في هذه المقالة
ميزات الأمان المدعومة
dropdown icon
أمان المكالمات الهاتفية
    تعريف آمن للمكالمة الجماعية
    تعريف المكالمة الهاتفية الآمنة
    توفير التشفير للمداخلة
dropdown icon
أمان الشبكة المحلية اللاسلكية
    إعداد ملف تعريف Wi-Fi
    تثبيت شهادة مستخدم من صفحة ويب إدارة الهاتف
    تثبيت مرجع مصدق لخادم المصادقة من صفحة ويب إدارة الهاتف
    إزالة شهادة أمان يدويا من صفحة ويب إدارة الهاتف
    إعداد SCEP
إعداد شهادة هامة محليًا (LSC)
dropdown icon
مصادقة 802.1X للشبكات السلكية
    تمكين مصادقة 802.1X للشبكات السلكية على هاتفك
    تمكين مصادقة 802.1X للشبكات السلكية في Cisco Unified Communications Manager Administration
    قائمة إعدادات الأمان على الهاتف
إعداد الإصدارات المدعومة من TLS
TURN إيقاف تشغيل مكبر الصوت وسماعة الرأس على Cisco الهاتف اللاسلكي 9821
Cisco الهاتف اللاسلكي 9821 الأمن (Unified CM)
list-menuفي هذه المقالة
list-menuهل لديك ملاحظات؟

تتناول مقالة التعليمات هذه الهاتف اللاسلكي Cisco 9821 المسجل في Cisco Unified Communications Manager (Unified CM).

يمكنك تمكين Cisco Unified Communications Manager (Unified CM) للعمل في بيئة أمان محسنة. ومن خلال هذه التحسينات، تعمل شبكة الهاتف لديك بموجب مجموعة من الضوابط الصارمة لإدارة الأمان والمخاطر لحمايتك وحماية المستخدمين لديك.

تتضمن بيئة الأمان المحسنة الميزات التالية:

  • مصادقة البحث عن جهة اتصال

  • TCP كبروتوكول افتراضي لتسجيل التدقيق عن بعد

  • نهج بيانات اعتماد محسن

  • دعم عائلة SHA-2 من تجزئات التوقيعات الرقمية

  • دعم حجم مفتاح RSA يصل إلى 4096 بت

مع Cisco Unified CM الإصدار 14.0 أو أحدث، تدعم الهواتف مصادقة SIP OAuth.

يتم دعم OAuth لبروتوكول نقل الملفات البسيط الوكيل (TFTP) مع Cisco Unified CM الإصدار 14.0 (1) SU1 أو أحدث.

للحصول على معلومات إضافية حول الأمان، راجع الأدلة التالية:

يمكن لهاتفك تخزين عدد محدود فقط من ملفات قائمة الثقة لتحديد الهويات (ITL). لا يمكن أن تتجاوز ملفات ITL 64 كيلو بايت على الهاتف ، لذا حدد عدد الملفات التي يرسلها Cisco Unified CM إلى الهاتف.

ميزات الأمان المدعومة

تعمل ميزات الأمان على الحماية من التهديدات، بما في ذلك التهديدات التي تستهدف هوية الهاتف والبيانات. وتنشئ هذه الميزات تدفقات اتصال مصادقة وتحافظ على وجودها بين الهاتف وخادم Cisco Unified Communications Manager، كما تضمن أن الهاتف لا يستخدم سوى الملفات الموقعة توقيعًا رقميًا فقط.

يشتمل الإصدار (1)8.5 والإصدارات الأحدث لـ Cisco Unified Communications Manager على "الأمان بشكل افتراضي"، مما يوفر ميزات الأمان التالية لهواتف Cisco IP دون تشغيل عميل CTL:

  • توقيع ملفات تكوين الهاتف

  • تشفير ملف تكوين الهاتف

  • بروتوكول HTTPS المزود بخدمة Tomcat وغيرها من الخدمات

لا تزال ميزات إرسال الإشارات والوسائط الآمنة تتطلب منك تشغيل عميل CTL واستخدام رموز eTokens للأجهزة.

تطبيق الأمان في نظام Cisco Unified Communications Manager يمنع سرقة الهوية من الهاتف وخادم Cisco Unified Communications Manager ويمنع التلاعب في البيانات ومنع إشارات المكالمة والتلاعب بدفق الوسائط.

للحد من هذه التهديدات، بشبكة هاتفية IP من Cisco يقوم بتحديد والحفاظ عليه تدفقات الاتصال (مشفرة) أمن بين هاتف والخادم رقمياً توقيع ملفات قبل تحويلها إلى هاتف وتشفير المكالمة إرسال الإشارات بين "هواتف Cisco IP " وعمليات دفق الوسائط.

يتم تثبيت الشهادة المهمة محليًا (LSC) على الهواتف بعد تنفيذ المهام الضرورية المقترنة بوظيفة وكيل جهة منح الشهادات (CAPF). يمكنك استخدام Cisco Unified Communications Manager Administration لتهيئة LSC، كما هو موضح في دليل الأمان Cisco Unified Communications Manager. بدلا من ذلك ، يمكنك بدء تثبيت LSC من قائمة الأمان على الهاتف. تتيح لك هذه القائمة أيضًا تحديث LCS أو إزالتها.

يستخدم الهاتف ملف تعريف أمان الهاتف الذي يحدد ما إذا كان الجهاز آمنًا أم لا. ‏‫للحصول على معلومات حول تكوين ملف تعريف الأمان وتطبيق ملف التعريف على الهاتف، راجع الوثائق الخاصة بإصدار Cisco Unified Communications Manager الذي لديك.

إذا قمت بتكوين إعدادات متعلقة بالأمان في إدارة Cisco Unified Communications Manager، فيحتوي ملف تكوين الهاتف على معلومات مهمة. للتأكد من خصوصية ملف التكوين، يجب عليك تكوينه للتشفير. ‏‫للحصول على مزيد من المعلومات، راجع الوثائق الخاصة بإصدار Cisco Unified Communications Manager الذي لديك.

ويقدم الجدول التالي نظرة عامة عن ميزات الأمان التي تدعمها الهواتف. ‏‫للحصول على مزيد من المعلومات، راجع الوثائق الخاصة بإصدار Cisco Unified Communications Manager الذي لديك.

الجدول 1. نظرة عامة على ميزات الأمان

الميزة

الوصف

مصادقة الصور

تمنع الملفات الثنائية الموقعة العبث بنسخة البرامج الثابتة قبل تحميل الصورة إلى الهاتف.

فالعبث بالنسخة يؤدي إلى إفشال الهاتف لعملية المصادقة ورفض النسخة الجديدة.

تثبيت شهادة موقع العميل

يحتاج كل هاتف Cisco IP إلى شهادة فريدة لمصادقة الجهاز. تشتمل الهواتف على شهادة التصنيع المثبتة (MIC)، ولكن لمزيد من الأمان، يمكنك التحديد في إدارة Cisco Unified Communications Manager أن يتم تثبيت الشهادة باستخدام وظيفة وكيل جهة منح الشهادات (CAPF). بدلا من ذلك ، يمكنك تثبيت Locally Significant Certificate (LSC) من قائمة الأمان على الهاتف.

مصادقة الجهاز

تحدث بين خادم Cisco Unified Communications Manager والهاتف عندما تقبل كل وحدة شهادة الوحدة الأخرى. تحدد ما إذا كان ينبغي أن يحدث اتصال آمن بين الهاتف وCisco Unified Communications Manager؛ وإذا لزم الأمر، تُنشئ مسار إشارات آمنًا بين الوحدات باستخدام بروتوكول TLS. لا يسجل Cisco Unified Communications Manager الهواتف إلا إذا أمكن مصادقتهم.

مصادقة الملف

تتحقق من صحة الملفات الموقعة رقميًا التي ينزلها الهاتف. يتحقق الهاتف من صحة التوقيع للتأكد من عدم حدوث عبث بالملف بعد إنشائه. لا يتم نسخ الملفات التي تفشل مصادقتها على ذاكرة Flash على الهاتف. يرفض الهاتف هذه الملفات دون إجراء معالجة إضافية.

تشفير ملف

يمنع تشفير معلومات هامة يمكن كشفها أثناء النقل إلى الهاتف. إضافة إلى ذلك، يتحقق الهاتف من صحة التوقيع للتأكد من عدم حدوث عبث بالملف بعد إنشائه. لا يتم نسخ الملفات التي تفشل مصادقتها على ذاكرة Flash على الهاتف. يرفض الهاتف هذه الملفات دون إجراء معالجة إضافية.

مصادقة إرسال الإشارات

تستخدم بروتوكول TLS للتحقق من عدم حدوث عبث بحزم إرسال الإشارات أثناء الإرسال.

شهادة التصنيع المثبتة

يشتمل كل هاتف Cisco IP على شهادة تصنيع مثبتة (MIC)، يتم استخدامها لمصادقة الجهاز. توفر شهادة MIC دليلاً فريدًا بشكل دائم لهوية الهاتف، وتسمح لـ Cisco Unified Communications Manager بمصادقة الهاتف.

تشفير الوسائط

يستخدم SRTP للتأكد من أن عمليات دفق الوسائط بين الأجهزة المعتمدة تُثبت أمانها، وأن الجهاز المقصود فقط هو الذي يتلقى البيانات ويقرأها. ويتضمن ذلك إنشاء زوج مفاتيح وسائط رئيسية للأجهزة، وتسليم المفاتيح للأجهزة، وتأمين عملية تسليم المفاتيح أثناء نقلها.

CAPF (وظيفة وكيل جهة منح الشهادات)

تنفذ أجزاء من إجراء إنشاء الشهادات التي تتسم بكثافة المعالجة إلى حد كبير للهاتف، وتتفاعل مع الهاتف لإنشاء مفتاح ولتثبيت الشهادة. يمكن تكوين CAPF لطلب الشهادات من جهات منح الشهادات الخاصة بالعميل بالنيابة عن الهاتف، أو يمكن تكوينها لإنشاء الشهادات محليًا.

يتم دعم كل من نوعي المفاتيح EC (المنحنى الإهليلجي) وRSA. لاستخدام المفتاح EC، تأكد من تمكين المعلمة "دعم خوارزميات التشفير المتقدمة لنقطة النهاية" (من معلمة System > Enterprise).

لمزيد من المعلومات حول CAPF والتكوينات ذات الصلة، راجع المستندات التالية:

ملفات تعريف الأمان

تحدد ما إذا كان الهاتف غير آمن أو مصادق أو مشفر أو محمي. تصف الإدخالات الأخرى في هذا الجدول ميزات الأمان.

ملفات التكوين المشفرة

تتيح لك التأكد من خصوصية ملفات تكوين الهاتف.

خادم ويب اختياري معطل بالنسبة للهاتف

لأغراض أمنية، يمكنك منع الوصول إلى صفحات الويب الخاصة بالهاتف (والتي تعرض مجموعة متنوعة من الإحصاءات التشغيلية للهاتف) وبوابة Self Care.

زيادة حماية الهاتف

خيارات الأمان الإضافية التي يمكنك التحكم بها من خلال إدارة Cisco Unified Communications Manager:

  • تعطيل Gratuitous ARP (GARP)
  • تعطيل الوصول إلى قائمة الإعداد أو توفير وصول مقيد
  • تعطيل الوصول إلى صفحات الويب الخاصة بإدارة الهاتف
  • تعطيل منفذ ملحق Bluetooth
  • تقييد تشفيرات TLS

تجاوز فشل SIP لـ SRST

بعد تكوين مرجع ‏‫هتفية الموقع البعيد المتين‬ (SRST) للأمان، ثم إعادة تعيين الأجهزة التابعة في إدارة Cisco Unified Communications Manager، فإن خادم TFTP يضيف شهادة SRST إلى ملف cnf.xml بالهاتف ويرسل الملف إلى الهاتف. ثم يستخدم الهاتف الآمن بعد ذلك اتصال TLS للتفاعل مع الموجه المزود بميزة SRST.

تشفير الإشارة

تضمن أنه يتم تشفير جميع إشارات SIP للرسائل التي يتم إرسالها بين الجهاز وخادم Cisco Unified Communications Manager.

تنبيه تحديث قائمة الثقة

عندما يقوم بتحديث "قائمة الثقة" على الهاتف، يتلقى Cisco Unified Communications Manager تنبيهاً للإشارة إلى نجاح أو فشل تحديث. ارجع إلى الجدول التالي للحصول على مزيد من المعلومات.

تشفير AES 256

عند الاتصال بإصدار Cisco Unified Communications Manager رقم 10.5(2) والإصدارات اللاحقة، فإن الهواتف تدعم تشفير AES 256 لـ TLS وSIP لإرسال الإشارات وتشفير الوسائط. وهذا يتيح للهواتف إمكانية بدء اتصالات TLS 1.2 ودعمها باستخدام التشفيرات المستندة إلى AES-256 والتي تتطابق مع معايير SHA-2 (خوارزمية التجزئة الآمنة) والمطابقة للمقاييس الفيدرالية لمعالجة المعلومات (FIPS). تشتمل التشفيرات:

  • بالنسبة لاتصالات TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • بالنسبة لـ sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

‏‫للحصول على مزيد من المعلومات، راجع وثائق Cisco Unified Communications Manager.

شهادات خوارزمية التوقيع الرقمي لمنحنى إهليلجي (ECDSA)

كجزء من شهادة "المعيار العام" (CC)، قام Cisco Unified Communications Manager بإضافة شهادات ECDSA في الإصدار 11.0. يؤثر هذا على جميع منتجات Voice Operating System (VOS) التي تقوم بتشغيل CUCM 11.5 أو الإصدارات الأحدث.

شهادة Tomcat متعددة الخوادم (SAN) مع Cisco UCM

يدعم الهاتف Cisco UCM مع تكوين شهادات Tomcat متعددة الخوادم (SAN). يمكن العثور على عنوان خادم TFTP الصحيح في ملف الهاتف ITL لتسجيل الهاتف.

لمزيد من المعلومات حول الميزة، راجع ما يلي:

يتضمن الجدول التالي رسائل التنبيه بتحديث "قائمة الثقة" والمعنى. ‏‫للحصول على مزيد من المعلومات، راجع وثائق Cisco Unified Communications Manager.

الجدول 2. رسائل تنبيه تحديث قائمة الثقة
التعليمات البرمجية ورسالة الوصف

1 - TL_SUCCESS

استلام CTL و/أو ITL جديد

2 - CTL_INITIAL_SUCCESS

استلام CTL جديد، لا يوجد TL

3 - ITL_INITIAL_SUCCESS

استلام ITL جديد، لا يوجد TL

4 - CTL_INITIAL_SUCCESS

استلام CTL وITL جديد، لا يوجد TL

5 - TL_FAILED_OLD_CTL

فشل تحديث لـ CTL جديد، ولكن توجد TL سابقة

6 - TL_FAILED_NO_TL

فشل تحديث لـ TL جديدة، ولكن لا توجد TL قديمة

7 - TL_FAILED

فشل عام

8 - TL_FAILED_OLD_ITL

فشل تحديث لـ ITL جديد، ولكن توجد TL سابقة

9 - TL_FAILED_OLD_TL

فشل تحديث لـ TL جديدة، ولكن توجد TL سابقة

أمان المكالمات الهاتفية

عندما يتم تطبيق الأمان على الهاتف، يمكنك تحديد المكالمات الهاتفية الآمنة عن طريق الأيقونات التي تظهر على شاشة الهاتف. يمكنك أيضًا تحديد ما إذا كان الهاتف المتصل آمنًا ومحميًا أم لا إذا تم إصدار نغمة أمان في بداية المكالمة.

في المكالمة الآمنة، يتم تشفير جميع إشارات المكالمة وعمليات دفق الوسائط. تقدم المكالمة الآمنة مستوى عاليًا من الأمان، وتوفر السلامة والخصوصية للمكالمة. عندما تكون المكالمة الجارية مشفرة، يمكنك رؤية الرمز الآمن رمز مكالمة آمنة 9821 على المحك.

  • إذا تم توجيه المكالمة من خلال اتجاهات المكالمة غير IP، على سبيل المثال، PSTN، فقد تصبح المكالمة غير آمنة حتى وإن كانت مشفرة داخل شبكة IP ولها أيقونة قفل مقترنة بها.

  • المكالمات الآمنة مدعومة للاتصالات بين هاتفين فقط. لا تتوفر بعض الميزات، مثل مكالمات المؤتمر والخطوط المشتركة عندما يكون الاتصال الآمن مكونًا.

في Cisco Unified Communications Manager ، يمكن تعيين حالة محمية للهواتف التي تم تكوينها على أنها آمنة (مشفرة وموثوقة). بمجرد حمايتها ، يمكن تكوين هذه الأجهزة لتشغيل نغمة أمان في بداية كل مكالمة.

  • الجهاز المحمي:

    لتغيير حالة هاتف آمن إلى محمي:

    1. في Cisco Unified Communications Manager Administration، حدد الجهاز > الهاتف.
    2. حدد موقع الهاتف الذي ستقوم بإعداده.
    3. في نافذة تكوين الهاتف، حدد خانة الاختيار جهاز محمي.
    4. انقر فوق حفظ.
  • تشغيل نغمة الإشارة الآمنة:

    لتمكين الهاتف المحمي من تشغيل نغمة إشارة آمنة أو غير آمنة:

    1. في Cisco Unified Communications Manager Administration، حدد معلمات النظام >الخدمة.
    2. حدد الخادم ثم خدمة Cisco CallManager .
    3. في منطقة المعلمات على مستوى المجموعة (ميزة - نغمة آمنة)، قم بتعيين إعداد نغمة التشغيل للإشارة إلى حالة مكالمة آمنة/غير آمنة إلى صواب.
    4. انقر فوق حفظ.

تعريف آمن للمكالمة الجماعية

يمكنك بدء مكالمة مؤتمر آمنة ومراقبة مستوى أمان المشاركين. يتم تأسيس مكالمة مؤتمر آمنة باستخدم هذه العملية:

  1. يبدأ المستخدم في إجراء مكالمة مؤتمر من هاتف آمن.

  2. يُعيِّن Cisco Unified Communications Manager جسر مؤتمر آمنًا للمكالمة.

  3. بعد إضافة المشاركين، يتحقق Cisco Unified Communications Manager من وضع الأمان لكل هاتف ويحافظ على مستوى أمان المؤتمر.

  4. يعرض الهاتف مستوى أمان مكالمة المؤتمر. يعرض المؤتمر الآمن أيقونة الأمان رمز مكالمة آمنة 9821.

المكالمات الآمنة مدعومة بين هاتفين. في الهواتف المحمية، لا تتوفر بعض الميزات، مثل مكالمات المؤتمر والخطوط المشتركة وExtension Mobility، عندما يكون الاتصال الآمن مكونًا.

يقدم الجدول التالي معلومات حول التغييرات التي تطرأ على مستويات أمان المؤتمر تبعًا لمستوى أمان الهاتف المُنشئ، ومستويات أمان المشاركين، وتوفر جسور مؤتمر آمنة.

الجدول 3. قيود الأمان مع المكالمات الجماعية

مستوى أمان هاتف المنشئ

الميزة المستخدمة

مستوى أمان المشاركين

نتائج الإجراء

غير آمن

اتصال جماعي

اتصال

جسر مؤتمر غير آمن

مؤتمر غير آمن

اتصال

اتصال جماعي

عضو واحد على الأقل غير آمن.

جسر مؤتمر آمن

مؤتمر غير آمن

اتصال

اتصال جماعي

اتصال

جسر مؤتمر آمن

مؤتمر بمستوى تشفير آمن

غير آمن

مباشر

مستوى الأمان الأدنى مشفّر.

يتلقى البادئ نغمة إعادة الطلب.

اتصال

مباشر

مستوى الأمان الأدنى غير آمن.

جسر مؤتمر آمن

مؤتمر يقبل جميع المكالمات.

تعريف المكالمة الهاتفية الآمنة

يتم تأسيس مكالمة آمنة عند تكوين هاتفك وهاتف الطرف الآخر لإجراء مكالمة آمنة. قد يكون هاتف الطرف الآخر على شبكة Cisco IP نفسها أو على شبكة خارج شبكة IP. يمكن إجراء المكالمات المؤمنة بين هاتفين فقط. من المفترض أن تدعم مكالمات المؤتمر ميزة المكالمة الآمنة بعد إعداد جسر المؤتمر الآمن.

يتم تأسيس المكالمة المؤمنة باستخدام هذه العملية:

  1. يشرع المستخدم في إجراء مكالمة من هاتف مؤمن (وضع الأمان الآمن).

  2. يعرض الهاتف أيقونة الأمان رمز مكالمة آمنة 9821 على شاشة الهاتف. تشير هذه الأيقونة إلى أنه قد تم تكوين الهاتف لإجراء مكالمات آمنة، ولكن هذا لا يعني أن الهاتف الآخر المتصل مؤمن أيضًا.

  3. يسمع المستخدم نغمة أمان عند اتصال المكالمة بهاتف آخر مؤمن، مشيرًا إلى أن هاتفي كلا طرفي المحادثة مشفّران ومؤمّنان. وعند اتصال المكالمة بهاتف غير آمن، فإن المستخدم لا يسمع نغمة الأمان.

المكالمات الآمنة مدعومة بين هاتفين. في الهواتف المحمية، لا تتوفر بعض الميزات، مثل مكالمات المؤتمر والخطوط المشتركة وExtension Mobility، عندما يكون الاتصال الآمن مكونًا.

الهواتف المحمية فقط هي التي تُصدر نغمات إيضاح الأمان أو عدم الأمان. ولا تُصدر الهواتف غير المحمية هذه النغمات مطلقًا. إذا تغيرت حالة المكالمة العامة أثناء المكالمة، تتغير نغمة الإيضاح ويُصدر الهاتف النغمة الملائمة.

عند ضبط خيار تشغيل النغمة للإشارة إلى حالة مكالمة آمنة/غير آمنة على صواب:

  • عندما يتم تأسيس وسائط أمان طرف إلى طرف وكانت حالة المكالمة آمنة، يُصدر الهاتف نغمة إيضاح الأمان (ثلاث صافرات طويلة يتخللها إيقاف مؤقت).

  • عندما يتم تأسيس وسائط غير آمنة من طرف إلى طرف وكانت حالة المكالمة غير آمنة، يُصدر الهاتف نغمة إيضاح عدم الأمان (ست صافرات قصيرة يتخللها إيقاف مؤقت قصير).

إذا تم تعيين خيار "تشغيل نغمة للإشارة إلى حالة مكالمة آمنة/غير آمنة" على "خطأ"، فلا يتم تشغيل أي نغمة.

توفير التشفير للمداخلة

يتحقق Cisco Unified Communications Manager من حالة أمان الهاتف عندما يتم إنشاء المؤتمرات وتغيير إيضاح الأمان للمؤتمر أو يحظر إتمام المكالمة للحفاظ على تكامل والأمان في النظام.

لا يمكن لمستخدم إجراء مداخلة في مكالمة مشفرة إذا لم يتم تكوين الهاتف الذي يتم استخدامه للمداخلة أثناء التشفير. عند فشل المداخلة في هذه الحالة، يتم طلب (انشغال سريعة) تشغيل نغمة على الهاتف الذي بدأ فيه دخول المداخلة.

إذا تم تكوين الهاتف المنشئ للتشفير، فيمكن إدخال منشئ المداخلة في مكالمة غير آمنة من الهاتف المشفر. بعد حدوث المداخلة، يصنف Cisco Unified Communications Manager الاتصال بأنه غير آمن.

إذا تم تكوين الهاتف المنشئ للتشفير، فيمكنك إدخال منشئ المداهلة في مكالمة مشفرة، ويشير الهاتف إلى أن المكالمة مشفرة.

أمان الشبكة المحلية اللاسلكية

نظرًا لإمكانية تلقي جميع أجهزة الشبكة المحلية اللاسلكية الواقعة ضمن النطاق كل حركة مرور الشبكة المحلية اللاسلكية الأخرى، فإن تأمين الاتصالات الصوتية أصبح يمثل عنصرًا مهمًا في الشبكات المحلية اللاسلكية. لضمان عدم تلاعب المتسللين بحركة مرور الصوت أو اعتراضها، تدعم بنية Cisco SAFE Security الهاتف. لمزيد من المعلومات حول الأمان في الشبكات، راجع http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

يوفر حل الاتصال الهاتفي Cisco Wireless IP أمان الشبكة اللاسلكية الذي يمنع عمليات تسجيل الدخول غير المصرح بها والاتصالات المخترقة باستخدام طرق المصادقة التالية التي يدعمها الهاتف.

  • المصادقة المفتوحة: يمكن لأي جهاز لاسلكي طلب المصادقة في نظام مفتوح. يمنح AP الذي يتلقى الطلب المصادقة لأي طالب أو للطالبين الموجودين في قائمة المستخدمين. قد يكون الاتصال بين الجهاز اللاسلكي ونقطة الوصول (AP) غير مشفر.

  • مصادقة بروتوكول المصادقة المرنة القابلة للتوسيع عبر مصادقة الأنفاق الآمنة (EAP-FAST): تقوم بنية أمان خادم العميل هذه بتشفير معاملات EAP داخل نفق أمان مستوى النقل (TLS) بين نقطة الوصول وخادم RADIUS، مثل محرك خدمات الهوية (ISE).

    يستخدم نفق TLS بيانات اعتماد الوصول المحمية (PACs) للمصادقة بين العميل (هاتف) وخادم RADIUS. يرسل الخادم معرف المرجع (AID) إلى العميل (هاتف)، الذي بدوره يحدد PAC الملائم. يعيد العميل (هاتف) PAC-Opaque إلى خادم RADIUS. يلغي الخادم تشفير PAC باستخدام المفتاح الرئيسي. تحتوي نقطتا النهاية الآن على مفتاح PAC ويتم إنشاء نفق TLS. يدعم EAP-FAST توفير PAC تلقائي، ولكن يجب عليك تمكينه على خادم RADIUS.

    في ISE ، بشكل افتراضي ، تنتهي صلاحية PAC في أسبوع واحد. إذا كان الهاتف يشتمل على PAC منتهية الصلاحية، فتستغرق عملية المصادقة على خادم RADIUS وقتاً أطول مقارنة بوجود PAC جديدة في الهاتف. لتجنب التأخير في توفير PAC، قم بتعيين مدة انتهاء الصلاحية لـ PAC حتى 90 يومًا أو أكثر على ISE أو خادم RADIUS.

  • "بروتوكول المصادقة" القابل للتوسعة عبر "أمان طبقة النقل" (EAP-TLS): يتطلب EAP TLS شهادة عميل للمصادقة والوصول إلى الشبكة. بالنسبة إلى EAP-TLS اللاسلكية، يمكن أن تكون شهادة العميل MIC, LSC, أو شهادة مثبتة من قبل المستخدم.

  • بروتوكول المصادقة القابل للتوسعة المحمي (PEAP): نظام مصادقة متبادل يستند إلى كلمة مرور ملك Cisco بين العميل (هاتف) وخادم RADIUS. يمكن للهاتف استخدام PEAP للمصادقة مع الشبكة اللاسلكية. يتم دعم طريقتي المصادقة PEAP-MSCHAPV2 وPEAP-GTC.

  • المفتاح المشترك مسبقا (PSK): يدعم الهاتف التنسيقات ASCII والسداسية العشرية (HEX). يجب عليك استخدام هذه التنسيقات عند إعداد مفتاح WPA2/SAE مشترك مسبقا.

    ASCII: سلسلة أحرف ASCII بطول 8 إلى 63 حرفا (0-9 ، أحرف صغيرة من a-z ، أحرف كبيرة من A إلى Z ، وأحرف خاصة). على سبيل المثال، GREG123567@9ZX&W.

    عرافة عشرية: سلسلة مكونة من أحرف سداسية عشرية بطول 64 رقما سداسيا (0-9 أو a-f أو A-F).

تستخدم أنظمة المصادقة التالية خادم RADIUS لإدارة مفاتيح المصادقة:

  • WPA2/WPA3: تستخدم معلومات الخادم RADIUS لإنشاء مفاتيح فريدة للمصادقة. ونظرًا لإنشاء تلك المفاتيح على الخادم RADIUS المركزي، يوفر WPA2/WPA3 أماناً أكبر من مفاتيح WPA المشتركة مسبقًا والمخزنة في AP والهاتف.

  • تجوال الأمان السريع: يستخدم خادم RADIUS ومعلومات خادم المجال اللاسلكي (WDS) لإدارة ومصادقة المفاتيح. يقوم WDS بإنشاء ذاكرة تخزين مؤقت لبيانات اعتماد الأمان للأجهزة العميلة التي تدعم FT لإعادة المصادقة بسرعة وأمان.

باستخدام WPA2/WPA3، لا يتم إدخال مفاتيح التشفير على الهاتف، ولكن يتم اشتقاقها تلقائيا بين نقطة الوصول والهاتف. ولكن يجب إدخال اسم المستخدم وكلمة المرور لـ EAP التي يتم استخدامها للمصادقة على كل هاتف.

للمساعدة في حماية حركة مرور الصوت عبر الارتباط اللاسلكي، يدعم الهاتف التشفير المستند إلى AES لمصادقة WPA2/WPA3. AES هو تشفير كتلة متماثل موحد بواسطة NIST. يستخدم AES حجم كتلة ثابت 128 بت ويدعم أحجام المفاتيح 128 بت و 192 بت و 256 بت. في شبكات Wi-Fi ، يتم استخدام AES بواسطة مجموعات التشفير مثل CCMP أو GCMP ، بينما يتم توفير المصادقة بشكل منفصل بواسطة PSK أو SAE أو 802.1X / EAP ، اعتمادا على وضع الأمان WLAN الذي تم تكوينه. تعتمد مجموعة التشفير المدعومة وحجم المفتاح على طراز الهاتف وتكوين WLAN.

عندما يستخدم الهاتف تشفير AES، يتم تشفير كل من حزم SIP الإشارة وحزم بروتوكول النقل في الوقت الحقيقي (RTP) الصوتي بين نقطة الوصول والهاتف.

يتم إعداد أنظمة المصادقة والتشفير داخل الشبكة المحلية اللاسلكية. يتم تهيئة شبكات VLAN في الشبكة ونقاط الاتصال الموجودة وتحدد مجموعات مختلفة من المصادقة والتشفير. يرتبط SSID بشبكة VLAN ونظام المصادقة والتشفير المعين. لكي تتم مصادقة الأجهزة العميلة اللاسلكية بنجاح، يجب عليك تكوين نفس معرفات SSID مع أنظمة المصادقة والتشفير الخاصة بها على نقاط الوصول وعلى الهاتف.

تتطلب بعض مخططات المصادقة أنواعًا معينة من التشفير.

عند استخدام مفتاح WPA2 المشترك مسبقا أو SAE، يجب تعيين المفتاح المشترك مسبقا بشكل ثابت على الهاتف. يجب أن تطابق هذه المفاتيح المفاتيح الموجودة على AP.

تعرض أنظمة المصادقة والتشفير في الجدول التالي خيارات تهيئة الشبكة ل Cisco Wireless Phone 9821 المتوافق مع تكوين AP.

الجدول 4. مخططات المصادقة والتشفير
نوع FSRالمصادقهإدارة المفاتيحالتشفيرإطار الإدارة المحمي (PMF)
802.11r (قدم)PSK

WPA-PSK

وبا-PSK-SHA256

FT-PSK

AESلا
802.11r (قدم)WPA3

سا

FT-SAE

AESنعم
802.11r (قدم)EAP-TLS

WPA-EAP

FT-EAP

AESلا
802.11r (قدم)EAP-TLS (WPA3)

وبا-EAP-SHA256

FT-EAP

AESنعم
802.11r (قدم)EAP-FAST

WPA-EAP

FT-EAP

AESلا
802.11r (قدم)EAP-FAST (WPA3)

وبا-EAP-SHA256

FT-EAP

AESنعم
802.11r (قدم)EAP-PEAP

WPA-EAP

FT-EAP

AESلا
802.11r (قدم)EAP-PEAP (WPA3)

وبا-EAP-SHA256

FT-EAP

AESنعم
غير FTجناح بWPA-EAP-SUITE-Bجي سي إم بينعم
غير FTجناح-B-192WPA-EAP-SUITE-B-192جي سي إم بينعم

إعداد ملف تعريف Wi-Fi

يمكنك تكوين ملف تعريف Wi-Fi وتعيينه إلى Cisco Wireless Phone 9821. يحتوي ملف التعريف هذا على المعلمات الضرورية للهاتف لإنشاء اتصال Wi-Fi ثم التسجيل باستخدام Cisco Unified CM. عند إنشاء ملف تعريف Wi-Fi واستخدامه، لا تحتاج أنت أو المستخدمون لديك إلى تهيئة الشبكة اللاسلكية للهواتف الفردية.

نوصي باستخدام ملف تعريف الأمان مع التشفير TFTP ممكن لحماية المفاتيح وكلمات المرور عند استخدام ملف تعريف شبكة Wi-fi.

تدعم الهواتف شهادة خادم واحدة لكل طريقة تثبيت (يدوي أو SCEP أو TFTP).

ضع الملاحظات التالية في الاعتبار قبل تكوين ملف تعريف WLAN:

  • اسم المستخدم وكلمة المرور

    • عندما تستخدم شبكتك EAP-FAST وPEAP لمصادقة المستخدم، يجب عليك تكوين كل من اسم المستخدم وكلمة السر إذا تطلب الأمر ذلك على Remote Authentication Dial-In User Service (RADIUS) والهاتف.

    • يجب أن تكون بيانات الاعتماد التي تدخلها في ملف تعريف شبكة LAN اللاسلكية متطابقة مع بيانات الاعتماد التي قمت بتكوينها على خادم RADIUS.
    • إذا كنت تستخدم المجالات داخل الشبكة، فيجب إدخال اسم المستخدم مع اسم المجال، بالتنسيق: المجال\اسم المستخدم.

  • قد تؤدي الإجراءات التالية إلى مسح كلمة مرور شبكة Wi-Fi الموجودة:

    • إدخال معرف مستخدم أو كلمة مرور غير صحيحين
    • تثبيت CA الجذر غير صالحة أو منتهية الصلاحية عند تعيين نوع EAP على PEAP-MSCHAPV2 أو PEAP-GTC
    • تعطيل نوع EAP قيد الاستخدام على خادم RADIUS قبل تحويل الهاتف إلى نوع EAP الجديد
  • لتغيير نوع EAP، تأكد من تمكين نوع EAP الجديد على خادم RADIUS أولاً، ثم قم بتبديل الهاتف إلى نوع EAP. عندما تم تغيير جميع الهواتف إلى نوع EAP الجديد، يمكنك تعطيل نوع EAP السابق إذا كنت تريد.
1

في "إدارة Cisco Unified Communications Manager"، حدد الجهاز > إعدادات الجهاز > ملف تعريف LAN اللاسلكي.

2

انقر فوق ضف جديد.

3

في "معلومات ملف التعريف الشبكة المحلية اللاسلكية" ، قم بتعيين المعلمات:

  • اسم-أدخل اسماً فريداً لملف تعريف شبكة Wi-fi. يتم عرض هذا الاسم على الهاتف.

  • وصف-أدخل وصفاً لملف التعريف شبكة Wi-fi لمساعدتك في التمييز ملف التعريف هذا من ملفات تعريف شبكة Wi-fi أخرى.

  • التعديل المستخدم— حدد أحد الخيارات:

    • مسموح به— تشير إلى أنه يمكن للمستخدم إجراء تغييرات في إعدادات شبكة Wi-fi من هواتفهم. يتم تحديد هذا الخيار افتراضيًا.

    • غير مسموح به— تشير إلى أنه لا يمكن للمستخدم إجراء تغييرات في إعدادات شبكة Wi-fi من هواتفهم.

    • مقيد— تشير إلى أنه يمكن للمستخدم تغيير شبكة Wi-fi اسم المستخدم وكلمة المرور على هواتفهم. ولكن لا يسمح للمستخدمين بإجراء تغييرات على إعدادات شبكة Wi-fi أخرى على الهاتف. عندما تستخدم شبكتك EAP-TLS لمصادقة المستخدم، يمكن للمستخدم اختيار نوع الشهادة (MIC, LSC أو المستخدم المثبت).

4

في إعدادات الشبكة اللاسلكية" ، قم بتعيين المعلمات:

  • SSID (اسم الشبكة)-أدخل اسم الشبكة المتوفرة في بيئة المستخدم الذي يمكن توصيل الهاتف به. يتم عرض هذا الاسم ضمن قائمة الشبكات المتوفرة على الهاتف وتوصيل الهاتف بشبكة الاتصال اللاسلكية.

  • نطاق التردد—الخيارات المتوفرة هي تلقائي و2.4 جيجاهرتز و5 جيجاهرتز. يحدد هذا الحقل تردد التي تستخدم الاتصال اللاسلكي. إذا قمت بتحديد تلقائي، فسيحاول الهاتف استخدام النطاق 5 جيجاهرتز أو 6 جيجاهرتز أولا ولا يستخدم النطاق 2.4 جيجاهرتز إلا في حالة عدم توفر 5 جيجاهرتز أو 6 جيجاهرتز.

5

في قسم إعدادات المصادقة، قم بتعيين طريقة المصادقة إلى إحدى طرق المصادقة التالية: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2 وPEAP-GTC وPSK وبلا.

Cisco الهاتف اللاسلكي 9821 لا يدعم WEP.

بعد تعيين هذا الحقل، فقد ترى الحقول الإضافية التي تحتاج إلى تعيين.

  • شهادة المستخدم— اللازمة لمصادقة EAP TLS. حدد MIC أو LSC أو المستخدم مثبت. يتطلب الهاتف تثبيت شهادة إما تلقائيًا من SCEP أو يدويًا من صفحة الإدارة على الهاتف.

  • عبارة المرور PSK— اللازمة لمصادقة PSK. أدخل الحرف 8-63 ASCII أو 64 عبارة المرور الحرف HEX.

  • توفير بيانات اعتماد مشتركة: يكون مطلوباً لمصادقة EAP-FAST وPEAP-MSCHAPv2 وPEAP-GTC.

    • إذا كان المستخدم يدير اسم المستخدم وكلمة المرور، اترك حقلي اسم المستخدم وكلمة المرور فارغين.

    • إذا كان جميع المستخدمين بمشاركة نفس اسم المستخدم وكلمة المرور، يمكنك إدخال المعلومات الموجودة في اسم المستخدم وكلمة المرور الحقول.

    • أدخل وصفاً في الحقل "وصف كلمة المرور".

    إذا كنت تحتاج إلى تعيين كل مستخدم فريداً اسم مستخدم وكلمة المرور، تحتاج إلى إنشاء ملف تعريف لكل مستخدم.

Cisco الهاتف اللاسلكي 9821 لا يدعم حقل ملف تعريف الوصول إلى الشبكة.

6

انقر فوق حفظ.

الخطوات التالية

اربط ملف تعريف الشبكة المحلية اللاسلكية بمجموعة ملف تعريف WLAN ثم قم بتطبيق مجموعة ملفات تعريف WLAN على تجمع أجهزة (النظام>تجمع الأجهزة) أو مباشرة على الهاتف ( الجهاز >الهاتف).

تثبيت شهادة مستخدم من صفحة ويب إدارة الهاتف

يمكنك تثبيت شهادة مستخدم يدويا على الهاتف في حالة عدم توفر بروتوكول تسجيل الشهادات البسيطة (SCEP).

يمكن استخدام المثبت مسبقاً التصنيع تثبيت الشهادة (MIC) "شهادة المستخدم" ل EAP-TLS.

بعد تثبيت شهادة المستخدم، تحتاج إلى إضافة سلسلة المرجع المصدق التي أصدرت شهادة المستخدم إلى قائمة الثقة الخاصة بخادم RADIUS.

‏‫قبل البدء‬

قبل تثبيت "شهادة المستخدم" لهاتف، يجب أن لديك:

  • شهادة المستخدم وفر من جهاز الكمبيوتر الخاص بك. يجب أن يكون الشهادة بتنسيق PKCS #12.

  • الشهادة استخراج كلمة المرور. يجب ألا يتجاوز طول كلمة المرور 32 حرفا.

1

من صفحة ويب إدارة الهاتف، حدد الشهادات.

2

حدد موقع حقل تثبيت المستخدم وانقر فوق تثبيت.

3

قم بالاستعراض للشهادة الموجودة على جهاز الكمبيوتر الخاص بك.

4

في كلمة المرور استخراج الحقل، أدخل كلمة المرور استخراج الشهادة.

5

انقر فوق تحميل.

6

قم بإعادة تشغيل الهاتف بعد انتهاء التحميل.

تثبيت مرجع مصدق لخادم المصادقة من صفحة ويب إدارة الهاتف

يمكنك تثبيت المرجع المصدق لخادم المصادقة يدويا على الهاتف في حالة عدم توفر بروتوكول تسجيل الشهادات البسيطة (SCEP).

يجب تثبيت شهادة المرجع المصدق الجذر التي أصدرت شهادة خادم RADIUS.

‏‫قبل البدء‬

قبل أن تتمكن من تثبيت شهادة على الهاتف، يجب أن يكون لديك مرجع مصدق لخادم المصادقة محفوظ على الكمبيوتر. يجب ترميز الشهادة في PEM (أساس 64) أو DER.

1

من صفحة ويب إدارة الهاتف، حدد الشهادات.

2

حدد حقل خادم المصادقة CA، وانقر فوق تثبيت.

3

قم بالاستعراض للشهادة الموجودة على جهاز الكمبيوتر الخاص بك.

4

انقر فوق تحميل.

5

قم بإعادة تشغيل الهاتف بعد انتهاء التحميل.

إزالة شهادة أمان يدويا من صفحة ويب إدارة الهاتف

يمكنك إزالة شهادات أمان يدوياً من خلال هاتف في حالة عدم توفر بروتوكول تسجيل الشهادات البسيطة (SCEP).

1

من صفحة ويب إدارة الهاتف، حدد الشهادات.

2

حدد موقع الشهادة على صفحة شهادات.

3

انقر فوق حذف.

4

قم بإعادة تشغيل الهاتف بعد إكمال عملية الحذف.

إعداد SCEP

بروتوكول تسجيل الشهادات البسيطة (SCEP) هو المعيار الخاص بتوفير وتجديد الشهادات تلقائيًا. وهو يتجنب التثبيت اليدوي للشهادات على هاتفك.

تفعيل معلمات التكوين الخاصة بمنتج SCEP

يجب تهيئة معلمات SCEP التالية على Cisco Unified Communications Manager (Unified CM).

  • عنوان RA IP أو اسم المضيف

  • بصمة الإصبع SHA-1 أو SHA-256 لشهادة CA الجذر الخاصة بخادم SCEP

تعمل هيئة التسجيل Cisco IOS (RA) كوكيل لخادم SCEP. يستخدم عميل SCEP على الهاتف المعلمات التي يتم تنزيلها من Cisco Unified CM. بعد تكوين المعلمات، يرسل الهاتف طلب SCEP getcs إلى جمعية الاتصالات الفيدرالية ويتم التحقق من صحة شهادة المرجع المصدق الجذر باستخدام بصمة الإصبع المحددة.

1

من Cisco Unified Communications Manager Administration، حدد الجهاز > الهاتف.

2

حدد موقع الهاتف.

3

قم بالتمرير إلى منطقة مخطط التكوين الخاص بالمنتج.

4

حدد خانة الاختيار خادم SCEP WLAN لتنشيط معلمة SCEP.

5

حدد خانة الاختيار WLAN Root CA Fingerprint (SHA256 أو SHA1) لتنشيط معلمة SCEP QED.

دعم خادم SCEP

إذا كنت تستخدم خادم بروتوكول تسجيل شهادات بسيطة (SCEP)، فيمكن للخادم تلقائياً الحفاظ على المستخدم وشهادات الخادم الخاصة بك. في خادم SCEP، قم بتهيئة عامل تسجيل SCEP (RA) لكي:

  • يعمل كنقطة ثقة لـ PKI

  • ليعمل كـ PKI RA

  • قم بتنفيذ مصادقة الجهاز باستخدام خادم RADIUS

لمزيد من المعلومات، راجع وثائق خادم SCEP.

إعداد شهادة هامة محليًا (LSC)

هناك عدة طرق لتثبيت LSC. ينطبق نموذج المهمة هذا على إعداد LSC باستخدام أسلوب سلسلة المصادقة على Cisco Wireless Phone 9821.

‏‫قبل البدء‬

تأكد من اكتمال تكوينات الأمان المناسبة Cisco Unified CM وcertificate authority proxy function (CAPF).

  • يشتمل ملف CTL أو ITL على شهادة CAPF.

  • في إدارة تشغيل Cisco Unified Communications، تحقق من تثبيت شهادة CAPF.

  • وظيفة وكيل جهة منح الشهادات (CAPF) قيد التشغيل وتم تكوينها.

لمزيد من المعلومات حول هذه الإعدادات، راجع الوثائق الخاصة بإصدار Cisco Unified CM الخاص بك.

1

احصل على سلسلة المصادقة CAPF التي تم تعيينها عند تكوين CAPF.

2

على الهاتف ، قم بالوصول إلى الإعدادات 9821 Settings app icon التطبيق.

3

حدد إعدادات المسؤول> تهيئة النظام> الأمان > LSC.

4

أدخل سلسلة المصادقة.

5

اضغط على المزيد 9821 More button وحدد إرسال.

يبدأ الهاتف في تثبيت LSC أو تحديثها أو إزالتها، وذلك بناءً على الكيفية التي تم بها تكوين CAPF. عند اكتمال الإجراء، يتم عرض "تم التثبيت" أو "لم يتم التثبيت" على شاشة الهاتف.

قد يستغرق اكتمال عملية تثبيت LSC أو تحديثها أو إزالتها وقتًا طويلاً.

عند نجاح إجراء التثبيت على الهاتف، يتم عرض رسالة تم التثبيت على شاشة الهاتف. إذا ظهرت على شاشة الهاتف رسالة لم يتم التثبيت، فقد تكون سلسلة التفويض غير صحيحة أو قد يكون الهاتف غير ممكَّن للترقية. إذا أدى تشغيل CAPF إلى حذف LSC، فتعرض شاشة الهاتف رسالة لم يتم التثبيت للإشارة إلى نجاح عملية التشغيل. يسجل خادم CAPF رسائل الأخطاء. راجع وثائق خادم CAPF لتحديد موقع السجلات ولفهم معنى رسائل الأخطاء.

مصادقة 802.1X للشبكات السلكية

Cisco يدعم الهاتف اللاسلكي 9821 مصادقة 802.1X للشبكات السلكية. يستخدم هذا الإجراء عادة أثناء التوفير التلقائي عندما يكون الهاتف متصلا بشاحن سطح المكتب عبر محول USB إلى إيثرنت مدعوم.

يتطلب دعم مصادقة 802.1X على الشبكات السلكية عدة مكونات كما يلي:

  • هاتف Cisco IP : يعمل الهاتف على تكوين الطلب للوصول إلى الشبكة. تشتمل هواتف Cisco IP Phone على عميل 802.1X. يتيح هذا العميل لمسؤولي الشبكة التحكم في اتصال هواتف IP بمنافذ محول LAN. يستخدم الإصدار الحالي من عميل 802.1X للهواتف الخيارين EAP—FAST وEAP—TLS لمصادقة الشبكة.

  • خادم المصادقة: يجب تكوين كل من خادم المصادقة والمحول باستخدام سر RADIUS مشترك.

  • التبديل: يجب أن يدعم المحول 802.1X ، حتى يتمكن من العمل كمصدق وترحيل رسائل EAP بين الهاتف وخادم المصادقة. بعد اكتمال عملية التبادل، يمنح المحول أو يرفض إمكانية وصول الهاتف إلى الشبكة.

عادةً ما تستخدم هواتف Cisco IP ومحولات Cisco IP بروتوكول اكتشاف Cisco (يُعرف اختصارًا بـ CDP) للتعرف على هوية بعضها البعض وتحديد معلمات مثل متطلبات تخصيص VLAN وطاقة الكبلات الداخلية.

ويجب أن تنفذ الإجراءات التالية لتكوين 802.1X.

  • تكوين CDP/LLDP الصوت VLAN الالتفافية.

  • قم بتكوين خادم المصادقة والمحول قبل تمكين مصادقة 802.1X للشبكات السلكية على الهاتف.

  • تكوين VLAN للصوت: لأن معيار 802.1X لا يعتد بوجود شبكات VLAN، يجب أن تعمد إلى تكوين هذا الإعداد بناءً على دعم المحول.

    • ممكن: إذا كنت تستخدم محولا يدعم المصادقة متعددة المجالات، فيمكنك تهيئته لاستخدام الصوت VLAN.
    • معطَّل: إذا كان المحول لا يدعم المصادقة متعددة المجالات، فقم بتعطيل "VLAN للصوت" وضع في اعتبارك تعيين المنفذ إلى شبكة VLAN الأصلية.
  • Cisco يحتوي الهاتف اللاسلكي 9821 على بادئة مختلفة في PID عن تلك الخاصة بهواتف Cisco الأخرى. لتمكين هاتفك من اجتياز مصادقة 802.1X، قم بتعيين نصف القطر· معلمة اسم المستخدم لتضمين هاتفك اللاسلكي Cisco 9821.

    على سبيل المثال، PID للهاتف اللاسلكي Cisco 9821 هو WP-9821. يمكنك ضبط نصف القطر · اسم المستخدم للبدء ب WP أو يحتوي على WP في كلا القسمين التاليين:

    • السياسة > الشروط > شروط المكتبة

    • نهج > مجموعات النهج> نهج التخويل> قاعدة التخويل 1

تمكين مصادقة 802.1X للشبكات السلكية على هاتفك

اتبع هذه الخطوات لتمكين مصادقة 802.1X للشبكات السلكية على هاتفك. لاحظ أن مصادقة 802.1X ل Wi-Fi ممكنة افتراضيا ولا تتطلب أي تكوين يدوي.

1

الوصول إلى الإعدادات 9821 Settings app icon التطبيق.

2

أدخل كلمة المرور للوصول إلى قائمة الإعدادات، إذا طلب منك ذلك. يمكنك الحصول على كلمة المرور من المسؤول.

3

حدد إعدادات المسؤول> إعداد الأمان> مصادقة 802.1X.

4

قم بتمييز مصادقة الجهاز واضغط على تشغيل.

تمكين مصادقة 802.1X للشبكات السلكية في Cisco Unified Communications Manager Administration

اتبع هذه الخطوات لتمكين مصادقة 802.1X للشبكات السلكية على Cisco Unified CM. لاحظ أن مصادقة 802.1X ل Wi-Fi ممكنة افتراضيا ولا تتطلب أي تكوين يدوي.

يمكنك عرض حالة المعاملة وإعدادات الأمان من قائمة شاشة الهاتف. لمزيد من المعلومات، راجع قائمة إعدادات الأمان على الهاتف.

1

في Cisco Unified Communications Manager Administration، حدد الجهاز > الهاتف.

2

حدد موقع الهاتف الذي ستقوم بإعداده.

3

انتقل إلى منطقة تخطيط التكوين الخاص بالمنتج .

4

حدد ممكن من القائمة المنسدلة مصادقة 802.1x.

عند تهيئته إلى ممكن أو معطل، يصبح خيار مصادقة الجهاز في Cisco Wireless Phone 9821 للقراءة فقط، مما يمنع المستخدمين من تعديل إعدادات مصادقة 802.1X.

5

حدد حفظ.

6

حدد تطبيق التكوين.

قائمة إعدادات الأمان على الهاتف

لعرض معلومات حول إعدادات الأمان من قائمة الهاتف، قم بالوصول إلى الإعدادات 9821 Settings app icon وحدد إعدادات المسؤول> إعداد الأمان> مصادقة 802.1X. يعتمد توفر المعلومات على إعدادات الشبكة في مؤسستك.

معلمات

الخيارات

افتراضي

الوصف

مصادقة الجهاز

تشغيل

إيقاف

إيقاف

لتمكين مصادقة 802.1X أو تعطيلها على الهاتف.

يمكن الاحتفاظ بإعداد المعلمة بعد تسجيل الهاتف الجاهز (OOB).

حالة المعاملة

معطل

يعرض حالة مصادقة 802.1X. يمكن أن تكون الدولة (على سبيل المثال لا الحصر):

  • المصادقة - تشير إلى أن عملية المصادقة قيد التنفيذ.
  • تمت مصادقته—للإشارة إلى مصادقة الهاتف.
  • معطل—يشير إلى تعطيل مصادقة 802.1x على الهاتف.
  • اتصال—يشير إلى أن الهاتف يرسل رسائل EAP start إلى المحول كل 30 ثانية.
  • مكتسب—للإشارة إلى أن مفتاح التبديل قد رفض طلب EAP الهاتف وأنه لا يتلقى أي تحد EAP-TLS أو EAP-FAST من مفتاح التبديل. يعيد الهاتف محاولة إرسال طلبات EAP.
  • تم قطع الاتصال—للإشارة إلى فصل كبل إيثرنت.
  • في وضع الانتظار—للإشارة إلى أن المحول قد عالج طلب EAP للهاتف ولكنه رفض مصادقة EAP-FAST أو EAP-TLS. يعيد الهاتف محاولة إرسال طلبات EAP.

البروتوكول

بلا

يعرض الأسلوب EAP المستخدم لمصادقة 802.1X. يمكن أن يكون البروتوكول EAP-FAST أو EAP-TLS.

إعداد الإصدارات المدعومة من TLS

يمكنك إعداد الحد الأدنى لإصدار TLS المطلوب للعميل والخادم على التوالي.

بشكل افتراضي ، يكون الحد الأدنى لإصدار TLS للخادم والعميل هو 1.2. يؤثر الإعداد على الوظائف التالية:

  • اتصال الوصول إلى الويب HTTPS
  • الإعداد للهاتف المحلي
  • خدمات HTTPS، مثل خدمات الدليل
  • أمان طبقة نقل مخطط البيانات (DTLS)
  • كيان الوصول إلى المنفذ (PAE)
  • بروتوكول المصادقة القابل للتوسعة-أمان طبقة النقل (EAP-TLS)

لمزيد من المعلومات حول التوافق TLS 1.3 ل Cisco IP Phones، راجع مصفوفة التوافق TLS 1.3 لمنتجات التعاون Cisco.

1

في Cisco Unified Communications Manager Administration، قم بأحد الإجراءات التالية حسب الحاجة:

  • لتكوين جميع الهواتف المنشورة، انتقل إلى تكوين النظام > المؤسسة.
  • لتكوين الهواتف التي تشترك في ملف تعريف الهاتف نفسه، انتقل إلى إعدادات الجهاز > الجهاز> ملف تعريف الهاتف العام.
  • لتكوين هاتف فردي، انتقل إلى الجهاز > الهاتف. ثم ابحث عن هاتفك وافتح صفحة تكوين الهاتف.

يتبع التكوين بنية هرمية:

  • إعدادات الجهاز الفردية لها الأسبقية على الإعدادات في ملف تعريف الهاتف العام ومستوى المؤسسة
  • تتجاوز إعدادات ملف تعريف الهاتف العامة الإعدادات على مستوى المؤسسة

2

قم بإعداد حقل TLS Client Min Version :

يتوفر خيار TLS 1.3 في Cisco Unified CM 15SU2 أو أحدث.

  • TLS 1.1: يدعم عميل TLS إصدارات TLS من الإصدار 1.1 إلى الإصدار 1.3.

    إذا كانت نسخة TLS في الخادم أقل من 1.1، على سبيل المثال نسخة 1.0، فلا يمكن إنشاء الاتصال.

  • TLS 1.2 (افتراضي): يدعم عميل TLS إصدار TLS 1.2 و1.3.

    إذا كانت نسخة TLS في الخادم أقل من 1.2، على سبيل المثال نسخة 1.1 أو 1.0، فلا يمكن إنشاء الاتصال.

  • TLS 1.3: يدعم عميل TLS إصدار TLS 1.3 فقط.

    إذا كان الإصدار TLS في الخادم أقل من 1.3 ، على سبيل المثال ، 1.2 أو 1.1 أو 1.0 ، فلا يمكن إنشاء الاتصال.

3

قم بإعداد حقل TLS Server Min Version :

  • TLS 1.1: يدعم خادم TLS إصدارات TLS من الإصدار 1.1 إلى الإصدار 1.3.

    إذا كان الإصدار TLS في العميل أقل من 1.1 ، على سبيل المثال ، 1.0 ، فلا يمكن إنشاء الاتصال.

  • TLS 1.2 (افتراضي): يدعم خادم TLS إصدار TLS 1.2 و1.3.

    إذا كان الإصدار TLS في العميل أقل من 1.2 ، على سبيل المثال ، 1.1 أو 1.0 ، فلا يمكن إنشاء الاتصال.

  • TLS 1.3: يدعم خادم TLS إصدار TLS 1.3 فقط.

    إذا كان الإصدار TLS في العميل أقل من 1.3 ، على سبيل المثال ، 1.2 أو 1.1 أو 1.0 ، فلا يمكن إنشاء الاتصال.

4

انقر فوق حفظ.

5

انقر فوق تطبيق التكوين.

6

أعِد تشغيل الهواتف.

TURN إيقاف تشغيل مكبر الصوت وسماعة الرأس على Cisco الهاتف اللاسلكي 9821

لديك خيارات TURN إيقاف تشغيل مكبر الصوت وسماعة الرأس بشكل دائم على هاتف Cisco Wireless Phone 9821 للمستخدم. يضمن إيقاف تشغيل مخرجات الصوت هذه عدم سماع المحادثات من قبل الآخرين القريبين ، وهو أمر مهم في بيئات المكتب المشتركة أو المفتوحة.

1

في Cisco Unified Communications Manager Administration، حدد الجهاز > الهاتف.

2

حدد موقع الهاتف الذي ستقوم بإعداده.

3

انتقل إلى منطقة تخطيط التكوين الخاص بالمنتج .

4

حدد واحدة أو أكثر من خانات الاختيار التالية TURN إيقاف تشغيل إمكانيات الهاتف:

  • تعطيل مكبر الصوت
  • تعطيل مكبر صوت الهاتف وسماعة الرأس

بشكل افتراضي، يتم إلغاء تحديد خانات الاختيار هذه.

5

حدد حفظ.

6

حدد تطبيق التكوين.

هل كان هذا المقال مفيدًا؟
هل كان هذا المقال مفيدًا؟