W tym artykule
Obsługiwane funkcje zabezpieczeń
dropdown icon
Zabezpieczenia połączeń telefonicznych
    Identyfikacja bezpiecznego połączenia konferencyjnego
    Identyfikacja zabezpieczonych połączeń telefonicznych
    Zapewnianie szyfrowania dla wtrącania
dropdown icon
Zabezpieczenia bezprzewodowej sieci LAN
    Konfigurowanie profilu Wi-Fi
    Instalowanie certyfikatu użytkownika ze strony WWW administrowania telefonem
    Instalowanie urzędu certyfikacji serwera uwierzytelniania ze strony WWW administrowania telefonem
    Ręczne usuwanie certyfikatu zabezpieczeń ze strony WWW administrowania telefonem
    Konfiguracja protokołu SCEP
Konfigurowanie certyfikatu obowiązującego lokalnie (LSC)
dropdown icon
Uwierzytelnianie 802.1X w sieciach przewodowych
    Włączanie uwierzytelniania 802.1X dla sieci przewodowych w telefonie
    Włącz uwierzytelnianie 802.1X dla sieci przewodowych w Cisco Unified Communications Manager Administration
    Menu ustawień zabezpieczeń w telefonie
Skonfiguruj obsługiwane wersje TLS
TURN wyłącz zestaw głośnomówiący i zestaw słuchawkowy Cisco Telefon bezprzewodowy 9821
Cisco Bezpieczeństwo telefonu bezprzewodowego 9821 (Unified CM)
list-menuW tym artykule
list-menuOpinia?

Ten artykuł Pomocy dotyczy Cisco telefonu bezprzewodowego 9821 zarejestrowanego jako Cisco Unified Communications Manager (Unified CM).

Funkcję Cisco Unified Communications Manager (Unified CM) można włączyć do pracy w środowisku o zwiększonych zabezpieczeniach. Dzięki tym zabezpieczeniom sieć telefoniczna może działać zgodnie z zestawem ścisłych zasad zarządzania ryzykiem, używając formantów zarządzania ryzykiem chroniących Ciebie i Twoich użytkowników.

Środowisko pracy o zwiększonych zabezpieczeniach obejmuje następujące funkcje:

  • Uwierzytelnianie kontaktów społecznościowych

  • TCP jako domyślny protokół zdalnego rejestrowania inspekcji

  • Ulepszone zasady poświadczeń

  • Obsługa rodziny skrótów SHA-2 dla podpisów cyfrowych

  • Obsługa klucza RSA o rozmiarze do 4096 bitów

W Cisco Unified CM wersji 14.0 lub nowszej telefony obsługują uwierzytelnianie OAuth SIP.

Protokół OAuth jest obsługiwany przez protokół TFTP (Proxy Trivial File Transfer Protocol) z Cisco Unified CM wydanie 14.0 (1) SU1 lub nowsze.

Aby uzyskać dodatkowe informacje na temat zabezpieczeń, zobacz następujące przewodniki:

W telefonie można przechowywać ograniczoną liczbę plików ITL (Identity Trust List). Pliki ITL nie mogą przekraczać 64K na telefonie, więc ogranicz liczbę plików, które Cisco Unified CM wysyła do telefonu.

Obsługiwane funkcje zabezpieczeń

Funkcje zabezpieczeń chronią przed zagrożeniami, w tym zagrożeniami dotyczącymi tożsamości telefonu i danych. Te funkcje zakładają i utrzymują uwierzytelnione strumienie komunikacyjne pomiędzy telefonem a serwerem Cisco Unified Communications Manager oraz gwarantują, że telefon korzysta tylko z cyfrowo podpisanych plików.

Program Cisco Unified Communications Manager w wersji 8.5(1) lub nowszej ma domyślnie włączone wszystkie ustawienia zabezpieczeń, co zapewnia działanie następujących funkcji zabezpieczeń telefonów IP Cisco bez konieczności uruchamiania klienta CTL:

  • Podpisywanie plików konfiguracyjnych telefonu

  • Szyfrowanie pliku konfiguracyjnego telefonu

  • HTTPS z Tomcat i inne usługi sieci Web

Bezpieczne przekazywanie sygnału i funkcje multimedialne wciąż wymagają uruchomienia klienta CTL i użycia sprzętowych eTokenów.

Zaimplementowanie zabezpieczeń w systemie Cisco Unified Communications Manager uniemożliwi wykradanie tożsamości z telefonu i serwera Cisco Unified Communications Manager, zapobiegnie manipulowaniu danymi oraz uniemożliwi manipulowanie sygnałami połączeń i strumieniami mediów.

Aby zredukować te zagrożenia, w sieci telefonii IP firmy Cisco są ustanawiane i utrzymywane bezpieczne (szyfrowane) strumienie komunikacyjne między telefonem a serwerem, pliki są cyfrowo podpisywane przed wysłaniem do telefonu a strumienie mediów i sygnały połączeń między telefonami IP Cisco są szyfrowane.

Po wykonaniu wymaganych zadań związanych z Funkcją pełnomocnictw certyfikatu na telefonach zostanie zainstalowany Certyfikat znaczenia lokalnego (LSC, Locally Significant Certificate). Za pomocą Cisco Unified Communications Manager Administration można skonfigurować LSC zgodnie z opisem w Przewodniku po zabezpieczeniachCisco Unified Communications Manager. Alternatywnie możesz zainicjować instalację LSC z menu Zabezpieczenia w telefonie. Za pośrednictwem tego menu można również zaktualizować lub usunąć certyfikat LSC.

Telefony wykorzystują profil bezpieczeństwa telefonu, który określa, czy urządzenie jest niezabezpieczone, czy zabezpieczone. Więcej informacji na temat stosowania profilu zabezpieczenia w telefonie można znaleźć w dokumentacji używanej wersji programu Cisco Unified Communications Manager.

Jeśli w aplikacji Cisco Unified Communications Manager — administracja zostaną skonfigurowane ustawienia związane z bezpieczeństwem, plik konfiguracyjny telefonu będzie zawierać poufne informacje. W celu zapewnienia prywatności pliku konfiguracyjnego należy włączyć dla niego opcję szyfrowania danych. Szczegółowe informacje na ten temat można znaleźć w dokumentacji używanej wersji programu Cisco Unified Communications Manager.

Poniższa tabela zawiera przegląd funkcji zabezpieczeń obsługiwanych przez te telefony. Więcej informacji na ten temat można znaleźć w dokumentacji używanej wersji programu Cisco Unified Communications Manager.

Tabela 1. Przegląd funkcji zabezpieczeń

Funkcja

Opis

Uwierzytelnianie obrazów

Podpisane pliki binarne uniemożliwiają manipulowanie obrazem oprogramowania sprzętowego przed wczytaniem go do telefonu.

Zmanipulowanie obrazu spowoduje niepowodzenie procesu uwierzytelniania i odrzucenie przez telefon nowego obrazu.

Instalacja certyfikatu w siedzibie klienta

Uwierzytelnianie urządzenia wymaga, aby każdy telefon IP Cisco miał niepowtarzalny certyfikat. Telefony zawierają certyfikat instalowany fabrycznie (manufacturing installed certificate, MIC), ale w celu zapewnienia dodatkowego bezpieczeństwa można wybrać w aplikacji Cisco Unified Communications Manager — administracja instalowanie certyfikatu za pomocą funkcji pełnomocnictw certyfikatu (Certificate Authority Proxy Function, CAPF). Alternatywnie możesz zainstalować Locally Significant Certificate (LSC) z menu Zabezpieczenia w telefonie.

Uwierzytelnianie urządzenia

Zachodzi między serwerem Cisco Unified Communications Manager a telefonem, gdy każda ze stron akceptuje certyfikat drugiej strony. Zależy od tego, czy telefon może nawiązać bezpieczne połączenie z serwerem Cisco Unified Communications Manager. W razie potrzeby między obiema stronami tworzona jest zabezpieczona ścieżka sygnalizacyjna z użyciem protokołu TLS. Program Cisco Unified Communications Manager rejestruje telefony tylko wtedy, gdy może je uwierzytelnić.

Uwierzytelnianie plików

Służy do weryfikowania podpisanych cyfrowo plików, które pobiera telefon. Telefon sprawdza podpis, aby wykluczyć zmanipulowanie pliku po jego utworzeniu. Pliki, które nie przejdą uwierzytelniania, nie są zapisywane w pamięci flash telefonu. Telefon odrzuca takie pliki bez dalszego przetwarzania.

Szyfrowanie plików

Szyfrowanie zapobiega ujawnianiu poufnych informacji w trakcie przesyłania pliku do telefonu. Ponadto telefon sprawdza podpis, aby wykluczyć zmanipulowanie pliku po jego utworzeniu. Pliki, które nie przejdą uwierzytelniania, nie są zapisywane w pamięci flash telefonu. Telefon odrzuca takie pliki bez dalszego przetwarzania.

Uwierzytelnianie sygnalizowania

Protokół TLS jest wykorzystywany do weryfikacji, czy nie zmanipulowano przesyłanych pakietów sygnalizacyjnych.

Certyfikat instalowany fabrycznie

Każdy telefon IP Cisco IP zawiera niepowtarzalny certyfikat instalowany fabrycznie, który służy do uwierzytelniania urządzenia. Certyfikat MIC to trwały, unikatowy dowód tożsamości telefonu, umożliwiający jego uwierzytelnianie w programie Cisco Unified Communications Manager.

Szyfrowanie mediów

Funkcja ta korzysta z protokołu SRTP do weryfikowania bezpieczeństwa strumieni mediów między obsługiwanymi urządzeniami oraz do zagwarantowania, że dane może odebrać i odczytać tylko urządzenie, dla którego zostały przeznaczone. Proces ten obejmuje utworzenie dla urządzeń pary głównych kluczy mediów oraz bezpieczne dostarczenie kluczy do urządzeń.

Funkcja pełnomocnictw certyfikatu (ang. Certificate Authority Proxy Function, CAPF)

Realizuje elementy procedury generowania certyfikatu, które są zbyt obciążające dla telefonu, oraz komunikuje się z nim podczas generowania kluczy i instalowania certyfikatów. Funkcję CAPF można skonfigurować w taki sposób, aby w imieniu telefonu pobierała certyfikaty z urzędów certyfikacji wskazanych przez klienta lub generowała certyfikaty lokalnie.

Obsługiwane są zarówno typy kluczy EC (krzywa eliptyczna), jak i RSA. Aby użyć klucza EC, upewnij się, że parametr "Obsługa zaawansowanych algorytmów szyfrowania punktów końcowych" (z parametru System >Enterprise) jest włączony.

Aby uzyskać więcej informacji na temat CAPF i pokrewnych konfiguracji, zobacz następujące dokumenty:

Profil zabezpieczenia

Określa, czy telefon jest niezabezpieczony, uwierzytelniony, szyfrowany, czy chroniony. Pozostałe wpisy w tej tabeli opisują funkcje zabezpieczeń.

Szyfrowane pliki konfiguracyjne

Funkcja umożliwiająca zapewnienie poufności plików konfiguracyjnych telefonu.

Opcjonalne wyłączanie serwera WWW w telefonie

Ze względów bezpieczeństwa można zablokować dostęp do stron WWW telefonu (na których są wyświetlane różne statystyki pracy telefonu) i Portalu samoobsługowego.

Zwiększanie bezpieczeństwa telefonu

Dodatkowe opcje zabezpieczeń konfigurowane za pomocą aplikacji Cisco Unified Communications Manager — administracja:

  • Wyłączenie protokołu Gratuitous ARP (GARP)
  • Wyłączenie dostępu do menu ustawień lub zapewnienie ograniczonego dostępu
  • Wyłączanie dostępu do administracyjnych stron WWW telefonu
  • Wyłączenie portu akcesoriów Bluetooth
  • Ograniczanie szyfrów TLS

Bezpieczne przełączanie awaryjne w protokole SIP dla trybu SRST

Po skonfigurowaniu referencji trybu SRST (Survivable Remote Site Telephony) na potrzeby zabezpieczeń, a następnie wyzerowaniu zależnych od niej urządzeń w aplikacji Cisco Unified Communications Manager — administracja serwer TFTP dodaje certyfikat trybu SRST do pliku cnf.xml i wysyła go do telefonu. Zabezpieczony telefon używa później połączenia TLS do komunikacji z routerem zgodnym z trybem SRST.

Szyfrowanie sygnalizowania

Zapewnia, że wszystkie komunikaty sygnalizacyjne SIP wysyłane między urządzeniem a serwerem programu Cisco Unified Communications Manager są szyfrowane.

Alarm o aktualizacji listy zaufanych

Po aktualizacji listy zaufanych w telefonie program Cisco Unified Communications Manager odbiera alarm informujący o powodzeniu lub niepowodzeniu aktualizacji. Poniższa tabela zawiera dodatkowe informacje.

Szyfrowanie AES 256

Po nawiązaniu połączenia z programem Cisco Unified Communications Manager w wersji 10.5(2) lub nowszej telefony obsługują szyfrowanie AES 256 w przypadku szyfrowania sygnalizacji i mediów w ramach protokołów TLS i SIP. Umożliwia to telefonom inicjowanie i obsługę połączeń TLS 1.2 z użyciem szyfrów opartych na AES 256, które są zgodne ze standardami SHA-2 (ang. Secure Hash Algorithm, bezpieczny algorytm wyznaczania wartości skrótu) i FIPS (Federal Information Processing Standards, federalne standardy przetwarzania informacji). Dostępne są następujące szyfry:

  • W przypadku połączeń TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • W przypadku połączeń sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Więcej wiadomości na ten temat można znaleźć w dokumentacji programu Cisco Unified Communications Manager.

Certyfikaty ECDSA (Elliptic Curve Digital Signature Algorithm)

W ramach certyfikacji Common Criteria (CC) do systemu Cisco Unified Communications Manager dodano certyfikaty ECDSA w wersji 11.0. Dotyczy to wszystkich produktów systemu Voice Operating System (VOS) w wersji CUCM 11.5 i nowszych wersjach.

Wieloserwerowy (SAN) Certyfikat Tomcat z Cisco UCM

Telefon obsługuje Cisco UCM ze skonfigurowanymi certyfikatami wieloserwerowymi (SAN) Tomcat. Prawidłowy adres serwera TFTP można znaleźć w pliku ITL telefonu do rejestracji telefonu.

Aby uzyskać więcej informacji na temat tej funkcji, zobacz:

Poniższa tabela zawiera komunikaty alarmowe o aktualizacji listy zaufanych i wyjaśnienie ich znaczenia. Więcej wiadomości na ten temat można znaleźć w dokumentacji programu Cisco Unified Communications Manager.

Tabela 2. Komunikaty alarmowe o aktualizacji listy zaufanych
Kod i komunikat Opis

1 — TL_SUCCESS

Odebrano nowy plik CTL i/lub ITL

2 — CTL_INITIAL_SUCCESS

Odebrano nowy plik CTL, nie istnieje lista zaufanych

3 — ITL_INITIAL_SUCCESS

Odebrano nowy plik ITL, nie istnieje lista zaufanych

4 — TL_INITIAL_SUCCESS

Odebrano nowe pliki CTL i ITL, nie istnieje lista zaufanych

5 — TL_FAILED_OLD_CTL

Aktualizacja do nowego pliku CTL nie powiodła się, ale istnieje poprzednia lista zaufanych

6 — TL_FAILED_NO_TL

Aktualizacja do nowej listy zaufanych nie powiodła się i nie istnieje stara lista zaufanych

7 — TL_FAILED

Błąd ogólny

8 — TL_FAILED_OLD_ITL

Aktualizacja do nowego pliku ITL nie powiodła się, ale istnieje poprzednia lista zaufanych

9 — TL_FAILED_OLD_TL

Aktualizacja do nowej listy zaufanych nie powiodła się, ale istnieje poprzednia lista zaufanych

Zabezpieczenia połączeń telefonicznych

Gdy w telefonie zastosowane są zabezpieczenia, zabezpieczone połączenia telefoniczne można rozpoznać po ikonach na jego ekranie. Jeśli ponadto na początku połączenia odtwarzany jest sygnał dźwiękowy zabezpieczeń, wskazuje to, że połączony telefon jest zabezpieczony i chroniony.

W ramach połączenia zabezpieczonego wszystkie sygnały połączenia i strumienie mediów są szyfrowane. Połączenie zabezpieczone zapewnia wysoki poziom bezpieczeństwa, gwarantując brak zafałszowań i poufność rozmowy. Gdy trwające połączenie jest szyfrowane, widoczna jest ikona zabezpieczenia Ikona połączenia bezpiecznego 9821 Na linii.

  • Jeśli połączenie jest trasowane za pośrednictwem dróg połączeń leżących poza siecią IP, np. poprzez publiczną komutowaną sieć telefoniczną, może ono być niezabezpieczone mimo że jest szyfrowane w obrębie sieci IP i oznaczone ikoną z kłódką.

  • Połączenia zabezpieczone są obsługiwane tylko między dwoma telefonami. Po skonfigurowaniu połączeń zabezpieczonych niektóre funkcje, np. połączenia konferencyjne i linie wspólne, są niedostępne.

W Cisco Unified Communications Manager telefonom skonfigurowanym jako bezpieczne (zaszyfrowane i zaufane) można przypisać status chroniony. Po zabezpieczeniu urządzenia te można skonfigurować tak, aby odtwarzały sygnał dźwiękowy zabezpieczeń na początku każdego połączenia.

  • Chronione urządzenie:

    Aby zmienić stan zabezpieczonego telefonu na chroniony:

    1. W Cisco Unified Communications Manager Administration wybierz Device > Phone.
    2. Znajdź telefon, który chcesz skonfigurować.
    3. W oknie Konfiguracja telefonu zaznacz pole wyboru Protected Device (Chronione urządzenie ).
    4. Kliknij przycisk Zapisz.
  • Play Secure Indication Tone:

    Aby włączyć w chronionym telefonie odtwarzanie dźwięku wskazania zabezpieczonego lub niezabezpieczonego:

    1. W Cisco Unified Communications Manager Administration wybierz System > Service Parameters.
    2. Wybierz serwer, a następnie usługę Cisco CallManager .
    3. W obszarze Parametry całego klastra (funkcja — Sygnał dźwiękowy zabezpieczeń) ustaw dla opcji Sygnał odtwarzania wskazujący stan połączenia zabezpieczonego/niezabezpieczonego na wartość Prawda.
    4. Kliknij przycisk Zapisz.

Identyfikacja bezpiecznego połączenia konferencyjnego

Można zainicjować zabezpieczone połączenie konferencyjne i monitorować poziom bezpieczeństwa jego uczestników. Procedura nawiązywania zabezpieczonego połączenia konferencyjnego:

  1. Użytkownik inicjuje konferencję za pomocą zabezpieczonego telefonu.

  2. Program Cisco Unified Communications Manager przypisuje połączeniu zabezpieczony mostek konferencyjny.

  3. W miarę dodawania uczestników program Cisco Unified Communications Manager weryfikuje tryb zabezpieczeń każdego telefonu, utrzymując poziom bezpieczeństwa konferencji.

  4. Telefon wyświetla poziom bezpieczeństwa połączenia konferencyjnego. Bezpieczna konferencja wyświetla ikonę bezpieczeństwa Ikona połączenia bezpiecznego 9821.

Połączenia zabezpieczone są obsługiwane tylko między dwoma telefonami. W przypadku chronionych telefonów niektóre funkcje, np. połączenia konferencyjne, linie wspólne i funkcja Extension Mobility, są niedostępne po skonfigurowaniu połączeń zabezpieczonych.

W poniższej tabeli podano informacje o zmianach poziomu bezpieczeństwa konferencji w zależności od poziomu bezpieczeństwa telefonu jej inicjatora, poziomów bezpieczeństwa uczestników i dostępności zabezpieczonych mostków konferencyjnych.

Tabela 3. Ograniczenia zabezpieczeń w przypadku połączeń konferencyjnych

Poziom bezpieczeństwa telefonu inicjatora

Używana funkcja

Poziom bezpieczeństwa uczestników

Efekty działania

Niezabezpieczony

Połączenie konferencyjne

Secure

Niezabezpieczony mostek konferencyjny

Niezabezpieczona konferencja

Secure

Połączenie konferencyjne

Co najmniej jeden członek konferencji jest niezabezpieczony.

Zabezpieczony mostek konferencyjny

Niezabezpieczona konferencja

Secure

Połączenie konferencyjne

Secure

Zabezpieczony mostek konferencyjny

Konferencja zabezpieczona i szyfrowana

Niezabezpieczony

Meet Me

Minimalny poziom bezpieczeństwa to szyfrowany.

Inicjator otrzymuje sygnał zmiany kolejności.

Secure

Meet Me

Minimalny poziom bezpieczeństwa to niezabezpieczony.

Zabezpieczony mostek konferencyjny

Konferencja jest otwarta na wszystkie połączenia.

Identyfikacja zabezpieczonych połączeń telefonicznych

Połączenie zabezpieczone można nawiązać, gdy zarówno Twój telefon, jak i telefon rozmówcy jest skonfigurowany pod kątem obsługi takich połączeń. Telefon rozmówcy może należeć do tej samej sieci Cisco IP lub do innej sieci. Połączenia zabezpieczone można nawiązywać tylko między dwoma telefonami. Bezpieczne połączenia konferencyjne można nawiązywać po skonfigurowaniu zabezpieczonego mostka konferencyjnego.

Procedura nawiązywania połączenia zabezpieczonego:

  1. Użytkownik inicjuje połączenie za pomocą zabezpieczonego telefonu (działającego w trybie bezpiecznym).

  2. Na telefonie zostanie wyświetlona ikona zabezpieczeń Ikona połączenia bezpiecznego 9821 Na ekranie telefonu. Wskazuje ona, że telefon jest skonfigurowany pod kątem obsługi połączeń zabezpieczonych, ale nie oznacza, że telefon rozmówcy również działa w trybie bezpiecznym.

  3. Jeśli użytkownik połączy się z innym zabezpieczonym telefonem, usłyszy sygnał dźwiękowy zabezpieczeń, który wskazuje, że rozmowa jest po obu stronach szyfrowana i zabezpieczona. Jeśli użytkownik połączy się z niezabezpieczonym telefonem, nie usłyszy sygnału dźwiękowego zabezpieczeń.

Połączenia zabezpieczone są obsługiwane tylko między dwoma telefonami. W przypadku chronionych telefonów niektóre funkcje, np. połączenia konferencyjne, linie wspólne i funkcja Extension Mobility, są niedostępne po skonfigurowaniu połączeń zabezpieczonych.

Sygnał dźwiękowy zabezpieczeń emitują tylko zabezpieczone telefony. Niezabezpieczone telefony nigdy nie emitują tego sygnału. Jeśli w trakcie połączenia zmieni się jego ogólny stan, dźwięk wskazania ulegnie zmianie i zabezpieczony telefon wyemituje odpowiedni sygnał.

Gdy opcja Play Tone (Sygnał odtwarzania wskazujący stan połączenia zabezpieczonego/niezabezpieczonego) jest ustawiona na wartość True:

  • Kiedy nawiązano kompleksowe połączenie zabezpieczone, a stan połączenia również wskazuje, że jest ono zabezpieczone, telefon emituje dźwięk wskazania zabezpieczeń (trzy długie sygnały dźwiękowe z przerwami).

  • Kiedy nawiązano kompleksowe połączenie niezabezpieczone, a stan połączenia również wskazuje, że jest ono niezabezpieczone, telefon emituje dźwięk wskazania braku zabezpieczeń (sześć krótkich sygnałów dźwiękowych z krótkimi przerwami).

Jeśli opcja Odtwórz sygnał wskazujący stan połączenia zabezpieczonego/niezabezpieczonego jest ustawiona na wartość Fałsz, dźwięk nie jest odtwarzany.

Zapewnianie szyfrowania dla wtrącania

Program Cisco Unified Communications Manager sprawdza stan zabezpieczeń telefonu podczas tworzenia konferencji, po czym zmienia wskazania zabezpieczeń konferencji lub blokuje ukończenie połączenia w celu zachowania integralności i bezpieczeństwa systemu.

Użytkownik nie można dokonać wtrącenia w przypadku zaszyfrowanego połączenia, jeśli telefon, który służy do wtrącenia, nie jest skonfigurowany do pracy z szyfrowaniem. Jeśli w takim przypadku wtrącenie nie powiedzie się, na telefonie inicjującym wtrącenie zostanie odtworzony sygnał zmiany ustawień (szybki sygnał zajętości).

Jeśli telefon inicjatora jest skonfigurowany do pracy z szyfrowaniem, inicjator wtrącenia może wtrącić się do niezabezpieczonego połączenia z szyfrowanego telefonu. Po wtrąceniu program Cisco Unified Communications Manager klasyfikuje takie połączenie jako niezabezpieczone.

Jeśli telefon inicjatora jest skonfigurowany do pracy z szyfrowaniem, inicjator wtrącenia może wtrącić się w zaszyfrowane połączenie, a telefon wskaże, że połączenie jest szyfrowane.

Zabezpieczenia bezprzewodowej sieci LAN

Wszystkie urządzenia sieci WLAN znajdujące się w zasięgu mogą odbierać wszystkie dane przesyłane w sieci, dlatego zapewnienie bezpieczeństwa komunikacji głosowej ma krytyczne znaczenie dla sieci WLAN. Aby zapewnić, że intruzi nie manipulują ani nie przechwytują ruchu głosowego, architektura Cisco SAFE Security obsługuje telefon. Aby uzyskać więcej informacji o zabezpieczeniach sieci, zobacz http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Rozwiązanie telefoniczne Cisco Wireless IP zapewnia bezpieczeństwo sieci bezprzewodowej, które zapobiega nieautoryzowanym logowaniom i zakłóceniom komunikacji przy użyciu następujących metod uwierzytelniania obsługiwanych przez telefon.

  • Otwarte uwierzytelnianie: dowolne urządzenie może zażądać uwierzytelnienia w systemie otwartym. Punkt dostępu, który odbiera żądanie, może udzielić uwierzytelniania dowolnemu żądającemu lub tylko tym żądającym, którzy znajdują się na liście użytkowników. Komunikacja między urządzeniem bezprzewodowym a punktem dostępowym (AP) może być nieszyfrowana.

  • Uwierzytelnianie elastyczne w protokole uwierzytelniania rozszerzonego za pomocą bezpiecznego tunelowania (EAP-FAST): Ta architektura zabezpieczeń klient-serwer szyfruje transakcje EAP w tunelu Transport Level Security (TLS) między punktem dostępu a serwerem RADIUS, takim jak aparat usług tożsamości (ISE).

    Tunel TLS do uwierzytelniania między klientem (telefonem) a serwerem RADIUS używa protokołu PACs (Protected Access Credentials). Serwer wysyła do klienta (telefonu) identyfikator uwierzytelnienia (AID), który z kolei wybiera odpowiedni klucz PAC. Klient (telefon) zwraca wiadomość PAC-Opaque do serwera RADIUS. Serwer odszyfrowuje klucz PAC za pomocą klucza głównego. Oba punkty końcowe mają teraz klucz PAC, co umożliwia utworzenie tunelu TLS. Protokół EAP-FAST obsługuje automatyczne dostarczanie kluczy PAC, ale tę funkcję należy włączyć na serwerze RADIUS.

    W ISE domyślnie PAC wygasa za tydzień. Jeśli klucz PAC w telefonie jest nieważny, uwierzytelnianie z serwerem RADIUS trwa dłużej, gdy telefon pobiera nowy klucz PAC. Aby uniknąć opóźnień związanych z dostarczaniem klucza PAC, na serwerze ISE lub RADIUS ustaw okres ważności klucza PAC na 90 dni lub dłużej.

  • Uwierzytelnianie przy użyciu protokołu EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): protokół EAP-TLS wymaga certyfikatu klienta do uwierzytelniania i dostępu do sieci. W przypadku sieci bezprzewodowej EAP-TLS certyfikat klienta może być certyfikatem MIC, LSC, lub certyfikatem zainstalowanym przez użytkownika.

  • Protokół PEAP (Protected Extensible Authentication Protocol): opracowany przez firmę Cisco protokół uwierzytelniania wzajemnego w oparciu o hasło między klientem (telefonem) a serwerem RADIUS. Telefon może używać PEAP do uwierzytelniania w sieci bezprzewodowej. Obsługiwane są metody uwierzytelniania PEAP-MSCHAPV2 i PEAP-GTC.

  • Klucz wstępny (PSK): telefon obsługuje formaty ASCII i szesnastkowe (HEX). Tych formatów należy użyć podczas konfigurowania klucza wstępnego WPA2/SAE.

    ASCII: Ciąg znaków ASCII o długości od 8 do 63 znaków (0-9, małe litery a-z, wielkie litery A-Z i znaki specjalne). Na przykład GREG123567@9ZX&W.

    HEX: Ciąg znaków HEX z 64 cyframi szesnastkowymi (0-9, a-f lub A-F).

Następujące systemy uwierzytelnianie korzystają z serwera RADIUS do zarządzania kluczami uwierzytelniania:

  • WPA2/WPA3: używa informacji serwera RADIUS do generowania unikatowych kluczy uwierzytelniania. Ponieważ klucze te są generowane na centralnym serwerze RADIUS, protokół WPA2/WPA3 zapewnia większe bezpieczeństwo w porównaniu z metodą WPA używającą wstępnych kluczy przechowywanych w punkcie dostępu w telefonie.

  • Szybki i bezpieczny roaming: używa informacji serwera RADIUS i serwera domeny bezprzewodowej do zarządzania kluczami i ich uwierzytelniania. Usługi wdrażania systemu Windows tworzą pamięć podręczną poświadczeń zabezpieczeń dla urządzeń klienckich z obsługą FT w celu szybkiego i bezpiecznego ponownego uwierzytelnienia.

W przypadku WPA2/WPA3 klucze szyfrowania nie są wprowadzane w telefonie, ale są automatycznie pobierane między punktem dostępu a telefonem. Jednak nazwę użytkownika i hasło EAP, które są używane do uwierzytelniania, należy wprowadzić w każdym telefonie.

Aby chronić ruch głosowy za pośrednictwem łącza bezprzewodowego, telefon obsługuje szyfrowanie oparte na AES dla uwierzytelniania WPA2/WPA3. AES jest symetrycznym szyfrem blokowym standaryzowanym przez NIST. AES używa stałego 128-bitowego rozmiaru bloku i obsługuje klucze o rozmiarach 128 bitów, 192 bitów i 256 bitów. W sieciach Wi-Fi AES jest używany przez zestawy szyfrów, takie jak CCMP lub GCMP, podczas gdy uwierzytelnianie jest dostarczane oddzielnie przez PSK, SAE lub 802.1X/EAP, w zależności od skonfigurowanego trybu zabezpieczeń WLAN. Obsługiwany zestaw szyfrów i rozmiar klucza zależą od modelu telefonu i konfiguracji WLAN.

Gdy telefon używa szyfrowania AES, zarówno pakiety sygnalizacyjne SIP, jak i pakiety głosowe protokołu transportu w czasie rzeczywistym (RTP) są szyfrowane między punktem dostępu a telefonem.

Systemy uwierzytelniania i szyfrowania są konfigurowane w bezprzewodowej sieci LAN. W sieci bezprzewodowej i w punktach dostępu są konfigurowane sieci VLAN, dla których są wybierane różne kombinacje metod uwierzytelniania i szyfrowania. Identyfikator SSID skojarzony z siecią VLAN i określonym schematem uwierzytelniania i szyfrowania. Aby bezprzewodowe urządzenia klienckie mogły się pomyślnie uwierzytelnić, należy skonfigurować te same identyfikatory SSID wraz z ich schematami uwierzytelniania i szyfrowania w punktach dostępu i w telefonie.

Niektóre systemy uwierzytelniania wymagają określonych typów szyfrowania.

W przypadku korzystania z klucza wstępnego WPA2 (SAE) klucz wstępny musi być statycznie ustawiony w telefonie. Te klucze muszą odpowiadać kluczom znajdującym się w punkcie dostępu.

Schematy uwierzytelniania i szyfrowania w poniższej tabeli przedstawiają opcje konfiguracji sieci dla telefonu bezprzewodowego Cisco 9821 odpowiadającego konfiguracji punktu dostępu.

Tabela 4. Systemy uwierzytelniania i szyfrowania
Typ FSRUwierzytelnianiaZarządzanie kluczamiSzyfrowaniaChroniona ramka zarządzania (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNie
802.11r (FT)WPA3

SAE

FT-SAE

AESTak
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNie
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESTak
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNie
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESTak
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNie
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESTak
Inne niż FTApartament typu Suite-BWPA-EAP-SUITE-BGCMPTak
Inne niż FTApartament typu Suite-B-192WPA-EAP-SUITE-B-192GCMPTak

Konfigurowanie profilu Wi-Fi

Można skonfigurować profil Wi-Fi i przypisać go do Cisco Wireless Phone 9821. Profil ten zawiera parametry niezbędne do nawiązania przez telefon połączenia Wi-Fi, a następnie zarejestrowania go w Cisco Unified CM. Podczas tworzenia profilu Wi-Fi i korzystania z niego użytkownicy nie muszą konfigurować sieci bezprzewodowej dla poszczególnych telefonów.

Zalecamy używanie bezpiecznego profilu z włączonym szyfrowaniem TFTP do ochrony kluczy i haseł podczas korzystania z profilu Wi-Fi.

Telefony obsługują jeden certyfikat serwera w każdej metodzie instalacji (ręcznie, SCEP lub TFTP).

Zanim skonfigurujesz profil WLAN, pamiętaj o poniższych wskazówkach:

  • Nazwa użytkownika i hasło

    • Jeśli do uwierzytelniania użytkownika sieć wykorzystuje protokoły EAP-FAST i PEAP, w razie potrzeby należy skonfigurować zarówno nazwę użytkownika, jak i hasło w usłudze RADIUS (Remote Authentication Dial-In User Service) i w telefonie.

    • Dane uwierzytelniające wprowadzone w profilu bezprzewodowej sieci LAN muszą być identyczne z danymi uwierzytelniającymi skonfigurowanymi na serwerze RADIUS.
    • Jeśli w sieci są używane domeny, należy wprowadzić nazwę użytkownika oraz nazwę domeny w formacie: domena\nazwa użytkownika.

  • W wyniku następujących czynności aktualne hasło Wi-Fi może zostać wyczyszczone:

    • Wprowadzenie niepoprawnego identyfikatora użytkownika lub hasła
    • Zainstalowanie nieprawidłowego lub wygasłego hasła głównego urzędu certyfikacji, jeśli typ protokołu EAP jest ustawiony na PEAP MSCHAPV2 lub PEAP-GTC
    • Wyłączenie używanego typu EAP na serwerze RADIUS przed przełączeniem telefonu na nowy typ EAP
  • Aby zmienić typ EAP, najpierw włącz nowy typ EAP na serwerze RADIUS, a następnie przełącz telefon na ten typ EAP. Po zmianie typu EAP na nowy we wszystkich telefonach można wyłączyć poprzedni typu EAP, jeśli zajdzie taka potrzeba.
1

W aplikacji Cisco Unified Communications Manager — administracja wybierz kolejno opcje Urządzenie > Ustawienia urządzenia > Profil bezprzewodowy LAN.

2

Kliknij opcję Dodaj nową.

3

W sekcji Informacje o profilu bezprzewodowej sieci LAN ustaw parametry:

  • Nazwa — wprowadź unikatową nazwę profilu sieci Wi-Fi. Ta nazwa jest wyświetlana na telefonie.

  • Opis — wprowadź opis profilu sieci Wi-Fi, aby ułatwić odróżnienie tego profilu od innych profili sieci Wi-Fi.

  • Użytkownik może modyfikować — wybierz opcję:

    • Dozwolone — wskazuje, że użytkownik może dokonywać zmian w ustawieniach sieci Wi-Fi ze swojego telefonu. Ta opcja jest wybrana domyślnie.

    • Niedozwolone — wskazuje, że użytkownik nie może dokonywać żadnych zmian w ustawieniach sieci Wi-Fi na swoim telefonie.

    • Ograniczone — wskazuje, że użytkownik może zmienić nazwę użytkownika sieci Wi-Fi oraz hasło na swoim telefonie. Jednak użytkownicy nie mogą na telefonie wprowadzać zmian innych ustawień sieci Wi-Fi. Jeśli w sieci jest używany znak EAP-TLS do uwierzytelniania użytkowników, użytkownik może wybrać typ certyfikatu (MIC, LSC lub Użytkownik zainstalowany).

4

W sekcji Ustawienia sieci bezprzewodowej ustaw parametry:

  • SSID (nazwa sieci) — wprowadź nazwę sieci dostępną w środowisku użytkownika, z którym telefon może się połączyć. Ta nazwa jest wyświetlana na liście dostępnych sieci na telefonie, a telefon może łączyć się z tą siecią bezprzewodową.

  • Pasmo częstotliwości — dostępne opcje to automatyczny, 2,4 GHz i 5 GHz. To pole określa pasmo częstotliwości używane w komunikacji bezprzewodowej. W przypadku wybrania opcji Automatycznie telefon spróbuje najpierw użyć pasma 5 GHz lub 6 GHz i będzie używać pasma 2,4 GHz tylko wtedy, gdy pasmo 5 GHz lub 6 GHz jest niedostępne.

5

W sekcji Ustawienia uwierzytelniania ustaw dla metody uwierzytelniania jedną z następujących metod uwierzytelniania: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK i None.

Cisco Telefon bezprzewodowy 9821 nie obsługuje WEP.

Po skonfigurowaniu tego pola mogą zostać wyświetlone inne pola wymagające ustawienia.

  • Certyfikat użytkownika — wymagane dla protokołu uwierzytelniania EAP-TLS. Wybierz # MIC, LSC lub Użytkownik zainstalowany. Telefon wymaga zainstalowania certyfikatu w sposób automatyczny z protokołu SCEP albo ręcznie z poziomu strony administrowania na telefonie.

  • Hasło PSK — wymagane w przypadku uwierzytelniania PSK. Wprowadź ciąg o długości 8–63 znaków ASCII lub hasło złożone z 64 znaków szesnastkowych.

  • Zapewnij wspólne poświadczenia: wymagane dla uwierzytelniania EAP-FAST, PEAP-MSCHAPv2 i PEAP-GTC.

    • Jeśli użytkownik zarządza nazwą użytkownika i hasłem, należy pozostawić pola Nazwa użytkownika i Hasło puste.

    • Jeśli wszyscy użytkownicy współdzielą taką samą nazwę użytkownika i hasło, można wprowadzić te dane w polach Nazwa użytkownika i Hasło.

    • Wprowadź opis w polu Opis hasła.

    Jeśli zachodzi potrzeba, aby każdemu użytkownikowi przypisać unikatową nazwę użytkownika i hasło, należy utworzyć profil dla każdego użytkownika.

Cisco Telefon bezprzewodowy 9821 nie obsługuje pola Network Access Profile ( Profil dostępu do sieci).

6

Kliknij przycisk Zapisz.

Następne czynności

Powiąż profil bezprzewodowej sieci LAN z grupą profili WLAN, a następnie zastosuj grupę profili WLAN do puli urządzeń (System>Pula urządzeń) lub bezpośrednio do telefonu ( Urządzenie >Telefon).

Instalowanie certyfikatu użytkownika ze strony WWW administrowania telefonem

Certyfikat użytkownika można zainstalować ręcznie w telefonie, jeśli protokół SCEP (Simple Certificate Enrollment Protocol) jest niedostępny.

Wstępnie zainstalowany Certyfikat instalowany fabrycznie (MIC, Manufacturing Installed Certififcate) może służyć jako certyfikat użytkownika dla protokołu EAP-TLS.

Po zainstalowaniu certyfikatu użytkownika należy dodać łańcuch urzędów certyfikacji, który wystawił certyfikat użytkownika, do listy zaufanych serwera usługi RADIUS.

Zanim rozpoczniesz

Zanim będzie można zainstalować certyfikat użytkownika dla telefonu, należy przygotować:

  • Certyfikat użytkownika zapisany na komputerze. Certyfikat musi być w formacie PKCS #12.

  • Hasło wyodrębniania certyfikatu. Długość hasła nie może przekraczać 32 znaków.

1

Na stronie WWW administrowania telefonem wybierz opcję Certyfikaty.

2

Znajdź pole Zainstalowane przez użytkownika i kliknij opcję Instaluj.

3

Przejdź do certyfikatu na swoim komputerze.

4

W polu Hasło wyodrębniania wprowadź hasła wyodrębniania certyfikatu.

5

Kliknij przycisk Prześlij.

6

Po zakończeniu przekazywania ponownie uruchom telefon.

Instalowanie urzędu certyfikacji serwera uwierzytelniania ze strony WWW administrowania telefonem

Jeśli protokół SCEP (Simple Certificate Enrollment Protocol) jest niedostępny, można ręcznie zainstalować w telefonie urząd certyfikacji serwera uwierzytelniania.

Należy zainstalować certyfikat głównego urzędu certyfikacji, który wystawił certyfikat serwera usługi RADIUS.

Zanim rozpoczniesz

Aby można było zainstalować certyfikat w telefonie, na komputerze musi być zapisany urząd certyfikacji serwera uwierzytelniania. Certyfikat musi być zakodowany w pliku PEM (Base-64) lub DER.

1

Na stronie WWW administrowania telefonem wybierz opcję Certyfikaty.

2

Znajdź pole Urząd certyfikacji serwera uwierzytelniania i kliknij polecenie Instaluj.

3

Przejdź do certyfikatu na swoim komputerze.

4

Kliknij przycisk Prześlij.

5

Po zakończeniu przekazywania ponownie uruchom telefon.

Ręczne usuwanie certyfikatu zabezpieczeń ze strony WWW administrowania telefonem

Jeśli protokół SCEP (Simple Certificate Enrollment Protocol) jest niedostępny, można ręcznie usunąć certyfikat zabezpieczeń z telefonu.

1

Na stronie WWW administrowania telefonem wybierz opcję Certyfikaty.

2

Znajdź certyfikat na stronie Certyfikaty.

3

Kliknij pozycję Usuń.

4

Uruchom ponownie telefon po zakończeniu procesu usuwania.

Konfiguracja protokołu SCEP

Protokół SCEP (Simple Certificate Enrollment Protocol) jest standardowym rozwiązaniem służącym do automatycznego dostarczania i odnawiania certyfikatów. Pozwala uniknąć ręcznej instalacji certyfikatów w telefonie.

Uaktywnianie parametrów konfiguracyjnych specyficznych dla produktu protokołu SCEP

Należy skonfigurować następujące parametry protokołu SCEP dla Cisco Unified Communications Manager (Unified CM).

  • Adres lub nazwa hosta RA IP

  • Odciski linii papilarnych certyfikatu głównego urzędu certyfikacji serwera protokołu SCEP w formacie SHA-1 lub SHA-256

Urząd rejestrowania Cisco IOS RA (Registration Authority) pełni rolę serwera proxy dla serwera protokołu SCEP. Klient protokołu SCEP w telefonie używa parametrów pobranych z Cisco Unified CM. Po skonfigurowaniu parametrów telefon wysyła żądanie getcs protokołu SCEP do urzędu certyfikacji, a certyfikat głównego urzędu certyfikacji jest weryfikowany przy użyciu zdefiniowanego odcisku palca.

1

W obszarze Cisco Unified Communications Manager Administration wybierz Urządzenie > Telefon.

2

Odszukaj telefon.

3

Przewiń do obszaru Układ konfiguracji specyficznej dla produktu.

4

Zaznacz pole wyboru WLAN Serwer protokołu SCEP, aby uaktywnić parametr SCEP.

5

Zaznacz pole wyboru WLAN Odcisk palca głównego urzędu certyfikacji (SHA256 lub SHA1), aby uaktywnić parametr QED protokołu SCEP.

Obsługa serwerów SCEP

W przypadku korzystania z serwera SCEP (Simple Certificate Enrollment Protocol) serwer może automatycznie obsługiwać certyfikaty użytkownika i serwera. Na serwerze SCEP skonfiguruj agenta rejestracji SCEP (RA), aby wykonywał następujące funkcje:

  • Pełnienie roli punktu zaufania infrastruktury klucza publicznego

  • Pełnienie roli agenta rejestracji infrastruktury kluczy publicznych

  • Uwierzytelnianie urządzeń za pomocą serwera RADIUS

Więcej informacji zawiera dokumentacja serwera SCEP.

Konfigurowanie certyfikatu obowiązującego lokalnie (LSC)

Istnieje kilka metod instalacji LSC. To przykładowe zadanie dotyczy konfigurowania LSC z metodą ciągu uwierzytelniania w telefonie bezprzewodowym Cisco Wireless Phone 9821.

Zanim rozpoczniesz

Upewnij się, że odpowiednie konfiguracje zabezpieczeń Cisco Unified CM i certificate authority proxy function (CAPF) są kompletne.

  • Plik CTL lub ITL zawiera certyfikat CAPF.

  • W aplikacji Cisco Unified Communications Operating System Administration należy sprawdzić, czy jest zainstalowany certyfikat CAPF.

  • Funkcja CAPF działa i jest skonfigurowana.

Więcej informacji na temat tych ustawień można znaleźć w dokumentacji konkretnej wersji Cisco Unified CM.

1

Uzyskaj ciąg uwierzytelniający CAPF ustawiony podczas konfigurowania CAPF.

2

Na telefonie przejdź do Ustawień 9821 Settings app icon App.

3

Wybierz Ustawienia administracyjne > Konfiguracja systemu> Zabezpieczenia > LSC.

4

Wprowadź ciąg uwierzytelniający.

5

Naciśnij Więcej 9821 More button i wybierz opcję Prześlij.

Telefon rozpocznie instalowanie, aktualizowanie lub usuwanie certyfikatu ważnego lokalnie, w zależności od konfiguracji funkcji CAPF. Po zakończeniu procedury telefon wyświetla komunikat Installed (Zainstalowano) lub Not Installed (Nie zainstalowano).

Proces instalowania, aktualizowania lub usuwania certyfikatu ważnego lokalnie może długo potrwać.

Po pomyślnym zakończeniu instalowania w telefonie pojawia się komunikat Installed. Jeśli w telefonie zostanie wyświetlony komunikat Nie zainstalowano, ciąg uwierzytelnienia był nieprawidłowy lub w telefonie nie włączono funkcji uaktualniania. Jeśli w wyniku działania funkcji CAPF nastąpi usunięcie certyfikatu ważnego lokalnie, telefon wyświetli komunikat Not Installed, aby zasygnalizować powodzenie operacji. Serwer CAPF zapisuje w dzienniku komunikaty o błędach. Lokalizację dzienników i znaczenie komunikatów o błędach podano w dokumentacji serwera CAPF.

Uwierzytelnianie 802.1X w sieciach przewodowych

Cisco Telefon bezprzewodowy 9821 obsługuje uwierzytelnianie 802.1X dla sieci przewodowych. Jest to zwykle używane podczas automatycznego inicjowania obsługi, gdy telefon jest podłączony do ładowarki biurkowej za pośrednictwem obsługiwanego adaptera USB-to-Ethernet.

Obsługa uwierzytelniania 802.1X w sieciach przewodowych wymaga kilku następujących składników:

  • Telefon IP Cisco: telefon inicjuje żądanie dostępu do sieci. Telefony IP Cisco zawierają stronę uwierzytelnianą 802.1X. Dzięki niej administratorzy sieci mogą kontrolować łączność telefonów IP z portami przełącznika sieci LAN. Bieżąca wersja strony uwierzytelnianej 802.1X w telefonach korzysta z opcji EAP-FAST i EAP-TLS do uwierzytelniania sieci.

  • Serwer uwierzytelniania: Serwer uwierzytelniania i przełącznik muszą być skonfigurowane przy użyciu wspólnego hasła usługi RADIUS.

  • Przełącznik: przełącznik musi obsługiwać standard 802.1X, aby mógł działać jako wystawca uwierzytelnienia i przekazywać komunikaty EAP między telefonem a serwerem uwierzytelniania. Po zakończeniu wymiany komunikatów przełącznik przyznaje telefonowi dostęp do sieci lub odrzuca jego żądanie.

Telefony IP Cisco i przełączniki Cisco Catalyst używają tradycyjnie protokołu CDP (Cisco Discovery Protocol) do identyfikowania siebie nawzajem i ustalania parametrów, np. przydziału sieci VLAN i wymagań dotyczących zasilania poprzez kabel sieciowy.

Aby skonfigurować uwierzytelnianie 802.1X:

  • Skonfiguruj obejście głosu CDP/LLDP VLAN.

  • Przed włączeniem uwierzytelniania 802.1X dla sieci przewodowych w telefonie skonfiguruj serwer uwierzytelniania i przełącznik.

  • Skonfiguruj opcję VLAN głosowy: w standardzie 802.1X nie uwzględniono sieci VLAN, więc skonfiguruj tę opcję zgodnie z zakresem obsługi uwierzytelniania przez przełącznik.

    • Włączone: jeśli używasz przełącznika obsługującego uwierzytelnianie wielodomenowe, możesz skonfigurować go do korzystania z głosu VLAN.
    • Wyłączone: jeśli przełącznik nie obsługuje uwierzytelniania w wielu domenach, wyłącz opcję VLAN głosowy i rozważ przypisanie portu macierzystej sieci VLAN.
  • Cisco Telefon bezprzewodowy 9821 ma inny prefiks w identyfikatorze PID niż w przypadku innych telefonów Cisco. Aby umożliwić telefonowi przekazywanie uwierzytelniania 802.1X, ustaw opcję Promień· Parametr Nazwa użytkownika, aby dołączyć telefon bezprzewodowy Cisco 9821.

    Na przykład identyfikator PID Cisco telefonu bezprzewodowego 9821 to WP-9821. Możesz ustawić promień· Nazwa użytkownika, aby rozpocząć od WP lub Zawiera WP w obu następujących sekcjach:

    • Zasady > Warunki > Warunki biblioteczne

    • Zasady > Zestawy zasad> Zasady autoryzacji > Reguła autoryzacji 1

Włączanie uwierzytelniania 802.1X dla sieci przewodowych w telefonie

Wykonaj poniższe czynności, aby włączyć uwierzytelnianie 802.1X dla sieci przewodowych w telefonie. Należy pamiętać, że uwierzytelnianie 802.1X dla Wi-Fi jest domyślnie włączone i nie wymaga ręcznej konfiguracji.

1

Przejdź do ustawień 9821 Settings app icon App.

2

Jeśli zostanie wyświetlony monit, wprowadź hasło, aby uzyskać dostęp do menu Ustawienia . Hasło można uzyskać od administratora.

3

Wybierz Ustawienia administracyjne > Konfiguracja zabezpieczeń> Uwierzytelnianie 802.1X.

4

Podświetl Uwierzytelnianie urządzenia i naciśnij .

Włącz uwierzytelnianie 802.1X dla sieci przewodowych w Cisco Unified Communications Manager Administration

Wykonaj następujące czynności, aby włączyć uwierzytelnianie 802.1X dla sieci przewodowych na Cisco Unified CM. Należy pamiętać, że uwierzytelnianie 802.1X dla Wi-Fi jest domyślnie włączone i nie wymaga ręcznej konfiguracji.

Status transakcji i ustawienia zabezpieczeń można wyświetlić w menu ekranu telefonu. Aby uzyskać więcej informacji, zobacz Menu ustawień zabezpieczeń telefonu.

1

W Cisco Unified Communications Manager Administration wybierz Urządzenie > Telefon.

2

Znajdź telefon, który chcesz skonfigurować.

3

Przejdź do obszaru Układ konfiguracji specyficznej dla produktu.

4

Wybierz opcję Włączone z menu rozwijanego Uwierzytelnianie 802.1x.

Po skonfigurowaniu opcji Włączone lub Wyłączone opcja Uwierzytelnianie urządzenia w telefonie Cisco Wireless Phone 9821 staje się tylko do odczytu, uniemożliwiając użytkownikom modyfikowanie ustawień uwierzytelniania 802.1X.

5

Kliknij przycisk Zapisz.

6

Kliknij przycisk Apply Config (Zastosuj konfigurację).

Menu ustawień zabezpieczeń w telefonie

Aby wyświetlić informacje o ustawieniach zabezpieczeń z menu telefonu, przejdź do opcji Ustawienia 9821 Settings app icon i wybierz Ustawienia administratora> Konfiguracja zabezpieczeń> Uwierzytelnianie 802.1X. Dostępność informacji zależy od ustawień sieciowych w organizacji.

Parametry

Opcje

Domyślny

Opis

Uwierzytelnianie urządzenia

Włączone

Wył

Wył

Włącza lub wyłącza uwierzytelnianie 802.1X w telefonie.

Ustawienie parametrów można zachować po zarejestrowaniu telefonu Out-Of-Box (OOB).

Status transakcji

Wyłączone

Wyświetla stan uwierzytelniania 802.1X. Stan może być (nie ograniczony do):

  • Uwierzytelnianie — wskazuje, że proces uwierzytelniania jest w toku.
  • Uwierzytelnione — wskazuje, że telefon jest uwierzytelniony.
  • Wyłączone — wskazuje, że uwierzytelnianie 802.1x w telefonie jest wyłączone.
  • Łączenie — wskazuje, że telefon co 30 sekund wysyła do przełącznika komunikaty EAP start.
  • Nabyte — wskazuje, że przełącznik odrzucił żądanie EAP telefonu i telefon nie otrzymał od przełącznika żadnego wyzwania EAP-TLS ani EAP-FAST. Telefon ponawia próbę wysłania żądań EAP.
  • Odłączony — wskazuje, że kabel Ethernet został odłączony.
  • Wstrzymane — wskazuje, że przełącznik przetworzył żądanie EAP telefonu, ale odrzucił uwierzytelnianie EAP-FAST lub EAP-TLS. Telefon ponawia próbę wysłania żądań EAP.

Protokół

Brak

Przedstawia metodę EAP używaną do uwierzytelniania 802.1X. Protokół może mieć wartość EAP-FAST lub EAP-TLS.

Skonfiguruj obsługiwane wersje TLS

Można ustawić minimalną wersję TLS wymaganą odpowiednio dla klienta i serwera.

Domyślnie minimalna wersja TLS serwera i klienta to 1.2. Ustawienie ma wpływ na następujące funkcje:

  • Połączenie dostępu przez Internet HTTPS
  • Dołączanie do telefonu lokalnego
  • Usługi HTTPS, takie jak usługi katalogowe
  • Datagram Transport Layer Security (DTLS)
  • Jednostka dostępu do portu (PAE)
  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)

Aby uzyskać więcej informacji na temat zgodności TLS 1.3 dla Cisco IP Phones, zobacz TLS 1.3 Compatibility Matrix for Cisco Collaboration Products.

1

W polu Cisco Unified Communications Manager Administration wykonaj jedną z następujących czynności:

  • Aby skonfigurować wszystkie wdrożone telefony, przejdź do System > Enterprise Phone Configuration.
  • Aby skonfigurować telefony współdzielące ten sam profil telefonu, przejdź do Urządzenie > Ustawienia urządzenia> Wspólny profil telefonu.
  • Aby skonfigurować pojedynczy telefon, przejdź do Device > Phone. Następnie znajdź swój telefon i otwórz stronę Konfiguracja telefonu.

Konfiguracja ma strukturę hierarchiczną:

  • Ustawienia poszczególnych urządzeń mają pierwszeństwo przed ustawieniami na poziomie wspólnego profilu telefonu i na poziomie przedsiębiorstwa
  • Wspólne ustawienia profilu telefonu zastępują ustawienia na poziomie przedsiębiorstwa

2

Skonfiguruj pole TLS Minimalna wersja klienta:

Opcja TLS 1.3 jest dostępna w Cisco Unified CM 15SU2 lub nowszym.

  • TLS 1.1: Klient TLS obsługuje wersje protokołu TLS od 1.1 do 1.3.

    Jeśli wersja protokołu TLS na serwerze jest niższa niż 1.1, na przykład 1.0, nie można nawiązać połączenia.

  • TLS 1.2 (domyślnie): klient TLS obsługuje protokoły TLS 1.2 i 1.3.

    Jeśli wersja protokołu TLS na serwerze jest niższa niż 1.2, na przykład 1.1 lub 1.0, nie można nawiązać połączenia.

  • TLS 1.3: Klient TLS obsługuje tylko protokół TLS 1.3.

    Jeśli wersja TLS na serwerze jest niższa niż 1.3, na przykład 1.2, 1.1 lub 1.0, połączenie nie może zostać nawiązane.

3

Konfigurowanie pola Minimalna wersja serwera# TLS:

  • TLS 1.1: serwer TLS obsługuje wersje protokołu TLS od 1.1 do 1.3.

    Jeśli wersja TLS w kliencie jest niższa niż 1.1, na przykład 1.0, nie można nawiązać połączenia.

  • TLS 1.2 (domyślnie): serwer TLS obsługuje TLS 1.2 i 1.3.

    Jeśli wersja TLS w kliencie jest niższa niż 1.2, na przykład 1.1 lub 1.0, nie można nawiązać połączenia.

  • TLS 1.3: Serwer TLS obsługuje tylko protokół TLS 1.3.

    Jeśli wersja TLS w kliencie jest niższa niż 1.3, na przykład 1.2, 1.1 lub 1.0, połączenie nie może zostać nawiązane.

4

Kliknij przycisk Zapisz.

5

Kliknij przycisk Apply Config (Zastosuj konfigurację).

6

Uruchom ponownie telefony.

TURN wyłącz zestaw głośnomówiący i zestaw słuchawkowy Cisco Telefon bezprzewodowy 9821

Masz opcje trwałego TURN wyłączyć zestaw głośnomówiący i zestaw słuchawkowy w telefonie bezprzewodowym Cisco 9821 dla użytkownika. Wyłączenie tych wyjść audio zapewnia, że rozmowy nie będą słyszane przez inne osoby znajdujące się w pobliżu, co jest ważne we wspólnych lub otwartych środowiskach biurowych.

1

W Cisco Unified Communications Manager Administration wybierz Device > Phone.

2

Znajdź telefon, który chcesz skonfigurować.

3

Przejdź do obszaru Układ konfiguracji specyficznej dla produktu.

4

Zaznacz co najmniej jedno z poniższych pól wyboru, aby TURN wyłączyć możliwości telefonu:

  • Wyłącz telefon głośnomówiący
  • Wyłącz telefon głośnomówiący i zestaw słuchawkowy

Domyślnie te pola wyboru nie są zaznaczone.

5

Kliknij przycisk Zapisz.

6

Kliknij przycisk Apply Config (Zastosuj konfigurację).

Czy ten artykuł był pomocny?
Czy ten artykuł był pomocny?