Du kan aktivera Cisco Unified Communications Manager för att fungera i en förbättrad säkerhetsmiljö. Med dessa förbättringar fungerar telefonen nätverk under ett antal strikta säkerhetskontroller och riskhanteringar för att skydda dig och dina användare.

Förbättrad säkerhetsmiljö innehåller följande funktioner:

  • Autentisering av kontaktsökning.

  • TCP som standardprotokoll för fjärrgranskningsloggning.

  • FIPS-läge.

  • En förbättrad policy för inloggningsuppgifter.

  • Stöd för SHA-2-serien med grindtecken för digitala signaturer.

  • Stöd för RSA-nyckelstorlek på 512 bitar och 4096 bitar.

Med Cisco Unified Communications Manager version 14.0 och Cisco Video Phone Firmware version 2.1 och senare stöder telefonerna SIP OAuth-autentisering.

OAuth stöds för Proxy Trivial File Transfer Protocol (TFTP) med Cisco Unified Communications Manager version 14.0(1)SU1 eller senare. Proxy TFTP och OAuth för proxy TFTP stöds inte på Mobile Remote Access (MRA).

Ytterligare information om säkerhet finns här:

Din telefon kan bara lagra ett begränsat antal ITL-filer. ITL-filerna kan inte överskrida på 64 K för telefonen och därför måste antalet filer som Cisco Unified Communications Manager skickar till telefonen begränsas.

Säkerhetsfunktioner som stöds

Säkerhetsfunktionerna skyddar mot hot, bland annat hot mot identiteten på telefonen och data. Dessa funktioner etablerar och upprätthåller autentiserade kommunikationsströmmar mellan telefonen och Cisco Unified Communications Manager-servern och ser till att telefonen använder endast digitalt signerade filer.

Cisco Unified Communications Manager 8.5 (1) och senare inkluderar säkerhet som standard, vilket ger följande säkerhetsfunktioner i Cisco IP-telefon utan att CTL-klienten körs:

  • Signering av telefonens konfigurationsfiler

  • Kryptering av telefonens konfigurationsfiler

  • HTTPS med Tomcat och andra webbtjänster

Säker signalering och mediafunktioner kräver fortfarande att du kör CTL-klienten och använda maskinvarans eTokens.

Implementerad säkerhet i Cisco Unified Communications Manager-systemet förhindrar identitetsstöld i telefoner och Cisco Unified Communications Manager-servern, datamanipulering, samtalssignalering och mediströmmanipulering.

Cisco IP-telefoninätverk motverkar hoten genom att etablera och upprätthålla säkra (krypterade) kommunikationsströmmar mellan telefon och server, signera filer digitalt innan de överförs till en telefon och kryptera medieströmmar och samtalssignalering mellan Cisco IP-telefoner.

Ett LSC-certifikat installeras på telefonerna när du utför de nödvändiga åtgärder som är kopplade till CAPF. Du kan använda Cisco Unified Communications Manager Administration för att konfigurera LSC, enligt beskrivningen i säkerhetshandboken för Cisco Unified Communications Manager. Alternativt kan du starta installationen av en LSC från menyn Säkerhetsinställningar på telefonen. På denna meny kan du även uppdatera eller ta bort ett LSC-certifikat.

En LSC kan inte användas som användarcertifikat för EAP-TLS med WLAN-autentisering.

Telefonerna används med telefonsäkerhetsprofilen, som anger om enheten är osäker eller säker. Mer information om användning av säkerhetsprofilen i telefonen finns i dokumentationen till din utgåva av Cisco Unified Communications Manager.

Om du konfigurerar säkerhetsrelaterade inställningar i Cisco Unified Communications Manager Administration, innehåller telefonkonfigurationsfilen känslig information. För att säkerställa sekretessen i en konfigurationsfil måste du konfigurera den för kryptering. Mer detaljerad information finns i dokumentationen till din utgåva av Cisco Unified Communications Manager.

Telefonen uppfyller FIPS (Federal Information Processing Standard). För att fungera korrekt kräver FIPS-läget en nyckelstorlek på 2048 bitar eller mer. Om certifikatet är mindre än 2048 bitar kan telefonen inte registreras i Cisco Unified Communications Manager och -telefonen misslyckas med registreringen. Cert-nyckelstorleken är inte FIPS-kompatibel visas på telefonen.

Om telefonen har en LSC, måste du uppdatera LSC-nyckelstorleken till 2048 bitar eller mer innan du aktiverar FIPS.

Följande tabell ger en översikt över de säkerhetsfunktioner som telefonerna stöder. Mer information finns i dokumentationen till din utgåva av Cisco Unified Communications Manager.

Om du vill visa säkerhetsläget trycker du på Inställningar Den hårda knappen Inställningar Och navigera till Inställningar för nätverk och tjänst > säkerhet.

Tabell 1. Översikt över säkerhetsfunktioner

Funktion

Beskrivning

Bildautentisering

Signerade binära filer förhindrar att avbilden för den fasta programvaran manipuleras innan den läses in på en telefon.

Manipulering av bilden orsakar att en telefon inte godkänns i autentiseringsprocessen och avvisar den nya bilden.

Installation av kundens arbetsplatscertifikat

Varje Cisco IP-telefon kräver ett unikt certifikat för enhetsverifiering. Telefoner har ett fabriksinstallerat certifikat (MIC), men för extra säkerhet kan du gå till Cisco Unified Communications Manager Administration och göra en certifikatinstallation genom att använda CAPF (Certificate Authority Proxy Function). Eller så kan du installera ett LSC-certifikat (Locally Significant Certificate) från säkerhetskonfigurationsmenyn i telefonen.

Enhetsautentisering

Sker mellan Cisco Unified Communications Manager-servern och telefonen när en enhet accepterar certifikatet för den andra enheten. Fastställer om en säker anslutning mellan telefonen och en Cisco Unified Communications Manager inträffar och skapar en säker signaleringssökväg om det behövs mellan dessa enheter med hjälp av TLS-protokollet. Cisco Unified Communications Manager registrerar endast telefoner som kan autentiseras.

Filautentisering

Validerar digitalt signerade filer som telefonen hämtar. Telefonen validerar signaturen för att se till att filmanipulering inte har inträffat efter att filen skapades. Filer som inte godkänns vid autentisering skrivs inte till Flash-minnet i telefonen. Telefonen avvisar sådana filer utan vidare bearbetning.

Kryptering

Kryptering förhindrar att känslig information visas när filen är på väg till telefonen. Telefonen validerar dessutom signaturen för att se till att filmanipulering inte har inträffat efter att filen skapades. Filer som inte godkänns vid autentisering skrivs inte till Flash-minnet i telefonen. Telefonen avvisar sådana filer utan vidare bearbetning.

Signaleringsautentisering

Använder TLS-protokollet för att validera att ingen manipulering skett till signaleringspaket under sändning.

Fabriksinstallerade certifikat

Varje Cisco IP-telefon innehåller ett unikt fabriksinstallerat certifikatet (MIC) som används för enhetsautentisering. MIC ger ett permanent unikt identitetsbevis för telefonen och gör det möjligt för Cisco Unified Communications Manager att autentisera telefonen.

Mediakryptering

Använder SRTP för att säkerställa att mediaströmmarna mellan enheter som stöds är säkra och att endast den avsedda enheten tar emot och läser data. Här skapas även ett par primärt medianyckelpar för enheterna som levereras till enheterna och skyddas under transporten.

CAPF (Certificate Authority Proxy funktion)

Implementerar delar av certifikatgenereringsförfarandet som är för processkrävande för telefonen och samverkar med telefonen vid nyckelgenereringen och certifikatinstallationen. CAPF kan konfigureras för att begära certifikat från kundspecifika certifikatutfärdare till telefonen eller konfigureras för att generera certifikat lokalt.

Både EC (elliptisk kurva) och RSA nyckeltyper stöds. Om du vill använda nyckeln EC kontrollerar du att parametern "Stöd för avancerade krypteringsalgoritmer för slutpunkt" (från parametern System >Enterprise) är aktiverad.

Mer information om CAPF och relaterade konfigurationer finns i följande dokument:

Säkerhetsprofil

Anger om telefonen är osäker, autentiserad, krypterad eller skyddad. Övriga poster i den här tabellen beskriver säkerhetsfunktioner.

Krypterade konfigurationsfiler

Låter du säkerställa integriteten i telefonens konfigurationsfiler.

Valfri webbserver inaktiverar en telefon

Av säkerhetsskäl kan du förhindra åtkomst till webbsidor för en telefon (som visar olika driftstatistik för telefonen) och självbetjäningsportalen.

Telefonhärdning

Ytterligare säkerhetsalternativ, som du styr från Cisco Unified Communications Manager Administration:

  • Inaktivera PC-porten
  • Inaktivera GARP (Gratuitous ARP)
  • Inaktivera åtkomst till PC-röst-VLAN
  • Inaktivera åtkomst till inställningsmenyn eller ge begränsad åtkomst
  • Inaktivera åtkomst till webbsidor för en telefon
  • Inaktivera port för Bluetooth-tillbehör
  • Begränsa TLS-chiffer

802.1X-autentisering

Cisco IP-telefon kan använda 802.1X-autentisering för att begära och få tillgång till nätverket. Mer information finns i 802.1X-autentisering.

Säker SIP-växling för SRST

När du har konfigurerat en SRST-referens (Survivable Remote Site Telephony) för säkerhet och sedan återställer de beroende enheterna i Cisco Unified Communications Manager Administration lägger TFTP-servern till SRST-certifikatet i telefonens cnf.xml-fil och skickar filen till telefonen. En säker telefon använder sedan en TLS-anslutning för att interagera med den SRST-aktiverade routern.

Signaleringskryptering

Säkerställer att alla SIP-signalingsmeddelanden som skickas mellan enheten och Cisco Unified Communications Manager-servern är krypterade.

Uppdateringslarm för lista över betrodda adresser

När listan över betrodda adresser uppdateras på telefonen, får Cisco Unified Communications Manager ett larm som indikerar genomförd eller misslyckad uppdatering. Mer information finns i följande tabell.

AES 256-kryptering

Om du är ansluten till Cisco Unified Communications Manager Release 10.5 (2) och senare har telefonerna stöd för AES 256-kryptering för TLS och SIP för signalering och mediakryptering. Då kan telefoner initiera och få stöd för TLS 1.2-anslutningar med AES-256-baserade chiffer som uppfyller SHA-2-standarder (Secure Hash Algorithm) och är FIPS-kompatibla. Chiffren omfattar:

  • För TLS-anslutningar:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • För SRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Mer information finns i dokumentationen till Cisco Unified Communications Manager.

ECDSA (Elliptic Curve Digital Signature Algorithm)-certifikat

ECDSA-certifikat i version 11.0 läggs till av Cisco Unified Communications Manager som ingår i CC (Common Criteria)-certifiering. Det här påverkar alla Voice Operating System (VOS)-produkter som körs med CUCM 11.5 och senare versioner.

Tomcat-certifikat för flera servrar (SAN) med Cisco UCM

Telefonen stöder Cisco UCM med konfigurerade Tomcat-certifikat (Multi-server) (SAN). Den korrekta TFTP serveradressen finns i telefonens ITL-fil för telefonens registrering.

Mer information om funktionen finns i:

Följande tabell innehåller meddelanden och innebörd av uppdateringslarm för listan över betrodda adresser. Mer information finns i dokumentationen till Cisco Unified Communications Manager.

Tabell 2. Meddelanden för uppdateringslarm för lista över betrodda adresser
Kod och meddelande Beskrivning

1 – TL_SUCCESS

Mottagen ny CTL och/eller ITL

2 - CTL_INITIAL_SUCCESS

Mottagen ny CTL, ingen befintlig TL

3 - ITL_INITIAL_SUCCESS

Mottagen ny ITL, ingen befintlig TL

4 – ITL_INITIAL_SUCCESS

Mottagen ny CTL och ITL, ingen befintlig TL

5 – TL_FAILED_OLD_CTL

Uppdatering av ny CTL misslyckades, men har tidigare TL

6 – TL_FAILED_NO_TL

Uppdatering av ny TL misslyckades och har ingen tidigare TL

7 – TL_FAILED

Allmänt fel

8 – TL_FAILED_OLD_ITL

Uppdatering av ny ITL misslyckades, men har tidigare TL

9 – TL_FAILED_OLD_TL

Uppdatering av ny TL misslyckades, men har tidigare TL

Menyn Säkerhetsinställning ger information om olika säkerhetsinställningar. Menyn ger även åtkomst till menyn Lista över betrodda adresser och anger om CTL- eller ITL-filen är installerad på telefonen.

I följande tabell beskrivs menyalternativen för Säkerhetsinställning.

Tabell 3. Menyn Säkerhetsinställning

Alternativ

Beskrivning

Om du vill ändra

Säkerhetsläge

Visar säkerhetsläge som är inställt för telefonen.

Från Cisco Unified Communications Manager Administration, välj Enhet > Telefon. Inställningen visas under Protokollspecifik information i fönstret Telefonkonfiguration.

LSC

Anger om ett lokalt signifikant certifikat som används för säkerhetsfunktioner är installerat på telefonen (installerat) eller inte installerat på telefonen (inte installerat).

Mer information om hur du hanterar LSC för telefonen finns i dokumentationen till din utgåva av Cisco Unified Communications Manager.

Konfigurera ett LSC-certifikat

Den här uppgiften gäller för att ställa in en LSC med autentiseringsmetoden via sträng.

Innan du börjar

Se till att rätt säkerhetskonfiguration används för Cisco Unified Communications Manager och CAPF:

  • CTL- eller ITL-filen har ett CAPF-certifikat.

  • Kontrollera att CAPF certifikatet har installerats i Cisco Unified Communications Operating System Administration.

  • CAPF körs och är konfigurerat.

Mer information om dessa inställningar finns i dokumentationen till din utgåva av Cisco Unified Communications Manager.

1

Skaffa CAPF-autentiseringskoden som ställdes in när CAPF konfigurerades.

2

Tryck på Inställningar på telefonen the Settings hard key.

3

Om du uppmanas till det anger du lösenordet för att komma åt menyn Inställningar . Du kan få lösenordet från din administratör.

4

Navigera till Nätverk och tjänst > Säkerhetsinställningar > LSC.

Du kan styra åtkomst till inställningsmenyn med fältet Inställningsåtkomst i Cisco Unified Communications Manager Administration.

5

Ange autentiseringssträngen och välj Skicka.

Telefonen börjar installera, uppdatera eller ta bort LSC, beroende på hur CAPF är konfigurerat. När proceduren är klar får du ett meddelande om alternativet installerats eller inte installerats på telefonen.

En installation, uppdatering eller borttagning av LSC kan ta lång tid att slutföra.

När telefoninstallationen är klar visas meddelandet Installerat. Om telefonen visar Inte installerat kanske auktoriseringssträngen är fel eller telefonen kanske inte är aktiverad för uppgradering. Om CAPF-åtgärden raderar LSC visar telefonen Inte installerad för att indikera att åtgärden lyckades. CAPF-servern loggar felmeddelanden. Se CAPF-serverdokumentationen för att lokalisera loggarna och förstå innebörden av felmeddelanden.

Aktivera FIPS-läge

1

I Cisco Unified Communications Manager Administration, välj Enhet > Telefon och leta reda på telefonen.

2

Navigera till produktspecifika konfigurationsområdet.

3

Ställ in fältet FIPS-läge som Aktiverat.

4

Välj Spara.

5

Välj Använd konfig.

6

Starta om telefonen.

Stänga av högtalartelefon, headset och telefonlur på en telefon

Du har alternativ för att permanent stänga av högtalartelefonen, headsetet och telefonluren på en telefon för användaren.

1

I Cisco Unified Communications Manager Administration, välj Enhet > Telefon och leta reda på telefonen.

2

Navigera till produktspecifika konfigurationsområdet.

3

Markera en eller flera av följande kryssrutor för att stänga av telefonens funktioner:

  • Inaktivera högtalartelefonen
  • Inaktivera högtalartelefon och headset
  • Inaktivera handenheten

Som standard är dessa kryssrutor avmarkerade.

4

Välj Spara.

5

Välj Använd konfig.

802.1X-autentisering

Cisco IP-telefon stöder 802.1X-autentisering.

Cisco IP-telefoner och Cisco Catalyst-växlar använder traditionellt Ciscos CDP-protokoll för att identifiera varandra och fastställa parametrar som VLAN-tilldelning och interna strömbehov. CDP identifierar inte lokalt anslutna arbetsstationer. Cisco IP-telefon har en EAPOL-överföringsmekanism. Denna mekanism medger att en arbetsstation som är ansluten till Cisco IP-telefon kan överföra EAPOL-meddelanden till 802.1X-autentiseraren på LAN. Överföringsmekanismen säkerställer att IP-telefonen inte agerar som LAN-växel för autentisering av en dataändpunkt innan åtkomsten till nätverket.

Cisco IP-telefon har också en EAPOL-utloggningsmekanism via proxy. Om den lokalt anslutna datorn kopplas bort från IP-telefonen kan LAN-växeln inte tolka att den fysiska länken brutits eftersom länken mellan LAN-växeln och IP-telefonen bibehålls. För att undvika att äventyra nätverksintegriteten sänder IP-telefonen ett EAPOL-utloggningsmeddelande till växeln från datorn nedströms, vilket utlöser att LAN-växeln börjar rensa autentiseringsposten för datorn nedströms.

Stödet för 802.1X-autentisering kräver flera komponenter:

  • Cisco IP-telefon: Telefonen initierar begäran om att få tillgång till nätverket. Cisco IP-telefon innehåller en 802.1X-supplikant. Supplikanten tillåter att nätverksadministratörer kan styra uppkoppling av IP-telefoner till LAN-växelportar. I den aktuella versionen av telefonens 802.1X-supplikant används EAP-FAST och EAP-TLS för nätverksautentisering.

  • Autentiseringsserver: Autentiseringsservern och växeln måste båda konfigureras med en delad hemlighet som autentiserar telefonen.

  • Växel: Växeln måste ha stöd för 802.1X så att den fungerar för auktorisering och överför meddelanden mellan telefonen och autentiseringsservern. När utväxlingen är klar beviljar eller nekar växeln åtkomst till nätverket för telefonen.

Du måste utföra följande åtgärder för att konfigurera 802.1X.

  • Konfigurera de andra komponenterna innan du aktiverar 802.1X-autentisering på telefonen.

  • Konfigurera PC-porten: 802.1X-standarden använder inte VLAN och föreslår därför att en enda enhet ska autentiseras för en specifik växelport. Men vissa växlar har stöd för multidomänautentisering. Växelkonfigurationen avgör om du kan ansluta en dator till PC-porten på telefonen.

    • Aktiverat: Om du använder en växel som stöder multidomänautentisering, kan du aktivera PC-porten och ansluta en dator till den. I det här fallet har Cisco IP-telefon stöd för EAPOL-proxyutloggning för att övervaka autentiseringsutväxlingen mellan växeln och en ansluten dator.

      Mer information om stöd för IEEE 802.1X i Cisco Catalyst-växlar finns i Cisco Catalyst-växelkonfigurationshandböcker på:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Inaktiverat: Om växeln inte stöder flera 802.1X-kompatibla enheter i samma port, bör du inaktivera PC-porten när 802.1X-autentisering har aktiverats. Om du inte inaktiverar denna port och därefter försöka att fästa en dator till det, förnekar omkopplaren nätverksåtkomst till både telefonen och datorn.

  • Konfigurera röst-VLAN: Eftersom 802.1X-standarden inte tar hänsyn till VLAN, bör du konfigurera den här inställningen baserat på växelstöd.
    • Aktiverat: Om du använder en växel som stöder multidomänautentisering kan du fortsätta att använda röst-VLAN.
    • Inaktiverat: Om växeln inte stöder multidomänautentisering inaktiverar du röst-VLAN och överväg sedan att tilldela porten till det inbyggda VLAN-nätet.
  • (Endast för Cisco Desk Phone 9800-serien)

    Cisco Desk Phone 9800-serien har ett annat prefix i PID än det för andra Cisco-telefoner. Om du vill att telefonen ska klara 802.1X-autentisering ställer du in radien · Parametern Användarnamn för att inkludera Cisco Desk Phone 9800-serien.

    Till exempel är PID för telefon 9841 DP-9841; du kan ställa in radie· Användarnamn som börjar med DP eller innehåller DP. Du kan ställa in det i båda följande avsnitt:

    • Policy > Villkor > Biblioteksvillkor

    • Policy > Principuppsättningar > Auktoriseringsprincip > Auktoriseringsregel 1

Aktivera 802.1X-autentisering

Du kan aktivera 802.1X-autentisering för din telefon på följande sätt:

1

Tryck på Inställningar.the Settings hard key.

2

Om du uppmanas till det anger du lösenordet för att komma åt menyn Inställningar . Du kan få lösenordet från din administratör.

3

Navigera till Nätverk och tjänst > Säkerhetsinställningar > 802.1X-autentisering.

4

Aktivera IEEE 802.1X-autentisering.

5

Välj Använd.

Visa information om säkerhetsinställningar på telefonen

Du kan visa information om säkerhetsinställningarna i telefonmenyn. Hur tillgänglig informationen är beror på nätverksinställningarna i organisationen.

1

Tryck på Inställningar.the Settings key.

2

Navigera till Inställningar för nätverk och tjänst > säkerhet.

3

Visa följande information i Säkerhetsinställningar .

Tabell 4. Parametrar för säkerhetsinställningar

Parametrar

Beskrivning

Säkerhetsläge

Visar säkerhetsläge som är inställt för telefonen.

LSC

Anger om ett LSC-certifikat som används för säkerhetsfunktioner finns installerat i telefonen (Ja) eller inte (Nej).

Lista med pålitliga adresser

Listan över betrodda adresser har undermenyer för CTL- och ITL-filer samt signerade konfigurationsfiler.

På undermenyn CTL-filen visas innehållet i CTL-filen. På undermenyn ITL-filen visas innehållet i ITL-filen.

På menyn Lista över betrodda adresser visas också följande information:

  • CTL-signatur: SHA1-hash i CTL-filen
  • Unified CM/TFTP-Server: namnet på den Cisco Unified Communications Manager och TFTP-server som telefonen använder. Visar en certifikatikon om ett certifikat har installerats på servern.
  • CAPF-server: namnet på CAPF-servern som telefonen använder. Visar en certifikatikon om ett certifikat har installerats på servern.
  • SRST-router: IP-adressen för betrodd SRST-router som telefonen kan använda. Visar en certifikatikon om ett certifikat har installerats på servern.

Säkerhet i telefonsamtal

När säkerhet har implementerats för en telefon kan du identifiera säkra telefonsamtal med hjälp av ikoner på telefonens skärm. Du kan också fastställa om den anslutna telefonen är säker och skyddad beroende på om en säkerhetston spelas upp i början av samtalet.

I ett säkert samtal är all samtalssignalering och alla mediaströmmar krypterade. Ett säkert samtal ger en hög nivå av säkerhet för att ge integritet och sekretess i samtalet. När ett pågående samtal är krypterat kan du se säkerhetsikonen Låsikonen för ett säkert samtal På linjen. För en säker telefon kan du också visa den autentiserade ikonen Eller den krypterade ikonen Bredvid den anslutna servern i telefonmenyn (Inställningar > Om den här enheten).

Om samtalet dirigeras genom andra samtalsgrenar än IP, till exempel PSTN, kan samtalet vara osäkert även om det är krypterat inom IP-nätverket och visas med en låsikon.

I ett säkert samtal spelas en säkerhetston upp i början av samtalet för att indikera att den andra anslutna telefonen också tar emot och sänder säkert ljud. Om ditt samtal kopplas till en osäker telefon spelas inte säkerhetstonen upp.

Säkra samtal stöds bara för anslutningar mellan endast två telefoner. Vissa funktioner, som konferenssamtal och delade linjer, är inte tillgängliga när säkert samtal har konfigurerats.

När en telefon är konfigurerad som säker (krypterad och betrodd) i Cisco Unified Communications Manager kan den ges en skyddad status. Efter det kan den skyddade telefonen konfigureras för att spela upp en indikeringston i början av ett samtal:

  • Skyddad enhet: Om du vill ändra status på en säker telefon till skyddad markerar du kryssrutan Skyddad enhet i telefonkonfigurationsfönstret i Cisco Unified Communications Manager Administration (Enhet > Telefon).

  • Spela upp säkerhetsindikeringston: Om du vill att den skyddade telefonen ska spela upp en indikeringston för säkert eller osäkert läge anger du inställningen Spela upp säkerhetsindikeringston som Sant. Som standard är uppspelning av indikeringston inställt på Falskt. Du ställa in detta alternativ i Cisco Unified Communications Manager Administration (System > Tjänstparametrar). Välj servern och sedan Unified Communications Manager-tjänsten. I fönstret Serviceparameterkonfiguration väljer du alternativet i området Funktion – Säkerhetston. Standardvärdet är Falskt.

Identifiering för säkert konferenssamtal

Du kan initiera en säker telefonkonferens och övervaka säkerhetsnivån hos deltagare. En säker telefonkonferens upprättas med hjälp av denna process:

  1. En användare initierar konferensen från en säker telefon.

  2. Cisco Unified Communications Manager tilldelar en säker konferensbrygga till samtalet.

  3. När deltagare läggs till verifierar Cisco Unified Communications Manager säkerhetsläget för varje telefon och upprätthåller en säker nivå för konferensen.

  4. Telefonen visar säkerhetsnivån på telefonkonferensen. En säker konferens visar ikonen för säker Låsikonen för ett säkert samtal.

Säkert samtal stöds mellan två telefoner. För skyddade telefoner är vissa funktioner som konferenssamtal, delade linjer och Extension Mobility (anknytningsmobilitet) inte tillgängliga när säkra samtal har konfigurerats.

Följande tabell ger information om ändringar av konferenssäkerhetsnivåer beroende på säkerhetsnivån i konferensorganisatörens telefon och säkerhetsnivåer hos deltagarna, och tillgången till säkra konferensbryggor.

Tabell 5. Säkerhetsbegränsningar vid konferenssamtal

Säkerhetsnivå i organisatörens telefon

Använd funktion

Säkerhetsnivå hos deltagarna

Resultat av åtgärder

Osäker

Konferens

Säkert

Osäker konferensbrygga

Osäker konferens

Säkert

Konferens

Minst en medlem är otillförlitlig.

Säker konferensbrygga

Osäker konferens

Säkert

Konferens

Säkert

Säker konferensbrygga

Säker krypterad konferensnivå

Osäker

Meet me

Minimal säkerhetsnivå är krypterad.

Organisatören får meddelandet Uppfyller inte säkerhetsnivå, samtal avvisas.

Säkert

Meet me

Minimal säkerhetsnivå är osäker.

Säker konferensbrygga

Konferensen tar emot alla samtal.

Säker identifiering av telefonsamtal

Ett säkert samtal upprättas när din telefon och telefonen i den andra änden har konfigurerats för säkert samtal. Den andra telefonen kan finnas i samma Cisco IP-nätverk eller i ett nätverk utanför IP-nätverket. Säkra samtal kan endast göras mellan två telefoner. Konferenssamtal bör ha stöd för säkert samtal efter inställning av en säker konferensbrygga.

Ett säkert samtal upprättas med hjälp av denna process:

  1. En användare initierar samtal från en säker telefon (skyddat säkerhetsläge).

  2. Telefonen visar säkerhetsikonen Låsikonen för ett säkert samtal På telefonskärmen. Denna ikon indikerar att telefonen är konfigurerad för säkra samtal, men det betyder inte att den andra anslutna telefonen också är säkrad.

  3. Användaren hör en säkerhetston om samtalet kopplas till en annan säker telefon, vilket betyder att båda ändar av konversationen är krypterade och säkra. Om samtalet kopplas till en osäker telefon hör inte användaren någon säkerhetston.

Säkert samtal stöds mellan två telefoner. För skyddade telefoner är vissa funktioner som konferenssamtal, delade linjer och Extension Mobility (anknytningsmobilitet) inte tillgängliga när säkra samtal har konfigurerats.

Endast skyddade telefoner spelar upp toner vid säkert eller osäkert samtal. I oskyddade telefoner hörs inga toner. Om den övergripande samtalsstatusen ändras under samtalet ändras också indikationstonen och den skyddade telefonen spelar upp en lämplig ton.

I en skyddad telefon kan en ton spelas upp eller inte spelas upp under dessa omständigheter:

  • När alternativet Spela upp säkerhetsindikeringston har aktiverats:

    • När säker anslutning har etablerats i båda ändar och samtalsstatusen är säker spelar telefonen upp en säkerhetsindikation (tre långa pip med pauser).

    • Om en osäker anslutning har etablerats och samtalsstatusen är osäker spelar telefonen upp en osäkerhetsindikation (sex korta pip med korta pauser).

Om alternativet Spela upp säkerhetsindikeringston är inaktiverat spelas ingen ton upp.

Tillhandahålla kryptering för pråm

Cisco Unified Communications Manager kontrollerar telefonens säkerhetsstatus när konferenssamtal har etablerats och ändrar säkerhetsindikeringen för konferenssamtalet eller blockerar slutförandet av det för att bibehålla integritet och säkerhet i systemet.

En användare kan inte bryta in i ett krypterat samtal om telefonen som används vid inbrytning inte har konfigurerats för kryptering. När inbrytning i det här fallet misslyckas hörs en felton (spärrton) på telefonen som inbrytningen initierades från.

Om initiatortelefonen har konfigurerats för kryptering kan inbrytningsinitiatorn bryta in i ett osäkert samtal från den krypterade telefonen. När inbrytningen har inträffat klassificeras samtalet som osäkert i Cisco Unified Communications Manager.

Om initiatortelefonen har konfigurerats för kryptering kan inbrytningsinitiatorn bryta in i ett krypterat samtal och telefonen indikerar då att samtalet är krypterat.

WLAN-säkerhet

Det här avsnittet gäller endast telefonmodeller med Wi-Fi kapacitet.

WLAN-säkerhet

Eftersom alla WLAN-enheter som finns inom räckvidd kan ta emot all övrig WLAN-trafik är det nödvändigt att säkra röstkommunikation i WLAN. För att säkerställa att inkräktare inte manipulerar eller avlyssnar rösttrafik stöder Cisco SAFE Security-arkitekturen telefonen. Mer information om säkerhet i nätverk finns i http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Ciscos trådlösa telefonilösning IP tillhandahåller säkerhet för trådlösa nätverk som förhindrar obehöriga inloggningar och komprometterad kommunikation genom att använda följande autentiseringsmetoder som telefonen stöder:

  • Öppen autentisering: Alla trådlösa enheter kan begära autentisering i ett öppet system. Åtkomstpunkten som tar emot begäran kan medge autentisering för alla begäranden eller bara för de begäranden som finns med i en lista över användare. Kommunikationen mellan den trådlösa enheten och åtkomstpunkten (åtkomstpunkten) kan vara icke-krypterad.

  • Extensible Authentication Protocol-flexibel autentisering via EAP-FAST-autentisering (Secure Tunneling): Den här säkerhetsarkitekturen för klient-server krypterar EAP transaktioner i en TLS-tunnel (Transport Level Security) mellan åtkomstpunkten och RADIUS-servern, till exempel ISE (Identity Services Engine).

    TLS-tunneln använder skyddad PAC (Protected Access Credentials) för autentisering mellan klienten (telefonen) och RADIUS-servern. Servern skickar ett utfärdar-ID till klienten (telefon), som i sin tur väljer lämpligt PAC. Klienten (telefonen) returnerar ett PAC-täckande till RADIUS-servern. Servern dekrypterar PAC med den primära nyckeln. Båda slutpunkterna har nu PAC-nyckeln och en TLS-tunnel skapas. EAP-FAST stöder automatisk PAC-etablering, men du måste aktivera den på RADIUS-servern.

    I ISE upphör PAC som standard att gälla om en vecka. Om telefonen har en utgången PAC, tar autentisering med RADIUS-servern längre tid när telefonen får ett nytt PAC. För att undvika fördröjningar i PAC-etableringen kan du sätta PAC-utgångstiden till 90 dagar eller längre på ISE- eller RADIUS-servern.

  • Autentisering via EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS kräver ett klientcertifikat för autentisering och nätverksåtkomst. För trådlösa EAP-TLS kan klientcertifikatet vara MIC, LSC eller användarinstallerat certifikat.

  • Skyddat PEAP (Extensible Authentication Protocol): Ciscos tillverkarspecifika lösenordsbaserade och växelvisa autentiseringsschema mellan klient (telefon) och RADIUS-server. Telefonen kan använda PEAP för autentisering med det trådlösa nätverket. Både PEAP-MSCHAPV2 och PEAP-GTC autentiseringsmetoder stöds.

  • PSK (Pre-Shared Key): Telefonen stöder ASCII format. Du måste använda det här formatet när du konfigurerar en WPA/WPA2/SAE-i förväg delad nyckel:

    ASCII: en sträng med ASCII-tecken med en längd på 8 till 63 tecken (0-9, gemener och versaler A-Z och specialtecken)

    Exempel: GREG123567@9ZX&W

Följande autentiseringsscheman använder RADIUS-servern för att hantera autentiseringsnycklar:

  • WPA/WPA2/WPA3: Använder RADIUS-serverinformation för att generera unika nycklar för autentisering. Eftersom de här nycklarna har genererats på den centrala RADIUS-servern ger WPA2/WPA3 högre säkerhet än i förväg delade WPA-nycklar som lagras på åtkomstpunkten och telefonen.

  • Säker och snabb roaming: Används med RADIUS-server och information om trådlös domänserver vid hantering och autentisering av nycklar. WDS skapar en cache med säkerhetsuppgifter för FT-aktiverade klientenheter för snabb och säker omautentisering. Cisco skrivbordstelefon 9861 och 9871 och Cisco videotelefon 8875 stöder 802.11r (FT). Både trådlöst och trådlöst stöds DS för att möjliggöra snabb och säker roaming. Men vi rekommenderar starkt att använda luftburen metod via 802.11r (FT).

Med WPA/WPA2/WPA3 matas inga krypteringsnycklar in på telefonen, utan härleds automatiskt mellan åtkomstpunkten och telefonen. Men EAP-användarnamn och lösenord som används för autentisering måste anges på respektive telefon.

För att säkerställa att rösttrafiken är säker stöder telefonen TKIP och AES för kryptering. När dessa mekanismer används för kryptering krypteras både SIP-signalpaketen och RTP-röstpaketen (Real-Time Transport Protocol) mellan åtkomstpunkten och telefonen.

TKIP

WPA använder TKIP-kryptering som har flera förbättringar jämfört med WEP. TKIP ger paketvisa nyckelchiffer och längre initieringsvektorer (IV) som stärker krypteringen. Dessutom kan ett MIC (Message Integrity check) säkerställa att krypterade paket inte ändras. TKIP tar bort förutsägbarheten i WEP som hjälper inkräktare att dechiffrera WEP-nyckeln.

AES

En krypteringsmetod som används för WPA2/WPA3-autentisering. Denna nationella standard för kryptering använder en symmetrisk algoritm som har samma nyckel för kryptering och dekryptering. AES använder CBC (Cipher Blocking Chain)-kryptering i 128 bitar, som stöder nyckelstorlekar som är minst 128 bitar, 192 bitar och 256 bitar. Telefonen stöder en nyckelstorlek på 256 bitar.

Cisco skrivbordstelefon 9861 och 9871 och Cisco videotelefon 8875 stöder inte Cisco Key Integrity Protocol (CKIP) med CMIC.

Autentiserings- och krypteringsscheman ställs in i det trådlösa nätverket. VLAN konfigureras i nätverket och på åtkomstpunkterna, och anger olika kombinationer av autentisering och kryptering. Ett SSID kan kopplas till ett VLAN och valt autentiserings- och krypteringsschema. För att trådlösa klientenheter ska kunna autentiseras måste du konfigurera samma SSID med deras autentiserings- och krypteringsscheman på åtkomstpunkterna och på telefonen.

Vissa autentiseringsscheman kräver en viss typ av kryptering.

  • När du använder WPA i förväg delad nyckel, WPA2 i förväg delad nyckel eller SAE måste den i förväg delade nyckeln ställas in statiskt på telefonen. De här nycklarna måste matcha nycklarna som finns på åtkomstpunkten.

  • Telefonen stöder automatisk EAP förhandling för FAST eller PEAP, men inte för TLS. För EAP-TLS läge måste du ange det.

Autentiserings- och krypteringsschemana i följande tabell visar nätverkskonfigurationsalternativen för den telefon som motsvarar AP-konfigurationen.

Tabell 6. Autentiserings- och krypteringsscheman
Typ av FSRAutentiseringNyckelhanteringKrypteringPMF (Protected Management Frame)
802.11r (FOT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNej
802.11r (FOT)WPA3

SAE

FT-SAE

AESJa
802.11r (FOT)EAP-TLS

WPA-EAP

FT-EAP

AESNej
802.11r (FOT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FOT)EAP-FAST

WPA-EAP

FT-EAP

AESNej
802.11r (FOT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FOT)EAP-PEAP

WPA-EAP

FT-EAP

AESNej
802.11r (FOT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa

Konfigurera trådlös LAN-profil

Du kan hantera din trådlösa nätverksprofil genom att konfigurera inloggningsuppgifter, frekvensband, autentiseringsmetod och så vidare.

Tänk på följande saker innan du konfigurerar WLAN-profilen:

  • Användarnamn och lösenord

    • När ditt nätverk använder EAP-FAST och PEAP vid användarautentisering, måste du konfigurera både användarnamn och lösenord om det behövs på RADIUS (Remote Authentication Dial-in User Service) och på telefonen.

    • De inloggningsuppgifter som du anger i den trådlösa LAN-profilen måste vara identiska med de inloggningsuppgifter som du konfigurerade i RADIUS-servern.

    • Om du använder domäner i nätverket måste du ange användarnamn med namnet på domänen i formatet domän\användarnamn.

  • Följande åtgärder kan leda till att det befintliga Wi-Fi-lösenordet försvinner:

    • Om du anger ett ogiltigt användar-id eller lösenord.
    • Om du installerar en ogiltig eller utgången rotcertifikatutfärdare och EAP-typen är inställd på PEAP-MSCHAPV2 eller PEAP GTC.
    • Inaktivera EAP-typen på RADIUS-servern som används innan du växlar telefonen till den nya EAP-typen.
  • Om du vill ändra EAP-typen måste du först aktivera den nya EAP-typen på RADIUS-servern och sedan växla telefonen till EAP-typen. När alla telefoner har ändrats till den nya EAP-typen kan du inaktivera den tidigare EAP-typen om du vill.
1

I Cisco Unified Communications Manager Administration, välj Enhet > Enhetsinställningar > trådlös LAN-profil.

2

Välj den nätverksprofil som du vill konfigurera.

3

Ställ in parametrarna.

4

Klicka på Spara.

Installera ett servercertifikat för autentisering manuellt

Du kan manuellt installera ett servercertifikat för autentisering på telefonen om SCEP (Simple Certificate Enrollment Protocol) inte är tillgängligt.

Det rot-CA-certifikat som utfärdade RADIUS-servercertifikatet måste installeras för EAP-TLS.

Innan du börjar

Innan du kan installera ett certifikat på en telefon, måste du ha ett servercertifikat för autentisering sparat på datorn. Certifikatet måste vara kodat i PEM (Base-64) eller DER.

1

På webbsidan för telefonadministration väljer du Certifikat.

2

Leta upp fältet Autentiseringsserver CA och klicka på Installera.

3

Bläddra till certifikatet på datorn.

4

Klicka på Överför.

5

Starta om telefonen när överföringen är klar.

Om du installerar om mer än ett certifikat används endast det senast installerade certifikatet.

Installera ett användarcertifikat manuellt

Du kan installera ett certifikat manuellt på telefonen om SCEP (Simple Certificate Enrollment Protocol) inte är tillgängligt.

Förinstallerat MIC (Manufacturing Installed Certificate) kan användas som användarcertifikat för EAP-TLS.

När användarcertifikatet är installerat lägger du till det i listan över betrodda på RADIUS-servern.

Innan du börjar

Innan du kan installera ett användarcertifikat för en telefon måste du ha:

  • Ett användarcertifikat sparas på datorn. Certifikatet måste ha ett PKCS #12-format.

  • Lösenord för att extrahera certifikatet.

    Lösenordet får vara upp till 16 tecken långt.

1

På webbsidan för telefonadministration väljer du Certifikat.

2

Leta reda på fältet Användarinstallerat och klicka på Installera.

3

Bläddra till certifikatet på datorn.

4

Ange certifikatets extraheringslösenord i fältet Extraheringslösenord.

5

Klicka på Överför.

6

Starta om telefonen när överföringen är klar.

Ta bort ett säkerhetscertifikat manuellt

Du kan manuellt ta bort ett säkerhetscertifikat från en telefon om SCEP (Simple Certificate Enrollment Protocol) inte är tillgängligt.

1

På webbsidan för telefonadministration väljer du Certifikat.

2

Leta reda på certifikatet på sidan Certifikat.

3

Klicka på Ta bort.

4

Starta om telefonen när borttagningen är klar.

Konfigurera SCEP-parametrarna

SCEP (Simple Certificate Enrollment Protocol) är standarden för automatisk etablering och förnyelse av certifikat. SCEP-servern kan automatiskt underhålla dina användar- och servercertifikat.

Du måste konfigurera följande SCEP-parametrar på din telefonwebbsida

  • RA IP-adress

  • SHA-1 eller SHA-256 fingeravtryck för rot-CA-certifikatet i SCEP-servern

Cisco IOS-registreringsmyndigheten (RA) fungerar som en proxy för SCEP-servern. Parametrarna som hämtas från Cisco Unified Communications Manager används av SCEP-klienten för telefonen. När du har konfigurerat parametrarna skickar telefonen en SCEP getcs-begäran till RA och rot-CA-certifikatet valideras med definierat fingeravtryck.

Innan du börjar

Konfigurera RA (Registration Agent) på SCEP-servern:

  • Fungera som betrodd punkt för PKI
  • Fungera som PKI RA
  • Utföra enhetsautentisering med hjälp av en RADIUS-server

Mer information finns i dokumentationen som hör till SCEP-servern.

1

Från Cisco Unified Communications Manager Administration, välj Enhet > Telefon.

2

Lokalisera telefonen.

3

Bläddra till området Produktspecifik konfigurationslayout.

4

Markera kryssrutan WLAN SCEP-server om du vill aktivera SCEP-parametern.

5

Markera kryssrutan WLAN rot-CA-fingeravtryck (SHA256 eller SHA1) om du vill aktivera parametern SCEP QED.

Konfigurera de versioner av TLS som stöds

Du kan ställa in den lägsta versionen av TLS som krävs för klient respektive server.

Som standard är den lägsta TLS versionen av server och klient både 1.2. Inställningen påverkar följande funktioner:

  • HTTPS-anslutning för webbåtkomst
  • Onboarding för lokal telefon
  • Onboarding för mobil och Remote Access (MRA)
  • HTTPS-tjänster, till exempel katalogtjänster
  • DTLS (Data Transport Layer Security)
  • Port Access Entity (PAE)
  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)

Mer information om kompatibilitet med TLS 1.3 för Cisco IP Phones finns i TLS 1.3 Kompatibilitetsmatris för Ciscos samarbetsprodukter.

1

Logga in på Cisco Unified Communications Manager Administration som administratör.

2

Navigera till något av följande fönster:

  • System > Företagstelefonkonfiguration
  • Enhet > Enhetsinställningar > Allmän telefonprofil
  • Konfiguration av enhet > telefon > telefon
3

Ställ in fältet TLS Min version för klient:

Alternativet "TLS 1.3" är tillgängligt på Cisco Unified CM 15SU2 eller senare.
  • TLS 1.1: TLS-klienten stöder versionerna av TLS från 1.1 till 1.3.

    Om den TLS versionen på servern är lägre än 1.1, till exempel 1.0, kan anslutningen inte upprättas.

  • TLS 1.2 (standard): TLS klienten stöder TLS 1.2 och 1.3.

    Om den TLS versionen på servern är lägre än 1.2, till exempel 1.1 eller 1.0, kan anslutningen inte upprättas.

  • TLS 1.3: TLS klienten stöder endast TLS 1.3.

    Om den TLS versionen på servern är lägre än 1.3, till exempel 1.2, 1.1 eller 1.0, kan anslutningen inte upprättas.

4

Ställ in fältet TLS Min version för server:

  • TLS 1.1: TLS servern stöder versionerna av TLS från 1.1 till 1.3.

    Om den TLS versionen i klienten är lägre än 1.1, till exempel 1.0, kan anslutningen inte upprättas.

  • TLS 1.2 (standard): TLS-servern stöder TLS 1.2 och 1.3.

    Om den TLS versionen i klienten är lägre än 1,2, till exempel 1,1 eller 1,0, kan anslutningen inte upprättas.

  • TLS 1.3: TLS servern stöder endast TLS 1.3.

    Om den TLS versionen i klienten är lägre än 1,3, till exempel 1,2, 1,1 eller 1,0, kan anslutningen inte upprättas.

Från PhoneOS 3.2-utgåvan påverkar inte inställningen av fältet "Inaktivera TLS 1.0 och TLS 1.1 för webbåtkomst" på telefonerna.
5

Klicka på Spara.

6

Klicka på Använd konfig.

7

Starta om telefonerna.

Säkra SIP-tjänster

AS-SIP (Assured Services SIP) är en samling funktioner och protokoll som ger ett mycket säkert samtalsflöde för Cisco IP-telefoner och telefoner från tredje part. Följande funktioner benämns gemensamt som AS-SIP:

  • Prioritet och förtur på flera nivåer (MLPP)
  • DSCP (Differentiated Services Code Point)
  • TLS (Transport Layer Security) och SRTP (Secire Real-time Transport Protocol)
  • IPv6 (Internet Protocol version 6)

AS-SIP används ofta med MLPP (Multilevel Precedence and Preemption) för att prioritera samtal i en nödsituation. Med MLPP tilldelar du prioritetsnivå för utgående samtal, från 1 (låg) till 5 (hög). När du tar emot ett samtal visas en ikon för prioriterat samtal och nivån på telefonen.

Om du vill konfigurera AS-SIP gör du följande i Cisco Unified Communications Manager:

  • Konfigurera en sammanfattningsanvändare – konfigurera användaren för att använda sammanfattad autentisering vid SIP-begäranden.
  • Konfigurera säker port för SIP-telefon – Cisco Unified Communications Manager använder denna port för att avlyssna SIP-telefoner för SIP-linjeregistreringar över TLS.
  • Starta om tjänsterna – när du har konfigurerat en säker port, startar du om Cisco Unified Communications Manager- och Cisco CTL-providertjänster. Konfigurera SIP-profil för AS-SIP-konfigurera en SIP-profil med SIP-inställningar för dina AS-SIP-slutpunkter och för SIP-trunkar. Telefonspecifika parametrar hämtas inte till AS-SIP-telefoner från tredje part. De används endast av Cisco Unified Manager. Telefoner från tredje part måste lokalt konfigurera samma inställningar.
  • Konfigurera profil för telefonsäkerhet för AS-SIP – du kan använda telefonsäkerhetsprofilen för att tilldela säkerhetsinställningar, till exempel TLS, SRTP och digest-autentisering.
  • Konfigurera AS-SIP-slutpunkt – konfigurera en Cisco IP-telefon eller en slutpunkt från tredje part med AS-SIP-support.
  • Associera enhet med slutanvändare – associera slutpunkten med en användare.
  • Konfigurera säkerhetsprofil för SIP-trunk för AS-SIP – du kan använda säkerhetsprofilen för SIP om du vill tilldela säkerhetsfunktioner som till exempel TLS eller digest-autentisering.
  • Konfigurera SIP-trunk för AS-SIP − konfigurera en SIP-trunk med AS-SIP-support.
  • Konfigurera AS-SIP-funktioner − konfigurera ytterligare AS-SIP-funktioner som MLPP, TLS, V.150 och IPv6.

Detaljerad information om hur du konfigurerar AS-SIP finns i kapitlet "Konfigurera AS-SIP-slutpunkter" i Funktionskonfigurationsguide för Cisco Unified Communications Manager.

Prioritet och förtur på flera nivåer (MLPP)

Med MLPP (Multilevel Precedence and Preemption) kan du prioritera samtal vid nödsituationer. Du prioriterar utgående samtal mellan 1 och 5. Inkommande samtal visar en ikon och samtalsprioritet. Autentiserade användare kan gå före samtal antingen till riktade stationer eller via fullständigt prenumererade TDM-trunkar.

Den här funktionen säkerställer kommunikationen för personer i ledande ställning gentemot viktiga organisationer och personal.

MLPP används ofta med AS-SIP (Assured Services SIP). Detaljerad information om hur du konfigurerar MLPP finns i kapitlet Konfigurera prioritet och företräde på flera nivåer i Funktionskonfigurationsguide för Cisco Unified Communications Manager.