V tomto článku
Podporované funkcie zabezpečenia
dropdown icon
Zabezpečenie telefonických hovorov
    Bezpečná identifikácia konferenčného hovoru
    Bezpečná identifikácia telefonického hovoru
    Poskytnutie šifrovania pre nákladný čln
dropdown icon
Zabezpečenie bezdrôtovej siete LAN
    Nastavenie profilu Wi-Fi
    Inštalácia certifikátu používateľa z webovej stránky správy telefónu
    Inštalácia certifikačnej autority autentifikačného servera z webovej stránky správy telefónu
    Manuálne odstránenie certifikátu zabezpečenia z webovej stránky správy telefónu
    Nastavenie programu SCEP
Nastavenie Locally Significant Certificate (LSC)
dropdown icon
Autentifikácia 802.1X pre káblové siete
    Povolenie overovania 802.1X pre káblové siete v telefóne
    Povoľte overovanie 802.1X pre káblové siete v Cisco Unified Communications Manager Administration
    Ponuka nastavení zabezpečenia v telefóne
Nastavenie podporovaných verzií TLS
TURN vypnutý reproduktor a náhlavná súprava na bezdrôtovom telefóne Cisco 9821
Zabezpečenie bezdrôtového telefónu Cisco 9821 (Unified CM)
list-menuV tomto článku
list-menuSpätná väzba?

Tento článok Pomocníka je určený pre Cisco bezdrôtový telefón 9821 registrovaný na Cisco Unified Communications Manager (Unified CM).

Aplikácii Cisco Unified Communications Manager (Unified CM) môžete povoliť prevádzku v prostredí so zvýšeným zabezpečením. Vďaka týmto vylepšeniam funguje vaša telefónna sieť pod súborom prísnych kontrolných mechanizmov zabezpečenia a riadenia rizík, ktoré chránia vás a vašich používateľov.

Prostredie zvýšeného zabezpečenia zahŕňa nasledujúce funkcie:

  • Overenie vyhľadávania kontaktov

  • TCP ako predvolený protokol pre vzdialené protokolovanie auditu

  • Vylepšené zásady poverení

  • Podpora rodiny hash SHA-2 pre digitálne podpisy

  • Podpora veľkosti kľúča RSA až 4096 bitov

S Cisco Unified CM Release 14.0 alebo novším telefóny podporujú autentifikáciu SIP OAuth.

OAuth je podporovaný pre Proxy Trivial File Transfer Protocol (TFTP) s Cisco Unified CM Release 14.0 (1) SU1 alebo novším.

Ďalšie informácie o zabezpečení nájdete v nasledovných príručkách:

Do telefónu je možné uložiť len obmedzený počet súborov zoznamu dôveryhodných identít (ITL). Súbory ITL nemôžu v telefóne prekročiť 64K, takže obmedzte počet súborov, ktoré Cisco Unified CM odosiela do telefónu.

Podporované funkcie zabezpečenia

Bezpečnostné funkcie chránia pred hrozbami vrátane ohrozenia identity telefónu a údajov. Tieto funkcie vytvárajú a udržiavajú overené komunikačné toky medzi telefónom a Cisco Unified Communications Manager server a zabezpečujú, že telefón používa iba digitálne podpísané súbory.

Cisco Unified Communications Manager Release 8.5 (1) a novšie verzie obsahujú predvolené zabezpečenie, ktoré poskytuje nasledujúce funkcie zabezpečenia pre Cisco IP Phones bez spustenia klienta CTL:

  • Podpisovanie konfiguračných súborov telefónu

  • Šifrovanie konfiguračného súboru telefónu

  • HTTPS so službou Tomcat a ďalšími webovými službami

Zabezpečená signalizácia a mediálne funkcie stále vyžadujú, aby ste spustili klienta CTL a používali hardvérové eTokeny.

Implementácia zabezpečenia v Cisco Unified Communications Manager system zabraňuje krádeži identity telefónu a Cisco Unified Communications Manager server, zabraňuje manipulácii s údajmi a zabraňuje signalizácii hovoru a manipulácii s mediálnym tokom.

Na zmiernenie týchto hrozieb telefónna sieť Cisco IP vytvára a udržiava bezpečné (šifrované) komunikačné toky medzi telefónom a serverom, digitálne podpisuje súbory pred ich prenosom do telefónu a šifruje mediálne toky a signalizáciu hovorov medzi Cisco IP Phones.

A Locally Significant Certificate (LSC) sa nainštaluje do telefónov po vykonaní potrebných úloh, ktoré sú priradené k certificate authority proxy function (CAPF). Pomocou Cisco Unified Communications Manager Administration môžete nakonfigurovať LSC, ako je popísané v príručke Cisco Unified Communications Manager zabezpečenia. Prípadne môžete spustiť inštaláciu LSC z ponuky Zabezpečenie v telefóne. Táto ponuka vám tiež umožňuje aktualizovať alebo odstrániť LSC.

Telefóny používajú profil zabezpečenia telefónu, ktorý definuje, či je zariadenie nezabezpečené alebo zabezpečené. Informácie o použití profilu zabezpečenia v telefóne nájdete v dokumentácii k konkrétnemu vydaniu Cisco Unified Communications Manager.

Ak nastavenia týkajúce sa zabezpečenia nakonfigurujete v Cisco Unified Communications Manager Administration, konfiguračný súbor telefónu bude obsahovať citlivé informácie. Ak chcete zabezpečiť súkromie konfiguračného súboru, musíte ho nakonfigurovať na šifrovanie. Podrobné informácie nájdete v dokumentácii k vášmu konkrétnemu vydaniu Cisco Unified Communications Manager.

Nasledujúca tabuľka poskytuje prehľad funkcií zabezpečenia, ktoré telefóny podporujú. Ďalšie informácie nájdete v dokumentácii k vášmu konkrétnemu vydaniu Cisco Unified Communications Manager.

Tabuľka 1. Prehľad ochranných prvkov

Funkcia

Popis

Autentifikácia obrazu

Podpísané binárne súbory zabraňujú manipulácii s obrazom firmvéru pred načítaním obrázka do telefónu.

Manipulácia s obrázkom spôsobí, že telefón zlyhá v procese overenia a odmietne nový obrázok.

Inštalácia certifikátu zákazníckeho pracoviska

Každý Cisco IP Phone vyžaduje jedinečný certifikát na overenie zariadenia. Telefóny obsahujú certifikát s inštaláciou výroby (MIC), ale pre zvýšenie bezpečnosti môžete inštaláciu certifikátu zadať v Cisco Unified Communications Manager Administration pomocou certificate authority proxy function (CAPF). Prípadne môžete nainštalovať Locally Significant Certificate (LSC) z ponuky Zabezpečenie v telefóne.

Overenie zariadenia

Vyskytuje sa medzi Cisco Unified Communications Manager server a telefónom, keď každá entita prijme certifikát druhej entity. Určuje, či by malo dôjsť k zabezpečenému pripojeniu medzi telefónom a Cisco Unified Communications Manager; a v prípade potreby vytvorí bezpečnú signalizačnú cestu medzi entitami pomocou protokolu TLS. Cisco Unified Communications Manager neregistruje telefóny, pokiaľ ich nedokáže overiť.

Overenie súboru

Overuje digitálne podpísané súbory, ktoré telefón stiahne. Telefón overí podpis, aby sa ubezpečil, že po vytvorení súboru nedošlo k manipulácii so súbormi. Súbory, ktoré zlyhajú pri overení, sa nezapíšu do pamäte flash v telefóne. Telefón takéto súbory odmietne bez ďalšieho spracovania.

Šifrovanie súborov

Šifrovanie zabraňuje odhaleniu citlivých informácií počas prenosu súboru do telefónu. Okrem toho telefón overí podpis, aby sa ubezpečil, že po vytvorení súboru nedošlo k manipulácii so súbormi. Súbory, ktoré zlyhajú pri overení, sa nezapíšu do pamäte flash v telefóne. Telefón takéto súbory odmietne bez ďalšieho spracovania.

Autentifikácia signalizácie

Používa protokol TLS na overenie, či počas prenosu nedošlo k žiadnej manipulácii so signalizačnými paketmi.

Certifikát nainštalovanej výroby

Každý Cisco IP Phone obsahuje jedinečný výrobný nainštalovaný certifikát (MIC), ktorý sa používa na overenie zariadenia. MIC poskytuje trvalý jedinečný dôkaz totožnosti telefónu a umožňuje Cisco Unified Communications Manager overiť telefón.

Šifrovanie médií

Používa SRTP na zabezpečenie toho, aby sa streamy médií medzi podporovanými zariadeniami ukázali ako bezpečné a aby údaje prijímalo a čítalo iba určené zariadenie. Zahŕňa vytvorenie páru primárnych kľúčov médií pre zariadenia, doručenie kľúčov zariadeniam a zabezpečenie doručenia kľúčov počas prenosu kľúčov.

CAPF (Certificate Authority Proxy Function)

Implementuje časti postupu generovania certifikátov, ktoré sú pre telefón príliš náročné na spracovanie, a komunikuje s telefónom pri generovaní kľúčov a inštalácii certifikátov. CAPF je možné nakonfigurovať tak, aby v mene telefónu požadoval certifikáty od certifikačných autorít určených zákazníkom, alebo ho možno nakonfigurovať na lokálne generovanie certifikátov.

Podporované sú oba typy klávesov EC (eliptická krivka) a RSA. Ak chcete použiť kľúč EC, uistite sa, že je povolený parameter "Endpoint Advanced Encryption Algorithms Support" (z parametra System >Enterprise).

Ďalšie informácie o CAPF a súvisiacich konfiguráciách nájdete v nasledujúcich dokumentoch:

Profil zabezpečenia

Definuje, či je telefón nezabezpečený, overený, šifrovaný alebo chránený. Ďalšie položky v tejto tabuľke popisujú funkcie zabezpečenia.

Šifrované konfiguračné súbory

Umožňuje zabezpečiť súkromie konfiguračných súborov telefónu.

Voliteľné vypnutie webového servera pre telefón

Z bezpečnostných dôvodov môžete zabrániť prístupu na webové stránky telefónu (ktoré zobrazujú rôzne prevádzkové štatistiky telefónu) a portálu samoobsluhy.

Kalenie telefónu

Ďalšie možnosti zabezpečenia, ktoré ovládate z Cisco Unified Communications Manager Administration:

  • Vypnutie bezdôvodného protokolu ARP (GARP)
  • Zakázanie prístupu k ponuke nastavení alebo poskytnutie obmedzeného prístupu
  • Zakázanie prístupu k webovým stránkam správy telefónu
  • Zakázanie portu príslušenstva Bluetooth
  • Obmedzenie šifier TLS

Secure SIP Failover pre SRST

Po nakonfigurovaní referencie Survivable Remote Site Telephony (SRST) z bezpečnostných dôvodov a následnom resetovaní závislých zariadení v Cisco Unified Communications Manager Administration server TFTP pridá certifikát SRST do súboru CNF.XML telefónu a odošle súbor do telefónu. Zabezpečený telefón potom používa pripojenie TLS na interakciu so smerovačom s podporou SRST.

Signalizačné šifrovanie

Zaisťuje, že všetky signalizačné správy SIP, ktoré sa odosielajú medzi zariadením a Cisco Unified Communications Manager server, sú šifrované.

Alarm aktualizácie zoznamu certifikátov

Keď sa zoznam dôveryhodných certifikátov aktualizuje v telefóne, Cisco Unified Communications Manager dostane alarm, ktorý indikuje úspech alebo neúspech aktualizácie. Ďalšie informácie nájdete v nasledujúcej tabuľke.

AES 256 Šifrovanie

Pri pripojení k Cisco Unified Communications Manager Release 10.5 (2) a novším telefóny podporujú podporu šifrovania AES 256 pre TLS a SIP pre signalizáciu a šifrovanie médií. To umožňuje telefónom iniciovať a podporovať pripojenia TLS 1.2 pomocou šifier založených na AES-256, ktoré vyhovujú štandardom SHA-2 (Secure Hash Algorithm) a sú v súlade s federálnymi štandardmi spracovania informácií (FIPS). Šifry zahŕňajú:

  • Pre pripojenia TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Pre SRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Ďalšie informácie nájdete v dokumentácii Cisco Unified Communications Manager.

Certifikáty algoritmu digitálneho podpisu eliptickej krivky (ECDSA)

V rámci certifikácie Common Criteria (CC) Cisco Unified Communications Manager; pridané certifikáty ECDSA vo verzii 11.0. Týka sa to všetkých produktov hlasového operačného systému (VOS) so systémom CUCM 11.5 a novšími verziami.

Certifikát Tomcat s viacerými servermi (SAN) s Cisco UCM

Telefón podporuje Cisco UCM s nakonfigurovanými certifikátmi Tomcat (Multi-server (SAN). Správnu adresu servera TFTP nájdete v súbore ITL telefónu na registráciu telefónu.

Ďalšie informácie o tejto funkcii nájdete v týchto témach:

Nasledujúca tabuľka obsahuje informácie o aktualizácii zoznamu dôveryhodných, výstražných hláseniach a význame. Ďalšie informácie nájdete v dokumentácii Cisco Unified Communications Manager.

Tabuľka 2. Aktualizácia zoznamu certifikátov výstražné hlásenia
Kód a správa Popis

1 - TL_SUCCESS

Prijaté nové CTL a / alebo ITL

2 - CTL_INITIAL_SUCCESS

Prijaté nové CTL, žiadna existujúca TL

3 - ITL_INITIAL_SUCCESS

Prijaté nové ITL, žiadna existujúca TL

4 - TL_INITIAL_SUCCESS

Prijaté nové CTL a ITL, žiadne existujúce TL

5 - TL_FAILED_OLD_CTL

Aktualizácia na novú CTL zlyhala, ale má predchádzajúcu TL

6 - TL_FAILED_NO_TL

Aktualizácia na novú TL zlyhala a nemáte žiadnu starú TL

7 - TL_FAILED

Všeobecné zlyhanie

8 - TL_FAILED_OLD_ITL

Aktualizácia na nový ITL zlyhal, ale má predchádzajúcu TL

9 - TL_FAILED_OLD_TL

Aktualizácia na novú TL zlyhala, ale mala predchádzajúcu TL

Zabezpečenie telefonických hovorov

Keď je implementované zabezpečenie telefónu, môžete identifikovať zabezpečené telefónne hovory podľa ikon na obrazovke telefónu. Zabezpečenie a ochranu pripojeného telefónu môžete určiť aj vtedy, ak sa na začiatku hovoru ozve tón zabezpečenia.

Pri zabezpečenom hovore sú všetky signalizácie hovorov a prúdy mediálnych údajov šifrované. Zabezpečený hovor ponúka vysokú úroveň zabezpečenia a poskytuje integritu a súkromie hovoru. Keď je prebiehajúci hovor šifrovaný, zobrazí sa ikona zabezpečeného hovoru Ikona zabezpečeného hovoru 9821 Na linke.

  • Ak je hovor smerovaný cez spoje bez použitia protokolu IP, napríklad prostredníctvom verejnej telefónnej siete (PSTN), hovor môže byť nezabezpečený, aj keď je šifrovaný v rámci siete IP a je k nemu priradená ikona zámku.

  • Zabezpečené volanie je podporované iba pre pripojenia medzi dvoma telefónmi. Niektoré funkcie, napríklad konferenčné hovory a zdieľané linky, nie sú pri nakonfigurovaní zabezpečeného hovoru dostupné.

V Cisco Unified Communications Manager možno telefónom nakonfigurovaným ako bezpečné (šifrované a dôveryhodné) priradiť chránený stav. Po ochrane môžu byť tieto zariadenia nakonfigurované tak, aby na začiatku každého hovoru prehrávali bezpečnostný tón.

  • Chránené zariadenie:

    Zmena stavu zabezpečeného telefónu na chránený:

    1. V Cisco Unified Communications Manager Administration vyberte položku Device > Phone.
    2. Nájdite telefón, ktorý nastavíte.
    3. V okne Konfigurácia telefónu začiarknite políčko Chránené zariadenie .
    4. Kliknite na položku Uložiť.
  • Prehrať bezpečný indikačný tón:

    Povolenie prehrávania zabezpečeného alebo nezabezpečeného indikačného tónu v chránenom telefóne:

    1. V Cisco Unified Communications Manager Administration vyberte položku Parametre systému >služby.
    2. Vyberte server a potom službu Cisco CallManager .
    3. V oblasti Clusterwide Parameters (Feature – Secure Tone) ) nastavte položku Tón prehrávania na indikáciu stavu zabezpečeného alebo nezabezpečeného hovoru na hodnotu True.
    4. Kliknite na položku Uložiť.

Bezpečná identifikácia konferenčného hovoru

Môžete iniciovať bezpečný konferenčný hovor a monitorovať úroveň zabezpečenia účastníkov. Zabezpečený konferenčný hovor sa vytvorí pomocou tohto postupu:

  1. Používateľ iniciuje konferenciu zo zabezpečeného telefónu.

  2. Cisco Unified Communications Manager priradí hovoru zabezpečený konferenčný most.

  3. Keď sa pridajú účastníci, Cisco Unified Communications Manager overí režim zabezpečenia každého telefónu a zachová úroveň zabezpečenia konferencie.

  4. Telefón zobrazuje úroveň zabezpečenia konferenčného hovoru. Na zabezpečenej konferencii sa zobrazí ikona zabezpečeného Ikona zabezpečeného hovoru 9821.

Zabezpečené volanie je podporované medzi dvoma telefónmi. V chránených telefónoch nie sú pri nakonfigurovaní zabezpečeného hovoru dostupné niektoré funkcie, napríklad konferenčné hovory, zdieľané linky a Extension Mobility.

Nasledujúca tabuľka obsahuje informácie o zmenách úrovní zabezpečenia konferencie v závislosti od úrovne zabezpečenia telefónu iniciátora, úrovní zabezpečenia účastníkov a dostupnosti zabezpečených konferenčných mostov.

Tabuľka 3. Bezpečnostné obmedzenia pri konferenčných hovoroch

Úroveň zabezpečenia telefónu iniciátora

Použitá funkcia

Úroveň zabezpečenia účastníkov

Výsledky akcie

Nezabezpečené

Konferenčný hovor

Bezpečné

Nezabezpečený konferenčný most

Nezabezpečená konferencia

Bezpečné

Konferenčný hovor

Najmenej jeden člen nie je zabezpečený.

Zabezpečený konferenčný most

Nezabezpečená konferencia

Bezpečné

Konferenčný hovor

Bezpečné

Zabezpečený konferenčný most

Bezpečná konferencia na šifrovanej úrovni

Nezabezpečené

Zoznámte sa so mnou

Minimálna úroveň zabezpečenia je šifrovaná.

Iniciátor dostane tón opätovného poradia.

Bezpečné

Zoznámte sa so mnou

Minimálna úroveň zabezpečenia nie je zabezpečená.

Zabezpečený konferenčný most

Konferencia prijíma všetky hovory.

Bezpečná identifikácia telefonického hovoru

Zabezpečený hovor sa vytvorí, keď je váš telefón a telefón na druhom konci nakonfigurovaný na zabezpečené volanie. Druhý telefón môže byť v rovnakej sieti Cisco IP alebo v sieti mimo siete IP. Zabezpečené hovory je možné uskutočňovať iba medzi dvoma telefónmi. Konferenčné hovory by mali podporovať zabezpečený hovor po nastavení zabezpečeného konferenčného mosta.

Zabezpečený hovor sa vytvorí pomocou tohto procesu:

  1. Používateľ iniciuje hovor zo zabezpečeného telefónu (zabezpečený režim zabezpečenia).

  2. Telefón zobrazí ikonu zabezpečenia Ikona zabezpečeného hovoru 9821 Na obrazovke telefónu. Táto ikona označuje, že telefón je nakonfigurovaný na zabezpečené hovory, ale to neznamená, že je zabezpečený aj druhý pripojený telefón.

  3. Ak sa hovor pripája k inému zabezpečenému telefónu, používateľ počuje bezpečnostný tón, ktorý naznačuje, že oba konce konverzácie sú šifrované a zabezpečené. Ak sa hovor pripojí k nezabezpečenému telefónu, používateľ nepočuje tón zabezpečenia.

Zabezpečené volanie je podporované medzi dvoma telefónmi. V chránených telefónoch nie sú pri nakonfigurovaní zabezpečeného hovoru dostupné niektoré funkcie, napríklad konferenčné hovory, zdieľané linky a Extension Mobility.

Tieto zabezpečené alebo nezabezpečené indikačné tóny prehrávajú iba chránené telefóny. Nechránené telefóny nikdy neprehrávajú zvuky. Ak sa počas hovoru zmení celkový stav hovoru, zmení sa tón signalizácie a chránený telefón prehrá príslušný tón.

Keď je možnosť Tón prehrávania indikujúca stav zabezpečeného alebo nezabezpečeného hovoru nastavená na hodnotu Pravda:

  • Keď je vytvorené zabezpečené médium počas celého spojenia a stav hovoru je zabezpečený, telefón prehrá tón signalizácie zabezpečeného spojenia (tri dlhé pípnutia s prestávkami).

  • Keď je vytvorené nezabezpečené médium typu end-to-end a stav hovoru je nezabezpečený, telefón prehrá nezabezpečený indikačný tón (šesť krátkych pípnutí s krátkymi prestávkami).

Ak je možnosť Prehrať tón na indikáciu stavu zabezpečeného alebo nezabezpečeného hovoru nastavená na hodnotu Nepravda, neprehrá sa žiadny tón.

Poskytnutie šifrovania pre nákladný čln

Cisco Unified Communications Manager kontroluje stav zabezpečenia telefónu pri vytváraní konferencií a mení bezpečnostnú indikáciu konferencie alebo blokuje dokončenie hovoru, aby sa zachovala integrita a bezpečnosť v systéme.

Používateľ nemôže vstúpiť do šifrovaného hovoru, ak telefón, ktorý sa používa na pristúpenie, nie je nakonfigurovaný na šifrovanie. Ak čln v tomto prípade zlyhá, zaznie v telefóne, v ktorom bol čln iniciovaný, tón zmeny poradia (rýchlo obsadený).

Ak je telefón iniciátora nakonfigurovaný na šifrovanie, iniciátor člna môže vstúpiť do nezabezpečeného hovoru zo šifrovaného telefónu. Po uskutočnení člna Cisco Unified Communications Manager klasifikuje hovor ako nezabezpečený.

Ak je telefón iniciátora nakonfigurovaný na šifrovanie, iniciátor člna môže vstúpiť do šifrovaného hovoru a telefón označí, že hovor je šifrovaný.

Zabezpečenie bezdrôtovej siete LAN

Pretože všetky zariadenia WLAN, ktoré sú v dosahu, môžu prijímať všetku ostatnú prevádzku WLAN, zabezpečenie hlasovej komunikácie je v sieti WLAN rozhodujúce. Aby sa zabezpečilo, že votrelci nebudú manipulovať ani nezachytiť hlasovú prevádzku, architektúra Cisco SAFE Security podporuje telefón. Ďalšie informácie o zabezpečení sietí nájdete v téme http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Bezdrôtové telefónne riešenie Cisco IP poskytuje zabezpečenie bezdrôtovej siete, ktoré zabraňuje neoprávnenému prihláseniu a narušeniu komunikácie pomocou nasledujúcich metód overovania, ktoré telefón podporuje.

  • Otvorené overenie: Každé bezdrôtové zariadenie môže požiadať o overenie v otvorenom systéme. Prístupový bod, ktorý prijme žiadosť, môže udeliť autentifikáciu ktorémukoľvek žiadateľovi alebo len žiadateľom, ktorí sa nachádzajú v zozname používateľov. Komunikácia medzi bezdrôtovým zariadením a prístupovým bodom (AP) mohla byť nešifrovaná.

  • Rozšíriteľný autentifikačný protokol – flexibilné overovanie prostredníctvom zabezpečeného tunelovania (EAP-FAST) Autentifikácia: Táto architektúra zabezpečenia klient-server šifruje EAP transakcie v rámci tunela Transport Level Security (TLS) medzi prístupovým bodom a serverom RADIUS, ako je napríklad Identity Services Engine (ISE).

    Tunel TLS používa poverenia chráneného prístupu (PAC) na autentifikáciu medzi klientom (telefónom) a serverom RADIUS. Server odošle klientovi (telefónu) autoritu ID (AID), ktorá v TURN vyberie príslušné PAC. Klient (telefón) vráti PAC-Opaque na server RADIUS. Server dešifruje PAC primárnym kľúčom. Oba koncové body teraz obsahujú kľúč PAC a vytvorí sa tunel TLS. EAP-FAST podporuje automatické poskytovanie PAC, ale musíte ho povoliť na serveri RADIUS.

    V systéme ISE predvolene platnosť PAC vyprší o týždeň. Ak má telefón PAC s vypršanou platnosťou, overenie pomocou servera RADIUS trvá dlhšie, kým telefón dostane nový PAC. Aby ste sa vyhli oneskoreniam pri poskytovaní PAC, nastavte dobu vypršania platnosti PAC na 90 dní alebo dlhšie na serveri ISE alebo RADIUS.

  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Autentifikácia: EAP-TLS vyžaduje certifikát klienta na autentifikáciu a prístup do siete. V prípade bezdrôtového pripojenia EAP-TLS môže byť certifikátom klienta certifikát MIC, LSC, alebo certifikát nainštalovaný používateľom.

  • Protected Extensible Authentication Protocol (PEAP): Cisco proprietárna vzájomná autentifikačná schéma založená na hesle medzi klientom (telefónom) a serverom RADIUS. Telefón môže použiť PEAP na autentifikáciu v bezdrôtovej sieti. Podporované sú metódy overovania PEAP-MSCHAPV2 aj PEAP-GTC.

  • Predzdieľaný kľúč (PSK): Telefón podporuje formáty ASCII a hexadecimálne (HEX). Tieto formáty musíte použiť pri nastavovaní vopred zdieľaného kľúča WPA2/SAE.

    ASCII: Reťazec znakov ASCII s dĺžkou 8 až 63 znakov (0-9, malé a-z, veľké A-Z a špeciálne znaky). Napríklad,GREG123567@9ZX &W.

    HEX: reťazec so šesťhrannými znakmi a dĺžkou 64 hexadecimálnych číslic (0-9, a-f alebo A-F).

Nasledujúce schémy overovania používajú server RADIUS na správu autentifikačných kľúčov:

  • WPA2/WPA3: Používa informácie o serveri RADIUS na generovanie jedinečných kľúčov na overenie. Keďže tieto kľúče sú generované na centralizovanom serveri RADIUS, WPA2/WPA3 poskytuje väčšiu bezpečnosť ako WPA predzdieľané kľúče, ktoré sú uložené v prístupovom bode a telefóne.

  • Rýchly zabezpečený roaming: Používa informácie zo servera RADIUS a bezdrôtového doménového servera (WDS) na správu a overovanie kľúčov. WDS vytvára vyrovnávaciu pamäť bezpečnostných poverení pre klientske zariadenia s podporou FT pre rýchlu a bezpečnú opätovnú autentifikáciu.

Pri zabezpečení WPA2/WPA3 sa šifrovacie kľúče nezadávajú do telefónu, ale automaticky sa odvodzujú medzi prístupovým bodom a telefónom. Používateľské meno a heslo EAP, ktoré sa používajú na overenie, však musia byť zadané na každom telefóne.

Na ochranu hlasovej prevádzky prostredníctvom bezdrôtového spojenia telefón podporuje šifrovanie WPA2/WPA3 založené na AES. AES je symetrická bloková šifra štandardizovaná NIST. AES používa pevnú 128-bitovú veľkosť bloku a podporuje kľúčové veľkosti 128 bitov, 192 bitov a 256 bitov. V sieťach Wi-Fi používajú AES šifrovacie balíky ako CCMP alebo GCMP, zatiaľ čo autentifikáciu poskytuje samostatne PSK, SAE alebo 802.1X / EAP, v závislosti od nakonfigurovaného bezpečnostného režimu WLAN. Podporovaná šifrovacia sada a veľkosť kľúča závisia od modelu telefónu a konfigurácie WLAN.

Keď telefón používa šifrovanie AES, medzi prístupovým bodom a telefónom sú šifrované pakety signalizácie SIP aj hlasové pakety protokolu prenosu v reálnom čase (RTP).

Schémy overovania a šifrovania sú nastavené v rámci bezdrôtovej siete LAN. VLAN sú konfigurované v sieti a na prístupových bodoch a špecifikujú rôzne kombinácie autentifikácie a šifrovania. SSID sa spája s VLAN a konkrétnou autentifikačnou a šifrovacou schémou. Ak chcete, aby sa bezdrôtové klientske zariadenia úspešne overili, musíte na prístupových bodoch a v telefóne nakonfigurovať rovnaké identifikátory SSID s ich schémami overovania a šifrovania.

Niektoré schémy overovania vyžadujú špecifické typy šifrovania.

Ak používate predzdieľaný kľúč WPA2 alebo SAE, predzdieľaný kľúč musí byť staticky nastavený v telefóne. Tieto klávesy sa musia zhodovať s klávesmi, ktoré sú na prístupovom bode.

Schémy overovania a šifrovania v nasledujúcej tabuľke zobrazujú možnosti konfigurácie siete pre Cisco bezdrôtový telefón 9821, ktoré zodpovedajú konfigurácii prístupového bodu.

Tabuľka 4. Schémy autentifikácie a šifrovania
FSR TypOverovanieSpráva kľúčovŠifrovanieChránený rámec správy (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNie
802.11r (FT)WPA3

SAE

FT-SAE

AESÁno
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNie
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESÁno
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNie
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESÁno
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNie
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESÁno
Mimo FTApartmán-BWPA-EAP-SUITE-BGCMPÁno
Mimo FTApartmán-B-192WPA-EAP-SUITE-B-192GCMPÁno

Nastavenie profilu Wi-Fi

Môžete nakonfigurovať profil Wi-Fi a priradiť ho k bezdrôtovému telefónu Cisco 9821. Tento profil obsahuje parametre potrebné na to, aby telefón nadviazal spojenie Wi-Fi a následne sa zaregistroval pomocou Cisco Unified CM. Keď vytvoríte a používate profil Wi-Fi, vy ani vaši používatelia nemusíte konfigurovať bezdrôtovú sieť pre jednotlivé telefóny.

Odporúčame, aby ste použili zabezpečený profil s povoleným šifrovaním TFTP na ochranu vašich kľúčov a hesiel v profile Wi-Fi.

Telefóny podporujú jeden certifikát servera na jednu metódu inštalácie (manuál, SCEP alebo TFTP).

Pred konfiguráciou profilu WLAN majte na pamäti nasledujúce poznámky:

  • Meno používateľa a heslo

    • Ak vaša sieť používa na overenie používateľa EAP-FAST a PEAP, musíte v službe RADIUS (Remote Authentication Dial-In User Service) a telefóne nakonfigurovať meno používateľa aj heslo, ak sa to vyžaduje.

    • Poverenia, ktoré zadáte do profilu bezdrôtovej siete LAN, musia byť totožné s povereniami, ktoré ste nakonfigurovali na serveri RADIUS.
    • Ak používate domény v rámci svojej siete, musíte zadať meno používateľa s názvom domény vo formáte: doména\menopoužívateľa.

  • Nasledujúce akcie môžu viesť k vymazaniu existujúceho hesla Wi-Fi:

    • Zadanie neplatného používateľa ID alebo hesla
    • Inštalácia neplatnej koreňovej certifikačnej autority alebo s uplynutou platnosťou, keď je typ EAP nastavený na PEAP-MSCHAPV2 alebo PEAP-GTC
    • Vypnutie používaného typu EAP na serveri RADIUS pred prepnutím telefónu na nový typ EAP
  • Ak chcete zmeniť typ EAP, uistite sa, že ste najskôr povolili nový typ EAP na serveri RADIUS a potom prepnite telefón na typ EAP. Po zmene všetkých telefónov na nový typ EAP môžete predchádzajúci typ EAP zakázať, ak chcete.
1

V Cisco Unified Communications Manager Administration vyberte položku Device> Device Settings > Wireless LAN Profile (Nastavenie zariadeniaProfil bezdrôtovej siete LAN.

2

Kliknite na položku Pridať nové.

3

V časti Informácie o profile bezdrôtovej siete LAN nastavte parametre:

  • Názov – zadajte jedinečný názov profilu Wi-Fi. Tento názov sa zobrazí na obrazovke telefónu.

  • Popis – zadajte popis profilu Wi-Fi, ktorý vám pomôže odlíšiť tento profil od ostatných profilov Wi-Fi.

  • Upraviteľné používateľom – vyberte možnosť:

    • Povolené – označuje, že používateľ môže vo svojom telefóne vykonávať zmeny v nastaveniach Wi-Fi. Táto možnosť je predvolene vybratá.

    • Zakázané – označuje, že používateľ nemôže vykonávať žiadne zmeny v nastaveniach Wi-Fi vo svojom telefóne.

    • Obmedzené – označuje, že používateľ môže zmeniť Wi-Fi meno používateľa a heslo vo svojom telefóne. Používatelia však nesmú meniť iné nastavenia Wi-Fi v telefóne. Keď vaša sieť používa EAP-TLS na overenie používateľa, používateľ si môže vybrať typ certifikátu (MIC, LSC alebo Nainštalované používateľom).

4

V časti Nastavenia bezdrôtového pripojenia nastavte parametre:

  • SSID (Názov siete) – zadajte názov siete dostupný v používateľskom prostredí, ku ktorému je možné telefón pripojiť. Tento názov sa zobrazí v zozname dostupných sietí v telefóne a telefón sa môže pripojiť k tejto bezdrôtovej sieti.

  • Frekvenčné pásmo – dostupné možnosti sú Auto, 2,4 GHz a 5 GHz. Toto pole určuje frekvenčné pásmo, ktoré bezdrôtové pripojenie využíva. Ak vyberiete možnosť Auto, telefón sa najskôr pokúsi použiť pásmo 5 GHz alebo 6 GHz a pásmo 2,4 GHz použije len vtedy, keď nie je k dispozícii pásmo 5 GHz alebo 6 GHz.

5

V časti Nastavenia overovania nastavte metódu overovania na jednu z týchto metód overovania: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK a Žiadne.

Cisco Bezdrôtový telefón 9821 nepodporuje WEP.

Po nastavení tohto poľa sa môžu zobraziť ďalšie polia, ktoré je potrebné nastaviť.

  • Certifikát používateľa – vyžaduje sa na overenie EAP-TLS. Vyberte možnosť MIC, LSC alebo Nainštalované používateľom. Telefón vyžaduje inštaláciu certifikátu, buď automaticky z SCEP alebo manuálne z administračnej stránky v telefóne.

  • Prístupová fráza PSK – vyžaduje sa na overenie PSK. Zadajte prístupovú frázu ASCII alebo 64 HEX znakov.

  • Poskytnite zdieľané poverenia: požadované na overenie EAP-FAST, PEAP-MSCHAPv2 a PEAP-GTC.

    • Ak používateľské meno a heslo spravuje používateľ, polia Meno používateľa a Heslo nechajte prázdne .

    • Ak všetci používatelia zdieľajú rovnaké používateľské meno a heslo, môžete tieto informácie zadať do polí Meno používateľa a Heslo .

    • Zadajte popis do poľa Popis hesla.

    Ak potrebujete každému používateľovi priradiť jedinečné používateľské meno a heslo, musíte pre každého používateľa vytvoriť profil.

Cisco Bezdrôtový telefón 9821 nepodporuje pole Profil prístupu do siete.

6

Kliknite na položku Uložiť.

Čo robiť ďalej

Naviažte profil bezdrôtovej siete LAN na skupinu profilov WLAN a potom použite skupinu profilov WLAN na fond zariadení (fond systémov > fond zariadení) alebo priamo na telefón (zariadenie > telefón).

Inštalácia certifikátu používateľa z webovej stránky správy telefónu

Certifikát používateľa môžete do telefónu nainštalovať manuálne, ak nie je k dispozícii protokol SCEP (Simple Certificate Enrollment Protocol).

Predinštalovaný certifikát Manufacturing Installed Certificate (MIC) je možné použiť ako certifikát používateľa pre EAP-TLS.

Po nainštalovaní certifikátu používateľa je potrebné pridať reťazec certifikačných autorít, ktorý vydal certifikát používateľa, do zoznamu dôveryhodných serverov RADIUS.

Skôr než začnete

Pred inštaláciou certifikátu používateľa do telefónu musíte mať:

  • Certifikát používateľa uložený v počítači. Certifikát musí byť vo formáte PKCS #12.

  • Heslo pre výpis certifikátu. Dĺžka hesla nesmie presiahnuť 32 znakov.

1

Na webovej stránke správy telefónu vyberte položku Certifikáty.

2

Vyhľadajte pole Nainštalovaný používateľom a kliknite na tlačidlo Inštalovať.

3

V počítači vyhľadajte certifikát.

4

Do poľa Extrahovať heslo zadajte heslo pre výpis certifikátu.

5

Kliknite na položku Nahrať.

6

Po dokončení nahrávania reštartujte telefón.

Inštalácia certifikačnej autority autentifikačného servera z webovej stránky správy telefónu

Ak protokol SCEP (Simple Certificate Enrollment Protocol) nie je k dispozícii, môžete do telefónu nainštalovať certifikačnú autoritu autentifikačného servera.

Musí byť nainštalovaný koreňový certifikát CA, ktorý vydal certifikát servera RADIUS.

Skôr než začnete

Pred inštaláciou certifikátu do telefónu musíte mať v počítači uloženú certifikačnú autoritu autentifikačného servera. Certifikát musí byť kódovaný v PEM (Base-64) alebo DER.

1

Na webovej stránke správy telefónu vyberte položku Certifikáty.

2

Vyhľadajte pole CA overovacieho servera a kliknite na tlačidlo Inštalovať.

3

V počítači vyhľadajte certifikát.

4

Kliknite na položku Nahrať.

5

Po dokončení nahrávania reštartujte telefón.

Manuálne odstránenie certifikátu zabezpečenia z webovej stránky správy telefónu

Certifikát zabezpečenia môžete z telefónu odstrániť manuálne, ak nie je k dispozícii protokol SCEP (Simple Certificate Enrollment Protocol).

1

Na webovej stránke správy telefónu vyberte položku Certifikáty.

2

Vyhľadajte certifikát na stránke Certifikáty .

3

Kliknite na položku Odstrániť.

4

Po dokončení procesu odstránenia reštartujte telefón.

Nastavenie programu SCEP

Simple Certificate Enrollment Protocol (SCEP) je štandard pre automatické poskytovanie a obnovovanie certifikátov. Vyhýba sa manuálnej inštalácii certifikátov do vašich telefónov.

Aktivácia špecifických konfiguračných parametrov SCEP

Nasledujúce parametre SCEP musíte nakonfigurovať na Cisco Unified Communications Manager (Unified CM).

  • RA IP adresa alebo názov hostiteľa

  • SHA-1 alebo SHA-256 odtlačok koreňového certifikátu CA pre server SCEP

Cisco IOS Registration Authority (RA) slúži ako proxy server SCEP. Klient SCEP v telefóne používa parametre, ktoré sú stiahnuté z Cisco Unified CM. Po nakonfigurovaní parametrov telefón odošle požiadavku SCEP getcs do RA a koreňový certifikát CA sa overí pomocou definovaného odtlačku prsta.

1

V časti Cisco Unified Communications Manager Administration vyberte položku Zariadenie > telefón.

2

Vyhľadajte telefón.

3

Prejdite do oblasti Rozloženie konfigurácie špecifickej pre daný produkt.

4

Začiarknite políčko WLAN SCEP Server pre aktiváciu parametra SCEP.

5

Začiarknite políčko WLAN Root CA Fingerprint (SHA256 alebo SHA1), čím aktivujete parameter SCEP QED.

Podpora serverov SCEP

Ak používate server SCEP (Simple Certificate Enrollment Protocol), server môže automaticky uchovávať vaše používateľské a serverové certifikáty. Na serveri SCEP nakonfigurujte registračného agenta SCEP (RA) na:

  • Pôsobiť ako bod dôvery PKI

  • Pôsobiť ako PKI RA

  • Vykonanie overenia zariadenia pomocou servera RADIUS

Ďalšie informácie nájdete v dokumentácii k serveru SCEP.

Nastavenie Locally Significant Certificate (LSC)

Existuje niekoľko spôsobov, ako nainštalovať LSC. Táto vzorová úloha sa vzťahuje na nastavenie LSC s metódou overovacieho reťazca na bezdrôtovom telefóne Cisco 9821.

Skôr než začnete

Uistite sa, že sú dokončené príslušné konfigurácie zabezpečenia Cisco Unified CM a certificate authority proxy function (CAPF).

  • Súbor CTL alebo ITL obsahuje certifikát CAPF.

  • V časti Cisco Unified Communications Operating System Administration skontrolujte, či je nainštalovaný certifikát CAPF.

  • CAPF je spustený a nakonfigurovaný.

Ďalšie informácie o týchto nastaveniach nájdete v dokumentácii k vášmu konkrétnemu vydaniu Cisco Unified CM.

1

Získajte overovací reťazec CAPF, ktorý bol nastavený pri konfigurácii CAPF.

2

V telefóne prejdite na nastavenia 9821 Settings app icon App.

3

Vyberte položku Nastavenia správcu> Konfigurácia systému> Zabezpečenie > LSC.

4

Zadajte overovací reťazec.

5

Stlačte Viac 9821 More button a vyberte položku Odoslať.

Telefón začne inštalovať, aktualizovať alebo odstraňovať LSC v závislosti od konfigurácie CAPF. Po dokončení procedúry sa v telefóne zobrazí hlásenie Nainštalované alebo Nenainštalované.

Dokončenie procesu inštalácie, aktualizácie alebo odstránenia LSC môže trvať dlho.

Po úspešnej inštalácii telefónu sa zobrazí hlásenie Nainštalované . Ak sa v telefóne zobrazuje hlásenie Nenainštalované, autorizačný reťazec môže byť nesprávny alebo inovácia telefónu nemusí byť povolená. Ak operácia CAPF odstráni LSC, telefón zobrazí hodnotu Nenainštalované , čo znamená, že operácia bola úspešná. Server CAPF zaznamenáva chybové hlásenia. Pozrite si dokumentáciu k serveru CAPF, aby ste našli denníky a pochopili význam chybových hlásení.

Autentifikácia 802.1X pre káblové siete

Cisco Bezdrôtový telefón 9821 podporuje autentifikáciu 802.1X pre káblové siete. Toto sa zvyčajne používa počas automatického poskytovania , keď je telefón pripojený k stolnej nabíjačke prostredníctvom podporovaného adaptéra USB-to-Ethernet.

Podpora autentifikácie 802.1X v káblových sieťach vyžaduje niekoľko komponentov:

  • Cisco IP Phone: Telefón iniciuje požiadavku na prístup k sieti. Cisco IP Phones obsahujú prosebníka 802.1X. Tento prosebník umožňuje správcom siete kontrolovať pripojenie telefónov IP k portom prepínača LAN. Aktuálne vydanie prosebníka telefónu 802.1X využíva možnosti EAP-FAST a EAP-TLS na overovanie siete.

  • Autentifikačný server: Autentifikačný server aj prepínač musia byť nakonfigurované so zdieľaným kľúčom RADIUS.

  • Prepínač: Prepínač musí podporovať štandard 802.1X, aby mohol fungovať ako autentifikátor a prenášať správy EAP medzi telefónom a overovacím serverom. Po dokončení výmeny prepínač udelí alebo zakáže telefónu prístup k sieti.

Cisco IP Phones a Cisco Spínače katalyzátora tradične používajú Cisco Discovery Protocol (CDP) na vzájomnú identifikáciu a určenie parametrov, ako je alokácia VLAN a požiadavky na inline napájanie.

Ak chcete nakonfigurovať 802.1X, musíte vykonať nasledujúce akcie.

  • Nakonfigurujte CDP/LLDP hlas VLAN bypass.

  • Pred zapnutím overovania 802.1X pre káblové siete v telefóne nakonfigurujte autentifikačný server a prepínač.

  • Konfigurácia hlasu VLAN: Keďže štandard 802.1X nezohľadňuje siete VLAN, mali by ste toto nastavenie nakonfigurovať na základe podpory prepínača.

    • Povolené: Ak používate prepínač, ktorý podporuje overovanie viacerých domén, môžete ho nakonfigurovať tak, aby používal hlas VLAN.
    • Vypnuté: Ak prepínač nepodporuje overovanie viacerých domén, vypnite hlas VLAN a zvážte priradenie portu k natívnemu VLAN.
  • Cisco Bezdrôtový telefón 9821 má inú predvoľbu v PID ako pre ostatné telefóny Cisco. Ak chcete, aby váš telefón prešiel overením 802.1X, nastavte okruh· Parameter Meno používateľa na zahrnutie vášho bezdrôtového telefónu Cisco 9821.

    Napríklad PID bezdrôtového telefónu Cisco 9821 je WP-9821. Môžete nastaviť polomer· Meno používateľa na začiatok na WP alebo Obsahuje WP v oboch nasledujúcich častiach:

    • Zásada > Podmienky > Podmienky knižnice

    • Politika > Množiny politík> Autorizačná politika > Autorizačné pravidlo 1

Povolenie overovania 802.1X pre káblové siete v telefóne

Ak chcete povoliť overenie 802.1X pre káblové siete v telefóne, postupujte podľa týchto krokov. Upozorňujeme, že overenie 802.1X pre Wi-Fi je predvolene povolené a nevyžaduje manuálnu konfiguráciu.

1

Prístup k nastaveniam 9821 Settings app icon App.

2

Ak sa zobrazí výzva, zadajte heslo pre prístup do ponuky Nastavenia . Heslo môžete získať od správcu.

3

Vyberte položku Nastavenia správcu> Nastavenie zabezpečenia> Overenie 802.1X.

4

Zvýraznite možnosť Autentifikácia zariadenia a stlačte tlačidlo Zapnúť.

Povoľte overovanie 802.1X pre káblové siete v Cisco Unified Communications Manager Administration

Ak chcete povoliť overovanie 802.1X pre káblové siete na Cisco Unified CM, postupujte podľa týchto krokov. Upozorňujeme, že overenie 802.1X pre Wi-Fi je predvolene povolené a nevyžaduje manuálnu konfiguráciu.

Stav transakcie a nastavenia zabezpečenia si môžete pozrieť v ponuke na obrazovke telefónu. Ďalšie informácie nájdete v téme Ponuka Nastavenie zabezpečenia na telefóne.

1

V Cisco Unified Communications Manager Administration vyberte položku Device > Phone.

2

Nájdite telefón, ktorý nastavíte.

3

Prejdite do oblasti Rozloženie konfigurácie špecifickej pre daný produkt.

4

V rozbaľovacej ponuke Overenie 802.1x vyberte možnosť Povolené .

Keď je možnosť Povolené alebo Vypnuté, možnosť Overenie zariadenia na bezdrôtovom telefóne Cisco 9821 sa zmení iba na čítanie, čo používateľom zabráni v úprave nastavení overovania 802.1X.

5

Kliknite na položku Uložiť.

6

Vyberte položku Použiť konfiguráciu.

Ponuka nastavení zabezpečenia v telefóne

Ak chcete zobraziť informácie o nastaveniach zabezpečenia z ponuky telefónu, prejdite do časti Nastavenia 9821 Settings app icon a vyberte položku Nastavenia správcu> Nastavenie zabezpečenia> Overenie 802.1X. Dostupnosť informácií závisí od nastavení siete vo vašej organizácii.

Parametre

Možnosti

Predvolené

Popis

Overenie zariadenia

Na

Off

Off

Zapína alebo vypína overovanie 802.1X v telefóne.

Nastavenie parametrov je možné zachovať po prvej registrácii telefónu (OOB).

Stav transakcie

Vypnuté

Zobrazuje stav overenia 802.1X. Štát môže byť (nie výlučne):

  • Autentifikácia – označuje, že prebieha proces overovania.
  • Overené – označuje, že telefón je overený.
  • Vypnuté – označuje, že v telefóne je zakázané overovanie pomocou protokolu 802.1x.
  • Pripája sa—Označuje, že telefón odosiela spúšťacie správy EAP prepínaču každých 30 sekúnd.
  • Získané—Označuje, že prepínač odmietol požiadavku EAP telefónu a telefón neprijíma žiadnu výzvu EAP-TLS alebo EAP-FAST z prepínača. Telefón sa znova pokúša odoslať žiadosti EAP.
  • Odpojený – označuje, že ethernetový kábel je odpojený.
  • Podržané – označuje, že prepínač spracoval požiadavku EAP telefónu, ale odmietol overenie EAP-FAST alebo EAP-TLS. Telefón sa znova pokúša odoslať žiadosti EAP.

Protokol

Žiadne

Zobrazuje metódu EAP, ktorá sa používa na overenie 802.1X. Protokol môže byť EAP-FAST alebo EAP-TLS.

Nastavenie podporovaných verzií TLS

Môžete nastaviť minimálnu verziu TLS požadovanú pre klienta a server.

V predvolenom nastavení je minimálna TLS verzia servera aj klienta 1.2. Toto nastavenie má vplyv na nasledujúce funkcie:

  • Pripojenie webového prístupu HTTPS
  • Adaptácia lokálneho telefónu
  • Služby HTTPS, ako sú adresárové služby
  • Zabezpečenie transportnej vrstvy datagramu (DTLS)
  • Entita prístupu k portom (PAE)
  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)

Ďalšie informácie o kompatibilite TLS 1.3 pre Cisco IP Phones nájdete v téme TLS 1.3 Matica kompatibility pre Cisco produkty spolupráce.

1

V Cisco Unified Communications Manager Administration vykonajte podľa potreby jednu z nasledujúcich akcií:

  • Ak chcete nakonfigurovať všetky nasadené telefóny, prejdite na stránku Konfigurácia > podnikového telefónu.
  • Ak chcete nakonfigurovať telefóny zdieľajúce rovnaký profil telefónu, prejdite na Zariadenie >Nastavenia zariadenia> Spoločný profil telefónu.
  • Ak chcete nakonfigurovať jeden telefón, prejdite na položku Zariadenie > telefón. Potom vyhľadajte telefón a otvorte stránku Konfigurácia telefónu.

Konfigurácia má hierarchickú štruktúru:

  • Jednotlivé nastavenia zariadenia majú prednosť pred nastaveniami na spoločnej úrovni profilu telefónu a na podnikovej úrovni
  • Bežné nastavenia profilu telefónu prepíšu nastavenia na podnikovej úrovni

2

Nastavte pole TLS Minimálna verzia klienta :

Možnosť TLS 1.3 je k dispozícii na Cisco Unified CM 15SU2 alebo novšej.

  • TLS 1.1: Klient TLS podporuje verzie TLS od 1.1 do 1.3.

    Ak je verzia TLS na serveri nižšia ako 1.1, napríklad 1.0, pripojenie sa nedá nadviazať.

  • TLS 1.2 (predvolené): Klient TLS podporuje TLS 1.2 a 1.3.

    Ak je verzia TLS na serveri nižšia ako 1.2, napríklad 1.1 alebo 1.0, pripojenie nie je možné nadviazať.

  • TLS 1.3: Klient TLS podporuje iba TLS 1.3.

    Ak je verzia TLS na serveri nižšia ako 1.3, napríklad 1.2, 1.1 alebo 1.0, pripojenie sa nedá nadviazať.

3

Nastavte pole TLS Server Min Version :

  • TLS 1.1: Server TLS podporuje verzie TLS od 1.1 do 1.3.

    Ak je verzia TLS v klientovi nižšia ako 1.1, napríklad 1.0, pripojenie sa nedá nadviazať.

  • TLS 1.2 (predvolené): Server TLS podporuje TLS 1.2 a 1.3.

    Ak je verzia TLS v klientovi nižšia ako 1.2, napríklad 1.1 alebo 1.0, pripojenie sa nedá nadviazať.

  • TLS 1.3: Server TLS podporuje iba TLS 1.3.

    Ak je verzia TLS v klientovi nižšia ako 1.3, napríklad 1.2, 1.1 alebo 1.0, pripojenie sa nedá nadviazať.

4

Kliknite na položku Uložiť.

5

Kliknite na položku Použiť konfiguráciu.

6

Reštartujte telefóny.

TURN vypnutý reproduktor a náhlavná súprava na bezdrôtovom telefóne Cisco 9821

Pre používateľa máte možnosť natrvalo TURN vypnúť hlasný telefón a náhlavnú súpravu na bezdrôtovom telefóne Cisco 9821. Vypnutím týchto zvukových výstupov zabezpečíte, že konverzácie nebudú počuť ostatní v okolí, čo je dôležité v zdieľanom alebo otvorenom kancelárskom prostredí.

1

V Cisco Unified Communications Manager Administration vyberte položku Device > Phone.

2

Nájdite telefón, ktorý nastavíte.

3

Prejdite do oblasti Rozloženie konfigurácie špecifickej pre daný produkt.

4

Začiarknite niektoré z nasledujúcich políčok, aby ste TURN možnosti telefónu #:

  • Vypnutie hlasného telefónu
  • Vypnutie hlasného telefónu a náhlavnej súpravy

V predvolenom nastavení tieto začiarkavacie políčka nie sú začiarknuté.

5

Kliknite na položku Uložiť.

6

Vyberte položku Použiť konfiguráciu.

Bol tento článok užitočný?
Bol tento článok užitočný?