Enhetscertifikatet kan uppdateras automatiskt av SCEP-processen.

• Telefonen kontrollerar om certifikatet upphör att gälla om 15 dagar var fjärde timme. I så fall startar telefonen certifikatförnyelseprocessen automatiskt.
• Om utmaningslösenordet är tomt använder telefonen MIC/SUDI för både inledande registrering och certifikatförnyelse. Om utmaningslösenordet har konfigurerats används det endast för inledande registrering, och det befintliga/installerade certifikatet används för certifikatförnyelse.
• Telefonen tar inte bort det gamla enhetscertifikatet förrän den har hämtat det nya.
• Om certifikatförnyelsen misslyckas på grund av att enhetscertifikatet eller CA upphör, utlöser telefonen den inledande registreringen automatiskt. Under tiden, om autentiseringen av utmaningslösenord misslyckas, visas en lösenordsinmatningsskärm på telefonskärmen och användarna uppmanas att ange utmaningslösenordet på telefonen.

Cisco IP-telefon har stöd för 802.1X-autentisering.

Cisco IP-telefoner och Cisco Catalyst-växlar använder traditionellt Cisco Discovery Protocol (CDP) för att identifiera varandra och fastställa parametrar som VLAN-tilldelning och interna strömkrav. CDP identifierar inte lokalt anslutna arbetsstationer. Cisco IP-telefon tillhandahåller en EAPOL-överföringsmekanism. Med den här mekanismen kan en arbetsstation som är ansluten till en Cisco IP-telefon överföra EAPOL-meddelanden till 802.1X-autentiseraren på LAN-växeln. Överföringsmekanismen säkerställer att IP-telefonen inte fungerar som LAN-växel för att autentisera en dataslutpunkt innan den ansluter till nätverket.

Cisco IP-telefon tillhandahåller även en proxy-EAPOL-logoff-mekanism. Om den lokalt anslutna datorn kopplar från IP-telefonen ser inte LAN-växeln den fysiska länken misslyckas eftersom länken mellan LAN-växeln och IP-telefonen bibehålls. För att undvika att äventyra nätverksintegriteten skickar IP-telefonen ett EAPOL-Logoff-meddelande till växeln på uppdrag av datorn nedströms, vilket utlöser LAN-växeln för att rensa autentiseringsposten för datorn nedströms.

Stöd för 802.1X-autentisering kräver flera komponenter:

• Cisco IP Phone Telefonen initierar begäran om åtkomst till nätverket. Cisco IP-telefon innehåller en 802.1X-supplikant. Denna supplikant gör det möjligt för nätverksadministratörer att styra anslutningen av IP-telefoner till LAN-växelportarna. Den aktuella versionen av telefonens 802.1X-supplikant använder alternativen EAP-FAST och EAP-TLS för nätverksautentisering.

• verifieringstjänst Autentiseringsservern och växeln måste båda konfigureras med en delad hemlighet som autentiserar telefonen.

• Strömbrytare: Växeln måste ha stöd för 802.1X så att den kan fungera som autentiserare och överföra meddelanden mellan telefonen och autentiseringsservern. När utbytet är klart beviljar eller nekar växeln åtkomst till nätverket för telefonen.

Du måste utföra följande åtgärder för att konfigurera 802.1X.

• Konfigurera de andra komponenterna innan du aktiverar 802.1X-autentisering på telefonen.

• Konfigurera PC-port: 802.1X-standarden tar inte hänsyn till VLAN:er och rekommenderar därför att endast en enhet ska autentiseras till en specifik växelport. Vissa växlar har dock stöd för multidomänautentisering. Växlingskonfigurationen avgör om du kan ansluta en dator till PC-porten på telefonen.

  • Aktiverad: Om du använder en växel som stöder multidomänautentisering kan du aktivera PC-porten och ansluta en dator till den. I det här fallet stöder Cisco IP-telefoner proxy EAPOL-Logoff för att övervaka autentiseringsutbytet mellan växeln och den anslutna datorn.

    Mer information om stöd för IEEE 802.1X på Cisco Catalyst-växlar finns i konfigurationsguiderna för Cisco Catalyst-växlar på:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • inaktiverad Om växeln inte har stöd för flera 802.1X-kompatibla enheter i samma port bör du inaktivera PC-porten när 802.1X-autentisering är aktiverad. Om du inte inaktiverar den här porten och sedan försöker bifoga en dator till den nekar växeln nätverksåtkomst till både telefonen och datorn.

• Konfigurera röst-VLAN: Eftersom 802.1X-standarden inte tar hänsyn till VLAN:er bör du konfigurera den här inställningen baserat på växelstödet.
  • Aktiverad: Om du använder en växel som stöder multidomänautentisering kan du fortsätta att använda röst-VLAN.
  • inaktiverad Om växeln inte har stöd för multidomänautentisering inaktiverar du röst-VLAN och överväg att tilldela porten till det inbyggda VLAN.
• (Endast för Cisco Desk Phone 9800-serien)

  Cisco Desk Phone 9800-serien har ett annat prefix i PID än för andra Cisco-telefoner. Om du vill att telefonen ska skicka 802.1X-autentisering ställer du in parametern Radius·Användarnamn så att den inkluderar din Cisco Desk Phone 9800-serien.

  PID för telefon 9841 är till exempel DP-9841. Du kan ställa in Radius·Användarnamn till Starta med DP eller Innehåller DP. Du kan ställa in det i båda följande avsnitt:

  • Policy > Villkor > Biblioteksvillkor

  • Policy > Policyuppsättningar > Behörighetspolicy > Auktoriseringsregel 1

Eftersom alla WLAN-enheter som är inom räckhåll kan ta emot all annan WLAN-trafik är det viktigt att säkra röstkommunikation i WLAN. För att säkerställa att inkräktare inte manipulerar eller stoppar rösttrafik har Cisco SAFE Security-arkitekturen stöd för telefonen. Mer information om säkerhet i nätverk finns på http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Ciscos lösning för trådlös IP-telefoni ger säkerhet för trådlösa nätverk som förhindrar obehöriga inloggningar och komprometterad kommunikation genom att använda följande autentiseringsmetoder som telefonen stöder:

• Öppna autentisering: Alla trådlösa enheter kan begära autentisering i ett öppet system. Åtkomstpunkten som tar emot begäran kan bevilja autentisering till alla begäranden eller endast till begäranden som finns på en lista över användare. Kommunikationen mellan den trådlösa enheten och åtkomstpunkten (AP) kan vara okrypterad.

• Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST): Den här klientserversäkerhetsarkitekturen krypterar EAP-transaktioner inom en TLS-tunnel (Transport Level Security) mellan åtkomstpunkten och RADIUS-servern, till exempel Identity Services Engine (ISE).

  TLS-tunneln använder PAC (Protected Access Credentials) för autentisering mellan klienten (telefonen) och RADIUS-servern. Servern skickar ett Authority-ID (AID) till klienten (telefon), som i sin tur väljer lämplig PAC. Klienten (telefonen) returnerar en PAC-ogenomskinlig till RADIUS-servern. Servern dekrypterar PAC med den primära nyckeln. Båda slutpunkterna innehåller nu PAC-nyckeln och en TLS-tunnel skapas. EAP-FAST har stöd för automatisk PAC-etablering, men du måste aktivera det på RADIUS-servern.

  I ISE upphör PAC som standard om en vecka. Om telefonen har en utgången PAC tar det längre tid att autentisera med RADIUS-servern medan telefonen får en ny PAC. För att undvika fördröjningar av PAC-etablering kan du ställa in PAC-utgångsperioden till 90 dagar eller längre på ISE- eller RADIUS-servern.

• EAP-TLS-autentisering (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS kräver ett klientcertifikat för autentisering och nätverksåtkomst. För trådlös EAP-TLS kan klientcertifikatet vara MIC, LSC eller användarinstallerat certifikat.

• Protected Extensible Authentication Protocol (PEAP): Ciscos egenutvecklad lösenordsbaserad ömsesidig autentisering mellan klienten (telefonen) och en RADIUS-server. Telefonen kan använda PEAP för autentisering med det trådlösa nätverket. Både PEAP-MSCHAPV2- och PEAP-GTC-autentiseringsmetoder stöds.

• I förväg delad nyckel (PSK): Telefonen har stöd för ASCII-format. Du måste använda det här formatet när du konfigurerar en i förväg delad nyckel för WPA/WPA2/SAE:

  ASCII: en ASCII-sträng med 8 till 63 tecken (0-9, gemener och versaler A-Z samt specialtecken)

  Exempel: GREG123567@9ZX&W