Konfigurer DHCP-indstillinger

Du kan angive den rækkefølge, som telefonen bruger DHCP-indstillingerne i. For hjælp med DHCP-indstillinger, se DHCP valgmulighedsunderstøttelse.

1

Gå til websiden til telefonadministration

2

Vælg Tale > Klargøring.

3

I Konfigurationsprofil afsnittet, indstil DHCP Mulighed at bruge og DHCPv6-mulighed at bruge parametre som beskrevet nedenfor:

  • DHCP Mulighed at bruge DHCP-indstillinger, afgrænset af kommaer, bruges til at hente firmware og profiler.

    Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.XML):

    <DHCP_Option_To_Use ua="na">66,160,159,150</DHCP_Option_To_Use>

    Misligholdelse: 66,160,159,150 eller 66,160,159,150,60,43,125 afhængigt af telefonmodellen

  • DHCPv6-mulighed at bruge DHCPv6-indstillinger, afgrænset af kommaer, bruges til at hente firmware og profiler.

    Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.XML):

    <DHCPv6_Option_To_Use ua="na">17,160,159</DHCPv6_Option_To_Use>

    Misligholdelse: 17,160,159

4

Klik på Send alle ændringer.

DHCP valgmulighedsunderstøttelse

Følgende tabel viser de DHCP-indstillinger, der understøttes på PhoneOS-telefonerne.

NetværksstandardBeskrivelse
DHCP-indstilling 1Undernetmaske
DHCP-indstilling 2Tidsforskydning
DHCP-indstilling 3Router
DHCP-indstilling 6DNS (Domain name server)
DHCP-indstilling 15Domænenavn
DHCP-indstilling 17Oplysninger, der identificerer og er specifikke for leverandør
DHCP-indstilling 41Leasetid for IP-adresse
DHCP-indstilling 42NTP-server
DHCP-indstilling 43Leverandørspecifikke oplysninger

Kan bruges til at angive SCEP-konfigurationen.

DHCP-indstilling 56NTP-server

Konfiguration af NTP-server med IPv6

DHCP-indstilling 60Id for leverandørklasse
DHCP-indstilling 66TFTP-servernavn
DHCP-indstilling 125Oplysninger, der identificerer og er specifikke for leverandør
DHCP-indstilling 150TFTP-server
DHCP-indstilling 159IP-adresse for klargøringstjeneste
DHCP-indstilling 160URL-adresse til klargøring

Angiv minimum TLS-versionen for klient og server

Som standard er den mindste TLS-version for klient og server 1.2. Det betyder, at klienten og serveren accepterer at etablere forbindelser med TLS 1.2 eller nyere. Den understøttede maksimale version af TLS til klient og server er 1.3. Når den er konfigureret, vil minimum TLS-versionen blive brugt til forhandling mellem TLS-klienten og TLS-serveren.

Du kan indstille minimumversionen af TLS for henholdsvis klient og server, f.eks. 1.1, 1.2 eller 1.3.

Før du begynder

Sørg for, at TLS-serveren understøtter den minimumkonfigurerede TLS-version. Du kan kontakte administratoren af opkaldsstyringssystemet.
1

Gå til websiden til telefonadministration

2

Vælg Tale > System.

3

I sektionen Sikkerhedsindstillinger, konfigurer parameteren TLS Klient Min. version.

  • TLS 1.1 TLS-klienten understøtter versionerne af TLS fra 1.1 til 1.3.

    Hvis TLS-versionen på serveren er ældre end 1.1, kan forbindelsen ikke oprettes.

  • TLS 1.2 (standard): TLS-klienten understøtter TLS 1.2 og 1.3.

    Hvis TLS-versionen på serveren er ældre end 1.2, for eksempel 1.1, kan forbindelsen ikke oprettes.

  • TLS 1.3 TLS-klienten understøtter kun TLS 1.3.

    Hvis TLS-versionen på serveren er ældre end 1.3, for eksempel 1.2 eller 1.1, kan forbindelsen ikke oprettes.

    Hvis du vil indstille parameteren "TLS Klient Min. Version" til "TLS 1.3", skal du sørge for, at serversiden understøtter TLS 1.3. Hvis serversiden ikke understøtter TLS 1.3, kan dette forårsage kritiske problemer. For eksempel kan klargøringshandlingerne ikke udføres på telefonerne.

Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.XML):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Tilladte værdier: TLS 1.1, TLS1.2 og TLS 1.3.

Standard: TLS 1.2

4

I sektionen Sikkerhedsindstillinger, konfigurer parameteren TLS Server Min. version.

Webex Calling understøtter ikke TLS 1.1.

  • TLS 1.1 TLS-serveren understøtter versionerne af TLS fra 1.1 til 1.3.

    Hvis TLS-versionen i klienten er ældre end 1.1, kan forbindelsen ikke oprettes.

  • TLS 1.2 (standard): TLS-serveren understøtter TLS 1.2 og 1.3.

    Hvis TLS-versionen i klienten er ældre end 1.2, for eksempel 1.1, kan forbindelsen ikke oprettes.

  • TLS 1.3 TLS-serveren understøtter kun TLS 1.3.

    Hvis TLS-versionen i klienten er ældre end 1.3, for eksempel 1.2 eller 1.1, kan forbindelsen ikke oprettes.

Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.XML):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Tilladte værdier: TLS 1.1, TLS1.2 og TLS 1.3.

Standard: TLS 1.2

5

Klik på Send alle ændringer.

Aktivér FIPS-tilstand

Du kan gøre en telefon kompatibel med Federal Information Processing Standards (FIPS).

FIPS er et sæt standarder, der beskriver dokumentbehandling, krypteringsalgoritmer og andre informationsteknologiske standarder til brug inden for ikke-militær regering og af offentlige entreprenører og leverandører, der arbejder med agenturerne. CiscoSSL FOM (FIPS Object Module) er en omhyggeligt defineret softwarekomponent, der er designet til kompatibilitet med CiscoSSL-biblioteket, så produkter, der bruger CiscoSSL-biblioteket og API, kan konverteres til at bruge FIPS 140-2-valideret kryptografi med minimal indsats.

1

Gå til websiden til telefonadministration

2

Vælg Tale > System.

3

I Sikkerhedsindstillinger sektion, vælg Ja eller Ingen fra den FIPS-tilstand parameter.

4

Klik på Send alle ændringer.

Når du aktiverer FIPS, fungerer følgende funktioner problemfrit på telefonen:
  • Godkendelse af afbildning
  • Sikker opbevaring
  • Kryptering af konfigurationsfiler
  • TLS:
    • HTTP'er
    • PRT-overførsel
    • Firmwareopgradering
    • Profilgensynkronisering
    • Service ombord
    • Webex onboarding
    • SIP via TLS
    • 802.1x (kablet)
  • SIP sammendrag (RFC 8760)
  • SRTP
  • Webex opkaldslogge og Webex-bibliotek
  • Én knap at trykke på (OBTP)

Indstil bruger- og administratoradgangskoder

Når telefonen er registreret i et opkaldsstyringssystem første gang, eller du har foretaget en fabriksnulstilling på telefonen, skal du indstille bruger- og administratoradgangskoder for at forbedre telefonens sikkerhed. Når adgangskoderne er angivet, kan du få adgang til telefonens webgrænseflade.

Som standard er bruger- og administratoradgangskoderne tomme. Derfor kan du finde problemet "Ingen adgangskode angivet" på Indstillinger > Problemer og diagnosticering > Problemer telefonskærm.

1

Gå til websiden til telefonadministration

2

Vælg Tale > System.

3

(Valgfrit) I Systemkonfiguration afsnittet, indstil Vis adgangskodeadvarsler parameter til Ja, og klik derefter på Send alle ændringer.

Du kan også aktivere parametrene i telefonens konfigurationsfil (cfg.XML).

<Display_Password_Warnings ua="na">Ja</Display_Password_Warnings>

Standard: ja

Valgmuligheder: Ja|Nej

Hvis parameteren er indstillet til Nej, vises advarslen om adgangskoden ikke på telefonskærmen.

4

Find parameteren User Password eller Admin Password, og klik på Skift adgangskode ud for parameteren.

5

Indtast den aktuelle brugeradgangskode i feltet Gammel adgangskode .

Hvis du ikke har en adgangskode, skal du lade feltet være tomt. Standardværdien er tom.
6

Indtast en ny adgangskode i feltet Ny adgangskode .

Regler for gyldig adgangskode:

  • Adgangskoden skal indeholde mindst 8 til 127 tegn.
  • En kombination (3/4) af stort bogstav, lille lille lille bogstav, tal og specialtegn.
  • Plads er ikke tilladt.

Hvis den nye adgangskode ikke opfylder kravene, afvises indstillingen.

7

Klik på Send.

Meddelelsen Adgangskode er blevet ændret. vises på websiden. Websiden opdateres om flere sekunder.

Når du har angivet brugeradgangskoden, viser denne parameter følgende i telefonkonfigurationsfil XML (cfg.XML):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

802.1X autentificering

Cisco IP-telefon understøtter 802.1X-godkendelse.

Cisco IP-telefon og Cisco Catalyst-switches bruger traditionelt set Cisco Discovery Protocol (CDP) til at identificere hinanden og bestemme parametre som f.eks. VLAN-tildeling og integreret strømkrav. CDP identificerer ikke lokalt tilknyttede arbejdsstationer. Cisco IP-telefon har en EAPOL-gennemføringsmekanisme. Denne mekanisme giver mulighed for, at en arbejdsstation, der er knyttet til Cisco IP-telefon, kan overføre EAPOL-meddelelser til 802.1X-godkendelsesfunktionen på LAN-switchen. Gennemføringsmekanismen sikrer, at IP-telefonen ikke fungerer som den LAN-switch, der skal godkende et dataslutpunkt før adgang til netværket.

Cisco IP-telefon har også en proxymekanisme til EAPOL-aflogning. Hvis den lokalt tilknyttede pc kobles fra IP-telefonen, ser LAN-kontakten ikke afbrydelsen af det fysiske link, fordi linket mellem LAN-switchen og IP-telefonen bevares. For at undgå at kompromittere netværkets integritet sender IP-telefonen en meddelelse om EAPOL-aflogning til switchen på vegne af nedstrøms-pc'en, der får LAN-switchen til at rydde godkendelsesposten for nedstrøms-pc'en.

Understøttelse af 802.1X-godkendelse kræver flere komponenter:

  • Cisco IP-telefon: Telefonen starter anmodningen for at få adgang til netværket. Cisco IP-telefon indeholder en 802.1X-supplikant. Denne supplikant giver netværksadministratorer kontrol over forbindelsen mellem IP-telefoner og porte på LAN-switch. Den aktuelle version af telefonens 802.1X-supplikant bruger EAP-FAST- og EAP-TLS-indstillingerne til netværksgodkendelse.

  • Godkendelsesserver: Godkendelsesserveren og switchen skal begge være konfigureret med en delt hemmelighed, der godkender telefonen.

  • Switch: Switchen skal understøtter 802.1X, så den kan fungere som godkendelsesfunktion og sender meddelelserne mellem telefonen og godkendelsesserveren. Når udvekslingen er fuldført, giver eller afviser switchen at give telefonen adgang til netværket.

Du skal udføre følgende handlinger for at konfigurere 802.1X.

  • Konfigurer de andre komponenter, før du aktiverer 802.1X-godkendelse på telefonen.

  • Konfigurer pc-port: 802.1X-standarden tager ikke højde for VLAN'er og anbefaler derfor, at der kun godkendes én enkelt enhed til en bestemt switchport. Visse switches understøtter imidlertid godkendelse på flere domæner. Konfigurationen af switchen bestemmer, om du kan forbinde en pc til telefonens pc-port.

    • Aktiveret: Hvis du bruger en switch, der understøtter godkendelse på flere domæner, kan du aktivere pc-porten og tilslutte en pc til den. I dette tilfælde understøtter Cisco IP-telefon proxy-EAPOL-aflogning for at overvåge godkendelsesudvekslingen mellem switchen og den tilsluttede pc.

      Få flere oplysninger om IEEE 802.1X-understøttelse på Cisco Catalyst-switches ved at se vejledninger i konfiguration af Cisco Catalyst-switchen på:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Deaktiveret: Hvis switchen ikke understøtter flere 802.1X-kompatible enheder på den samme port, skal du deaktivere pc-porten, når 802.1X-godkendelse er aktiveret. Hvis du ikke deaktiverer denne port og derefter forsøger at tilslutte en pc til den, afviser switchen netværksadgang til både telefonen og pc'en.

  • Konfigurer tale-VLAN: Da 802.1X-standarden ikke tager højde for VLAN'er, skal du konfigurere denne indstilling ud fra switchunderstøttelsen.
    • Aktiveret: Hvis du bruger en switch, der understøtter godkendelse på flere domæner, kan du fortsat bruge tale-VLAN'et.
    • Deaktiveret: Hvis switchen ikke understøtter godkendelse på flere domæner, skal du deaktivere tale-VLAN'et og overveje at tildele porten til det indbyggede VLAN.
  • (Kun for Cisco Desk Phone 9800 Series)

    Cisco Skrivebordstelefon 9800-serien har et andet præfiks i PID end for de andre Cisco telefoner. Indstil Radius· for at aktivere din telefon til at passere 802.1X-godkendelse Parameteren Brugernavn , der inkluderer din Cisco skrivebordstelefon 9800-serien.

    For eksempel er PID på telefon 9841 DP-9841; du kan indstille Radius· Brugernavn : Starter med DP eller indeholder DP. Du kan angive det i begge følgende afsnit:

    • Politik > Betingelser > Biblioteksbetingelser

    • Politik > Politiksæt> Autorisationspolitik > Autorisationsregel 1

Aktivér 802.1X-godkendelse på telefonens webside

Når 802.1X-godkendelse er aktiveret, bruger telefonen 802.1X-godkendelse til at anmode om netværksadgang. Når 802.1X-godkendelse er deaktiveret, bruger telefonen Cisco Discovery Protocol (CDP) til at hente VLAN og netværksadgang.

Du kan vælge et certifikat (MIC/SUDI eller CDC), der bruges til 802.1X-godkendelse. Du kan finde flere oplysninger om CDC under Custom Device Certificate på 9800/8875.

Du kan se transaktionsstatus og sikkerhedsindstillinger i telefonens skærmmenu. Du kan finde flere oplysninger under Menuen Sikkerhedsindstillinger på telefonen.

1

Aktivér 802.1X-godkendelse.

Vælg Voice >System , og indstil parameteren Enable 802.1X Authentication (Aktivér 802.1X-godkendelse ) til Ja.

Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.XML):

<Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>

Gyldige værdier: Ja|Nej

Standard: nej

2

Vælg et af følgende installerede certifikater, der bruges til 802.1X-godkendelse.

Værdiindstillinger:

  • Produktion installeret: MIC/SUDI.
  • Specialinstalleret: CDC (Custom Device Certificate).

Konfigurationen varierer afhængigt af netværket:

  • For det kablede netværk skal du vælge Stemme>System og vælge en certifikattype på rullelisten Certifikat Vælg i afsnittet 802.1X-godkendelse.

    Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.XML):

    <Certificate_Select ua="rw">Brugerdefineret installeret</Certificate_Select>

    Gyldige værdier: Produktion installeret|Specialinstalleret

    Standard: Produktion installeret

  • For det trådløse netværk skal du vælge Stemme > System og vælge en certifikattype på rullelisten Vælg certifikat i afsnittet Wi-Fi Profil 1.

    Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.XML):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Brugerdefineret installeret</Wi-Fi_Certificate_Select_1_>

    Gyldige værdier: Produktion installeret|Specialinstalleret

    Standard: Produktion installeret

3

Konfigurer parameteren bruger-id, der skal bruges som identitet for 802.1X-godkendelse på det kablede netværk.

Parameterkonfigurationen træder kun i kraft, når CDC bruges til den kablede 802.1X-godkendelse (Valg af certifikat er indstillet til Brugerdefineret installeret).

Denne parameter er som standard tom. Identiteten for kablet 802.1X varierer afhængigt af det valgte certifikat:

  • Hvis MIC/SUDI er valgt, vises den kablede 802.1X-identitet som følger:

    <Produktnavn> + SEP<MAC-adresse>.

    Eksempler: DP-98xx-SEP<MAC adresse>, CP-8875-SEP<MAC adresse>.

  • Hvis CDC er valgt, bruges Common Name i CDC som identitet for kablet 802.1X.

Hvis bruger-id'et er tomt, og Common Name i CDC er konfigureret, bruger den kablede 802.1X CDC Common Name som identitet.

Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.XML):

<Wired_User_ID ua="na"></Wired_User_ID>

Gyldige værdier: Maksimalt 127 tegn

Standard: tom

Denne parameter understøtter også makroekspansionsvariabler, se Makroudvidelsesvariabler for at få flere oplysninger.

Hvis du vil bruge DHCP-indstillinger til at klargøre bruger-id'et, skal du se Klargøring af almindeligt navn eller bruger-id via DHCP-indstilling 15.

4

Klik på Send alle ændringer.

Menuen Sikkerhedsindstillinger på telefonen

Du kan få vist oplysninger om sikkerhedsindstillingerne i telefonmenuen. Navigationsstien er: Indstillinger > Netværk og service > Sikkerhedsindstillinger. Tilgængeligheden af oplysningerne afhænger af netværksindstillingerne i din organisation.

Parametre

Indstillinger

Standard

Beskrivelse

Enhedsgodkendelse

Til

Fra

Fra

Aktiverer eller deaktiverer 802.1X-godkendelse på telefonen.

Parameterindstillingen kan bevares efter telefonens Out-Of-Box (OOB)-registrering.

Transaktionsstatus

Deaktiveret

Viser status for 802.1X-godkendelse. Staten kan være (ikke begrænset til):

  • Godkender: Angiver, at godkendelsesprocessen er i gang.
  • Godkendt: : Angiver, at telefonen er godkendt.
  • Afbrudt: : Angiver, at 802.1x-godkendelse er deaktiveret på telefonen.

Protokol

Ingen

Viser metoden EAP, der bruges til 802.1X-godkendelse. Protokollen kan være EAP-FAST eller EAP-TLS.

Brugercertifikattype

Produktion installeret

Specialinstalleret

Produktion installeret

Vælger certifikatet til 802.1X-godkendelse under den første tilmelding og certifikatfornyelse.

  • Produktion installeret – Manufacturing Installed Certificate (MIC) og SUDI (Secure Unique Device Identifier) bruges.
  • Brugerdefineret installeret – CDC'et (Custom Device Certificate) bruges. Denne type certifikat kan installeres enten ved manuel overførsel på telefonens webside eller ved installation fra en SCEP-server (Simple Certificate Enrollment Protocol).

Denne parameter vises kun på telefonen, når enhedsgodkendelse er aktiveret.

Bagudkompatibilitet med WPA

Til

Fra

Fra

Bestemmer, om den ældste version af Wi-Fi beskyttet adgang (WPA) er kompatibel på telefonen for at oprette forbindelse til et trådløst netværk eller adgangspunkt (AP).

  • Hvis indstillingen er aktiveret, kan telefonen søge efter og oprette forbindelse til trådløse netværk med alle versioner af WPA understøttet, herunder WPA, WPA2 og WPA3. Derudover kan telefonen søge efter og oprette forbindelse til adgangspunkter, der kun understøtter den ældste version af WPA.
  • Hvis indstillingen er deaktiveret (standard), kan telefonen kun søge efter og oprette forbindelse til de trådløse netværk og adgangspunkter, der understøtter WPA2 og WPA3.

Denne funktion er kun tilgængelig på telefoner 9861/9871/8875.

Konfigurer en proxyserver

Du kan konfigurere telefonen til at bruge en proxyserver for at forbedre sikkerheden. En HTTP-proxyserver kan typisk levere følgende tjenester:

  • Dirigering af trafik mellem interne og eksterne netværk
  • Filtrering, overvågning eller logning af trafik
  • Cachelagringssvar for at forbedre ydeevnen

HTTP-proxyserveren kan også fungere som en firewall mellem telefonen og internettet. Efter en vellykket konfiguration opretter telefonen forbindelse til internettet via proxyserveren, som beskytter telefonen mod cyberangreb.

Når den er konfigureret, gælder HTTP-proxyfunktionen for alle programmer, der bruger HTTP-protokollen. For eksempel:

  • GDS (Activation Code Onboarding)
  • Aktivering af EDOS-enhed
  • Onboarding til Webex Cloud (via EDOS eller GDS)
  • Brugerdefineret CA
  • Klargøring
  • Opgradering af firmware
  • Telefonstatusrapport
  • PRT-overførsel
  • XSI-tjenester
  • Webex Tjenester

  • I øjeblikket understøtter funktionen kun IPv4.
  • HTTP-proxyindstillingerne kan bevares efter telefonens Out-Of-Box (OOB)-registrering.

1

Gå til websiden til telefonadministration

2

Vælg Tale > System.

3

I afsnittet HTTP-proxyindstillinger skal du vælge en proxytilstand fra rullelisten Proxytilstand og konfigurere de relaterede parametre.

Du kan finde flere oplysninger om parametrene og de påkrævede parametre for hver proxytilstand under Parametre for HTTP-proxyindstillinger .

4

Klik på Send alle ændringer.

Parametre for HTTP-proxyindstillinger

Følgende tabel definerer funktionen og brugen af HTTP-proxyparametrene i afsnittet HTTP> proxyindstillinger under VoiceSystem Tab i telefonens webgrænseflade. Den definerer også syntaksen for den streng, der tilføjes i telefonkonfigurationsfilen (cfg.xml) med XML-kode, for at konfigurere en parameter.

ParameterBeskrivelse
ProxytilstandAngiver den HTTP-proxytilstand, som telefonen bruger, eller deaktiverer HTTP-proxyfunktionen.
  • Auto

    Telefonen henter automatisk en PAC-fil (Proxy Auto-Configuration) for at vælge en proxyserver. I denne tilstand kan du bestemme, om du vil bruge WPAD-protokollen (Web Proxy Auto Discovery) til at hente en PAC-fil eller manuelt angive en gyldig URL-adresse til PAC-filen.

    Du kan finde flere oplysninger om parametrene i parametrene "Web Proxy Auto Discovery" og "PAC URL" i denne tabel.

  • Manuel

    Du skal manuelt angive en server (værtsnavn eller IP-adresse) og en port til en proxyserver.

    Du kan finde flere oplysninger om parametrene under Proxyvært og Proxyport.

  • Fra

    Du deaktiverer HTTP-proxyfunktionen på telefonen.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Proxy_Mode ua="rw">Fra</Proxy_Mode>

  • Vælg en proxytilstand på telefonens webgrænseflade, eller deaktiver funktionen.

Tilladte værdier: Auto, Manuel og Fra

Standard: fra

Web Proxy Auto DiscoveryBestemmer, om telefonen bruger WPAD-protokollen (Web Proxy Auto Discovery) til at hente en PAC-fil.

WPAD-protokollen bruger DHCP eller DNS eller begge netværksprotokoller til automatisk at finde en PAC-fil (Proxy Auto Configuration). PAC-fil bruges til at vælge en proxyserver til en given URL. Denne fil kan hostes lokalt eller på et netværk.

  • Parameterkonfigurationen træder i kraft, når proxytilstand er indstillet til Auto.
  • Hvis du indstiller parameteren til Nej, skal du angive en PAC-URL-adresse.

    Du kan få flere oplysninger om parameteren i parameteren "PAC URL" i denne tabel.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Web_Proxy_Auto_Discovery ua="rw">Ja</Web_Proxy_Auto_Discovery>

  • På telefonens webgrænseflade skal du vælge Ja eller Nej efter behov.

Tilladte værdier: Ja og Nej

Standard: ja

PAC-URL-adresseURL-adressen til en PAC-fil.

For eksempel, http://proxy.department.branch.example.com

TFTP, HTTP og HTTPS understøttes.

Hvis du indstiller proxytilstand til automatisk registrering og automatisk registrering af webproxy til Nej, skal du konfigurere denne parameter.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL>

  • På telefonens webgrænseflade skal du angive en gyldig URL-adresse, der findes til en PAC-fil.

Standard: tom

Proxy-værtIP adresse eller værtsnavn på den proxyværtsserver, som telefonen skal have adgang til. For eksempel:

proxy.example.com

Ordningen (http:// eller https://) er ikke påkrævet.

Hvis du indstiller proxytilstand til Manuel, skal du konfigurere denne parameter.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Proxy_Host ua="rw">proxy.example.com</Proxy_Host>

  • Angiv en IP-adresse eller et værtsnavn på proxyserveren på telefonens webgrænseflade.

Standard: tom

Proxy PortPortnummer for proxyværtsserveren.

Hvis du indstiller proxytilstand til Manuel, skal du konfigurere denne parameter.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Proxy_Port ua="rw">3128</Proxy_Port>

  • Indtast en serverport på telefonens webgrænseflade.

Standard: 3128

ProxygodkendelseBestemmer, om brugeren skal angive de legitimationsoplysninger til godkendelse (brugernavn og adgangskode), som proxyserveren kræver. Denne parameter konfigureres i henhold til proxyserverens faktiske adfærd.

Hvis du indstiller parameteren til Ja, skal du konfigurere brugernavn og adgangskode.

For detaljer om parametrene, se parameteren "Brugernavn" og "Adgangskode" i denne tabel.

Parameterkonfigurationen træder i kraft, når proxytilstand er indstillet til Manuel .

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Proxy_Authentication ua="rw">Nej</Proxy_Authentication>

  • Indstil dette felt Ja eller Nej efter behov på telefonens webgrænseflade.

Tilladte værdier: Ja og Nej

Standard: nej

BrugernavnBrugernavn for en bruger med legitimationsoplysninger på proxyserveren.

Hvis Proxytilstand er indstillet til Manuel , og Proxygodkendelse er indstillet til Ja, skal du konfigurere parameteren.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Proxy_Username ua="rw">Eksempel</Proxy_Username>

  • Angiv brugernavnet på telefonens webgrænseflade.

Standard: tom

AdgangskodeAdgangskode for det angivne brugernavn til proxygodkendelsesformålet.

Hvis Proxytilstand er indstillet til Manuel og Proxygodkendelse er indstillet til Ja, skal du konfigurere parameteren.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Proxy_Password ua="rw">Eksempel</Proxy_Password>

  • Indtast en gyldig adgangskode til brugerens proxy-godkendelse på telefonens webgrænseflade.

Standard: tom

Tabel 1. Krævede parametre for hver proxytilstand
ProxytilstandNødvendige parametreBeskrivelse
FraI/THTTP-proxy er deaktiveret på telefonen.
ManuelProxy-vært

Proxy Port

Proxy-godkendelse: Ja

Brugernavn

Adgangskode

Angiv manuelt en proxyserver (et værtsnavn eller en IP-adresse) og en proxyport. Hvis proxyserveren kræver godkendelse, skal du yderligere indtaste brugernavn og adgangskode.
Proxy-vært

Proxy Port

Proxy-godkendelse: Nej

Angiv manuelt en proxyserver. Proxyserveren kræver ikke godkendelsesoplysninger.
AutoAutomatisk registrering af webproxy: Nej

PAC-URL-adresse

Indtast en gyldig PAC-URL for at hente PAC-filen.
Automatisk registrering af webproxy: Ja

Bruger WPAD-protokollen til automatisk at hente en PAC-fil.

Aktivér klientinitieret tilstand for sikkerhedsforhandlinger på medieplanet

For at beskytte mediesessioner kan du konfigurere telefonen til at starte sikkerhedsforhandling i medieplan med serveren. Sikkerhedsmekanismen følger standarderne angivet i RFC 3329 og dets udvidelsesudkast til navne på sikkerhedsmekanismer for medier (se https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Transport af forhandlinger mellem telefonen og serveren kan bruge SIP-protokol over UDP, TCP og TLS. Du kan begrænse, at sikkerhedsforhandling i medieplan kun anvendes, når signaltransportprotokollen er TLS.

Tabel 2. Parametre for forhandling af medieplansikkerhed
ParameterBeskrivelse

MediaSec-anmodning

Angiver, om telefonen starter sikkerhedsforhandling i medieplan med serveren.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <MediaSec_Request_1_ ua="na">Ja</MediaSec_Request_1_>
  • I telefonens webgrænseflade skal du indstille dette felt til Ja eller Nej efter behov.

Tilladte værdier: Ja | Nej

  • Ja – klientinitieret tilstand. Telefonen starter sikkerhedsforhandling i medieplan.
  • Nej – serverinitieret tilstand. Serveren starter sikkerhedsforhandling i medieplan. Telefonen starter ikke forhandlinger, men kan håndtere forhandlingsanmodninger fra serveren for at oprette sikre opkald.

Standard: nej

Kun MediaSec over TLS

Angiver den signaleringstransportprotokol, som sikkerhedsforhandling i medieplanen gælder for.

Før du indstiller dette felt til Ja, skal du kontrollere, at signaleringstransportprotokollen er TLS.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <MediaSec_Over_TLS_Only_1_ ua="na">Nej</MediaSec_Over_TLS_Only_1_>

  • I telefonens webgrænseflade skal du indstille dette felt til Ja eller Nej efter behov.

Tilladte værdier: Ja | Nej

  • Ja – telefonen starter eller håndterer kun sikkerhedsforhandlinger i medieplanet, når signaleringstransportprotokollen er TLS.
  • Nej– telefonen starter og håndterer sikkerhedsforhandlinger i medieplan uanset signaleringstransportprotokollen.

Standard: nej

1

Gå til websiden til telefonadministration

2

Vælg Tale > Lokalnr. (n).

3

I afsnittet SIP Indstillinger skal du angive felterne MediaSec-anmodning og MediaSec over TLS kun som defineret i ovenstående tabel.

4

Klik på Send alle ændringer.

WLAN-sikkerhed

Da alle WLAN-enheder, der er inden for rækkevidde, kan modtage alle andres WLAN-trafik, er beskyttelse af talekommunikation vigtigt i WLAN. For at sikre, at ubudne gæster ikke manipulerer eller opfanger taletrafik, understøtter Cisco SAFE Security-arkitekturen telefonen. Få flere oplysninger om sikkerhed i netværk under http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Den trådløse Cisco-telefoniløsning leverer trådløs netværkssikkerhed, der forhindrer uautoriserede logins og kompromitteret kommunikation ved hjælp af følgende godkendelsesmetoder, som telefonen understøtter:

  • Åben godkendelse: Trådløse enheder kan anmode om godkendelse i et åbent system. Det AP, der modtager anmodningen, kan give godkendelse til en person eller kun de anmodere, der findes på en liste over brugere. Kommunikationen mellem den trådløse enhed og adgangspunktet (AP) kan være ukrypteret.

  • Extensible Authentication Protocol - Fleksibel godkendelse via sikker tunnelering (EAP-FAST) Godkendelse: Denne klient-server-sikkerhedsarkitektur krypterer EAP-transaktioner i en Transport Level Security (TLS) tunnel mellem AP'et og RADIUS-serveren, f.eks. Identity Services Engine (ISE).

    TLS-tunnelen bruger PAC'er (Protected Access Credentials) til godkendelse mellem klienten (telefon) og RADIUS-serveren. Serveren sender et AID (Authority ID) til klienten (telefonen), som gengæld vælger det relevante PAC. Klienten (telefonen) returnerer en PAC-Opaque til RADIUS-serveren. Serveren dekrypterer PAC med masternøglen. Begge slutpunkter indeholder nu PAC-nøglen, og der oprettes en TLS-tunnel. EAP-FAST understøtter automatisk PAC-klargøring, men du skal aktivere det på RADIUS-serveren.

    I ISE udløber PAC'en som standard om en uge. Hvis telefonen har en udløbet PAC, tager en godkendelse med RADIUS-serveren længere tid, mens telefonen får en ny PAC. For at undgå forsinkelser pga. PAC-klargøring skal du indstille PAC-udløbsperioden til 90 dage eller længere på ISE'en eller RADIUS-serveren.

  • EAP-TLS-godkendelse (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS kræver et klientcertifikat til godkendelse og netværksadgang. For trådløs EAP-TLS kan klientcertifikatet være MIC, LSC, eller et brugerinstalleret certifikat.

  • PEAP (Protected Extensible Authentication Protocol): Ciscos beskyttede adgangskodebaserede gensidige godkendelsesmetode mellem klienten (telefonen) og en RADIUS-server. Telefonen kan bruge PEAP til godkendelse med det trådløse netværk. Både PEAP MSCHAPV2- og PEAP GTC-godkendelsesmetoden understøttes.

  • Forhåndsdelt nøgle (PSK): Telefonen understøtter formatet ASCII. Du skal bruge dette format, når du konfigurerer en WPA/WPA2/SAE-forhåndsdelt nøgle:

    ASCII: en ASCII-tegnstreng med 8 til 63 tegn (0-9, små bogstaver og store bogstaver A-Z og specialtegn)

    Eksempel: GREG123567@9ZX&W

Følgende godkendelsesmetode bruger RADIUS-serveren til at administrere godkendelsesnøgler:

  • WPA/WPA2/WPA3: Bruger RADIUS-serveroplysninger til at generere unikke nøgler til godkendelse. Da disse nøgler genereres på den centrale RADIUS-server, giver WPA2/WPA3 mere sikkerhed end forhåndsdelte WPA-nøgler, der er gemt på AP'en og telefonen.

  • Hurtig sikker roaming: Bruger oplysninger om RADIUS-server og en trådløs domæneserver (WDS) for at administrere og godkende nøgler. WDS'et opretter en cache med sikkerhedsoplysninger til FT-aktiverede klientenheder for hurtig og sikker gengodkendelse. Cisco Bordtelefon 9861 og 9871 og Cisco Videotelefon 8875 understøtter 802.11r (FT). Både trådløst og over DS understøttes for at muliggøre hurtig og sikker roaming. Men vi anbefaler på det kraftigste, at trådløse 802.11r-metode (FT) bruges.

Med WPA/WPA2/WPA3 indtastes krypteringsnøgler ikke på telefonen, men udledes automatisk mellem adgangspunktet og telefonen. Men det EAP-brugernavn og den adgangskode, der bruges til godkendelse, skal angives på hver enkelt telefon.

For at sikre sikker taletrafik understøtter telefonen TKIP og AES til kryptering. Når disse mekanismer bruges til kryptering, krypteres både signalpakkerne SIP og stemmepakkerne (Real-Time Transport Protocol RTP) mellem adgangspunktet og telefonen.

TKIP

WPA bruger TKIP-kryptering, der har adskillige forbedringer i forhold til WEP. TKIP giver nøglekryptering med pr. pakke og længere initialiseringsvektorer, der styrker kryptering. Desuden sikrer et MIC (message integrity check), at krypterede pakker ikke ændres. TKIP fjerner forudsigeligheden ved WEP, der hjælper personer med uautoriseret adgang med at tyde WEP-nøglen.

AES

En krypteringsmetode, der bruges til WPA2/WPA3-godkendelse. Denne nationale standard for kryptering bruger en symmetrisk algoritme, der har den samme nøgle til kryptering og dekryptering. AES CBC-kryptering (Cipher Blocking Chain) i 128-bit størrelse, der som minimum understøtter nøglestørrelser på 128 bit, 192 bit og 256 bit. Telefonen understøtter en nøglestørrelse på 256 bit.

Cisco Bordtelefon 9861 og 9871 og Cisco Videotelefon 8875 understøtter ikke Cisco Key Integrity Protocol (CKIP) med CMIC.

Godkendelses- og krypteringsmetoder konfigureres inden for det trådløse LAN. VLAN'er konfigureres i netværket og på AP'er og angiver forskellige kombinationer af godkendelse og kryptering. Et SSID er knyttet til et VLAN og det specifikke godkendelses- og krypteringsmetode. For at trådløse klientenheder kan godkendes, skal du konfigurere de samme SSID'er med deres godkendelses- og krypteringsordninger på adgangspunkterne og på telefonen.

Visse godkendelsesmetoder kræver bestemte typer kryptering.

  • Når du bruger WPA foruddelt nøgle, WPA2 foruddelt nøgle eller SAE, skal den foruddelte nøgle være statisk indstillet på telefonen. Disse nøgler skal matche de nøgler, der er i AP'en.

  • Telefonen understøtter automatisk EAP-forhandling for FAST eller PEAP, men ikke for TLS. For EAP-TLS-tilstanden skal du angive den.

Godkendelses- og krypteringsskemaerne i følgende tabel viser netværkskonfigurationsmulighederne for den telefon, der svarer til AP-konfigurationen.

Tabel 3. Godkendelses- og krypteringsmetoder
FSR-TypeGodkendelseTaststyringKrypteringBeskyttet administrationsramme (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNej
802.11r (FT)WPA3

SAE

FT-SAE

AESJa
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNej
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNej
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNej
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa

Opsæt Wi-Fi-profil

Du kan konfigurere en Wi-Fi-profil fra telefonens webside eller via gensynkronisering af ekstern enhedsprofil og derefter knytte en brugerprofil til de tilgængelige Wi-Fi-netværk. Du kan bruge denne Wi-Fi-profil til at oprette forbindelse til et Wi-Fi. I øjeblikket kan kun én Wi-Fi-profil konfigureres.

Profilen indeholder de parametre, der er krævet for, at telefoner kan oprette forbindelse til telefonserveren med Wi-Fi. Når du opretter og bruger en Wi-Fi-profil, behøver du eller dine brugere ikke at konfigurere det trådløse netværk for individuelle telefoner.

En Wi-Fi-profil giver dig mulighed at forhindre eller begrænse ændringer af Wi-Fi-konfigurationen på telefonen efter brugeren.

Vi anbefaler, at du bruger en sikker profil med krypteringsaktiverede protokoller for at beskytte nøgler og adgangskoder, når du bruger en Wi-Fi-profil.

Når du konfigurerer telefonerne til at bruge godkendelsesmetoden EAP-FAST i sikkerhedstilstand, skal dine brugere bruge individuelle legitimationsoplysninger for at oprette forbindelse til et adgangspunkt.

1

Gå til telefonens webside.

2

Vælg Tale > System.

3

I sektionen Wi-Fi Profil (n), indstil parametrene som beskrevet i følgende tabel Parametre for Wi-Fi-profilen.

Profilkonfigurationen Wi-Fi er også tilgængelig for brugerlogin.
4

Klik på Send alle ændringer.

Parametre for Wi-Fi-profilen

Følgende tabel definerer funktionen og brugen af hver parameter i sektionen Wi-Fi-profile(n) under fanen System på telefonens webside. Den definerer også syntaksen for den streng, der tilføjes i telefonens konfigurationsfil (cfg.XML) for at konfigurere en parameter.

ParameterBeskrivelse
NetværksnavnGør det muligt at indtaste et navn på det SSID, der skal vises på telefonen. Flere profiler kan have det samme netværksnavn med forskellig sikkerhedstilstand.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Network_Name_1_ua="rw">cisco</Network_Name_1_>

  • Indtast et navn til SSID på telefonens webside.

Standard: tom

SikkerhedstilstandGør det muligt at vælge den godkendelsesmetode, der bruges til at sikre adgang til Wi-Fi-netværket. Afhængigt af den valgte metode vises et adgangskodefelt, så du kan angive de legitimationsoplysninger, der kræves for at tilslutte dig dette Wi-Fi-netværk.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_><!-- tilgængelige muligheder: Auto|EAP-FAST|||PSK||Ingen|EAP-PEAP|EAP-TLS -->

  • Vælg en af metoderne på telefonens webside:
    • Auto
    • EAP-FAST
    • PSK
    • Ingen
    • EAP-PEAP
    • EAP-TLS

Standard: automatisk

Wi-Fi-bruger-idGør det muligt at angive et bruger-id for netværksprofilen.

Dette felt er tilgængeligt, når du indstiller sikkerhedstilstanden til Auto, EAP-FAST eller EAP-PEAP. Dette er et obligatorisk felt, og der kan højst være 32 alfanumeriske tegn.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Indtast et bruger-id til netværksprofilen på telefonens webside.

Standard: tom

Wi-Fi-adgangskodeGør det muligt at angive adgangskoden for det angivne Wi-Fi-bruger-id.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Indtast en adgangskode til det bruger-id, du har tilføjet, på telefonens webside.

Standard: tom

FrekvensbåndGør det muligt at vælge frekvensbåndet for det trådløse signal, som WLAN'et bruger.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Frequency_Band_1_ ua="rw">Automatisk</Frequency_Band_1_>

  • Vælg en af mulighederne på telefonens webside:
    • Auto
    • 2,4 GHz
    • 5 GHz

Standard: automatisk

CertifikatvalgGiver dig mulighed for at vælge en certifikattype til den første tilmelding og fornyelse af certifikatet i det trådløse netværk. Denne proces er kun tilgængelig for 802.1X-godkendelse.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Certificate_Select_1_ ua="rw">Fremstilling installeret</Certificate_Select_1_>

  • Vælg en af mulighederne på telefonens webside:
    • Produktion installeret
    • Brugerdefineret installeret

Standard: Produktionsinstalleret

Tjek enhedens sikkerhedsstatus på telefonen

Din telefon kontrollerer automatisk enhedens sikkerhedsstatus. Hvis den registrerer potentielle sikkerhedstrusler på telefonen, vil den Problemer og diagnosticering Menuen kan vise detaljer om problemerne. Baseret på de rapporterede problemer kan din administrator træffe foranstaltninger for at sikre og forbedre din telefon.

Enhedens sikkerhedsstatus er tilgængelig, før telefonen registreres i opkaldsstyringssystemet (Webex Calling eller BroadWorks).

Gør følgende for at se detaljer om sikkerhedsproblemer på telefonskærmen:

1

Tryk på Indstillinger.Settings button

2

Vælge Problemer og diagnosticering > Problemer.

I øjeblikket indeholder rapporten om enhedens sikkerhed følgende problemer:

  • Enhedstillid
    • Enhedsgodkendelse mislykkedes
    • SoC-manipulation registreret
  • Sårbar konfiguration
    • SSH aktiveret
    • Telnet aktiveret
  • Der blev registreret en netværksanomali
    • For mange forsøg på weblogin
    • Høj UDP-trafik registreret
    • Mistænkelige ICMP-timpstempelanmodninger
  • Certifikatudstedelse
    • Udløb af brugerdefineret enhedscertifikat

3

Kontakt din administrator for at få hjælp til at løse sikkerhedsproblemerne.