- Начало
- /
- Статия
Благодарим за обратната връзка.
Защита на IP телефони Cisco
В тази статия
Обратна връзка?Тази помощна статия е за Cisco Desk Phone 9800 и Cisco Video Phone 8875, регистрирани в Cisco BroadWorks.
Ръчно инсталиране на персонализиран сертификат на устройство
Можете ръчно да инсталирате сертификат за персонализирано устройство (CDC) на телефона, като качите сертификата от уеб страницата за администриране на телефона.
Преди да започнете
Преди да можете да инсталирате сертификат за персонализирано устройство за телефона, трябва да имате:
- Файл на сертификат (.p12 или .pfx), записан на вашия компютър. Файлът съдържа сертификата и частния ключ.
- Извлечете паролата за сертификата. Паролата се използва за дешифриране на файла на сертификата.
| 1 |
Отворете уеб страницата за администриране на телефона. |
| 2 |
Изберете Сертификат. |
| 3 |
В раздела Добавяне на сертификат щракнете върху Преглед.... |
| 4 |
Прегледайте сертификата на компютъра си. |
| 5 |
В полето Извличане на парола въведете паролата за извличане на сертификат. |
| 6 |
Щракнете върху Качване. Ако файлът на сертификата и паролата са правилни, ще получите съобщение „Сертификатът е добавен.“. В противен случай качването е неуспешно със съобщение за грешка, което показва, че сертификатът не може да бъде качен.
|
| 7 |
За да проверите подробностите за инсталирания сертификат, щракнете върху Преглед в раздела Съществуващи сертификати. |
| 8 |
За да премахнете инсталирания сертификат от телефона, щракнете върху Изтриване в раздела Съществуващи сертификати. След като щракнете върху бутона, операцията по премахване започва незабавно без потвърждение.
Ако сертификатът бъде премахнат успешно, ще получите съобщение „Сертификатът е изтрит.“. |
Автоматично инсталиране на сертификат по избор на устройство чрез SCEP
Можете да зададете параметрите на прост протокол за записване на сертификати (SCEP), за да инсталирате автоматично сертификата на персонализирано устройство (CDC), ако не искате ръчно да качите файла със сертификат или нямате въведен файл със сертификат.
Когато SCEP параметрите са конфигурирани правилно, телефонът изпраща заявки до SCEP сървъра и CA сертификатът се валидира от устройството с помощта на дефинирания пръстов отпечатък.
Преди да започнете
Преди да можете да извършите автоматично инсталиране на сертификат за персонализирано устройство за телефона, трябва да имате:
- Адрес на SCEP сървър
- Пръстов отпечатък SHA-1 или SHA-256 на корневи CA сертификат за SCEP сървър
| 1 |
Отворете уеб страницата за администриране на телефона. |
| 2 |
Изберете Сертификат. |
| 3 |
В раздела SCEP конфигурация 1 задайте параметрите, както е описано в следващата таблица Параметри за SCEP конфигурация. |
| 4 |
Щракнете върху Изпращане на всички промени. |
Параметри за SCEP конфигурация
Следващата таблица дефинира функциите и използването на параметрите за конфигуриране на SCEP в раздела SCEP конфигурация 1 под раздела Сертификат в уеб интерфейса на телефона. Освен това дефинира синтаксиса на низа, който се добавя към конфигурационния файл на телефона (cfg.xml), за да конфигурирате параметър.
| Параметър | Описание |
|---|---|
| Сървър |
Адрес на SCEP сървър. Този параметър е задължителен. Направете едно от следните неща:
Валидни стойности: URL адрес или IP адрес. HTTPS схемата не се поддържа. По подразбиране Празно |
| Пръстов отпечатък на главния СО |
Пръстов отпечатък SHA256 или SHA1 на главния СО за валидиране по време на процеса SCEP. Този параметър е задължителен. Направете едно от следните неща:
По подразбиране Празно |
| Парола за предизвикателство |
Паролата за предизвикателство за упълномощаване на Certificate Authority (CA) спрямо телефона по време на записване на сертификат чрез SCEP. Този параметър не е задължителен. Според действителната SCEP среда поведението на паролата за предизвикателство варира.
Направете едно от следните неща:
По подразбиране Празно |
Конфигуриране на SCEP параметри чрез DHCP опция 43
В допълнение към записването на SCEP сертификата чрез ръчните конфигурации на уеб страницата на телефона, можете да използвате и опцията DHCP 43 за попълване на параметрите от DHCP сървър. Опцията 43 на DHCP е предварително конфигурирана с SCEP параметрите, по-късно телефонът може да извлече параметрите от DHCP сървъра, за да извърши записване на SCEP сертификата.
- Конфигурацията на SCEP параметрите чрез DHCP опция 43 е достъпна само за телефона, където се извършва нулиране до фабричните настройки.
- Телефоните не трябва да се поставят в мрежата, която поддържа както опция 43, така и дистанционно обезпечаване (например опции 66,160,159,150 или обезпечаване в облака). В противен случай телефоните може да не получат конфигурации с опция 43.
За да запишете SCEP сертификат чрез конфигуриране на SCEP параметрите в DHCP опция 43, направете следното:
- Подгответе SCEP среда.
За информация относно настройването на SCEP средата вижте документацията на вашия SCEP сървър.
- Настройте опция 43 на DHCP (дефинирана в 8.4 Специфична информация за доставчика, RFC 2132).
Подопции (10 – 15) са запазени за метода:
Параметър на уеб страницата на телефона Подопция Тип Дължина (байт) Задължително Режим FIPS 10 Булева 1 Не* Сървър 11 Низ 208 – дължина (Парола за предизвикателство) Да Пръстов отпечатък на главния СО 12 двоичен 20 или 32 Да Парола за предизвикателство 13 Низ 208 – дължина (сървър) Не* Разрешаване на удостоверяване с 802.1X 14 Булева 1 Не Избор на сертификат 15 неподписан 8-битов 1 Не Когато използвате DHCP опция 43, обърнете внимание на следните характеристики на метода:
- Подопциите (10–15) са запазени за Custom Device Certificate (CDC).
- Максималната дължина на DHCP опцията 43 е 255 байта.
- Максималната дължина на сървър + парола за предизвикателство е по-малка от 208 байта.
- Стойността на FIPS режим трябва да съответства на конфигурацията за осигуряване на включване. В противен случай телефонът не може да извлече предварително инсталирания сертификат след включването му. По-конкретно,
- Ако телефонът ще бъде регистриран в среда, в която режимът FIPS е деактивиран, не е необходимо да конфигурирате параметъра FIPS Mode в опция 43 на DHCP. По подразбиране режимът FIPS е деактивиран.
- Ако телефонът ще бъде регистриран в среда, в която е активиран режим FIPS, трябва да го активирате в опция 43 на DHCP. Вижте Активиране на режим FIPS за подробности.
- Паролата в Опция 43 е в изчистен текст.
Ако паролата за предизвикателството е празна, телефонът използва MIC/SUDI за първоначалното записване и подновяване на сертификата. Ако е конфигурирана парола за предизвикателство, тя се използва само за първоначалното записване, а инсталираният сертификат ще се използва за подновяване на сертификата.
- Разрешаване на удостоверяване с 802.1X и избор на сертификат се използват само за телефони в кабелна мрежа.
- Опцията 60 на DHCP (идентификатор на класа на доставчика) се използва за идентифициране на модела на устройството.
Следващата таблица дава пример за вариант 43 на DHCP (подварианти 10 – 15):
Десетична подопция/шестнадесетична Дължина на стойността (байт) десетично/шестнадесетично Стойност Шестнадесетична стойност 10/0а 1/01 1 (0: Деактивирано; 1: Разрешено) 01 11/0б 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/ 0c 20/14 12040870625C5B755D ⦅_ph_16⦆ F5925285F8F5FF5D55AF 12040870625C5B755D ⦅_ph_16⦆ F5925285F8F5FF5D55AF 13/0г 16/10 d233ccf9b9952a15 44323333434346394239393532413135 14/0e 1/01 1 (0: Не; 1: Да* 01 15/0f 1/01 1 (0: Инсталирано производство; 1: Инсталирани по избор) 01 Обобщение на стойностите на параметъра:
-
Режим FIPS = Активиран
-
Сървър =
http://10.79.57.91 -
Главен CA пръстов отпечатък =
12040870625C5B755D ⦅_ph_16⦆ F5925285F8F5FF5D55AF -
Парола за предизвикателство = D233CCF9B9952A15
-
Разрешаване на удостоверяване с 802.1X = Да
-
Избор на сертификат = Инсталиран по избор
Синтаксисът на крайната шестнадесетична стойност е:
{<suboption><length><value>}...Според стойностите на параметъра по-горе, крайната шестнадесетична стойност е както следва:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D ⦅_ph_16⦆ F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - Конфигурирайте DHCP опция 43 на DHCP сървър.Тази стъпка дава пример за конфигурациите на DHCP опция 43 в Cisco Network Register.
- Добавете набор от дефиниции за опции на DHCP.
Низ за опция на доставчик е името на модела на IP телефоните. Валидната стойност е: DP-9841, DP-9851, DP-9861, DP-9871 или CP-8875.
- Добавете DHCP опция 43 и подопции към набора от дефиниции на опциите на DHCP.
Пример:
- Добавете опции 43 към правилата на DHCP и задайте стойността по следния начин:
Пример:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D ⦅_ph_18⦆ F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - Проверете настройките. Можете да използвате Wireshark, за да прихванете следа от мрежовия трафик между телефона и услугата.
- Добавете набор от дефиниции за опции на DHCP.
- Нулирайте до фабричните настройки за телефона.
След като телефонът бъде нулиран, параметрите Server, Root CA пръстов отпечатък и Password за предизвикателство ще се попълват автоматично. Тези параметри се намират в раздела SCEP конфигурация 1 от на уеб страницата за администриране на телефона.
За да проверите подробностите за инсталирания сертификат, щракнете върху Преглед в раздела Съществуващи сертификати.
За да проверите състоянието на инсталиране на сертификата, изберете . Статус на изтеглянето 1 показва най-новия резултат. Ако възникне проблем по време на записването на сертификата, статусът на изтегляне може да покаже причината за проблема с целите на отстраняването на неизправности.
Ако удостоверяването на паролата за предизвикателството е неуспешно, потребителите ще бъдат подканени да въведат паролата на екрана на телефона. - (По избор): За да премахнете инсталирания сертификат от телефона, щракнете върху Изтриване в раздела Съществуващи сертификати.След като щракнете върху бутона, операцията по премахване започва незабавно без потвърждение.
Подновяване на сертификата от SCEP
Сертификатът на устройството може да бъде обновен автоматично от процеса SCEP.
- Телефонът проверява дали сертификатът ще изтече след 15 дни на всеки 4 часа. Ако е така, телефонът започва процеса на подновяване на сертификата автоматично.
- Ако паролата за предизвикателството е празна, телефонът използва MIC/SUDI както за първоначално записване, така и за подновяване на сертификата. Ако е конфигурирана паролата за предизвикателство, тя се използва само за първоначално записване, съществуващият/инсталираният сертификат се използва за подновяване на сертификата.
- Телефонът не премахва стария сертификат на устройство, докато не извлече новото.
- Ако подновяването на сертификата е неуспешно поради изтичане на сертификата на устройството или CA, телефонът включва автоматично първоначалното записване. Междувременно, ако удостоверяването на паролата за предизвикателство е неуспешно, на екрана на телефона се появява екран за въвеждане на парола и потребителите получават подкана да въведат паролата за предизвикателство на телефона.
Разрешаване на режим FIPS
Можете да направите телефона съвместим с федералните стандарти за обработка на информация (FIPS).
FIPS са набор от стандарти, които описват обработката на документи, алгоритми за шифроване и други стандарти за информационни технологии за използване в рамките на невоенното правителство и от държавни изпълнители и доставчици, които работят с агенциите. CiscoSSL FOM (FIPS обектен модул) е внимателно дефиниран софтуерен компонент и предназначен за съвместимост с библиотеката на CiscoSSL, така че продуктите, използващи библиотеката на CiscoSSL и API, могат да бъдат конвертирани да използват валидирана криптография FIPS 140-2 с минимални усилия.
| 1 |
Отворете уеб страницата за администриране на телефона. |
| 2 |
Изберете . |
| 3 |
В раздела Настройки за защита изберете Да или Не от параметъра FIPS режим. |
| 4 |
Щракнете върху Изпращане на всички промени. Когато активирате FIPS, следните функции работят безпроблемно на телефона:
|
Ръчно премахване на сертификат за защита
Можете ръчно да премахнете сертификат за защита от телефона, ако не е наличен Simple Certificate Enrollment Protocol (SCEP).
| 1 |
От уеб страницата за администриране на телефона изберете Сертификати. |
| 2 |
Намерете сертификата на страницата Сертификати. |
| 3 |
Щракнете върху Изтрий. |
| 4 |
Рестартирайте телефона, след като процесът на изтриване завърши. |
Задаване на паролата за потребител и администратор
След като телефонът се регистрира в система за контрол на повикванията за първи път или извършите нулиране до фабричните настройки на телефона, трябва да зададете потребителска и администраторска парола, за да подобрите защитата на телефона. Само когато е зададена парола, можете да подадете промените от уеб страницата на телефона.
По подразбиране на телефона е активирано предупреждение за парола. Когато телефонът няма потребителска или администраторска парола, се показват следните предупреждения:
- На уеб страницата на телефона се показва „Не е предоставена парола на администратор. Мрежата е в режим само за четене и не можете да изпращате промени. Променете паролата.“ в горния ляв ъгъл.
Полетата Парола на потребител и Парола на администратор показват предупреждението „Не е предоставена парола“, съответно ако е празна.
- Екранът на телефона Проблеми и диагностика показва проблема "Не е предоставена парола".
| 1 |
Достъп до уеб страницата за администриране на телефона |
| 2 |
Изберете . |
| 3 |
(По избор) В раздела Системна конфигурация задайте параметъра Показване на предупреждения за парола на Да, след което щракнете върху Изпращане на всички промени. Можете също да активирате параметрите в конфигурационния файл на телефона (cfg.xml).
По подразбиране Да Незадължително Да|Не Когато параметърът е зададен на Не, предупреждението за парола не се появява нито на уеб страницата, нито на екрана на телефона. Също така режимът \„Само готови\“ за уеб страницата няма да се активира дори ако паролата е празна. |
| 4 |
Намерете параметъра Парола на потребител или Парола на администратор и щракнете върху Промяна на паролата до параметъра. |
| 5 |
Въведете текущата потребителска парола в полето Стара парола. Ако нямате парола, оставете полето празно. Стойността по подразбиране е празна.
|
| 6 |
Въведете нова парола в полето Нова парола. |
| 7 |
Щракнете върху Изпращане. Съобщението Паролата е променена успешно. ще се покаже в уеб страницата. Уеб страницата ще се опресни след няколко секунди. Предупреждението до параметъра ще изчезне. След като зададете потребителската парола, този параметър показва следното в XML файла за конфигуриране на телефона (cfg.xml):
Ако получите код на грешка 403, когато се опитвате да получите достъп до уеб страницата на телефона, трябва да зададете парола за потребител или администратор, като осигурите в конфигурационния файл на телефона (cfg.xml). Например въведете низ в следния формат:
|
Удостоверяване с 802.1X
Cisco IP телефон поддържа удостоверяване с 802.1X.
Превключвателите на Cisco IP телефоните и Cisco Catalyst традиционно използват протокола за откриване на Cisco (CDP), за да се идентифицират и определят параметри, като разпределение на VLAN и изисквания за вътрешно захранване. CDP не идентифицира локално прикачените работни станции. Cisco IP телефон осигуряват механизъм за преминаване EAPOL. Този механизъм позволява на работна станция, прикачена към Cisco IP телефон, да предава EAPOL съобщения към удостоверителя 802.1X на LAN превключвателя. Механизмът за преминаване гарантира, че IP телефонът не действа като LAN превключвател за удостоверяване на крайна точка за данни преди достъп до мрежата.
Cisco IP телефон също така предоставят прокси механизъм EAPOL Logoff. Ако локално прикаченият компютър прекъсне връзката с IP телефона, LAN превключвателят не вижда неуспешна физическа връзка, тъй като връзката между LAN превключвателя и IP телефона се поддържа. За да се избегне компрометиране на целостта на мрежата, IP телефонът изпраща съобщение EAPOL-Logoff до превключвателя от името на компютъра надолу по веригата, което задейства LAN превключвателя за изчистване на записа за удостоверяване за компютъра надолу по веригата.
Поддръжката за удостоверяване с 802.1X изисква няколко компонента:
-
IP телефони Cisco Телефонът инициира искане за достъп до мрежата. Cisco IP телефон съдържа supplicant 802.1X. Този supplicant позволява на мрежовите администратори да контролират свързването на IP телефони към портовете за превключване на LAN. Текущата версия на supplicant на телефон 802.1X използва опциите EAP-FAST и EAP-TLS за удостоверяване на мрежата.
-
услуга за удостоверяване Сървърът за удостоверяване и превключвателят трябва да са конфигурирани с споделена тайна, която удостоверява телефона.
-
Превключване: Превключвателят трябва да поддържа 802.1X, така че да може да действа като удостоверител и да предава съобщенията между телефона и сървъра за удостоверяване. След като обменът завърши, превключвателят предоставя или отказва достъп на телефона до мрежата.
За да конфигурирате 802.1X, трябва да извършите следните действия.
-
Конфигурирайте другите компоненти, преди да активирате удостоверяване с 802.1X на телефона.
-
Конфигуриране на PC порт: Стандартът 802.1X не взема предвид VLAN мрежите и препоръчва само едно устройство да бъде удостоверено за конкретен порт за превключване. Някои превключватели обаче поддържат удостоверяване с много домейни. Конфигурацията на превключвателя определя дали можете да свържете компютър към компютърния порт на телефона.
-
Активирано: Ако използвате превключвател, който поддържа удостоверяване с много домейни, можете да активирате компютърен порт и да свържете компютър към него. В този случай Cisco IP телефон поддържа прокси сървър EAPOL-Logoff за наблюдение на обмена на удостоверяване между превключвателя и прикачения компютър.
За повече информация относно поддръжката на IEEE 802.1X на превключвателите на Cisco Catalyst вижте ръководствата за конфигуриране на превключватели на Cisco Catalyst на адрес:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
Деактивирано: Ако превключвателят не поддържа няколко съвместими с 802.1X устройства в един и същ порт, трябва да деактивирате PC порта, когато е активирано удостоверяване с 802.1X. Ако не деактивирате този порт и след това се опитате да прикачите компютър към него, превключвателят отказва достъп до мрежата както на телефона, така и на компютъра.
-
- Конфигуриране на гласова VLAN: Тъй като стандартът 802.1X не отчита VLAN, трябва да конфигурирате тази настройка въз основа на поддръжката на превключвателя.
- Активирано: Ако използвате превключвател, който поддържа удостоверяване с много домейни, можете да продължите да използвате гласовата VLAN.
- Деактивирано: Ако превключвателят не поддържа удостоверяване с много домейни, деактивирайте Voice VLAN и помислете за задаване на порта към основната VLAN.
- (Само за Cisco Desk Phone серия 9800)
Настолният телефон на Cisco серия 9800 има различен префикс в PID от този за другите телефони Cisco. За да разрешите на телефона ви да преминава удостоверяване с 802.1X, задайте параметъра Radius·User-Name да включва настолния телефон Cisco 9800.
Например PID на телефон 9841 е DP-9841; можете да зададете Radius·User-Name да започва с DP или Съдържа DP. Можете да го зададете в следните раздели:
-
Разрешаване на удостоверяване с 802.1X
Когато е активирано удостоверяване с 802.1X, телефонът използва удостоверяване с 802.1X, за да поиска достъп до мрежата. Когато удостоверяването с 802.1X е деактивирано, телефонът използва протокола за откриване на Cisco (CDP), за да придобие VLAN и достъп до мрежата. Можете също да видите състоянието на транзакцията и да я промените в менюто на екрана на телефона.
Когато е активирано удостоверяване с 802.1X, можете също да изберете сертификата на устройството (MIC/SUDI или по избор) за първоначалното записване и подновяване на сертификата. Обикновено MIC е за Cisco Video Phone 8875, SUDI е за Cisco Desk Phone 9800. CDC може да се използва за удостоверяване само в 802.1x.
| 1 |
Изпълнете едно от следните действия, за да разрешите удостоверяването с 802.1X:
| ||||||||||||||||||||
| 2 |
Изберете сертификат (MIC или по избор) за удостоверяване 802.1X на уеб страницата на телефона.
За информация как да изберете тип сертификат на екрана на телефона вижте Свързване на телефона към Wi-Fi мрежа.
|
Разрешаване на режим, иницииран от клиент, за преговори за сигурността на мултимедийното самолет
За защита на медийните сесии можете да конфигурирате телефона да инициира преговори за защита на медийните самолети със сървъра. Механизмът за защита следва стандартите, посочени в RFC 3329, и неговия проект за разширение Имена на механизмите за защита за мултимедия (вж. https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Транспортирането на преговорите между телефона и сървъра може да използва SIP протокол през UDP, TCP и TLS. Можете да ограничите договарянето за защита на мултимедийните самолети да се прилага само когато транспортният протокол за сигнализиране е TLS.
| 1 |
Отворете уеб страницата за администриране на телефона. | ||||||
| 2 |
Изберете . | ||||||
| 3 |
В раздела Настройки за SIP задайте полетата MediaSec заявка и MediaSec само през TLS, както са дефинирани в следната таблица:
| ||||||
| 4 |
Щракнете върху Изпращане на всички промени. |
WLAN защита
Тъй като всички WLAN устройства, които са в диапазона, могат да получават целия друг WLAN трафик, защитата на гласовите комуникации е от решаващо значение за WLAN. За да е сигурно, че нарушителите не манипулират и не прехващат гласовия трафик, архитектурата SAFE Security на Cisco поддържа телефона. За повече информация относно защитата в мрежите вижте http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Решението за безжична IP телефония на Cisco осигурява защита на безжичната мрежа, която предотвратява неупълномощени влизания и компрометирани комуникации, като използва следните методи за удостоверяване, поддържани от телефона:
-
Отваряне на удостоверяването: Всяко безжично устройство може да поиска удостоверяване в отворена система. Точката за достъп, която получава заявката, може да предостави удостоверяване на всеки заявител или само на заявителите, които са намерени в списък с потребители. Комуникацията между безжичното устройство и точката за достъп (AP) може да не е шифрована.
-
Разширяем протокол за удостоверяване – гъвкаво удостоверяване чрез удостоверяване със защитен тунелинг (EAP-FAST): Тази архитектура за защита клиент-сървър шифрова EAP транзакциите в рамките на тунела за защита на транспортно ниво (TLS) между AP и сървъра RADIUS, като Identity Services Engine (ISE).
TLS тунелът използва идентификационни данни за защитен достъп (PAC) за удостоверяване между клиента (телефона) и сървъра RADIUS. Сървърът изпраща ИД на орган (AID) на клиента (телефона), който от своя страна избира подходящата PAC. Клиентът (телефон) връща PAC-Opaque към сървъра RADIUS. Сървърът дешифрова PAC с главния ключ. И двете крайни точки вече съдържат ключа PAC и се създава TLS тунел. EAP-FAST поддържа автоматично обезпечаване на PAC, но трябва да го активирате на сървъра RADIUS.
В ISE по подразбиране срокът на PAC изтича след една седмица. Ако телефонът има изтекъл PAC, удостоверяването със сървъра RADIUS отнема повече време, докато телефонът получи нов PAC. За да избегнете закъснения при осигуряването на PAC, задайте периода на изтичане на PAC на сървъра ISE или RADIUS на 90 дни или повече.
-
Удостоверяване с разширен протокол за удостоверяване – транспортна защита на слоя (EAP-TLS): EAP-TLS изисква сертификат на клиент за удостоверяване и достъп до мрежата. За безжични EAP-TLS сертификатът на клиента може да бъде MIC, LSC или сертификат, инсталиран от потребителя.
-
Защитен разширителен протокол за удостоверяване (PEAP): Схема за взаимно удостоверяване на базата на лична парола на Cisco между клиента (телефона) и сървъра RADIUS. Телефонът може да използва PEAP за удостоверяване с безжичната мрежа. Поддържат се както PEAP-MSCHAPV2, така и PEAP-GTC методи за удостоверяване.
-
Предварително споделен ключ (PSK): Телефонът поддържа формат ASCII. Трябва да използвате този формат, когато настройвате предварително споделен ключ WPA/WPA2/SAE:
ASCII: ASCII-знаков низ с дължина от 8 до 63 знака (0 – 9, малки и главни букви A – Z и специални знаци)
Пример: GREG123567@ 9ZX&W
Следните схеми за удостоверяване използват сървъра RADIUS за управление на ключове за удостоверяване:
-
wpa/ wpa2/ wpa3: Използва информация за сървъра RADIUS за генериране на уникални ключове за удостоверяване. Тъй като тези ключове се генерират в централизирания RADIUS сървър, WPA2/WPA3 осигурява по-голяма защита от WPA предварително заредените ключове, които се съхраняват на AP и телефона.
-
Бърз защитен роуминг: Използва RADIUS сървър и информация за безжичен домейн сървър (WDS) за управление и удостоверяване на ключове. WDS създава кеша от идентификационни данни за защита за активирани от FT клиентски устройства за бързо и сигурно повторно удостоверяване. Настолен телефон Cisco 9861 и 9871 и Cisco Video Phone 8875 поддържат 802.11r (FT). Поддържат се както по въздух, така и по DS, за да се даде възможност за бърз и сигурен роуминг. Но силно препоръчваме да използвате метода 802.11r (FT) над въздуха.
С WPA/WPA2/WPA3 ключовете за шифроване не се въвеждат на телефона, но се извличат автоматично между точката за достъп и телефона. Но потребителското име и паролата за EAP, които се използват за удостоверяване, трябва да бъдат въведени на всеки телефон.
За да се гарантира, че гласовият трафик е защитен, телефонът поддържа TKIP и AES за шифроване. Когато тези механизми се използват за шифроване, както сигналните SIP пакети, така и пакетите за гласовия транспорт в реално време (RTP) се шифроват между AP и телефона.
- tkip
-
WPA използва TKIP шифроване, което има няколко подобрения спрямо WEP. TKIP осигурява шифроване на ключове за всеки пакет и по-дълги вектори на инициализация (IV), които укрепват шифроването. Освен това проверката за цялост на съобщението (MIC) гарантира, че шифрованите пакети не се променят. TKIP премахва предвидимостта на WEP, което помага на нарушителите да дешифрират ключа WEP.
- aes
-
Метод за шифроване, използван за удостоверяване WPA2/WPA3. Този национален стандарт за шифроване използва симетричен алгоритъм, който има един и същ ключ за шифроване и дешифриране. AES използва шифроване с размер 128 бита (CBC), което поддържа най-малко 128 бита, 192 бита и 256 бита. Телефонът поддържа размер на ключа 256 бита.
Cisco Desk телефон 9861 и 9871 и Cisco Video Phone 8875 не поддържат Cisco Key Integrity Protocol (CKIP) с CMIC.
В безжичната LAN мрежа са настроени схеми за удостоверяване и шифроване. VLAN мрежите се конфигурират в мрежата и на точката за достъп и указват различни комбинации от удостоверяване и шифроване. SSID се свързва с VLAN и конкретната схема за удостоверяване и шифроване. За да се удостоверят успешно безжичните клиентски устройства, трябва да конфигурирате едни и същи SSID с техните схеми за удостоверяване и шифроване на AP и на телефона.
Някои схеми за удостоверяване изискват специфични типове шифроване.
- Когато използвате предварително споделен ключ WPA, WPA2 предварително споделен ключ или SAE, предварително споделеният ключ трябва да се зададе статично на телефона. Тези бутони трябва да съвпадат с бутоните на точката за достъп.
-
Телефонът поддържа автоматично договаряне на EAP за FAST или PEAP, но не и за TLS. За режим EAP-TLS трябва да го посочите.
Схемите за удостоверяване и шифроване в следващата таблица показват опциите за конфигуриране на мрежата за телефона, който съответства на конфигурацията на AP.
| Тип на FSR | Удостоверяване | Управление на ключове | Шифроване | Защитена рамка за управление (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | psk |
wpa- psk wpa-psk-sha256 ft- psk | aes | Не |
| 802.11r (FT) | wpa3 |
сае ft-sae | aes | Да |
| 802.11r (FT) | eap- tls |
wpa- eap ft-eap | aes | Не |
| 802.11r (FT) | eap- tls (wpa3) |
wpa-eap-sha256 ft-eap | aes | Да |
| 802.11r (FT) | eap-fast |
wpa- eap ft-eap | aes | Не |
| 802.11r (FT) | eap-fast (wpa3) |
wpa-eap-sha256 ft-eap | aes | Да |
| 802.11r (FT) | eap-peap |
wpa- eap ft-eap | aes | Не |
| 802.11r (FT) | eap-peap (wpa3) |
wpa-eap-sha256 ft-eap | aes | Да |
Настройване на Wi-Fi профил
Можете да конфигурирате Wi-Fi профил от уеб страницата на телефона или от повторно синхронизиране на профил на отдалечено устройство и след това да свържете профила към наличните Wi-Fi мрежи. Можете да използвате този Wi-Fi профил, за да се свържете с Wi-Fi. В момента може да се конфигурира само един Wi-Fi профил.
Профилът съдържа параметрите, необходими за телефоните за свързване към телефонния сървър с Wi-Fi. Когато създавате и използвате Wi-Fi профил, вие или вашите потребители не е необходимо да конфигурирате безжичната мрежа за отделни телефони.
Wi-Fi профилът ви позволява да предотвратите или ограничите промени от потребителя в Wi-Fi конфигурацията на телефона.
Препоръчваме ви да използвате защитен профил с разрешени за шифроване протоколи, за да защитите ключовете и паролите, когато използвате Wi-Fi профил.
Когато настроите телефоните да използват метода на удостоверяване EAP-FAST в защитен режим, потребителите се нуждаят от индивидуални идентификационни данни за свързване с точка за достъп.
| 1 |
Отворете уеб страницата на телефона. |
| 2 |
Изберете . |
| 3 |
В раздела Wi-Fi профил (n) задайте параметрите, както е описано в следващата таблица Параметри за Wi-Fi профил. Конфигурацията на Wi-Fi профила е достъпна и за влизане на потребителя.
|
| 4 |
Щракнете върху Изпращане на всички промени. |
Параметри за Wi-Fi профил
Следващата таблица дефинира функцията и използването на всеки от параметрите в секцията Wi-Fi профил (n) в раздела Система на уеб страницата на телефона. Освен това дефинира синтаксиса на низа, който се добавя към конфигурационния файл на телефона (cfg.xml), за да конфигурирате параметър.
| Параметър | Описание |
|---|---|
| Име на мрежата | Позволява да въведете име за SSID, което ще се показва на телефона. Много профили могат да имат едно и също мрежово име с различен режим на защита. Направете едно от следните неща:
По подразбиране Празно |
| Режим на защита | Позволява да изберете метода на удостоверяване, който се използва за защитен достъп до Wi-Fi мрежата. В зависимост от избрания от вас метод се появява поле за парола, за да можете да предоставите данните за вход, които са необходими за присъединяване към тази Wi-Fi мрежа. Направете едно от следните неща:
По подразбиране Автоматично |
| Потребителски ИД за Wi-Fi | Позволява да въведете ИД на потребител за мрежовия профил. Това поле е достъпно, когато задавате режима за защита на Автоматичен, EAP-FAST или EAP-PEAP. Полето е задължително и позволява максимална дължина от 32 буквено-цифрови знака. Направете едно от следните неща:
По подразбиране Празно |
| Wi-Fi парола | Позволява да въведете паролата за посочения потребителски ИД за Wi-Fi. Направете едно от следните неща:
По подразбиране Празно |
| Честотна лента | Позволява да изберете честотната лента на безжичния сигнал, която използва WLAN. Направете едно от следните неща:
По подразбиране Автоматично |
| Избор на сертификат | Позволява да изберете тип сертификат за първоначално записване и подновяване на сертификата в безжичната мрежа. Този процес е достъпен само за удостоверяване с 802.1X. Направете едно от следните неща:
По подразбиране Инсталирано производство |
