تثبيت شهادة الجهاز المخصص يدويا

يمكنك تثبيت شهادة جهاز مخصص (CDC) يدويا على الهاتف عن طريق تحميل الشهادة من صفحة ويب إدارة الهاتف.

‏‫قبل البدء‬

قبل أن تتمكن من تثبيت شهادة جهاز مخصصة للهاتف، يجب أن يكون لديك:

  • ملف شهادة (.p12 أو .pfx) محفوظ على الكمبيوتر. يحتوي الملف على الشهادة والمفتاح الخاص.
  • كلمة مرور استخراج الشهادة. يتم استخدام كلمة المرور لفك تشفير ملف الشهادة.
1

يمكنك الوصول إلى صفحة ويب إدارة الهاتف.

2

حدد شهادة.

3

في القسم إضافة شهادة ، انقر فوق استعراض....

4

قم بالاستعراض للشهادة الموجودة على جهاز الكمبيوتر الخاص بك.

5

في كلمة المرور استخراج الحقل، أدخل كلمة المرور استخراج الشهادة.

6

انقر فوق تحميل.

إذا كان ملف الشهادة وكلمة المرور صحيحين ، فستتلقى الرسالة "تمت إضافة الشهادة". وإلا، يفشل التحميل مع ظهور رسالة خطأ تشير إلى تعذر تحميل الشهادة.
7

للتحقق من تفاصيل الشهادة المثبتة، انقر فوق عرض في قسم الشهادات الموجودة.

8

لإزالة الشهادة المثبتة من الهاتف، انقر فوق حذف في قسم الشهادات الموجودة.

بمجرد النقر فوق الزر ، تبدأ عملية الإزالة على الفور دون تأكيد.

إذا تمت إزالة الشهادة بنجاح ، فستتلقى الرسالة "تم حذف الشهادة".

تثبيت شهادة جهاز مخصص تلقائيا بواسطة SCEP

يمكنك إعداد معلمات بروتوكول تسجيل الشهادة البسيطة (SCEP) لتثبيت شهادة الجهاز المخصص (CDC) تلقائيا، إذا كنت لا تريد تحميل ملف الشهادة يدويا أو إذا لم يكن لديك ملف الشهادة في مكانه.

عند تهيئة معلمات SCEP بشكل صحيح، يرسل الهاتف الطلبات إلى خادم SCEP، ويتم التحقق من صحة شهادة المرجع المصدق (CA) بواسطة الجهاز باستخدام بصمة الإصبع المحددة.

‏‫قبل البدء‬

قبل أن تتمكن من إجراء التثبيت التلقائي لشهادة جهاز مخصصة للهاتف، يجب أن يكون لديك:

  • عنوان خادم SCEP
  • بصمة الإصبع SHA-1 أو SHA-256 لشهادة CA الجذر الخاصة بخادم SCEP
1

يمكنك الوصول إلى صفحة ويب إدارة الهاتف.

2

حدد شهادة.

3

في قسم تهيئة SCEP 1 ، عين المعلمات كما هو موضح في الجدول التالي معلمات تهيئة SCEP.

4

انقر فوق إرسال جميع التغييرات.

معلمات تهيئة SCEP

يحدد الجدول التالي وظيفة معلمات تهيئة SCEP واستخدامها في قسم تهيئة SCEP 1 ضمن علامة التبويب الشهادة في واجهة ويب الهاتف. كما يحدد بناء جملة السلسلة التي تتم إضافتها في ملف تكوين الهاتف (cfg.xml) لتكوين معلمة.

الجدول 1. معلمات تهيئة SCEP
المعلمةالوصف
الخادم

عنوان خادم SCEP. هذه المعلمة إلزامية.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • في صفحة الهاتف على الويب، أدخل عنوان خادم SCEP.

القيم الصالحة: عنوان URL أو عنوان IP. نظام HTTPS غير مدعوم.

القيمة الافتراضية: فارغ

الجذر CA بصمة

SHA256 أو SHA1 بصمة المرجع المصدق الجذر للتحقق من صحتها أثناء عملية SCEP. هذه المعلمة إلزامية.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • في صفحة الهاتف على الويب، أدخل بصمة إصبع صالحة.

القيمة الافتراضية: فارغ

كلمة مرور التحدي

كلمة مرور التحدي لتخويل Certificate Authority (CA) على الهاتف أثناء تسجيل الشهادة عبر SCEP. هذه المعلمة اختيارية.

وفقا لبيئة SCEP الفعلية، يختلف سلوك كلمة مرور التحدي.

  • إذا حصل الهاتف على شهادة من Cisco RA تتصل بالمرجع المصدق، فإن كلمة مرور التحدي غير مدعومة على المرجع المصدق. في هذه الحالة، يستخدم Cisco RA MIC/SUDI الخاص بالهاتف للمصادقة للوصول إلى المرجع المصدق. يستخدم الهاتف MIC/SUDI لكل من التسجيل الأولي وتجديد الشهادة.
  • إذا حصل الهاتف على شهادة من خلال الاتصال بالمرجع المصدق مباشرة، يتم دعم كلمة مرور التحدي على المرجع المصدق. إذا تم تكوينه ، استخدامه للتسجيل الأولي فقط. لتجديد الشهادة، سيتم استخدام الشهادة المثبتة بدلا من ذلك.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    يتم إخفاء كلمة المرور في ملف التكوين.

  • في صفحة الهاتف على الويب، أدخل كلمة مرور التحدي.

القيمة الافتراضية: فارغ

تهيئة معلمات SCEP عبر الخيار 43 DHCP

بالإضافة إلى تسجيل شهادة SCEP من خلال التكوينات اليدوية على صفحة ويب الهاتف، يمكنك أيضا استخدام خيار DHCP 43 لملء المعلمات من خادم DHCP. تتم تهيئة خيار DHCP 43 مسبقا باستخدام معلمات SCEP، ويمكن للهاتف لاحقا جلب المعلمات من خادم DHCP لإجراء تسجيل شهادة SCEP.

  • لا يتوفر تكوين معلمات SCEP عبر الخيار 43 إلا للهاتف الذي يتم فيه إجراء إعادة تعيين إعدادات المصنع DHCP.
  • يجب عدم وضع الهواتف في الشبكة التي تدعم كلا من الخيار 43 والتزويد عن بعد (على سبيل المثال، الخيارات 66,160,159,150 أو التوفير السحابي). وإلا، فقد لا تحصل الهواتف على تكوينات الخيار 43.

لتسجيل شهادة SCEP من خلال تهيئة معلمات SCEP في الخيار 43 DHCP، قم بما يلي:

  1. إعداد بيئة SCEP.

    للحصول على معلومات حول إعداد بيئة SCEP، راجع وثائق خادم SCEP.

  2. قم بإعداد الخيار 43 DHCP (المحدد في 8.4 المعلومات الخاصة بالمورد، RFC 2132).

    يتم حجز الخيارات الفرعية (10-15) للطريقة:

    المعلمة على صفحة ويب الهاتفخيار فرعيالنوعالطول (بايت)إلزامي
    وضع FIPS10منطقيه1لا*
    الخادم11السلسلة208 - الطول (كلمة مرور التحدي)نعم
    الجذر CA بصمة12ثنائي20 أو 32نعم
    كلمة مرور التحدي13السلسلة208 - الطول (الخادم)لا*
    تمكين مصادقة 802.1X14منطقيه1لا
    تحديد الشهادة158 بت غير موقعة1لا

    عند استخدام الخيار DHCP 43 لاحظ الخصائص التالية للأسلوب:

    • يتم حجز الخيارات الفرعية (10-15) لشهادة الجهاز المخصص (CDC).
    • الحد الأقصى لطول خيار DHCP 43 هو 255 بايت.
    • يجب أن يكون الحد الأقصى لطول الخادم + كلمة مرور التحدي أقل من 208 بايت.
    • يجب أن تكون قيمة وضع FIPS متوافقة مع تكوين توفير الإعداد. وإلا يفشل الهاتف في استرداد الشهادة المثبتة مسبقا بعد الإعداد. تحديدا
      • إذا كان سيتم تسجيل الهاتف في بيئة يتم فيها تعطيل وضع FIPS، فلن تحتاج إلى تكوين وضع FIPS للمعلمة في DHCP الخيار 43. بشكل افتراضي، يتم تعطيل وضع FIPS.
      • إذا كان الهاتف سيتم تسجيله في بيئة يتم فيها تمكين وضع FIPS، فيجب تمكين وضع FIPS في DHCP الخيار 43. راجع تمكين وضع FIPS للحصول على التفاصيل.
    • كلمة المرور في الخيار 43 مكتوبة بنص واضح.

      إذا كانت كلمة مرور التحدي فارغة، يستخدم الهاتف MIC/SUDI للتسجيل الأولي وتجديد الشهادة. إذا تم تكوين كلمة مرور الاختبار، استخدامها فقط للتسجيل الأولي، وسيتم استخدام الشهادة المثبتة لتجديد الشهادة.

    • تمكين مصادقة 802.1X وتحديد الشهادة يستخدمان فقط للهواتف في الشبكة السلكية.
    • يستخدم DHCP الخيار 60 (معرف فئة البائع) لتحديد طراز الجهاز.

    ويقدم الجدول التالي مثالا DHCP الخيار 43 (الخيارات الفرعية 10-15):

    الخيار الفرعي عشري/سداسي عشريطول القيمة (بايت) عشري / سداسي عشريالقيمةقيمة سداسية عشرية
    10/0 أ1/011 (0: معطل؛ 1: ممكن)01
    11/0 ب18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0 ج20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0 د16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0: لا؛ 1: نعم)01
    15/0 فهرنهايت1/011 (0: التصنيع مثبت؛ 1: مثبت حسب الطلب) 01

    ملخص قيم المعلمات:

    • وضع FIPS = ممكن

    • الخادم = http://10.79.57.91

    • الجذر CA بصمة = 12040870625C5B755D73F 5925285F8F5FF5D55AF

    • كلمة مرور التحدي = D233CCF9B9952A15

    • تمكين مصادقة 802.1X = نعم

    • تحديد الشهادة = تثبيت مخصص

    بناء جملة القيمة السداسية النهائية هو: {<الخيار الفرعي><الطول><القيمة>} ...

    وفقا لقيم المعلمات أعلاه ، تكون القيمة السداسية النهائية كما يلي:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. قم بتكوين الخيار 43 DHCP على خادم DHCP.

    تقدم هذه الخطوة مثالا على تكوينات خيار DHCP 43 في سجل شبكة Cisco.

    1. أضف مجموعة تعريف الخيار DHCP.

      سلسلة خيارات المورد هي اسم طراز هواتف IP. القيمة الصالحة هي: DP-9841 أو DP-9851 أو DP-9861 أو DP-9871 أو CP-8875.

    2. أضف خيار DHCP 43 والخيارات الفرعية إلى مجموعة تعريف الخيار DHCP.

      مثال:

      لقطة شاشة لتعريفات الخيار 43 DHCP في سجل شبكة Cisco

    3. أضف الخيارات 43 إلى نهج DHCP وقم بإعداد القيمة كما يلي:

      مثال:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. تحقق من الإعدادات. يمكنك استخدام Wireshark لالتقاط أثر لحركة مرور الشبكة بين الهاتف والخدمة.
  4. قم بإجراء إعادة ضبط المصنع للهاتف.

    بعد إعادة تعيين الهاتف ، سيتم ملء المعلمات الخادم وبصمة جذر CA وكلمة مرور التحدي تلقائيا. توجد هذه المعلمات في القسم تكوين SCEP 1 من شهادة > مخصص في صفحة ويب إدارة الهاتف.

    للتحقق من تفاصيل الشهادة المثبتة، انقر فوق عرض في قسم الشهادات الموجودة.

    للتحقق من حالة تثبيت الشهادة، حدد شهادة > حالة شهادة مخصصة. تعرض حالة التنزيل 1 أحدث نتيجة. في حالة حدوث أي مشكلة أثناء تسجيل الشهادة، يمكن أن تعرض حالة التنزيل سبب المشكلة لأغراض استكشاف الأخطاء وإصلاحها.

    إذا فشلت مصادقة كلمة مرور التحدي، فسيطلب من المستخدمين إدخال كلمة المرور على شاشة الهاتف.
  5. (اختياري): لإزالة الشهادة المثبتة من الهاتف، انقر فوق حذف في قسم الشهادات الموجودة.
    بمجرد النقر فوق الزر ، تبدأ عملية الإزالة على الفور دون تأكيد.

تجديد الشهادة من قبل SCEP

يمكن تحديث شهادة الجهاز تلقائيا من خلال عملية SCEP.

  • يتحقق الهاتف مما إذا كانت الشهادة ستنتهي صلاحيتها خلال 15 يوما كل 4 ساعات. إذا كان الأمر كذلك، يبدأ الهاتف عملية تجديد الشهادة تلقائيا.
  • إذا كانت كلمة مرور التحدي فارغة، يستخدم الهاتف MIC/SUDI لكل من التسجيل الأولي وتجديد الشهادة. إذا تم تكوين كلمة مرور التحدي ، استخدامها للتسجيل الأولي فقط ، ويتم استخدام الشهادة الحالية / المثبتة لتجديد الشهادة.
  • لا يزيل الهاتف شهادة الجهاز القديمة حتى يسترد الشهادة الجديدة.
  • إذا فشل تجديد الشهادة بسبب انتهاء صلاحية شهادة الجهاز أو المرجع المصدق، فسيقوم الهاتف بتشغيل التسجيل الأولي تلقائيا. في هذه الأثناء، إذا فشلت مصادقة كلمة مرور التحدي، تنبثق شاشة إدخال كلمة المرور على شاشة الهاتف، وتتم مطالبة المستخدمين بإدخال كلمة مرور التحدي على الهاتف.

تمكين وضع FIPS

يمكنك جعل الهاتف متوافقًا مع معايير معالجة المعلومات الفيدرالية (FIPS).

إن FIPS عبارة عن مجموعة من المعايير التي تصف معالجة المستندات وخوارزميات التشفير ومعايير تكنولوجيا المعلومات الأخرى للاستخدام داخل الحكومة غير العسكرية ومن قِبل المقاولين الحكوميين والموردين الحكوميين الذين يعملون مع الوكالات. CiscoSSL FOM (وحدة كائن FIPS) عبارة عن مكون برمجي محدد بعناية ومصمم للتوافق مع مكتبة CiscoSSL، لذلك يمكن تحويل المنتجات التي تستخدم مكتبة CiscoSSL API لاستخدام التشفير المتحقق من صحته وفقا لمعيار FIPS 140-2 بأقل جهد.

1

يمكنك الوصول إلى صفحة ويب إدارة الهاتف.

2

حدد صوت > النظام.

3

في قسم إعدادات الأمان، اختر نعم أو لا من معلمة وضع FIPS.

4

انقر فوق إرسال جميع التغييرات.

عند تمكين FIPS، تعمل الميزات التالية بسلاسة على الهاتف:
  • مصادقة الصور
  • التخزين الآمن
  • ‏‫تشفير ملف التكوين
  • TLS:
    • المتقاطعات
    • تحميل PRT
    • ترقية البرامج الثابتة
    • إعادة مزامنة ملف التعريف
    • خدمة الإعداد
    • Webex الإعداد
    • SIP عبر TLS
    • 802.1x (سلكي)
  • ملخص SIP‏ (RFC 8760)
  • SRTP
  • Webex سجلات المكالمات ودليل Webex
  • زر واحد للضغط (OBTP)

إزالة شهادة الأمان يدويًا

يمكنك إزالة شهادات أمان يدوياً من خلال هاتف في حالة عدم توفر بروتوكول تسجيل الشهادات البسيطة (SCEP).

1

من صفحة ويب إدارة الهاتف، حدد الشهادات.

2

حدد موقع الشهادة على صفحة شهادات.

3

انقر فوق حذف.

4

قم بإعادة تشغيل الهاتف بعد إكمال عملية الحذف.

تعيين كلمة مرور المستخدم والمسؤول

بعد تسجيل الهاتف في نظام التحكم في المكالمات في المرة الأولى أو إجراء إعادة ضبط المصنع على الهاتف، يجب تعيين كلمة مرور المستخدم والمسؤول لتعزيز أمان الهاتف. فقط عند تعيين كلمة المرور، يمكنك إرسال التغييرات من صفحة الهاتف على الويب.

بشكل افتراضي، يتم تمكين تحذير عدم وجود كلمة مرور على الهاتف. عندما لا يحتوي الهاتف على أي كلمة مرور لمستخدم أو مسؤول، يتم عرض التحذيرات التالية:

  • تعرض صفحة ويب الهاتف "لم يتم توفير كلمة مرور المسؤول. الويب في وضع القراءة فقط، ولا يمكنك إرسال التغييرات. الرجاء تغيير كلمة المرور." في الزاوية اليسرى العليا.

    يعرض حقلا كلمة مرور المستخدم وكلمة مرور المسؤول التحذير "لم يتم توفير كلمة مرور" على التوالي إذا كان فارغا.

  • تعرض مشكلات شاشة الهاتف والتشخيصات المشكلة "لم يتم توفير كلمة مرور".
1

الوصول إلى صفحة ويب إدارة الهاتف

2

حدد صوت > النظام.

3

(اختياري) في المقطع تكوين النظام، قم بتعيين معلمة "عرض تحذيرات كلمة المرور" إلى نعم، ثم انقر فوق إرسال كافة التغييرات.

يمكنك أيضًا تمكين المعلمات في ملف تكوين الهاتف (cfg.xml).

<Display_Password_Warnings ua="na">نعم</Display_Password_Warnings>

القيمة الافتراضية: نعم

الخيارات: نعم|لا

عند تعيين المعلمة على "لا"، لا يظهر تحذير كلمة المرور على صفحة الويب ولا على شاشة الهاتف. أيضا ، لن يتم تنشيط وضع الاستعداد فقط لصفحة الويب على الرغم من أن كلمة المرور فارغة.

4

حدد موقع المعلمة User Password أو Admin Password، وانقر فوق Change Password بجوار المعلمة.

5

أدخل كلمة مرور المستخدم الحالية في حقل كلمة المرور القديمة.

إذا لم يكن لديك كلمة مرور، فاترك الحقل فارغًا. القيمة الافتراضية هي فارغ.
6

أدخل كلمة مرور جديدة في حقل كلمه المرور الجديدة.

7

انقر فوق إرسال.

سيتم عرض رسالة Password has been changed successfully. في صفحة الويب. سيتم تحديث صفحة الويب في عدة ثوانٍ. سيختفي التحذير الموجود بجوار المعلمة.

بعد تعيين كلمة مرور المستخدم، تعرض هذه المعلمة ما يلي في ملف XML لتكوين الهاتف (cfg.xml):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

إذا تلقيت رمز الخطأ 403 عند محاولة الوصول إلى صفحة الهاتف على الويب، فيجب عليك تعيين كلمة مرور المستخدم أو المسؤول عن طريق التوفير في ملف تكوين الهاتف (cfg.xml). على سبيل المثال، أدخل سلسلة بهذا التنسيق:

<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>

<User_Password ua="rw">Abc123</User_Password>

مصادقة 802.1X

تدعم هواتف Cisco IP مصادقة 802.1X.

عادةً ما تستخدم هواتف Cisco IP ومحولات Cisco IP بروتوكول اكتشاف Cisco (يُعرف اختصارًا بـ CDP) للتعرف على هوية بعضها البعض وتحديد معلمات مثل متطلبات تخصيص VLAN وطاقة الكبلات الداخلية. يحدد بروتوكول CDP محطات العمل المتصلة محليًا. توفر هواتف Cisco IP آلية لعبور EAPOL. وتتيح هذه الآلية لمحطة العمل المتصلة بهاتف Cisco IP تمرير رسائل EAPOL إلى مصدّق 802.1X في محول LAN. تضمن آلية المرور عدم تصرف هاتف IP كمحول LAN لمصادقة نقطة نهاية بيانات قبل الوصول إلى الشبكة.

كما توفر هواتف Cisco IP آلية لتسجيل الخروج من EAPOL للوكيل. إذا تم فصل اتصال الكمبيوتر الشخصي المتصل محليًا عن هاتف IP، لا يعلم محول LAN عطل الارتباط المادي، وذلك نظرًا لخضوع الوصلة التي تربط بين محول LAN وهاتف IP للصيانة. ولتجنب المخاطرة بسلامة الشبكة، يرسل هاتف IP رسالة تسجيل خروج من EAPOL إلى المحول بالنيابة عن الكمبيوتر الشخصي المتدفقة إليه البيانات، والذي يقوم بتشغيل محول LAN لمسح إدخال المصادقة للكمبيوتر الشخصي المتدفقة إليه البيانات.

يتطلب دعم مصادقة 802.1X العديد من المكونات:

  • هاتف Cisco IP : يعمل الهاتف على تكوين الطلب للوصول إلى الشبكة. تشتمل هواتف Cisco IP Phone على عميل 802.1X. يتيح هذا العميل لمسؤولي الشبكة التحكم في اتصال هواتف IP بمنافذ محول LAN. يستخدم الإصدار الحالي من عميل 802.1X للهواتف الخيارين EAP—FAST وEAP—TLS لمصادقة الشبكة.

  • خادم المصادقة: يجب تكوين كل من خادم المصادقة والمحول باستخدام سر مشترك يقوم بمصادقة الهاتف.

  • المفتاح: يجب أن يدعم المفتاح 802.1X، لذا يمكن أن يعمل المحول كمصدق ويمرر الرسائل بين الهاتف وخادم المصادقة. بعد اكتمال عملية التبادل، يمنح المحول أو يرفض إمكانية وصول الهاتف إلى الشبكة.

ويجب أن تنفذ الإجراءات التالية لتكوين 802.1X.

  • كوِّن المكونات الأخرى قبل تمكين "مصادقة 802.1X" على الهاتف.

  • تكوين منفذ PC: لا يضع المعيار 802.1X في اعتباره وجود شبكات VLAN، ويوصي بناءً على ذلك بوجوب مصادقة جهاز واحد فقط إلى منفذ محدد في المحول. ومع ذلك، تدعم بعض المفاتيح المصادقة متعددة المجالات. يحدد تكوين المحول ما إذا كان بإمكانك توصيل كمبيوتر شخصي بمنفذ PC الخاص بالهاتف أم لا.

    • ممكَّن: إذا كنت تستخدم محولاً يدعم المصادقة متعددة المجالات، فيمكنك تفعيل منفذ PC وتوصيل كمبيوتر شخصي به. وفي هذه الحالة، فإن هواتف Cisco IP تدعم تسجيل الخروج من EAPOL للوكيل لمراقبة عمليات تبادل المصادقة بين المحول والكمبيوتر الشخصي المتصل.

      لمزيد من المعلومات حول دعم IEEE 802.1X في محولات Cisco Catalyst، راجع أدلة تكوين محول Cisco Catalyst على:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • معطَّل: إذا كان المحول لا يدعم أجهزة متعددة متوافقة مع 802.1X على المنفذ نفسه، فيجب أن تقوم بتعطيل منفذ PC عند تمكين مصادقة 802.1X. إذا لم تقم بتعطيل هذا المنفذ وحاولت بعد ذلك توصيل كمبيوتر شخصي به، فسيرفض المحول وصول الشبكة إلى كل من الهاتف والكمبيوتر الشخصي على حدٍ سواء.

  • تكوين VLAN للصوت: لأن معيار 802.1X لا يعتد بوجود شبكات VLAN، يجب أن تعمد إلى تكوين هذا الإعداد بناءً على دعم المحول.
    • ممكَّن: إذا كنت تستخدم محولاً يدعم المصادقة متعددة المجالات، فيمكنك الاستمرار في استخدام VLAN للصوت.
    • معطَّل: إذا كان المحول لا يدعم المصادقة متعددة المجالات، فقم بتعطيل "VLAN للصوت" وضع في اعتبارك تعيين المنفذ إلى شبكة VLAN الأصلية.
  • (لسلسلة هواتف Cisco Desk Phone 9800 فقط)

    يحتوي Cisco Desk Phone 9800 Series على بادئة مختلفة في PID عن تلك الخاصة بهواتف Cisco الأخرى. لتمكين هاتفك من اجتياز مصادقة 802.1X، قم بتعيين نصف القطر· معلمة اسم المستخدم لتضمين سلسلة هاتف Cisco Desk Phone 9800 الخاصة بك.

    على سبيل المثال ، PID للهاتف 9841 هو DP-9841 ؛ يمكنك ضبط نصف القطر · اسم المستخدم للبدء ب DP أو يحتوي على DP. يمكنك تعيينه في كلا القسمين التاليين:

    • السياسة > الشروط > شروط المكتبة

    • نهج > مجموعات النهج> نهج التخويل> قاعدة التخويل 1

تمكين مصادقة 802.1X

عند تمكين مصادقة 802.1X، يستخدم الهاتف مصادقة 802.1X لطلب الوصول إلى الشبكة. عند تعطيل مصادقة 802.1X، يستخدم الهاتف Cisco Discovery Protocol (CDP) للحصول على VLAN والوصول إلى الشبكة. يمكنك أيضا عرض حالة المعاملة وتغييرها من قائمة شاشة الهاتف.

عند تمكين مصادقة 802.1X، يمكنك أيضا تحديد شهادة الجهاز (MIC/SUDI أو مخصصة) للتسجيل الأولي وتجديد الشهادة. عادة ما يكون MIC لهاتف Cisco Video Phone 8875 ، و SUDI لسلسلة Cisco Desk Phone 9800. يمكن استخدام CDC للمصادقة فقط في 802.1x.

1

قم بتنفيذ أحد الإجراءات التالية لتمكين مصادقة 802.1X:

  • في واجهة ويب الهاتف، حدد الصوت>النظام وقم بتعيين معلمة تمكين مصادقة 802.1X إلى نعم . ثم انقر فوق إرسال جميع التغييرات.
  • في ملف التكوين (cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>

    القيم الصالحة: نعم|لا

    القيمة الافتراضية: لا

  • على الهاتف، اضغط على الإعدادات the Settings hard key، ثم انتقل إلى إعدادات الشبكة والخدمة > الأمان> مصادقة 802.1X. قم بتبديل حقل مصادقة الجهاز إلى تشغيل، ثم حدد تطبيق.
الجدول 2. معلمات مصادقة 802.1X على شاشة الهاتف

معلمات

الخيارات

افتراضي

الوصف

مصادقة الجهاز

تشغيل

إيقاف

إيقاف

قم بتمكين مصادقة 802.1X أو تعطيلها على الهاتف.

حالة المعاملة

معطل

يعرض حالة مصادقة 802.1X. يمكن أن تكون الدولة (على سبيل المثال لا الحصر):

  • جارٍ المصادقة: الإشارة إلى أن عملية المصادقة قيد التقدم.
  • تمت المصادقة: يشير إلى أن الهاتف قد تمت مصادقته.
  • معطل: يشير إلى أن مصادقة 802.1x معطلة على الهاتف.

البروتوكول

بلا

يعرض أسلوب EAP المستخدم لمصادقة 802.1X. يمكن أن يكون البروتوكول EAP-FAST أو EAP-TLS.

نوع شهادة المستخدم

التصنيع مثبت

تثبيت مخصص

التصنيع مثبت

اختر الشهادة الخاصة بمصادقة 802.1X أثناء التسجيل الأولي وتجديد الشهادة.

  • التصنيع المثبت—يتم استخدام شهادة التصنيع المثبتة (MIC) ومعرف الجهاز الفريد الآمن (SUDI).
  • تثبيت مخصص—يتم استخدام شهادة الجهاز المخصص (CDC). يمكن تثبيت هذا النوع من الشهادات إما عن طريق التحميل اليدوي على صفحة ويب الهاتف أو عن طريق التثبيت من خادم بروتوكول تسجيل الشهادات البسيطة (SCEP).

تظهر هذه المعلمة على الهاتف فقط عند تمكين مصادقة الجهاز.

2

حدد شهادة (MIC أو مخصصة) لمصادقة 802.1X على صفحة ويب الهاتف.

  • بالنسبة للشبكة السلكية، حدد الصوت>النظام، واختر نوع الشهادة من القائمة المنسدلة تحديد الشهادة في القسم مصادقة 802.1X.

    يمكنك أيضًا تكوين هذه المعلمة في ملف التكوين (cfg.xml):

    <Certificate_Select ua="rw">تثبيت مخصص</Certificate_Select>

    قيم صالحة: التصنيع مثبت |تثبيت مخصص

    الإعداد الافتراضي: التصنيع مثبت

  • بالنسبة للشبكة اللاسلكية، حدد الصوت>النظام، واختر نوع الشهادة من القائمة المنسدلة تحديد الشهادة في القسم Wi-Fi ملف التعريف 1.

    يمكنك أيضًا تكوين هذه المعلمة في ملف التكوين (cfg.xml):

    <Wi-Fi_Certificate_Select_1_ ua="rw">تثبيت مخصص</Wi-Fi_Certificate_Select_1_>

    قيم صالحة: التصنيع مثبت |تثبيت مخصص

    الإعداد الافتراضي: التصنيع مثبت

للحصول على معلومات حول كيفية تحديد نوع الشهادة على شاشة الهاتف، راجع توصيل الهاتف بشبكة Wi-Fi.

إعداد خادم وكيل

يمكنك تكوين الهاتف لاستخدام خادم وكيل لتحسين الأمان. عادة ما يوفر خادم وكيل HTTP الخدمات التالية:

  • توجيه حركة المرور بين الشبكات الداخلية والخارجية
  • تصفية حركة المرور أو مراقبتها أو تسجيلها
  • استجابات التخزين المؤقت لتحسين الأداء

أيضا ، يمكن أن يعمل خادم وكيل HTTP كجدار حماية بين الهاتف والإنترنت. بعد التكوين الناجح ، يتصل الهاتف بالإنترنت من خلال الخادم الوكيل الذي يحمي الهاتف من الهجوم الإلكتروني.

عند التكوين، تنطبق ميزة وكيل HTTP على جميع التطبيقات التي تستخدم بروتوكول HTTP. على سبيل المثال:

  • GDS (إعداد رمز التنشيط)
  • تنشيط جهاز EDOS
  • الإعداد إلى Webex Cloud (عبر EDOS أو GDS)
  • المرجع المصدق المخصص
  • التوفير
  • ترقية البرامج الثابتة
  • تقرير حالة الهاتف
  • تحميل PRT
  • خدمات XSI
  • خدمات Webex

حاليا، تدعم الميزة IPv4 فقط.

1

يمكنك الوصول إلى صفحة ويب إدارة الهاتف.

2

حدد صوت > النظام.

3

في القسم إعدادات وكيل HTTP ، حدد وضع وكيل من القائمة المنسدلة وضع الوكيل وقم بتكوين المعلمات ذات الصلة.

لكل وضع وكيل ، تختلف المعلمات المطلوبة. انظر التفاصيل في الجدول التالي:
وضع الوكيلالمعلمات المطلوبةالوصف
إيقافNAتم تعطيل وكيل HTTP على الهاتف.
يدويمضيف الوكيل

منفذ الوكيل

مصادقة الوكيل: نعم

اسم المستخدم

كلمة المرور

حدد يدويا خادم وكيل (اسم مضيف أو عنوان IP) ومنفذ وكيل. إذا كان الخادم الوكيل يتطلب المصادقة ، فيجب عليك إدخال اسم المستخدم وكلمة المرور.
مضيف الوكيل

منفذ الوكيل

مصادقة الوكيل: لا

حدد خادم وكيل يدويا. لا يتطلب الخادم الوكيل بيانات اعتماد المصادقة.
تلقائيالاكتشاف التلقائي لوكيل الويب: لا

عنوان URL لـ PAC

أدخل عنوان URL PAC صالحا لاسترداد ملف PAC.
الاكتشاف التلقائي لوكيل الويب: نعم

يستخدم بروتوكول WPAD لاسترداد ملف PAC تلقائيا.

لمزيد من المعلومات حول المعلمات، راجع معلمات إعدادات وكيل HTTP.

4

انقر فوق إرسال جميع التغييرات.

معلمات إعدادات وكيل HTTP

يحدد الجدول التالي وظيفة معلمات وكيل HTTP واستخدامها في قسم إعدادات وكيل HTTP ضمن علامة التبويب الصوت > النظام في واجهة ويب الهاتف. كما أنه يحدد بنية السلسلة التي تمت إضافتها في ملف تكوين الهاتف (cfg.xml) باستخدام رمز XML لتكوين معلمة.

المعلمةالوصف
وضع الوكيليحدد وضع بروكسي HTTP الذي يستخدمه الهاتف، أو يعطل ميزة بروكسي HTTP.
  • تلقائي

    يقوم الهاتف تلقائيًا باسترداد ملف التكوين التلقائي للوكيل (PAC) لتحديد خادم وكيل. في هذا الوضع، يمكنك تحديد ما إذا كنت تريد استخدام بروتوكول الاكتشاف التلقائي لوكيل الويب (WPAD) لاسترداد ملف PAC أو إدخال عنوان URL صالح لملف PAC يدويا.

    للحصول على تفاصيل حول المعلمات، راجع المعلمات "الاكتشاف التلقائي لوكيل الويب" و"عنوان URL ل PAC" في هذا الجدول.

  • يدوي

    يجب عليك تحديد خادم يدويًا (اسم مضيف أو عنوان IP) ومنفذ خادم وكيل.

    للحصول على تفاصيل حول المعلمات، راجع مضيف الوكيل ومنفذ الوكيل.

  • إيقاف

    يمكنك تعطيل ميزة بروكسي HTTP على الهاتف.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Proxy_Mode ua="rw">إيقاف</Proxy_Mode>

  • على واجهة الويب الخاصة بالهاتف، حدد وضع الوكيل أو قم بتعطيل الميزة.

القيم المسموح بها: تلقائي ويدوي وإيقاف

الافتراضي: إيقاف

الاكتشاف التلقائي لوكيل الويبلتحديد ما إذا كان الهاتف يستخدم بروتوكول الاكتشاف التلقائي لوكيل الويب (WPAD) لاسترداد ملف PAC.

يستخدم بروتوكول WPAD DHCP أو DNS أو بروتوكولي الشبكة كليهما لتحديد موقع ملف التكوين التلقائي للوكيل (PAC) تلقائيا. ويتم استخدام ملف PAC لتحديد خادم وكيل لعنوان URL محدد. ويمكن استضافة هذا الملف محليًا أو على شبكة.

  • يسري مفعول تكوين المعلمة عندما يتم تعيين وضع الوكيل على تلقائي.
  • إذا قمت بتعيين المعلمة على لا، فيجب تحديد عنوان URL لـ PAC.

    للحصول على تفاصيل حول المعلمة، راجع المعلمة "PAC URL" في هذا الجدول.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Web_Proxy_Auto_Discovery ua="rw">نعم</Web_Proxy_Auto_Discovery>

  • على واجهة ويب الهاتف، حدد نعم أو لا حسب الحاجة.

القيم المسموح بها: نعم ولا

القيمة الافتراضية: نعم

عنوان URL لـ PACعنوان URL لملف PAC.

على سبيل المثال، http://proxy.department.branch.example.com

يتم دعم TFTP وHTTP وHTTPS.

إذا قمت بتعيين وضع الوكيل على تلقائي والاكتشاف التلقائي لوكيل الويب على لا، فيجب عليك تكوين هذه المعلمة.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL>

  • في واجهة الويب الخاصة بالهاتف، أدخل عنوان URL صالحًا يحدد موقع ملف PAC.

القيمة الافتراضية: فارغ

مضيف الوكيلعنوان IP أو اسم المضيف لخادم مضيف الوكيل الذي يمكن للهاتف الوصول إليه. على سبيل المثال:

proxy.example.com

المخطط (http:// أو https://) غير مطلوب.

إذا قمت بتعيين وضع الوكيل على يدوي، فيجب تكوين هذه المعلمة.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Proxy_Host ua="rw">proxy.example.com</Proxy_Host>

  • على واجهة الويب الخاصة بالهاتف، أدخل عنوان IP أو اسم مضيف الخادم الوكيل.

القيمة الافتراضية: فارغ

منفذ الوكيلرقم المنفذ لخادم مضيف الوكيل.

إذا قمت بتعيين وضع الوكيل على يدوي، فيجب تكوين هذه المعلمة.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Proxy_Port ua="rw">3128</Proxy_Port>

  • على واجهة الويب الخاصة بالهاتف، أدخل منفذ الخادم.

القيمة الافتراضية: 3128

مصادقة الوكيليحدد ما إذا كان المستخدم بحاجة إلى توفير بيانات اعتماد المصادقة (اسم المستخدم وكلمة المرور) التي يتطلبها الخادم الوكيل. يتم تكوين هذه المعلمة وفقًا للسلوك الفعلي للخادم الوكيل.

إذا قمت بتعيين المعلمة على نعم، فيجب عليك تكوين اسم المستخدم وكلمة المرور.

للحصول على تفاصيل حول المعلمات ، راجع المعلمة "اسم المستخدم" و "كلمة المرور" في هذا الجدول.

يسري مفعول تكوين المعلمة عندما يتم تعيين وضع الوكيل على يدوي.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Proxy_Authentication ua="rw">No</Proxy_Authentication>

  • على واجهة ويب الهاتف، قم بتعيين هذا الحقل نعم أو لا حسب الحاجة.

القيم المسموح بها: نعم ولا

القيمة الافتراضية: لا

اسم المستخدماسم المستخدم لمستخدم بيانات الاعتماد على الخادم الوكيل.

إذا تم تعيين "وضع الوكيل" على "يدوي " وتم تعيين "مصادقة الوكيل" على "نعم"، فيجب عليك تكوين المعلمة.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Proxy_Username ua="rw">مثال</Proxy_Username>

  • على واجهة الويب الخاصة بالهاتف، أدخل اسم المستخدم.

القيمة الافتراضية: فارغ

كلمة المروركلمة مرور لاسم المستخدم المحدد لغرض مصادقة الوكيل.

إذا تم تعيين "وضع الوكيل" على "يدوي " وتم تعيين "مصادقة الوكيل" على "نعم"، فيجب عليك تكوين المعلمة.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Proxy_Password ua="rw">مثال</Proxy_Password>

  • على واجهة الويب الخاصة بالهاتف، أدخل كلمة مرور صالحة لمصادقة الوكيل للمستخدم.

القيمة الافتراضية: فارغ

تمكين الوضع الذي بدأه العميل لمفاوضات أمان مستوى الوسائط

لحماية جلسات الوسائط، يمكنك تكوين الهاتف لبدء مفاوضات أمان مستوى الوسائط مع الخادم. تتبع آلية الأمان المعايير المنصوص عليها في RFC 3329 ومسودة امتدادها أسماء آلية الأمان للوسائط (انظر https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). يمكن أن يستخدم نقل المفاوضات بين الهاتف والخادم بروتوكول SIP عبر UDP وTCP وTLS. يمكنك تقييد تفاوض أمان مستوى الوسائط هذا فقط عندما يكون بروتوكول نقل الإشارة هو TLS.

1

يمكنك الوصول إلى صفحة ويب إدارة الهاتف.

2

حدد صوت > Ext(n).

3

في قسم إعدادات SIP، قم بتعيين حقلي طلب MediaSec وMediaSec عبر TLS فقط كما هو محدد في الجدول التالي:

الجدول 3. معلمات للتفاوض الأمني على مستوى الوسائط
المعلمةالوصف

طلب MediaSec

تحديد ما إذا كان الهاتف يبدأ مفاوضات أمان مستوى الوسائط مع الخادم.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <MediaSec_Request_1_ ua="na">نعم</MediaSec_Request_1_>
  • في واجهة ويب الهاتف، قم بتعيين هذا الحقل إلى نعم أو لا عند الحاجة.

القيم المسموح بها: نعم|لا

  • نعم—وضع بدء العميل. يقوم الهاتف ببدء مفاوضات أمان مستوى الوسائط.
  • لا—الوضع الذي يبدأه الخادم. يبدأ الخادم مفاوضات أمان مستوى الوسائط. لا يبدأ الهاتف المفاوضات، ولكن يمكنه التعامل مع طلبات التفاوض من الخادم لإجراء مكالمات آمنة.

القيمة الافتراضية: لا

MediaSec عبر TLS فقط

تحديد بروتوكول نقل الإشارات الذي يتم من خلاله تطبيق مفاوضات أمان مستوى الوسائط.

قبل تعيين هذا الحقل إلى نعم، تأكد من أن بروتوكول نقل الإشارات هو TLS.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>

  • في واجهة ويب الهاتف، قم بتعيين هذا الحقل إلى نعم أو لا عند الحاجة.

القيم المسموح بها: نعم|لا

  • نعم—يبدأ الهاتف أو يتعامل مع مفاوضات أمان مستوى الوسائط فقط عندما يكون بروتوكول نقل الإشارات هو TLS.
  • لا—يبدأ الهاتف ويتعامل مع مفاوضات أمان مستوى الوسائط بغض النظر عن بروتوكول نقل الإشارات.

القيمة الافتراضية: لا

4

انقر فوق إرسال جميع التغييرات.

الأمان WLAN

نظرًا لإمكانية تلقي جميع أجهزة الشبكة المحلية اللاسلكية الواقعة ضمن النطاق كل حركة مرور الشبكة المحلية اللاسلكية الأخرى، فإن تأمين الاتصالات الصوتية أصبح يمثل عنصرًا مهمًا في الشبكات المحلية اللاسلكية. لضمان عدم تلاعب المتطفلين بحركة مرور الصوت أو اعتراضها، تدعم بنية أمان Cisco SAFE الهاتف. للحصول على مزيد من المعلومات حول الأمان في الشبكات، راجع http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

يوفر حل الاتصال الهاتفي اللاسلكي IP من Cisco أمان الشبكة اللاسلكية الذي يمنع عمليات تسجيل الدخول غير المصرح بها والاتصالات المخترقة باستخدام طرق المصادقة التالية التي يدعمها الهاتف:

  • المصادقة المفتوحة: يمكن لأي جهاز لاسلكي طلب المصادقة في نظام مفتوح. يمنح AP الذي يتلقى الطلب المصادقة لأي طالب أو للطالبين الموجودين في قائمة المستخدمين. قد يكون الاتصال بين الجهاز اللاسلكي ونقطة الوصول (AP) غير مشفر.

  • بروتوكول المصادقة القابل للتوسعة - المصادقة المرنة عبر مصادقة الأنفاق الآمنة (EAP-FAST): تقوم بنية أمان خادم العميل هذه بتشفير المعاملات EAP داخل نفق أمان مستوى النقل (TLS) بين AP وخادم RADIUS، مثل محرك خدمات الهوية (ISE).

    يستخدم نفق TLS بيانات اعتماد الوصول المحمية (PACs) للمصادقة بين العميل (هاتف) وخادم RADIUS. يرسل الخادم معرف المرجع (AID) إلى العميل (هاتف)، الذي بدوره يحدد PAC الملائم. يعيد العميل (هاتف) PAC-Opaque إلى خادم RADIUS. يلغي الخادم تشفير PAC باستخدام المفتاح الرئيسي. تحتوي نقطتا النهاية الآن على مفتاح PAC ويتم إنشاء نفق TLS. يدعم EAP-FAST توفير PAC تلقائي، ولكن يجب عليك تمكينه على خادم RADIUS.

    في ISE ، بشكل افتراضي ، تنتهي صلاحية PAC في أسبوع واحد. إذا كان الهاتف يشتمل على PAC منتهية الصلاحية، فتستغرق عملية المصادقة على خادم RADIUS وقتاً أطول مقارنة بوجود PAC جديدة في الهاتف. لتجنب التأخير في توفير PAC، قم بتعيين مدة انتهاء الصلاحية لـ PAC حتى 90 يومًا أو أكثر على ISE أو خادم RADIUS.

  • "بروتوكول المصادقة" القابل للتوسعة عبر "أمان طبقة النقل" (EAP-TLS): يتطلب EAP TLS شهادة عميل للمصادقة والوصول إلى الشبكة. بالنسبة EAP-TLS اللاسلكية، يمكن أن تكون شهادة العميل MIC أو LSC أو شهادة مثبتة من قبل المستخدم.

  • بروتوكول المصادقة القابل للتوسعة المحمي (PEAP): نظام مصادقة متبادل يستند إلى كلمة مرور ملك Cisco بين العميل (هاتف) وخادم RADIUS. يمكن للهاتف استخدام PEAP للمصادقة مع الشبكة اللاسلكية. يتم دعم طريقتي المصادقة PEAP-MSCHAPV2 وPEAP-GTC.

  • المفتاح المشترك مسبقا (PSK): يدعم الهاتف التنسيق ASCII. يجب عليك استخدام هذا التنسيق عند إعداد مفتاح WPA/WPA2/SAE مشترك مسبقا:

    ASCII: سلسلة أحرف ASCII يتراوح طولها من 8 إلى 63 حرفًا (0-9، وأحرف صغيرة وأحرف كبيرة A-Z، وأحرف خاصة)

    مثال: GREG123567@9ZX&W

تستخدم أنظمة المصادقة التالية خادم RADIUS لإدارة مفاتيح المصادقة:

  • WPA/WPA2/WPA3: يستخدم معلومات خادم RADIUS لإنشاء مفاتيح فريدة للمصادقة. ونظرًا لإنشاء تلك المفاتيح على الخادم RADIUS المركزي، يوفر WPA2/WPA3 أماناً أكبر من مفاتيح WPA المشتركة مسبقًا والمخزنة في AP والهاتف.

  • تجوال الأمان السريع: يستخدم خادم RADIUS ومعلومات خادم المجال اللاسلكي (WDS) لإدارة ومصادقة المفاتيح. يقوم WDS بإنشاء ذاكرة تخزين مؤقت لبيانات اعتماد الأمان للأجهزة العميلة التي تدعم FT لإعادة المصادقة بسرعة وأمان. يدعم هاتفا Cisco Desk Phone 9861 و9871 وهاتف Cisco Video Phone 8875 802.11r (FT). يتم دعم كل من عبر الأثير وعبر DS للسماح بالتجوال الآمن السريع. لكننا نوصي بشدة باستخدام طريقة 802.11r (FT) عبر الهواء.

باستخدام WPA/WPA2/WPA3، لا يتم إدخال مفاتيح التشفير على الهاتف، ولكن يتم اشتقاقها تلقائيا بين نقطة الوصول والهاتف. ولكن يجب إدخال اسم المستخدم وكلمة المرور لـ EAP التي يتم استخدامها للمصادقة على كل هاتف.

لضمان أمان حركة مرور الصوت، يدعم الهاتف TKIP و AES للتشفير. عند استخدام هذه الآليات للتشفير، يتم تشفير كل من حزم SIP للإشارة وحزم بروتوكول النقل في الوقت الحقيقي (RTP) الصوتي بين نقطة الوصول والهاتف.

TKIP

يستخدم WPA تشفير TKIP الذي يحتوي على العديد من التحسينات على مدار WEP. يوفر TKIP التشفير باستخدام المفاتيح لكل حزمة وموجهات تهيئة أطول (IVs) تعزز من التشفير. بالإضافة إلى ذلك، يضمن التحقق من تكامل الرسائل (MIC) عدم تغيير الحزم المشفرة. يزيل TKIP التنبؤ بـ WEP الذي يساعد المقتحمين على فك تشفير مفتاح WEP.

AES

طريقة تشفير تستخدم لمصادقة WPA2/WPA3. يستخدم هذا المعيار الوطني للتشفير خوارزمية متناظرة تحتوي على نفس المفتاح للتشفير وفك التشفير. يستخدم AES التشفير سلسلة حظر التشفير (CBC) بحجم 128 بت، وهي التي تدعم حجم 128 و192 و256 بت، كحد أدنى. يدعم الهاتف مفتاح بحجم 256 بت.

لا يدعم هاتفا Cisco Desk Phone 9861 و9871 وهاتف Cisco Video Phone 8875 بروتوكول تكامل مفاتيح Cisco (CKIP) مع CMIC.

يتم إعداد أنظمة المصادقة والتشفير داخل الشبكة المحلية اللاسلكية. يتم تهيئة شبكات VLAN في الشبكة ونقاط الاتصال الموجودة وتحدد مجموعات مختلفة من المصادقة والتشفير. يرتبط SSID بشبكة VLAN ونظام المصادقة والتشفير المعين. لكي تتم مصادقة الأجهزة العميلة اللاسلكية بنجاح، يجب عليك تكوين نفس معرفات SSID مع أنظمة المصادقة والتشفير الخاصة بها على نقاط الوصول وعلى الهاتف.

تتطلب بعض مخططات المصادقة أنواعًا معينة من التشفير.

  • عند استخدام مفتاح WPA مشترك مسبقا أو مفتاح WPA2 مشترك مسبقا أو SAE، يجب تعيين المفتاح المشترك مسبقا بشكل ثابت على الهاتف. يجب أن تطابق هذه المفاتيح المفاتيح الموجودة على AP.
  • يدعم الهاتف التفاوض التلقائي على EAP ل FAST أو PEAP ، ولكن ليس ل TLS. بالنسبة للوضع EAP-TLS ، يجب تحديده.

تعرض أنظمة المصادقة والتشفير في الجدول التالي خيارات تهيئة الشبكة للهاتف الذي يتوافق مع تكوين AP.

الجدول 4. مخططات المصادقة والتشفير
نوع FSRالمصادقهإدارة المفاتيحالتشفيرإطار الإدارة المحمي (PMF)
802.11r (قدم)PSK

WPA-PSK

وبا-PSK-SHA256

FT-PSK

AESلا
802.11r (قدم)WPA3

سا

FT-SAE

AESنعم
802.11r (قدم)EAP-TLS

WPA-EAP

FT-EAP

AESلا
802.11r (قدم)EAP-TLS (WPA3)

وبا-EAP-SHA256

FT-EAP

AESنعم
802.11r (قدم)EAP-FAST

WPA-EAP

FT-EAP

AESلا
802.11r (قدم)EAP-FAST (WPA3)

وبا-EAP-SHA256

FT-EAP

AESنعم
802.11r (قدم)EAP-PEAP

WPA-EAP

FT-EAP

AESلا
802.11r (قدم)EAP-PEAP (WPA3)

وبا-EAP-SHA256

FT-EAP

AESنعم

إعداد ملف تعريف Wi-Fi

يمكنك تكوين ملف تعريف Wi-Fi من صفحة ويب الهاتف أو من إعادة مزامنة ملف تعريف الجهاز البعيد ثم ربط ملف التعريف بشبكات Wi-Fi المتاحة. يمكنك استخدام ملف تعريف Wi-Fi هذا للاتصال بشبكة Wi-Fi. حاليا، يمكن تكوين ملف تعريف Wi-Fi واحد فقط.

يحتوي على ملف تعريف المعلمات المطلوبة للهواتف لتوصيل خادم الهاتف بشبكة Wi-Fi. عند إنشاء ملف تعريف Wi-Fi واستخدامه، لا تحتاج أنت أو المستخدمون لديك إلى تهيئة الشبكة اللاسلكية للهواتف الفردية.

ملف تعريف شبكة Wi-fi يتيح لك إمكانية منع أو تحديد التغييرات في تهيئة شبكة Wi-fi على الهاتف بالمستخدم.

نوصي باستخدام ملف تعريف آمن مع بروتوكولات ممكنة للتشفير لحماية المفاتيح وكلمات المرور عند استخدام ملف تعريف Wi-Fi.

عند إعداد الهواتف لاستخدام طريقة مصادقة EAP-FAST في وضع الأمان، يحتاج المستخدمون إلى بيانات اعتماد فردية للاتصال بنقطة وصول.

1

يمكنك الوصول إلى صفحة ويب الهاتف.

2

حدد صوت > النظام.

3

في القسم Wi-Fi ملف التعريف (n)، قم بتعيين المعلمات كما هو موضح في الجدول التالي معلمات ملف تعريف Wi-Fi.

تكوين ملف تعريف Wi-Fi متاح أيضا لتسجيل دخول المستخدم.
4

انقر فوق إرسال جميع التغييرات.

معلمات ملف تعريف Wi-Fi

يحدد الجدول التالي وظيفة كل معلمة واستخدامها في قسم ملف تعريف Wi-Fi (n) ضمن علامة التبويب النظام في صفحة ويب الهاتف. كما يحدد بناء جملة السلسلة التي تتم إضافتها في ملف تكوين الهاتف (cfg.xml) لتكوين معلمة.

المعلمةالوصف
اسم الشبكةيتيح لك إدخال اسم لـ SSID التي سيتم عرضها على الهاتف. يمكن أن يكون لملفات التعريف المتعددة نفس اسم الشبكة بوضع أمان مختلف.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Network_Name_1_ua="rw">cisco</Network_Name_1_>

  • في صفحة الهاتف على الويب، أدخل اسما ل SSID.

القيمة الافتراضية: فارغ

وضع الأمانالسماح لك بتحديد طريقة المصادقة المستخدمة لتأمين الوصول إلى شبكة Wi-Fi. وفقا للطريقة التي تختارها، يظهر حقل كلمة مرور بحيث يمكنك توفير بيانات الاعتماد المطلوبة للانضمام إلى شبكة Wi-Fi هذه.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- الخيارات المتاحة: تلقائي|EAP-FAST|||بي إس كيه||لا شيء|EAP-PEAP |EAP-TLS -->

  • في صفحة ويب الهاتف، حدد إحدى الطرق التالية:
    • تلقائي
    • EAP-FAST
    • PSK
    • بلا
    • EAP-PEAP
    • EAP-TLS

القيمة التلقائية: تلقائي

معرف مستخدم Wi-Fiالسماح لك بإدخال معرف مستخدم لملف تعريف الشبكة.

يتوفر هذا الحقل عند تعيين وضع الأمان على تلقائي أو EAP-FAST أو EAP-PEAP. هذا حقل إلزامي ويسمح بحد أقصى 32 حرفًا أبجديًا رقميًا.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • في صفحة الهاتف على الويب، أدخل معرف مستخدم لملف تعريف الشبكة.

القيمة الافتراضية: فارغ

كلمة المرور الخاصة بشبكة Wi-Fiيتيح لك إدخال كلمة المرور لمعرّف مستخدم Wi-Fi المحدد.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • في صفحة ويب الهاتف، أدخل كلمة مرور لمعرف المستخدم الذي أضفته.

القيمة الافتراضية: فارغ

نطاق التردديتيح لك تحديد نطاق تردد الإشارة اللاسلكية الذي تستخدمه شبكة WLAN.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Frequency_Band_1_ ua="rw">تلقائي</Frequency_Band_1_>

  • في صفحة ويب الهاتف، حدد أحد الخيارات:
    • تلقائي
    • 2.4 جيجاهيرتز
    • 5 جيجاهيرتز

القيمة التلقائية: تلقائي

تحديد الشهادةيتيح لك تحديد نوع الشهادة للتسجيل الأولي للشهادة وتجديد الشهادة في الشبكة اللاسلكية. لا تتوفر هذه العملية إلا لمصادقة 802.1X.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Certificate_Select_1_ ua="rw">التصنيع المثبت</Certificate_Select_1_>

  • في صفحة ويب الهاتف، حدد أحد الخيارات:
    • التصنيع مثبت
    • تثبيت مخصص

الإعداد الافتراضي: التصنيع مثبت

التحقق من حالة أمان الجهاز على الهاتف

يتحقق هاتفك من حالة أمان الجهاز تلقائيا. إذا اكتشفت قائمة المشكلات والتشخيصات تهديدات أمنية محتملة على الهاتف، فيمكن أن تعرض تفاصيل المشكلات. استنادا إلى المشكلات التي تم الإبلاغ عنها، يمكن لمسؤول النظام لديك القيام بعمليات لتأمين هاتفك وتصلبه.

يمكن أن تظل حالة أمان الجهاز متاحة عندما لا يكون الهاتف مسجلا في نظام التحكم في المكالمات (Webex Calling أو BroadWorks).

لعرض تفاصيل مشكلات الأمان على الهاتف، قم بما يلي:

1

اضغط على إعداداتSettings button

2

حدد المشكلات والتشخيصات > المشاكل.

حاليا، يحتوي تقرير أمان الجهاز على المشكلات التالية:

فئةأصدر
الثقة في الجهازفشلت مصادقة الجهاز
الأجهزة التي تم العبث بها
تكوين ضعيفلم يتم توفير كلمة مرور
SSH ممكّن
تم تمكين Telnet
تم اكتشاف حدث شذوذ في الشبكةمحاولات مفرطة لتسجيل الدخول
إصدار الشهادةستنتهي صلاحية شهادة CDC قريبا
3

اتصل بالمسؤول للحصول على الدعم لحل مشكلات الأمان.