Для Cisco Unified Communications Manager можно включить режим работы в среде повышенной безопасности. Благодаря этим улучшениям в вашей телефонной сети задействован ряд мер по усилению безопасности и управлению рисками, которые позволяют защитить вас и ваших пользователей.

Среда повышенной безопасности содержит следующие компоненты:

  • Аутентификация для поиска по контактам.

  • TCP является протоколом по умолчанию для удаленной регистрации аудита.

  • Режим FIPS.

  • Улучшенная политика учетных данных.

  • Поддержка семейства хэшей SHA-2, предназначенных для цифровых подписей.

  • Поддержка ключа RSA размером 512 и 4096 битов.

В случае Cisco Unified Communications Manager выпуска 14.0 и микропрограммного обеспечения для телефонов Cisco Video Phone версии 2.1 (или более поздней), телефоны поддерживают аутентификацию SIP OAuth.

OAuth поддерживается протоколом прокси-сервера trivial File Transfer Protocol (TFTP) с Cisco Unified Communications Manager выпуском 14.0(1)SU1 или более поздней. Proxy TFTP и OAuth для Proxy TFTP не поддерживается для Mobile Remote Access (MRA).

Дополнительные сведения о безопасности см. здесь:

В телефоне может храниться только ограниченное число файлов списка доверенных удостоверений (ITL). Размер ITL-файлов не должен превышать 64 кбайт, поэтому необходимо ограничить число ITL-файлов, которые Cisco Unified Communications Manager может передать на телефон.

Поддерживаемые функции безопасности

Функции безопасности защищают от угроз, в том числе в отношении идентификации телефона и данных. Эти функции формируют и поддерживают аутентифицированные потоки связи между телефоном и сервером Cisco Unified Communications Manager, а также гарантируют использование на телефонах только файлов, подписанных цифровой подписью.

ПО Cisco Unified Communications Manager выпуска 8.5(1) и выше предоставляет защиту по умолчанию, что позволяет использовать на телефонах Cisco IP следующие функции безопасности без запуска клиента CTL:

  • подпись файлов конфигурации телефона;

  • шифрование файлов конфигурации телефона;

  • HTTPS с Tomcat и другими веб-службами.

Функции защищенных сигналов и мультимедиа по-прежнему требуют запуска клиента CTL и использования аппаратных маркеров eToken.

Функции безопасности в системе Cisco Unified Communications Manager предотвращают кражу удостоверений телефона и сервера Cisco Unified Communications Manager, умышленное искажение данных и сигналов вызова, а также взлом медиапотока.

Для устранения этих угроз сеть IP-телефонии Cisco устанавливает и поддерживает потоки защищенной (зашифрованной) связи между телефоном и сервером, добавляет к файлам цифровую подпись, прежде чем они передаются на телефон, и шифрует медиапотоки и сигналы вызовов между телефонами Cisco IP.

Локально значимый сертификат (LSC) устанавливается на телефонах после выполнения необходимых задач, связанных с функцией прокси-сервера сертификационного центра (CAPF). Cisco Unified Communications Manager Administration можно использовать для настройки LSC, как описано в руководстве по безопасности Cisco Unified Communications Manager. Кроме того, можно инициировать установку LSC из меню «Параметры безопасности» на телефоне. Это меню также позволяет обновлять или удалять локально значимый сертификат.

LSC не может использоваться в качестве сертификата пользователя для EAP-TLS с аутентификацией WLAN.

Телефоны используют профиль защиты телефона, который определяет, является ли устройство защищенным или незащищенным. Сведения о применении профиля безопасности к телефону см. в документации по конкретной версии Cisco Unified Communications Manager.

Если вы настроили параметры, связанные с безопасностью в Cisco Unified Communications Manager Administration, файл конфигурации телефона может содержать конфиденциальную информацию. В целях обеспечения конфиденциальности файла конфигурации необходимо настроить для него шифрование. Подробные сведения см. в документации по конкретной версии Cisco Unified Communications Manager.

Телефон соответствует стандарту FIPS. Для правильного функционирования режима FIPS требуется ключ размером не менее 2048 бит. Если размер сертификата меньше 2048 битов, телефон не будет зарегистрирован в Cisco Unified Communications Manager и на нем отображается сообщение Не удалось зарегистрировать телефон. Размер ключа сертификата несовместим со стандартом FIPS.

Если телефон содержит сертификат LSC, необходимо обновить размер ключа LSC до 2048 бит и выше, прежде чем включать FIPS.

В следующей таблице приведен обзор функций безопасности, поддерживаемых телефонами. Дополнительные сведения см. в документации по конкретной версии Cisco Unified Communications Manager.

Для просмотра режима безопасности нажмите «Настройки» жесткая клавиша «Настройки» и перейдите к настройкам сети и службы >Защищенность.

Таблица 1. Обзор функций безопасности

Функция

Описание

Аутентификация образов

Подписанные двоичные файлы препятствуют взлому образа микропрограммы до его загрузки на телефон.

Взлом образа приводит к сбою процесса аутентификации и отклонению нового образа.

Установка сертификата сайта клиента

Каждый телефон Cisco IP нуждается в уникальном сертификате для проверки подлинности устройства. Телефоны содержат установленный на производстве сертификат (MIC), но для дополнительной безопасности можно указать установку сертификата в средстве администрирования Cisco Unified Communications Manager Administration с помощью функции прокси-сервера сертификационного центра (CAPF). Кроме того, можно установить локально значимый сертификат (LSC) с помощью меню конфигурации безопасности на телефоне.

Аутентификация устройства

Возникает между сервером Cisco Unified Communications Manager и телефоном, если каждый объект принимает сертификат другого объекта. Определяет, должно ли устанавливаться защищенное подключение между телефоном и Cisco Unified Communications Manager, и, если необходимо, создается защищенный путь для сигналов между объектами с использованием протокола TLS. Cisco Unified Communications Manager не регистрирует телефоны, если не может выполнить их аутентификацию.

Аутентификация файлов

Проверяет файлы с цифровой подписью, которые загружаются телефоном. Телефон проверяет подпись, чтобы удостовериться, что файл не был взломан после создания. Файлы, которые не проходят аутентификацию, не записываются во флеш-память на телефоне. Телефон отклоняет эти файлы без дальнейшей обработки.

Шифрование файлов

Шифрование предотвращает кражу конфиденциальных данных при передаче файлов на телефон. Кроме того, телефон проверяет подпись, чтобы удостовериться, что файл не был взломан после создания. Файлы, которые не проходят аутентификацию, не записываются во флеш-память на телефоне. Телефон отклоняет эти файлы без дальнейшей обработки.

Аутентификация сигналов

Используется протокол TLS для проверки отсутствия взлома сигнальных пакетов во время передачи.

Сертификат, установленный на производстве

Каждый телефон Cisco IP содержит уникальный установленный на производстве сертификат (MIC), которые используется для аутентификации устройства. Сертификат MIC обеспечивает постоянную уникальную идентификацию телефона, которая позволяет Cisco Unified Communications Manager аутентифицировать его.

Шифрование медиа

SRTP используется для обеспечения безопасности медиапотоков между поддерживаемыми устройствами, чтобы только нужное устройство получало и считывало данные. Включает создание пары первичных ключей мультимедиа для устройств, доставку ключей на устройства и обеспечение безопасности доставки ключей во время их передачи.

CAPF (прокси-сервер сертификационного центра)

Реализация частей процедуры создания сертификатов, которые очень требовательны к обработке на телефоне, а также взаимодействие с телефоном для создания ключей и установки сертификата. Прокси-сервер CAPF можно настроить для запроса сертификатов указанных пользователем центров сертификации от имени телефона или локальной генерации сертификатов.

Поддерживаются клавиши EC (эллиптические изгибы), а также клавиши RSA. Для использования ключа EC убедитесь, что включен параметр «Поддержка расширенных алгоритмов шифрования конечных точек» (из параметра System >Enterprise)

Дополнительные сведения о CAPF и связанных с ними конфигурациях см. в следующих документах:

Профиль безопасности

Определяет, является ли телефон незащищенным, прошедшим аутентификацию, зашифрованным или защищенным. Другие записи в этой таблице описывают функции безопасности.

Шифрованные файлы конфигурации

Позволяет обеспечить конфиденциальность файлов конфигурации телефона.

Необязательное отключение веб-сервера для телефона

В целях безопасности можно запретить доступ к веб-страницам, на которых отображается различная операционная статистика телефона, и на портал самообслуживания.

Усиление защиты телефона

Дополнительные параметры безопасности, которыми можно управлять из средства администрирования Cisco Unified Communications Manager Administration:

  • Отключение порта ПК
  • Отключение самообращенных ARP (GARP)
  • Отключение доступа к голосовой VLAN с ПК
  • Отключение доступа к меню «Настройки» или предоставление ограниченного доступа
  • Отключение доступа к веб-страницам с телефона
  • Отключение порта устройства Bluetooth
  • Ограничение шифров TLS

Аутентификация 802.1X

Телефон Cisco IP может использовать аутентификацию 802.1X для запроса и получения доступа к сети. Дополнительные сведения см. в разделе Аутентификация 802.1X.

Защищенная обработка отказа SIP для SRST

После настройки ссылки на SRST (система повышения выживаемости телефонии для вынесенного узла) для защиты и сброса зависимых устройств в средстве администрирования Cisco Unified Communications Manager Administration TFTP-сервер добавляет сертификат SRST в файл cnf.xml и отправляет этот файл на телефон. Затем защищенный телефон использует подключение TLS для взаимодействия с маршрутизатором, поддерживающим SRST.

Шифрование сигнального соединения

Обеспечивает шифрование всех сигнальных сообщений SIP, которые отправляются между устройством и сервером Cisco Unified Communications Manager.

Оповещение об обновлении списка доверия

При обновлении списка доверия на телефоне Cisco Unified Communications Manager получает оповещение, содержащее сведения об успешности или сбое обновления. Дополнительные сведения см. в следующей таблице.

Шифрование AES 256

При подключении к Cisco Unified Communications Manager выпуска 10.5(2) и выше телефоны поддерживают шифрование AES 256 для TLS и SIP в целях шифрования сигналов и мультимедиа. Это позволяет телефонам инициировать и поддерживать подключения TLS 1.2 с помощью шифров на основе AES-256, которые соответствуют стандартам SHA-2 и FIPS. Шифры включают в себя:

  • для подключений TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384;
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256;
  • для sRTP:
    • AEAD_AES_256_GCM;
    • AEAD_AES_128_GCM.

Дополнительные сведения см. в документации по Cisco Unified Communications Manager.

Сертификаты алгоритма цифровых подписей на основе эллиптических кривых (Elliptic Curve Digital Signature Algorithm, ECDSA)

В рамках сертификации Common Criteria (CC) в Cisco Unified Communications Manager версии 11.0 добавлены сертификаты ECDSA. Это относится ко всем продуктам на платформе Voice Operating System (VOS) начиная с версии CUCM 11.5.

Сертификат Tomcat для нескольких серверов (SAN) с Cisco UCM

Телефон поддерживает Cisco UCM с настроенными сертификатами Tomcat для нескольких серверов (SAN). Правильный адрес TFTP сервера можно найти в файле ITL телефона для регистрации телефона.

Для получения дополнительной информации об этой функции см. ниже

В следующей таблице приведены оповещения об обновлении списка доверия и их значение. Дополнительные сведения см. в документации по Cisco Unified Communications Manager.

Таблица 2. Оповещения об обновлении списка доверия
Код и сообщение Описание

1 - TL_SUCCESS

Получен новый CTL и (или) ITL

2 - CTL_INITIAL_SUCCESS

Получен новый CTL, TL не существует

3 - ITL_INITIAL_SUCCESS

Получен новый ITL, TL не существует

4 - TL_INITIAL_SUCCESS

Получены новые CTL и ITL, TL не существует

5 - TL_FAILED_OLD_CTL

Сбой обновления нового CTL, но существует предыдущий TL

6 - TL_FAILED_NO_TL

Сбой обновления нового TL, старый TL не существует

7 - TL_FAILED

Общая ошибка

8 - TL_FAILED_OLD_ITL

Сбой обновления нового ITL, но существует предыдущий TL

9 - TL_FAILED_OLD_TL

Сбой обновления нового TL, но существует предыдущий TL

Меню «Настройка безопасности» содержит сведения о различных параметрах безопасности. Это меню также обеспечивает доступ к меню «Список доверия» и указывает, установлен ли на телефоне файл CTL или ITL.

В следующей таблице описаны параметры меню настроек безопасности.

Таблица 3. Меню настройки безопасности

Параметр

Описание

Желаемое изменение

Режим безопасности

Служит для отображения режима безопасности, настроенного на телефоне.

В средстве администрирования Cisco Unified Communications Manager Administration выберите Устройство > Телефон. Параметр отображается в разделе информации о протоколе в окне конфигурации телефона.

LSC

Указывает, установлен ли на телефоне локально значимый сертификат, используемый для функций безопасности (установлено) или не установлен на телефоне (не установлено).

Сведения об управлении локально значимым сертификатом телефона см. в документации по конкретной версии Cisco Unified Communications Manager.

Настройка локально значимого сертификата (LSC)

Эта задача относится к настройке LSC с помощью метода строки аутентификации.

Перед началом настройки:

Убедитесь, что выполнены подходящие конфигурации безопасности Cisco Unified Communications Manager и функции прокси-сервера сертификационного центра (CAPF):

  • Файл CTL или ITL содержит сертификат CAPF.

  • В средстве администрирования Cisco Unified Communications Operating System Administration убедитесь, что установлен сертификат CAPF.

  • Прокси-сервер CAPF запущен и настроен.

Для получения дополнительной информации об этих параметрах см. документацию по конкретной версии Cisco Unified Communications Manager.

1

Получите код аутентификации CAPF, который был задан при настройке прокси-сервера CAPF.

2

Нажмите на телефоне кнопку «Настройки» the Settings hard key.

3

При появлении запроса введите пароль для доступа к меню настроек . Вы можете получить пароль у своего администратора.

4

Перейдите к разделу «Сеть и служба > Параметры безопасности> LSC.

Доступом к меню «Настройки» можно управлять с помощью поля Доступ к настройкам в средстве администрирования Cisco Unified Communications Manager Administration.

5

Введите строку аутентификации и выберите "Отправить".

Телефон начнет устанавливать, обновлять или удалять LSC в зависимости от того, как настроен прокси-сервер CAPF. По завершении процедуры на телефоне отображается надпись «Установлено» или же «Не установлено».

Процесс установки, обновления или удаления LSC может занять длительное время.

Если процедура установки телефона успешно выполнена, отображается сообщение Установлено. Если на телефоне отображается Не установлено, строка авторизации может быть задана неверно или обновление телефона может быть выключено. Если операция прокси-сервера CAPF удаляет LSC, на телефоне отображается Не установлено, что указывает на успешное выполнение операции. Прокси-сервер CAPF регистрирует сообщения об ошибках. Изучите документацию по прокси-серверу CAPF, чтобы найти журналы и получить общее представление о значении сообщений об ошибках.

Включение режима FIPS

1

В средстве администрирования Cisco Unified Communications Manager Administration выберите Устройство > Телефон и найдите нужный телефон.

2

Перейдите к разделу Конфигурация отдельного продукта.

3

Задайте для параметра Режим FIPS значение Включено.

4

Выберите Сохранить.

5

Выберите Применить конфигурацию.

6

перезагрузка телефона.

Отключение спикерфона, гарнитуры и трубки на телефоне

У пользователя имеется возможность навсегда выключить спикерфон, гарнитуру и телефонную трубку на телефоне.

1

В средстве администрирования Cisco Unified Communications Manager Administration выберите Устройство > Телефон и найдите нужный телефон.

2

Перейдите к разделу Конфигурация отдельного продукта.

3

Установите один или несколько из следующих флажков, чтобы отключить возможности телефона:

  • Отключить спикерфон
  • Отключить спикерфон и гарнитуру
  • Отключить телефонную трубку

По умолчанию эти флажки сняты.

4

Выберите Сохранить.

5

Выберите Применить конфигурацию.

Аутентификация 802.1X

Телефоны Cisco IP поддерживают аутентификацию 802.1X.

Телефоны Cisco IP и коммутаторы Cisco Catalyst традиционно используют протокол CDP для определения друг друга, а также таких параметров, как выделение VLAN и требования к питанию на линии. CDP не определяет локально подключенные рабочие станции. Телефоны Cisco IP предоставляют сквозной механизм EAPOL. Этот механизм позволяет рабочей станции, подключенной к телефону Cisco IP, передавать сообщения EAPOL на средство аутентификации 802.1X, размещенное на коммутаторе локальной сети. Сквозной механизм гарантирует, что IP-телефон не будет выполнять роль коммутатора локальной сети для аутентификации оконечного устройства данных перед получением доступа к сети.

Телефоны Cisco IP также предоставляют механизм выхода из прокси-сервера EAPOL. Если локально подключенный ПК отключается от IP-телефона, коммутатор локальной сети не видит сбоя физического канала, так как поддерживается канал между коммутатором локальной сети и IP-телефоном. Во избежание нарушения целостности сети IP-телефон передает сообщение о выходе EAPOL на коммутатор от лица расположенного ниже ПК, что приводит к очистке коммутатором локальной сети записи аутентификации о расположенном ниже ПК.

Для поддержки аутентификации 802.1X требуются несколько компонентов.

  • Телефон Cisco IP: телефон инициирует запрос на доступ к сети. Телефоны Cisco IP содержат запрашивающее устройство 802.1X. Это запрашивающее устройство позволяет администраторам сети управлять подключением IP-телефонов к портам коммутатора локальной сети. Текущая версия запрашивающего устройства 802.1X на телефоне использует параметры EAP-FAST и EAP-TLS для аутентификации в сети.

  • Сервер аутентификации: и сервер аутентификации, и коммутатор должны быть настроены с использованием общего секрета, который аутентифицирует телефон.

  • Коммутатор: чтобы коммутатор мог действовать в качестве средства аутентификации и передавать сообщения между телефоном и сервером аутентификации, он должен поддерживать стандарт 802.1X. По завершении обмена коммутатор предоставляет телефону доступ к сети или отказывает в доступе.

Для настройки 802.1X необходимо выполнить следующие действия.

  • Настройте другие компоненты, прежде чем включить аутентификацию 802.1X на телефоне.

  • Настройка порта ПК: в стандарте 802.1X не учтены виртуальные локальные сети (VLAN), поэтому рекомендуется, чтобы только одно устройство проходило аутентификацию для определенного порта коммутатора. Однако некоторые коммутаторы поддерживают аутентификацию в нескольких доменах. Конфигурация коммутатора определяет, можно ли подключать ПК к порту ПК на телефоне.

    • Включено: если используется коммутатор, который поддерживает аутентификацию в нескольких доменах, можно включить порт ПК и подсоединить к нему ПК. В этом случае телефоны Cisco IP поддерживают выход с прокси-сервера EAPOL для отслеживания обмена данными аутентификации между коммутатором и подключенным ПК.

      Дополнительные сведения о поддержке IEEE 802.1X на коммутаторах Cisco Catalyst см. в руководствах по конфигурации коммутаторов Cisco Catalyst:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html.

    • Отключено: если коммутатор не поддерживает несколько совместимых со стандартом 802.1X устройств на одном и том же порту, то при включенной аутентификации по 802.1X необходимо отключить порт ПК. Если вы не отключите этот порт и впоследствии попытаетесь подключить к нему ПК, коммутатор откажет в доступе к сети и телефону, и ПК.

  • Настройка голосовой VLAN: так как в стандарте 802.1X не учтены виртуальные локальные сети (VLAN), необходимо настроить этот параметр в зависимости от характеристик коммутатора.
    • Включено: если вы используете коммутатор, поддерживающий аутентификацию в нескольких доменах, можно продолжить использовать голосовую VLAN.
    • Отключено: если коммутатор не поддерживает аутентификацию в нескольких доменах, отключите голосовую VLAN и рассмотрите возможность назначения этого порта обычной VLAN.
  • (Только для настольных телефонов Cisco серии 9800)

    Настольное телефонное устройство Cisco серии 9800 имеет в PID другой префикс, чем у других телефонов Cisco. Чтобы телефон мог проходить аутентификацию 802.1X, задайте «Радиус» Параметр User-Name (Имя пользователя), включающее в себя настольный телефон Cisco серии 9800.

    Например, PID для телефона 9841 — DP-9841; можно задать Радиус. Имя пользователя для начала с DP или содержит DP. Его можно установить в обоих следующих разделах:

    • Политика > Кондиции > Обусловы по лизме

    • Политика > Наборы политики> Политика аутентификации> Правило 1

Включить аутентификацию 802.1X

Для включения аутентификации 802.1X на своем телефоне выполните следующие действия:

1

Нажмите Настройки.the Settings hard key.

2

При появлении запроса введите пароль для доступа к меню настроек . Вы можете получить пароль у своего администратора.

3

Перейдите к настройкам сети и службы > Безопасность> 802.1X аутентификация.

4

Включите аутентификацию IEEE 802.1X.

5

Выберите Применить.

просмотр информации о настройках безопасности на телефоне;

Информацию о настройках безопасности можно просмотреть в меню телефона. Доступность этой информации зависит от сетевых настроек в вашей организации.

1

Нажмите Настройки.the Settings key.

2

Перейдите к настройкам сети и службы >Безопасность.

3

В разделе «Параметры безопасности» просмотрите следующую информацию:

Таблица 4. Параметры параметров безопасности

Параметры

Описание

Режим безопасности

Служит для отображения режима безопасности, настроенного на телефоне.

LSC

Указывает, установлен ли на телефоне локально значимый сертификат (используется для функций безопасности). Значение: «Да» или «Нет».

Список доверия

Список доверия содержит вложенные меню для файлов CTL, ITL и подписанных файлов конфигурации.

Во вложенном меню «Файл CTL» отображается содержимое файла CTL. Во вложенном меню «Файл ITL» отображается содержимое файла ITL.

Кроме того, в меню «Список доверия» содержится следующая информация.

  • Подпись CTL: хэш SHA1 для файла CTL
  • Сервер Unified CM/TFTP: имя Cisco Unified Communications Manager и TFTP-сервера, используемое телефоном. Если для этого сервера установлен сертификат, отображается значок сертификата.
  • Сервер CAPF: имя сервера CAPF, используемое телефоном. Если для этого сервера установлен сертификат, отображается значок сертификата.
  • Маршрутизатор SRST: IP-адрес доверенного маршрутизатора SRST, который может использоваться телефоном. Если для этого сервера установлен сертификат, отображается значок сертификата.

Безопасность телефонных вызовов

Если телефон защищен, можно определить защищенные телефонные вызовы по значкам на экране телефона. Также можно определить, является ли подключенный телефон защищенным и безопасным, если в начале вызова выдается тональный сигнал безопасности.

При защищенном вызове все сигналы вызова и медиапотоки шифруются. Защищенный вызов обеспечивает более высокий уровень безопасности, обеспечивая целостность вызова и его конфиденциальность. Если выполняющийся вызов зашифрован, вы видите значок защиты значок замка для защищенного вызова на линии. Для защищенного телефона также можно просмотреть значок проверки подлинности или зашифрованный значок рядом с подключенным сервером в меню телефона (Настройки > О данном устройстве).

Если вызов маршрутизируется через этапы вызова, расположенные вне сетей IP, например через PSTN, вызов может быть незащищенным, даже если он зашифрован в IP-сети и помечен значком замка.

При защищенном вызове тональный сигнал безопасности выдается в начале вызова. Это означает, что подключенный телефон также передает и принимает защищенные аудиоданные. Если ваш вызов подключается к незащищенному телефону, тональный сигнал безопасности не воспроизводится.

Поддержка защищенных вызовов возможна только для подключений между двумя телефонами. Некоторые функциональные возможности, такие как конференц-связь и общие линии, недоступны при настройке защищенных вызовов.

Если телефон сконфигурирован как защищенный (доверенный с шифрованием) в Cisco Unified Communications Manager, ему может быть предоставлен телефон защищенный статус. При необходимости после этого защищенный телефон можно настроить для выдачи тонального сигнала индикации в начале вызова:

  • Защищенное устройство: чтобы изменить статус телефона на «защищенный», установите флажок «Защищенное устройство» в окне «Конфигурация телефона» средства администрирования Cisco Unified Communications Manager Administration (Устройство > Телефон).

  • Выдача тонального сигнала индикации защищенности: чтобы включить выдачу защищенным телефоном тонального сигнала индикации защищенности или незащищенности телефона, установите для настройки «Выдавать тональный сигнал индикации защищенности» значение «True». По умолчанию для параметра «Выдавать тональный сигнал индикации защищенности» выставлено значение «False». Значение этого параметра устанавливается в средстве администрирования Cisco Unified Communications Manager Administration (Система > Служебные параметры). Выберите сервер, затем службу Unified Communications Manager. В окне настройки параметров службы выберите этот параметр в области «Функция — Тональный сигнал защищенности». Значение по умолчанию — «False».

Идентификация защищенной конференц-связи

Вы можете инициировать защищенную конференц-связь и отслеживать уровень безопасности ее участников. Защищенная конференц-связь устанавливается с помощью следующего процесса.

  1. Пользователь инициирует конференцию с защищенного телефона.

  2. Cisco Unified Communications Manager назначает вызову защищенный конференц-мост.

  3. По мере добавления участников Cisco Unified Communications Manager проверяет режим безопасности каждого телефона и поддерживает уровень безопасности всей конференции.

  4. На экране телефона отображается уровень безопасности конференц-связи. Значок защищенной конференции отображается на экране значок замка для защищенного вызова.

Поддержка защищенных вызовов возможна между двумя телефонами. Если на телефонах настроены защищенные вызовы, некоторые функции, такие как конференц-связь, общие линии и Extension Mobility, становятся недоступными.

В следующей таблице приведены сведения об изменениях уровней безопасности конференций в зависимости от уровня безопасности телефона инициатора, уровней безопасности участников и доступности защищенных конференц-мостов.

Таблица 5. Ограничения безопасности при конференц-вызовах

Уровень защиты телефона инициатора

Используемая функция

Уровень безопасности участников

Результаты действия

Незащищенный

Конференция (o)

Безопасный

Незащищенный конференц-мост

Незащищенная конференция

Безопасный

Конференция (o)

Как минимум один участник является незащищенным.

Защищенный конференц-мост

Незащищенная конференция

Безопасный

Конференция (o)

Безопасный

Защищенный конференц-мост

Защищенная шифрованная конференция

Незащищенный

Meet Me

Минимальным уровнем защиты является шифрование.

Инициатор получает сообщение Не соответствует уровню безопасности, вызов отклонен.

Безопасный

Meet Me

Минимальным уровнем защиты является незащищенный.

Защищенный конференц-мост

Конференция принимает все вызовы.

Идентификация защищенных телефонных вызовов

Защищенный вызов устанавливается, если ваш телефон и телефон на другом конце настроены для поддержки защищенных вызовов. Другой телефон может находиться в той же IP-сети Cisco или в сети вне IP-сети. Защищенные вызовы могут устанавливаться только между двумя телефонами. Конференц-связь будет поддерживать защищенные вызовы после настройки защищенного конференц-моста.

Защищенный вызов устанавливается с помощью следующего процесса.

  1. Пользователь инициирует вызов с защищенного телефона (защищенный режим безопасности).

  2. На телефоне отображается значок защищенности значок замка для защищенного вызова на экране телефона. Этот значок указывает, что телефон настроен для поддержки защищенных вызовов, однако это не означает, что другой подключенный телефон также защищен.

  3. Когда вызов доходит до другого защищенного телефона, пользователь слышит тональный сигнал безопасности, который указывает, что оба конца разговора шифруются и являются безопасными. Если вызов подключается к незащищенному телефону, пользователь не слышит тональный сигнал безопасности.

Поддержка защищенных вызовов возможна между двумя телефонами. Если на телефонах настроены защищенные вызовы, некоторые функции, такие как конференц-связь, общие линии и Extension Mobility, становятся недоступными.

Только защищенные телефоны выдают упомянутые тональные сигналы индикации наличия или отсутствия защиты. Незащищенные телефоны никогда не выдают тональные сигналы. Если общий статус вызова меняется во время вызова, сигнал индикации меняется и защищенный телефон выдает соответствующий тональный сигнал.

Защищенный телефон выдает или не выдает тональный сигнал в следующих случаях:

  • Если включен параметр «Выдавать тональный сигнал индикации защищенности»:

    • Если установлена сквозная среда защищенной передачи и статус вызова — защищенный, то телефон выдает тональный сигнал индикации защищенности (три длинных гудка с паузами).

    • Если установлена сквозная среда незащищенной передачи и вызов не является защищенным, то телефон выдает тональный сигнал индикации отсутствия защиты (шесть коротких гудков с короткими паузами).

Если опция выдачи тонального сигнала индикации защищенности деактивирована, тональные сигналы не выдаются.

Предоставьте шифрование для вмешательства

Cisco Unified Communications Manager проверяет состояние безопасности телефона при установлении конференц-связи и изменяет индикацию безопасности для конференции или блокирует завершение вызова для поддержания целостности и безопасности в системе.

Пользователь не может выполнить вмешательство в шифрованный вызов, если телефон, который используется для вмешательства, не настроен для шифрования. При невозможности выполнить вмешательство в подобном случае на телефоне, на котором было инициировано вмешательство, слышен тональный сигнал занятой линии (частый сигнал «занято»).

Если телефон инициатора настроен для шифрования, инициатор вмешательства может вмешаться в незащищенный вызов с шифрованного телефона. После вмешательства Cisco Unified Communications Manager классифицирует вызов как незащищенный.

Если телефон инициатора настроен для шифрования, инициатор вмешательства может вмешаться в шифрованный вызов, и телефон будет показывать, что вызов зашифрован.

безопасность WLAN

Этот раздел относится только к моделям телефонов с Wi-Fi возможностями.

безопасность WLAN

Так как все устройства беспроводной сети, расположенные в пределах радиуса действия, могут получать весь остальной трафик беспроводной сети, обеспечение безопасности голосовой связи является критически важной задачей в беспроводных локальных сетях. Телефон поддерживается архитектурой Cisco SAFE Security, чтобы злоумышленники не могли манипулировать и не перехватывать голосовой трафик. Дополнительные сведения о безопасности в сетях см. на странице http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Решение для беспроводной IP телефонии Cisco обеспечивает защиту беспроводной сети, предотвращая несанкционированный вход и скомпрометирование связи, используя следующие методы аутентификации, поддерживаемые телефоном:

  • Открытая аутентификация: в открытой системе любое беспроводное устройство может запросить аутентификацию. Точка доступа, которая получает запрос, может аутентифицировать любое запрашивающее лицо или только тех запрашивающих лиц, которые включены в список пользователей. Связь между беспроводным устройством и точкой доступа (точка доступа) может быть нешифровой.

  • Аутентификация с помощью защищенного туннелирования (EAP-FAST): эта архитектура безопасности клиента-сервера обеспечивает шифрование EAP транзакций в туннеле уровня безопасности TLS между точкой доступа и сервером РАДИУС, например, identity Services Engine (ISE).

    TLS-туннель использует учетные данные для защищенного доступа (PAC) для выполнения аутентификации между клиентом (телефоном) и сервером RADIUS. Сервер отправляет идентификатор AID клиенту (телефону), который в свою очередь выбирает подходящий PAC. Клиент (телефон) возвращает PAC-Opaque на сервер RADIUS. Сервер расшифровывает PAC с помощью первичного ключа. Обе конечные точки теперь имеют ключ PAC, и создается TLS-туннель. EAP-FAST поддерживает автоматическую подготовку PAC, однако вам необходимо включить ее на сервере RADIUS.

    В ISE по умолчанию PAC истекает в течение одной недели. Если в телефоне есть PAC с истекшим сроком действия, аутентификация на сервере RADIUS занимает дольше времени, пока телефон получает новый PAC. Чтобы избежать задержек с подготовкой PAC, задайте на сервере ISE или RADIUS срок действия PAC не менее 90 дней.

  • Аутентификация по протоколу EAP-TLS: для аутентификации и предоставления доступа к сети протоколу EAP-TLS требуется сертификат клиента. Для беспроводных EAP-TLS сертификатом клиента может быть MIC, LSC или установленный пользователем сертификат.

  • Протокол PEAP: запатентованная Cisco схема взаимной аутентификации на основе пароля между клиентом (телефоном) и сервером RADIUS. Телефон может использовать PEAP для аутентификации по беспроводной сети. Поддерживаются методы аутентификации PEAP-MSCHAPV2 и PEAP-GTC.

  • Клавиша до общего доступа (PSK): телефон поддерживает ASCII формат. При настройке предварительного ключа WPA/WPA2/SAE необходимо использовать указанный ниже формат

    ASCII: строка ASCII-символов длиной от 8 до 63 символов (0–9, строчные и заглавные буквы A–Z, специальные символы).

    Пример: GREG123567@9ZX&W

Следующие схемы аутентификации задействуют сервер RADIUS для управления ключами аутентификации:

  • WPA/WPA2/WPA3: использует информацию о сервере РАДИУС для генерации уникальных ключей для аутентификации. Поскольку эти ключи генерируются на централизованном сервере RADIUS, WPA2/WPA3 обеспечивает безопасность более высокого уровня, чем предварительные ключи WPA, которые хранятся в точке доступа и на телефоне.

  • Быстрый безопасный роуминг: для управления ключами и их аутентификации используются сведения с сервера RADIUS и сервера домена беспроводной сети (WDS). WDS создает кэш учетных данных для клиентских устройств с поддержкой FT для быстрой и безопасной повторной аутентификации. Настольные телефоны Cisco 9861 и 9871, а также телефон Cisco Video Phone 8875 поддерживают 802.11r (FT). Поддерживаются и по воздуху, и через DS, что обеспечивает быстрый защищенный роуминг. Однако мы настоятельно рекомендуем использовать беспроводную связь стандарта 802.11r (FT).

При использовании WPA/WPA2/WPA3 ключи шифрования не вводятся на телефоне, а автоматически извлекаются между точкой доступа и телефоном. Однако имя пользователя и пароль EAP, которые используются для аутентификации, должны быть введены на каждом телефоне.

Чтобы обеспечить безопасность голосового трафика, телефон поддерживает TKIP и AES для шифрования. Когда эти механизмы используются для шифрования, между точкой доступа и телефоном шифруются как сигнальные SIP-пакеты, так и пакеты voice Real-Time Transport Protocol (RTP).

TKIP

WPA использует шифрование TKIP, которое имеет несколько улучшений по сравнению с WEP. TKIP обеспечивает шифрование ключом каждого пакета и более длительные векторы инициализации, что делает шифрование более надежным. Кроме того, проверка целостности сообщения (MIC) обеспечивает невозможность изменения зашифрованных пакетов. TKIP устраняет предсказуемость WEP, благодаря которой злоумышленники могут расшифровать ключ WEP.

AES

Метод шифрования, используемый для аутентификации WPA2/WPA3. Этот национальный стандарт шифрования использует симметричный алгоритм, который задействует один и тот же ключ для шифрования и расшифровки. AES использует 128-разрядный алгоритм шифрования Cipher Blocking Chain (CBC), который поддерживает ключи размером как минимум 128, 192 и 256 битов. Телефон поддерживает размер ключа 256 бит.

Настольные телефоны Cisco 9861 и 9871 и телефон Cisco Video Phone 8875 не поддерживают протокол Cisco Key Integrity Protocol (CKIP) с CMIC.

Схемы аутентификации и шифрования настраиваются в беспроводной локальной сети. VLAN настраиваются в сети и в точках доступа и могут использовать разные комбинации аутентификации и шифрования. SSID связывается с VLAN и определенной схемой аутентификации и шифрования. Чтобы беспроводные клиентские устройства прошли успешную аутентификацию, необходимо настроить те же SSID со схемами аутентификации и шифрования на интернет-серверах и на телефоне.

Некоторые схемы аутентификации нуждаются в определенных типах шифрования.

  • При использовании WPA предварительно общего доступа, предварительно общего доступа к ключу WPA2 или SAE этот ключ должен быть статически установлен на телефоне. Эти ключи должны соответствовать ключам в точке доступа.

  • Телефон поддерживает автоматическое EAP согласование для FAST или PEAP, но не для TLS. Для режима EAP-TLS его необходимо указать.

Схемы аутентификации и шифрования, приведенные в следующей таблице, приведены параметры сетевой конфигурации телефона, соответствующего конфигурации точки доступа.

Таблица 6. Схемы аутентификации и шифрования
Тип FSRАутентификацияЦентр управленияШифрованиеЗащищенный кадр управления (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESНет
802.11r (FT)WPA3

SAE

FT-SAE

AESДа
802.11r (FT)EAP-TLS

WPA EAP

FT-EAP

AESНет
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа
802.11r (FT)EAP-FAST

WPA EAP

FT-EAP

AESНет
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа
802.11r (FT)EAP-PEAP

WPA EAP

FT-EAP

AESНет
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа

Настройка профиля беспроводной сети

Управление профилем беспроводной сети осуществляется путем настройки учетных данных, частотного диапазона, метода аутентификации и т. д.

Перед настройкой профиля WLAN следует обратить внимание на следующее:

  • Имя пользователя и пароль

    • Если сеть использует EAP-FAST и PEAP для аутентификации пользователя, необходимо настроить имя пользователя и пароль, если таковой необходим, на сервере удаленной аутентификации пользователей с коммутируемым доступом (RADIUS) и телефоне.

    • Учетные данные, которые пользователь вводит в профиль беспроводной локальной сети, должны быть идентичны учетным данным, настроенным на сервере RADIUS.

    • Если в сети используются домены, необходимо указать имя пользователя и имя домена в формате домен\имя_пользователя.

  • Следующие действия могут привести к сбросу имеющегося пароля Wi-Fi:

    • ввод недопустимого идентификатора или пароля пользователя;
    • установка недопустимого или просроченного корневого ЦС, если в качестве типа EAP задан PEAP-MSCHAPV2 или PEAP-GTC;
    • отключение используемого типа EAP на сервере RADIUS, перед переключением телефона на новый тип EAP.
  • Чтобы изменить тип EAP, необходимо сначала включить новый тип EAP на сервере RADIUS, а затем переключить телефон на этот тип EAP. После изменения типа EAP на всех телефонах можно отключить предыдущий тип EAP, если необходимо.
1

В средстве администрирования Cisco Unified Communications Manager Administration выберите Устройство > Настройки устройства > Профиль беспроводной сети.

2

Выберите профиль сети, который необходимо настроить.

3

Настройте параметры.

4

Нажмите Сохранить.

Установка сертификата сервера аутентификации вручную

Если протокол SCEP (Simple Certificate Enrollment Protocol) недоступен, сертификат сервера аутентификации можно установить на телефоне вручную.

Для EAP-TLS необходимо установить сертификат корневого центра аутентификации, который выдал сертификат сервера RADIUS.

Перед началом настройки:

Перед установкой сертификата сервера аутентификации на телефоне необходимо сохранить его на ПК. Для сертификата должно использоваться шифрование в PEM (Base-64) или DER.

1

На веб-странице администрирования телефона выберите Сертификаты.

2

Найдите поле Центр сертификации сервера аутентификации и щелкните Установить.

3

Выберите сертификат на своем ПК.

4

Нажмите Загрузить.

5

После завершения загрузки перезагрузите телефон.

При переустановке нескольких сертификатов будет использоваться только последний установленный сертификат.

Установка сертификата пользователя вручную

Если протокол SCEP (Simple Certificate Enrollment Protocol) недоступен, сертификат пользователя можно установить на телефоне вручную.

В качестве сертификата пользователя для EAP-TLS может использоваться предустановленный на производстве сертификат (MIC).

После установки сертификата пользователя необходимо добавить его в список доверия на сервере RADIUS.

Перед началом настройки:

Перед установкой сертификата пользователя для телефона проверьте наличие следующих компонентов:

  • Сертификат пользователя, сохраненный на ПК. Сертификат должен быть в формате PKCS #12.

  • Пароль для извлечения сертификата.

    Длина пароля не может не более 16 символов.

1

На веб-странице администрирования телефона выберите Сертификаты.

2

Найдите поле Устанавливается пользователем и щелкните Установить.

3

Выберите сертификат на своем ПК.

4

В поле Пароль для извлечения введите пароль для извлечения сертификата.

5

Нажмите Загрузить.

6

После завершения загрузки перезагрузите телефон.

Удаление сертификата безопасности вручную

Сертификат безопасности можно удалить с телефона вручную, если протокол SCEP (Simple Certificate Enrollment Protocol) недоступен.

1

На веб-странице администрирования телефона выберите Сертификаты.

2

Найдите сертификат на странице Сертификаты.

3

Щелкните «Удалить».

4

После завершения процесса удаления перезагрузите телефон.

Настройка параметров SCEP

Протокол SCEP (Simple Certificate Enrollment Protocol) является стандартом для автоматического предоставления и обновления сертификатов. Сервер SCEP может автоматически поддерживать сертификаты пользователей и серверов.

На веб-странице телефона необходимо настроить следующие параметры SCEP:

  • IP-адрес RA;

  • отпечаток ключа сертификата корневого центра SHA-1 или SHA-256 для сервера SCEP.

Центр регистрации Cisco IOS (RA) используется в качестве прокси для сервера SCEP. Клиент SCEP на телефоне использует параметры, которые загружаются из Cisco Unified Communication Manager. После настройки этих параметров телефон отправляет запрос SCEP getcs в RA, и сертификат корневого центра подтверждается с помощью заданного отпечатка.

Перед началом настройки:

На сервере SCEP настройте агент регистрации SCEP (RA) для выполнения следующих задач:

  • выполнение функций точки доверия PKI;
  • выполнение функций RA PKI;
  • выполнение аутентификации устройств с помощью сервера RADIUS.

Дополнительные сведения см. в документации по серверу SCEP

1

В средстве администрирования Cisco Unified Communications Manager Administration выберите Устройство > Телефон.

2

Найдите нужный телефон.

3

Прокрутите вниз до области Схема конфигурации для отдельного продукта.

4

Установите флажок Сервер WLAN SCEP, чтобы активировать параметр SCEP.

5

Чтобы активировать параметр «SCEP QED», установите флажок Отпечаток ключа корневого центра сертификации WLAN (SHA256 или SHA1).

Настройте поддерживаемые версии TLS

Можно настроить минимальную версию TLS, необходимую соответственно для клиента и сервера.

По умолчанию минимальная TLS версия сервера и клиента равна 1.2. Настройка оказывает влияние на следующие функции:

  • Подключение к веб-доступу HTTPS
  • Включение в систему на телефоне на территории предприятия
  • Поддержка мобильных устройств и Remote Access (MRA)
  • службы HTTPS, например, службы каталогов
  • Безопасность транспортного уровня датаграмм (DTLS)
  • Объект доступа к порту (PAE)
  • Безопасность на расширяемом протоколе аутентификации на транспортном уровне (EAP-TLS)

Дополнительные сведения о совместимости TLS версии 1.3 с Cisco IP Phones см. в разделе TLS Матрица совместимости версии 1.3 для продуктов Cisco Collaboration Products.

1

Выполните вход в средство администрирования Cisco Unified Communications Manager Administration в качестве администратора.

2

Перейдите в одно из следующих окон:

  • Система > Конфигурация телефона предприятия
  • Параметры устройства > Device > Профиль телефонаcommon
  • Конфигурация устройства > > Фона
3

Настройте поле «Минимальная версия TLS клиента»:

Опция «TLS 1.3» доступна на Cisco Unified CM 15SU2 или более поздней версии.
  • TLS 1.1: клиент TLS поддерживает версии TLS от 1.1 до 1.3.

    Если TLS версия на сервере ниже, чем 1.1, например 1.0, то соединение установить невозможно.

  • TLS 1.2 (по умолчанию): клиент TLS поддерживает TLS версии 1.2 и 1.3.

    Если TLS версия на сервере ниже 1.2, например 1.1 или 1.0, то соединение установить невозможно.

  • TLS 1.3: клиент TLS поддерживает только TLS версии 1.3.

    Если TLS версия на сервере ниже 1.3, например 1.2, 1.1 или 1.0, то соединение установить невозможно.

4

Настройте поле «Минимальная версия сервера TLS»:

  • TLS 1.1: сервер TLS поддерживает версии TLS от 1.1 до 1.3.

    Если TLS версия в клиенте ниже 1.1, например 1.0, то установить соединение невозможно.

  • TLS 1.2 (по умолчанию): сервер TLS поддерживает TLS 1.2 и 1.3.

    Если TLS версия в клиенте ниже 1.2, например 1.1 или 1.0, установить соединение невозможно.

  • TLS 1.3: сервер TLS поддерживает только TLS версии 1.3.

    Если TLS версия в клиенте ниже 1.3, например 1.2, 1.1 или 1.0, то подключение установить невозможно.

Начиная с версии PhoneOS 3.2, настройка поля «Отключить TLS 1.0 и TLS 1.1 для веб-доступа» не влияет на телефоны.
5

Нажмите Сохранить.

6

Нажмите Применить конфигурацию.

7

Перезагрузите телефоны.

Гарантированные службы SIP

Гарантированные службы SIP (AS-SIP) — это набор функций и протоколов, которые предлагают сценарии защищенных вызовов для телефонов Cisco IP и телефонов сторонних производителей. В состав AS-SIP входят следующие компоненты:

  • Многоуровневый приоритет и приоритетное прерывание обслуживания (Multilevel Precedence and Preemption – MLPP)
  • Точка кода дифференцированных сервисов (DSCP)
  • протокол Transport Layer Security (TLS) и протокол Secure Real-time Transport Protocol (SRTP).
  • Интернет-протокол версии 6 (IPv6)

AS-SIP часто используется вместе с функцией MLPP (Многоуровневый приоритет и приоритетное прерывание обслуживания) для назначения приоритета для вызовов в чрезвычайных ситуациях. С помощью MLPP можно назначить уровень приоритета для исходящих вызовов, от 1 (низкий) до 5 (высокий). При получении вызова на телефоне отображается значок, показывающий уровень приоритета вызова.

Для настройки AS-SIP выполните в Cisco Unified Communications Manager следующие действия:

  • Настройка пользователя с упрощенной аутентификацией — настройте конечного пользователя на использование упрощенной аутентификации для запросов SIP.
  • Настройка защищенного порта телефона SIP — Cisco Unified Communications Manager использует этот порт для прослушивания телефонов SIP для регистрации линий SIP по TLS.
  • Перезапуск службы — после настройки защищенного порта перезапустите службы Cisco Unified Communications Manager и Cisco CTL Provider. Настройка профиля SIP для AS-SIP — настройте профиль SIP в соответствии с параметрами SIP для ваших конечных точек AS-SIP и ваших SIP-транков. Параметры, относящиеся к телефону, не загружаются на телефоны AS-SIP сторонних производителей. Они используются только Cisco Unified Manager. На телефонах сторонних производителей необходимо выполнять эти настройки локально.
  • Настройка профиля защиты телефона для AS-SIP — профиль защиты телефона можно использовать для выполнения настроек безопасности, таких как TLS, SRTP и упрощенная аутентификация.
  • Настройка конечной точки AS-SIP — настройте конечную точку с поддержкой AS-SIP на телефоне Cisco IP или телефоне стороннего производителя.
  • Связать устройство с конечным пользователем — связать конечную точку с пользователем.
  • Настройка профиля безопасности SIP-транка для AS-SIP — профиль безопасности SIP-транка можно использовать для выполнения настроек безопасности SIP-транка, таких как TLS или упрощенная аутентификация.
  • Настройка SIP-транка для AS-SIP — настройте SIP-транк с поддержкой AS-SIP.
  • Настройка функций AS-SIP — настройте дополнительные функции AS-SIP, такие как MLPP, TLS, V.150 и IPv6.

Подробные сведения о настройке AS-SIP см. в главе «Настройка конечных точек AS-SIP» руководства по настройке функций для Cisco Unified Communications Manager.

MLPP

Протокол MLPP (Многоуровневый приоритет и приоритетное прерывание обслуживания) позволяет устанавливать приоритеты вызовов во время чрезвычайных или кризисных ситуаций. Вы назначаете приоритет исходящим вызовам в диапазоне от 1 до 5. Для входящих вызовов отображается значок с приоритетом вызовов. Прошедшие проверку пользователи могут переназначать вызовы на целевые станции либо через полностью подписанные TDM-транки.

Эта функция позволяет руководящему персоналу связываться с необходимыми организациями и сотрудниками.

MLPP часто используется вместе с гарантированной службой SIP (AS-SIP). Подробные сведения о настройке MLPP см. в главе « Настройка многоуровневых приоритетов и прерывания обслуживания» для Cisco Unified Communications Manager в руководстве по конфигурации функций.

Настройте FAC и CMC

Когда на телефоне настроены коды принудительной авторизации (FAC), коды данных клиента (CMC), или оба этих кода, пользователи должны ввести необходимые пароли для набора номера.

Дополнительные сведения о настройке FAC и CMC в Cisco Unified Communications Manager см. в главе«Коды данных клиента» и коды принудительной авторизации в руководстве по настройке функций для Cisco Unified Communications Manager, выпустить 12.5 (1) или более поздняя.