- Hjem
- /
- Artikkel
Cisco IP Phone Sikkerhet
I denne artikkelenDenne hjelpeartikkelen gjelder for Cisco bordtelefon 9800-serien og Cisco videotelefon 8875 som er registrert i Cisco Unified Communications Manager.
Du kan aktivere Cisco Unified Communications Manager slik at du kan arbeide i et utvidet sikkerhetsmiljø. Ved hjelp av disse forbedringene fungerer telefonnettverket basert på et sett med strenge sikkerhets- og risikostyringskontroller for å beskytte deg og brukerne.
Det utvidede sikkerhetsmiljøet inkluderer følgende funksjoner:
-
Godkjenning av søk etter kontakter.
-
TCP som standardprotokoll for ekstern revisjonslogging.
-
FIPS-modus.
-
En forbedret policy for legitimasjon.
-
Støtte for SHA-2-serien med hash-koder for digitale signaturer.
-
Støtte for en RSA-nøkkelstørrelse på 512 og 4096 bits.
Med Cisco Unified Communications Manager versjon 14.0 og Cisco Video Phone Firmware versjon 2.1 og nyere støtter telefonene SIP OAuth-godkjenning.
OAuth støttes for Proxy Trivial File Transfer Protocol (TFTP) med Cisco Unified Communications Manager versjon 14.0(1)SU1 eller nyere. Proxy TFTP og OAuth for Proxy TFTP støttes ikke på Mobile Remote Access (MRA).
Hvis du vil ha mer informasjon om sikkerhet, kan du se følgende:
-
System konfigurasjonsveiledning for Cisco Unified Communications Manager, versjon 14.0(1) eller nyere ( https://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-installation-and-configuration-guides-list.html).
-
Sikkerhetsveiledning for Cisco Unified Communications Manager ( https://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-maintenance-guides-list.html)
Støttede sikkerhetsfunksjoner
Sikkerhetsfunksjonene beskytter mot alvorlige trusler, inkludert trusler mot identiteten til telefonen og dataene. Disse funksjonene etablerer og opprettholder godkjente kommunikasjonsstrømmer mellom telefonen og Cisco Unified Communications Manager-serveren, og sørger for at telefonen bruker bare digitalt signerte filer.
Cisco Unified Communications Manager Release 8.5(1) og nyere inkluderer Sikkerhet som standard, som inneholder følgende sikkerhetsfunksjoner for Cisco IP-telefon uten å kjøre CTL-klienten:
-
Signering av telefonkonfigurasjonsfiler
-
Kryptering av telefonkonfigurasjonsfil
-
HTTPS med Tomcat og andre webtjenester
Sikker signalisering og mediefunksjoner krever likevel at du kjører CTL-klienten og bruker eToken-enheter.
Implementering av sikkerhet i Cisco Unified Communications Manager-systemet hindrer identitetstyveri av telefonen og Cisco Unified Communications Manager-serveren, hindrer datamanipulering og hindrer manipulering av samtalesignalisering og mediestrømmer.
For unngå disse truslene etablerer og opprettholder Cisco IP-telefoninettverket sikrede (krypterte) kommunikasjonsstrømmer mellom en telefon og serveren, signerer filer digitalt før de overføres til en telefon og krypterer mediestrømmer og samtalesignalisering mellom Cisco IP-telefoner.
Et viktig lokalt sertifikat (LSC-sertifikat) installeres på telefoner etter at du utfører de nødvendige oppgavene som er forbundet med CAPF (Certificate Authority Proxy Function). Du kan bruke Cisco Unified Communications Manager Administration til å konfigurere et LSC-sertifikat, som beskrevet i sikkerhetsveiledningen for Cisco Unified Communications Manager. Du kan også starte installasjonen av en LSC fra menyen Sikkerhetsinnstillinger på telefonen. På denne menyen kan du også oppdatere eller fjerne et LSC-sertifikat.
Et LSC-sertifikat kan ikke brukes som brukersertifikatet for EAP-TLS med WLAN-godkjenning.
Telefonene bruker telefonens sikkerhetsprofil, som angir om enheten er usikret eller sikret. Hvis du vil ha informasjon om hvordan du bruker sikkerhetsprofilen på telefonen, kan du se dokumentasjonen for din versjon av Cisco Unified Communications Manager.
Når du konfigurerer sikkerhetsrelaterte innstillinger i Cisco Unified Communications Manager Administration, inneholder telefonkonfigurasjonsfilen sensitive opplysninger. Du kan beskytte opplysningene i en konfigurasjonsfil ved å konfigurere den for kryptering. Hvis du vil ha mer informasjon, kan du se dokumentasjonen for din versjon av Cisco Unified Communications Manager.
Telefonen er i samsvar med FIPS (Federal Information Processing Standard). FIPS-modus krever en nøkkelstørrelse på 2048 biter eller mer for å fungere riktig. Hvis sertifikatet er mindre enn 2048 bits, registreres ikke telefonen i Cisco Unified Communications Manager og meldingen Telefonen kunne ikke registreres. Sertifikatnøkkelstørrelsen er ikke kompatibel med FIPS vises på telefonen.
Hvis telefonen har et LSC-sertifikat, må du oppdatere LSC-nøkkelstørrelsen til 2048 biter eller større før du aktiverer FIPS.
Tabellen nedenfor viser en oversikt over sikkerhetsfunksjoner som telefonen støtter. Hvis du vil ha mer informasjon, kan du se dokumentasjonen for din versjon av Cisco Unified Communications Manager.
Hvis du vil vise sikkerhetsmodusen, trykker du på Innstillinger 
Og naviger til .
|
Funksjon |
Beskrivelse |
|---|---|
|
Bildegodkjenning |
Signerte binære filer hindrer manipulering av fastvareavbildningen før den lastes på en telefon. Redigering av avbildningen fører til at en telefon ikke kan fullføre godkjenningsprosessen og vil avvise den nye avbildningen. |
|
Installasjon av sertifikat på kundeområde |
Hver Cisco IP-telefon krever et unikt sertifikat for enhetsgodkjenning. Telefoner har et produsentinstallert sertifikat (MIC), men for ytterligere sikkerhet kan du angi en sertifikatinstallasjon i Cisco Unified Communications Manager Administration ved hjelp av CAPF-funksjonen (Certificate Authority Proxy Function). Alternativt kan du installere et LSC-sertifikat (Locally Significant Certificate) fra menyen Sikkerhetskonfigurasjon på telefonen. |
|
Enhetsgodkjenning |
Foregår mellom Cisco Unified Communications Manager-serveren og telefonen når en enhet godkjenner sertifikatet for den andre enheten. Fastslår om en sikker tilkobling mellom telefonen og Cisco Unified Communications Manager skal opprettes, og om det skal opprettes en bane for sikker signalisering mellom enhetene ved hjelp av TLS-protokollen. Cisco Unified Communications Manager registrerer ikke telefoner med mindre de kan godkjennes. |
|
Filgodkjenning |
Validerer digitalt signerte filer som telefonen laster ned. Telefonen validerer signaturen for å kontrollere at filen ikke er blitt redigert etter at den ble opprettet. Filer som ikke blir godkjent, blir ikke skrevet til flashminnet på telefonen. Telefonen avviser slike filer uten videre behandling. |
|
Kryptering av filer |
Kryptering hindrer visning av sensitive opplysninger mens filen overføres til telefonen. I tillegg validerer telefonen signaturen for å kontrollere at filen ikke har blitt redigert etter den ble opprettet. Filer som ikke blir godkjent, blir ikke skrevet til flashminnet på telefonen. Telefonen avviser slike filer uten videre behandling. |
|
Signaliseringsgodkjenning |
Bruker TLS-protokollen til å validere at signaliseringspakker ikke har blitt manipulert under overføring. |
|
Produsentinstallert sertifikat |
Hver Cisco IP-telefon inneholder et unikt MIC-sertifikat (Manufacturing Installed Certificate), som brukes for enhetsgodkjenning. MIC-sertifikatet gir et permanent og unikt bevis på telefonens identitet og gjør det mulig for Cisco Unified Communications Manager å godkjenne telefonen. |
|
Mediekryptering |
Bruker SRTP til å sørge for at mediestrømmene mellom støttede enheter er sikre, og at bare den tiltenkte enheten mottar og leser dataene. Inkluderer oppretting av et mediehovednøkkelpar for enhetene, levering av nøklene til enhetene, og sikring av leveringen av nøklene mens nøklene blir transportert. |
|
CAPF-funksjon (Certificate Authority Proxy Function) |
Implementerer deler av sertifikatgenereringsprosedyren som er for behandlingsintensiv for telefonen, og samhandler med telefonen for nøkkelgenerering og sertifikatinstallasjon. CAPF-funksjonen kan konfigureres til å be om sertifikater fra kundeangitte sertifikatinstanser på vegne av telefonen, eller den kan konfigureres til å generere sertifikater lokalt. Både EC (elliptisk kurve) og RSA nøkkeltyper støttes. Hvis du vil bruke EC-tasten, må du kontrollere at parameteren "Endpoint Advanced Encryption Algorithms Support" (fra ) er aktivert. Hvis du vil ha mer informasjon om CAPF og relaterte konfigurasjoner, kan du se følgende dokumenter: |
|
Sikkerhetsprofil |
Angir om telefonen er usikret, godkjent, kryptert eller beskyttet. Andre poster i denne tabellen beskriver sikkerhetsfunksjoner. |
|
Krypterte konfigurasjonsfiler |
Lar deg sikre personvernet til konfigurasjonsfilene på telefonen. |
|
Valgfri deaktivering av nettserver for en telefon |
Av sikkerhetsgrunner kan du hindre tilgang til nettsidene for en telefon (som viser ulike driftsstatistikk for telefonen) og selvhjelpsportalen. |
|
Telefonforsterking |
Ekstra sikkerhetsalternativer som du kontrollerer fra Cisco Unified Communications Manager Administration:
|
|
802.1X-godkjenning |
Cisco IP-telefon kan bruke 802.1X-godkjenning til å be om og få tilgang til nettverket. Se 802.1X-godkjenning for mer informasjon. |
|
Sikker SIP-Failover for SRST |
Etter at du har konfigurert en SRST-referanse (Survivable Remote Site Telephony) for sikkerhet og deretter tilbakestilt de avhengige enhetene i Cisco Unified Communications Manager Administration, legger TFTP-serveren til SRST-sertifikatet i filen cnf.xml og sender filen til telefonen. En sikker telefon bruker deretter en TLS-tilkobling til samhandle med den SRST-aktiverte ruteren. |
|
Signaliseringskryptering |
Sørger for at alle SIP-signaliseringsmeldinger som sendes mellom enheten og Cisco Unified Communications Manager-serveren er kryptert. |
|
Alarm for oppdatering av klareringsliste |
Når klareringslisten oppdateres på telefonen, mottar Cisco Unified Communications Manager en alarm som indikerer om oppdateringen var vellykket eller mislykket. Du finner mer informasjon i tabellen nedenfor. |
|
AES 256-kryptering |
Når telefonene er koblet til Cisco Unified Communications Manager versjon 10.5(2) og nyere, støtter de AES 256-kryptering for TLS og SIP for signaliserings- og mediekryptering. Dermed kan telefonene starte og støtte TLS 1.2-tilkoblinger ved hjelp av AES-256-baserte chiffreringer som samsvarer med SHA-2-standardene (Secure Hash Algorithm) og er kompatible med FIPS (Federal Information Processing Standards). Chifrene inkluderer:
Hvis du vil ha mer informasjon, kan du se dokumentasjonen for Cisco Unified Communications Manager. |
|
ECDSA-sertifikater (Elliptic Curve Digital Signature Algorithm) |
Som del av en common criteria-sertifisering (CC) har Cisco Unified Communications Manager lagt til ECDSA-sertifikater i versjon 11.0. Dette påvirker alle VOS-produkter (Voice Operating System) som kjører CUCM 11.5 og senere versjoner. |
|
Multi-server (SAN) Tomcat-sertifikat med Cisco UCM | Telefonen støtter Cisco UCM med konfigurerte Tomcat-sertifikater for flere servere (SAN). Den riktige TFTP-serveradressen finner du i telefonens ITL-fil for telefonens registrering. Hvis du vil ha mer informasjon om funksjonen, kan du se følgende: |
Tabellen nedenfor inneholder alarmmeldinger for oppdatering av klareringslister, og hva de betyr. Hvis du vil ha mer informasjon, kan du se dokumentasjonen for Cisco Unified Communications Manager.
| Kode og melding | Beskrivelse |
|---|---|
|
1 - TL_SUCCESS |
Mottatt ny CTL og/eller ITL |
|
2 - CTL_INITIAL_SUCCESS |
Mottatt ny CTL, ingen eksisterende TL |
|
3 - ITL_INITIAL_SUCCESS |
Mottatt ny ITL, ingen eksisterende TL |
|
4 - TL_INITIAL_SUCCESS |
Mottatt ny CTL og ITL, ingen eksisterende TL |
|
5 - TL_FAILED_OLD_CTL |
Oppdatering til ny CTL mislyktes, men har tidligere TL |
|
6 - TL_FAILED_NO_TL |
Oppdatering til ny TL mislyktes, har ingen gammel TL |
|
7 - TL_FAILED |
Generell feil |
|
8 - TL_FAILED_OLD_ITL |
Oppdatering til ny ITL mislyktes, men har tidligere TL |
|
9 - TL_FAILED_OLD_TL |
Oppdatering til ny TL mislyktes, men har tidligere TL |
Menyen Sikkerhetsoppsett gir informasjon om ulike sikkerhetsinnstillinger. Menyen gir dessuten tilgang til menyen Klareringsliste og angir om det er installert CTL- eller ITL-fil på telefonen.
Tabellen nedenfor beskriver alternativene i menyen Sikkerhetsoppsett.
|
Alternativ |
Beskrivelse |
Endre |
|---|---|---|
|
Sikkerhetsmodus |
Viser sikkerhetsmodusen som er angitt for telefonen. |
Fra Cisco Unified Communications Manager Administration, velger du . Innstillingen vises i delen Protokollspesifikk informasjon i vinduet Telefonkonfigurasjon. |
|
LSC |
Angir om et lokalt viktig sertifikat som brukes til sikkerhetsfunksjoner, er installert på telefonen (installert) eller ikke installert på telefonen (ikke installert). |
Hvis du vil ha informasjon om hvordan du håndterer LSC-sertifikatet for telefonen, kan du se dokumentasjonen for din versjon av Cisco Unified Communications Manager. |
Konfigurere et lokalt signifikant sertifikat (LSC)
Denne fremgangsmåten gjelder for konfigurasjon av LSC med godkjenningsstrengmetoden.
Før du begynner
Sørg for at konfigurasjonene av sikkerhet for Cisco Unified Communications Manager og CAPF-funksjonen (Certificate Authority Proxy Function) er fullført:
-
CTL- eller ITL-filen har et CAPF-sertifikat.
-
I Cisco Unified Communications Operating System Administration bekrefter du at CAPF-sertifikatet er installert.
-
CAPF-sertifikatet kjører og er konfigurert.
Hvis du vil ha mer informasjon om disse innstillingene, kan du se dokumentasjonen for din versjon av Cisco Unified Communications Manager.
| 1 |
Hent CAPF-godkjenningskoden som ble angitt da CAPF-sertifikatet ble konfigurert. |
| 2 |
Trykk på Innstillinger på telefonen |
| 3 |
Hvis du blir bedt om det, skriver du inn passordet for å få tilgang til Innstillinger-menyen . Du kan få passordet fra administratoren. |
| 4 |
Naviger til . Du kan kontrollere tilgang til menyen Innstillnger ved hjelp av feltet Tilgang til innstillinger i Cisco Unified Communications Manager Administration. |
| 5 |
Skriv inn godkjenningsstrengen, og velg Send. Telefonen begynner å installere, oppdatere eller fjerne LSC-sertifikatet, avhengig av hvordan CAPF-sertifikatet er konfigurert. Når prosedyren er fullført, vises Installert eller Ikke installert på telefonen. Installasjon, oppdatering eller fjerning av LSC-sertifikatet kan ta en stund. Når installasjonen av telefonen er fullført, vises meldingen |
Aktivere FIPS-modus
| 1 |
I Cisco Unified Communications Manager Administration, velger du , og finner telefonen. |
| 2 |
Gå til området Produktspesifikk konfigurasjon. |
| 3 |
Sett feltet FIPS-modus til Aktivert. |
| 4 |
Velg Lagre. |
| 5 |
Velg Bruk konfigurasjon. |
| 6 |
Start telefonen på nytt. |
Slå av høyttaler, hodetelefoner og telefonrør på en telefon
Du har muligheten til å slå av høyttaleren, hodetelefonene og håndsettet på en telefon permanent for brukeren.
| 1 |
I Cisco Unified Communications Manager Administration, velger du , og finner telefonen. |
| 2 |
Gå til området Produktspesifikk konfigurasjon. |
| 3 |
Merk av i én eller flere av følgende avmerkingsbokser for å deaktivere telefonens funksjoner:
Som standard er det ikke merket av for disse alternativene. |
| 4 |
Velg Lagre. |
| 5 |
Velg Bruk konfigurasjon. |
802.1X-godkjenning
Cisco IP-telefon støtter 802.1X-godkjenning.
Cisco IP-telefon og Cisco Catalyst-svitsjer bruker tradisjonelt CDP-protokollen (Cisco Discovery Protocol) til å identifisere hverandre og definere parametere, for eksempel VLAN-tildeling og innebygde strømkrav. CDP identifiserer ikke lokalt tilknyttede arbeidsstasjoner. Cisco IP-telefon formidler en EAPOL-sendemekanisme. Denne mekanismen tillater at en arbeidsstasjon som er knyttet til Cisco IP-telefon, kan sende EAPOL-meldinger til 802.1X-godkjenneren ved LAN-svitsjen. Sendemekanismen sørger for at IP-telefonen ikke fungerer som LAN-svitsjen for å godkjenne et dataendepunkt før det gis tilgang til nettverket.
Cisco IP-telefoner formidler også en EAPOL-avloggingsmekanisme for proxy. Hvis den lokalt tilknyttede PC-en kobles fra IP-telefonen, vil ikke LAN-svitsjen registrere at den fysiske koblingen ikke lenger fungerer, fordi koblingen mellom LAN-svitsjen og IP-telefonen opprettholdes. For å unngå at nettverksintegriteten svekkes, sender IP-telefonen en EAPOL-avloggingsmelding til svitsjen på vegne av nedstrøms-PC-en, som fører til at LAN-svitsjen fjerner godkjenningsoppføringen for nedstrøms-PC-en.
Støtte for 802.1X-godkjenning krever flere komponenter:
-
Cisco IP-telefon: Telefonen sender forespørselen om tilgang til nettverket. Cisco IP-telefoner inneholder en 802.1X-anmoder. Denne anmoderen tillater at nettverksadministratorer kontrollerer tilkoblingen for IP-telefoner til LAN-svitsjeportene. Den gjeldende versjonen av telefonens 802.1X-anmoder bruker alternativene EAP-FAST og EAP-TLS for nettverksgodkjenning.
-
Godkjenningsserver: Både godkjenningsserveren og svitsjen må konfigureres med en delt hemmelighet som godkjenner telefonen.
-
svitsj: svitsjen må støtte 802.1X, slik at den kan fungere som godkjenner og sende meldingene mellom telefonen og godkjenningsserveren. Etter at utvekslingen er fullført, gir eller avslår svitsjen tilgang til nettverket for telefonen.
Du må utføre følgende handlinger for å konfigurere 802.1X.
-
Konfigurer de andre komponentene før du aktiverer 802.1X-godkjenning på telefonen.
-
Konfigurer PC-port: 802.1X-standarden vurderer ikke VLAN-er. Derfor anbefales det at bare én enhet bør godkjennes for en bestemt svitsjport. Noen svitsjer støtter imidlertid godkjenning av flere domener. Svitsjkonfigurasjonen fastslår om du kan koble en PC til PC-porten på telefonen.
-
Aktivert: Hvis du bruker en svitsj som støtter godkjenning på flere domener, kan du aktivere PC-porten og koble en PC til den. I dette tilfellet støtter Cisco IP-telefoner EAPOL-avlogging for proxy for å overvåke godkjenningsutvekslingene mellom svitsjen og den tilknyttede PC-en.
Hvis du vil ha mer informasjon om IEEE 802.1X-støtte på Cisco Catalyst-svitsjene, kan du se retningslinjene for konfigurasjon av Cisco Catalyst-svitsjer på:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
Deaktivert: Hvis svitsjen ikke støtter flere 802.1X-kompatible enheter på samme port, må du deaktivere PC-porten når 802.1X-godkjenning er aktivert. Hvis du ikke deaktiverer denne porten og forsøker å koble en PC til den, avslår svitsjen nettverkstilgang til både telefonen og PC-en.
-
- Konfigurer Tale-VLAN: 802.1X-standarden omfatter ikke VLAN-er, og derfor må du konfigurere denne innstillingen basert på svitsjstøtten.
- Aktivert: Hvis du bruker en svitsj som støtter godkjenning på flere domener, kan du fortsette å bruke tale-VLAN.
- Deaktivert: Hvis svitsjen ikke støtter godkjenning på flere domener, deaktiverer du Tale-VLAN og vurderer å tilordne porten til opprinnelig VLAN.
- (Bare for Cisco bordtelefon 9800-serien)
Cisco bordtelefon 9800-serien har et annet prefiks i PID enn for de andre Cisco-telefonene. Hvis du vil at telefonen skal bestå 802.1X-godkjenning, angir du Radius· Brukernavnparameter for å inkludere din Cisco bordtelefon 9800-serien.
For eksempel er PID for telefon 9841 DP-9841; kan du angi Radius · Brukernavn til å
begynne med DPellerinneholder DP.Du kan angi det i begge følgende deler: -
Aktivere 802.1X-godkjenning
Du kan aktivere 802.1 X-godkjenning for telefonen ved å følge disse trinnene:
| 1 |
Trykk på Innstillinger |
| 2 |
Hvis du blir bedt om det, skriver du inn passordet for å få tilgang til Innstillinger-menyen . Du kan få passordet fra administratoren. |
| 3 |
Naviger til |
| 4 |
Slå på IEEE 802.1X-godkjenning. |
| 5 |
Velg Bruk. |
Vise informasjon om sikkerhetsinnstillinger på telefonen
Du kan vise informasjon om sikkerhetsinnstillingene i telefonmenyen. Tilgjengeligheten av informasjonen avhenger av nettverksinnstillingene i organisasjonen.
| 1 |
Trykk på Innstillinger | ||||||||
| 2 |
Naviger til . | ||||||||
| 3 |
I sikkerhetsinnstillingene viser du følgende informasjon.
|
.Sikkerhet for telefonsamtaler
Når sikkerhet er implementert for en telefon, kan du identifisere sikre telefonsamtaler med ikoner på telefonskjermen. Du kan også fastslå om den tilkoblede telefonen er sikker og beskyttet dersom du hører en sikkerhetstone på begynnelsen av samtalen.
I en sikker samtale blir samtalesignalisering og mediestrømmer kryptert. En sikker samtale har et høyt nivå av sikkerhet, noe som gir samtalen både integritet og beskytter personvernet. Når en pågående samtale krypteres, kan du se sikkerhetsikonet 
På linjen. For en sikker telefon kan du også vise ikonet for godkjenning 
Eller det krypterte ikonet 
Ved siden av den tilkoblede serveren i telefonmenyen ().
Hvis samtalen rutes via samtalefaser utenom IP, for eksempel PSTN, er samtalen ikke sikker selv om den krypteres innenfor IP-nettverket og har et tilknyttet låseikon.
I en sikker samtale spilles det av en sikkerhetstone på begynnelse av en samtale for å angi at den andre tilkoblede telefonen også mottar og overfører sikker lyd. Hvis samtalen din kobles til en usikret telefon, spilles ikke sikkerhetstonen av.
Sikre samtaler støttes bare for tilkoblinger mellom to telefoner. Noen funksjoner, for eksempel telefonkonferanse og delte linjer, er ikke tilgjengelige når en sikker samtale konfigureres.
Når en telefon er konfigurert som sikker (kryptert og klarert) i Cisco Unified Communications Manager, kan den gis en beskyttet
status. Deretter kan den beskyttede telefonen om ønskelig konfigureres til å spille av en tone på begynnelsen av en samtale:
-
Beskyttet enhet: Hvis du vil endre statusen for en sikker telefon til Beskyttet, merker du av for Beskyttet enhet i vinduet Telefonkonfigurasjon i Cisco Unified Communications Manager Administration ().
-
Spill av tone for sikker samtale: Hvis du vil aktivere den beskyttede telefonen slik at den spiller av en tone for å angi en sikker eller usikret samtale, setter du innstillingen Spill av tone for sikker samtale til Sann. Som standard er Spill av tone for sikker samtale satt til Usann. Du angir dette alternativet i Cisco Unified Communications Manager Administration (). Velg serveren og deretter Unified Communications Manager-tjenesten. I vinduet Konfigurasjon av tjenesteparameter velger du alternativet i området Funksjon - sikker tone. Standardverdien er Usann.
Identifikasjon av sikker telefonkonferanse
Du kan starte en sikker telefonkonferanse og overvåke sikkerhetsnivået for deltakerne. En sikker telefonkonferanse etableres ved å gjøre følgende:
-
En bruker starter konferansen fra en sikker telefon.
-
Cisco Unified Communications Manager tilordner en sikker konferansebro til samtalen.
-
Etter hvert som deltakere legges til, bekrefter Cisco Unified Communications Manager sikkerhetsmodusen for hver telefon og opprettholder sikkerhetsnivået for konferansen.
-
Telefonen viser sikkerhetsnivået for telefonkonferansen En sikker konferanse viser sikkerhetsikonet
.
Sikre samtaler støttes mellom to telefoner. For beskyttede telefoner er noen funksjoner, for eksempel telefonkonferanser, delte linjer og mobilt internnummer, ikke tilgjengelige når en sikker samtale konfigureres.
Tabellen nedenfor inneholder informasjon om endringer i sikkerhetsnivåene for konferansen avhengig av sikkerhetsnivået for initiativtakertelefonen, sikkerhetsnivåene for deltakerne og tilgjengeligheten av sikre konferansebroer.
|
Sikkerhetsnivå for initiativtakertelefon |
Funksjon som brukes |
Sikkerhetsnivå for deltakere |
Resultater av handling |
|---|---|---|---|
|
Usikret |
Konferanse |
Sikre |
Usikret konferansebro Usikret konferanse |
|
Sikre |
Konferanse |
Minst ett medlem er usikret. |
Sikker konferansebro Usikret konferanse |
|
Sikre |
Konferanse |
Sikre |
Sikker konferansebro Sikker konferanse på krypteringsnivå |
|
Usikret |
Møterom |
Minste sikkerhetsnivå er kryptert. |
Initiativtakeren mottar meldingen |
|
Sikre |
Møterom |
Minste sikkerhetsnivå er usikret. |
Sikker konferansebro Konferanse godtar alle anrop. |
Identifikasjon sv sikker samtale
En sikker samtale etableres når din telefon og telefonen i den andre enden konfigureres for sikker samtale. Den andre telefonen kan befinne seg i samme Cisco IP-nettverk eller i et nettverk utenfor IP-nettverket. Sikre samtaler kan bare gjennomføres mellom to telefoner. Telefonkonferanser må støtte sikker samtale etter at en sikker konferansebro er konfigurert.
En sikker samtale etableres ved å gjøre følgende:
-
En bruker starter samtalen fra en sikker telefon (sikret sikkerhetsmodus).
-
Telefonen viser sikkerhetsikonet
På telefonskjermen. Dette ikonet angir at telefonen er konfigurert for sikre samtaler, men det betyr ikke at den andre tilkoblede telefonen også er det samme. -
Brukeren hører en sikkerhetstone hvis samtalen kobles til en annen sikker telefon, noe som angir at begge ender av samtalen er kryptert og sikker. Hvis samtalen kobles til en usikret telefon, hører ikke brukeren sikkerhetstonen.
Sikre samtaler støttes mellom to telefoner. For beskyttede telefoner er noen funksjoner, for eksempel telefonkonferanser, delte linjer og mobilt internnummer, ikke tilgjengelige når en sikker samtale konfigureres.
Bare beskyttede telefoner spiller av disse tonene for sikre og usikrede samtaler. Ubeskyttede telefoner spiller aldri av toner. Hvis den totale samtalestatusen endres i løpet av samtalen, endres tonen, og den beskyttede telefonen spiller av den riktige tonen.
En beskyttet telefon spiller av en tone eller ikke i følgende tilfeller:
-
Når alternativet Spill av tone for sikker samtale er aktivert:
-
Når sikre ende-til-ende-medier etableres og samtalestatusen er sikker, spiller telefonen av tonen for sikker samtale (tre lange pip med pause mellom hvert pip).
-
Når usikrede ende-til-ende-medier etableres og samtalestatusen er usikret, spiller telefonen av tonen for usikret samtale (seks lange pip med kort pause mellom hvert pip).
-
Hvis alternativet Spill av tone for sikker samtale er deaktivert, spilles det ikke av noen tone.
Gi kryptering for lekter
Cisco Unified Communications Manager kontrollerer telefonens sikkerhetsstatus ved oppretting av konferanser og endrer sikkerhetsindikasjonen for konferansen eller blokkerer anrop for å bevare og beskytte systemet.
En bruker kan ikke bryte inn i en kryptert samtale hvis telefonen som brukes til å bryte inn, ikke er konfigurert for kryptering. Når det i et slikt tilfelle ikke lykkes å bryte inn, spilles det av et opptattsignal (avbrutt, rask) på telefonen hvor det ble tatt initiativ til å bryte inn.
Hvis initiativtakertelefonen er konfigurert for kryptering, kan initiativtakeren til innbrytingen bryte inn i en usikret samtale fra den krypterte telefonen. Etter innbrytinger klassifiserer Cisco Unified Communications Manager samtalen som ikke-sikker.
Hvis initiativtakertelefonen er konfigurert for kryptering, kan initiativtakeren til innbrytingen bryte inn i en kryptert samtale, og telefonen angir at samtalen er kryptert.
WLAN sikkerhet
Denne delen gjelder bare for telefonmodeller med Wi-Fi funksjonalitet.
WLAN sikkerhet
Fordi alle WLAN-enheter som er innenfor rekkevidde, kan motta all annen WLAN-trafikk, er sikring av talekommunikasjon kritisk i WLAN-er. For å sikre at inntrengere ikke manipulerer eller fanger opp taletrafikk, støtter Cisco SAFE Security-arkitekturen telefonen. Hvis du ønsker mer informasjon om sikkerheten i nettverk, kan du se http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Ciscos trådløse IP telefoniløsning gir trådløs nettverkssikkerhet som forhindrer uautoriserte pålogginger og kompromittert kommunikasjon ved å bruke følgende godkjenningsmetoder som telefonen støtter:
-
Åpen godkjenning: Alle trådløse enheter kan be om godkjenning i et åpent system. Tilgangspunktet som mottar forespørselen kan gi godkjenning til en hvilken som helst anmoder eller bare til anmodere som finnes på en liste over brukere. Kommunikasjon mellom den trådløse enheten og tilgangspunktet (AP) kan være ukryptert.
-
Fleksibel godkjenning via sikker tunnelering (EAP-FAST) Godkjenning: Denne sikkerhetsarkitekturen mellom klient og server krypterer EAP transaksjoner i en TLS-tunnel (Transport Level Security) mellom tilgangspunktet og RADIUS-serveren, for eksempel Identity Services Engine (ISE).
TLS-tunnelen bruker PAC-legitimasjon (Protected Access Credentials) til godkjenning mellom klienten (telefon) og RADIUS-serveren. Serveren sender en AID (Authority ID) til klienten (telefonen), som igjen velger den riktige PAC-koden. Klienten (telefonen) returnerer en PAC-Opaque til RADIUS-serveren. Serveren dekrypterer PAC-koden med hovednøkkelen. Begge endepunktene inneholder nå PAC-nøkkelen, og det opprettes en TLS-tunnel. EAP-FAST støtter automatisk klargjøring av PAC-koder, men må du aktivere det på RADIUS-serveren.
I ISE, som standard, utløper PAC om en uke. Hvis telefonen har en utløpt PAC-kode, tar godkjenning med RADIUS-serveren lengre tid mens telefonen får en ny PAC-kode. For å unngå forsinkelser ved klargjøring av PAC-koder kan du angi utløpsperioden for PAC-koder til 90 dager eller lenger på ISE- eller RADIUS-serveren.
-
EAP-TLS-godkjenning (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS krever et klientsertifikat for godkjenning og nettverkstilgang. For trådløse EAP-TLS kan klientsertifikatet være et MIC-, LSC- eller brukerinstallert sertifikat.
-
PEAP (Protected Extensible Authentication Protocol): Ciscos egenutviklede passordbaserte ordning for gjensidig godkjenning mellom klienten (telefonen) og en RADIUS-server. Telefonen kan bruke PEAP til autentisering med det trådløse nettverket. Både godkjenningsmetodene PEAP-MSCHAPV2 og PEAP-GTC støttes.
-
Pre-Shared Key (PSK): Telefonen støtter ASCII-format. Du må bruke dette formatet når du konfigurerer en forhåndsdelt WPA/WPA2/SAE-nøkkel:
ASCII: en streng med ASCII-tegn med 8 til 63 tegn i lengde (0-9, små og store bokstaver, og spesialtegn)
Eksempel: GREG123567@9ZX&W
De følgende godkjenningsordningene bruker RADIUS-serveren til å håndtere godkjenningsnøkler:
-
WPA/WPA2/WPA3: Bruker RADIUS-serverinformasjon til å generere unike nøkler for godkjenning. Fordi disse nøklene genereres på den sentraliserte RADIUS-serveren, gir WPA2/WPA3 bedre sikkerhet enn forhåndsdelte WPA-nøkler som er lagret på tilgangspunktet og telefonen.
-
Rask og sikker roaming: bruker RADIUS-serveren og informasjon fra en trådløst domene-server (WDS) til å håndtere og godkjenne nøkler. WDS oppretter en hurtigbuffer med sikkerhetslegitimasjon for FT-aktiverte klientenheter for rask og sikker reautentisering. Cisco bordtelefon 9861 og 9871 og Cisco Video Phone 8875 støtter 802.11r (FT). Både trådløst og over DS-systemet støttes for å muliggjøre rask, sikker streifing. Men vi anbefaler på det sterkeste å bruke 802.11r (FT) via luft-metoden.
Med WPA/WPA2/WPA3 angis ikke krypteringsnøkler på telefonen, men avledes automatisk mellom tilgangspunktet og telefonen. Men EAP-brukernavnet og -passordet som brukes til godkjenning, må angis på hver telefon.
For å sikre sikker taletrafikk støtter telefonen TKIP og AES for kryptering. Når disse mekanismene brukes til kryptering, krypteres både SIP-signaliseringspakkene og talepakkene Real-Time Transport Protocol (RTP) mellom tilgangspunktet og telefonen.
- TKIP
-
WPA bruker TKIP-kryptering som har flere forbedringer i forhold til WEP. TKIP gir nøkkelchiffrering for hver pakke og lengre initialiseringsvektorer (IV-er) som gir sterkere kryptering. I tillegg sørger en meldingsintegritetskontroll (MIC) for at krypterte pakker ikke blir endret. TKIP fjerner forutsigbarheten ved WEP som kan hjelpe inntrengere med å dechiffrere WEP-nøkkelen.
- AES
-
En krypteringsmetode som brukes for WPA2/WPA3-autentifikasjon. Denne amerikanske nasjonale krypteringsstandarden bruker en symmetrisk algoritme som bruker samme nøkkel til kryptering og dekryptering. AES bruker 128-biters CBC-kryptering (Cipher Blocking Chain), som støtter nøkkelstørrelser på 128 bits, 192 bits og 256 bits som et minimum. Telefonen støtter en nøkkelstørrelse på 256 biter.
Cisco bordtelefon 9861 og 9871 og Cisco videotelefon 8875 støtter ikke Cisco Key Integrity Protocol (CKIP) med CMIC.
Godkjennings- og krypteringsordninger konfigureres innenfor det trådløse LAN-et. VLAN-er konfigureres i nettverket og på tilgangspunktene og angir forskjellige kombinasjoner av godkjenning og kryptering. En SSID knyttes til et VLAN og til den bestemte godkjennings og krypteringsordningen. For at trådløse klientenheter skal godkjennes, må du konfigurere de samme SSID-ene med godkjennings- og krypteringsskjemaene på tilgangspunktene og på telefonen.
Noen godkjenningsordninger krever bestemte typer kryptering.
- Når du bruker WPA forhåndsdelt nøkkel, WPA2 forhåndsdelt nøkkel eller SAE, må den forhåndsdelte nøkkelen være statisk angitt på telefonen. Disse nøklene må samsvare med tastene på tilgangspunktet.
-
Telefonen støtter automatisk EAP forhandling for FAST eller PEAP, men ikke for TLS. For EAP-TLS modus må du angi den.
Godkjennings- og krypteringsskjemaene i tabellen nedenfor viser nettverkskonfigurasjonsalternativene for telefonen som tilsvarer tilgangspunktkonfigurasjonen.
| FSR-type | Godkjenning | Nøkkeladministrasjon | Kryptering | Beskyttet styringsramme (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Nei |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Ja |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Nei |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Nei |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Nei |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
Konfigurere trådløs LAN-profil
Du kan administrere profilen for trådløst nettverk ved å konfigurere påloggingsinformasjon, frekvensområde, godkjenningsmetode og så videre.
Husk på følgende merknader før du konfigurerer WLAN-profilen:
- brukernavn og passord
Når nettverket bruker EAP-FAST og PEAP til brukergodkjenning, må du om nødvendig konfigurere både brukernavnet og passordet på Radius (Remote Authentication Dial-In User Service) og på telefonen.
- Legitimasjonen du angir i profilen for trådløs LAN-profil, må være identisk med legitimasjonen du konfigurerte på RADIUS-serveren.
Hvis du bruker domener i nettverket, må du angi brukernavnet med domenenavn, i formatet:
domene\brukernavn.
-
Følgende handlinger kan føre til at det eksisterende Wi-Fi-passordet slettes:
- inntasting av en ugyldig bruker-id eller passord
- installasjon av et ugyldig eller utløpt rot-CA-sertifikat når EAP-typen er satt til PEAP-MSCHAPV2 eller PEAP-GTC
- Deaktivering av EAP-typen i bruk på RADIUS-serveren som brukes av telefonen, før du endrer en telefon til den nye EAP-typen
- Hvis du vil endre EAP typen, pass på at du aktiverer den nye EAP-typen på RADIUS-serveren først, og deretter bytter telefonen til EAP-typen. Når alle telefonene er endret til den nye EAP-typen, kan du deaktivere den forrige EAP-typen hvis du ønsker det.
| 1 |
I Cisco Unified Communications Manager Administration, velger du . |
| 2 |
Velg nettverksprofilen som du vil konfigurere. |
| 3 |
Angi parametrene. |
| 4 |
Klikk på Lagre. |
Installere rotsertifikat for godkjenningsserver manuelt
Du kan installere et godkjenningsserversertifikat manuelt på telefonen hvis SCEP (Simple Certificate Enrollment Protocol) ikke er tilgjengelig.
Rot-CA-sertifikatet som utstedte RADIUS-serversertifikatet, må være installert for EAP-TLS.
Før du begynner
Før du kan installere et sertifikat på en telefon, må du ha et godkjenningsserversertifikat lagret på PC-en. Sertifikatet må kodes i PEM (Base-64) eller DER.
| 1 |
Fra telefonens administrasjonsnettside velger du Sertifikater. |
| 2 |
Finn Godkjenningsserver CA-feltet, og klikk på Installer. |
| 3 |
Bla til sertifikatet på PC-en. |
| 4 |
Klikk på Last opp. |
| 5 |
Start telefonen på nytt etter at opplastingen er fullført. Hvis du installerer mer enn ett sertifikat, brukes bare det sist installerte. |
Installere et brukersertifikat manuelt
Du kan installere et brukersertifikat manuelt på telefonen hvis SCEP (Simple Certificate Enrollment Protocol) ikke er tilgjengelig.
Det forhåndsinstallerte MIC-sertifikatet kan brukes som brukersertifikatet for EAP-TLS.
Når du har installert brukersertifikatet, må du legge det til i RADIUS-serverens klareringsliste.
Før du begynner
Før du kan installere et brukersertifikat for en telefon, må du ha:
Et brukersertifikat som er lagret på datamaskinen. Sertifikatet må være i PKCS #12-format.
Passordet for å hente ut sertifikatet.
Dette passordet kan bestå av opptil 16 tegn.
| 1 |
Fra telefonens administrasjonsnettside velger du Sertifikater. |
| 2 |
Finn feltet Brukerinstallert, og klikk på Installer. |
| 3 |
Bla til sertifikatet på PC-en. |
| 4 |
I feltet Pakk ut passord taster du inn sertifikatets utpakkingspassord. |
| 5 |
Klikk på Last opp. |
| 6 |
Start telefonen på nytt etter at opplastingen er fullført. |
Fjerne et sikkerhetssertifikat manuelt
Du kan fjerne et sikkerhetssertifikat manuelt fra en telefon hvis SCEP (Simple Certificate Enrollment Protocol) ikke er tilgjengelig.
| 1 |
Fra telefonens administrasjonsnettside velger du Sertifikater. |
| 2 |
Finn sertifikatet på siden Sertifikater. |
| 3 |
Klikk på Slett. |
| 4 |
Start telefonen på nytt etter at sletteprosessen er fullført. |
Konfigurer SCEP-parametrene
SCEP (Simple Certificate Enrollment Protocol) er standarden for automatisk levering og fornyelse av sertifikater. SCEP-serveren kan automatisk opprettholde bruker-og serversertifikater.
Du må konfigurere følgende SCEP-parametere på telefonnettsiden
-
RA IP-adresse
-
SHA-1- eller SHA-256-fingeravtrykk av rot-CA-sertifikatet for SCEP-serveren
Cisco IOS Registration Authority (RA) fungerer som en proxy for SCEP-serveren. SCEP-klienten på telefonen bruker parameterne som lastes ned fra Cisco Unified Communication Manager. Etter at du har konfigurert parameterne, sender telefonen en SCEP getcs-forespørsel til RA, og rot-CA-sertifikatet valideres ved hjelp av det angitte fingeravtrykket.
Før du begynner
På SCEP-serveren konfigurerer du SCEP Registrering Agent (RA) til å:
- fungere som et PKI-klareringspunkt
- fungere som en PKI-RA
- utføre enhetsgodkjenning ved hjelp av en RADIUS-server
Hvis du vil ha mer informasjon, kan du se dokumentasjonen for SCEP-serveren.
| 1 |
Fra Cisco Unified Communications Manager Administration velger du . |
| 2 |
Finn telefonen. |
| 3 |
Bla til området Produktspesifikt konfigurasjonsoppsett. |
| 4 |
Merk av WLAN SCEP-Server for å aktivere SCEP-parameteren. |
| 5 |
Merk av avmerkingsboksen WLAN rot-CA-fingeravtrykk (SHA256 eller SHA1) for å aktivere SCEP QED-parameteren. |
Konfigurere de støttede versjonene av TLS
Du kan konfigurere minimumsversjonen av TLS som kreves for henholdsvis klient og server.
Som standard er minimum TLS versjon av server og klient både 1.2. Innstillingen påvirker følgende funksjoner:
- HTTPS-tilkobling for nettilgang
- Pålasting for lokal telefon
- Onboarding for mobil og Remote Access (MRA)
- HTTPS-tjenester, for eksempel katalogtjenestene
- Datagram Transport Layer Security (DTLS)
- Port Access Entity (PAE)
- Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)
Hvis du vil ha mer informasjon om TLS 1.3-kompatibilitet for Cisco IP Phones, kan du se TLS 1.3 Kompatibilitetsmatrise for Cisco-samarbeidsprodukter.
| 1 |
Logge på Cisco Unified Communications Manager Administration som administrator. |
| 2 |
Naviger til ett av følgende vinduer: |
| 3 |
Konfigurer feltet TLS Klient min. versjon : Alternativet "TLS 1.3" er tilgjengelig på Cisco Unified CM 15SU2 eller nyere.
|
| 4 |
Konfigurer feltet TLS Server Min versjon :
Fra PhoneOS 3.2-utgivelsen påvirker ikke innstillingen av feltet "Deaktiver TLS 1.0 og TLS 1.1 for nettilgang" på telefonene. |
| 5 |
Klikk på Lagre. |
| 6 |
Klikk på Bruk konfigurasjon. |
| 7 |
Start telefonene på nytt. |
Assured Services SIP (AS-SIP)
AS-SIP (Assured Services SIP) er en samling av funksjoner og protokoller som tilbyr en svært sikker samtaleflyt for Ciscos IP-telefon og tredjeparts-telefoner. Følgende funksjoner går samlet under navnet AS-SIP:
- Multilevel Precedence and Preemption (MLPP)
- Differentiated Services Code Point (DSCP)
- Transport Layer Security (TLS) og Secure Real-time Transport Protocol (SRTP)
- Internet Protocol versjon 6 (IPv6)
AS-SIP brukes ofte med (MLPP) til å prioritere samtaler i nødsituasjoner. Med MLPP tilordner du en prioritet til utgående anrop, fra nivå 1 (lavest) til nivå 5 (høyest). Når du mottar et anrop, vises det et ikon for prioritetsnivå på telefonen som angir anropets prioritet.
Hvis du vil konfigurere AS-SIP, utfører du følgende oppgaver i Cisco Unified Communications Manager:
- Konfigurer en digest-bruker – konfigurer sluttbrukeren til å bruke digest-godkjenning på SIP-forespørsler.
- Konfigurer sikker port for SIP-telefon − Cisco Unified Communications Manager bruker denne porten til å lytte til SIP-telefon for SIP-linjeregistreringer over TLS.
- Start tjenester på nytt – når du har konfigurert den sikre porten, starter du Cisco Unified Communications Manager og Cisco CTL Provider-tjenestene på nytt. Konfigurer SIP-profil for AS-SIP − konfigurer en SIP-profil med SIP-innstillinger for AS-SIP-endepunktene og SIP-trunkene. Telefonspesifikke parametre lastes ikke ned til tredjeparts AS-SIP-telefon. De brukes bare av Cisco Unified Manager. Tredjepartstelefoner må konfigurere de samme innstillingene lokalt.
- Konfigurer telefonsikkerhetsprofil for AS-SIP – du kan bruke telefonsikkerhetsprofilen til å tilordne sikkerhetsinnstillinger som for eksempel TLS, SRTP og digest-godkjenning.
- Konfigurer AS-SIP-endepunkt – konfigurer en Cisco IP-telefon eller et tredjeparts endepunkt med AS-SIP-støtte.
- Knytt enhet til sluttbruker – Knytt endepunktet til en bruker.
- Konfigurer SIP-trunk-sikkerhetsprofil for AS-SIP – du kan bruke SIP-trunk-sikkerhetsprofilen til å tilordne sikkerhetsfunksjoner som for eksempel TLS eller digest-godkjenning til en SIP-trunk.
- Konfigurer SIP-Trunk for AS-SIP − konfigurer en SIP-trunk med AS-SIP-støtte.
- Konfigurer AS-SIP-funksjoner – konfigurer ytterligere AS-SIP-funksjoner som for eksempel MLPP, TLS, V.150 og IPv6.
Hvis du vil ha detaljert informasjon om hvordan du konfigurerer AS-SIP, kan du se kapittelet "Konfigurere AS-SIP-endepunkter" i veiledningen for funksjonskonfigurasjon for Cisco Unified Communications Manager.
Multilevel Precedence and Preemption (MLPP)
Med Multilevel Precedence and Preemption (MLPP) kan du prioritere anrop i nødsituasjoner eller i andre krisesituasjoner. Du tilordner en prioritet til utgående anrop fra 1 til 5. Innkommende anrop viser et ikon og anropsprioritet. Godkjente brukere kan styre anrop til angitte stasjoner eller gjennom helabonnerte TDM-trunker.
Denne funksjonen sikrer at prioritert personell kan kommunisere med kritiske organisasjoner og personell.
MLPP brukes ofte med AS-SIP (Assured Services SIP). Hvis du vil ha detaljert informasjon om hvordan du konfigurerer MLPP, kan du se kapittelet Konfigurere prioritet og forrang på flere nivåer i veiledningen for funksjonskonfigurasjon for Cisco Unified Communications Manager.
Konfigurere FAC og CMC
Når tvungen godkjenningskoder (FAC) eller klientkoder (CMC), eller begge er konfigurert på telefonen, må brukerne angi de nødvendige passordene for å ringe ut et nummer.
Hvis du vil ha mer informasjon om hvordan du konfigurerer FAC og CMC i Cisco Unified Communications Manager, kan du se kapittelet "Klientkoder og koder for tvungen godkjenning" iFunksjonskonfigurasjonsveiledning for Cisco Unified Communications Manager, utgivelse 12.5 (1) eller nyere.
