802.1X-Authentifizierung - Cisco Serie 7800 Handbuch

Ein Sicherheitssignal wird nur auf einem geschützten Telefon ausgegeben. Auf einem nicht geschützten
Telefon wird kein Signalton ausgegeben. Wenn sich der Gesamtstatus des Anrufs während des Anrufs ändert,
gibt das geschützte Telefon den geänderten Signalton wieder.
Geschützte Telefone spielen unter folgenden Umständen einen Signalton ab:
• Wenn die Option Sicherheitssignalton aktiviert ist:
◦ Wenn auf beiden Seiten sichere Medien eingerichtet sind und der Anrufstatus „Sicher" lautet, gibt
◦ Wenn auf beiden Seiten nicht sichere Medien eingerichtet sind und der Anrufstatus „Nicht sicher"
Wenn die Option Sicherheitssignalton wiedergeben deaktiviert ist, erklingt kein Signalton.
Sichere Anrufe werden zwischen zwei Telefonen unterstützt. Für geschützte Telefone sind einige
Hinweis
Funktionen, beispielsweise Konferenzanrufe, gemeinsam genutzte Leitungen und die Anschlussmobilität,
nicht verfügbar, wenn sichere Anrufe konfiguriert sind.

802.1x-Authentifizierung

Die Cisco IP-Telefone unterstützen die 802.1X-Authentifizierung.
Cisco IP-Telefone und Cisco Catalyst-Switches verwenden normalerweise CDP (Cisco Discovery Protocol),
um sich gegenseitig zu identifizieren und Paramater zu bestimmen, beispielsweise die VLAN-Zuweisung und
Inline-Energieanforderungen. CDP identifiziert lokal verbundene Arbeitsstationen nicht. Cisco IP-Telefone
stellen eine Durchlaufmethode bereit. Diese Methode ermöglicht einer Arbeitsstation, die mit dem Cisco
IP-Telefon verbunden ist, EAPOL-Meldungen an den 802.1X-Authentikator auf dem LAN-Switch zu
übermitteln. Die Durchlaufmethode stellt sicher, dass das IP-Telefon nicht als LAN-Switch agiert, um einen
Datenendpunkt zu authentifizieren, bevor das Telefon auf das Netzwerk zugreift.
Cisco IP-Telefone stellen auch eine Proxy-EAPOL-Logoff-Methode bereit. Wenn der lokal verbundene PC
vom IP-Telefon getrennt wird, erkennt der LAN-Switch nicht, dass die physische Verbindung unterbrochen
wurde, da die Verbindung zwischen dem LAN-Switch und dem IP-Telefon aufrechterhalten wird. Um eine
Gefährdung der Netzwerkintegrität zu verhindern, sendet das IP-Telefon im Auftrag des nachgelagerten PCs
eine EAPOL-Logoff-Meldung an den Switch, die den LAN-Switch veranlasst, den Authentifizierungseintrag
für den nachgelagerten PC zu löschen.
Für die Unterstützung der 802.1X-Authentifizierung sind mehrere Komponenten erforderlich:
• Cisco IP-Telefon: Das Telefon initiiert die Anforderung, um auf das Netzwerk zuzugreifen. Das Cisco
IP-Telefon enthält ein 802.1X Supplicant. Dieses Supplicant ermöglicht Netzwerkadministratoren die
Verbindung von IP-Telefonen mit den LAN-Switch-Ports zu steuern. Die aktuelle Version des 802.1X
Supplicant verwendet EAP-FAST und EAP-TLS für die Netzwerkauthentifizierung.
• Cisco Catalyst-Switch (oder Switch eines Drittanbieters): Der Switch muss 802.1X unterstützen, damit
er als Authentifikator agieren und Meldungen zwischen dem Telefon und dem Authentifizierungsserver
übermitteln kann. Nach dem Meldungsaustausch gewährt oder verweigert der Switch dem Telefon den
Zugriff auf das Netzwerk.
das Telefon das Signal für eine sichere Verbindung wieder (drei lange Signaltöne mit Pausen).
lautet, wird das Signal für eine nicht sichere Verbindung abgespielt (sechs kurze Signaltöne mit
kurzen Pausen).
Verwaltungshandbuch für die Cisco IP-Telefon 7800-Serie für Cisco Unified Communications Manager
Unterstützte Sicherheitsfunktionen
87