Конфигуриране на опции DHCP

Можете да зададете реда, в който телефонът ви използва опциите DHCP. За помощ относно опциите DHCP вижте поддръжка на опции DHCP.

1

Преминете към уеб страницата за администриране на телефона.

2

Изберете Глас > Обезпечаване.

3

В секцията Конфигурационен профил задайте параметрите DHCP Option To Use и DHCPv6 Option To Use , както е описано по-долу:

  • DHCP Опция за използване: DHCP опции, разделени със запетаи, използвани за извличане на фърмуер и профили.

    Можете също да конфигурирате този параметър в конфигурационния файл (cfg.XML):

    <DHCP_Option_To_Use ua="na">66,160,159,150</DHCP_Option_To_Use>

    По подразбиране: 66,160,159,150 или 66,160,159,150,60,43,125, в зависимост от модела на телефона

  • DHCPv6 Опция за използване: Опции на DHCPv6, разделени със запетаи, използвани за извличане на фърмуер и профили.

    Можете също да конфигурирате този параметър в конфигурационния файл (cfg.XML):

    <DHCPv6_Option_To_Use ua="na">17,160,159</DHCPv6_Option_To_Use>

    По подразбиране: 17,160,159

4

Кликнете върху Submit All Changes.

DHCP поддръжка на опции

Следващата таблица изброява опциите DHCP, които се поддържат на телефоните с PhoneOS.

Мрежов стандартОписание
DHCP вариант 1Маска на подмрежа
DHCP вариант 2Изместване на времето
DHCP вариант 3Маршрутизатор
DHCP вариант 6Сървър за имена на домейни
DHCP вариант 15Име на домейна
DHCP вариант 17Идентифицираща доставчика информация за конкретния доставчик
DHCP вариант 41Време за наем на IP адрес
DHCP вариант 42NTP сървър
DHCP вариант 43Специфична информация за доставчика

Може да се използва за осигуряване на SCEP конфигурация.

DHCP вариант 56NTP сървър

NTP конфигурация на сървъра с IPv6

DHCP вариант 60Идентификатор на клас на доставчика
DHCP вариант 66TFTP име на сървъра
DHCP вариант 125Идентифицираща доставчика информация за конкретния доставчик
DHCP вариант 150TFTP сървър
DHCP вариант 159IP на сървъра за осигуряване
DHCP Опция 160URL адрес за осигуряване

Задайте минималната TLS версия за клиент и сървър

По подразбиране минималната TLS версия за клиент и сървър е 1.2. Това означава, че клиентът и сървърът приемат да установят връзки с TLS 1.2 или по-нова версия. Поддържаната максимална версия на TLS за клиент и сървър е 1.3. Когато е конфигурирана, минималната версия TLS ще се използва за договаряне между TLS клиента и TLS сървъра.

Можете да зададете минималната версия на TLS съответно за клиент и сървър, като например 1.1, 1.2 или 1.3.

Преди да започнете

Уверете се, че сървърът TLS поддържа минималната конфигурирана версия TLS. Можете да се консултирате с администратора на системата за контрол на повикванията.
1

Преминете към уеб страницата за администриране на телефона.

2

Изберете Глас > Система.

3

В секцията Настройки за защита конфигурирайте параметъра TLS Минимална версия на клиента.

  • TLS 1.1: Клиентът TLS поддържа версиите на TLS от 1.1 до 1.3.

    Ако версията TLS в сървъра е по-ниска от 1.1, тогава връзката не може да бъде установена.

  • TLS 1.2 (по подразбиране): Клиентът TLS поддържа TLS 1.2 и 1.3.

    Ако версията TLS в сървъра е по-ниска от 1.2, например 1.1, тогава връзката не може да бъде установена.

  • TLS 1.3: Клиентът TLS поддържа само TLS 1.3.

    Ако версията TLS в сървъра е по-ниска от 1.3, например 1.2 или 1.1, тогава връзката не може да бъде установена.

    Ако искате да зададете параметъра "TLS Client Min Version" на "TLS 1.3", уверете се, че страната на сървъра поддържа TLS 1.3. Ако сървърната страна не поддържа TLS 1.3, това може да причини критични проблеми. Например операциите по осигуряване не могат да се извършват на телефоните.

Можете също да конфигурирате този параметър в конфигурационния файл (cfg.XML):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Позволени стойности: TLS 1.1, TLS1.2 и TLS 1.3.

По подразбиране: TLS 1.2

4

В секцията Настройки за сигурност конфигурирайте параметър TLS Минимална версия на сървъра.

Webex Calling не поддържа TLS 1.1.

  • TLS 1.1: Сървърът TLS поддържа версиите на TLS от 1.1 до 1.3.

    Ако версията TLS в client е по-ниска от 1.1, тогава връзката не може да бъде установена.

  • TLS 1.2 (по подразбиране): Сървърът TLS поддържа TLS 1.2 и 1.3.

    Ако версията TLS в client е по-ниска от 1.2, например 1.1, тогава връзката не може да бъде установена.

  • TLS 1.3: Сървърът TLS поддържа само TLS 1.3.

    Ако версията TLS в client е по-ниска от 1.3, например 1.2 или 1.1, тогава връзката не може да бъде установена.

Можете също да конфигурирате този параметър в конфигурационния файл (cfg.XML):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Позволени стойности: TLS 1.1, TLS1.2 и TLS 1.3.

По подразбиране: TLS 1.2

5

Кликнете върху Submit All Changes.

Активиране на FIPS режим

Можете да направите телефона съвместим с федералните стандарти за обработка на информация (FIPS).

FIPS са набор от стандарти, които описват обработка на документи, алгоритми за криптиране и други стандарти за информационни технологии за използване в невоенното правителство и от правителствени изпълнители и доставчици, които работят с агенциите. CiscoSSL FOM (FIPS Object Module) е внимателно дефиниран софтуерен компонент и е проектиран за съвместимост с библиотеката CiscoSSL, така че продуктите, използващи библиотеката CiscoSSL и API, могат да бъдат конвертирани за използване на FIPS 140-2 валидирана криптография с минимални усилия.

1

Преминете към уеб страницата за администриране на телефона.

2

Изберете Глас > Система.

3

В секцията Настройки за защита изберете Да или Не от параметъра FIPS Mode .

4

Кликнете върху Submit All Changes.

Когато активирате FIPS, следните функции работят безпроблемно на телефона:
  • Удостоверяване на изображение
  • Сигурно съхранение
  • Шифроване на конфигурационен файл
  • TLS:
    • HTTP файлове
    • Качване на PRT
    • Надграждане на фърмуера
    • Повторно синхронизиране на профила
    • Обслужване на борда
    • Webex въвеждане
    • SIP през TLS
    • 802.1x (кабелен)
  • SIP дайджест (RFC 8760)
  • SRTP
  • Webex дневници на обажданията и Webex директория
  • Един бутон за натискане (OBTP)

Задаване на потребителски и администраторски пароли

След като телефонът е регистриран в система за управление на повикванията за първи път или извършите фабрично нулиране на телефона, трябва да зададете потребителските и администраторските пароли, за да подобрите защитата на телефона. След като паролите са зададени, можете да получите достъп до уеб интерфейса на телефона.

По подразбиране потребителските и администраторските пароли са празни. Следователно можете да намерите проблема "Не е предоставена парола" на екрана на телефона Настройки > Проблеми и диагностика > Проблеми .

1

Достъп до уеб страницата за администриране на телефона

2

Изберете Глас > Система.

3

(По избор) В секцията Системна конфигурация задайте параметъра Показване на предупреждения за парола на Да и след това щракнете върху Изпращане на всички промени.

Можете също да активирате параметрите във файла за конфигурация на телефона (cfg.XML).

<Display_Password_Warnings ua="na">Да</Display_Password_Warnings>

По подразбиране: Да

Опции: Да | Не

Ако параметърът е зададен на Не, предупреждението за парола не се показва на екрана на телефона.

4

Намерете параметъра Потребителска парола или Администраторска парола и щракнете върху Промяна на паролата до параметъра.

5

Въведете текущата потребителска парола в полето Стара парола .

Ако нямате парола, оставете полето празно. Стойността по подразбиране е празно поле.
6

Въведете нова парола в полето Нова парола .

Валидни правила за пароли:

  • Паролата трябва да съдържа поне от 8 до 127 знака.
  • Комбинация (3/4) от главна буква, малка буква, цифра и специален символ.
  • Пространството не е разрешено.

Ако новата парола не отговаря на изискванията, настройката ще бъде отказана.

7

Щракнете върху Подаване.

В уеб страницата ще се покаже съобщението Password has been changed successfully.. Уеб страницата ще се обнови след няколко секунди.

След като зададете потребителската парола, този параметър показва следното във файла за конфигурация на телефона XML (cfg.XML):

<!-- <Парола_на_администратора ua="na">************</Парола_на_администратора><Парола_на_потребителя ua="rw">****************</Парола_на_потребителя> -->

Удостов. с 802.1X

Cisco IP телефоните поддържат удостоверяване съгласно 802.1X.

Cisco IP телефоните и превключвателите на Cisco Catalyst традиционно използват Cisco Discovery Protocol (CDP), за да се идентифицират взаимно и да определят параметри като разпределение на VLAN и изисквания за вградена мощност. CDP не идентифицира локално прикрепени работни станции. Cisco IP телефоните осигуряват механизъм за преминаване през EAPOL. Този механизъм позволява на работна станция, прикрепена към Cisco IP телефон, да предава съобщения на EAPOL към 802.1X удостоверителя при LAN превключвателя. Механизмът за преминаване гарантира, че IP телефонът не действа като LAN превключвател, за да удостовери крайно устройство за данните преди достъп до мрежата.

Cisco IP телефоните също така предоставят прокси механизъм EAPOL Logoff. Ако локално свързаният компютър се изключи от IP телефона, LAN превключвателят не вижда, че физическата връзка се е провалила, защото връзката между LAN превключвателя и IP телефона се поддържа. За да се избегне компрометиране на целостта на мрежата, IP телефонът изпраща съобщение EAPOL-Logoff до превключвателя от името на компютъра надолу по веригата, което кара LAN превключвателя да изчисти записа за удостоверяване за компютъра надолу по веригата.

Поддръжката за удостоверяване съгласно 802.1X изисква няколко компонента:

  • Cisco IP телефон: телефонът инициира искането за достъп до мрежата. Cisco IP телефоните съдържат 802.1X заявител. Този заявител позволява на мрежовите администратори да контролират свързаността на IP телефоните към портовете за превключватели на LAN. Текущата версия на 802.1X заявителя на телефона използва опциите за EAP-FAST и EAP-TLS за удостоверяване на мрежата.

  • Сървър за удостоверяване: Сървърът за удостоверяване и комутаторът трябва да бъдат конфигурирани със споделена тайна, която удостоверява телефона.

  • Превключвател: превключвателят трябва да поддържа 802.1X, така че да може да действа като удостоверител и да предава съобщенията между телефона и сървъра за удостоверяване. След като обменът приключи, превключвателят предоставя или отказва достъп на телефона до мрежата.

Трябва да изпълните следните действия, за да конфигурирате 802.1X.

  • Конфигурирайте другите компоненти, преди да активирате удостоверяване съгласно 802.1X на телефона.

  • Конфигуриране на компютърен порт: стандартът 802.1X не взема предвид VLAN и затова препоръчва само едно устройство да бъде удостоверено към конкретен порт за превключвател. Някои превключватели обаче поддържат удостоверяване на много домейни. Конфигурацията на превключвателя определя дали можете да свържете компютър към компютърния порт на телефона.

    • Активирано: ако използвате превключвател, който поддържа удостоверяване за много домейни, можете да активирате компютърния порт и да свържете компютър към него. В този случай Cisco IP телефоните поддържат прокси EAPOL-Logoff, за да следят обмена на удостоверяване между превключвателя и свързания компютър.

      За повече информация относно поддръжката на IEEE 802.1X на превключвателите на Cisco Catalyst вижте наръчниците за конфигурация на превключвателя на Cisco Catalyst на адрес:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Деактивирано: ако превключвателят не поддържа няколко устройства, съвместими с 802.1X, на един и същ порт, трябва да деактивирате компютърния порт, когато е активирано удостоверяване съгласно 802.1X. Ако не деактивирате този порт и след това се опитате да прикачите компютър към него, превключвателят отказва мрежов достъп както до телефона, така и до компютъра.

  • Конфигуриране на гласов VLAN: тъй като стандартът 802.1X не отчита VLAN, трябва да конфигурирате тази настройка въз основа на поддръжката на превключвателя.
    • Активирано: ако използвате превключвател, който поддържа удостоверяване на няколко домейна, можете да продължите да използвате гласовия VLAN.
    • Деактивирано: ако превключвателят не поддържа удостоверяване на множество домейни, деактивирайте гласовия VLAN и помислете за задаване на порта към присъщия VLAN.
  • (Само за Cisco настолен телефон серия 9800)

    Cisco Настолният телефон от серия 9800 има различен префикс в PID от този на другите телефони Cisco. За да разрешите на телефона си да преминава 802.1X удостоверяване, задайте параметъра Radius·User-Name да включва вашия Cisco Настолен телефон серия 9800.

    Например, PID на телефон 9841 е DP-9841; можете да зададете Radius·User-Name на Започва с DP или Съдържа DP. Можете да го зададете и в двата от следните раздела:

    • Правила > Условия > Условия на библиотеката

    • Правило > Набори от правила > Правило за оторизация > Правило за оторизация 1

Активиране на 802.1X удостоверяване на уеб страницата на телефона

Когато е активирано 802.1X удостоверяване, телефонът използва 802.1X удостоверяване, за да поиска достъп до мрежата. Когато 802.1X удостоверяването е деактивирано, телефонът използва Cisco Discovery Protocol (CDP), за да получи VLAN и достъп до мрежата.

Можете да изберете сертификат (MIC/SUDI или CDC), използван за 802.1X удостоверяване. За повече информация относно CDC вижте Сертификат за персонализирано устройство на 9800/8875.

Можете да видите състоянието на транзакцията и настройките за сигурност в менюто на екрана на телефона. За повече информация вижте Меню с настройки за сигурност на телефона.

1

Активирайте 802.1X удостоверяване.

Изберете Глас Система и задайте параметъра Активиране на 802.1X удостоверяване на Да.

Можете също да конфигурирате този параметър в конфигурационния файл (cfg.XML):

<Enable_802.1X_Authentication ua="rw">Да<//Enable_802.1X_Authentication>

Валидни стойности: Да|Не

По подразбиране: Не

2

Изберете един от следните инсталирани сертификати, използвани за 802.1X удостоверяване.

Опции за стойност:

  • Инсталирано производство: MIC/SUDI.
  • Персонализирано инсталиране: Сертификат за персонализирано устройство (CDC).

Конфигурацията варира в зависимост от мрежата:

  • За кабелната мрежа изберете Глас > Система, изберете тип сертификат от падащия списък Избор на сертификат в секцията 802.1X удостоверяване.

    Можете също да конфигурирате този параметър в конфигурационния файл (cfg.XML):

    <Certificate_Select ua="rw">Инсталиран по поръчка</Certificate_Select>

    Валидни стойности: Инсталирано от производителя|Инсталирано по поръчка

    По подразбиране: Инсталирано производство

  • За безжичната мрежа изберете Глас > Система, изберете тип сертификат от падащия списък Сертификат Изберете в секцията Wi-Fi Профил 1.

    Можете също да конфигурирате този параметър в конфигурационния файл (cfg.XML):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Инсталиран по поръчка<//Wi-Fi_Certificate_Select_1_>

    Валидни стойности: Инсталирано от производителя|Инсталирано по поръчка

    По подразбиране: Инсталирано производство

3

Конфигурирайте параметъра Потребителски идентификатор , който ще се използва като идентификатор за 802.1X удостоверяване в кабелната мрежа.

Конфигурацията на параметъра влиза в сила само когато CDC се използва за кабелно 802.1X удостоверяване (Избор на сертификат е зададено на Инсталиран по поръчка).

По подразбиране този параметър е празен. Идентичността за кабелен 802.1X варира в зависимост от избрания сертификат:

  • Ако е избрано MIC/SUDI, кабелната 802.1X идентичност е представена по-долу:

    <Име на продукта> + СЕП<MAC адрес>.

    Примери: DP-98xx-SEP<MAC адрес>, CP-8875-SEP<MAC адрес>.

  • Ако е избрано CDC, общото име в CDC се използва като идентификатор за кабелен 802.1X.

Ако Потребителски идентификатор е празно и „Common Name“ в CDC е конфигурирано, тогава кабелната 802.1X мрежа ще използва „Common Name“ на CDC като идентификатор.

Можете също да конфигурирате този параметър в конфигурационния файл (cfg.XML):

<Wired_User_ID ua="na"></Wired_User_ID>

Валидни стойности: Максимум 127 знака

По подразбиране: празно

Този параметър също поддържа променливи за макро разширение, вижте Променливи за макро разширение за подробности.

Ако искате да използвате опциите DHCP за предоставяне на потребителски идентификатор, вижте „Предоставяне на общо име или потребителски идентификатор чрез опция 15 на DHCP“ .

4

Кликнете върху Submit All Changes.

Меню с настройки за сигурност на телефона

Можете да видите информацията за настройките за сигурност в менюто на телефона. Навигационният път е: Настройки > Мрежа и услуги > Настройки за сигурност. Наличността на информацията зависи от мрежовите настройки във вашата организация.

Параметри

Опции

По подразбиране

Описание

Удостов. на у-вото

На

Изключено

Изключено

Активира или деактивира 802.1X удостоверяване на телефона.

Настройката на параметъра може да се запази след регистрацията на телефона „Out-Of-Box“ (OOB).

Съст. на транзакцията

Деактивирано

Показва състоянието на 802.1X удостоверяване. Държавата може да бъде (не само):

  • Удостоверяване: Показва, че процесът на удостоверяване е в ход.
  • Удостоверен: Показва, че телефонът е удостоверен.
  • Деактивирано: Показва, че 802.1x удостоверяването е деактивирано на телефона.

плотокол

Няма

Показва метода EAP, който се използва за 802.1X удостоверяване. Протоколът може да бъде EAP-FAST или EAP-TLS.

Тип потребителски сертификат

Инсталирано производство

Инсталирано по поръчка

Инсталирано производство

Избира сертификата за 802.1X удостоверяване по време на първоначалното записване и подновяване на сертификата.

  • Инсталирано от производителя – Използва се сертификатът за инсталиране от производителя (MIC) и защитен уникален идентификатор на устройството (SUDI).
  • Персонализирано инсталиране – Използва се сертификат за персонализирано устройство (CDC). Този тип сертификат може да се инсталира или чрез ръчно качване на уеб страницата на телефона, или чрез инсталиране от сървър, работещ с протокол за записване на сертификати (SCEP).

Този параметър се появява на телефона само когато е активирано удостоверяване на устройството .

Обратна съвместимост с WPA

На

Изключено

Изключено

Определя дали най-старата версия на Wi-Fi Protected Access (WPA) е съвместима с телефона за свързване към безжична мрежа или точка за достъп (AP).

  • Ако е активирано, телефонът може да търси и да се свързва с безжични мрежи с всички поддържани версии на WPA, включително WPA, WPA2 и WPA3. Освен това, телефонът може да търси и да се свързва с точки за достъп, които поддържат само най-старата версия на WPA.
  • Ако е деактивирано (по подразбиране), телефонът може да търси и да се свързва само с безжични мрежи и точки за достъп, които поддържат WPA2 и WPA3.

Тази функция е налична само на телефони 9861/9871/8875.

Настройване на прокси сървър

Можете да конфигурирате телефона да използва прокси сървър, за да подобрите сигурността. Обикновено HTTP прокси сървърът може да предоставя следните услуги:

  • Маршрутизиране на трафик между вътрешни и външни мрежи
  • Филтриране, наблюдение или регистриране на трафик
  • Кеширане на отговори за подобряване на производителността

Също така, HTTP прокси сървърът може да действа като защитна стена между телефона и интернет. След успешна конфигурация, телефонът се свързва с интернет чрез прокси сървър, което го предпазва от кибератака.

Когато е конфигурирана, функцията HTTP прокси се прилага за всички приложения, които използват HTTP протокола. Например:

  • GDS (Активационен код за регистрация)
  • Активиране на EDOS устройство
  • Включване в Webex Cloud (чрез EDOS или GDS)
  • Персонализиран CA
  • Осигуряване
  • Актуализиранте на фърмуер
  • Отчет за състоянието на телефона
  • Качване на PRT
  • XSI услуги
  • Webex Услуги

  • В момента функцията поддържа само IPv4.
  • Настройките на HTTP прокси сървъра могат да се запазят след регистрацията на телефона „Out-Of-Box“ (OOB).

1

Преминете към уеб страницата за администриране на телефона.

2

Изберете Глас > Система.

3

В раздела Настройки на HTTP прокси изберете прокси режим от падащия списък Прокси режим и конфигурирайте съответните параметри.

За повече информация относно параметрите и задължителните параметри за всеки прокси режим вижте Параметри за настройки на HTTP прокси сървър .

4

Кликнете върху Submit All Changes.

Параметри за настройки на HTTP прокси сървъра

Следната таблица определя функцията и използването на параметрите на HTTP прокси в секцията Настройки на HTTP прокси под Гласова > Система Tab в уеб интерфейса на телефона. Освен това дефинира синтаксиса на низа, който се добавя в конфигурационния файл на телефона (cfg.xml) с XML код за конфигуриране на параметър.

ParameterОписание
Прокси режимУказва HTTP прокси режима, който телефонът използва, или деактивира функцията HTTP прокси.
  • Автом.

    Телефонът автоматично извлича PAC (Proxy Auto-Configuration) файл, за да избере прокси сървър. В този режим можете да определите дали да използвате протокола Web Proxy Auto Discovery (WPAD) за извличане на PAC файл или ръчно да въведете валиден URL адрес на PAC файла.

    За подробности относно параметрите вижте параметрите „Web Proxy Auto Discovery“ и „PAC URL“ в тази таблица.

  • Ръчно

    Трябва ръчно да посочите сървър (име на хост или адрес IP) и порт на прокси сървър.

    За подробности относно параметрите вижте Прокси хост и Прокси порт.

  • Изключено

    Деактивирате функцията HTTP прокси на телефона.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Proxy_Mode ua="rw">Изключен</Proxy_Mode>

  • В уеб интерфейса на телефона изберете прокси режим или деактивирайте функцията.

Допустими стойности: Автоматично, Ръчно и Изключено

По подразбиране: Изкл.

Автоматично откриване на уеб проксиОпределя дали телефонът използва протокола Web Proxy Auto Discovery (WPAD) за извличане на PAC файл.

WPAD протоколът използва DHCP или DNS, или и двата мрежови протокола, за да локализира автоматично PAC (Proxy Auto Configuration) файл. PAC файлът се използва за избор на прокси сървър за даден URL адрес. Този файл може да се хоства локално или в мрежа.

  • Конфигурацията на параметъра влиза в сила, когато Прокси режим е настроено на Автоматично.
  • Ако зададете параметъра на Не, трябва да посочите PAC URL адрес.

    За подробности относно параметъра вижте параметъра „PAC URL“ в тази таблица.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Web_Proxy_Auto_Discovery ua="rw">Да</Web_Proxy_Auto_Discovery>

  • В уеб интерфейса на телефона изберете Да или Не според нуждите.

Допустими стойности: Да и Не

По подразбиране: Да

PAC URLURL адрес на PAC файл.

Например, http://proxy.department.branch.example.com

Поддържат се TFTP, HTTP и HTTPS.

Ако зададете Прокси режим до Автоматично и Автоматично откриване на уеб прокси до Не, трябва да конфигурирате този параметър.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL>

  • В уеб интерфейса на телефона въведете валиден URL адрес, който води до PAC файл.

По подразбиране: празно

Прокси хостIP адрес или име на хост на прокси сървъра, до който телефонът да има достъп. Например:

proxy.example.com

Схемата ( http:// или https://) не е задължително.

Ако зададете Прокси режим до Ръчно, трябва да конфигурирате този параметър.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Proxy_Host ua="rw">proxy.example.com</Proxy_Host>

  • В уеб интерфейса на телефона въведете адреса или името на хоста на прокси сървъра с код IP.

По подразбиране: празно

Порт на прокси сървъраНомер на порт на прокси хост сървъра.

Ако зададете Прокси режим до Ръчно, трябва да конфигурирате този параметър.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Proxy_Port ua="rw">3128</Proxy_Port>

  • В уеб интерфейса на телефона въведете порт на сървъра.

По подразбиране: 3128

Удостоверяване на прокси сървърОпределя дали потребителят трябва да предостави идентификационните данни за удостоверяване (потребителско име и парола), изисквани от прокси сървъра. Този параметър се конфигурира според действителното поведение на прокси сървъра.

Ако зададете параметъра на Да, трябва да конфигурирате Потребителско име и Парола.

За подробности относно параметрите вижте параметъра „Потребителско име“ и „Парола“ в тази таблица.

Конфигурацията на параметрите влиза в сила, когато прокси режимът е зададен на Ръчен .

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Proxy_Authentication ua="rw">No</Proxy_Authentication>

  • В уеб интерфейса на телефона задайте това поле Да или Не , ако е необходимо.

Позволени стойности: Да и Не

По подразбиране: Не

Потребителско имеПотребителско име за потребител на идентификационни данни на прокси сървъра.

Ако Прокси режимът е зададен на Ръчно и Удостоверяване на прокси сървър е зададено на Да, трябва да конфигурирате параметъра.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Proxy_Username ua="rw">Пример</Proxy_Username>

  • В уеб интерфейса на телефона въведете потребителското име.

По подразбиране: празно

ПаролаПарола за посоченото потребителско име за целите на удостоверяването на прокси сървъра.

Ако Прокси режимът е зададен на Ръчно и Удостоверяване на прокси сървър е зададено на Да, трябва да конфигурирате параметъра.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Proxy_Password ua="rw">Пример</Proxy_Password>

  • В уеб интерфейса на телефона въведете валидна парола за удостоверяване на прокси сървъра на потребителя.

По подразбиране: празно

Таблица 1. Задължителни параметри за всеки прокси режим
Прокси режимНеобходими параметриОписание
ИзключеноNAHTTP прокси сървърът е деактивиран на телефона.
РъчноПрокси хост

Порт на прокси сървъра

Удостоверяване на прокси: Да

Потребителско име

Парола

Ръчно посочете прокси сървър (име на хост или IP адрес) и прокси порт. Ако прокси сървърът изисква удостоверяване, трябва допълнително да въведете потребителското име и паролата.
Прокси хост

Порт на прокси сървъра

Удостоверяване на прокси: Не

Ръчно посочете прокси сървър. Прокси сървърът не изисква идентификационни данни за удостоверяване.
Автом.Автоматично откриване на уеб прокси: Не

PAC URL

Въведете валиден URL адрес на PAC, за да извлечете PAC файла.
Автоматично откриване на уеб прокси: Да

Използва протокола WPAD за автоматично извличане на PAC файл.

Активиране на иницииран от клиента режим за преговори за сигурност на медийния самолет

За да защитите мултимедийните сесии, можете да конфигурирате телефона да инициира преговори за сигурност на мултимедийната равнина със сървъра. Механизмът за сигурност следва стандартите, посочени в RFC 3329 и неговото разширение проект за имена на механизми за сигурност за медии (Виж https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Преносът на преговори между телефона и сървъра може да използва протокол SIP през UDP, TCP, и TLS. Можете да ограничите, че договарянето на сигурността на медийната равнина се прилага само когато протоколът за транспортиране на сигнализацията е TLS.

Таблица 2. Параметри за договаряне на сигурността на медийната равнина
ParameterОписание

Заявка за MediaSec

Указва дали телефонът инициира преговори за сигурност на мултимедийната равнина със сървъра.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <MediaSec_Request_1_ ua="na">Да</MediaSec_Request_1_>
  • В уеб интерфейса на телефона задайте това поле на Да или Не , ако е необходимо.

Позволени стойности: да | Не

  • Да – Режим, иницииран от клиента. Телефонът инициира преговори за сигурност на медийния самолет.
  • Не – Режим, иницииран от сървъра. Сървърът инициира преговори за сигурност на медийната равнина. Телефонът не инициира преговори, но може да обработва заявки за преговори от сървъра, за да установи сигурни разговори.

По подразбиране: Не

MediaSec само над TLS

Указва протокола за пренос на сигнализацията, върху който се прилага договаряне за сигурност на медийната равнина.

Преди да зададете това поле на Да, уверете се, че протоколът за транспортиране на сигнализацията е TLS.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>

  • В уеб интерфейса на телефона задайте това поле на Да или Не , ако е необходимо.

Позволени стойности: да | Не

  • Да – Телефонът инициира или обработва преговори за сигурност на медийния самолет само когато протоколът за пренос на сигнализацията е TLS.
  • Не, телефонът инициира и обработва преговори за сигурност на медийния самолет, независимо от протокола за пренос на сигнализация.

По подразбиране: Не

1

Преминете към уеб страницата за администриране на телефона.

2

Изберете Глас > Втр.(n).

3

В секцията SIP Настройки задайте полетата MediaSec Request и MediaSec Over TLS Only , както е определено в горната таблица.

4

Кликнете върху Submit All Changes.

WLAN защита

Тъй като всички WLAN устройства, които са в обхват, могат да получават всякакъв друг WLAN трафик, защитата на гласови комуникации е от решаващо значение в WLAN. За да се гарантира, че натрапниците не манипулират или прихващат гласовия трафик, архитектурата Cisco SAFE Security поддържа телефона. За повече информация относно защитата в мрежите вижте http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Решението за безжична IP телефония Cisco осигурява защита на безжичната мрежа, която предотвратява неупълномощени влизания и компрометирани комуникации, като използва следните методи за удостоверяване, които телефонът поддържа:

  • Отворено удостоверяване: всяко безжично устройство може да поиска удостоверяване в отворена система. Точката за достъп, който получи искането, може да предостави удостоверяване на всеки заявител или само на заявители, които се намират в списък с потребители. Комуникацията между безжичното устройство и точката за достъп (AP) може да не е криптирана.

  • Разширяем протокол за удостоверяване – гъвкаво удостоверяване чрез защитено тунелиране (EAP-FAST) Удостоверяване: Тази архитектура за сигурност клиент-сървър криптира EAP транзакции в тунел за сигурност на транспортно ниво (TLS) между AP и RADIUS сървъра, като например Identity Services Engine (ISE).

    Тунелът TLS използва идентификационни данни за защитен достъп (PAC) за удостоверяване между клиента (телефона) и сървъра RADIUS. Сървърът изпраща ИД на органа (AID) на клиента (телефон), който от своя страна избира подходящия PAC. Клиентът (телефонът) връща PAC-Opaque на сървъра RADIUS. Сървърът декриптира PAC с основния ключ. И двете крайни устройства сега съдържат ключа PAC и се създава тунел TLS. EAP-FAST поддържа автоматично осигуряване на PAC, но трябва да го активирате на сървъра RADIUS.

    В ISE по подразбиране PAC изтича след една седмица. Ако телефонът има изтекъл PAC, удостоверяването със сървъра RADIUS отнема повече време, докато телефонът получава нов PAC. За да избегнете закъснения при осигуряването на PAC, задайте периода на изтичане на PAC на 90 дни или повече на сървъра ISE или RADIUS.

  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Authentication: EAP-TLS изисква клиентски сертификат за удостоверяване и достъп до мрежата. За безжична EAP-TLS клиентският сертификат може да бъде MIC, LSC, или инсталиран от потребителя сертификат.

  • Protected Extensible Authentication Protocol (PEAP): собствена схема на Cisco за взаимно удостоверяване, базирано на парола, между клиента (телефон) и RADIUS сървър. Телефонът може да използва PEAP за удостоверяване с безжичната мрежа. Поддържат се както методите за удостоверяване PEAP-MSCHAPV2, така и PEAP-GTC.

  • Предварително споделен ключ (PSK): Телефонът поддържа формат ASCII. Трябва да използвате този формат, когато настройвате предварително споделен ключ WPA/WPA2/SAE:

    ASCII: низ с ASCII знаци с дължина от 8 до 63 знака (0 – 9, малки и главни букви A – Z и специални знаци)

    Пример: GREG123567@9ZX&W

Следните схеми за удостоверяване използват сървъра RADIUS за управление на ключовете за удостоверяване:

  • WPA/WPA2/WPA3: Използва информация за RADIUS сървъра за генериране на уникални ключове за удостоверяване. Тъй като тези ключове се генерират на централизирания RADIUS сървър, WPA2/WPA3 осигурява по-голяма сигурност от предварително споделените ключове на WPA, които се съхраняват на AP и телефона.

  • Бърз защитен роуминг: използва RADIUS сървър и информация за безжичен домейн сървър (WDS) за управление и удостоверяване на ключове. WDS създава кеш с идентификационни данни за сигурност за клиентски устройства с активиран FT за бързо и сигурно повторно удостоверяване. Cisco Настолен телефон 9861 и 9871 и Cisco Video Phone 8875 поддържат 802.11r (FT). Поддържат се както по въздуха, така и над DS, за да се позволи бърз сигурен роуминг. Но ние силно препоръчваме да използвате метода 802.11r (FT) по въздуха.

С WPA/WPA2/WPA3 ключовете за криптиране не се въвеждат на телефона, а автоматично се извличат между AP и телефона. Но потребителското име и паролата на EAP, които се използват за удостоверяване, трябва да бъдат въведени на всеки телефон.

За да се гарантира, че гласовият трафик е защитен, телефонът поддържа TKIP и AES за криптиране. Когато тези механизми се използват за криптиране, както сигналните SIP пакети, така и гласовите пакети на Real-Time Transport Protocol (RTP) се криптират между AP и телефона.

TKIP

WPA използва TKIP криптиране, което има няколко подобрения в сравнение с WEP. TKIP осигурява шифриране на ключове на пакет и по-дълги вектори за инициализация (IV), които засилват шифроването. Освен това проверката за цялост на съобщението (MIC) гарантира, че шифрованите пакети не се променят. TKIP премахва предвидимостта на WEP, която помага на нарушителите да дешифрират WEP ключа.

AES

Метод за криптиране, използван за удостоверяване на WPA2/WPA3. Този национален стандарт за шифроване използва симетричен алгоритъм, който има същия ключ за шифроване и дешифроване. AES използва шифроване на верига за блокиране на шифър (CBC) с размер 128 бита, което поддържа ключови размери от 128 бита, 192 бита и 256 бита, като минимум. Телефонът поддържа размер на клавиша от 256 бита.

Cisco Desk Phone 9861 и 9871 и Cisco Video Phone 8875 не поддържат Cisco Key Integrity Protocol (CKIP) с CMIC.

Схеми за удостоверяване и шифроване са настроени в безжичния LAN. VLAN мрежите се конфигурират в мрежата и на AP и определят различни комбинации от удостоверяване и шифроване. SSID се свързва с VLAN и конкретната схема за удостоверяване и шифроване. За да могат безжичните клиентски устройства да се удостоверяват успешно, трябва да конфигурирате същите SSID с техните схеми за удостоверяване и шифроване на точки за достъп и на телефона.

Някои схеми за удостоверяване изискват специфични типове шифроване.

  • Когато използвате WPA предварително споделен ключ, WPA2 предварително споделен ключ или SAE, предварително споделеният ключ трябва да бъде статично зададен на телефона. Тези ключове трябва да съответстват на ключовете, които са на AP.

  • Телефонът поддържа автоматично договаряне на EAP за FAST или PEAP, но не и за TLS. За режим EAP-TLS трябва да го посочите.

Схемите за удостоверяване и шифроване в таблицата по-долу показват опциите за мрежова конфигурация за телефона, който съответства на конфигурацията на AP.

Таблица 3. Схеми за удостоверяване и шифроване
Тип FSRУдостоверяванеУправление на ключШифрованеЗащитена рамка за управление (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESНе
802.11r (FT)WPA3

SAE

FT-SAE

AESДа
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESНе
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESНе
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESНе
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа

Настройване на профил Wi-Fi

Можете да конфигурирате Wi-Fi профил от уеб страницата на телефона или повторно синхронизиране на профил на отдалечено устройство и след това да асоциирате профила към достъпните Wi-Fi мрежи. Можете да използвате този Wi-Fi профил, за да се свържете с Wi-Fi. В момента може да се конфигурира само един Wi-Fi профил.

Профилът съдържа параметрите, необходими на телефоните за свързване към телефонния сървър с Wi-Fi. Когато създавате и използвате профил Wi-Fi, вие или вашите потребители не трябва да конфигурирате безжичната мрежа за отделни телефони.

Wi-Fi профилът позволява да предотвратите или ограничите промени от потребителя в Wi-Fi конфигурацията на телефона.

Препоръчваме ви да използвате защитен профил с разрешени протоколи за шифроване, за да защитите ключовете и паролите при използване на профил Wi-Fi.

Когато настроите телефоните да използват метода за удостоверяване EAP-FAST в режим на защита, вашите потребители се нуждаят от индивидуални идентификационни данни, за да се свържат с точка за достъп.

1

Влезте в уеб страницата на телефона.

2

Изберете Глас > Система.

3

В секцията Wi-Fi Profile (n) задайте параметрите, както е описано в следната таблица Параметри за профила Wi-Fi.

Конфигурацията на профила Wi-Fi е достъпна и за потребителското влизане.
4

Кликнете върху Submit All Changes.

Параметри за профила Wi-Fi

Следващата таблица дефинира функциите и употребата на всеки от параметрите в секцията Wi-Fi профил (n) в раздела Система на уеб страницата на телефона. Той също така определя синтаксиса на низа, който се добавя в конфигурационния файл на телефона (cfg.XML) за конфигуриране на параметър.

ParameterОписание
Име на мрежатаПозволява ви да въведете име за SSID, което ще се показва на телефона. Много профили могат да имат едно и също мрежово име с различен режим на защита.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Network_Name_1_ua="rw">cisco</Network_Name_1_>

  • В уеб страницата на телефона въведете име за SSID.

По подразбиране: празно

Защитен режимПозволява да изберете метода на удостоверяване, който се използва за защитен достъп до Wi-Fi мрежата. В зависимост от избрания от вас метод, се появява поле за парола, за да можете да предоставите идентификационните данни, необходими за присъединяване към тази мрежа Wi-Fi.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_><!-- налични опции: Автоматично|EAP-FAST|||PSK||Няма|EAP-PEAP|EAP-TLS -->

  • На уеб страницата на телефона изберете един от методите:
    • Автом.
    • EAP-FAST
    • PSK
    • Няма
    • EAP-PEAP
    • EAP-TLS

По подразбиране: Автоматично

Потребителски ИД за Wi-FiПозволява да въведете ИД на потребител за мрежовия профил.

Това поле е налично, когато зададете режима на защита на Автоматично, EAP-FAST или EAP-PEAP. Полето е задължително и позволява максимална дължина от 32 буквено-цифрени знака.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • В уеб страницата на телефона въведете потребителски идентификатор за мрежовия профил.

По подразбиране: празно

Wi-Fi паролаПозволява ви да въведете паролата за зададения потребителски ИД за Wi-Fi.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    < Wi-Fi_Password_1_ UA = "RW" > </wifi_pawwa _ 1_ >

  • В уеб страницата на телефона въведете парола за потребителския идентификатор, който сте добавили.

По подразбиране: празно

Честотна лентаПозволява да изберете честотната лента на безжичния сигнал, който се използва във WLAN.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Честотна_лента_1_ ua="rw">Автоматично<//Честотна_лента_1_>

  • На уеб страницата на телефона изберете една от опциите:
    • Автом.
    • 2,4 GHz
    • 5 GHz

По подразбиране: Автоматично

Избор на сертификатПозволява ви да изберете тип сертификат за първоначално записване на сертификат и подновяване на сертификат в безжичната мрежа. Този процес е наличен само за 802.1X удостоверяване.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Certificate_Select_1_ ua="rw">Производство инсталирано</Certificate_Select_1_>

  • На уеб страницата на телефона изберете една от опциите:
    • Инсталирано производство
    • Инсталирано по поръчка

По подразбиране: Инсталирано производство

Проверете състоянието на сигурността на устройството на телефона

Вашият телефон автоматично проверява състоянието на сигурност на устройството. Ако открие потенциални заплахи за сигурността на телефона, менюто „Проблеми и диагностика“ може да покаже подробности за проблемите. Въз основа на докладваните проблеми, вашият администратор може да предприеме действия за защита и подобряване на защитата на телефона ви.

Състоянието на сигурността на устройството е налично, преди телефонът да бъде регистриран в системата за управление на повикванията (Webex Calling или BroadWorks).

За да видите подробности за проблеми със сигурността на екрана на телефона, направете следното:

1

Натиснете НастройкиSettings button

2

Изберете Проблеми и диагностика > Проблеми.

В момента отчетът за сигурността на устройството съдържа следните проблеми:

  • Доверие на устройството
    • Удостоверяването на устройството не беше успешно
    • Открита е промяна в SoC (системата на чипа)
  • Уязвима конфигурация
    • SSH е активиран
    • Telnet е активиран
  • Открито е събитие за мрежова аномалия
    • Прекомерни опити за влизане в мрежата
    • Засечен е висок трафик UDP
    • Подозрителни ICMP заявки за времеви печати
  • Проблем със сертификата
    • Изтичане на срока на валидност на сертификата за персонализирано устройство

3

Свържете се с вашия администратор за поддръжка, за да разрешите проблеми със сигурността.