- Начало
- /
- Статия
Тази статия за помощ е за Cisco безжичен телефон 9821, регистриран на Webex Calling.
Конфигурирайте DHCP опции
Можете да зададете реда, в който телефонът ви използва опциите DHCP. За помощ с опциите DHCP, вижте поддръжката на опции DHCP.
| 1 |
Преминете към уеб страницата за администриране на телефона.
|
| 2 |
Изберете . |
| 3 |
В секцията Конфигурационен профил задайте опцията DHCP За използване параметър. Този параметр се състои от серия от опции DHCP, ограничени със запетаи, използвани за извличане на фърмуер и профили. Направете някое от следните:
По подразбиране: |
| 4 |
Кликнете върху Submit All Changes. |
DHCP опционна поддръжка
Следната таблица изброява опциите DHCP, които се поддържат на Cisco Wireless Phone 9821.
| Стандарт на мрежата | Описание |
|---|---|
| DHCP Опция 1 | Маска на подмрежа |
| DHCP Опция 2 | Времево отместване |
| DHCP Опция 3 | Рутер |
| DHCP Опция 6 | Сървър за домейн имена |
| DHCP Опция 15 | Домейн име |
| DHCP Опция 17 | Коренов път |
| DHCP Опция 41 | IP адрес срок за наем |
| DHCP Опция 42 | NTP сървър |
| DHCP Опция 43 | Информация, специфична за доставчика Може да се използва за предоставяне на конфигурацията на SCEP. |
| DHCP Опция 56 | NTP сървър |
| DHCP Опция 60 | Идентификатор на клас доставчик |
| DHCP Опция 66 | TFTP име на сървъра |
| DHCP Опция 125 | Информация, идентифицираща доставчика, специфична за доставчика |
| DHCP Опция 150 | TFTP сървър |
| DHCP Опция 159 | Provisioning сървър IP |
| DHCP Опция 160 | Предоставяне на URL адрес |
Безжична LAN сигурност
Тъй като всички WLAN устройства, които са в обхват, могат да получават всякакъв друг WLAN трафик, защитата на гласови комуникации е от решаващо значение в WLAN. За да се гарантира, че нарушителите не манипулират или прихващат гласов трафик, архитектурата Cisco SAFE Security поддържа телефона. За повече информация относно сигурността в мрежите вижте http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Телефонното решение Cisco Wireless IP осигурява безжична мрежова сигурност, която предотвратява неоторизирани влизания и компрометирани комуникации чрез следните методи за удостоверяване, които телефонът поддържа.
-
Отворено удостоверяване: всяко безжично устройство може да поиска удостоверяване в отворена система. Точката за достъп, който получи искането, може да предостави удостоверяване на всеки заявител или само на заявители, които се намират в списък с потребители. Комуникацията между безжичното устройство и точката за достъп (AP) може да бъде некриптирана.
-
Разширен протокол за автентикация – гъвкава автентикация чрез сигурно тунелиране (EAP-FAST): Тази клиент-сървър архитектура за сигурност криптира EAP транзакции в тунел за сигурност на транспортно ниво (TLS) между AP и RADIUS сървъра, като например Identity Services Engine (ISE).
Тунелът TLS използва идентификационни данни за защитен достъп (PAC) за удостоверяване между клиента (телефона) и сървъра RADIUS. Сървърът изпраща ИД на органа (AID) на клиента (телефон), който от своя страна избира подходящия PAC. Клиентът (телефонът) връща PAC-Opaque на сървъра RADIUS. Сървърът декриптира PAC с основния ключ. И двете крайни устройства сега съдържат ключа PAC и се създава тунел TLS. EAP-FAST поддържа автоматично осигуряване на PAC, но трябва да го активирате на сървъра RADIUS.
В ISE по подразбиране PAC изтича след една седмица. Ако телефонът има изтекъл PAC, удостоверяването със сървъра RADIUS отнема повече време, докато телефонът получава нов PAC. За да избегнете закъснения при осигуряването на PAC, задайте периода на изтичане на PAC на 90 дни или повече на сървъра ISE или RADIUS.
-
Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Authentication: EAP-TLS изисква клиентски сертификат за удостоверяване и достъп до мрежата. За безжична EAP-TLS клиентският сертификат може да бъде MIC или потребителски инсталиран сертификат.
-
Protected Extensible Authentication Protocol (PEAP): собствена схема на Cisco за взаимно удостоверяване, базирано на парола, между клиента (телефон) и RADIUS сървър. Телефонът може да използва PEAP за удостоверяване с безжичната мрежа. Поддържат се както методите за удостоверяване PEAP-MSCHAPV2, така и PEAP-GTC.
За да поддържате PEAP-GTC удостоверяване за Cisco Wireless Phone 9821, конфигурирайте необходимата политика в набора политики Cisco ISE.
-
Предварително споделен ключ (PSK): Телефонът поддържа формати ASCII и шестнадесетичен (HEX). Трябва да използвате тези формати при настройване на WPA2/SAE предварително споделен ключ.
ASCII: ASCII-символен низ с дължина от 8 до 63 знака (0-9, малки a-z, главни A-Z и специални знаци). Например,
GREG123567@9ZX&W.HEX: Низ от шестнадесетни знаци с дължина 64 шестнадесетни цифри (0-9, a-f или A-F).
Следните схеми за удостоверяване използват сървъра RADIUS за управление на ключовете за удостоверяване:
-
WPA2/WPA3: използва информация за сървъра RADIUS, за да генерира уникални ключове за удостоверяване. Тъй като тези ключове се генерират на централизирания RADIUS сървър, WPA2/WPA3 осигурява по-голяма сигурност от предварително споделените ключове на WPA, които се съхраняват на AP и телефона.
-
Бърз защитен роуминг: използва RADIUS сървър и информация за безжичен домейн сървър (WDS) за управление и удостоверяване на ключове. WDS създава кеш с идентификационни данни за сигурност за клиентски устройства с FT за бърза и сигурна повторна автентикация.
При WPA2/WPA3 ключовете за криптиране не се въвеждат на телефона, а автоматично се извеждат между точката за достъп и телефона. Но потребителското име и паролата на EAP, които се използват за удостоверяване, трябва да бъдат въведени на всеки телефон.
За да се защити гласовият трафик през безжичната връзка, телефонът поддържа криптиране на база AES за удостоверяване с WPA2/WPA3. AES е симетричен блоков шифр, стандартизиран от NIST. AES използва фиксиран размер на блока от 128 бита и поддържа размери на ключове от 128 бита, 192 бита и 256 бита. В Wi-Fi мрежите AES се използва от шифровъчни пакети като CCMP или GCMP, докато удостоверяването се предоставя отделно от PSK, SAE или 802.1X/EAP, в зависимост от конфигурирания режим на сигурност WLAN. Поддържаният набор от шифри и размерът на ключа зависят от модела на телефона и конфигурацията WLAN.
Схеми за удостоверяване и шифроване са настроени в безжичния LAN. VLAN мрежите се конфигурират в мрежата и на AP и определят различни комбинации от удостоверяване и шифроване. SSID се свързва с VLAN и конкретната схема за удостоверяване и шифроване. За да могат безжичните клиентски устройства да се удостоверят успешно, трябва да конфигурирате същите SSID-та с техните схеми за удостоверяване и криптиране на AP-тата и на телефона.
Някои схеми за удостоверяване изискват специфични типове шифроване.
Когато използвате WPA2 предварително споделения ключ или SAE, предварително споделеният ключ трябва да бъде статично настроен на телефона. Тези ключове трябва да съответстват на ключовете, които са на AP.
Схемите за автентикация и криптиране в следващата таблица показват опциите за конфигурация на мрежата за Cisco Wireless Phone 9821, който съответства на конфигурация на AP.
| FSR Тип | Удостоверяване | Управление на ключ | Криптиране | Защитена управленска рамка (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Не |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Да |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Не |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Да |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Не |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Да |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Не |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Да |
| non-FT | Suite-B | WPA-EAP-SUITE-B | GCMP | Да |
| non-FT | Suite-B-192 | WPA-EAP-SUITE-B-192 | GCMP | Да |
Създайте Wi-Fi профил
Можете да конфигурирате Wi-Fi профили от уеб страницата за администрация на телефона или чрез ресинхронизация на отдалечен профил на устройство. След като са конфигурирани, можете да свържете тези профили с наличните безжични мрежи, за да установите свързаност. Cisco Безжичен телефон 9821 поддържа максимум четири конфигурирани Wi-Fi профила.
Профилът съдържа параметрите, необходими на телефоните за свързване към телефонния сървър с Wi-Fi. Когато създавате и използвате Wi-Fi профил, вие или вашите потребители не е необходимо да конфигурирате безжичната мрежа за отделни телефони.
Wi-Fi профилът позволява да предотвратите или ограничите промени от потребителя в Wi-Fi конфигурацията на телефона.
Препоръчваме да използвате защитен профил с протоколи с криптиране за защита на ключове и пароли, когато използвате Wi-Fi профил.
Когато настроите телефоните да използват метода за автентикация EAP-FAST в режим на сигурност, потребителите ви се нуждаят от индивидуални идентификационни данни, за да се свържат с точка за достъп.
| 1 |
Достъп до уеб страницата на телефона. |
| 2 |
Изберете . |
| 3 |
В секция Wi-Fi Профил (n) задайте параметрите, описани в следната таблица Параметри за Wi-Fi профил. Конфигурацията на профила Wi-Fi също е достъпна за потребителския вход.
|
| 4 |
Кликнете върху Submit All Changes. |
Параметри за профила Wi-Fi
Следващата таблица дефинира функцията и използването на всеки параметър в секцията Profile(n )Wi-Fi под System Tab на уеб страницата на телефона. Той също така дефинира синтаксиса на низа, който се добавя във файла за конфигурация на телефона (cfg.XML), за да конфигурира параметър.
| Parameter | Описание |
|---|---|
| Име на мрежата | Позволява ви да въведете име за SSID, което ще се показва на телефона. Много профили могат да имат едно и също мрежово име с различен режим на защита. Направете някое от следните:
По подразбиране: празно |
| Защитен режим | Позволява да изберете метода на удостоверяване, който се използва за защитен достъп до Wi-Fi мрежата. В зависимост от избрания от вас метод се появява поле за парола, за да предоставите необходимите данни за достъп до тази Wi-Fi мрежа. Направете някое от следните:
По подразбиране: Няма |
| Потребителски ИД за Wi-Fi | Позволява да въведете ИД на потребител за мрежовия профил. Това поле е достъпно, когато настроите режим за сигурност на Auto, EAP-FAST или EAP-PEAP. Полето е задължително и позволява максимална дължина от 32 буквено-цифрени знака. Направете някое от следните:
По подразбиране: празно |
| Wi-Fi парола | Позволява ви да въведете паролата за зададения потребителски ИД за Wi-Fi. Направете някое от следните:
По подразбиране: празно |
| Честотна лента | Позволява да изберете честотната лента на безжичния сигнал, който се използва във WLAN. Направете някое от следните:
По подразбиране: Автоматично |
| Избор на сертификат | Позволява ви да изберете тип сертификат за първоначално записване и подновяване на сертификата в безжичната мрежа. Този процес е наличен само за 802.1X автентикация. Направете някое от следните:
По подразбиране: Инсталирано производство |
| Режим на управление | Контролира дали потребителят има право да конфигурира профилите Wi-Fi. Направете някое от следните:
По подразбиране: Позволи |
| Включи | Контролира дали профилът Wi-Fi е активиран. Направете някое от следните:
По подразбиране: Да |
| Име на профила | Позволява ви да въведете име на профила, което ще се показва на телефона. Направете някое от следните:
По подразбиране: Профил 1 |
| PSK фраза за достъп | Позволява ви да въведете паролата PSK, когато Security Mode е настроен на PSK. Направете някое от следните:
По подразбиране: Позволи |
802.1X удостоверяване за жични мрежи
Cisco Безжичният телефон 9821 поддържа 802.1X автентикация за жични мрежи. Това обикновено се използва при автоматично зареждане , когато телефонът е свързан към настолното зарядно чрез поддържан USB-to-Ethernet адаптер.
Поддръжката на 802.1X автентикация в жични мрежи изисква няколко компонента, както следва:
-
Cisco IP телефон: телефонът инициира искането за достъп до мрежата. Cisco IP телефоните съдържат 802.1X заявител. Този заявител позволява на мрежовите администратори да контролират свързаността на IP телефоните към портовете за превключватели на LAN. Текущата версия на 802.1X заявителя на телефона използва опциите за EAP-FAST и EAP-TLS за удостоверяване на мрежата.
-
Сървър за автентикация: Сървърът за автентикация и суичът трябва да бъдат конфигурирани с RADIUS споделена тайна.
-
Суич: Суичът трябва да поддържа 802.1X, за да може да действа като автентикатор и да предава EAP съобщенията между телефона и сървъра за автентикация. След като обменът приключи, превключвателят предоставя или отказва достъп на телефона до мрежата.
Cisco IP телефоните и превключвателите на Cisco Catalyst традиционно използват Cisco Discovery Protocol (CDP), за да се идентифицират взаимно и да определят параметри като разпределение на VLAN и изисквания за вградена мощност.
Трябва да изпълните следните действия, за да конфигурирате 802.1X.
-
Конфигурирайте CDP/LLDP глас VLAN заобикаляне.
-
Конфигурирайте сървъра за автентикация и суича преди да активирате 802.1X автентикация за жични мрежи на телефона.
-
Конфигуриране на гласов VLAN: тъй като стандартът 802.1X не отчита VLAN, трябва да конфигурирате тази настройка въз основа на поддръжката на превключвателя.
- Активирано: Ако използвате суич, който поддържа мултидомейн автентикация, можете да го конфигурирате да използва глас VLAN.
- Деактивирано: ако превключвателят не поддържа удостоверяване на множество домейни, деактивирайте гласовия VLAN и помислете за задаване на порта към присъщия VLAN.
-
Cisco Безжичният телефон 9821 има различен префикс в PID от този за другите Cisco телефони. За да позволите на телефона си да премине 802.1X автентикация, задайте Radius· Параметър за потребителско име, който включва вашия Cisco безжичен телефон 9821.
Например, PID на Cisco Wireless Phone 9821 е WP-9821. Можеш да зададеш Radius· Потребителско име да
започне с WPилисъдържа WPв двете от следните секции: -
Активирайте 802.1X автентикация за жични мрежи на телефона си
Следвайте тези стъпки, за да активирате 802.1X автентикация за жични мрежи на телефона си. Обърнете внимание, че 802.1X автентикацията за Wi-Fi е активирана по подразбиране и не изисква ръчна конфигурация.
| 1 |
Достъп до настройките |
| 2 |
Ако ви поискате, въведете паролата, за да влезете в менюто Настройки . Можеш да вземеш паролата от администратора си. |
| 3 |
Изберете . |
| 4 |
Маркирайте удостоверяване на устройството и натиснете On. |
Активирайте 802.1X удостоверяване за жични мрежи на телефонната страница
Когато е активирана 802.1X автентикация за жични мрежи, телефонът използва 802.1X автентикация, за да поиска достъп до мрежата от Ethernet LAN порта. Когато 802.1X удостоверяването за жични мрежи е деактивирано, телефонът използва Cisco Discovery Protocol (CDP), за да получи VLAN и достъп до мрежата. Обърнете внимание, че 802.1X автентикацията за Wi-Fi е активирана по подразбиране и не изисква ръчна конфигурация.
Можете да изберете сертификат (MIC/SUDI или CDC), използван за удостоверяване 802.1X. За повече информация относно CDC вижте Сертификат за персонализирано устройство на Cisco Wireless Phone 9821.
Можете да видите статуса на транзакцията и настройките за сигурност в менюто на екрана на телефона. За повече информация вижте менюто Настройки за сигурност на телефона.
| 1 |
Активирайте 802.1X автентикация. Изберете . В секцията 802.1X Authentication задайте параметъра Enable 802.1X Authentication на Yes. Можете също да конфигурирате този параметър в конфигурационния файл (cfg.XML):
Валидни стойности: Да|Не По подразбиране: Не |
| 2 |
В секцията 802.1X Authentication изберете един от следните инсталирани сертификати, използвани за 802.1X удостоверяване, от падащото меню Certificate Select . Опции за стойност:
Можете също да конфигурирате този параметър в конфигурационния файл (cfg.XML):
Валидни стойности: Инсталирано производство|Персонализиран монтаж По подразбиране: Инсталирано производство |
| 3 |
Конфигурирайте параметъра User ID , който ще се използва като идентичност за 802.1X автентикацията в жичната мрежа. Тази конфигурация важи само когато използвате Custom Device Certificate (CDC) за жична 802.1X автентикация, като Certificate Select е инсталиран наCustom. Можеш също да конфигурираш този параметър в конфигурационния файл (cfg.XML):
Валидни стойности: максимум 127 знака По подразбиране: празно Този параметър също поддържа макро разширени променливи, вижте Macro expansion variables за подробности. Ако искате да настроите потребителя ID използвайки комбинация с опции DHCP, вижте Provisioning of User ID чрез DHCP опция 15. |
| 4 |
Кликнете върху Submit All Changes. |
Меню за настройки за сигурност на телефона
За да видите информацията за настройките за сигурност от менюто на телефона, посетете Настройки
и изберете . Наличността на информацията зависи от мрежовите настройки във вашата организация.
|
Параметри |
Опции |
По подразбиране |
Описание |
|---|---|---|---|
|
Удостов. на у-вото |
На Изключено |
Изключено |
Активира или деактивира 802.1X автентикацията на телефона. Настройката на параметрите може да се запази след регистрацията на телефона Out-Of-Box (OOB). |
|
Съст. на транзакцията | Деактивирано |
Показва състоянието на 802.1X автентикация. Щатът може да бъде (без да се ограничава до):
| |
|
плотокол | Няма |
Показва метода EAP, който се използва за 802.1X автентикация. Протоколът може да бъде EAP-FAST или EAP-TLS. | |
|
Тип потребителски сертификат |
Инсталирано производство Персонализиран монтаж |
Инсталирано производство |
Избира сертификата за 802.1X удостоверяване по време на първоначалното записване и подновяването на сертификата.
Този параметър се появява на телефона само когато е активирана автентикацията на устройството. |
Променете паролите на потребителя и администратора
При първоначална регистрация с система за контрол на обажданията или след фабрично нулиране, трябва да конфигурирате както паролите на потребителя, така и администратора при първия достъп до уеб страницата за администрация на телефона. Можете да актуализирате тези данни по всяко време, за да поддържате сигурността на устройствата.
Правилата за валидни пароли включват следното:
- Паролата трябва да съдържа между 8 и 127 знака.
- Комбинация (три от четирите вида) от главна буква, малка долна буква, число и специален знак.
- Място не е разрешено.
| 1 |
Преминете към уеб страницата за администриране на телефона. |
| 2 |
Изберете . |
| 3 |
(По желание) В секцията System Configuration задайте параметъра Display Password Warnings на Yes и след това натиснете Submit All Changes. Можете също да активирате параметрите във файла за конфигурация на телефона (cfg.XML).
По подразбиране: Да Опции: Да|Не Ако параметърът е зададен на Не, предупреждението за парола не се появява на екрана на телефона. |
| 4 |
Намерете параметъра User Password или Admin Password и натиснете Change Password до параметъра. |
| 5 |
Въведете текущата потребителска парола в полето Стара парола . |
| 6 |
Въведете нова парола в полето Нова парола . Ако новата парола не отговаря на валидните правила за парола, настройката ще бъде отказана. |
| 7 |
Щракнете върху Подаване. В уеб страницата ще се покаже съобщението След като зададете потребителската парола, този параметър показва следното във файла XML конфигурация на телефона (cfg.XML):
|
Задайте минималната TLS версия за клиент и сървър
По подразбиране минималната TLS версия за клиент и сървър е 1.2. Това означава, че клиентът и сървърът приемат да установят връзки с TLS 1.2 или по-високо. Поддържаната максимална версия TLS за клиент и сървър е 1.3. Когато е конфигурирана, минималната версия TLS ще се използва за договаряне между клиента TLS и TLS сървъра.
Можете да зададете минималната версия на TLS за клиент и сървър съответно, като 1.1, 1.2 или 1.3.
Преди да започнете
Уверете се, че TLS сървърът поддържа минималната конфигурирана версия TLS. Можете да се консултирате с администратора на системата за контрол на обажданията.
| 1 |
Преминете към уеб страницата за администриране на телефона. |
| 2 |
Изберете . |
| 3 |
В секцията Настройки за сигурност конфигурирайте параметъра TLS Client Min Version.
Можете също да конфигурирате този параметър в конфигурационния файл (cfg.XML): <TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>
Позволени стойности: TLS 1.1, TLS1.2 и TLS 1.3. По подразбиране: TLS 1.2 |
| 4 |
В секцията Настройки за сигурност конфигурирайте параметъра TLS Server Min Version. Webex Calling не поддържа TLS 1.1.
Можете също да конфигурирате този параметър в конфигурационния файл (cfg.XML): <TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>
Позволени стойности: TLS 1.1, TLS1.2 и TLS 1.3. По подразбиране: TLS 1.2 |
| 5 |
Кликнете върху Submit All Changes. |
Активирайте режим, иницииран от клиента, за преговори за сигурност на медийната равнина
За да защитите медийните сесии, можете да конфигурирате телефона да инициира преговори за сигурност на медийния план със сървъра. Механизмът за сигурност следва стандартите, посочени в RFC 3329 и в проекта за разширение Имена на механизми за сигурност за медии (Виж https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Транспортът на преговорите между телефона и сървъра може да използва SIP протокол върху UDP, TCP, и TLS. Можете да ограничите, че преговорите за сигурност на медийната равнина се прилагат само когато протоколът за сигнализиране е TLS.
| Parameter | Описание |
|---|---|
|
Молба за MediaSec |
Уточнява дали телефонът инициира преговори за сигурност на медийния план със сървъра. Направете някое от следните:
Позволени стойности: да | Не
По подразбиране: Не |
|
MediaSec над TLS само |
Определя протокола за транспорт на сигнализацията, върху който се прилага преговорите за сигурност на медийната равнина. Преди да зададете това поле на Да, уверете се, че сигналният транспортен протокол е TLS. Направете някое от следните:
Позволени стойности: да | Не
По подразбиране: Не |
| 1 |
Преминете към уеб страницата за администриране на телефона. |
| 2 |
Изберете . |
| 3 |
В секцията Настройки SIP задайте полетата MediaSec Request и MediaSec Over TLS Only , както е дефинирано в горната таблица. |
| 4 |
Кликнете върху Submit All Changes. |