V tomto článku
dropdown icon
Konfigurace možností DHCP
    Podpora možností DHCP
dropdown icon
Zabezpečení bezdrátové sítě LAN
    Nastavení profilu Wi-Fi
dropdown icon
Ověřování 802.1X pro kabelové sítě
    Povolení ověřování 802.1X pro kabelové sítě v telefonu
    Povolit ověřování 802.1X pro kabelové sítě na webové stránce telefonu
    Nabídka Nastavení zabezpečení v telefonu
Změna uživatelských hesel a hesel správce
Nastavení minimální verze TLS pro klienta a server
Povolit režim iniciovaný klientem pro vyjednávání zabezpečení roviny médií
Cisco zabezpečení bezdrátového telefonu 9821 (Multiplatformní)
list-menuV tomto článku
list-menuZpětná vazba?

Tento článek nápovědy je pro Cisco Wireless Phone 9821 registrovaný na Webex Calling.

Konfigurace možností DHCP

Můžete nastavit pořadí, ve kterém bude telefon používat možnosti DHCP. Nápovědu k možnostem DHCP najdete v tématu Podpora možností DHCP.

1

Přejděte na webovou stránku správy telefonu.

http://<ip adresa>/admin/advanced

2

Vyberte možnosti Hlas > Zřizování.

3

V části Konfigurační profil nastavte parametr DHCP Option To Use . Tento parametr se skládá z řady DHCP možností oddělených čárkami, které se používají k načtení firmwaru a profilů.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • Na webové stránce telefonu zadejte řadu možností DHCP oddělených čárkami.

Výchozí hodnota: 66,160,159,150,60,43,125

4

Klikněte na tlačítko Submit All Changes.

Podpora možností DHCP

V následující tabulce jsou uvedeny možnosti DHCP podporované v Cisco Wireless Phone 9821.

Síťový standardPopis
DHCP možnost 1Maska podsítě
DHCP možnost 2Časový posun
DHCP možnost 3Směrovač
DHCP možnost 6Názvový server domény
DHCP možnost 15Název domény
DHCP možnost 17Kořenová cesta
DHCP možnost 41IP adresa doba pronájmu
DHCP možnost 42NTP server
DHCP možnost 43Informace specifické pro dodavatele

Lze použít k poskytnutí konfigurace SCEP.

DHCP možnost 56NTP server
DHCP možnost 60Identifikátor třídy dodavatele
DHCP možnost 66TFTP název serveru
DHCP možnost 125Informace specifické pro dodavatele identifikující dodavatele
DHCP možnost 150TFTP server
DHCP možnost 159Zřizovací server IP
DHCP možnost 160Adresa URL pro zřizování

Zabezpečení bezdrátové sítě LAN

Protože všechna zařízení WLAN, která jsou v dosahu, mohou přijímat veškerý ostatní provoz WLAN, je zabezpečení hlasové komunikace v sítích WLAN velmi důležité. Aby bylo zajištěno, že vetřelci nebudou manipulovat ani zachycovat hlasový provoz, architektura Cisco SAFE Security podporuje telefon. Další informace o zabezpečení v sítích naleznete v tématu http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Telefonní řešení Cisco Wireless IP poskytuje zabezpečení bezdrátové sítě, které zabraňuje neoprávněným přihlášením a ohrožené komunikaci pomocí následujících metod ověřování, které telefon podporuje.

  • Otevřené ověření: V otevřeném systému může o ověření požádat jakékoli bezdrátové zařízení. Přístupový bod, který obdrží požadavek, může povolit ověření libovolnému žadateli nebo pouze žadatelům, kteří se nacházejí v seznamu uživatelů. Komunikace mezi bezdrátovým zařízením a přístupovým bodem (AP) může být nešifrovaná.

  • Flexibilní ověřování pomocí zabezpečeného tunelového propojení (EAP-FAST): Tato architektura zabezpečení klient-server šifruje EAP transakce v tunelovém propojení TLS (Transport Level Security) mezi přístupovým bodem a serverem RADIUS, jako je například Identity Services Engine (ISE).

    Tunel TLS používá k ověřování mezi klientem (telefonem)   serverem RADIUS chráněná pověření (PAC). Server odešle ID autority (AID) klientovi (telefonu), který následně vybere příslušné pověření PAC. Klient (telefon) vrátí serveru RADIUS zprávu PAC-Opaque. Server dešifruje pověření PAC pomocí primárního klíče. Oba koncové body nyní obsahují klíč PAC a dojde k vytvoření tunelu TLS. Ověření EAP-FAST podporuje automatické poskytování pověření PAC, ale je nutné jej povolit na serveru RADIUS.

    V ISE ve výchozím nastavení vyprší platnost PAC za jeden týden. Pokud má telefon neplatné pověření PAC, ověření pomocí serveru RADIUS potrvá déle, než telefon získá nové pověření PAC. Pokud chcete předejít zpoždění při poskytování pověření PAC, nastavte na serveru ISE nebo RADIUS dobu platnosti pověření PAC na 90 dní nebo delší.

  • Ověření EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): Zabezpečení EAP-TLS vyžaduje pro ověření a přístup k síti klientský certifikát. Pro bezdrátový EAP-TLS může být klientský certifikát MIC nebo uživatelem nainstalovaný certifikát.

  • PEAP (Protected Extensible Authentication Protocol): Proprietární schéma vzájemného ověřování založené na hesle mezi klientem (telefonem) a serverem RADIUS. Telefon může použít PEAP pro ověření v bezdrátové síti. Podporovány jsou metody ověření PEAP-MSCHAPV2 i PEAP-GTC.

    Chcete-li podporovat ověřování PEAP-GTC pro Cisco bezdrátový telefon 9821, nakonfigurujte potřebné zásady v rámci sady zásad Cisco ISE.

  • Předsdílený klíč (PSK): Telefon podporuje formáty ASCII a šestnáctkové formáty (HEX). Tyto formáty je nutné použít při nastavování předsdíleného klíče WPA2/SAE.

    ASCII: Řetězec znaků ASCII s délkou 8 až 63 znaků (0-9, malá písmena a-z, velká písmena A-Z a speciální znaky). Například GREG123567@9ZX&W.

    HEX: Hexadecimální znakový řetězec s délkou 64 hexadecimálních číslic (0-9, a-f nebo A-F).

Následující schémata ověření používají ke správě ověřovacích klíčů server RADIUS:

  • WPA2/WPA3: Používá informace serveru RADIUS ke generování jedinečných klíčů pro ověření. Protože jsou tyto klíče generovány na centralizovaném serveru RADIUS, poskytuje WPA2/WPA3 vyšší zabezpečení než předsdílený klíč WPA, který je uložen na přístupovém bodu a v telefonu.

  • Rychlý zabezpečený roaming: Ke správě a ověřování klíčů používá server RADIUS a informace serveru bezdrátové domény (WDS). Služba WDS vytvoří mezipaměť s pověřeními zabezpečení pro klientská zařízení s povoleným protokolem FT pro rychlé a bezpečné opětovné ověření.

U WPA2/WPA3 se šifrovací klíče nezadávají do telefonu, ale jsou automaticky odvozeny mezi přístupovým bodem a telefonem. Uživatelské jméno a heslo EAP, které se používají pro ověření, však musí být zadány v každém telefonu.

Z důvodu ochrany hlasového provozu prostřednictvím bezdrátového spojení podporuje telefon šifrování založené na AES pro ověřování WPA2/WPA3. AES je symetrická bloková šifra standardizovaná NIST. AES používá pevnou velikost bloku 128 bitů a podporuje velikosti klíčů 128 bitů, 192 bitů a 256 bitů. V sítích Wi-Fi je AES používán šifrovacími sadami, jako je CCMP nebo GCMP, zatímco ověřování je poskytováno odděleně PSK, SAE nebo 802.1X/EAP, v závislosti na nakonfigurovaném režimu zabezpečení WLAN. Podporovaná šifrovací sada a velikost klíče závisí na modelu telefonu a konfiguraci WLAN.

V rámci bezdrátové sítě LAN jsou nastavena schémata ověření a šifrování. Sítě VLAN jsou konfigurovány v síti a na přístupových bodech a určují různé kombinace ověřování a šifrování. Identifikátor SSID je spojen se sítí VLAN a konkrétním schématem ověření a šifrování. Aby bylo možné úspěšně ověřit klientská zařízení bezdrátové sítě, je nutné nakonfigurovat stejné identifikátory SSID s jejich schématy ověřování a šifrování v přístupových bodech a v telefonu.

Některá schémata ověření vyžadují specifické typy šifrování.

Používáte-li předsdílený klíč WPA2 nebo SAE, musí být předsdílený klíč v telefonu staticky nastaven. Tyto klíče se musí shodovat s klíči, které se nacházejí na přístupovém bodu.

Schémata ověřování a šifrování v následující tabulce ukazují možnosti konfigurace sítě pro Cisco Wireless Phone 9821, který odpovídá konfiguraci přístupového bodu.

Tabulka 1. Schémata ověření a šifrování
FSR TypOvěřováníSpráva klíčeŠifrováníChráněný rámec pro správu (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNe
802.11r (FT)WPA3

SAE

FT-SAE

AESAno
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESAno
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESAno
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESAno
Jiné než FTApartmá-BWPA-EAP-SUITE-BGCMPAno
Jiné než FTApartmá-B-192WPA-EAP-SUITE-B-192GCMPAno

Nastavení profilu Wi-Fi

Profily Wi-Fi můžete nakonfigurovat na webové stránce správy telefonu nebo prostřednictvím opětovné synchronizace profilu vzdáleného zařízení. Po nakonfigurování můžete tyto profily přidružit k dostupným bezdrátovým sítím a vytvořit tak připojení. Cisco Wireless Phone 9821 podporuje maximálně čtyři nakonfigurované profily Wi-Fi.

Profil obsahuje parametry, které telefony použijí k připojení k telefonnímu serveru pomocí sítě Wi-Fi. Když vytvoříte a použijete profil Wi-Fi, nemusíte vy ani vaši uživatelé konfigurovat bezdrátovou síť pro jednotlivé telefony.

Profil Wi-Fi umožňuje uživatelům zabránit změnám nebo omezit změny v konfiguraci Wi-Fi v telefonu.

Při použití profilu Wi-Fi doporučujeme k ochraně klíčů a hesel používat zabezpečený profil s protokoly s povoleným šifrováním.

Když nastavíte telefony tak, aby v režimu zabezpečení používaly metodu ověřování EAP-FAST, potřebují uživatelé pro připojení k přístupovému bodu individuální pověření.

1

Přejděte na webovou stránku telefonu.

2

Vyberte možnosti Hlas > Systém.

3

V části Wi-Fi Profil (n) nastavte parametry podle popisu v následující tabulce Parametry pro Wi-Fi profil.

Konfigurace profilu Wi-Fi je k dispozici také pro přihlášení uživatele.
4

Klikněte na tlačítko Submit All Changes.

Parametry profilu Wi-Fi

Následující tabulka definuje funkci a použití jednotlivých parametrů v části Wi-Fi Profile(n) pod položkou System Tab na webové stránce telefonu. Definuje také syntaxi řetězce, který je přidán do konfiguračního souboru telefonu (cfg.XML) pro konfiguraci parametru.

ParametrPopis
Název sítěUmožňuje zadat název SSID, který se zobrazí na telefonu. Může existovat více profilů se stejným názvem sítě, avšak s odlišnými režimy zabezpečení.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Network_Name_1_ ua="rw">Cisco</Network_Name_1_>

  • Na webové stránce telefonu zadejte název SSID.

Výchozí: prázdné

Režim zabezpečeníUmožňuje vybrat způsob ověření, který se má používat k zabezpečení přístupu k síti Wi-Fi. V závislosti na zvolené metodě se zobrazí pole pro heslo, ve kterém můžete zadat pověření požadovaná pro připojení k této síti Wi-Fi.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- dostupné možnosti: |EAP-FAST|||PSK||Žádné|EAP-PEAP|EAP-TLS -->

  • Na webové stránce telefonu vyberte jednu z metod:
    • EAP-FAST
    • PSK
    • Žádné
    • EAP-PEAP
    • EAP-TLS

Výchozí nastavení: Žádné

ID uživatele sítě Wi-Fi (Wi-Fi User ID)Umožňuje zadat ID uživatele pro profil sítě.

Toto pole je k dispozici, pokud nastavíte režim zabezpečení na hodnotu Auto, EAP-FAST nebo EAP-PEAP. Toto je povinné pole a umožňuje zadat alfanumerický řetězec o maximální délce 32 znaků.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Na webové stránce telefonu zadejte uživatele ID pro síťový profil.

Výchozí: prázdné

Heslo sítě Wi-Fi (Wi-Fi Password)Umožňuje zadat heslo pro zadané ID uživatele sítě Wi-Fi.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Na webové stránce telefonu zadejte heslo pro uživatele ID, které jste přidali.

Výchozí: prázdné

Frekvenční pásmoUmožňuje vybrat frekvenční pásmo signálu bezdrátové sítě WLAN.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Na webové stránce telefonu vyberte jednu z možností:
    • Auto
    • 2,4 GHz
    • 5 GHz nebo 6 GHz

Výchozí nastavení: Auto

Výběr certifikátuUmožňuje vybrat typ certifikátu pro počáteční zápis a obnovení certifikátu v bezdrátové síti. Tento proces je k dispozici pouze pro ověřování 802.1X.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Certificate_Select_1_ ua="rw">Manufacturing installed </Certificate_Select_1_>

  • Na webové stránce telefonu vyberte jednu z možností:
    • Instalovaná výroba
    • Vlastní instalace

Výchozí nastavení: Výroba nainstalována

Režim ovládáníUrčuje, zda může uživatel konfigurovat profily Wi-Fi.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Control_Mode_1_ ua="rw">Allow</Control_Mode_1_>

  • Na webové stránce telefonu vyberte jednu z možností:
    • Povolit
    • Zakázány
    • Omezeno

Výchozí nastavení: Povolit

PovolitUrčuje, zda je povolen profil Wi-Fi.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Enable_1_ ua="rw">Ano</Enable_1_>

  • Na webové stránce telefonu vyberte jednu z možností:
    • Ano
    • Ne

Výchozí hodnota: Ano

Název profiluUmožňuje zadat název profilu, který se zobrazí v telefonu.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Profile_Name_1_ ua="rw">Profil 1</Profile_Name_1_>

  • Na webové stránce telefonu zadejte název profilu.

Výchozí hodnota: Profil 1

Přístupový výraz PSKUmožňuje zadat přístupové heslo PSK, když je režim zabezpečení nastaven na PSK.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <PSK_Passphrase_1_ ua="rw">*************</PSK_Passphrase_1_>

  • Na webové stránce telefonu zadejte přístupové heslo PSK.

Výchozí nastavení: Povolit

Ověřování 802.1X pro kabelové sítě

Cisco Wireless Phone 9821 podporuje ověřování 802.1X pro kabelové sítě. Obvykle se používá při automatickém zřizování, když je telefon připojen k nabíječce stolního počítače prostřednictvím podporovaného adaptéru USB-Ethernet.

Podpora ověřování 802.1X v kabelových sítích vyžaduje několik následujících součástí:

  • Cisco IP telefon: Telefon iniciuje požadavek na přístup k síti. Cisco IP telefony obsahují žádající port 802.1X. Tento žádající port umožňuje správcům sítě řídit připojení IP telefonů k portům přepínače LAN. Aktuální verze žádajícího portu telefonu 802.1X používá pro ověřování sítě možnosti EAP-FAST a EAP-TLS.

  • Ověřovací server: Ověřovací server i přepínač musí být nakonfigurované se sdíleným tajným klíčem RADIUS.

  • Přepínač: Přepínač musí podporovat standard 802.1X, aby mohl fungovat jako ověřovatel a přenášet zprávy EAP mezi telefonem a ověřovacím serverem. Po dokončení výměny přepínač povolí nebo zamítne přístup telefonu k síti.

Cisco IP telefony a přepínače Cisco Catalyst obvykle používají protokol CDP (Cisco Discovery Protocol) ke vzájemné identifikaci a určení parametrů, jako je přidělení VLAN a požadavky na napájení v síti.

Pro konfiguraci protokolu 802.1X je třeba provést následující akce.

  • Nakonfigurujte CDP/LLDP hlasový VLAN bypass.

  • Před povolením ověřování 802.1X pro kabelové sítě v telefonu nakonfigurujte ověřovací server a přepínač.

  • Konfigurace hlasové sítě VLAN: Protože standard 802.1X nepočítá se sítí VLAN, měli byste toto nastavení nakonfigurovat na základě podpory přepínače.

    • Povoleno: Pokud používáte přepínač, který podporuje ověřování více domén, můžete ho nakonfigurovat tak, aby používal hlasovou VLAN.
    • Zakázáno: Pokud přepínač nepodporuje vícedoménové ověřování, zakažte hlasovou síť VLAN a zvažte přiřazení portu k nativní síti VLAN.
  • Cisco Wireless Phone 9821 má v PID jinou předponu než u ostatních Cisco telefonů. Chcete-li, aby telefon prošel ověřováním 802.1X, nastavte Radius· User-Name parametr pro zahrnutí vašeho Cisco Wireless Phone 9821.

    Například PID Cisco Wireless Phone 9821 je WP-9821. Můžete nastavit Radius· User-Name to Start with WP nebo Obsahuje WP v obou následujících částech:

    • Zásady > Podmínky > Podmínky knihovny

    • Zásady > Sady zásad> Zásady autorizace> Autorizační pravidlo 1

Povolení ověřování 802.1X pro kabelové sítě v telefonu

Chcete-li v telefonu povolit ověřování 802.1X pro kabelové sítě, postupujte takto. Ověřování 802.1X pro Wi-Fi je ve výchozím nastavení povoleno a nevyžaduje žádnou ruční konfiguraci.

1

Přístup k nastavení 9821 Settings app icon App.

2

Pokud se zobrazí výzva, zadejte heslo pro přístup do nabídky Nastavení . Heslo můžete získat od správce.

3

Vyberte Nastavení správce> Nastavení zabezpečení> Ověřování 802.1X.

4

Zvýrazněte možnost Ověření zařízení a stiskněte tlačítko Zapnuto.

Povolit ověřování 802.1X pro kabelové sítě na webové stránce telefonu

Je-li pro kabelové sítě povoleno ověřování 802.1X, telefon používá k vyžádání přístupu k síti z portu Ethernet LAN ověřování 802.1X. Pokud je ověřování 802.1X pro kabelové sítě zakázáno, telefon používá Cisco Discovery Protocol (CDP) k získání VLAN a přístupu k síti. Ověřování 802.1X pro Wi-Fi je ve výchozím nastavení povoleno a nevyžaduje žádnou ruční konfiguraci.

Můžete vybrat certifikát (MIC/SUDI nebo CDC) použitý pro ověřování 802.1X. Další informace o CDC naleznete v tématu Custom Device Certificate (Vlastní certifikát zařízení v Cisco Wireless Phone 9821).

Stav transakce a nastavení zabezpečení můžete zobrazit v nabídce obrazovky telefonu. Další informace naleznete v tématu Nabídka Nastavení zabezpečení v telefonu.

1

Povolte ověřování 802.1X.

Vyberte možnosti Hlas > Systém. V části Ověřování 802.1X nastavte parametr Povolit ověřování 802.1X na hodnotu Ano.

Tento parametr můžete také nakonfigurovat v konfiguračním souboru (cfg.XML):

<Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>

Platné hodnoty: Yes|No

Výchozí nastavení: Ne

2

V části Ověřování 802.1X vyberte z rozevíracího seznamu Výběr certifikátu jeden z následujících nainstalovaných certifikátů používaných pro ověřování 802.1X.

Možnosti hodnoty:

  • Výrobce: MIC/SUDI.
  • Vlastní instalované: Vlastní certifikát zařízení (CDC).

Tento parametr můžete také nakonfigurovat v konfiguračním souboru (cfg.XML):

<Certificate_Select ua="rw">Vlastní nainstalováno</Certificate_Select>

Platné hodnoty: Výroba nainstalována |Vlastní instalace

Výchozí nastavení: Výroba nainstalována

3

Nakonfigurujte parametr uživatele ID , který bude použit jako identita pro ověřování 802.1X v kabelové síti.

Tato konfigurace platí pouze v případě, že pro kabelové ověřování 802.1X používáte certifikát CDC (Custom Device Certificate) s možností výběru certifikátu nastavenou na hodnotu Vlastní.

Tento parametr můžete také nakonfigurovat v konfiguračním souboru (cfg.XML):

<Wired_User_ID ua="na"></Wired_User_ID>

Platné hodnoty: Maximálně 127 znaků

Výchozí: prázdné

Tento parametr také podporuje rozšiřující proměnné makra, podrobnosti viz Rozšiřující proměnné makra.

Pokud chcete zřídit uživatele ID s využitím kombinace s DHCP možnostmi, přečtěte si téma zřizování uživatele ID prostřednictvím DHCP možnosti 15.

4

Klikněte na tlačítko Submit All Changes.

Nabídka Nastavení zabezpečení v telefonu

Chcete-li zobrazit informace o nastavení zabezpečení z nabídky telefonu, přejděte do Nastavení 9821 Settings app icon a vyberte Nastavení správce> Nastavení zabezpečení> Ověřování 802.1X. Dostupnost informací závisí na nastavení sítě ve vaší organizaci.

Parametry

Možnosti

Výchozí

Popis

Ověření zařízení

Zapnuto

Vyp.

Vyp.

Povolí nebo zakáže ověřování 802.1X v telefonu.

Nastavení parametrů lze zachovat i po Out-Of-Box (OOB) registraci telefonu.

Stav transakce

Zakázáno

Zobrazuje stav ověřování 802.1X. Stav může být (nejen):

  • Ověřování - označuje, že probíhá proces ověřování.
  • Ověřeno – označuje, že telefon je ověřený.
  • Zakázáno - označuje, že ověřování 802.1x je v telefonu zakázáno.
  • Připojování – označuje, že telefon odesílá na přepínač každých 30 sekund zprávy o spuštění EAP.
  • Získáno - označuje, že přepínač odmítl požadavek telefonu EAP a telefon neobdrží od přepínače žádnou výzvu EAP-TLS nebo EAP-FAST. Telefon se znovu pokouší odeslat požadavky EAP.
  • Odpojeno – označuje, že je odpojený ethernetový kabel.
  • Přidrženo – označuje, že přepínač zpracoval požadavek telefonu EAP, ale odmítl ověření EAP-FAST nebo EAP-TLS. Telefon se znovu pokouší odeslat požadavky EAP.

Protokol

Žádné

Zobrazí metodu EAP, která se používá pro ověřování 802.1X. Protokol může být EAP-FAST nebo EAP-TLS.

Typ certifikátu uživatele

Instalovaná výroba

Vlastní instalace

Instalovaná výroba

Vybere certifikát pro ověřování 802.1X během počátečního zápisu a obnovení certifikátu.

  • Výroba nainstalována – používá se zabezpečený jedinečný identifikátor zařízení (SUDI).
  • Vlastní instalace – používá se certifikát CDC (Custom Device Certificate). Tento typ certifikátu lze nainstalovat buď ručním nahráním na webovou stránku telefonu, nebo instalací ze serveru SCEP (Simple Certificate Enrollment Protocol).

Tento parametr se v telefonu zobrazí pouze v případě, že je povoleno ověření zařízení.

Změna uživatelských hesel a hesel správce

Při počáteční registraci v systému řízení hovorů nebo po obnovení továrního nastavení musíte při prvním přístupu na webovou stránku správy telefonu nakonfigurovat uživatelská hesla i hesla správce. Tyto přihlašovací údaje můžete kdykoli aktualizovat, abyste zachovali zabezpečení zařízení.

Mezi platná pravidla hesel patří:

  • Heslo musí obsahovat alespoň 8 až 127 znaků.
  • Kombinace (tři ze čtyř typů) velkého písmene, malého malého písmene, čísla a speciálního znaku.
  • Mezery nejsou povoleny.
1

Přejděte na webovou stránku správy telefonu.

2

Vyberte možnosti Hlas > Systém.

3

(Volitelné) V části Konfigurace systému nastavte parametr Zobrazit upozornění na heslo na hodnotu Ano a potom klikněte na tlačítko Odeslat všechny změny.

Můžete také povolit parametry v konfiguračním souboru telefonu (cfg.XML).

<Display_Password_Warnings ua="na">Ano</Display_Password_Warnings>

Výchozí hodnota: Ano

Možnosti: Ano|Ne

Pokud je parametr nastaven na hodnotu Ne, upozornění na heslo se na displeji telefonu nezobrazí.

4

Vyhledejte parametr Uživatelské heslo nebo Heslo správce a klikněte na Změnit heslo vedle parametru.

5

Zadejte aktuální heslo uživatele do pole Staré heslo .

6

Zadejte nové heslo do pole Nové heslo .

Pokud nové heslo nesplňuje platná pravidla pro heslo, bude nastavení odepřeno.

7

Klikněte na příkaz Odeslat.

Na webové stránce se zobrazí zpráva Heslo bylo úspěšně změněno. Webová stránka se obnoví za několik sekund.

Po nastavení uživatelského hesla zobrazí tento parametr v souboru XML konfigurace telefonu (cfg.XML):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Nastavení minimální verze TLS pro klienta a server

Ve výchozím nastavení je minimální verze TLS pro klienta a server 1.2. To znamená, že klient a server akceptují navázání připojení s TLS 1.2 nebo vyšším. Maximální podporovaná verze TLS pro klienta a server je 1,3. Po nakonfigurování bude pro vyjednávání mezi klientem TLS a serverem TLS použita minimální verze TLS.

Můžete nastavit minimální verzi TLS pro klienta a server, například 1.1, 1.2 nebo 1.3.

Než začnete

Ujistěte se, že server TLS podporuje nakonfigurovanou minimální verzi TLS. Můžete se poradit se správcem systému řízení hovorů.

1

Přejděte na webovou stránku správy telefonu.

2

Vyberte možnosti Hlas > Systém.

3

V sekci Nastavení zabezpečení nakonfigurujeme parametr TLS Minimální verze klienta.

  • TLS 1.1: Klient TLS podporuje verze TLS od 1.1 do 1.3.

    Pokud je verze TLS na serveru nižší než 1,1, připojení nelze navázat.

  • TLS 1.2 (výchozí): Klient TLS podporuje TLS 1.2 a 1.3.

    Pokud je verze TLS na serveru nižší než 1,2, například 1,1, nelze připojení navázat.

  • TLS 1.3: Klient TLS podporuje pouze TLS 1.3.

    Pokud je verze TLS na serveru nižší než 1,3, například 1,2 nebo 1,1, nelze připojení navázat.

    Pokud chcete nastavit parametr "TLS Client Min Version" na "TLS 1.3", ujistěte se, že strana serveru podporuje TLS 1.3. Pokud strana serveru nepodporuje TLS 1.3, může to způsobit kritické problémy. Operace zřizování například nelze provádět na telefonech.

Tento parametr můžete také nakonfigurovat v konfiguračním souboru (cfg.XML):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Povolené hodnoty: TLS 1.1, TLS1.2 a TLS 1.3.

Výchozí hodnota: TLS 1.2

4

V sekci Nastavení zabezpečení nakonfigurujeme parametr TLS Minimální verze serveru.

Webex Calling nepodporuje TLS 1.1.

  • TLS 1.1: Server TLS podporuje verze TLS od 1.1 do 1.3.

    Pokud je verze TLS v klientovi nižší než 1,1, připojení nelze navázat.

  • TLS 1.2 (výchozí): Server TLS podporuje TLS 1.2 a 1.3.

    Pokud je verze TLS v klientovi nižší než 1,2, například 1,1, nelze připojení navázat.

  • TLS 1.3: Server TLS podporuje pouze TLS 1.3.

    Pokud je verze TLS v klientovi nižší než 1,3, například 1,2 nebo 1,1, nelze připojení navázat.

Tento parametr můžete také nakonfigurovat v konfiguračním souboru (cfg.XML):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Povolené hodnoty: TLS 1,1, TLS1.2 a TLS 1,3.

Výchozí hodnota: TLS 1.2

5

Klikněte na tlačítko Submit All Changes.

Povolit režim iniciovaný klientem pro vyjednávání zabezpečení roviny médií

Chcete-li chránit relace médií, můžete telefon nakonfigurovat tak, aby se serverem zahájil jednání o zabezpečení roviny médií. Mechanismus zabezpečení se řídí standardy uvedenými v RFC 3329 a jeho návrhu rozšíření Security Mechanism Names for Media (viz https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Přenos jednání mezi telefonem a serverem může používat protokol SIP přes UDP, TCP, a TLS. Můžete omezit, že vyjednávání zabezpečení roviny média je použito pouze v případě, že signalizační transportní protokol je TLS.

Tabulka 2. Parametry pro vyjednávání zabezpečení roviny médií
ParametrPopis

Požadavek MediaSec

Určuje, zda telefon zahájí jednání o zabezpečení roviny média se serverem.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <MediaSec_Request_1_ ua="na">Ano</MediaSec_Request_1_>
  • Ve webovém rozhraní telefonu nastavte toto pole podle potřeby na Ano nebo Ne .

Povolené hodnoty: Ano|Ne

  • Ano – režim iniciovaný klientem. Telefon zahájí jednání o bezpečnosti mediálního letadla.
  • Ne – režim iniciovaný serverem. Server zahájí jednání o zabezpečení mediální roviny. Telefon neiniciuje vyjednávání, ale může zpracovávat požadavky na vyjednávání ze serveru pro navázání zabezpečených hovorů.

Výchozí nastavení: Ne

MediaSec pouze přes TLS

Určuje signalizační přenosový protokol, přes který je použito vyjednávání zabezpečení roviny média.

Před nastavením tohoto pole na hodnotu Ano se ujistěte, že signalizační transportní protokol je TLS.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>

  • Ve webovém rozhraní telefonu nastavte toto pole podle potřeby na Ano nebo Ne .

Povolené hodnoty: Ano|Ne

  • Ano – Telefon zahájí nebo zpracovává jednání o zabezpečení mediální roviny pouze v případě, že signalizační transportní protokol je TLS.
  • Ne – Telefon zahájí a vyřídí jednání o zabezpečení roviny médií bez ohledu na signalizační přenosový protokol.

Výchozí nastavení: Ne

1

Přejděte na webovou stránku správy telefonu.

2

Vyberte možnost Hlas > Linka (n).

3

V části Nastavení SIP nastavte pole Požadavek MediaSec a MediaSec přes TLS Only , jak je definováno ve výše uvedené tabulce.

4

Klikněte na tlačítko Submit All Changes.

Byl tento článek užitečný?
Byl tento článek užitečný?