بالإضافة إلى تسجيل شهادة SCEP من خلال التكوينات اليدوية على صفحة ويب الهاتف، يمكنك أيضا استخدام خيار DHCP 43 لملء المعلمات من خادم DHCP. تتم تهيئة خيار DHCP 43 مسبقا باستخدام معلمات SCEP، ويمكن للهاتف لاحقا جلب المعلمات من خادم DHCP لإجراء تسجيل شهادة SCEP.

لتسجيل شهادة SCEP من خلال تهيئة معلمات SCEP في الخيار 43 DHCP، قم بما يلي:

1. إعداد بيئة SCEP.

   للحصول على معلومات حول إعداد بيئة SCEP، راجع وثائق خادم SCEP.

2. قم بإعداد الخيار 43 DHCP (المحدد في 8.4 المعلومات الخاصة بالمورد، RFC 2132).

   يتم حجز الخيارات الفرعية (10-15) للطريقة:

   المعلمة على صفحة ويب الهاتف	خيار فرعي	النوع	الطول (بايت)	إلزامي
   وضع FIPS	10	منطقيه	1	لا*
   الخادم	11	السلسلة	208 - الطول (كلمة مرور التحدي)	نعم
   الجذر CA بصمة	12	ثنائي	20 أو 32	نعم
   كلمة مرور التحدي	13	السلسلة	208 - الطول (الخادم)	لا*
   تمكين مصادقة 802.1X	14	منطقيه	1	لا
   تحديد الشهادة	15	8 بت غير موقعة	1	لا

   عند استخدام الخيار DHCP 43 لاحظ الخصائص التالية للأسلوب:

   • يتم حجز الخيارات الفرعية (10-15) لشهادة الجهاز المخصص (CDC).
   • الحد الأقصى لطول خيار DHCP 43 هو 255 بايت.
   • يجب أن يكون الحد الأقصى لطول الخادم + كلمة مرور التحدي أقل من 208 بايت.
   • يجب أن تكون قيمة وضع FIPS متوافقة مع تكوين توفير الإعداد. وإلا يفشل الهاتف في استرداد الشهادة المثبتة مسبقا بعد الإعداد. تحديدا
     • إذا كان سيتم تسجيل الهاتف في بيئة يتم فيها تعطيل وضع FIPS، فلن تحتاج إلى تكوين وضع FIPS للمعلمة في DHCP الخيار 43. بشكل افتراضي، يتم تعطيل وضع FIPS.
     • إذا كان الهاتف سيتم تسجيله في بيئة يتم فيها تمكين وضع FIPS، فيجب تمكين وضع FIPS في DHCP الخيار 43. راجع تمكين وضع FIPS للحصول على التفاصيل.
   • كلمة المرور في الخيار 43 مكتوبة بنص واضح.

     إذا كانت كلمة مرور التحدي فارغة، يستخدم الهاتف MIC/SUDI للتسجيل الأولي وتجديد الشهادة. إذا تم تكوين كلمة مرور الاختبار، استخدامها فقط للتسجيل الأولي، وسيتم استخدام الشهادة المثبتة لتجديد الشهادة.

   • تمكين مصادقة 802.1X وتحديد الشهادة يستخدمان فقط للهواتف في الشبكة السلكية.
   • يستخدم DHCP الخيار 60 (معرف فئة البائع) لتحديد طراز الجهاز.

   ويقدم الجدول التالي مثالا DHCP الخيار 43 (الخيارات الفرعية 10-15):

   الخيار الفرعي عشري/سداسي عشري	طول القيمة (بايت) عشري / سداسي عشري	القيمة	قيمة سداسية عشرية
   10/0 أ	1/01	1 (0: معطل؛ 1: ممكن)	01
   11/0 ب	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0 ج	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0 د	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0e	1/01	1 (0: لا؛ 1: نعم)	01
   15/0 فهرنهايت	1/01	1 (0: التصنيع مثبت؛ 1: مثبت حسب الطلب)	01

   ملخص قيم المعلمات:

   • وضع FIPS = ممكن

   • الخادم = http://10.79.57.91

   • الجذر CA بصمة = 12040870625C5B755D73F 5925285F8F5FF5D55AF

   • كلمة مرور التحدي = D233CCF9B9952A15

   • تمكين مصادقة 802.1X = نعم

   • تحديد الشهادة = تثبيت مخصص

   بناء جملة القيمة السداسية النهائية هو: {<الخيار الفرعي><الطول><القيمة>} ...

   وفقا لقيم المعلمات أعلاه ، تكون القيمة السداسية النهائية كما يلي:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. قم بتكوين الخيار 43 DHCP على خادم DHCP.
   تقدم هذه الخطوة مثالا على تكوينات خيار DHCP 43 في سجل شبكة Cisco.
   1. أضف مجموعة تعريف الخيار DHCP.

      سلسلة خيارات المورد هي اسم طراز هواتف IP. القيمة الصالحة هي: DP-9841 أو DP-9851 أو DP-9861 أو DP-9871 أو CP-8875.

   2. أضف خيار DHCP 43 والخيارات الفرعية إلى مجموعة تعريف الخيار DHCP.

      مثال:

      

   3. أضف الخيارات 43 إلى نهج DHCP وقم بإعداد القيمة كما يلي:

      مثال:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. تحقق من الإعدادات. يمكنك استخدام Wireshark لالتقاط أثر لحركة مرور الشبكة بين الهاتف والخدمة.
4. قم بإجراء إعادة ضبط المصنع للهاتف.

   بعد إعادة تعيين الهاتف ، سيتم ملء المعلمات الخادم وبصمة جذر CA وكلمة مرور التحدي تلقائيا. توجد هذه المعلمات في القسم تكوين SCEP 1 من شهادة > مخصص في صفحة ويب إدارة الهاتف.

   للتحقق من تفاصيل الشهادة المثبتة، انقر فوق عرض في قسم الشهادات الموجودة.

   للتحقق من حالة تثبيت الشهادة، حدد شهادة > حالة شهادة مخصصة. تعرض حالة التنزيل 1 أحدث نتيجة. في حالة حدوث أي مشكلة أثناء تسجيل الشهادة، يمكن أن تعرض حالة التنزيل سبب المشكلة لأغراض استكشاف الأخطاء وإصلاحها.

   إذا فشلت مصادقة كلمة مرور التحدي، فسيطلب من المستخدمين إدخال كلمة المرور على شاشة الهاتف.
5. (اختياري): لإزالة الشهادة المثبتة من الهاتف، انقر فوق حذف في قسم الشهادات الموجودة.
   بمجرد النقر فوق الزر ، تبدأ عملية الإزالة على الفور دون تأكيد.

يمكن تحديث شهادة الجهاز تلقائيا من خلال عملية SCEP.

• يتحقق الهاتف مما إذا كانت الشهادة ستنتهي صلاحيتها خلال 15 يوما كل 4 ساعات. إذا كان الأمر كذلك، يبدأ الهاتف عملية تجديد الشهادة تلقائيا.
• إذا كانت كلمة مرور التحدي فارغة، يستخدم الهاتف MIC/SUDI لكل من التسجيل الأولي وتجديد الشهادة. إذا تم تكوين كلمة مرور التحدي ، استخدامها للتسجيل الأولي فقط ، ويتم استخدام الشهادة الحالية / المثبتة لتجديد الشهادة.
• لا يزيل الهاتف شهادة الجهاز القديمة حتى يسترد الشهادة الجديدة.
• إذا فشل تجديد الشهادة بسبب انتهاء صلاحية شهادة الجهاز أو المرجع المصدق، فسيقوم الهاتف بتشغيل التسجيل الأولي تلقائيا. في هذه الأثناء، إذا فشلت مصادقة كلمة مرور التحدي، تنبثق شاشة إدخال كلمة المرور على شاشة الهاتف، وتتم مطالبة المستخدمين بإدخال كلمة مرور التحدي على الهاتف.

تدعم هواتف Cisco IP مصادقة 802.1X.

عادةً ما تستخدم هواتف Cisco IP ومحولات Cisco IP بروتوكول اكتشاف Cisco (يُعرف اختصارًا بـ CDP) للتعرف على هوية بعضها البعض وتحديد معلمات مثل متطلبات تخصيص VLAN وطاقة الكبلات الداخلية. يحدد بروتوكول CDP محطات العمل المتصلة محليًا. توفر هواتف Cisco IP آلية لعبور EAPOL. وتتيح هذه الآلية لمحطة العمل المتصلة بهاتف Cisco IP تمرير رسائل EAPOL إلى مصدّق 802.1X في محول LAN. تضمن آلية المرور عدم تصرف هاتف IP كمحول LAN لمصادقة نقطة نهاية بيانات قبل الوصول إلى الشبكة.

كما توفر هواتف Cisco IP آلية لتسجيل الخروج من EAPOL للوكيل. إذا تم فصل اتصال الكمبيوتر الشخصي المتصل محليًا عن هاتف IP، لا يعلم محول LAN عطل الارتباط المادي، وذلك نظرًا لخضوع الوصلة التي تربط بين محول LAN وهاتف IP للصيانة. ولتجنب المخاطرة بسلامة الشبكة، يرسل هاتف IP رسالة تسجيل خروج من EAPOL إلى المحول بالنيابة عن الكمبيوتر الشخصي المتدفقة إليه البيانات، والذي يقوم بتشغيل محول LAN لمسح إدخال المصادقة للكمبيوتر الشخصي المتدفقة إليه البيانات.

يتطلب دعم مصادقة 802.1X العديد من المكونات:

• هاتف Cisco IP : يعمل الهاتف على تكوين الطلب للوصول إلى الشبكة. تشتمل هواتف Cisco IP Phone على عميل 802.1X. يتيح هذا العميل لمسؤولي الشبكة التحكم في اتصال هواتف IP بمنافذ محول LAN. يستخدم الإصدار الحالي من عميل 802.1X للهواتف الخيارين EAP—FAST وEAP—TLS لمصادقة الشبكة.

• خادم المصادقة: يجب تكوين كل من خادم المصادقة والمحول باستخدام سر مشترك يقوم بمصادقة الهاتف.

• المفتاح: يجب أن يدعم المفتاح 802.1X، لذا يمكن أن يعمل المحول كمصدق ويمرر الرسائل بين الهاتف وخادم المصادقة. بعد اكتمال عملية التبادل، يمنح المحول أو يرفض إمكانية وصول الهاتف إلى الشبكة.

ويجب أن تنفذ الإجراءات التالية لتكوين 802.1X.

• كوِّن المكونات الأخرى قبل تمكين "مصادقة 802.1X" على الهاتف.

• تكوين منفذ PC: لا يضع المعيار 802.1X في اعتباره وجود شبكات VLAN، ويوصي بناءً على ذلك بوجوب مصادقة جهاز واحد فقط إلى منفذ محدد في المحول. ومع ذلك، تدعم بعض المفاتيح المصادقة متعددة المجالات. يحدد تكوين المحول ما إذا كان بإمكانك توصيل كمبيوتر شخصي بمنفذ PC الخاص بالهاتف أم لا.

  • ممكَّن: إذا كنت تستخدم محولاً يدعم المصادقة متعددة المجالات، فيمكنك تفعيل منفذ PC وتوصيل كمبيوتر شخصي به. وفي هذه الحالة، فإن هواتف Cisco IP تدعم تسجيل الخروج من EAPOL للوكيل لمراقبة عمليات تبادل المصادقة بين المحول والكمبيوتر الشخصي المتصل.

    لمزيد من المعلومات حول دعم IEEE 802.1X في محولات Cisco Catalyst، راجع أدلة تكوين محول Cisco Catalyst على:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • معطَّل: إذا كان المحول لا يدعم أجهزة متعددة متوافقة مع 802.1X على المنفذ نفسه، فيجب أن تقوم بتعطيل منفذ PC عند تمكين مصادقة 802.1X. إذا لم تقم بتعطيل هذا المنفذ وحاولت بعد ذلك توصيل كمبيوتر شخصي به، فسيرفض المحول وصول الشبكة إلى كل من الهاتف والكمبيوتر الشخصي على حدٍ سواء.

• تكوين VLAN للصوت: لأن معيار 802.1X لا يعتد بوجود شبكات VLAN، يجب أن تعمد إلى تكوين هذا الإعداد بناءً على دعم المحول.
  • ممكَّن: إذا كنت تستخدم محولاً يدعم المصادقة متعددة المجالات، فيمكنك الاستمرار في استخدام VLAN للصوت.
  • معطَّل: إذا كان المحول لا يدعم المصادقة متعددة المجالات، فقم بتعطيل "VLAN للصوت" وضع في اعتبارك تعيين المنفذ إلى شبكة VLAN الأصلية.
• (لسلسلة هواتف Cisco Desk Phone 9800 فقط)

  يحتوي Cisco Desk Phone 9800 Series على بادئة مختلفة في PID عن تلك الخاصة بهواتف Cisco الأخرى. لتمكين هاتفك من اجتياز مصادقة 802.1X، قم بتعيين نصف القطر· معلمة اسم المستخدم لتضمين سلسلة هاتف Cisco Desk Phone 9800 الخاصة بك.

  على سبيل المثال ، PID للهاتف 9841 هو DP-9841 ؛ يمكنك ضبط نصف القطر · اسم المستخدم للبدء ب DP أو يحتوي على DP. يمكنك تعيينه في كلا القسمين التاليين:

  • السياسة > الشروط > شروط المكتبة

  • نهج > مجموعات النهج> نهج التخويل> قاعدة التخويل 1

نظرًا لإمكانية تلقي جميع أجهزة الشبكة المحلية اللاسلكية الواقعة ضمن النطاق كل حركة مرور الشبكة المحلية اللاسلكية الأخرى، فإن تأمين الاتصالات الصوتية أصبح يمثل عنصرًا مهمًا في الشبكات المحلية اللاسلكية. لضمان عدم تلاعب المتطفلين بحركة مرور الصوت أو اعتراضها، تدعم بنية أمان Cisco SAFE الهاتف. للحصول على مزيد من المعلومات حول الأمان في الشبكات، راجع http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

يوفر حل الاتصال الهاتفي اللاسلكي IP من Cisco أمان الشبكة اللاسلكية الذي يمنع عمليات تسجيل الدخول غير المصرح بها والاتصالات المخترقة باستخدام طرق المصادقة التالية التي يدعمها الهاتف:

• المصادقة المفتوحة: يمكن لأي جهاز لاسلكي طلب المصادقة في نظام مفتوح. يمنح AP الذي يتلقى الطلب المصادقة لأي طالب أو للطالبين الموجودين في قائمة المستخدمين. قد يكون الاتصال بين الجهاز اللاسلكي ونقطة الوصول (AP) غير مشفر.

• بروتوكول المصادقة القابل للتوسعة - المصادقة المرنة عبر مصادقة الأنفاق الآمنة (EAP-FAST): تقوم بنية أمان خادم العميل هذه بتشفير المعاملات EAP داخل نفق أمان مستوى النقل (TLS) بين AP وخادم RADIUS، مثل محرك خدمات الهوية (ISE).

  يستخدم نفق TLS بيانات اعتماد الوصول المحمية (PACs) للمصادقة بين العميل (هاتف) وخادم RADIUS. يرسل الخادم معرف المرجع (AID) إلى العميل (هاتف)، الذي بدوره يحدد PAC الملائم. يعيد العميل (هاتف) PAC-Opaque إلى خادم RADIUS. يلغي الخادم تشفير PAC باستخدام المفتاح الرئيسي. تحتوي نقطتا النهاية الآن على مفتاح PAC ويتم إنشاء نفق TLS. يدعم EAP-FAST توفير PAC تلقائي، ولكن يجب عليك تمكينه على خادم RADIUS.

  في ISE ، بشكل افتراضي ، تنتهي صلاحية PAC في أسبوع واحد. إذا كان الهاتف يشتمل على PAC منتهية الصلاحية، فتستغرق عملية المصادقة على خادم RADIUS وقتاً أطول مقارنة بوجود PAC جديدة في الهاتف. لتجنب التأخير في توفير PAC، قم بتعيين مدة انتهاء الصلاحية لـ PAC حتى 90 يومًا أو أكثر على ISE أو خادم RADIUS.

• "بروتوكول المصادقة" القابل للتوسعة عبر "أمان طبقة النقل" (EAP-TLS): يتطلب EAP TLS شهادة عميل للمصادقة والوصول إلى الشبكة. بالنسبة EAP-TLS اللاسلكية، يمكن أن تكون شهادة العميل MIC أو LSC أو شهادة مثبتة من قبل المستخدم.

• بروتوكول المصادقة القابل للتوسعة المحمي (PEAP): نظام مصادقة متبادل يستند إلى كلمة مرور ملك Cisco بين العميل (هاتف) وخادم RADIUS. يمكن للهاتف استخدام PEAP للمصادقة مع الشبكة اللاسلكية. يتم دعم طريقتي المصادقة PEAP-MSCHAPV2 وPEAP-GTC.

• المفتاح المشترك مسبقا (PSK): يدعم الهاتف التنسيق ASCII. يجب عليك استخدام هذا التنسيق عند إعداد مفتاح WPA/WPA2/SAE مشترك مسبقا:

  ASCII: سلسلة أحرف ASCII يتراوح طولها من 8 إلى 63 حرفًا (0-9، وأحرف صغيرة وأحرف كبيرة A-Z، وأحرف خاصة)

  مثال: GREG123567@9ZX&W

تستخدم أنظمة المصادقة التالية خادم RADIUS لإدارة مفاتيح المصادقة:

• WPA/WPA2/WPA3: يستخدم معلومات خادم RADIUS لإنشاء مفاتيح فريدة للمصادقة. ونظرًا لإنشاء تلك المفاتيح على الخادم RADIUS المركزي، يوفر WPA2/WPA3 أماناً أكبر من مفاتيح WPA المشتركة مسبقًا والمخزنة في AP والهاتف.

• تجوال الأمان السريع: يستخدم خادم RADIUS ومعلومات خادم المجال اللاسلكي (WDS) لإدارة ومصادقة المفاتيح. يقوم WDS بإنشاء ذاكرة تخزين مؤقت لبيانات اعتماد الأمان للأجهزة العميلة التي تدعم FT لإعادة المصادقة بسرعة وأمان. يدعم هاتفا Cisco Desk Phone 9861 و9871 وهاتف Cisco Video Phone 8875 802.11r (FT). يتم دعم كل من عبر الأثير وعبر DS للسماح بالتجوال الآمن السريع. لكننا نوصي بشدة باستخدام طريقة 802.11r (FT) عبر الهواء.

باستخدام WPA/WPA2/WPA3، لا يتم إدخال مفاتيح التشفير على الهاتف، ولكن يتم اشتقاقها تلقائيا بين نقطة الوصول والهاتف. ولكن يجب إدخال اسم المستخدم وكلمة المرور لـ EAP التي يتم استخدامها للمصادقة على كل هاتف.

لضمان أمان حركة مرور الصوت، يدعم الهاتف TKIP و AES للتشفير. عند استخدام هذه الآليات للتشفير، يتم تشفير كل من حزم SIP للإشارة وحزم بروتوكول النقل في الوقت الحقيقي (RTP) الصوتي بين نقطة الوصول والهاتف.

TKIP

يستخدم WPA تشفير TKIP الذي يحتوي على العديد من التحسينات على مدار WEP. يوفر TKIP التشفير باستخدام المفاتيح لكل حزمة وموجهات تهيئة أطول (IVs) تعزز من التشفير. بالإضافة إلى ذلك، يضمن التحقق من تكامل الرسائل (MIC) عدم تغيير الحزم المشفرة. يزيل TKIP التنبؤ بـ WEP الذي يساعد المقتحمين على فك تشفير مفتاح WEP.

AES

طريقة تشفير تستخدم لمصادقة WPA2/WPA3. يستخدم هذا المعيار الوطني للتشفير خوارزمية متناظرة تحتوي على نفس المفتاح للتشفير وفك التشفير. يستخدم AES التشفير سلسلة حظر التشفير (CBC) بحجم 128 بت، وهي التي تدعم حجم 128 و192 و256 بت، كحد أدنى. يدعم الهاتف مفتاح بحجم 256 بت.

يتم إعداد أنظمة المصادقة والتشفير داخل الشبكة المحلية اللاسلكية. يتم تهيئة شبكات VLAN في الشبكة ونقاط الاتصال الموجودة وتحدد مجموعات مختلفة من المصادقة والتشفير. يرتبط SSID بشبكة VLAN ونظام المصادقة والتشفير المعين. لكي تتم مصادقة الأجهزة العميلة اللاسلكية بنجاح، يجب عليك تكوين نفس معرفات SSID مع أنظمة المصادقة والتشفير الخاصة بها على نقاط الوصول وعلى الهاتف.

تتطلب بعض مخططات المصادقة أنواعًا معينة من التشفير.

تعرض أنظمة المصادقة والتشفير في الجدول التالي خيارات تهيئة الشبكة للهاتف الذي يتوافق مع تكوين AP.