Konfigurace možností DHCP

Můžete nastavit pořadí, ve kterém telefon používá možnosti DHCP. Nápovědu k možnostem DHCP naleznete v Podpora možností DHCP.

1

Přejděte na webovou stránku správy telefonu.

2

Vyberte možnosti Hlas > Zřizování.

3

V Konfigurační profil sekci, nastavte DHCP Možnost použití a Možnost DHCPv6, kterou chcete použít parametry popsané níže:

  • DHCP Možnost použití Možnosti DHCP, oddělené čárkami, používané k načtení firmwaru a profilů.

    Tento parametr můžete také nakonfigurovat v konfiguračním souboru (cfg.XML):

    <DHCP_Option_To_Use ua="na">66,160,159,150</DHCP_Option_To_Use>

    Výchozí: 66,160,159,150 nebo 66,160,159,150,60,43,125, v závislosti na modelu telefonu

  • Možnost DHCPv6, kterou chcete použít : Možnosti DHCPv6, oddělené čárkami, používané k načtení firmwaru a profilů.

    Tento parametr můžete také nakonfigurovat v konfiguračním souboru (cfg.XML):

    <DHCPv6_Option_To_Use ua="na">17,160,159</DHCPv6_Option_To_Use>

    Výchozí: 17,160,159

4

Klikněte na tlačítko Submit All Changes.

Podpora možností DHCP

V následující tabulce jsou uvedeny možnosti DHCP, které jsou podporovány na telefonech s PhoneOS.

Síťový standardPopis
DHCP možnost 1Maska podsítě
DHCP možnost 2Časový posun
DHCP možnost 3Směrovač
DHCP možnost 6Server doménových jmen
DHCP možnost 15Název domény
DHCP možnost 17Informace specifické pro dodavatele identifikující dodavatele
DHCP volba 41IP doba pronájmu adresy
DHCP možnost 42server NTP
DHCP možnost 43Informace specifické pro dodavatele

Lze použít k poskytnutí konfigurace SCEP.

DHCP volba 56server NTP

Konfigurace serveru NTP s IPv6

DHCP možnost 60Identifikátor třídy dodavatele
DHCP volba 66Název serveru TFTP
DHCP volba 125Informace specifické pro dodavatele identifikující dodavatele
DHCP možnost 150Server TFTP
DHCP možnost 159Zřizovací server IP
DHCP volba 160URL pro zřizování

Nastavte minimální verzi TLS pro klienta a server.

Ve výchozím nastavení je minimální verze TLS pro klienta a server 1.2. To znamená, že klient a server souhlasí s navázáním spojení s TLS 1.2 nebo vyšším. Maximální podporovaná verze TLS pro klienta a server je 1.3. Po konfiguraci bude pro vyjednávání mezi klientem TLS a serverem TLS použita minimální verze TLS.

Minimální verzi TLS můžete nastavit pro klienta a server, například 1.1, 1.2 nebo 1.3.

Než začnete

Ujistěte se, že server TLS podporuje minimální nakonfigurovanou verzi TLS. Můžete se poradit se správcem systému řízení hovorů.
1

Přejděte na webovou stránku správy telefonu.

2

Vyberte možnosti Hlas > Systém.

3

V sekci Nastavení zabezpečení, nakonfigurujte parametr TLS Minimální verze klienta.

  • TLS 1.1 Klient TLS podporuje verze TLS od 1.1 do 1.3.

    Pokud je verze TLS na serveru nižší než 1.1, pak nelze navázat připojení.

  • TLS 1.2 (výchozí): Klient TLS podporuje TLS 1.2 a 1.3.

    Pokud je verze TLS na serveru nižší než 1.2, například 1.1, pak nelze navázat připojení.

  • TLS 1.3 Klient TLS podporuje pouze TLS 1.3.

    Pokud je verze TLS na serveru nižší než 1.3, například 1.2 nebo 1.1, pak nelze navázat připojení.

    Pokud chcete nastavit parametr „TLS Client Min Version“ na „TLS 1.3“, ujistěte se, že serverová strana podporuje verzi TLS 1.3. Pokud serverová strana nepodporuje TLS 1.3, může to způsobit kritické problémy. Například operace zřizování nelze provádět na telefonech.

Tento parametr můžete také nakonfigurovat v konfiguračním souboru (cfg.XML):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Povolené hodnoty: TLS 1.1, TLS1.2 a TLS 1.3.

Výchozí hodnota: TLS 1.2

4

V sekci Nastavení zabezpečení, nakonfigurujte parametr TLS Minimální verze serveru.

Webex Calling nepodporuje TLS 1.1.

  • TLS 1.1 Server TLS podporuje verze TLS od 1.1 do 1.3.

    Pokud je verze TLS v klientovi nižší než 1.1, pak nelze navázat připojení.

  • TLS 1.2 (výchozí): Server TLS podporuje TLS 1.2 a 1.3.

    Pokud je verze TLS v klientovi nižší než 1.2, například 1.1, pak nelze navázat připojení.

  • TLS 1.3 Server TLS podporuje pouze TLS 1.3.

    Pokud je verze TLS v klientovi nižší než 1.3, například 1.2 nebo 1.1, pak nelze navázat připojení.

Tento parametr můžete také nakonfigurovat v konfiguračním souboru (cfg.XML):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Povolené hodnoty: TLS 1.1, TLS1.2 a TLS 1.3.

Výchozí hodnota: TLS 1.2

5

Klikněte na tlačítko Submit All Changes.

Povolení režimu FIPS

Telefon můžete upravit tak, aby splňoval standardy FIPS (Federal Information Processing Standards).

FIPS je sada standardů, které popisují zpracování dokumentů, šifrovací algoritmy a další standardy informačních technologií pro použití v nevojenské vládě a vládními dodavateli a prodejci, kteří s agenturami spolupracují. CiscoSSL FOM (FIPS Object Module) je pečlivě definovaná softwarová komponenta navržená pro kompatibilitu s knihovnou CiscoSSL, takže produkty používající knihovnu CiscoSSL a API lze s minimálním úsilím převést na kryptografii ověřenou podle FIPS 140-2.

1

Přejděte na webovou stránku správy telefonu.

2

Vyberte možnosti Hlas > Systém.

3

V Nastavení zabezpečení sekci, vyberte Ano nebo Žádný z Režim FIPS parametr.

4

Klikněte na tlačítko Submit All Changes.

Když povolíte protokol FIPS, budou v telefonu bez problémů fungovat následující funkce:
  • Ověřování obrazů
  • Bezpečné úložiště
  • Šifrování konfiguračních souborů
  • TLS:
    • HTTPs
    • Nahrávání PRT
    • Aktualizace firmwaru
    • Opětovná synchronizace profilu
    • Palubní servis
    • Webex nástupní proces
    • SIP přes TLS
    • 802.1x (kabelové)
  • SIP přehled (RFC 8760)
  • SRTP
  • Záznamy volání Webex a adresář Webex
  • Jedno stisknutí tlačítka (OBTP)

Nastavení uživatelského a administrátorského hesla

Po první registraci telefonu v systému pro řízení hovorů nebo po provedení obnovení továrního nastavení telefonu je nutné nastavit uživatelské a administrátorské heslo pro zvýšení zabezpečení telefonu. Po nastavení hesla máte přístup k webovému rozhraní telefonu.

Ve výchozím nastavení jsou hesla uživatele a správce prázdná. Proto se problém „Nebylo zadáno heslo“ může objevit na Nastavení > Problémy a diagnostika > Problémy obrazovka telefonu.

1

Přístup na webovou stránku správy telefonu

2

Vyberte možnosti Hlas > Systém.

3

(Volitelné) V části Konfigurace systému nastavte parametr Zobrazit upozornění na heslo na hodnotu Ano a potom klikněte na tlačítko Odeslat všechny změny.

Můžete také povolit parametry v konfiguračním souboru telefonu (cfg.XML).

<Display_Password_Warnings ua="na">Ano</Display_Password_Warnings>

Výchozí hodnota: Ano

Možnosti: Ano|Ne

Pokud je parametr nastaven na hodnotu Ne, upozornění na heslo se na displeji telefonu nezobrazí.

4

Vyhledejte parametr Uživatelské heslo nebo Heslo správce a klikněte na Změnit heslo vedle parametru.

5

Zadejte aktuální heslo uživatele do pole Staré heslo .

Pokud heslo nemáte, nechte pole prázdné. Výchozí hodnota je prázdná.
6

Zadejte nové heslo do pole Nové heslo .

Platná pravidla pro hesla:

  • Heslo musí obsahovat alespoň 8 až 127 znaků.
  • Kombinace (3/4) velkého písmene, malého malého písmene, čísla a speciálního znaku.
  • Mezery nejsou povoleny.

Pokud nové heslo nesplňuje požadavky, nastavení bude odmítnuto.

7

Klikněte na příkaz Odeslat.

Na webové stránce se zobrazí zpráva Heslo bylo úspěšně změněno. Webová stránka se obnoví za několik sekund.

Po nastavení uživatelského hesla zobrazí tento parametr v souboru XML konfigurace telefonu (cfg.XML):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Ověřování 802.1X

Cisco IP telefony podporují ověřování 802.1X.

Cisco IP telefony a přepínače Cisco Catalyst obvykle používají protokol CDP (Cisco Discovery Protocol) ke vzájemné identifikaci a určení parametrů, jako je přidělení VLAN a požadavky na napájení v síti. CDP neidentifikuje místně připojené pracovní stanice. Cisco IP telefony umožňují průchozí mechanismus EAPOL. Tento mechanismus dovoluje pracovní stanici připojené k Cisco IP telefonu předávat zprávy EAPOL ověřovateli 802.1X v přepínači LAN. Mechanismus průchodu zajišťuje, že IP telefon nefunguje jako přepínač sítě LAN, který ověřuje datový koncový bod před přístupem do sítě.

Cisco IP telefony také umožňují proxy mechanismus odhlášení EAPOL. Pokud se místně připojený počítač odpojí od IP telefonu, přepínač LAN nezaznamená výpadek fyzického spojení, protože spojení mezi přepínačem LAN a IP telefonem zůstane zachováno. Aby nedošlo k narušení integrity sítě, odešle IP telefon jménem navazujícího počítače přepínači zprávu EAPOL-Logoff, čímž přepínač LAN vymaže ověřovací záznam pro podřízený počítač.

Podpora ověřování 802.1X vyžaduje několik komponent:

  • Cisco IP telefon: Telefon iniciuje požadavek na přístup k síti. Cisco IP telefony obsahují žádající port 802.1X. Tento žádající port umožňuje správcům sítě řídit připojení IP telefonů k portům přepínače LAN. Aktuální verze žádajícího portu telefonu 802.1X používá pro ověřování sítě možnosti EAP-FAST a EAP-TLS.

  • Ověřovací server: Ověřovací server i přepínač musí být nakonfigurovány se sdílenou tajnou klíčkou, která ověřuje telefon.

  • Přepínač: Přepínač musí podporovat protokol 802.1X, aby mohl fungovat jako ověřovatel a předávat zprávy mezi telefonem a ověřovacím serverem. Po dokončení výměny přepínač povolí nebo zamítne přístup telefonu k síti.

Pro konfiguraci protokolu 802.1X je třeba provést následující akce.

  • Před povolením ověřování 802.1X v telefonu nakonfigurujte ostatní komponenty.

  • Konfigurace portu PC: Standard 802.1X nezohledňuje sítě VLAN, a proto doporučuje, aby se na určitém portu přepínače ověřovalo pouze jedno zařízení. Některé přepínače však podporují vícedoménové ověřování. Konfigurace přepínače určuje, zda lze k portu PC telefonu připojit počítač.

    • Povoleno: Pokud používáte přepínač, který podporuje vícedoménové ověřování, můžete povolit port PC a připojit k němu počítač. V tomto případě Cisco IP telefony podporují proxy server EAPOL-Logoff, který monitoruje výměnu ověření mezi přepínačem a připojeným počítačem.

      Další informace o podpoře standardu IEEE 802.1X v přepínačích Cisco Catalyst naleznete v konfiguračních příručkách přepínačů Cisco Catalyst na adrese:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Zakázáno: Pokud přepínač nepodporuje více zařízení kompatibilních se standardem 802.1X na stejném portu, měli byste při zapnutém ověřování 802.1X zakázat port PC. Pokud tento port nezakážete a poté se k němu pokusíte připojit počítač, přepínač odepře přístup k síti telefonu i počítači.

  • Konfigurace hlasové sítě VLAN: Protože standard 802.1X nepočítá se sítí VLAN, měli byste toto nastavení nakonfigurovat na základě podpory přepínače.
    • Povoleno: Pokud používáte přepínač, který podporuje vícedoménové ověřování, můžete pokračovat v používání hlasové sítě VLAN.
    • Zakázáno: Pokud přepínač nepodporuje vícedoménové ověřování, zakažte hlasovou síť VLAN a zvažte přiřazení portu k nativní síti VLAN.
  • (Pouze pro stolní telefon Cisco řady 9800)

    Cisco Stolní telefon řady 9800 má v PID jinou předponu než u ostatních Cisco telefonů. Chcete-li, aby telefon prošel ověřováním 802.1X, nastavte Radius· User-Name parametr pro zahrnutí vašeho Cisco Stolní telefon řady 9800.

    Například PID telefonu 9841 je DP-9841; můžete nastavit Radius· User-Name pro začátek na DP nebo obsahuje DP. Můžete ji nastavit v obou následujících částech:

    • Zásady > Podmínky > Podmínky knihovny

    • Zásady > Sady zásad> Zásady autorizace> Autorizační pravidlo 1

Povolit ověřování 802.1X na webové stránce telefonu

Pokud je povoleno ověřování 802.1X, telefon používá k vyžádání přístupu k síti ověřování 802.1X. Pokud je ověřování 802.1X zakázáno, telefon používá Cisco Discovery Protocol (CDP) k získání VLAN a přístupu k síti.

Můžete vybrat certifikát (MIC/SUDI nebo CDC) používaný pro ověřování 802.1X. Další informace o CDC naleznete v tématu Vlastní certifikát zařízení na 9800/8875.

Stav transakce a nastavení zabezpečení můžete zobrazit v nabídce obrazovky telefonu. Další informace naleznete v tématu Nabídka Nastavení zabezpečení v telefonu.

1

Povolte ověřování 802.1X.

Vyberte možnost Voice> System (Hlassystém ) a nastavte parametr Enable 802.1X Authentication (Povolit ověřování 802.1X) na hodnotu Yes (Ano).

Tento parametr můžete také nakonfigurovat v konfiguračním souboru (cfg.XML):

<Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>

Platné hodnoty: Yes|No

Výchozí nastavení: Ne

2

Vyberte jeden z následujících nainstalovaných certifikátů používaných pro ověřování 802.1X.

Možnosti hodnoty:

  • Výrobce: MIC/SUDI.
  • Vlastní instalované: Vlastní certifikát zařízení (CDC).

Konfigurace se liší v závislosti na síti:

  • Pro kabelovou síť vyberte možnost Hlas> systém, z rozevíracího seznamu vyberte typ certifikátu Výběr certifikátu v části Ověřování 802.1X.

    Tento parametr můžete také nakonfigurovat v konfiguračním souboru (cfg.XML):

    <Certificate_Select ua="rw">Vlastní nainstalováno</Certificate_Select>

    Platné hodnoty: Výroba nainstalována |Vlastní instalace

    Výchozí nastavení: Výroba nainstalována

  • Pro bezdrátovou síť vyberte možnost Voice > System, z rozevíracího seznamu vyberte typ certifikátu Certificate Select v sekci Wi-Fi Profile 1.

    Tento parametr můžete také nakonfigurovat v konfiguračním souboru (cfg.XML):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Vlastní nainstalováno</Wi-Fi_Certificate_Select_1_>

    Platné hodnoty: Výroba nainstalována |Vlastní instalace

    Výchozí nastavení: Výroba nainstalována

3

Nakonfigurujte parametr ID uživatele, který bude použit jako identita pro ověřování 802.1X v kabelové síti.

Konfigurace parametrů se projeví pouze v případě, že je pro drátové ověřování 802.1X použito pole pro připojení k řadiči pro připojení k řadiči pro připojení k počítači (výběr certifikátu je nastaven na hodnotu Vlastní).

Ve výchozím nastavení je tento parametr prázdný. Identita pro drátové připojení 802.1X se liší v závislosti na vybraném certifikátu:

  • Pokud je vybrána možnost MIC/SUDI, je drátová identita 802.1X reprezentována níže:

    <Název produktu> + SEP<MAC adresa>.

    Příklady: DP-98xx-SEP<MAC adresa>, CP-8875-SEP<MAC adresa>.

  • Pokud je vybrána možnost CDC, použije se jako identita pro drátové připojení 802.1X běžný název v poli CDC.

Pokud je ID uživatele prázdné a je nakonfigurován běžný název v řadiči pro připojení k zaznamenanému místu, použije drátový standard 802.1X jako identitu běžný název řadiče pro připojení k adresáři pro připojení k adresáři.

Tento parametr můžete také nakonfigurovat v konfiguračním souboru (cfg.XML):

<Wired_User_ID ua="na"></Wired_User_ID>

Platné hodnoty: Maximálně 127 znaků

Výchozí: prázdné

Tento parametr také podporuje rozšiřující proměnné makra, podrobnosti viz Rozšiřující proměnné makra.

Pokud chcete ke zřízení ID uživatele využít možnosti DHCP, přečtěte si téma zřizování běžného názvu nebo ID uživatele prostřednictvím DHCP možnosti 15.

4

Klikněte na tlačítko Submit All Changes.

Nabídka Nastavení zabezpečení v telefonu

Informace o nastavení zabezpečení můžete zobrazit v nabídce telefonu. Navigační cesta je: Nastavení > Nastavení sítě a služeb > zabezpečení. Dostupnost informací závisí na nastavení sítě ve vaší organizaci.

Parametry

Možnosti

Výchozí

Popis

Ověření zařízení

Zapnuto

Vyp.

Vyp.

Povolí nebo zakáže ověřování 802.1X v telefonu.

Nastavení parametrů lze zachovat i po Out-Of-Box (OOB) registraci telefonu.

Stav transakce

Zakázáno

Zobrazuje stav ověřování 802.1X. Stav může být (nejen):

  • Ověřování: Označuje, že probíhá proces ověřování.
  • Ověřeno: Označuje, že telefon je ověřen.
  • Zakázáno: Označuje, že ověřování 802.1x je v telefonu zakázáno.

Protokol

Žádné

Zobrazí metodu EAP, která se používá pro ověřování 802.1X. Protokol může být EAP-FAST nebo EAP-TLS.

Typ certifikátu uživatele

Instalovaná výroba

Vlastní instalace

Instalovaná výroba

Vybere certifikát pro ověřování 802.1X během počátečního zápisu a obnovení certifikátu.

  • Výroba nainstalována – Používá se certifikát MIC (Manufacturing Installed Certificate) a identifikátor SUDI (Secure Unique Device Identifier).
  • Vlastní instalace – používá se certifikát CDC (Custom Device Certificate). Tento typ certifikátu lze nainstalovat buď ručním nahráním na webovou stránku telefonu, nebo instalací ze serveru SCEP (Simple Certificate Enrollment Protocol).

Tento parametr se v telefonu zobrazí pouze v případě, že je povoleno ověření zařízení.

Zpětná kompatibilita s WPA

Zapnuto

Vyp.

Vyp.

Určuje, zda je nejstarší verze Wi-Fi chráněného přístupu (WPA) kompatibilní s telefonem pro připojení k bezdrátové síti nebo přístupovému bodu (AP).

  • Pokud je tato možnost povolena, telefon může vyhledávat bezdrátové sítě a připojovat se k nim se všemi podporovanými verzemi WPA, včetně WPA, WPA2 a WPA3. Kromě toho může telefon vyhledávat a připojovat se k přístupovým bodům, které podporují pouze nejstarší verzi WPA.
  • Je-li zakázán (výchozí), může telefon vyhledávat a připojovat se pouze k bezdrátovým sítím a přístupovým bodům, které podporují WPA2 a WPA3.

Tato funkce je k dispozici pouze u telefonů 9861/9871/8875.

Nastavení proxy serveru

Telefon můžete nakonfigurovat tak, aby používal proxy server a zvýšil tak zabezpečení. HTTP proxy server může obvykle poskytovat následující služby:

  • Směrování provozu mezi interními a externími sítěmi
  • Filtrování, sledování nebo protokolování provozu
  • Ukládání odpovědí do mezipaměti pro zlepšení výkonu

HTTP proxy server může také fungovat jako brána firewall mezi telefonem a Internetem. Po úspěšné konfiguraci se telefon připojí k internetu přes proxy server, který jej chrání před kybernetickým útokem.

Po nakonfigurování se funkce proxy HTTP vztahuje na všechny aplikace, které používají protokol HTTP. Příklad:

  • GDS (Aktivační kód Onboarding)
  • Aktivace zařízení EDOS
  • Onboarding do Webex Cloudu (přes EDOS nebo GDS)
  • Vlastní certifikační autorita
  • Provisioning
  • Aktualizace firmwaru
  • Zpráva o stavu telefonu
  • Nahrávání PRT
  • XSI služby
  • Webex Služby

  • V současné době tato funkce podporuje pouze IPv4.
  • Nastavení serveru proxy HTTP lze zachovat i po počáteční registraci telefonu (OOB).

1

Přejděte na webovou stránku správy telefonu.

2

Vyberte možnosti Hlas > Systém.

3

V sekci Nastavení HTTP proxy vyberte z rozbalovacího seznamu Režim proxy režim a nakonfigurujte související parametry.

Další informace o parametrech a požadovaných parametrech pro jednotlivé režimy proxy serveru naleznete v tématu Parametry pro nastavení serveru proxy HTTP.

4

Klikněte na tlačítko Submit All Changes.

Parametry pro nastavení serveru proxy HTTP

Následující tabulka definuje funkci a použití parametrů HTTP proxy v části Nastavení HTTP proxy v části Voice > System Tab ve webovém rozhraní telefonu. Definuje také syntaxi řetězce, který je přidán do konfiguračního souboru telefonu (cfg.xml) s kódem XML (cfg.xml) za účelem konfigurace parametru.

ParametrPopis
Režim proxyUrčuje režim serveru proxy HTTP, který telefon používá, nebo zakáže funkci serveru proxy HTTP.
  • Auto

    Telefon automaticky načte soubor PAC (Proxy Auto-Configuration – PAC) a vybere proxy server. V tomto režimu můžete určit, zda chcete k načtení souboru PAC použít protokol WPAD (Web Proxy Auto Discovery), nebo ručně zadat platnou adresu URL souboru PAC.

    Podrobnosti o parametrech naleznete v parametrech "Web Proxy Auto Discovery" a "PAC URL" v této tabulce.

  • Ručně

    Je nutné ručně zadat server (název hostitele nebo IP adresu) a port proxy serveru.

    Podrobnosti o parametrech naleznete v tématu Hostitel serveru proxy a port serveru proxy.

  • Vyp.

    Můžete zakázat funkci serveru proxy HTTP v telefonu.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Proxy_Mode ua="rw">Off</Proxy_Mode>

  • Na webovém rozhraní telefonu vyberte režim proxy nebo funkci deaktivujte.

Povolené hodnoty: Auto, Ručně a Vypnuto

Výchozí hodnota: vypnuto

Automatické zjišťování webového serveru proxyUrčuje, zda telefon používá k načtení souboru PAC protokol WPAD (Web Proxy Auto Discovery).

Protokol WPAD používá DHCP nebo DNS nebo oba síťové protokoly k automatickému vyhledání souboru PAC (Proxy Auto Configuration). Soubor PAC se používá k výběru proxy serveru pro danou adresu URL. Tento soubor může být hostován místně nebo v síti.

  • Konfigurace parametrů se projeví, když je režim proxy nastaven na hodnotu Automaticky .
  • Pokud nastavíte parametr na hodnotu Ne, musíte zadat adresu URL PAC.

    Podrobnosti o parametru naleznete v parametru "PAC URL" v této tabulce.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Web_Proxy_Auto_Discovery ua="rw">Ano</Web_Proxy_Auto_Discovery>

  • Ve webovém rozhraní telefonu vyberte podle potřeby možnost Ano nebo Ne .

Povolené hodnoty: Ano a Ne

Výchozí hodnota: Ano

Adresa URL PACAdresa URL souboru PAC.

Například, http://proxy.department.branch.example.com

TFTP, HTTP a HTTPS jsou podporovány.

Pokud nastavíte režim proxy na hodnotu Automatické a Automatické zjišťování webového serveru proxy na hodnotu Ne , je nutné tentoparametr nakonfigurovat.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL>

  • Ve webovém rozhraní telefonu zadejte platnou adresu URL, která se vyhledá v souboru PAC.

Výchozí: prázdné

Hostitel proxyIP adresu nebo název hostitele proxy hostitelského serveru, ke kterému má telefon přístup. Příklad:

proxy.example.com

Schéma (http:// nebo https://) se nevyžaduje.

Pokud nastavíte režim proxy na možnost Ruční , je nutné tentoparametr nakonfigurovat.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Proxy_Host ua="rw">proxy.example.com</Proxy_Host>

  • Ve webovém rozhraní telefonu zadejte IP adresu nebo název hostitele proxy serveru.

Výchozí: prázdné

Port proxyČíslo portu hostitelského serveru proxy.

Pokud nastavíte režim proxy na možnost Ruční , je nutné tentoparametr nakonfigurovat.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Proxy_Port ua="rw">3128</Proxy_Port>

  • Ve webovém rozhraní telefonu zadejte port serveru.

Výchozí nastavení: 3128

Ověření serveru proxyUrčuje, zda uživatel musí zadat ověřovací pověření (uživatelské jméno a heslo), které vyžaduje proxy server. Tento parametr se konfiguruje podle skutečného chování proxy serveru.

Pokud nastavíte parametr na Ano, musíte nakonfigurovat Uživatelské jméno a Heslo.

Podrobnosti o parametrech naleznete v parametrech "Uživatelské jméno" a "Heslo" v této tabulce.

Konfigurace parametrů se projeví, když je režim proxy nastaven na možnost Ruční .

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Proxy_Authentication ua="rw">No</Proxy_Authentication>

  • Na webovém rozhraní telefonu nastavte podle potřeby toto pole Ano nebo Ne .

Povolené hodnoty: Ano a Ne

Výchozí nastavení: Ne

Uživatelské jménoUživatelské jméno pro uživatele s pověřením na proxy serveru.

Pokud je možnost Režim proxy serveru nastavena na možnost Ruční a ověřování proxy serveru je nastavena na hodnotu Ano, je nutné parametr nakonfigurovat.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Proxy_Username ua="rw">Příklad</Proxy_Username>

  • Ve webovém rozhraní telefonu zadejte uživatelské jméno.

Výchozí: prázdné

HesloHeslo zadaného uživatelského jména pro účely ověření proxy serveru.

Pokud je možnost Režim proxy serveru nastavena na možnost Ruční a ověřování proxy serveru je nastavena na hodnotu Ano, je nutné parametr nakonfigurovat.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Proxy_Password ua="rw">Příklad</Proxy_Password>

  • Na webovém rozhraní telefonu zadejte platné heslo pro proxy ověření uživatele.

Výchozí: prázdné

Tabulka 1. Požadované parametry pro každý režim proxy serveru
Režim proxyPožadované parametryPopis
Vyp.NedefinovánoHTTP proxy je v telefonu zakázán.
RučněHostitel proxy

Port proxy

Ověření serveru proxy: Ano

Uživatelské jméno

Heslo

Ručně zadejte proxy server (název hostitele nebo IP adresu) a port proxy serveru. Pokud proxy server vyžaduje ověření, musíte dále zadat uživatelské jméno a heslo.
Hostitel proxy

Port proxy

Ověření serveru proxy: Ne

Ručně zadejte proxy server. Proxy server nevyžaduje ověřovací údaje.
AutoAutomatické zjišťování webového serveru proxy: Ne

Adresa URL PAC

Zadejte platnou adresu URL PAC pro načtení souboru PAC.
Automatické zjišťování webového serveru proxy: Ano

Používá protokol WPAD k automatickému načtení souboru PAC.

Povolit režim iniciovaný klientem pro vyjednávání zabezpečení roviny médií

Chcete-li chránit relace médií, můžete telefon nakonfigurovat tak, aby se serverem zahájil jednání o zabezpečení roviny médií. Mechanismus zabezpečení se řídí standardy uvedenými v RFC 3329 a jeho návrhu rozšíření Security Mechanism Names for Media (viz https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Přenos jednání mezi telefonem a serverem může používat protokol SIP přes UDP, TCP, a TLS. Můžete omezit, že vyjednávání zabezpečení roviny média je použito pouze v případě, že signalizační transportní protokol je TLS.

Tabulka 2. Parametry pro vyjednávání zabezpečení roviny médií
ParametrPopis

Požadavek MediaSec

Určuje, zda telefon zahájí jednání o zabezpečení roviny média se serverem.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <MediaSec_Request_1_ ua="na">Ano</MediaSec_Request_1_>
  • Ve webovém rozhraní telefonu nastavte toto pole podle potřeby na Ano nebo Ne .

Povolené hodnoty: Ano|Ne

  • Ano – režim iniciovaný klientem. Telefon zahájí jednání o bezpečnosti mediálního letadla.
  • Ne – režim iniciovaný serverem. Server zahájí jednání o zabezpečení mediální roviny. Telefon neiniciuje vyjednávání, ale může zpracovávat požadavky na vyjednávání ze serveru pro navázání zabezpečených hovorů.

Výchozí nastavení: Ne

MediaSec pouze přes TLS

Určuje signalizační přenosový protokol, přes který je použito vyjednávání zabezpečení roviny média.

Před nastavením tohoto pole na hodnotu Ano se ujistěte, že signalizační transportní protokol je TLS.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>

  • Ve webovém rozhraní telefonu nastavte toto pole podle potřeby na Ano nebo Ne .

Povolené hodnoty: Ano|Ne

  • Ano – telefon zahájí nebo zpracovává jednání o zabezpečení roviny médií pouze v případě, že signalizační transportní protokol je TLS.
  • Ne – Telefon zahájí a vyřídí jednání o zabezpečení roviny médií bez ohledu na signalizační přenosový protokol.

Výchozí nastavení: Ne

1

Přejděte na webovou stránku správy telefonu.

2

Vyberte možnost Hlas > Linka (n).

3

V části Nastavení SIP nastavte pole Požadavek MediaSec a MediaSec přes TLS Only , jak je definováno ve výše uvedené tabulce.

4

Klikněte na tlačítko Submit All Changes.

WLAN zabezpečení

Protože všechna zařízení WLAN, která jsou v dosahu, mohou přijímat veškerý ostatní provoz WLAN, je zabezpečení hlasové komunikace v sítích WLAN velmi důležité. Aby bylo zajištěno, že vetřelci nebudou manipulovat ani zachycovat hlasový provoz, architektura Cisco SAFE Security podporuje telefon. Další informace o zabezpečení v sítích naleznete na adrese http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Řešení Cisco Wireless IP Telephony poskytuje zabezpečení bezdrátové sítě, které zabraňuje neoprávněným přihlášením a narušené komunikaci pomocí následujících metod ověřování, které telefon podporuje:

  • Otevřené ověření: V otevřeném systému může o ověření požádat jakékoli bezdrátové zařízení. Přístupový bod, který obdrží požadavek, může povolit ověření libovolnému žadateli nebo pouze žadatelům, kteří se nacházejí v seznamu uživatelů. Komunikace mezi bezdrátovým zařízením a přístupovým bodem (AP) může být nešifrovaná.

  • Flexibilní ověřování pomocí zabezpečeného tunelového propojení (EAP-FAST): Tato architektura zabezpečení klient-server šifruje EAP transakce v tunelovém propojení TLS Transport Level Security mezi přístupovým bodem a serverem RADIUS, jako je například Identity Services Engine (ISE).

    Tunel TLS používá k ověřování mezi klientem (telefonem)   serverem RADIUS chráněná pověření (PAC). Server odešle ID autority (AID) klientovi (telefonu), který následně vybere příslušné pověření PAC. Klient (telefon) vrátí serveru RADIUS zprávu PAC-Opaque. Server dešifruje pověření PAC pomocí primárního klíče. Oba koncové body nyní obsahují klíč PAC a dojde k vytvoření tunelu TLS. Ověření EAP-FAST podporuje automatické poskytování pověření PAC, ale je nutné jej povolit na serveru RADIUS.

    V ISE ve výchozím nastavení vyprší platnost PAC za jeden týden. Pokud má telefon neplatné pověření PAC, ověření pomocí serveru RADIUS potrvá déle, než telefon získá nové pověření PAC. Pokud chcete předejít zpoždění při poskytování pověření PAC, nastavte na serveru ISE nebo RADIUS dobu platnosti pověření PAC na 90 dní nebo delší.

  • Ověření EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): Zabezpečení EAP-TLS vyžaduje pro ověření a přístup k síti klientský certifikát. Pro bezdrátové EAP-TLS může být klientský certifikát MIC, LSC, nebo uživatelem nainstalovaný certifikát.

  • PEAP (Protected Extensible Authentication Protocol): Proprietární schéma vzájemného ověřování založené na hesle mezi klientem (telefonem) a serverem RADIUS. Telefon může použít PEAP pro ověření v bezdrátové síti. Podporovány jsou metody ověření PEAP-MSCHAPV2 i PEAP-GTC.

  • Předsdílený klíč (PSK): Telefon podporuje formát ASCII. Při nastavování předsdíleného klíče WPA/WPA2/SAE je nutné použít tento formát:

    ASCII: řetězec ASCII o délce 8 až 63 znaků (0–9, malá a velká písmena A–Z a speciální znaky)

    Příklad: GREG123567@9ZX&W

Následující schémata ověření používají ke správě ověřovacích klíčů server RADIUS:

  • WPA/WPA2/WPA3: Používá informace serveru RADIUS ke generování jedinečných klíčů pro ověřování. Protože jsou tyto klíče generovány na centralizovaném serveru RADIUS, poskytuje WPA2/WPA3 vyšší zabezpečení než předsdílený klíč WPA, který je uložen na přístupovém bodu a v telefonu.

  • Rychlý zabezpečený roaming: Ke správě a ověřování klíčů používá server RADIUS a informace serveru bezdrátové domény (WDS). Služba WDS vytvoří mezipaměť s pověřeními zabezpečení pro klientská zařízení s povoleným protokolem FT pro rychlé a bezpečné opětovné ověření. Cisco Stolní telefon 9861 a 9871 a Cisco Videotelefon 8875 podporují 802.11r (FT). Jak vzduchem, tak přes DS jsou podporovány, aby umožnily rychlý a bezpečný roaming. Důrazně však doporučujeme používat metodu 802.11r (FT) vzduchem.

Při použití WPA/WPA2/WPA3 se šifrovací klíče nezadávají do telefonu, ale jsou automaticky odvozeny mezi přístupovým bodem a telefonem. Uživatelské jméno a heslo EAP, které se používají pro ověření, však musí být zadány v každém telefonu.

Aby byl zajištěn zabezpečený hlasový provoz, telefon podporuje šifrování TKIP a AES. Pokud jsou tyto mechanismy použity pro šifrování, jsou mezi přístupovým bodem a telefonem šifrovány jak signalizační pakety SIP, tak hlasové pakety protokolu RTP (Real-Time Transport Protocol).

TKIP

WPA používá šifrování TKIP, které má oproti WEP několik vylepšení. Standard TKIP umožňuje šifrování jednotlivých klíčů a delší inicializační vektory (IV), které zlepšují šifrování. Kontrola integrity zprávy (MIC) navíc zajišťuje, že nedochází ke změně zašifrovaných paketů. Standard TKIP odstraňuje předvídatelnost standardu WEP, která pomáhá narušitelům dešifrovat klíč WEP.

AES

Metoda šifrování používaná pro ověřování WPA2/WPA3. Tento národní standard pro šifrování používá symetrický algoritmus, který má stejný klíč pro šifrování i dešifrování. AES používá šifrování CBC (Cipher Blocking Chain) o velikosti 128 bitů, které podporuje velikosti klíčů minimálně 128 bitů, 192 bitů a 256 bitů. Telefon podporuje velikost klíče 256 bitů.

Cisco Stolní telefon 9861 a 9871 a Cisco Video Phone 8875 nepodporují protokol Cisco Key Integrity Protocol (CKIP) s CMIC.

V rámci bezdrátové sítě LAN jsou nastavena schémata ověření a šifrování. Sítě VLAN jsou konfigurovány v síti a na přístupových bodech a určují různé kombinace ověřování a šifrování. Identifikátor SSID je spojen se sítí VLAN a konkrétním schématem ověření a šifrování. Aby bylo možné úspěšně ověřit klientská zařízení bezdrátové sítě, je nutné nakonfigurovat stejné identifikátory SSID s jejich schématy ověřování a šifrování v přístupových bodech a v telefonu.

Některá schémata ověření vyžadují specifické typy šifrování.

  • Pokud použijete předsdílený klíč WPA, předsdílený klíč WPA2 nebo SAE, musí být předsdílený klíč v telefonu staticky nastaven. Tyto klíče se musí shodovat s klíči, které se nacházejí na přístupovém bodu.
  • Telefon podporuje automatické vyjednávání EAP pro FAST nebo PEAP, ale ne pro TLS. Pro režim EAP-TLS je nutné jej zadat.

Schémata ověřování a šifrování v následující tabulce zobrazují možnosti konfigurace sítě pro telefon, které odpovídají konfiguraci přístupového bodu.

Tabulka 3. Schémata ověření a šifrování
Typ protokolu FSRAutentizaceSpráva klíčeŠifrováníChráněný rámec pro správu (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNe
802.11r (FT)WPA3

SAE

FT-SAE

AESAno
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESAno
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESAno
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESAno

Nastavení profilu Wi-Fi

Profil Wi-Fi můžete nakonfigurovat pomocí webové stránky telefonu nebo resynchronizace profilu vzdáleného zařízení a tento profil pak můžete přiřadit k dostupným sítím Wi-Fi. Takový profil můžete použít k připojení k síti Wi-Fi. V současné době lze nakonfigurovat pouze jeden profil Wi-Fi.

Profil obsahuje parametry, které telefony použijí k připojení k telefonnímu serveru pomocí sítě Wi-Fi. Když vytvoříte a použijete profil Wi-Fi, nemusíte vy ani vaši uživatelé konfigurovat bezdrátovou síť pro jednotlivé telefony.

Profil Wi-Fi umožňuje uživatelům zabránit změnám nebo omezit změny v konfiguraci Wi-Fi v telefonu.

Při použití profilu Wi-Fi doporučujeme k ochraně klíčů a hesel používat zabezpečený profil s protokoly s povoleným šifrováním.

Nastavíte-li telefony tak, aby v režimu zabezpečení používaly metodu ověřování EAP-FAST, potřebují uživatelé pro připojení k přístupovému bodu individuální pověření.

1

Přejděte na webovou stránku telefonu.

2

Vyberte možnosti Hlas > Systém.

3

V sekci Wi-Fi Profil (n) nastavte parametry, jak je popsáno v následující tabulce Parametry pro profil Wi-Fi.

Konfigurace profilu Wi-Fi je také k dispozici pro přihlášení uživatele.
4

Klikněte na tlačítko Submit All Changes.

Parametry pro profil Wi-Fi

V následující tabulce je definována funkce a použití jednotlivých parametrů v části Profil Wi-Fi(n), která je na webové stránce telefonu na kartě Systém. Také definuje syntaxi řetězce, který se přidává do konfiguračního souboru telefonu (cfg.XML) pro konfiguraci parametru.

ParametrPopis
Název sítěUmožňuje zadat název SSID, který se zobrazí na telefonu. Může existovat více profilů se stejným názvem sítě, avšak s odlišnými režimy zabezpečení.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Network_Name_1_ua="rw">cisco</Network_Name_1_>

  • Na webové stránce telefonu zadejte název pro SSID.

Výchozí: prázdné

Režim zabezpečeníUmožňuje vybrat způsob ověření, který se má používat k zabezpečení přístupu k síti Wi-Fi. V závislosti na zvolené metodě se zobrazí pole pro zadání hesla, do kterého můžete zadat přihlašovací údaje potřebné pro připojení k této síti Wi-Fi.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_><!-- dostupné možnosti: Automaticky|EAP-FAST|||PSK||Žádné|EAP-PEAP|EAP-TLS -->

  • Na webové stránce telefonu vyberte jednu z metod:
    • Auto
    • EAP-FAST
    • PSK
    • Žádné
    • EAP-PEAP
    • EAP-TLS

Výchozí nastavení: Auto

ID uživatele sítě Wi-Fi (Wi-Fi User ID)Umožňuje zadat ID uživatele pro profil sítě.

Toto pole je k dispozici, pokud nastavíte režim zabezpečení na Automaticky, EAP-FAST nebo EAP-PEAP. Toto je povinné pole a umožňuje zadat alfanumerický řetězec o maximální délce 32 znaků.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Na webové stránce telefonu zadejte ID uživatele pro síťový profil.

Výchozí: prázdné

Heslo sítě Wi-Fi (Wi-Fi Password)Umožňuje zadat heslo pro zadané ID uživatele sítě Wi-Fi.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Na webové stránce telefonu zadejte heslo pro přidané uživatelské ID.

Výchozí: prázdné

Frekvenční pásmoUmožňuje vybrat frekvenční pásmo signálu bezdrátové sítě WLAN.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Frekvenční_pásmo_1_ ua="rw">Automaticky</Frekvenční_pásmo_1_>

  • Na webové stránce telefonu vyberte jednu z možností:
    • Auto
    • 2,4 GHz
    • 5 GHz

Výchozí nastavení: Auto

Výběr certifikátuUmožňuje vybrat typ certifikátu pro počáteční registraci a obnovení certifikátu v bezdrátové síti. Tento proces je k dispozici pouze pro ověřování 802.1X.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Certificate_Select_1_ ua="rw">Instalovaná výroba<//Certificate_Select_1_>

  • Na webové stránce telefonu vyberte jednu z možností:
    • Instalovaná výroba
    • Instalace na míru

Výchozí: Instalace výroby

Zkontrolujte stav zabezpečení zařízení v telefonu

Telefon automaticky kontroluje stav zabezpečení zařízení. Pokud v telefonu zjistí potenciální bezpečnostní hrozby, nabídka Problémy a diagnostika může zobrazit podrobnosti o problémech. Na základě nahlášených problémů může váš správce provést kroky k zabezpečení a posílení zabezpečení vašeho telefonu.

Stav zabezpečení zařízení je k dispozici před registrací telefonu do systému řízení hovorů (Webex Calling nebo BroadWorks).

Chcete-li zobrazit podrobnosti o bezpečnostních problémech na obrazovce telefonu, postupujte takto:

1

Stiskněte tlačítko NastaveníSettings button

2

Vyberte možnost Problémy a diagnostika > Problémy.

Zpráva o zabezpečení zařízení v současné době obsahuje následující problémy:

  • Důvěra zařízení
    • Ověření zařízení selhalo
    • Detekována manipulace se SoC
  • Zranitelná konfigurace
    • SSH povoleno
    • Telnet povolen
  • Detekována síťová anomálie
    • Nadměrný počet pokusů o přihlášení k webu
    • Detekován vysoký provoz UDP
    • Podezřelé požadavky na časové razítko ICMP
  • Problém s certifikátem
    • Vypršení platnosti certifikátu vlastního zařízení

3

Pro vyřešení bezpečnostních problémů se obraťte na svého administrátora.