Certyfikat urządzenia może zostać automatycznie odświeżony przez proces SCEP.

• Telefon sprawdza, czy certyfikat wygaśnie za 15 dni co 4 godziny. Jeśli tak, telefon automatycznie rozpocznie proces odnawiania certyfikatu.
• Jeśli hasło wyzwania jest puste, telefon będzie używał interfejsu MIC/SUDI zarówno do wstępnej rejestracji, jak i odnawiania certyfikatu. Jeśli skonfigurowano hasło wyzwania, jest ono używane tylko do wstępnej rejestracji, a do odnawiania certyfikatu używany jest istniejący/zainstalowany certyfikat.
• Telefon nie usuwa starego certyfikatu urządzenia, dopóki nie pobierze nowego.
• Jeśli odnawianie certyfikatu nie powiedzie się z powodu wygaśnięcia certyfikatu urządzenia lub urzędu certyfikacji, telefon automatycznie rozpocznie rejestrację początkową. W międzyczasie, jeśli uwierzytelnienie hasła wyzwania nie powiedzie się, na ekranie telefonu pojawi się ekran wprowadzania hasła, a użytkownicy zostaną poproszeni o wprowadzenie hasła wyzwania w telefonie.

Telefony IP Cisco obsługują uwierzytelnianie 802.1X.

Telefony IP Cisco i przełączniki Cisco Catalyst używają tradycyjnie protokołu CDP (Cisco Discovery Protocol) do identyfikowania się i ustalania parametrów, takich jak alokacja sieci VLAN i wymagania dotyczące zasilania poprzez kabel sieciowy. Protokół CDP nie identyfikuje podłączonych lokalnie stacji roboczych. Telefony IP Cisco udostępniają mechanizm przelotowy protokołu EAPOL. Umożliwia on stacji roboczej podłączonej do telefonu IP Cisco przekazywanie komunikatów protokołu EAPOL do urządzenia uwierzytelniającego 802.1X w przełączniku sieci LAN. Dzięki mechanizmowi przelotowemu telefon IP nie pełni funkcji przełącznika sieci LAN, aby uwierzytelnić punkt końcowy danych przed uzyskaniem dostępu do sieci.

Telefony IP Cisco udostępniają również mechanizm zastępczego wylogowywania w ramach protokołu EAPOL. Jeśli podłączony lokalnie komputer rozłączy się z telefonem IP, przełącznik sieci LAN nie zauważy awarii łącza fizycznego, ponieważ łącze między przełącznikiem sieci LAN a telefonem IP zostanie zachowane. Aby zapobiec naruszeniu bezpieczeństwa sieci, telefon IP wysyła do przełącznika komunikat wylogowania w ramach protokołu EAPOL w imieniu komputera, co powoduje wyczyszczenie wpisu uwierzytelnienia komputera w przełączniku.

Obsługa uwierzytelniania 802.1X wymaga kilku składników:

• Telefony IP Cisco Telefon inicjuje żądanie dostępu do sieci. Telefony IP Cisco zawierają stronę uwierzytelnianą 802.1X. Dzięki tej supplicant administratorzy sieci mogą kontrolować łączność telefonów IP z portami przełącznika sieci LAN. Bieżąca wersja strony uwierzytelnianej 802.1X w telefonach korzysta z opcji EAP-FAST i EAP-TLS do uwierzytelniania sieci.

• usługa uwierzytelniania Serwer uwierzytelniania i przełącznik muszą mieć skonfigurowany klucz współdzielony, który służy do uwierzytelniania telefonu.

• Przełącz: Przełącznik musi obsługiwać protokół 802.1X, aby mieć możliwość pełnienia funkcji strony uwierzytelniającej i przekazywania komunikatów między telefonem a serwerem uwierzytelniania. Po zakończeniu wymiany komunikatów przełącznik przyznaje telefonowi dostęp do sieci lub odmawia mu dostępu.

Aby skonfigurować uwierzytelnianie 802.1X, należy wykonać następujące czynności.

• Skonfiguruj pozostałe składniki, zanim włączysz w telefonie uwierzytelnianie 802.1X.

• Skonfiguruj port komputera: W standardzie 802.1X nie uwzględniono sieci VLAN, więc zaleca się uwierzytelnianie tylko jednego urządzenia na każdym porcie przełącznika. Niektóre przełączniki obsługują jednak uwierzytelnianie w wielu domenach. Konfiguracja przełącznika określa, czy do portu komputera w telefonie można podłączyć komputer.

  • Włączone: Jeśli korzystasz z przełącznika, który obsługuje uwierzytelnianie w wielu domenach, możesz włączyć port komputera i podłączyć do niego komputer. W takim przypadku telefony IP Cisco obsługują zastępcze wylogowanie w ramach protokołu EAPOL, aby monitorować wymianę komunikatów dotyczących uwierzytelniania między przełącznikiem a podłączonym komputerem.

    Więcej informacji o zgodności przełączników Cisco Catalyst ze standardem IEEE 802.1X można znaleźć w ich podręcznikach konfiguracji pod adresem:

    http://www.cisco.com/pl/PL/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Wyłączone: Jeśli przełącznik nie obsługuje na tym samym porcie wielu urządzeń zgodnych ze standardem 802.1X, po włączeniu uwierzytelniania 802.1X wyłącz port komputera. Jeśli nie wyłączysz tego portu, a następnie spróbujesz podłączyć do niego komputer, przełącznik odmawia dostępu do sieci zarówno do telefonu, jak i do komputera.

• Konfigurowanie głosowej sieci VLAN: Ponieważ w standardzie 802.1X nie uwzględniono sieci VLAN, skonfiguruj to ustawienie zgodnie z obsługą przełącznika.
  • Włączone: Jeśli korzystasz z przełącznika, który obsługuje uwierzytelnianie w wielu domenach, możesz kontynuować korzystanie z sieci VLAN komunikacji głosowej.
  • Wyłączone: Jeśli przełącznik nie obsługuje uwierzytelniania w wielu domenach, wyłącz opcję VLAN głosowy i rozważ przypisanie portu macierzystej sieci VLAN.
• (tylko dla telefonów Cisco Desk Phone z serii 9800)

  Telefon biurkowy Cisco z serii 9800 ma w identyfikatorze inny prefiks niż w pozostałych telefonach Cisco. Aby włączyć w telefonie uwierzytelnianie 802.1X, ustaw parametr Radius·Nazwa użytkownika tak, aby dołączał do niego telefon biurkowy Cisco z serii 9800.

  Na przykład identyfikator PID telefonu 9841 to DP-9841; można ustawić wartość Radius·Nazwa użytkownika na Rozpocznij od DP lub Zawiera DP. Można go skonfigurować w obu następujących sekcjach:

  • Zasady > Warunki > Warunki biblioteki

  • Zasady > Zestawy zasad > Zasady autoryzacji > Reguła autoryzacji 1

Wszystkie urządzenia sieci WLAN znajdujące się w zasięgu mogą odbierać wszystkie dane przesyłane w sieci, dlatego zapewnienie bezpieczeństwa komunikacji głosowej ma krytyczne znaczenie dla sieci WLAN. Aby uniemożliwić intruzom modyfikowanie i przechwytywanie danych głosowych, telefon obsługuje architektura Cisco SAFE Security. Więcej informacji o zabezpieczeniach w sieciach można znaleźć na stronie http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Rozwiązania telefonii bezprzewodowej stosowane w telefonach IP Cisco zabezpieczają sieć, uniemożliwiając nieupoważnione logowanie i naruszenie bezpieczeństwa komunikacji, dzięki użyciu następujących metod uwierzytelniania obsługiwanych przez telefon:

• Otwórz uwierzytelnianie: Każde urządzenie bezprzewodowe może zażądać uwierzytelnienia w systemie otwartym. Punkt dostępu, który odbiera żądanie, może udzielić uwierzytelniania dowolnemu żądającemu lub tylko tym żądającym, którzy znajdują się na liście użytkowników. Komunikacja między urządzeniem bezprzewodowym a punktem dostępowym (AP) może być nieszyfrowana.

• Uwierzytelnianie Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST): Ta architektura zabezpieczeń klient-serwer szyfruje transakcje protokołu EAP w tunelu TLS (Transport Level Security) między punktem dostępu a serwerem RADIUS, takim jak mechanizm usług tożsamości (ISE).

  Tunel TLS do uwierzytelniania między klientem (telefonem) a serwerem RADIUS używa protokołu PACs (Protected Access Credentials). Serwer wysyła do klienta (telefonu) identyfikator uwierzytelnienia (AID), który z kolei wybiera odpowiedni klucz PAC. Klient (telefon) zwraca komunikat PAC-Opaque do serwera RADIUS. Serwer odszyfrowuje klucz PAC za pomocą klucza głównego. Oba punkty końcowe zawierają teraz klucz PAC, co powoduje utworzenie tunelu TLS. Protokół EAP-FAST obsługuje automatyczne inicjowanie obsługi kluczy PAC, ale tę funkcję należy włączyć na serwerze RADIUS.

  W przypadku ISE klucz PAC wygasa w ciągu tygodnia. Jeśli klucz PAC w telefonie jest nieważny, uwierzytelnianie z serwerem RADIUS trwa dłużej, gdy telefon pobiera nowy klucz PAC. Aby uniknąć opóźnień związanych z dostarczaniem klucza PAC, na serwerze ISE lub RADIUS ustaw okres ważności klucza PAC na 90 dni lub dłużej.

• Uwierzytelnianie przy użyciu protokołu EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): Protokół EAP-TLS wymaga certyfikatu klienta do uwierzytelniania i dostępu do sieci. W przypadku bezprzewodowego protokołu EAP-TLS certyfikatem klienta może być certyfikat MIC, LSC lub certyfikat zainstalowany przez użytkownika.

• Protected Extensible Authentication Protocol (PEAP): Opracowany przez firmę Cisco schemat wzajemnego uwierzytelniania opartego na haśle między klientem (telefonem) a serwerem RADIUS. Telefon może używać protokołu PEAP do uwierzytelniania w sieci bezprzewodowej. Obsługiwane są metody uwierzytelniania PEAP-MSCHAPV2 i PEAP-GTC.

• Klucz wstępny (PSK): Telefon obsługuje format ASCII. Podczas konfigurowania klucza wstępnego WPA/WPA2/SAE należy użyć tego formatu:

  ASCII: ciąg znaków ASCII o długości od 8 do 63 znaków (0–9, małe i wielkie litery A–Z oraz znaki specjalne)

  Przykład: Greg123567@9ZX&W