefonon a felhasználó számára. Ezeknek a hangkimeneteknek a kikapcsolása biztosítja, hogy a beszélgetéseket a közelben lévők ne hallják, ami fontos a megosztott vagy nyitott irodai környezetekben.

1

A Cisco Unified Communications Manager Administration helyen válassza a Device > Phone lehetőséget.

2

Keresse meg a beállítani kívánt telefont.

3

Lépjen a Termékspecifikus konfigurációs elrendezés területre.

4

Az alábbi jelölőnégyzetek bejelölésével TURN ki a telefon képességeit:

  • Kihangosító letiltása
  • Kihangosító és fejhallgató letiltása

Alapértelmezés szerint ezek a jelölőnégyzetek nincsenek bejelölve.

5

Válassza a Mentés lehetőséget.

6

Válassza ki az Apply Config (Konfig. alkalmazása) elemet.

Hasznos volt ez a cikk?
Hasznos volt ez a cikk?