- Kezdőlap
- /
- Cikk
Cisco IP telefonos biztonság
Ez a súgócikk a Cisco Unified Communications Managerbe regisztrált Cisco Desk Phone 9800 Series és Cisco Video Phone 8875 telefonokra vonatkozik.
Engedélyezheti, hogy a Cisco Unified Communications Manager továbbfejlesztett biztonsági környezetben működjön. Ezekkel a fejlesztésekkel a telefonhálózat szigorú biztonsági és kockázatkezelési ellenőrzések alapján működik az Ön és a felhasználói védelme érdekében.
A továbbfejlesztett biztonsági környezet a következő funkciókat tartalmazza:
-
Névjegykeresés hitelesítése.
-
TCP mint a távoli audit naplózás alapértelmezett protokollja.
-
FIPS mód.
-
Továbbfejlesztett hitelesítő adatokra vonatkozó szabályzat.
-
Támogatja a digitális aláírásokhoz használt hashek SHA-2 családját.
-
Az 512 és 4096 bites RSA kulcsméret támogatása.
A Cisco Unified Communications Manager 14.0-s verziójával és a Cisco videotelefon firmware-verziójával A 2.1-es és újabb verziók a telefonok támogatják a SIP OAuth hitelesítést.
Az OAuth támogatja a Proxy Trivial File Transfer Protocol (TFTP) protokollt a Cisco Unified Communications Manager 14.0(1)SU1 vagy újabb kiadásával. A TFTP proxy és a TFTP proxy OAuth nem támogatott a Mobile Remote Access (MRA) szolgáltatásban.
A biztonsággal kapcsolatos további információkért lásd a következőt:
-
Rendszerkonfigurációs útmutató a Cisco Unified Communications Manager alkalmazáshoz, 14.0(1) vagy újabb kiadás ( https://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-installation-and-configuration-guides-list.html).
-
Biztonsági útmutató a Cisco Unified Communications Manager alkalmazáshoz ( https://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-maintenance-guides-list.html)
Támogatott biztonsági funkciók
A biztonsági funkciók védelmet nyújtanak a fenyegetésekkel szemben, beleértve a telefon személyazonosságát és az adatokat fenyegető veszélyeket. Ezek a funkciók hitelesített kommunikációs adatfolyamokat hoznak létre és tartanak fenn a telefon és a Cisco Unified Communications Manager szerver között, és gondoskodnak arról, hogy a telefon csak digitálisan aláírt fájlokat használjon.
A Cisco Unified Communications Manager 8.5(1) és újabb verziói az alapértelmezett biztonságot tartalmazzák, amely a következő biztonsági funkciókat biztosítja a Cisco IP-telefonok számára a CTL ügyfél futtatása nélkül:
-
A telefon konfigurációs fájljainak aláírása
-
A telefon konfigurációs fájljának titkosítása
-
HTTPS a Tomcat-tal és más webszolgáltatásokkal
A biztonságos jelzésátviteli és médiafunkciók használatához továbbra is szükség van a CTL-kliens futtatására és a hardveres eTokenek használatára.
A Cisco Unified Communications Manager rendszerben a biztonság megvalósítása megakadályozza a telefon és a Cisco Unified Communications Manager szerver identitáslopását, az adatok manipulálását, valamint a hívások jelzésátvitelét és a médiastream manipulálását.
E fenyegetések enyhítése érdekében a Cisco IP-telefonhálózat biztonságos (titkosított) kommunikációs streameket hoz létre és tart fenn a telefon és a szerver között, digitálisan aláírja a fájlokat a telefonra való átvitel előtt, és titkosítja a médiafolyamatokat és a hívásjelzéseket a Cisco IP-telefonok között.
A Locally Significant Certificate (LSC) telepíti a telefonokat, miután elvégezte a Certificate Authority Proxy Function (CAPF) funkcióhoz kapcsolódó szükséges feladatokat. Az LSC konfigurálásához a Cisco Unified Communications Manager adminisztráció segítségével használhatja a Cisco Unified Communications Manager biztonsági útmutatójában leírtak szerint. Alternatív megoldásként kezdeményezheti az LSC telepítését a telefon Biztonsági beállítások menüjéből. Ezzel a menüvel frissítheti vagy eltávolíthatja az LSC-t is.
Az LSC nem használható felhasználói tanúsítványként WLAN-hitelesítéssel rendelkező EAP-TLS-hez.
A telefonok a telefon biztonsági profilját használják, amely meghatározza, hogy az eszköz nem biztonságos-e vagy sem. A biztonsági profil telefonra történő alkalmazásáról az adott Cisco Unified Communications Manager-verzió dokumentációjában talál bővebb tájékoztatást.
Ha a biztonsággal kapcsolatos beállításokat a Cisco Unified Communications Manager Administration alkalmazásban konfigurálja, a telefon konfigurációs fájlja érzékeny adatokat tartalmaz. A konfigurációs fájl adatainak védelme érdekében be kell állítania a titkosítást. Részletes információkat az adott Cisco Unified Communications Manager-verzió dokumentációjában talál.
A telefon megfelel a Federal Information Processing Standard (FIPS) szabványnak. A megfelelő működés érdekében az FIPS mód 2048 bites vagy nagyobb kulcsméretet igényel. Ha a tanúsítvány 2048 bitnél kisebb, a telefon nem fog regisztrálni a Cisco Unified Communications Manager alkalmazásban, és a telefon nem fog regisztrálni. A tanúsítványkulcs mérete nem FIPS-kompatibilis
kijelzők a telefonon.
Ha a telefon rendelkezik LSC-vel, az LSC kulcsméretet 2048 bitre vagy nagyobb méretűre kell frissítenie, mielőtt engedélyezi az FIPS-t.
A következő táblázat áttekintést nyújt a telefonok által támogatott biztonsági funkciókról. További információt az adott Cisco Unified Communications Manager-verzió dokumentációjában talál.
A Biztonsági mód megtekintéséhez nyomja meg a Beállítások gombot, és navigáljon a elemre.
Funkció |
Leírás |
---|---|
Képhitelesítés |
Az aláírt bináris fájlok megakadályozzák a firmware kép manipulálását, mielőtt a képet betöltené a telefonra. A kép manipulálása miatt a telefon meghiúsul a hitelesítési folyamat, és elutasítja az új képet. |
Ügyfél webhelytanúsítványának telepítése |
Minden Cisco IP-telefonhoz egyedi tanúsítvány szükséges az eszköz hitelesítéséhez. A telefonok gyártásra telepített tanúsítványt (MIC) tartalmaznak, de a fokozott biztonság érdekében a tanúsítvány telepítését a Cisco Unified Communications Manager adminisztrációjában a Certificate Authority Proxy Function (CAPF) segítségével is megadhatja. Helyileg jelentős tanúsítványt (LSC) is telepíthet a telefon Biztonsági konfiguráció menüjéből. |
Eszközhitelesítés |
A Cisco Unified Communications Manager kiszolgáló és a telefon között történik, amikor minden entitás elfogadja a másik entitás tanúsítványát. Meghatározza, hogy biztonságos kapcsolat jöjjön-e létre a telefon és a Cisco Unified Communications Manager között, és szükség esetén TLS protokoll használatával létrehoz egy biztonságos jelzési útvonalat az entitások között. A Cisco Unified Communications Manager csak akkor regisztrálja a telefonokat, ha hitelesíteni tudja őket. |
Fájlhitelesítés |
A telefon által letöltött, digitálisan aláírt fájlokat ellenőrzi. A telefon érvényesíti az aláírást, és megbizonyosodjon arról, hogy a fájl létrehozása után nem történt meg a fájlmeghamisítás. A sikertelen hitelesítést eredményező fájlok nem kerülnek a telefon Flash memóriájába. A telefon további feldolgozás nélkül elutasítja az ilyen fájlokat. |
Fájltitkosítás |
A titkosítás megakadályozza az érzékeny információk felfedését a fájl telefonra történő továbbítása során. Emellett a telefon érvényesíti az aláírást, hogy megbizonyosodjon arról, hogy a fájl létrehozása után nem történt meg a fájlmeghamisítás. A sikertelen hitelesítést eredményező fájlok nem kerülnek a telefon Flash memóriájába. A telefon további feldolgozás nélkül elutasítja az ilyen fájlokat. |
Jelzésátviteli hitelesítés |
A TLS protokollt használja annak ellenőrzésére, hogy az átvitel során nem történt meg a jelátviteli csomagok meghamisítása. |
A gyártás által telepített tanúsítvány |
Minden Cisco IP-telefon tartalmaz egy egyedi gyártó által telepített tanúsítványt (MIC), amelyet az eszközök hitelesítésére használnak. A MIC állandó egyedi személyazonosságot biztosít a telefonnak, és lehetővé teszi a Cisco Unified Communications Manager számára a telefon hitelesítését. |
Média titkosítása |
SRTP használatával biztosítja, hogy a támogatott eszközök közötti médiafolyamatok biztonságosak legyenek, és hogy csak a tervezett eszköz fogadja és olvassa el az adatokat. Ez magában foglalja egy média elsődleges kulcspár létrehozását az eszközökhöz, a kulcsok eszközökhöz való eljuttatását és a kulcsok átadásának biztosítását, amíg a kulcsok szállítás alatt vannak. |
CAPF (Certificate Authority Proxy Function) |
A tanúsítványgenerálási eljárás olyan részeit hajtja végre, amelyek a telefonhoz túl intenzív feldolgozást igényelnek, és kölcsönhatásba lépnek a telefonnal a kulcsgenerálás és a tanúsítvány telepítése érdekében. A CAPF konfigurálható úgy is, hogy a telefon nevében tanúsítványokat kérjen az ügyfél által meghatározott hitelesítésszolgáltatóktól, vagy konfigurálható úgy is, hogy helyben állítson elő tanúsítványokat. Mind az EC (elliptikus görbe), mind az RSA kulcstípus támogatott. Az EC-kulcs használatához győződjön meg arról, hogy a "Endpoint Advanced Encryption Algorithms Support" paraméter (a menüpontból) engedélyezve van.A CAPF-ről és a kapcsolódó konfigurációkról bővebben lásd a következő dokumentumokat: |
Biztonsági profil |
Meghatározza, hogy a telefon nem biztonságos, hitelesített, titkosított vagy védett-e. A táblázat egyéb bejegyzései a biztonsági funkciókat ismertetik. |
Titkosított konfigurációs fájlok |
Lehetővé teszi a telefon konfigurációs fájljainak adatvédelmét. |
Opcionális webszerver letiltása telefonnál |
Biztonsági okokból megakadályozhatja a telefon (amelyek a telefon különböző működési statisztikáit jelenítik meg) és az önkiszolgáló portál weboldalaihoz való hozzáférést. |
Telefonkeményítés |
További biztonsági beállítások, amelyeket a Cisco Unified Communications Manager Administration segítségével vezérelhet:
|
802.1X hitelesítés |
A Cisco IP-telefon 802.1X hitelesítéssel kérhet hozzáférést a hálózathoz, és hozzáférhet hozzá. További információért lásd: 802.1X-hitelesítés . |
Biztonságos SIP-feladatátvitel SRST-hez |
Miután konfigurált egy SRST (Survivable Remote Site Telephony) hivatkozást a biztonság érdekében, majd visszaállítja a függő eszközöket a Cisco Unified Communications Manager Administration alkalmazásban, a TFTP-kiszolgáló hozzáadja az SRST tanúsítványt a telefon cnf.xml fájljához, és elküldi a fájlt a telefonra. A biztonságos telefon ezután TLS kapcsolatot használ az SRST-kompatibilis routerrel való interakcióhoz. |
Jelzéstitkosítás |
Az eszköz és a Cisco Unified Communications Manager kiszolgáló között küldött összes SIP-jelzésüzenet titkosítását biztosítja. |
Megbízhatósági lista frissítési riasztás |
Amikor a megbízhatósági lista frissül a telefonon, a Cisco Unified Communications Manager riasztást kap, amely jelzi a frissítés sikerességét vagy sikertelenségét. További információkat az alábbi táblázatban talál. |
AES 256-titkosítás |
Amikor a Cisco Unified Communications Manager 10.5(2) vagy újabb verziójához csatlakozik, a telefon támogatja az AES 256 titkosítást a TLS és SIP protokollhoz a jelzésátvitel és a média titkosítása érdekében. Ez lehetővé teszi a telefonok számára, hogy TLS 1.2 kapcsolatokat kezdeményezzenek és támogassanak olyan AES-256 alapú rejtjelekkel, amelyek megfelelnek az SHA-2 (Secure Hash Algorithm) szabványoknak, és megfelelnek a Federal Information Processing Standards (FIPS) szabványoknak. A rejtjelek a következők:
További információért olvassa el a Cisco Unified Communications Manager dokumentációját. |
Elliptikus görbe digitális aláírási algoritmus (ECDSA) tanúsítványok |
A Common Criteria (CC) tanúsítvány részeként a Cisco Unified Communications Manager; 11.0-s verziójában ECDSA-tanúsítványokat adott hozzá. Ez a CUCM 11.5 és újabb verzióját futtató összes Voice Operating System (VOS) termékre vonatkozik. |
Többkiszolgálós (SAN) Tomcat tanúsítvány Cisco UCM-mel | A telefon támogatja a Cisco UCM-et konfigurált többkiszolgálós (SAN) Tomcat tanúsítványokkal. A megfelelő TFTP szerver cím a telefon regisztrációjához tartozó ITL fájlban található. A funkcióval kapcsolatos további információkért tekintse meg a következőket: |
Az alábbi táblázat a megbízhatósági lista frissítési riasztási üzeneteit és jelentését tartalmazza. További információért olvassa el a Cisco Unified Communications Manager dokumentációját.
Kód és üzenet | Leírás |
---|---|
1 – SIKERES_MŰVELET |
Új CTL és/vagy ITL érkezett |
2 – CTL_KEZDETI_SIKER |
Új CTL érkezett, nincs meglévő TL |
3 – ITL_KEZDETI_SIKER |
Új ITL érkezett, nincs meglévő TL |
4 – TL_KEZDETI_SIKER |
Új CTL és ITL érkezett, nincs meglévő TL |
5 – A TL_SIKERTELEN_RÉGI_CTL |
Sikertelen frissítés az új CTL-re, de van korábbi TL |
6 – TL_SIKERTELEN_NINCS_TL |
Sikertelen frissítés az új TL-re, és nincs régi TL-je |
7 – A TL_SIKERTELEN |
Általános hiba |
8 – _SIKERTELEN_RÉGI_ITL |
Sikertelen frissítés az új ITL-re, de van korábbi TL |
9 – _SIKERTELEN_RÉGI_ELŐZETES |
Sikertelen frissítés az új TL-re, de már van korábbi TL |
A Biztonsági beállítás menü információkat tartalmaz a különböző biztonsági beállításokról. A menü hozzáférést biztosít a megbízhatósági lista menühöz is, és jelzi, hogy a CTL vagy az ITL fájl telepítve van-e a telefonra.
A következő táblázat a Biztonsági beállítás menü opcióit ismerteti.
beállítás |
Leírás |
A módosításhoz |
---|---|---|
Biztonsági üzemmód |
A telefonhoz beállított biztonsági módot jeleníti meg. |
A Cisco Unified Communications Manager Administration felületén válassza az lehetőséget. A beállítás a Telefon konfigurációs ablakának Protokollspecifikus információk részében jelenik meg. |
lsc-ben |
Azt jelzi, hogy a biztonsági funkciókhoz használt, helyileg jelentős tanúsítvány telepítve van-e a telefonra (Telepítve), vagy nincs telepítve a telefonra (Nincs telepítve). |
A telefon LSC-jének kezeléséről az adott Cisco Unified Communications Manager-verzió dokumentációjában talál bővebb tájékoztatást. |
Helyileg jelentős tanúsítvány (LSC) beállítása
Ez a feladat az LSC beállítására vonatkozik a hitelesítési karakterlánc módszerrel.
Mielőtt elkezdené
Győződjön meg arról, hogy a megfelelő Cisco Unified Communications Manager és a Certificate Authority Proxy Function (CAPF) biztonsági konfigurációk teljesek:
-
A CTL- vagy ITL-fájl CAPF-tanúsítvánnyal rendelkezik.
-
Ellenőrizze, hogy a CAPF tanúsítvány telepítve van-e a Cisco Unified Communications Operating System Administration alkalmazásban.
-
A CAPF fut és konfigurálva van.
A beállításokkal kapcsolatos további információkért tekintse meg az adott Cisco Unified Communications Manager-verzió dokumentációját.
1 |
Szerezze be a CAPF konfigurálásakor beállított CAPF hitelesítési kódot. |
2 |
A telefonon nyomja meg a Beállítások gombot. |
3 |
Ha a rendszer kéri, adja meg a jelszót a Beállítások menü eléréséhez. A jelszót a rendszergazdától kaphatja meg. |
4 |
Lépjen ide: .A Beállítások menühöz való hozzáférést a Cisco Unified Communications Manager Administration Beállítások hozzáférés mezőjében szabályozhatja. |
5 |
Adja meg a hitelesítési karakterláncot, és válassza a Küldéslehetőséget. A telefon a CAPF konfigurációjától függően megkezdi az LSC telepítését, frissítését vagy eltávolítását. Amikor az eljárás befejeződött, a telefonon megjelenik a Telepített vagy Nem telepített funkció. Az LSC telepítési, frissítési vagy eltávolítási folyamatának befejezése hosszú időt vehet igénybe. Amikor a telefon telepítési eljárása sikeres, megjelenik a |
FIPS mód engedélyezése
1 |
A Cisco Unified Communications Manager adminisztrációs felületén válassza az lehetőséget, és keresse meg a telefont. |
2 |
Navigáljon a Termékspecifikus konfiguráció területre. |
3 |
Állítsa az FIPS mód mezőt Engedélyezve értékre. |
4 |
Válassza a Mentéslehetőséget . |
5 |
Válassza a Konfiguráció alkalmazása lehetőséget. |
6 |
Indítsa újra a telefont. |
A kihangosító, a fejhallgató és a kézibeszélő kikapcsolása telefonon
Lehetősége van a kihangosító, a fejhallgató és a kézibeszélő végleges kikapcsolására a telefonon a felhasználó számára.
1 |
A Cisco Unified Communications Manager adminisztrációs felületén válassza az lehetőséget, és keresse meg a telefont. |
2 |
Navigáljon a Termékspecifikus konfiguráció területre. |
3 |
A telefon funkcióinak kikapcsolásához jelölje be az alábbi jelölőnégyzetek közül egyet vagy többet:
Alapértelmezés szerint ezek a jelölőnégyzetek nincsenek bejelölve. |
4 |
Válassza a Mentéslehetőséget . |
5 |
Válassza a Konfiguráció alkalmazása lehetőséget. |
802.1X hitelesítés
A Cisco IP-telefonok támogatják a 802.1x hitelesítést.
A Cisco IP-telefonok és a Cisco Catalyst kapcsolók hagyományosan a Cisco Discovery Protocol (CDP) protokollt használják egymás azonosítására és az olyan paraméterek meghatározására, mint a VLAN-kiosztás és a beépített tápellátás követelményei. A CDP nem azonosítja a helyileg csatlakoztatott munkaállomásokat. A Cisco IP-telefonok EAPOL átvezető mechanizmust biztosítanak. Ez a mechanizmus lehetővé teszi, hogy a Cisco IP telefonhoz csatlakoztatott munkaállomás továbbítsa az EAPOL üzeneteket a 802.1X hitelesítőnek a LAN kapcsolón. Az átvezető mechanizmus biztosítja, hogy az IP-telefon ne működjön LAN-kapcsolóként az adatvégpont hitelesítéséhez a hálózat elérése előtt.
A Cisco IP-telefonok proxy EAPOL kijelentkezési mechanizmust is biztosítanak. Ha a helyileg csatlakoztatott számítógép bontja a kapcsolatot az IP-telefonnal, a LAN-kapcsoló nem látja a fizikai kapcsolatot, mert megmarad a LAN-kapcsoló és az IP-telefon közötti kapcsolat. A hálózati integritás veszélyeztetésének elkerülése érdekében az IP-telefon egy EAPOL-Logoff üzenetet küld a kapcsolónak a downstream PC nevében, amely elindítja a LAN kapcsolót, hogy törölje a downstream PC hitelesítési bejegyzését.
A 802.1X hitelesítés támogatásához több összetevő szükséges:
-
Cisco IP-telefon: A telefon kezdeményezi a hálózat elérésére irányuló kérést. A Cisco IP-telefonok 802.1X kérvényt tartalmaznak. Ez a kérelmező lehetővé teszi a hálózati rendszergazdák számára, hogy szabályozzák az IP-telefonok csatlakozását a LAN-kapcsoló portokhoz. A telefon 802.1X kérvényező jelenlegi kiadása az EAP-FAST és EAP-TLS opciókat használja a hálózati hitelesítéshez.
-
Hitelesítési kiszolgáló: A hitelesítési kiszolgálót és a kapcsolót is olyan megosztott titkos kóddal kell konfigurálni, amely hitelesíti a telefont.
-
Váltás: A kapcsolónak támogatnia kell a 802.1X-et, hogy hitelesítőként működhessen, és továbbíthassa az üzeneteket a telefon és a hitelesítési kiszolgáló között. Miután a csere befejeződött, a kapcsoló megadja vagy megtagadja a telefonnak a hálózathoz való hozzáférést.
A 802.1X konfigurálásához a következő műveleteket kell végrehajtania.
-
Konfigurálja a többi összetevőt, mielőtt engedélyezi a 802.1X hitelesítést a telefonon.
-
PC port konfigurálása: A 802.1X szabvány nem veszi figyelembe a VLAN-t, ezért azt javasolja, hogy csak egy eszközt kell hitelesíteni egy adott kapcsolóportra. Egyes kapcsolók azonban támogatják a többtartományos hitelesítést. A kapcsolókonfiguráció határozza meg, hogy csatlakoztathat-e számítógépet a telefon PC portjához.
-
Engedélyezve: Ha a többtartományos hitelesítést támogató kapcsolót használ, engedélyezheti a PC portot, és csatlakoztathat hozzá egy PC-t. Ebben az esetben a Cisco IP-telefonok támogatják az EAPOL-Logoff proxy protokollt a kapcsoló és a csatlakoztatott PC közötti hitelesítési cserék figyeléséhez.
A Cisco Catalyst kapcsolók IEEE 802.1X támogatásával kapcsolatos további információkért tekintse meg a Cisco Catalyst kapcsoló konfigurációs útmutatóját:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
Letiltva: Ha a kapcsoló nem támogat több 802.1X-kompatibilis eszközt ugyanazon a porton, akkor a 802.1X-hitelesítés engedélyezésekor tiltsa le a PC-portot. Ha nem tiltja le ezt a portot, majd megpróbál PC-t csatolni hozzá, a kapcsoló megtagadja a hálózati hozzáférést a telefonhoz és a PC-hez is.
-
- Hang VLAN konfigurálása: Mivel a 802.1X szabvány nem tartalmazza a VLAN-okat, ezt a beállítást a kapcsolási támogatás alapján kell konfigurálnia.
- Engedélyezve: Ha a többtartományos hitelesítést támogató kapcsolót használ, továbbra is használhatja a hang VLAN-t.
- Letiltva: Ha a kapcsoló nem támogatja a többtartományos hitelesítést, tiltsa le a Voice VLAN-t, és fontolja meg a port hozzárendelését a natív VLAN-hoz.
- (Csak a Cisco Desk Phone 9800 Series telefonokhoz)
A Cisco 9800 sorozatú asztali telefonok előhívóazonosítójában más előhívószám található, mint a többi Cisco telefoné. Ha engedélyezni szeretné, hogy a telefon átadhassa a 802.1x azonosítást, állítsa be a Radius·Felhasználónév paramétert úgy, hogy az tartalmazza a Cisco Desk Phone 9800 Series telefont.
Például a 9841-es telefon PID-je DP-9841; a Radius·Felhasználónév beállítása
DP-vel kezdődik
vagyDP-t tartalmaz
. Az alábbi két szakaszban állíthatja be: -
802.1X-hitelesítés engedélyezése
Az alábbi lépések segítségével engedélyezheti a telefon 802.1X-hitelesítését:
1 |
Nyomja meg a Beállítások gombot. |
2 |
Ha a rendszer kéri, adja meg a jelszót a Beállítások menü eléréséhez. A jelszót a rendszergazdától kaphatja meg. |
3 |
Válassza a lehetőséget. |
4 |
Kapcsolja be az IEEE 802.1X hitelesítést. |
5 |
Válassza az Alkalmaz lehetőséget. |
A telefon biztonsági beállításaival kapcsolatos információk megtekintése
A biztonsági beállításokra vonatkozó információkat a telefon menüjében tekintheti meg. Az információ elérhetősége a szervezet hálózati beállításaitól függ.
1 |
Nyomja meg a Beállítások gombot. | ||||||||
2 |
Válassza a lehetőséget. | ||||||||
3 |
A Biztonsági beállítások menüpontban tekintse meg a következő információkat.
|
Telefonhívás biztonsága
Amikor a telefon biztonsága megvalósul, a biztonságos telefonhívásokat a telefon kijelzőjén található ikonok segítségével azonosíthatja. Azt is meghatározhatja, hogy a csatlakoztatott telefon biztonságos-e és védett-e, ha a hívás elején biztonsági hang hallható.
Biztonságos hívás esetén az összes hívásjelzési és médiafolyamat titkosítva van. A biztonságos hívás magas szintű biztonságot nyújt, és biztosítja a hívás integritását és magánszféráját. Amikor egy folyamatban lévő hívás titkosítva van, megjelenik a biztonságos ikon a vonalon. Biztonságos telefonoknál a hitelesített ikon is megtekinthető vagy a titkosított ikont a csatlakoztatott kiszolgáló mellett a telefon menüjében (
).Ha a hívást nem IP-hívásszakaszokon, például PSTN-en keresztül irányítja át, előfordulhat, hogy a hívás akkor sem biztonságos, ha az IP-hálózaton belül titkosítva van, és van hozzá egy lakat ikon.
Biztonságos hívás esetén a hívás elején biztonsági hang hallható, jelezve, hogy a másik csatlakoztatott telefon is fogad és továbbít biztonságos hangot. Ha a hívás nem biztonságos telefonhoz kapcsolódik, a biztonsági hang nem játszik le.
A biztonságos hívás csak két telefon közötti kapcsolatoknál támogatott. Egyes funkciók, például a konferenciahívás és a megosztott vonalak nem érhetők el, ha biztonságos hívás van konfigurálva.
Amikor a telefon a Cisco Unified Communications Manager alkalmazásban biztonságosként (titkosított és megbízható) van konfigurálva, védett
állapotot kaphat. Ezt követően, ha szükséges, a védett telefon beállítható úgy, hogy a hívás elején hangjelzést játsszon le:
-
Védett eszköz: A biztonságos telefon állapotának védelemre történő módosításához jelölje be a Védett eszköz jelölőnégyzetet a Cisco Unified Communications Manager adminisztráció (
) Telefon konfigurációs ablakában. -
Biztonságos kijelzési hang lejátszása: Ha engedélyezni szeretné, hogy a védett telefon biztonságos vagy nem biztonságos kijelzőhangot játsszon le, állítsa a Biztonságos kijelzőhang lejátszása beállítást True értékre. Alapértelmezés szerint a Biztonságos kijelzési hang lejátszása Hamis értékre van állítva. Ezt a beállítást a Cisco Unified Communications Manager adminisztrációs felületén állíthatja be (
). Válassza ki a kiszolgálót, majd a Unified Communications Manager szolgáltatást. A Szolgáltatásparaméter-konfiguráció ablakban válassza ki a Funkció – Biztonságos hangjelzés területen található beállítást. Az alapértelmezett érték Hamis.
Biztonságos konferenciabeszélgetés azonosítása
Kezdeményezhet biztonságos konferenciahívást, és figyelemmel kísérheti a résztvevők biztonsági szintjét. Biztonságos konferenciahívás jön létre az alábbi folyamat használatával:
-
A konferenciát egy felhasználó kezdeményezi egy biztonságos telefonról.
-
A Cisco Unified Communications Manager biztonságos konferenciahídot rendel a híváshoz.
-
A résztvevők hozzáadásával a Cisco Unified Communications Manager ellenőrzi az egyes telefonok biztonsági üzemmódját, és fenntartja a konferencia biztonságos szintjét.
-
A telefon megjeleníti a konferenciabeszélgetés biztonsági szintjét. A biztonságos konferencia megjeleníti a biztonságos ikont .
A biztonságos hívás két telefon között támogatott. A védett telefonoknál egyes funkciók, például a konferenciahívás, a megosztott vonalak és az Extension Mobility nem érhetők el, ha biztonságos hívás van konfigurálva.
Az alábbi táblázat a konferencia biztonsági szintjének változásairól nyújt tájékoztatást a kezdeményező telefon biztonsági szintjétől, a résztvevők biztonsági szintjétől és a biztonságos konferenciahidak elérhetőségétől függően.
Kezdeményező telefon biztonsági szintje |
Funkció használatban |
Résztvevők biztonsági szintje |
A fellépés eredményei |
---|---|---|---|
Nem biztonságos |
Konferencia |
Biztonságos |
Nem biztonságos konferenciahíd Nem biztonságos konferencia |
Biztonságos |
Konferencia |
Legalább egy tag nem biztonságos. |
Biztonságos konferenciahíd Nem biztonságos konferencia |
Biztonságos |
Konferencia |
Biztonságos |
Biztonságos konferenciahíd Biztonságos, titkosított szintű konferencia |
Nem biztonságos |
Értekezlet |
A minimális biztonsági szint titkosítva van. |
A kezdeményező a következő üzenetet kapja: |
Biztonságos |
Értekezlet |
A minimális biztonsági szint nem biztonságos. |
Biztonságos konferenciahíd A konferencia minden hívást elfogad. |
Biztonságos telefonhívás-azonosító
Biztonságos hívás akkor jön létre, amikor a telefon és a másik végén lévő telefon biztonságos hívásra van konfigurálva. A másik telefon lehet ugyanazon a Cisco IP-hálózaton, vagy egy IP-hálózaton kívüli hálózaton. Biztonságos hívásokat csak két telefon között lehet kezdeményezni. A konferenciabeszélgetéseknek támogatniuk kell a biztonságos hívást a biztonságos konferenciahíd létrehozását követően.
Biztonságos hívás jön létre ezzel a folyamattal:
-
A felhasználó biztonságos telefonról kezdeményezi a hívást (biztonságos mód).
-
A telefon kijelzőjén megjelenik a biztonságos ikon. Ez az ikon azt jelzi, hogy a telefon biztonságos hívásra van konfigurálva, de ez nem jelenti azt, hogy a másik csatlakoztatott telefon is biztonságos.
-
A felhasználó biztonsági hangot hall, ha a hívás egy másik biztonságos telefonhoz kapcsolódik, jelezve, hogy a beszélgetés mindkét vége titkosított és biztonságos. Ha a hívás nem biztonságos telefonhoz kapcsolódik, a felhasználó nem hallja a biztonsági hangot.
A biztonságos hívás két telefon között támogatott. A védett telefonoknál egyes funkciók, például a konferenciahívás, a megosztott vonalak és az Extension Mobility nem érhetők el, ha biztonságos hívás van konfigurálva.
Csak a védett telefonok játsszák le ezeket a biztonságos vagy nem biztonságos jelzőhangokat. A nem védett telefonok soha nem játszanak hangjelzést. Ha az általános hívás állapota a hívás során megváltozik, a kijelzőhang megváltozik, és a védett telefon a megfelelő hangot játssza le.
A védett telefon az alábbi körülmények között játssza le a hangot:
-
Ha engedélyezve van a Biztonságos kijelzőhang lejátszása beállítás:
-
Amikor végpontok közötti biztonságos média jön létre, és a hívás állapota biztonságos, a telefon lejátssza a biztonságos kijelzőhangot (három hosszú sípolás szünetekkel).
-
Amikor végpontok közötti nem biztonságos média jön létre, és a hívás állapota nem biztonságos, a telefon a nem biztonságos kijelzőhangot játssza le (hat rövid sípolás rövid szünetekkel).
-
Ha a Biztonságos kijelzőhang lejátszása opció le van tiltva, nem hallható hang.
Hívástitkosítás megadása a hívásbelépéshez
A Cisco Unified Communications Manager konferenciák létrehozásakor ellenőrzi a telefon biztonsági állapotát, és módosítja a konferencia biztonsági jelzését, vagy letiltja a hívás befejezését a rendszer integritásának és biztonságának megőrzése érdekében.
A felhasználó nem tud belépni titkosított hívásba, ha a híváshoz használt telefon nincs beállítva titkosításra. Ebben az esetben, amikor a belépés sikertelen, egy újrarendezési (gyors foglaltsági) hang hallható a telefonon, hogy a belépés elindult.
Ha a kezdeményező telefon titkosításra van konfigurálva, a híváskezdeményező beléphet egy nem biztonságos hívásba a titkosított telefonról. A hívás megtörténtét követően a Cisco Unified Communications Manager nem biztonságosként osztályozza a hívást.
Ha a kezdeményező telefon titkosításra van konfigurálva, a híváskezdeményező beléphet egy titkosított hívásba, és a telefon jelzi, hogy a hívás titkosított.
WLAN-biztonság
Mivel a hatótávolságon belüli összes WLAN-eszköz fogadni tudja az összes többi WLAN-forgalmat, a hangkommunikáció biztosítása kritikus fontosságú a WLAN-hálózatokon. A Cisco SAFE Security architektúra támogatja a telefont, hogy a behatolók ne manipulálják és ne blokkolják a hangforgalmat. A hálózatok biztonságával kapcsolatos további információkért lásd: http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
A Cisco vezeték nélküli IP-telefonos megoldás a következő, a telefon által támogatott hitelesítési módszerek segítségével biztosítja a vezeték nélküli hálózat biztonságát, amely megakadályozza a jogosulatlan bejelentkezést és a sérült kommunikációt:
-
Hitelesítés megnyitása: Bármely vezeték nélküli eszköz kérheti a hitelesítést egy nyitott rendszerben. A kérelmet fogadó AP engedélyezheti a hitelesítést bármely kérelmezőnek vagy csak a felhasználók listáján szereplő kérelmezőknek. A vezeték nélküli eszköz és a hozzáférési pont (AP) közötti kommunikáció nem titkosítható.
-
Bővíthető hitelesítési protokoll-Flexible Authentication via Secure Tunneling (EAP-FAST) hitelesítés: Ez a kliens-szerver biztonsági architektúra az AP és a RADIUS szerver közötti Transport Level Security (TLS) alagútban titkosítja az EAP-tranzakciókat, mint például az Identity Services Engine (ISE).
A TLS-alagút védett hozzáférési hitelesítő adatokat (PAC-kat) használ a hitelesítéshez az ügyfél (telefon) és a RADIUS szerver között. A szerver egy Authority azonosítót (AID) küld az ügyfélnek (telefonnak), amely viszont kiválasztja a megfelelő PAC-t. A kliens (telefon) PAC-átlátszatlan értéket ad vissza a RADIUS szervernek. A kiszolgáló visszafejti a PAC-t az elsődleges kulccsal. Mostantól mindkét végpont tartalmazza a PAC-kulcsot, és létrejön egy TLS-alagút. Az EAP-FAST támogatja az automatikus PAC kiépítést, de engedélyeznie kell a RADIUS szerveren.
ISE esetén a PAC alapértelmezés szerint egy hét alatt lejár. Ha a telefon lejárt PAC-val rendelkezik, a RADIUS szerverrel történő hitelesítés hosszabb időt vesz igénybe, amíg a telefon új PAC-t kap. A PAC-szolgáltatás késéseinek elkerülése érdekében állítsa be a PAC lejárati idejét 90 napra vagy annál hosszabb időre az ISE vagy a RADIUS szerveren.
-
Bővíthető hitelesítési protokoll-Transport Layer Security (EAP-TLS) hitelesítés: Az EAP-TLS kliens tanúsítványt igényel a hitelesítéshez és a hálózati hozzáféréshez. Vezeték nélküli EAP-TLS esetén a kliens tanúsítvány lehet MIC, LSC vagy felhasználó által telepített tanúsítvány.
-
Védett bővíthető hitelesítési protokoll (PEAP): A Cisco saját, jelszó alapú kölcsönös hitelesítési rendszere az ügyfél (telefon) és a RADIUS szerver között. A telefon a PEAP protokollt használhatja a vezeték nélküli hálózaton történő hitelesítéshez. A PEAP-MSCHAPV2 és a PEAP-GTC hitelesítési módszerek is támogatottak.
-
Előre megosztott kulcs (PSK): A telefon támogatja az ASCII formátumot. Ezt a formátumot kell használnia az előre megosztott WPA/WPA2/SAE kulcs beállításakor:
ASCII: 8–63 karakteres ASCII-karakterlánc (0–9, kisbetű és nagybetű A–Z, speciális karakterek)
Példa: GREG123567@9ZX&W
A következő hitelesítési sémák a RADIUS kiszolgálót használják a hitelesítési kulcsok kezelésére:
-
wpa/wpa2/wpa3: A RADIUS-kiszolgáló adatait használja a hitelesítéshez szükséges egyedi kulcsok létrehozásához. Mivel ezek a kulcsok a központosított RADIUS szerveren generálódnak, a WPA2/WPA3 nagyobb biztonságot nyújt, mint az AP-n és a telefonon tárolt WPA előre mentett kulcsok.
-
Gyors biztonságos barangolás: A RADIUS szerver és egy vezeték nélküli tartománykiszolgáló (WDS) adatait használja a kulcsok kezeléséhez és hitelesítéséhez. A WDS létrehoz egy biztonsági hitelesítő adatok gyorsítótárát az FT-kompatibilis ügyféleszközök számára a gyors és biztonságos ismételt hitelesítés érdekében. A Cisco 9861-es és 9871-es asztali telefon és a Cisco 8875-ös videotelefon támogatja a 802.11r (FT) szabványt. A gyors biztonságos barangolás érdekében mind a levegőben, mind a DS-en keresztül támogatott. De határozottan javasoljuk a 802.11r (FT) levegő alapú módszer használatát.
A WPA/WPA2/WPA3 esetén a titkosítási kulcsok nincsenek megadva a telefonon, de automatikusan származtatják az AP és a telefon között. A hitelesítéshez használt EAP felhasználónevet és jelszót azonban minden telefonon meg kell adni.
A hangforgalom biztonságának biztosítása érdekében a telefon támogatja a TKIP és az AES titkosítást. Amikor ezeket a mechanizmusokat titkosításra használják, a jelátviteli SIP-csomagok és a voice Real-Time Transport Protocol (RTP) csomagok egyaránt titkosítva vannak az AP és a telefon között.
- tkip
-
A WPA TKIP titkosítást használ, amely számos fejlesztéssel rendelkezik a WEP-n keresztül. A TKIP csomagonként kulcstitkosítást és hosszabb inicializációs vektorokat (IV-ket) biztosít, amelyek erősítik a titkosítást. Emellett az üzenet integritásának ellenőrzése (MIC) biztosítja, hogy a titkosított csomagok nem változnak. A TKIP eltávolítja a WEP kiszámíthatóságát, amely segít a behatolóknak megfejteni a WEP-kulcsot.
- Aes megye
-
A WPA2/WPA3 hitelesítéshez használt titkosítási módszer. Ez a titkosítási szabvány egy szimmetrikus algoritmust használ, amely azonos kulccsal rendelkezik a titkosításhoz és a visszafejtéshez. Az AES 128 bites Cipher Blocking Chain (CBC) titkosítást használ, amely minimálisan támogatja a 128, 192 és 256 bites kulcsméretet. A telefon 256 bites kulcsméretet támogat.
A Cisco 9861-es és 9871-es asztali telefon és a Cisco 8875-ös videotelefon nem támogatja a Cisco Key Integrity Protocol (CKIP) CMIC protokollt.
A hitelesítési és titkosítási sémák a vezeték nélküli LAN-on belül vannak beállítva. A VLAN-k konfigurálva vannak a hálózaton és az AP-eken, és megadják a hitelesítés és a titkosítás különböző kombinációit. Az SSID egy VLAN-hoz és az adott hitelesítési és titkosítási sémához kapcsolódik. A vezeték nélküli ügyféleszközök sikeres hitelesítéséhez ugyanazokat az SSID-ket kell konfigurálnia a hitelesítési és titkosítási sémájukkal az AP-n és a telefonon.
Egyes hitelesítési rendszerek bizonyos típusú titkosítást igényelnek.
- WPA előre megosztott kulcs, WPA2 előre megosztott kulcs vagy SAE használata esetén az előre megosztott kulcsot statikusan be kell állítani a telefonon. Ezeknek a kulcsoknak meg kell egyezniük az AP-n szereplő kulcsokkal.
-
A telefon támogatja az automatikus EAP egyeztetést FAST vagy PEAP esetén, de a TLS esetén nem. EAP-TLS mód esetén meg kell adnia.
A következő táblázatban található hitelesítési és titkosítási sémák a telefon AP konfigurációjának megfelelő hálózati konfigurációs beállításait mutatják.
FSR típusa | Hitelesítés | Kulcskezelés | Titkosítás | Védett kezelési keret (PMF) |
---|---|---|---|---|
802.11r (FT) | PSK |
wpa-pszk wpa-psk-sha256 ft-psk | Aes megye | Nem |
802.11r (FT) | WPA3 |
Szász Ft-szo | Aes megye | Igen |
802.11r (FT) | EAP-TLS |
WPA-EAP ft-eap | Aes megye | Nem |
802.11r (FT) | eap-tls (wpa3) |
wpa-eap-sha256 ft-eap | Aes megye | Igen |
802.11r (FT) | EAP-FAST |
WPA-EAP ft-eap | Aes megye | Nem |
802.11r (FT) | eap-fast (wpa3) |
wpa-eap-sha256 ft-eap | Aes megye | Igen |
802.11r (FT) | eap-peap |
WPA-EAP ft-eap | Aes megye | Nem |
802.11r (FT) | eap-peap (wpa3) |
wpa-eap-sha256 ft-eap | Aes megye | Igen |
Vezeték nélküli LAN profil konfigurálása
Vezeték nélküli hálózati profilját a hitelesítő adatok, a frekvenciasáv és a hitelesítési módszer konfigurálásával kezelheti.
A WLAN-profil konfigurálása előtt tartsa szem előtt a következő megjegyzéseket:
- Felhasználónév és jelszó
Amikor a hálózat EAP-FAST és PEAP protokollt használ a felhasználói hitelesítéshez, konfigurálnia kell a felhasználónevet és a jelszót is, ha szükséges a Remote Authentication Dial-In User Service (RADIUS) és a telefonon.
- A vezeték nélküli LAN profilban megadott hitelesítő adatoknak meg kell egyezniük a RADIUS szerveren konfigurált hitelesítő adatokkal.
Ha a hálózaton belüli tartományokat használ, a felhasználónevet a tartomány nevével együtt kell megadnia a következő formátumban:
tartomány\felhasználónév
.
-
A következő műveletek a meglévő Wi-Fi jelszó törléséhez vezethetnek:
- Érvénytelen felhasználói azonosító vagy jelszó megadása
- Érvénytelen vagy lejárt legfelső szintű hitelesítésszolgáltató telepítése, ha az EAP típusa PEAP-MSCHAPV2 vagy PEAP-GTC értékre van állítva
- A használatban lévő EAP típusának letiltása a RADIUS-kiszolgálón, mielőtt a telefont az új EAP típusra váltaná
- Az EAP típus módosításához először engedélyezze az új EAP típust a RADIUS szerveren, majd váltsa át a telefont EAP típusra. Amikor az összes telefont az új EAP típusra módosította, ha szeretné, letilthatja az előző EAP típust.
1 |
A Cisco Unified Communications Manager adminisztrációs felületén válassza az lehetőséget. |
2 |
Válassza ki a konfigurálni kívánt hálózati profilt. |
3 |
Állítsa be a paramétereket. |
4 |
Kattintson a Mentés lehetőségre. |
SCEP paraméterek konfigurálása
Az SCEP (Simple Certificate Enrollment Protocol) a tanúsítványok automatikus kiosztásának és megújításának szabványa. Az SCEP szerver automatikusan megtarthatja az Ön felhasználói és kiszolgálói tanúsítványait.
A telefon weboldalán a következő SCEP-paramétereket kell konfigurálnia
-
RA IP-címe
-
A legfelső szintű CA-tanúsítvány SHA-1 vagy SHA-256 ujjlenyomata az SCEP-kiszolgálóhoz
A Cisco IOS regisztrációs hatóság (RA) proxyként szolgál az SCEP szerver felé. A telefonon az SCEP kliens a Cisco Unified Communication Managerből letöltött paramétereket használja. A paraméterek konfigurálása után a telefon SCEP getcs
kérést küld az RA-nek, és a legfelső szintű CA-tanúsítványt a meghatározott ujjlenyomat segítségével hitelesíti.
Mielőtt elkezdené
Az SCEP szerveren konfigurálja az SCEP regisztrációs ügynököt (RA) a következőkre:
- Működjön PKI-megbízhatósági pontként
- PKI RA-ként működik
- Eszközhitelesítés RADIUS-kiszolgálóval
Lásd az SCEP szerver dokumentációját további információért.
1 |
A Cisco Unified Communications Manager adminisztrációs felületén válassza az lehetőséget. |
2 |
Keresse meg a telefont. |
3 |
Görgessen a Termékspecifikus konfigurációs elrendezés területre. |
4 |
A SCEP paraméter aktiválásához jelölje be a WLAN SCEP-kiszolgáló jelölőnégyzetet. |
5 |
Jelölje be a WLAN legfelső szintű CA-ujjlenyomat (SHA256 vagy SHA1) jelölőnégyzetet az SCEP QED paraméter aktiválásához. |
A TLS támogatott verzióinak beállítása
Beállíthatja a klienshez, illetve a kiszolgálóhoz szükséges minimális TLS-verziót.
Alapértelmezés szerint a kiszolgáló és az ügyfél minimális TLS-verziója egyaránt 1.2. A beállítás a következő funkciókra van hatással:
- HTTPS webes hozzáférési kapcsolat
- Bevezetés helyszíni telefonhoz
- Beléptetés a mobil és távoli hozzáféréshez (MRA)
- HTTPS szolgáltatások, például címtárszolgáltatások
- Datagram Transport Layer Security (DTLS)
- Porthozzáférési entitás (PAE)
- Bővíthető hitelesítési protokoll-Transport Layer Security (EAP-TLS)
A Cisco IP-telefonok TLS 1.3 kompatibilitásával kapcsolatos további információkért lásd: A TLS 1.3 kompatibilitási mátrix a Cisco együttműködési termékekhez.
1 |
Jelentkezzen be a Cisco Unified Communications Manager Administration alkalmazásba rendszergazdaként. |
2 |
Navigáljon a következő ablakok egyikére: |
3 |
Állítsa be a TLS Client Min Version mezőt: A „TLS 1.3” beállítás elérhető a Cisco Unified CM 15SU2 vagy újabb verziójában.
|
4 |
Állítsa be a TLS Server Min Version mezőt:
A PhoneOS 3.2 verziójától a „TLS 1.0 és TLS 1.1 letiltása a webes hozzáféréshez” mező beállítása nem érinti a telefonokat. |
5 |
Kattintson a Mentés lehetőségre. |
6 |
Kattintson a Konfiguráció alkalmazása lehetőségre. |
7 |
Indítsa újra a telefonokat. |
Garantált szolgáltatások SIP
A Assured Services SIP (AS-SIP) olyan funkciók és protokollok gyűjteménye, amelyek rendkívül biztonságos hívásfolyamatot biztosítanak a Cisco IP-telefonok és harmadik féltől származó telefonok számára. A következő funkciókat együttesen AS-SIP-ként ismerik:
- Többszintű elsőbbség és előzetes lefoglalás (MLPP)
- Differenciált szolgáltatások kódpontja (DSCP)
- Transport Layer Security (TLS) és Secure Real-time Transport Protocol (SRTP)
- 6-os verziójú internetprotokoll (IPv6)
Az AS-SIP-t gyakran használják többszintű elsőbbséggel és előzetes lefoglalással (MLPP) a hívások priorizálására vészhelyzet esetén. Az MLPP segítségével prioritási szintet rendelhet a kimenő hívásokhoz az 1. szintről (alacsony) az 5. szintig (magas). Hívás fogadásakor a telefonon egy prioritási szint ikon jelenik meg, amely a hívás prioritását mutatja.
Az AS-SIP konfigurálásához végezze el a következő feladatokat a Cisco Unified Communications Manager alkalmazásban:
- Kivonatoló felhasználó konfigurálása – Konfigurálja úgy a végfelhasználót, hogy kivonatoló hitelesítést használjon a SIP-kérésekhez.
- A SIP-telefon biztonságos portjának konfigurálása – A Cisco Unified Communications Manager ezt a portot használja a SIP-telefonok figyelésére TLS-vonalregisztrációkhoz.
- Szolgáltatások újraindítása – A biztonságos port konfigurálása után indítsa újra a Cisco Unified Communications Manager és a Cisco CTL szolgáltató szolgáltatásait. SIP-profil konfigurálása AS-SIP-hez – Konfiguráljon egy SIP-profilt SIP-beállításokkal az AS-SIP-végpontokhoz és a SIP-fővonalakhoz. A telefonspecifikus paraméterek nem töltődnek le harmadik féltől származó AS-SIP telefonra. Ezeket csak a Cisco Unified Manager használja. A harmadik féltől származó telefonoknak helyileg kell konfigurálniuk ugyanazokat a beállításokat.
- Telefonbiztonsági profil konfigurálása AS-SIP-hez – A telefon biztonsági profiljával olyan biztonsági beállításokat rendelhet hozzá, mint a TLS, SRTP és kivonatoló hitelesítés.
- AS-SIP végpont konfigurálása – Konfiguráljon egy Cisco IP-telefont vagy egy harmadik féltől származó végpontot AS-SIP támogatással.
- Eszköz társítása végfelhasználóhoz – Társítsa a végpontot egy felhasználóhoz.
- A SIP trönk biztonsági profiljának konfigurálása AS-SIP esetén – a SIP trönk biztonsági profiljával olyan biztonsági funkciókat rendelhet hozzá egy SIP trönkhöz, mint a TLS vagy a kivonathitelesítés.
- SIP-fővonal konfigurálása AS-SIP-hez – Konfiguráljon egy SIP-fővonalat AS-SIP támogatással.
- AS-SIP-funkciók konfigurálása – Konfiguráljon további AS-SIP-funkciókat, például MLPP, TLS, V.150 és IPv6.
Az AS-SIP konfigurálásáról részletes tájékoztatást olvashat a Cisco Unified Communications Manager funkciókonfigurációs útmutatójának „AS-SIP végpontok konfigurálása” című fejezetében.
Többszintű elsőbbség és előzetes lefoglalás
A többszintű elsőbbség és előzetes lefoglalás (MLPP) lehetővé teszi a hívások priorizálását vészhelyzet vagy más válsághelyzet esetén. Az 1 és 5 közötti prioritást rendelhet hozzá a kimenő hívásokhoz. A bejövő hívások ikon és a hívás prioritása jelenik meg. A hitelesített felhasználók előre lefoglalhatják a hívásokat a célzott állomásokra vagy a teljes előfizetésű TDM-trönkökön keresztül.
Ez a képesség biztosítja, hogy a magas rangú személyzet kommunikáljon a kritikus szervezetek és személyzet felé.
Az MLPP-t gyakran használják a Assured Services SIP (AS-SIP) szolgáltatással. Az MLPP konfigurálásával kapcsolatos részletes információkért tekintse meg a Cisco Unified Communications Manager funkciókonfigurációs útmutatójánakTöbbszintű elsőbbség és előzetes beállítás konfigurálása című fejezetét.
FAC és CMC beállítása
Amikor a kötelező hitelesítési kódok (FAC) vagy ügyfélválasztó kódok (CMC) vagy mindkettő konfigurálva van a telefonon, a felhasználóknak meg kell adniuk a szükséges jelszavakat a szám tárcsázásához.
A FAC és a CMC Cisco Unified Communications Manager alkalmazásban való beállításával kapcsolatos további információkért lásd: „Kliens Matter kódok és Kényszerített hitelesítési kódok" fejezet ebben Funkciókonfigurációs útmutató a Cisco Unified Communications Manager 12.5(1) vagy újabb verziójához.