В тази статия
dropdown icon
Конфигурирайте DHCP опции
    DHCP опционна поддръжка
dropdown icon
Безжична LAN сигурност
    Създайте профил Wi-Fi
dropdown icon
802.1X удостоверяване за жични мрежи
    Активирайте 802.1X автентикация за жични мрежи на телефона си
    Активирайте 802.1X удостоверяване за жични мрежи на телефонната страница
    Меню за настройки за сигурност на телефона
Променете паролите на потребителя и администратора
Задайте минималната TLS версия за клиент и сървър
Активирайте режим, иницииран от клиента, за преговори за сигурност на медийната равнина
Cisco Сигурност на безжичния телефон 9821 (Мултиплатформен)
list-menuВ тази статия
list-menuОбратна връзка?

Тази статия за помощ е за Cisco безжичен телефон 9821, регистриран на Webex Calling.

Конфигурирайте DHCP опции

Можете да зададете реда, в който телефонът ви използва опциите DHCP. За помощ с опциите DHCP, вижте поддръжката на опции DHCP.

1

Преминете към уеб страницата за администриране на телефона.

http://<ip адрес>/admin/advanced

2

Изберете Глас > Обезпечаване.

3

В секцията Конфигурационен профил задайте опцията DHCP За използване параметър. Този параметр се състои от серия от опции DHCP, ограничени със запетаи, използвани за извличане на фърмуер и профили.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • На телефонната уеб страница въведете серия от опции DHCP, ограничени със запетаи.

По подразбиране: 66,160,159,150,60,43,125

4

Кликнете върху Submit All Changes.

DHCP опционна поддръжка

Следната таблица изброява опциите DHCP, които се поддържат на Cisco Wireless Phone 9821.

Стандарт на мрежатаОписание
DHCP Опция 1Маска на подмрежа
DHCP Опция 2Времево отместване
DHCP Опция 3Рутер
DHCP Опция 6Сървър за домейн имена
DHCP Опция 15Домейн име
DHCP Опция 17Коренов път
DHCP Опция 41IP адрес срок за наем
DHCP Опция 42NTP сървър
DHCP Опция 43Информация, специфична за доставчика

Може да се използва за предоставяне на конфигурацията на SCEP.

DHCP Опция 56NTP сървър
DHCP Опция 60Идентификатор на клас доставчик
DHCP Опция 66TFTP име на сървъра
DHCP Опция 125Информация, идентифицираща доставчика, специфична за доставчика
DHCP Опция 150TFTP сървър
DHCP Опция 159Provisioning сървър IP
DHCP Опция 160Предоставяне на URL адрес

Безжична LAN сигурност

Тъй като всички WLAN устройства, които са в обхват, могат да получават всякакъв друг WLAN трафик, защитата на гласови комуникации е от решаващо значение в WLAN. За да се гарантира, че нарушителите не манипулират или прихващат гласов трафик, архитектурата Cisco SAFE Security поддържа телефона. За повече информация относно сигурността в мрежите вижте http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Телефонното решение Cisco Wireless IP осигурява безжична мрежова сигурност, която предотвратява неоторизирани влизания и компрометирани комуникации чрез следните методи за удостоверяване, които телефонът поддържа.

  • Отворено удостоверяване: всяко безжично устройство може да поиска удостоверяване в отворена система. Точката за достъп, който получи искането, може да предостави удостоверяване на всеки заявител или само на заявители, които се намират в списък с потребители. Комуникацията между безжичното устройство и точката за достъп (AP) може да бъде некриптирана.

  • Разширен протокол за автентикация – гъвкава автентикация чрез сигурно тунелиране (EAP-FAST): Тази клиент-сървър архитектура за сигурност криптира EAP транзакции в тунел за сигурност на транспортно ниво (TLS) между AP и RADIUS сървъра, като например Identity Services Engine (ISE).

    Тунелът TLS използва идентификационни данни за защитен достъп (PAC) за удостоверяване между клиента (телефона) и сървъра RADIUS. Сървърът изпраща ИД на органа (AID) на клиента (телефон), който от своя страна избира подходящия PAC. Клиентът (телефонът) връща PAC-Opaque на сървъра RADIUS. Сървърът декриптира PAC с основния ключ. И двете крайни устройства сега съдържат ключа PAC и се създава тунел TLS. EAP-FAST поддържа автоматично осигуряване на PAC, но трябва да го активирате на сървъра RADIUS.

    В ISE по подразбиране PAC изтича след една седмица. Ако телефонът има изтекъл PAC, удостоверяването със сървъра RADIUS отнема повече време, докато телефонът получава нов PAC. За да избегнете закъснения при осигуряването на PAC, задайте периода на изтичане на PAC на 90 дни или повече на сървъра ISE или RADIUS.

  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Authentication: EAP-TLS изисква клиентски сертификат за удостоверяване и достъп до мрежата. За безжична EAP-TLS клиентският сертификат може да бъде MIC или потребителски инсталиран сертификат.

  • Protected Extensible Authentication Protocol (PEAP): собствена схема на Cisco за взаимно удостоверяване, базирано на парола, между клиента (телефон) и RADIUS сървър. Телефонът може да използва PEAP за удостоверяване с безжичната мрежа. Поддържат се както методите за удостоверяване PEAP-MSCHAPV2, така и PEAP-GTC.

    За да поддържате PEAP-GTC удостоверяване за Cisco Wireless Phone 9821, конфигурирайте необходимата политика в набора политики Cisco ISE.

  • Предварително споделен ключ (PSK): Телефонът поддържа формати ASCII и шестнадесетичен (HEX). Трябва да използвате тези формати при настройване на WPA2/SAE предварително споделен ключ.

    ASCII: ASCII-символен низ с дължина от 8 до 63 знака (0-9, малки a-z, главни A-Z и специални знаци). Например, GREG123567@9ZX&W.

    HEX: Низ от шестнадесетни знаци с дължина 64 шестнадесетни цифри (0-9, a-f или A-F).

Следните схеми за удостоверяване използват сървъра RADIUS за управление на ключовете за удостоверяване:

  • WPA2/WPA3: използва информация за сървъра RADIUS, за да генерира уникални ключове за удостоверяване. Тъй като тези ключове се генерират на централизирания RADIUS сървър, WPA2/WPA3 осигурява по-голяма сигурност от предварително споделените ключове на WPA, които се съхраняват на AP и телефона.

  • Бърз защитен роуминг: използва RADIUS сървър и информация за безжичен домейн сървър (WDS) за управление и удостоверяване на ключове. WDS създава кеш с идентификационни данни за сигурност за клиентски устройства с FT за бърза и сигурна повторна автентикация.

При WPA2/WPA3 ключовете за криптиране не се въвеждат на телефона, а автоматично се извеждат между точката за достъп и телефона. Но потребителското име и паролата на EAP, които се използват за удостоверяване, трябва да бъдат въведени на всеки телефон.

За да се защити гласовият трафик през безжичната връзка, телефонът поддържа криптиране на база AES за удостоверяване с WPA2/WPA3. AES е симетричен блоков шифр, стандартизиран от NIST. AES използва фиксиран размер на блока от 128 бита и поддържа размери на ключове от 128 бита, 192 бита и 256 бита. В Wi-Fi мрежите AES се използва от шифровъчни пакети като CCMP или GCMP, докато удостоверяването се предоставя отделно от PSK, SAE или 802.1X/EAP, в зависимост от конфигурирания режим на сигурност WLAN. Поддържаният набор от шифри и размерът на ключа зависят от модела на телефона и конфигурацията WLAN.

Схеми за удостоверяване и шифроване са настроени в безжичния LAN. VLAN мрежите се конфигурират в мрежата и на AP и определят различни комбинации от удостоверяване и шифроване. SSID се свързва с VLAN и конкретната схема за удостоверяване и шифроване. За да могат безжичните клиентски устройства да се удостоверят успешно, трябва да конфигурирате същите SSID-та с техните схеми за удостоверяване и криптиране на AP-тата и на телефона.

Някои схеми за удостоверяване изискват специфични типове шифроване.

Когато използвате WPA2 предварително споделения ключ или SAE, предварително споделеният ключ трябва да бъде статично настроен на телефона. Тези ключове трябва да съответстват на ключовете, които са на AP.

Схемите за автентикация и криптиране в следващата таблица показват опциите за конфигурация на мрежата за Cisco Wireless Phone 9821, който съответства на конфигурация на AP.

Таблица 1. Схеми за удостоверяване и шифроване
FSR ТипУдостоверяванеУправление на ключКриптиранеЗащитена управленска рамка (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESНе
802.11r (FT)WPA3

SAE

FT-SAE

AESДа
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESНе
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESНе
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESНе
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа
non-FTSuite-BWPA-EAP-SUITE-BGCMPДа
non-FTSuite-B-192WPA-EAP-SUITE-B-192GCMPДа

Създайте Wi-Fi профил

Можете да конфигурирате Wi-Fi профили от уеб страницата за администрация на телефона или чрез ресинхронизация на отдалечен профил на устройство. След като са конфигурирани, можете да свържете тези профили с наличните безжични мрежи, за да установите свързаност. Cisco Безжичен телефон 9821 поддържа максимум четири конфигурирани Wi-Fi профила.

Профилът съдържа параметрите, необходими на телефоните за свързване към телефонния сървър с Wi-Fi. Когато създавате и използвате Wi-Fi профил, вие или вашите потребители не е необходимо да конфигурирате безжичната мрежа за отделни телефони.

Wi-Fi профилът позволява да предотвратите или ограничите промени от потребителя в Wi-Fi конфигурацията на телефона.

Препоръчваме да използвате защитен профил с протоколи с криптиране за защита на ключове и пароли, когато използвате Wi-Fi профил.

Когато настроите телефоните да използват метода за автентикация EAP-FAST в режим на сигурност, потребителите ви се нуждаят от индивидуални идентификационни данни, за да се свържат с точка за достъп.

1

Достъп до уеб страницата на телефона.

2

Изберете Глас > Система.

3

В секция Wi-Fi Профил (n) задайте параметрите, описани в следната таблица Параметри за Wi-Fi профил.

Конфигурацията на профила Wi-Fi също е достъпна за потребителския вход.
4

Кликнете върху Submit All Changes.

Параметри за профила Wi-Fi

Следващата таблица дефинира функцията и използването на всеки параметър в секцията Profile(n )Wi-Fi под System Tab на уеб страницата на телефона. Той също така дефинира синтаксиса на низа, който се добавя във файла за конфигурация на телефона (cfg.XML), за да конфигурира параметър.

ParameterОписание
Име на мрежатаПозволява ви да въведете име за SSID, което ще се показва на телефона. Много профили могат да имат едно и също мрежово име с различен режим на защита.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Network_Name_1_ ua="RW">Cisco</Network_Name_1_>

  • На телефонната страница въведете име за SSID.

По подразбиране: празно

Защитен режимПозволява да изберете метода на удостоверяване, който се използва за защитен достъп до Wi-Fi мрежата. В зависимост от избрания от вас метод се появява поле за парола, за да предоставите необходимите данни за достъп до тази Wi-Fi мрежа.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Security_Mode_1_ ua="RW">EAP-TLS</Security_Mode_1_> <!-- налични опции: |EAP-FAST||PSK||Няма|EAP-PEAP|EAP-TLS -->

  • На телефонната страница изберете един от методите:
    • EAP-FAST
    • PSK
    • Няма
    • EAP-PEAP
    • EAP-TLS

По подразбиране: Няма

Потребителски ИД за Wi-FiПозволява да въведете ИД на потребител за мрежовия профил.

Това поле е достъпно, когато настроите режим за сигурност на Auto, EAP-FAST или EAP-PEAP. Полето е задължително и позволява максимална дължина от 32 буквено-цифрени знака.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • На уеб страницата на телефона въведете потребителско ID за мрежовия профил.

По подразбиране: празно

Wi-Fi паролаПозволява ви да въведете паролата за зададения потребителски ИД за Wi-Fi.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • На уеб страницата на телефона въведете парола за потребителя ID, която сте добавили.

По подразбиране: празно

Честотна лентаПозволява да изберете честотната лента на безжичния сигнал, който се използва във WLAN.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • В уеб страницата на телефона изберете една от опциите:
    • Автом.
    • 2,4 GHz
    • 5 GHz или 6 GHz

По подразбиране: Автоматично

Избор на сертификатПозволява ви да изберете тип сертификат за първоначално записване и подновяване на сертификата в безжичната мрежа. Този процес е наличен само за 802.1X автентикация.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Certificate_Select_1_ ua="RW">Инсталирано производство</Certificate_Select_1_>

  • На уеб страницата на телефона изберете една от опциите:
    • Инсталирано производство
    • Персонализиран монтаж

По подразбиране: Инсталирано производство

Режим на управлениеКонтролира дали потребителят има право да конфигурира профилите Wi-Fi.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Control_Mode_1_ ua="RW">Allow</Control_Mode_1_>

  • На уеб страницата на телефона изберете една от опциите:
    • Позволи
    • Забранено
    • Ограничени

По подразбиране: Позволи

ВключиКонтролира дали профилът Wi-Fi е активиран.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Enable_1_ ua="RW">Да</Enable_1_>

  • На уеб страницата на телефона изберете една от опциите:
    • Да
    • Не

По подразбиране: Да

Име на профилаПозволява ви да въведете име на профила, което ще се показва на телефона.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <Profile_Name_1_ ua="RW">Профил 1</Profile_Name_1_>

  • На телефонната страница въведете име за профила.

По подразбиране: Профил 1

PSK фраза за достъпПозволява ви да въведете паролата PSK, когато Security Mode е настроен на PSK.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <PSK_Passphrase_1_ ua="RW">*************</PSK_Passphrase_1_>

  • На телефонната страница въведете паролата PSK.

По подразбиране: Позволи

802.1X удостоверяване за жични мрежи

Cisco Безжичният телефон 9821 поддържа 802.1X автентикация за жични мрежи. Това обикновено се използва при автоматично зареждане , когато телефонът е свързан към настолното зарядно чрез поддържан USB-to-Ethernet адаптер.

Поддръжката на 802.1X автентикация в жични мрежи изисква няколко компонента, както следва:

  • Cisco IP телефон: телефонът инициира искането за достъп до мрежата. Cisco IP телефоните съдържат 802.1X заявител. Този заявител позволява на мрежовите администратори да контролират свързаността на IP телефоните към портовете за превключватели на LAN. Текущата версия на 802.1X заявителя на телефона използва опциите за EAP-FAST и EAP-TLS за удостоверяване на мрежата.

  • Сървър за автентикация: Сървърът за автентикация и суичът трябва да бъдат конфигурирани с RADIUS споделена тайна.

  • Суич: Суичът трябва да поддържа 802.1X, за да може да действа като автентикатор и да предава EAP съобщенията между телефона и сървъра за автентикация. След като обменът приключи, превключвателят предоставя или отказва достъп на телефона до мрежата.

Cisco IP телефоните и превключвателите на Cisco Catalyst традиционно използват Cisco Discovery Protocol (CDP), за да се идентифицират взаимно и да определят параметри като разпределение на VLAN и изисквания за вградена мощност.

Трябва да изпълните следните действия, за да конфигурирате 802.1X.

  • Конфигурирайте CDP/LLDP глас VLAN заобикаляне.

  • Конфигурирайте сървъра за автентикация и суича преди да активирате 802.1X автентикация за жични мрежи на телефона.

  • Конфигуриране на гласов VLAN: тъй като стандартът 802.1X не отчита VLAN, трябва да конфигурирате тази настройка въз основа на поддръжката на превключвателя.

    • Активирано: Ако използвате суич, който поддържа мултидомейн автентикация, можете да го конфигурирате да използва глас VLAN.
    • Деактивирано: ако превключвателят не поддържа удостоверяване на множество домейни, деактивирайте гласовия VLAN и помислете за задаване на порта към присъщия VLAN.
  • Cisco Безжичният телефон 9821 има различен префикс в PID от този за другите Cisco телефони. За да позволите на телефона си да премине 802.1X автентикация, задайте Radius· Параметър за потребителско име, който включва вашия Cisco безжичен телефон 9821.

    Например, PID на Cisco Wireless Phone 9821 е WP-9821. Можеш да зададеш Radius· Потребителско име да започне с WP или съдържа WP в двете от следните секции:

    • Политика > Условия > Библиотечни условия

    • Политики>Набори от политики> Политика за упълномощаване> Правило 1 за упълномощаване

Активирайте 802.1X автентикация за жични мрежи на телефона си

Следвайте тези стъпки, за да активирате 802.1X автентикация за жични мрежи на телефона си. Обърнете внимание, че 802.1X автентикацията за Wi-Fi е активирана по подразбиране и не изисква ръчна конфигурация.

1

Достъп до настройките 9821 Settings app icon приложение.

2

Ако ви поискате, въведете паролата, за да влезете в менюто Настройки . Можеш да вземеш паролата от администратора си.

3

Изберете Администраторски настройки > Настройка на сигурността> 802.1X Автентикация.

4

Маркирайте удостоверяване на устройството и натиснете On.

Активирайте 802.1X удостоверяване за жични мрежи на телефонната страница

Когато е активирана 802.1X автентикация за жични мрежи, телефонът използва 802.1X автентикация, за да поиска достъп до мрежата от Ethernet LAN порта. Когато 802.1X удостоверяването за жични мрежи е деактивирано, телефонът използва Cisco Discovery Protocol (CDP), за да получи VLAN и достъп до мрежата. Обърнете внимание, че 802.1X автентикацията за Wi-Fi е активирана по подразбиране и не изисква ръчна конфигурация.

Можете да изберете сертификат (MIC/SUDI или CDC), използван за удостоверяване 802.1X. За повече информация относно CDC вижте Сертификат за персонализирано устройство на Cisco Wireless Phone 9821.

Можете да видите статуса на транзакцията и настройките за сигурност в менюто на екрана на телефона. За повече информация вижте менюто Настройки за сигурност на телефона.

1

Активирайте 802.1X автентикация.

Изберете Глас > Система. В секцията 802.1X Authentication задайте параметъра Enable 802.1X Authentication на Yes.

Можете също да конфигурирате този параметър в конфигурационния файл (cfg.XML):

<Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>

Валидни стойности: Да|Не

По подразбиране: Не

2

В секцията 802.1X Authentication изберете един от следните инсталирани сертификати, използвани за 802.1X удостоверяване, от падащото меню Certificate Select .

Опции за стойност:

  • Инсталирано производство: MIC/SUDI.
  • Персонализирана инсталация: Сертификат за персонализирано устройство (CDC).

Можете също да конфигурирате този параметър в конфигурационния файл (cfg.XML):

<Certificate_Select ua="RW">Персонализирано инсталирано</Certificate_Select>

Валидни стойности: Инсталирано производство|Персонализиран монтаж

По подразбиране: Инсталирано производство

3

Конфигурирайте параметъра User ID , който ще се използва като идентичност за 802.1X автентикацията в жичната мрежа.

Тази конфигурация важи само когато използвате Custom Device Certificate (CDC) за жична 802.1X автентикация, като Certificate Select е инсталиран наCustom.

Можеш също да конфигурираш този параметър в конфигурационния файл (cfg.XML):

<Wired_User_ID ua="na"></Wired_User_ID>

Валидни стойности: максимум 127 знака

По подразбиране: празно

Този параметър също поддържа макро разширени променливи, вижте Macro expansion variables за подробности.

Ако искате да настроите потребителя ID използвайки комбинация с опции DHCP, вижте Provisioning of User ID чрез DHCP опция 15.

4

Кликнете върху Submit All Changes.

Меню за настройки за сигурност на телефона

За да видите информацията за настройките за сигурност от менюто на телефона, посетете Настройки 9821 Settings app icon и изберете Администраторски настройки > Настройка на сигурността> 802.1X Автентикация. Наличността на информацията зависи от мрежовите настройки във вашата организация.

Параметри

Опции

По подразбиране

Описание

Удостов. на у-вото

На

Изключено

Изключено

Активира или деактивира 802.1X автентикацията на телефона.

Настройката на параметрите може да се запази след регистрацията на телефона Out-Of-Box (OOB).

Съст. на транзакцията

Деактивирано

Показва състоянието на 802.1X автентикация. Щатът може да бъде (без да се ограничава до):

  • Удостоверяване — Означава, че процесът на автентикация е в ход.
  • Authenticated — Означава, че телефонът е автентичен.
  • Деактивиран — Означава, че 802.1x автентикацията е изключена на телефона.
  • Свързване — Означава, че телефонът изпраща EAP start съобщения към суича на всеки 30 секунди.
  • Придобито—Показва, че суичът е отхвърлил искането EAP на телефона и телефонът не получава предизвикателство EAP-TLS или EAP-FAST от суича. Телефонът отново се опитва да изпрати EAP заявки.
  • Прекъснат—Означава, че Ethernet кабелът е изключен.
  • Задържано—Показва, че комутаторът е обработил заявката EAP на телефона, но е отхвърлил удостоверяването с EAP-FAST или EAP-TLS. Телефонът отново се опитва да изпрати EAP заявки.

плотокол

Няма

Показва метода EAP, който се използва за 802.1X автентикация. Протоколът може да бъде EAP-FAST или EAP-TLS.

Тип потребителски сертификат

Инсталирано производство

Персонализиран монтаж

Инсталирано производство

Избира сертификата за 802.1X удостоверяване по време на първоначалното записване и подновяването на сертификата.

  • Инсталирано производство — Използва се Secure Unique Device Identifier (SUDI).
  • Персонализирано инсталирано — Използва се Сертификатът за персонализирано устройство (CDC). Този тип сертификат може да бъде инсталиран или чрез ръчно качване на уеб страницата на телефона, или чрез инсталиране от сървър на Simple Certificate Enrollment Protocol (SCEP).

Този параметър се появява на телефона само когато е активирана автентикацията на устройството.

Променете паролите на потребителя и администратора

При първоначална регистрация с система за контрол на обажданията или след фабрично нулиране, трябва да конфигурирате както паролите на потребителя, така и администратора при първия достъп до уеб страницата за администрация на телефона. Можете да актуализирате тези данни по всяко време, за да поддържате сигурността на устройствата.

Правилата за валидни пароли включват следното:

  • Паролата трябва да съдържа между 8 и 127 знака.
  • Комбинация (три от четирите вида) от главна буква, малка долна буква, число и специален знак.
  • Място не е разрешено.
1

Преминете към уеб страницата за администриране на телефона.

2

Изберете Глас > Система.

3

(По желание) В секцията System Configuration задайте параметъра Display Password Warnings на Yes и след това натиснете Submit All Changes.

Можете също да активирате параметрите във файла за конфигурация на телефона (cfg.XML).

<Display_Password_Warnings ua="na">Да</Display_Password_Warnings>

По подразбиране: Да

Опции: Да|Не

Ако параметърът е зададен на Не, предупреждението за парола не се появява на екрана на телефона.

4

Намерете параметъра User Password или Admin Password и натиснете Change Password до параметъра.

5

Въведете текущата потребителска парола в полето Стара парола .

6

Въведете нова парола в полето Нова парола .

Ако новата парола не отговаря на валидните правила за парола, настройката ще бъде отказана.

7

Щракнете върху Подаване.

В уеб страницата ще се покаже съобщението Password has been changed successfully.. Страницата ще се обнови след няколко секунди.

След като зададете потребителската парола, този параметър показва следното във файла XML конфигурация на телефона (cfg.XML):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="RW">*************</User_Password> -->

Задайте минималната TLS версия за клиент и сървър

По подразбиране минималната TLS версия за клиент и сървър е 1.2. Това означава, че клиентът и сървърът приемат да установят връзки с TLS 1.2 или по-високо. Поддържаната максимална версия TLS за клиент и сървър е 1.3. Когато е конфигурирана, минималната версия TLS ще се използва за договаряне между клиента TLS и TLS сървъра.

Можете да зададете минималната версия на TLS за клиент и сървър съответно, като 1.1, 1.2 или 1.3.

Преди да започнете

Уверете се, че TLS сървърът поддържа минималната конфигурирана версия TLS. Можете да се консултирате с администратора на системата за контрол на обажданията.

1

Преминете към уеб страницата за администриране на телефона.

2

Изберете Глас > Система.

3

В секцията Настройки за сигурност конфигурирайте параметъра TLS Client Min Version.

  • TLS 1.1: Клиентът TLS поддържа версиите на TLS от 1.1 до 1.3.

    Ако версията TLS в сървъра е по-ниска от 1.1, тогава връзката не може да бъде установена.

  • TLS 1.2 (по подразбиране): Клиентът TLS поддържа TLS 1.2 и 1.3.

    Ако версията TLS в сървъра е по-ниска от 1.2, например 1.1, тогава връзката не може да бъде установена.

  • TLS 1.3: Клиентът TLS поддържа само TLS 1.3.

    Ако версията TLS в сървъра е по-ниска от 1.3, например 1.2 или 1.1, тогава връзката не може да бъде установена.

    Ако искате да зададете параметъра "TLS Client Min Version" на "TLS 1.3", уверете се, че сървърната страна поддържа TLS 1.3. Ако сървърната страна не поддържа TLS 1.3, това може да причини сериозни проблеми. Например, операциите по провизииране не могат да се извършват на телефоните.

Можете също да конфигурирате този параметър в конфигурационния файл (cfg.XML):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Позволени стойности: TLS 1.1, TLS1.2 и TLS 1.3.

По подразбиране: TLS 1.2

4

В секцията Настройки за сигурност конфигурирайте параметъра TLS Server Min Version.

Webex Calling не поддържа TLS 1.1.

  • TLS 1.1: Сървърът TLS поддържа версиите на TLS от 1.1 до 1.3.

    Ако TLS версията в клиента е по-ниска от 1.1, тогава връзката не може да бъде установена.

  • TLS 1.2 (по подразбиране): Сървърът TLS поддържа TLS 1.2 и 1.3.

    Ако TLS версията в клиента е по-ниска от 1.2, например 1.1, тогава връзката не може да бъде установена.

  • TLS 1.3: Сървърът TLS поддържа само TLS 1.3.

    Ако TLS версията в клиента е по-ниска от 1.3, например 1.2 или 1.1, тогава връзката не може да бъде установена.

Можете също да конфигурирате този параметър в конфигурационния файл (cfg.XML):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Позволени стойности: TLS 1.1, TLS1.2 и TLS 1.3.

По подразбиране: TLS 1.2

5

Кликнете върху Submit All Changes.

Активирайте режим, иницииран от клиента, за преговори за сигурност на медийната равнина

За да защитите медийните сесии, можете да конфигурирате телефона да инициира преговори за сигурност на медийния план със сървъра. Механизмът за сигурност следва стандартите, посочени в RFC 3329 и в проекта за разширение Имена на механизми за сигурност за медии (Виж https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Транспортът на преговорите между телефона и сървъра може да използва SIP протокол върху UDP, TCP, и TLS. Можете да ограничите, че преговорите за сигурност на медийната равнина се прилагат само когато протоколът за сигнализиране е TLS.

Таблица 2. Параметри за преговори за сигурност в медийната равнина
ParameterОписание

Молба за MediaSec

Уточнява дали телефонът инициира преговори за сигурност на медийния план със сървъра.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <MediaSec_Request_1_ ua="na">Да</MediaSec_Request_1_>
  • В уеб интерфейса на телефона задайте това поле на Да или Не, ако е необходимо.

Позволени стойности: да | Не

  • Да — Режим, иницииран от клиента. Телефонът инициира преговори за сигурност на медийния самолет.
  • Не — режим, иницииран от сървъра. Сървърът инициира преговори за сигурност на медийния план. Телефонът не инициира преговори, но може да обработва заявки за преговори от сървъра, за да установи сигурни разговори.

По подразбиране: Не

MediaSec над TLS само

Определя протокола за транспорт на сигнализацията, върху който се прилага преговорите за сигурност на медийната равнина.

Преди да зададете това поле на Да, уверете се, че сигналният транспортен протокол е TLS.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <MediaSec_Over_TLS_Only_1_ ua="na">Не</MediaSec_Over_TLS_Only_1_>

  • В уеб интерфейса на телефона задайте това поле на Да или Не, ако е необходимо.

Позволени стойности: да | Не

  • Да — телефонът инициира или обработва преговорите за сигурност на медийния самолет само когато сигналният транспортен протокол е TLS.
  • Не — телефонът инициира и управлява преговорите за сигурност на медийния самолет, независимо от протокола за сигнален транспорт.

По подразбиране: Не

1

Преминете към уеб страницата за администриране на телефона.

2

Изберете Глас > Втр.(n).

3

В секцията Настройки SIP задайте полетата MediaSec Request и MediaSec Over TLS Only , както е дефинирано в горната таблица.

4

Кликнете върху Submit All Changes.

Беше ли полезна тази статия?
Беше ли полезна тази статия?