في هذه المقالة
dropdown icon
تكوين خيارات DHCP
    DHCP دعم الخيار
dropdown icon
أمان الشبكة المحلية اللاسلكية
    إعداد ملف تعريف Wi-Fi
dropdown icon
مصادقة 802.1X للشبكات السلكية
    تمكين مصادقة 802.1X للشبكات السلكية على هاتفك
    تمكين مصادقة 802.1X للشبكات السلكية على صفحة ويب الهاتف
    قائمة إعدادات الأمان على الهاتف
تغيير كلمات مرور المستخدم والمسؤول
تعيين الحد الأدنى لإصدار TLS للعميل والخادم
تمكين الوضع الذي بدأه العميل لمفاوضات أمان مستوى الوسائط
Cisco أمان الهاتف اللاسلكي 9821 (متعدد المنصات)
list-menuفي هذه المقالة
list-menuهل لديك ملاحظات؟

تتناول مقالة التعليمات هذه الهاتف اللاسلكي Cisco 9821 المسجل في Webex Calling.

تهيئة خيارات DHCP

يمكنك ضبط الترتيب الذي يستخدم به هاتفك خيارات DHCP. للحصول على تعليمات حول DHCP خيارات، راجع DHCP دعم الخيارات.

1

يمكنك الوصول إلى صفحة ويب إدارة الهاتف.

http://<ip العنوان>/مشرف/متقدم

2

حدد صوت > توفير.

3

في قسم ملف تعريف التكوين، قم بتعيين المعلمة DHCP Option To Use . يتكون هذا المعلمة من سلسلة من خيارات DHCP ، محددة بفواصل ، تستخدم لاسترداد البرامج الثابتة وملفات التعريف.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • في صفحة الهاتف على الويب، أدخل سلسلة من خيارات DHCP، محددة بفواصل.

الافتراضي: 66,160,159,150,60,43,125

4

انقر فوق إرسال جميع التغييرات.

DHCP دعم الخيار

يسرد الجدول التالي خيارات DHCP المعتمدة في Cisco Wireless Phone 9821.

معيار الشبكةالوصف
خيار DHCP رقم 1قناع الشبكة الفرعية
خيار DHCP رقم 2إزاحة الوقت
خيار DHCP رقم 3الموجه
خيار DHCP رقم 6خادم اسم المجال
خيار DHCP رقم 15اسم المجال
خيار DHCP رقم 17مسار الجذر
خيار DHCP رقم 41وقت تأجير عنوان IP
خيار DHCP رقم 42خادم NTP
خيار DHCP رقم 43المعلومات الخاصة بالمورد

لتوفير تهيئة SCEP.

خيار DHCP رقم 56خادم NTP
خيار DHCP رقم 60معرف فئة المورد
خيار DHCP رقم 66اسم خادم TFTP
خيار DHCP رقم 125المعلومات الخاصة بالمورد والتي تكشف هوية المورد
خيار DHCP رقم 150خادم TFTP
خيار DHCP رقم 159عنوان IP لخادم التوفير
خيار DHCP رقم 160عنوان URL للتوفير

أمان الشبكة المحلية اللاسلكية

نظرًا لإمكانية تلقي جميع أجهزة الشبكة المحلية اللاسلكية الواقعة ضمن النطاق كل حركة مرور الشبكة المحلية اللاسلكية الأخرى، فإن تأمين الاتصالات الصوتية أصبح يمثل عنصرًا مهمًا في الشبكات المحلية اللاسلكية. لضمان عدم تلاعب المتسللين بحركة مرور الصوت أو اعتراضها، تدعم بنية Cisco SAFE Security الهاتف. لمزيد من المعلومات حول الأمان في الشبكات، راجع http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

يوفر حل الاتصال الهاتفي Cisco Wireless IP أمان الشبكة اللاسلكية الذي يمنع عمليات تسجيل الدخول غير المصرح بها والاتصالات المخترقة باستخدام طرق المصادقة التالية التي يدعمها الهاتف.

  • المصادقة المفتوحة: يمكن لأي جهاز لاسلكي طلب المصادقة في نظام مفتوح. يمنح AP الذي يتلقى الطلب المصادقة لأي طالب أو للطالبين الموجودين في قائمة المستخدمين. قد يكون الاتصال بين الجهاز اللاسلكي ونقطة الوصول (AP) غير مشفر.

  • مصادقة بروتوكول المصادقة المرنة القابلة للتوسيع عبر مصادقة الأنفاق الآمنة (EAP-FAST): تقوم بنية أمان خادم العميل هذه بتشفير معاملات EAP داخل نفق أمان مستوى النقل (TLS) بين نقطة الوصول وخادم RADIUS، مثل محرك خدمات الهوية (ISE).

    يستخدم نفق TLS بيانات اعتماد الوصول المحمية (PACs) للمصادقة بين العميل (هاتف) وخادم RADIUS. يرسل الخادم معرف المرجع (AID) إلى العميل (هاتف)، الذي بدوره يحدد PAC الملائم. يعيد العميل (هاتف) PAC-Opaque إلى خادم RADIUS. يلغي الخادم تشفير PAC باستخدام المفتاح الرئيسي. تحتوي نقطتا النهاية الآن على مفتاح PAC ويتم إنشاء نفق TLS. يدعم EAP-FAST توفير PAC تلقائي، ولكن يجب عليك تمكينه على خادم RADIUS.

    في ISE ، بشكل افتراضي ، تنتهي صلاحية PAC في أسبوع واحد. إذا كان الهاتف يشتمل على PAC منتهية الصلاحية، فتستغرق عملية المصادقة على خادم RADIUS وقتاً أطول مقارنة بوجود PAC جديدة في الهاتف. لتجنب التأخير في توفير PAC، قم بتعيين مدة انتهاء الصلاحية لـ PAC حتى 90 يومًا أو أكثر على ISE أو خادم RADIUS.

  • "بروتوكول المصادقة" القابل للتوسعة عبر "أمان طبقة النقل" (EAP-TLS): يتطلب EAP TLS شهادة عميل للمصادقة والوصول إلى الشبكة. بالنسبة إلى EAP-TLS اللاسلكية، يمكن أن تكون شهادة العميل MIC أو شهادة مثبتة من قبل المستخدم.

  • بروتوكول المصادقة القابل للتوسعة المحمي (PEAP): نظام مصادقة متبادل يستند إلى كلمة مرور ملك Cisco بين العميل (هاتف) وخادم RADIUS. يمكن للهاتف استخدام PEAP للمصادقة مع الشبكة اللاسلكية. يتم دعم طريقتي المصادقة PEAP-MSCHAPV2 وPEAP-GTC.

    لدعم مصادقة PEAP-GTC للهاتف اللاسلكي Cisco 9821، قم بتكوين النهج الضروري ضمن مجموعة نهج Cisco ISE.

  • المفتاح المشترك مسبقا (PSK): يدعم الهاتف التنسيقات ASCII والسداسية العشرية (HEX). يجب عليك استخدام هذه التنسيقات عند إعداد مفتاح WPA2/SAE مشترك مسبقا.

    ASCII: سلسلة أحرف ASCII بطول 8 إلى 63 حرفا (0-9 ، أحرف صغيرة من a-z ، أحرف كبيرة من A إلى Z ، وأحرف خاصة). على سبيل المثال، GREG123567@9ZX&W.

    عرافة عشرية: سلسلة مكونة من أحرف سداسية عشرية بطول 64 رقما سداسيا (0-9 أو a-f أو A-F).

تستخدم أنظمة المصادقة التالية خادم RADIUS لإدارة مفاتيح المصادقة:

  • WPA2/WPA3: تستخدم معلومات الخادم RADIUS لإنشاء مفاتيح فريدة للمصادقة. ونظرًا لإنشاء تلك المفاتيح على الخادم RADIUS المركزي، يوفر WPA2/WPA3 أماناً أكبر من مفاتيح WPA المشتركة مسبقًا والمخزنة في AP والهاتف.

  • تجوال الأمان السريع: يستخدم خادم RADIUS ومعلومات خادم المجال اللاسلكي (WDS) لإدارة ومصادقة المفاتيح. يقوم WDS بإنشاء ذاكرة تخزين مؤقت لبيانات اعتماد الأمان للأجهزة العميلة التي تدعم FT لإعادة المصادقة بسرعة وأمان.

باستخدام WPA2/WPA3، لا يتم إدخال مفاتيح التشفير على الهاتف، ولكن يتم اشتقاقها تلقائيا بين نقطة الوصول والهاتف. ولكن يجب إدخال اسم المستخدم وكلمة المرور لـ EAP التي يتم استخدامها للمصادقة على كل هاتف.

للمساعدة في حماية حركة مرور الصوت عبر الارتباط اللاسلكي، يدعم الهاتف التشفير المستند إلى AES لمصادقة WPA2/WPA3. AES هو تشفير كتلة متماثل موحد بواسطة NIST. يستخدم AES حجم كتلة ثابت 128 بت ويدعم أحجام المفاتيح 128 بت و 192 بت و 256 بت. في شبكات Wi-Fi ، يتم استخدام AES بواسطة مجموعات التشفير مثل CCMP أو GCMP ، بينما يتم توفير المصادقة بشكل منفصل بواسطة PSK أو SAE أو 802.1X / EAP ، اعتمادا على وضع الأمان WLAN الذي تم تكوينه. تعتمد مجموعة التشفير المدعومة وحجم المفتاح على طراز الهاتف وتكوين WLAN.

يتم إعداد أنظمة المصادقة والتشفير داخل الشبكة المحلية اللاسلكية. يتم تهيئة شبكات VLAN في الشبكة ونقاط الاتصال الموجودة وتحدد مجموعات مختلفة من المصادقة والتشفير. يرتبط SSID بشبكة VLAN ونظام المصادقة والتشفير المعين. لكي تتم مصادقة الأجهزة العميلة اللاسلكية بنجاح، يجب عليك تكوين نفس معرفات SSID مع أنظمة المصادقة والتشفير الخاصة بها على نقاط الوصول وعلى الهاتف.

تتطلب بعض مخططات المصادقة أنواعًا معينة من التشفير.

عند استخدام مفتاح WPA2 المشترك مسبقا أو SAE، يجب تعيين المفتاح المشترك مسبقا بشكل ثابت على الهاتف. يجب أن تطابق هذه المفاتيح المفاتيح الموجودة على AP.

تعرض أنظمة المصادقة والتشفير في الجدول التالي خيارات تهيئة الشبكة ل Cisco Wireless Phone 9821 المتوافق مع تكوين AP.

الجدول 1. مخططات المصادقة والتشفير
نوع FSRالمصادقهإدارة المفاتيحالتشفيرإطار الإدارة المحمي (PMF)
802.11r (قدم)PSK

WPA-PSK

وبا-PSK-SHA256

FT-PSK

AESلا
802.11r (قدم)WPA3

سا

FT-SAE

AESنعم
802.11r (قدم)EAP-TLS

WPA-EAP

FT-EAP

AESلا
802.11r (قدم)EAP-TLS (WPA3)

وبا-EAP-SHA256

FT-EAP

AESنعم
802.11r (قدم)EAP-FAST

WPA-EAP

FT-EAP

AESلا
802.11r (قدم)EAP-FAST (WPA3)

وبا-EAP-SHA256

FT-EAP

AESنعم
802.11r (قدم)EAP-PEAP

WPA-EAP

FT-EAP

AESلا
802.11r (قدم)EAP-PEAP (WPA3)

وبا-EAP-SHA256

FT-EAP

AESنعم
غير FTجناح بWPA-EAP-SUITE-Bجي سي إم بينعم
غير FTجناح-B-192WPA-EAP-SUITE-B-192جي سي إم بينعم

إعداد ملف تعريف Wi-Fi

يمكنك تكوين ملفات تعريف Wi-Fi من صفحة ويب إدارة الهاتف أو من خلال إعادة مزامنة ملف تعريف الجهاز عن بعد. بمجرد التهيئة ، يمكنك إقران ملفات التعريف هذه بالشبكات اللاسلكية المتاحة لإنشاء الاتصال. Cisco يدعم الهاتف اللاسلكي 9821 أربعة ملفات تعريف Wi-Fi مهيأة كحد أقصى.

يحتوي على ملف تعريف المعلمات المطلوبة للهواتف لتوصيل خادم الهاتف بشبكة Wi-Fi. عند إنشاء ملف تعريف Wi-Fi واستخدامه، لا تحتاج أنت أو المستخدمون لديك إلى تهيئة الشبكة اللاسلكية للهواتف الفردية.

ملف تعريف شبكة Wi-fi يتيح لك إمكانية منع أو تحديد التغييرات في تهيئة شبكة Wi-fi على الهاتف بالمستخدم.

نوصي باستخدام ملف تعريف آمن مع بروتوكولات ممكنة للتشفير لحماية المفاتيح وكلمات المرور عند استخدام ملف تعريف Wi-Fi.

عند إعداد الهواتف لاستخدام طريقة المصادقة EAP-FAST في وضع الأمان، يحتاج المستخدمون إلى بيانات اعتماد فردية للاتصال بنقطة وصول.

1

يمكنك الوصول إلى صفحة ويب الهاتف.

2

حدد صوت > النظام.

3

في القسم Wi-Fi ملف التعريف (n)، قم بتعيين المعلمات كما هو موضح في الجدول التالي معلمات ملف تعريف Wi-Fi.

تكوين ملف التعريف Wi-Fi متاح أيضا لتسجيل دخول المستخدم.
4

انقر فوق إرسال جميع التغييرات.

معلمات ملف تعريف Wi-Fi

يحدد الجدول التالي وظيفة واستخدام كل معلمة في القسم Wi-Fi Profile(n) ضمن النظام Tab على صفحة الهاتف على الويب. كما أنه يحدد بنية السلسلة التي تمت إضافتها في ملف تكوين الهاتف (cfg.xml) لتكوين معلمة.

المعلمةالوصف
اسم الشبكةيتيح لك إدخال اسم لـ SSID التي سيتم عرضها على الهاتف. يمكن أن يكون لملفات التعريف المتعددة نفس اسم الشبكة بوضع أمان مختلف.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Network_Name_1_ ua="rw">Cisco</Network_Name_1_>

  • في صفحة الهاتف على الويب، أدخل اسما ل SSID.

القيمة الافتراضية: فارغ

وضع الأمانالسماح لك بتحديد طريقة المصادقة المستخدمة لتأمين الوصول إلى شبكة Wi-Fi. وفقا للطريقة التي تختارها، يظهر حقل كلمة مرور بحيث يمكنك توفير بيانات الاعتماد المطلوبة للانضمام إلى شبكة Wi-Fi هذه.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- الخيارات المتاحة: |EAP-FAST|||بي إس كيه||لا شيء|EAP-PEAP|EAP-TLS -->

  • في صفحة الهاتف على الويب، حدد إحدى الطرق التالية:
    • EAP-FAST
    • PSK
    • بلا
    • EAP-PEAP
    • EAP-TLS

القيمة الافتراضية: بلا

معرف مستخدم Wi-Fiالسماح لك بإدخال معرف مستخدم لملف تعريف الشبكة.

يتوفر هذا الحقل عند تعيين وضع الأمان إلى تلقائي أو EAP-FAST أو EAP-PEAP. هذا حقل إلزامي ويسمح بحد أقصى 32 حرفًا أبجديًا رقميًا.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • في صفحة الهاتف على الويب، أدخل ID المستخدم لملف تعريف الشبكة.

القيمة الافتراضية: فارغ

كلمة المرور الخاصة بشبكة Wi-Fiيتيح لك إدخال كلمة المرور لمعرّف مستخدم Wi-Fi المحدد.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • في صفحة ويب الهاتف، أدخل كلمة مرور للمستخدم ID الذي أضفته.

القيمة الافتراضية: فارغ

نطاق التردديتيح لك تحديد نطاق تردد الإشارة اللاسلكية الذي تستخدمه شبكة WLAN.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Frequency_Band_1_ ua="rw">تلقائي</Frequency_Band_1_>

  • في صفحة ويب الهاتف، حدد أحد الخيارات:
    • تلقائي
    • 2.4 جيجاهيرتز
    • 5 جيجاهرتز أو 6 جيجاهرتز

القيمة التلقائية: تلقائي

تحديد الشهادةيتيح لك تحديد نوع الشهادة للتسجيل الأولي للشهادة وتجديد الشهادة في الشبكة اللاسلكية. لا تتوفر هذه العملية إلا لمصادقة 802.1X.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Certificate_Select_1_ ua="rw">التصنيع المثبت</Certificate_Select_1_>

  • في صفحة الهاتف على الويب، حدد أحد الخيارات التالية:
    • تثبيت من جانب جهة التصنيع
    • تثبيت مخصص

الإعداد الافتراضي: التصنيع مثبت

وضع التحكمللتحكم في ما إذا كان مسموحا للمستخدم بتكوين ملفات تعريف Wi-Fi.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Control_Mode_1_ ua="rw">السماح</Control_Mode_1_>

  • في صفحة الهاتف على الويب، حدد أحد الخيارات التالية:
    • السماح
    • مسموح
    • مقيد

الإعداد الافتراضي: السماح

تمكينللتحكم في تمكين ملف التعريف Wi-Fi أم لا.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Enable_1_ ua="rw">نعم</Enable_1_>

  • في صفحة الهاتف على الويب، حدد أحد الخيارات التالية:
    • نعم
    • لا

القيمة الافتراضية: نعم

اسم الملف الشخصييتيح لك إدخال اسم لملف التعريف الذي سيتم عرضه على الهاتف.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <Profile_Name_1_ ua="rw">الملف الشخصي 1</Profile_Name_1_>

  • في صفحة الهاتف على الويب، أدخل اسما لملف التعريف.

الإعداد الافتراضي: الملف الشخصي 1

عبارة مرور PSKيتيح لك إدخال عبارة مرور PSK عند ضبط وضع الأمان على PSK.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <PSK_Passphrase_1_ ua="rw">*************</PSK_Passphrase_1_>

  • في صفحة الهاتف على الويب، أدخل عبارة مرور PSK.

الإعداد الافتراضي: السماح

مصادقة 802.1X للشبكات السلكية

Cisco يدعم الهاتف اللاسلكي 9821 مصادقة 802.1X للشبكات السلكية. يستخدم هذا الإجراء عادة أثناء التوفير التلقائي عندما يكون الهاتف متصلا بشاحن سطح المكتب عبر محول USB إلى إيثرنت مدعوم.

يتطلب دعم مصادقة 802.1X على الشبكات السلكية عدة مكونات كما يلي:

  • هاتف Cisco IP : يعمل الهاتف على تكوين الطلب للوصول إلى الشبكة. تشتمل هواتف Cisco IP Phone على عميل 802.1X. يتيح هذا العميل لمسؤولي الشبكة التحكم في اتصال هواتف IP بمنافذ محول LAN. يستخدم الإصدار الحالي من عميل 802.1X للهواتف الخيارين EAP—FAST وEAP—TLS لمصادقة الشبكة.

  • خادم المصادقة: يجب تكوين كل من خادم المصادقة والمحول باستخدام سر RADIUS مشترك.

  • التبديل: يجب أن يدعم المحول 802.1X ، حتى يتمكن من العمل كمصدق وترحيل رسائل EAP بين الهاتف وخادم المصادقة. بعد اكتمال عملية التبادل، يمنح المحول أو يرفض إمكانية وصول الهاتف إلى الشبكة.

عادةً ما تستخدم هواتف Cisco IP ومحولات Cisco IP بروتوكول اكتشاف Cisco (يُعرف اختصارًا بـ CDP) للتعرف على هوية بعضها البعض وتحديد معلمات مثل متطلبات تخصيص VLAN وطاقة الكبلات الداخلية.

ويجب أن تنفذ الإجراءات التالية لتكوين 802.1X.

  • تكوين CDP/LLDP الصوت VLAN الالتفافية.

  • قم بتكوين خادم المصادقة والمحول قبل تمكين مصادقة 802.1X للشبكات السلكية على الهاتف.

  • تكوين VLAN للصوت: لأن معيار 802.1X لا يعتد بوجود شبكات VLAN، يجب أن تعمد إلى تكوين هذا الإعداد بناءً على دعم المحول.

    • ممكن: إذا كنت تستخدم محولا يدعم المصادقة متعددة المجالات، فيمكنك تهيئته لاستخدام الصوت VLAN.
    • معطَّل: إذا كان المحول لا يدعم المصادقة متعددة المجالات، فقم بتعطيل "VLAN للصوت" وضع في اعتبارك تعيين المنفذ إلى شبكة VLAN الأصلية.
  • Cisco يحتوي الهاتف اللاسلكي 9821 على بادئة مختلفة في PID عن تلك الخاصة بهواتف Cisco الأخرى. لتمكين هاتفك من اجتياز مصادقة 802.1X، قم بتعيين نصف القطر· معلمة اسم المستخدم لتضمين هاتفك اللاسلكي Cisco 9821.

    على سبيل المثال، PID للهاتف اللاسلكي Cisco 9821 هو WP-9821. يمكنك ضبط نصف القطر · اسم المستخدم للبدء ب WP أو يحتوي على WP في كلا القسمين التاليين:

    • السياسة > الشروط > شروط المكتبة

    • نهج > مجموعات النهج> نهج التخويل> قاعدة التخويل 1

تمكين مصادقة 802.1X للشبكات السلكية على هاتفك

اتبع هذه الخطوات لتمكين مصادقة 802.1X للشبكات السلكية على هاتفك. لاحظ أن مصادقة 802.1X ل Wi-Fi ممكنة افتراضيا ولا تتطلب أي تكوين يدوي.

1

الوصول إلى الإعدادات 9821 Settings app icon التطبيق.

2

أدخل كلمة المرور للوصول إلى قائمة الإعدادات، إذا طلب منك ذلك. يمكنك الحصول على كلمة المرور من المسؤول.

3

حدد إعدادات المسؤول> إعداد الأمان> مصادقة 802.1X.

4

قم بتمييز مصادقة الجهاز واضغط على تشغيل.

تمكين مصادقة 802.1X للشبكات السلكية على صفحة ويب الهاتف

عند تمكين مصادقة 802.1X للشبكات السلكية، يستخدم الهاتف مصادقة 802.1X لطلب الوصول إلى الشبكة من منفذ Ethernet LAN. عند تعطيل مصادقة 802.1X للشبكات السلكية، يستخدم الهاتف Cisco Discovery Protocol (CDP) للحصول على VLAN والوصول إلى الشبكة. لاحظ أن مصادقة 802.1X ل Wi-Fi ممكنة افتراضيا ولا تتطلب أي تكوين يدوي.

يمكنك تحديد شهادة (MIC/SUDI أو CDC) مستخدمة لمصادقة 802.1X. لمزيد من المعلومات حول CDC، راجع شهادة الجهاز المخصص على Cisco Wireless Phone 9821.

يمكنك عرض حالة المعاملة وإعدادات الأمان من قائمة شاشة الهاتف. لمزيد من المعلومات، راجع قائمة إعدادات الأمان على الهاتف.

1

قم بتمكين مصادقة 802.1X.

حدد صوت > النظام. في قسم مصادقة 802.1X، قم بتعيين معلمة تمكين مصادقة 802.1X إلى نعم.

يمكنك أيضًا تكوين هذه المعلمة في ملف التكوين (cfg.xml):

<Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>

القيم الصالحة: نعم|لا

القيمة الافتراضية: لا

2

في قسم مصادقة 802.1X، حدد إحدى الشهادات المثبتة التالية المستخدمة لمصادقة 802.1X من القائمة المنسدلة تحديد الشهادة.

خيارات القيمة:

  • التصنيع المثبت: MIC / SUDI.
  • مثبت مخصص: شهادة جهاز مخصص (CDC).

يمكنك أيضًا تكوين هذه المعلمة في ملف التكوين (cfg.xml):

<Certificate_Select ua="rw">تثبيت مخصص</Certificate_Select>

قيم صالحة: التصنيع مثبت |تثبيت مخصص

الإعداد الافتراضي: التصنيع مثبت

3

قم بتكوين معلمة المستخدم ID التي سيتم استخدامها كهوية لمصادقة 802.1X في الشبكة السلكية.

ينطبق هذا التكوين فقط عند استخدام شهادة جهاز مخصص (CDC) لمصادقة 802.1X السلكية، مع تعيين "تحديد الشهادة" إلى "مخصص" مثبتا.

يمكنك أيضًا تكوين هذه المعلمة في ملف التكوين (cfg.xml):

<Wired_User_ID ua="na"></Wired_User_ID>

القيم الصالحة: 127 حرفا كحد أقصى

القيمة الافتراضية: فارغ

تدعم هذه المعلمة أيضا متغيرات توسيع الماكرو، راجع متغيرات توسيع الماكرو للحصول على التفاصيل.

إذا كنت تريد توفير ID للمستخدم باستخدام تركيبة مع خيارات DHCP، فراجع إدارة حسابات المستخدم ID عبر الخيار DHCP 15.

4

انقر فوق إرسال جميع التغييرات.

قائمة إعدادات الأمان على الهاتف

لعرض معلومات حول إعدادات الأمان من قائمة الهاتف، قم بالوصول إلى الإعدادات 9821 Settings app icon وحدد إعدادات المسؤول> إعداد الأمان> مصادقة 802.1X. يعتمد توفر المعلومات على إعدادات الشبكة في مؤسستك.

معلمات

الخيارات

افتراضي

الوصف

مصادقة الجهاز

تشغيل

إيقاف

إيقاف

لتمكين مصادقة 802.1X أو تعطيلها على الهاتف.

يمكن الاحتفاظ بإعداد المعلمة بعد تسجيل الهاتف الجاهز (OOB).

حالة المعاملة

معطل

يعرض حالة مصادقة 802.1X. يمكن أن تكون الدولة (على سبيل المثال لا الحصر):

  • المصادقة - تشير إلى أن عملية المصادقة قيد التنفيذ.
  • تمت مصادقته—للإشارة إلى مصادقة الهاتف.
  • معطل—يشير إلى تعطيل مصادقة 802.1x على الهاتف.
  • اتصال—يشير إلى أن الهاتف يرسل رسائل EAP start إلى المحول كل 30 ثانية.
  • مكتسب—للإشارة إلى أن مفتاح التحويل قد رفض طلب EAP الهاتف وأنه لا يتلقى أي تحد EAP-TLS أو EAP-FAST من مفتاح التبديل. يعيد الهاتف محاولة إرسال طلبات EAP.
  • تم قطع الاتصال—للإشارة إلى فصل كبل إيثرنت.
  • في وضع الانتظار—للإشارة إلى أن المحول قد عالج طلب EAP للهاتف ولكنه رفض مصادقة EAP-FAST أو EAP-TLS. يعيد الهاتف محاولة إرسال طلبات EAP.

البروتوكول

بلا

يعرض الأسلوب EAP المستخدم لمصادقة 802.1X. يمكن أن يكون البروتوكول EAP-FAST أو EAP-TLS.

نوع شهادة المستخدم

تثبيت من جانب جهة التصنيع

تثبيت مخصص

تثبيت من جانب جهة التصنيع

لتحديد الشهادة لمصادقة 802.1X أثناء التسجيل الأولي وتجديد الشهادة.

  • التصنيع المثبت—يتم استخدام معرف الجهاز الفريد الآمن (SUDI).
  • تثبيت مخصص — يتم استخدام شهادة الجهاز المخصصة (CDC). يمكن تثبيت هذا النوع من الشهادات إما عن طريق التحميل اليدوي على صفحة الويب الخاصة بالهاتف أو عن طريق التثبيت من خادم بروتوكول تسجيل الشهادات البسيط (SCEP).

تظهر هذه المعلمة على الهاتف فقط عند تمكين مصادقة الجهاز.

تغيير كلمات مرور المستخدم والمسؤول

عند التسجيل الأولي في نظام التحكم في المكالمات أو بعد إعادة ضبط المصنع، يجب عليك تكوين كل من كلمات مرور المستخدم والمسؤول عند الوصول لأول مرة إلى صفحة ويب إدارة الهاتف. يمكنك تحديث بيانات الاعتماد هذه في أي وقت للحفاظ على أمان الجهاز.

تتضمن قواعد كلمة المرور الصالحة ما يلي:

  • يجب أن تحتوي كلمة المرور على ما لا يقل عن 8 إلى 127 حرفًا.
  • مزيج (ثلاثة من أصل أربعة أنواع) من الأحرف الكبيرة والحرف السفلي الصغير والرقم والحرف الخاص.
  • المساحة غير مسموح بها.
1

يمكنك الوصول إلى صفحة ويب إدارة الهاتف.

2

حدد صوت > النظام.

3

(اختياري) في المقطع تكوين النظام، قم بتعيين معلمة "عرض تحذيرات كلمة المرور" إلى نعم، ثم انقر فوق إرسال كافة التغييرات.

يمكنك أيضًا تمكين المعلمات في ملف تكوين الهاتف (cfg.xml).

<Display_Password_Warnings ua="na">نعم</Display_Password_Warnings>

القيمة الافتراضية: نعم

الخيارات: نعم|لا

إذا تم تعيين المعلمة على "لا"، فلن يظهر تحذير كلمة المرور على شاشة الهاتف.

4

حدد موقع المعلمة User Password أو Admin Password، وانقر فوق Change Password بجوار المعلمة.

5

أدخل كلمة مرور المستخدم الحالية في حقل كلمة المرور القديمة.

6

أدخل كلمة مرور جديدة في حقل كلمه المرور الجديدة.

إذا لم تستوف كلمة المرور الجديدة قواعد كلمة المرور الصالحة، فسيتم رفض الإعداد.

7

انقر فوق إرسال.

سيتم عرض رسالة Password has been changed successfully. في صفحة الويب. سيتم تحديث صفحة الويب في عدة ثوانٍ.

بعد تعيين كلمة مرور المستخدم، تعرض هذه المعلمة ما يلي في ملف XML لتكوين الهاتف (cfg.xml):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

تعيين الحد الأدنى لإصدار TLS للعميل والخادم

بشكل افتراضي ، يكون الحد الأدنى لإصدار TLS للعميل والخادم هو 1.2. هذا يعني أن العميل والخادم يقبلان إنشاء اتصالات مع TLS 1.2 أو أعلى. الحد الأقصى للإصدار المعتمد من TLS للعميل والملقم هو 1.3. عند التهيئة، سيتم استخدام الإصدار الأدنى من TLS للتفاوض بين عميل TLS وخادم TLS.

يمكنك تعيين الإصدار الأدنى من TLS للعميل والخادم على التوالي، مثل 1.1 أو 1.2 أو 1.3.

‏‫قبل البدء‬

تأكد من أن خادم TLS يدعم الحد الأدنى من إصدار TLS الذي تم تكوينه. يمكنك استشارة مسؤول نظام التحكم في المكالمات.

1

يمكنك الوصول إلى صفحة ويب إدارة الهاتف.

2

حدد صوت > النظام.

3

في القسم إعدادات الأمان، قم بتكوين المعلمة TLS Client Min Version.

  • TLS 1.1: يدعم عميل TLS إصدارات TLS من الإصدار 1.1 إلى الإصدار 1.3.

    إذا كان الإصدار TLS في الخادم أقل من 1.1 ، فلا يمكن إنشاء الاتصال.

  • TLS 1.2 (افتراضي): يدعم عميل TLS إصدار TLS 1.2 و1.3.

    إذا كانت نسخة TLS في الخادم أقل من 1.2، على سبيل المثال نسخة 1.1، فلا يمكن إنشاء الاتصال.

  • TLS 1.3: يدعم عميل TLS إصدار TLS 1.3 فقط.

    إذا كانت نسخة TLS في الخادم أقل من 1.3، على سبيل المثال نسخة 1.2 أو 1.1، فلا يمكن إنشاء الاتصال.

    إذا كنت ترغب في تعيين المعلمة "TLS Client Min Version" إلى "TLS 1.3" ، فتأكد من أن جانب الخادم يدعم TLS 1.3. إذا كان جانب الخادم لا يدعم TLS 1.3 ، فقد يتسبب ذلك في حدوث مشكلات حرجة. على سبيل المثال، لا يمكن إجراء عمليات التوفير على الهواتف.

يمكنك أيضًا تكوين هذه المعلمة في ملف التكوين (cfg.xml):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

القيم المسموح بها: TLS 1.1 وTLS1.2 وTLS 1.3.

القيمة الافتراضية: TLS 1.2

4

في القسم إعدادات الأمان، قم بتكوين المعلمة TLS Server Min Version.

Webex Calling لا يدعم TLS 1.1.

  • TLS 1.1: يدعم خادم TLS إصدارات TLS من الإصدار 1.1 إلى الإصدار 1.3.

    إذا كان الإصدار TLS في العميل أقل من 1.1 ، فلا يمكن إنشاء الاتصال.

  • TLS 1.2 (افتراضي): يدعم خادم TLS إصدار TLS 1.2 و1.3.

    إذا كان الإصدار TLS في العميل أقل من 1.2 ، على سبيل المثال ، 1.1 ، فلا يمكن إنشاء الاتصال.

  • TLS 1.3: يدعم خادم TLS إصدار TLS 1.3 فقط.

    إذا كان الإصدار TLS في العميل أقل من 1.3 ، على سبيل المثال ، 1.2 أو 1.1 ، فلا يمكن إنشاء الاتصال.

يمكنك أيضًا تكوين هذه المعلمة في ملف التكوين (cfg.xml):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

القيم المسموح بها: TLS 1.1 وTLS1.2 وTLS 1.3.

القيمة الافتراضية: TLS 1.2

5

انقر فوق إرسال جميع التغييرات.

تمكين الوضع الذي بدأه العميل لمفاوضات أمان مستوى الوسائط

لحماية جلسات الوسائط، يمكنك تكوين الهاتف لبدء مفاوضات أمان مستوى الوسائط مع الخادم. تتبع آلية الأمان المعايير المنصوص عليها في RFC 3329 ومسودة امتدادها أسماء آلية الأمان للوسائط (انظر https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). يمكن أن يستخدم نقل المفاوضات بين الهاتف والخادم بروتوكول SIP عبر UDP وTCP وTLS. يمكنك تقييد تفاوض أمان مستوى الوسائط هذا فقط عندما يكون بروتوكول نقل الإشارة هو TLS.

الجدول 2. معلمات للتفاوض الأمني على مستوى الوسائط
المعلمةالوصف

طلب MediaSec

تحديد ما إذا كان الهاتف يبدأ مفاوضات أمان مستوى الوسائط مع الخادم.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <MediaSec_Request_1_ ua="na">نعم</MediaSec_Request_1_>
  • في واجهة ويب الهاتف، قم بتعيين هذا الحقل إلى نعم أو لا عند الحاجة.

القيم المسموح بها: نعم|لا

  • نعم—وضع بدء العميل. يقوم الهاتف ببدء مفاوضات أمان مستوى الوسائط.
  • لا—الوضع الذي يبدأه الخادم. يبدأ الخادم مفاوضات أمان مستوى الوسائط. لا يبدأ الهاتف المفاوضات، ولكن يمكنه التعامل مع طلبات التفاوض من الخادم لإجراء مكالمات آمنة.

القيمة الافتراضية: لا

MediaSec عبر TLS فقط

تحديد بروتوكول نقل الإشارات الذي يتم من خلاله تطبيق مفاوضات أمان مستوى الوسائط.

قبل تعيين هذا الحقل إلى نعم، تأكد من أن بروتوكول نقل الإشارات هو TLS.

قم بتنفيذ أحد الإجراءين التاليين:

  • في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق:

    <MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>

  • في واجهة ويب الهاتف، قم بتعيين هذا الحقل إلى نعم أو لا عند الحاجة.

القيم المسموح بها: نعم|لا

  • نعم—يبدأ الهاتف أو يتعامل مع مفاوضات أمان مستوى الوسائط فقط عندما يكون بروتوكول نقل الإشارات هو TLS.
  • لا—يبدأ الهاتف ويتعامل مع مفاوضات أمان مستوى الوسائط بغض النظر عن بروتوكول نقل الإشارات.

القيمة الافتراضية: لا

1

يمكنك الوصول إلى صفحة ويب إدارة الهاتف.

2

حدد صوت > Ext(n).

3

في قسم إعدادات SIP، قم بتعيين حقلي طلب MediaSec وMediaSec عبر TLS فقط كما هو محدد في الجدول أعلاه.

4

انقر فوق إرسال جميع التغييرات.

هل كان هذا المقال مفيدًا؟
هل كان هذا المقال مفيدًا؟