I denne artikel
dropdown icon
Konfigurer DHCP indstillinger
    DHCP understøttelse af indstillinger
dropdown icon
Sikkerhed for trådløst LAN
    Opret Wi-Fi profil
dropdown icon
802.1X-godkendelse til kabelforbundne netværk
    Aktivér 802.1X-godkendelse for kabelforbundne netværk på din telefon
    Aktivér 802.1X-godkendelse for kabelbaserede netværk på telefonens webside
    Menuen Sikkerhedsindstillinger på telefonen
Skift bruger- og adminadgangskoder
Indstil minimum TLS version for klient og server
Aktivér klientinitieret tilstand for sikkerhedsforhandlinger på medieplan
Cisco Trådløs telefon 9821 sikkerhed (Multiplatform)
list-menuI denne artikel
list-menuHar du feedback?

Denne Hjælp-artikel omhandler Cisco Wireless Phone 9821, der er registreret til Webex Calling.

Konfigurer DHCP indstillinger

Du kan indstille den rækkefølge, som din telefon skal bruge DHCP-indstillingerne i. Hvis du har brug for hjælp til DHCP Indstillinger, skal du se Understøttelse af DHCP indstillinger.

1

Gå til websiden til telefonadministration

http://<ip adresse>/admin/avanceret

2

Vælg Tale > Klargøring.

3

I afsnittet Konfigurationsprofil skal du indstille parameteren DHCP Option To Use (Indstilling til brug ). Denne parameter består af en række DHCP-indstillinger, adskilt med kommaer, der bruges til at hente firmware og profiler.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • På telefonens webside skal du angive en række DHCP-indstillinger, adskilt med kommaer.

Standard: 66,160,159,150,60,43,125

4

Klik på Send alle ændringer.

DHCP understøttelse af indstillinger

Følgende tabel viser de DHCP indstillinger, der understøttes på Cisco trådløs telefon 9821.

NetværksstandardBeskrivelse
DHCP mulighed 1Undernetmaske
DHCP mulighed 2Tidsforskydning
DHCP mulighed 3Router
DHCP mulighed 6DNS (Domain name server)
DHCP mulighed 15Domænenavn
DHCP mulighed 17Rodsti
DHCP mulighed 41IP adresse leasingtid
DHCP mulighed 42NTP-server
DHCP mulighed 43Leverandørspecifikke oplysninger

Kan bruges til at levere SCEP-konfigurationen.

DHCP mulighed 56NTP-server
DHCP mulighed 60Id for leverandørklasse
DHCP mulighed 66TFTP servernavn
DHCP mulighed 125Oplysninger, der identificerer og er specifikke for leverandør
DHCP mulighed 150TFTP-server
DHCP mulighed 159Klargøringsserver IP
DHCP mulighed 160URL-adresse til klargøring

Sikkerhed for trådløst LAN

Da alle WLAN-enheder, der er inden for rækkevidde, kan modtage alle andres WLAN-trafik, er beskyttelse af talekommunikation vigtigt i WLAN. For at sikre, at ubudne gæster ikke manipulerer eller opfanger taletrafik, understøtter Cisco SAFE Security-arkitekturen telefonen. Du kan finde flere oplysninger om sikkerhed i netværk i http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Telefoniløsningen Cisco Wireless IP leverer trådløs netværkssikkerhed, der forhindrer uautoriseret logon og kompromitteret kommunikation ved hjælp af følgende godkendelsesmetoder, som telefonen understøtter.

  • Åben godkendelse: Trådløse enheder kan anmode om godkendelse i et åbent system. Det AP, der modtager anmodningen, kan give godkendelse til en person eller kun de anmodere, der findes på en liste over brugere. Kommunikationen mellem den trådløse enhed og adgangspunktet (AP) kan være ikke-krypteret.

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Authentication: Denne klient-server sikkerhedsarkitektur krypterer EAP transaktioner inden for en Transport Level Security (TLS) tunnel mellem AP og RADIUS-serveren, såsom Identity Services Engine (ISE).

    TLS-tunnelen bruger PAC'er (Protected Access Credentials) til godkendelse mellem klienten (telefon) og RADIUS-serveren. Serveren sender et AID (Authority ID) til klienten (telefonen), som gengæld vælger det relevante PAC. Klienten (telefonen) returnerer en PAC-Opaque til RADIUS-serveren. Serveren dekrypterer PAC med masternøglen. Begge slutpunkter indeholder nu PAC-nøglen, og der oprettes en TLS-tunnel. EAP-FAST understøtter automatisk PAC-klargøring, men du skal aktivere det på RADIUS-serveren.

    I ISE udløber PAC som standard om en uge. Hvis telefonen har en udløbet PAC, tager en godkendelse med RADIUS-serveren længere tid, mens telefonen får en ny PAC. For at undgå forsinkelser pga. PAC-klargøring skal du indstille PAC-udløbsperioden til 90 dage eller længere på ISE'en eller RADIUS-serveren.

  • EAP-TLS-godkendelse (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS kræver et klientcertifikat til godkendelse og netværksadgang. For trådløse EAP-TLS kan klientcertifikatet være MIC eller brugerinstalleret certifikat.

  • PEAP (Protected Extensible Authentication Protocol): Ciscos beskyttede adgangskodebaserede gensidige godkendelsesmetode mellem klienten (telefonen) og en RADIUS-server. Telefonen kan bruge PEAP til godkendelse med det trådløse netværk. Både PEAP MSCHAPV2- og PEAP GTC-godkendelsesmetoden understøttes.

    Hvis du vil understøtte PEAP-GTC-godkendelse for Cisco trådløs telefon 9821, skal du konfigurere den nødvendige politik inden for Cisco ISE-politiksættet.

  • Pre-Shared Key (PSK): Telefonen understøtter formaterne ASCII og hexadecimal (HEX). Du skal bruge disse formater, når du konfigurerer en forhåndsdelt WPA2/SAE-nøgle.

    ASCII: En ASCII-tegnstreng med 8 til 63 tegn i længden (0-9, små bogstaver a-z, store bogstaver A-Z og specialtegn). f.eks. . GREG123567@9ZX&W.

    HEX: En HEX-tegnstreng med 64 hex-cifre i længden (0-9, a-f eller A-F).

Følgende godkendelsesmetode bruger RADIUS-serveren til at administrere godkendelsesnøgler:

  • WPA2/WPA3: Bruger RADIUS-serveroplysninger til at generere entydige nøgler til godkendelse. Da disse nøgler genereres på den centrale RADIUS-server, giver WPA2/WPA3 mere sikkerhed end forhåndsdelte WPA-nøgler, der er gemt på AP'en og telefonen.

  • Hurtig sikker roaming: Bruger oplysninger om RADIUS-server og en trådløs domæneserver (WDS) for at administrere og godkende nøgler. WDS opretter en cache med sikkerhedslegitimationsoplysninger for FT-aktiverede klientenheder til hurtig og sikker gengodkendelse.

Med WPA2/WPA3 angives krypteringsnøgler ikke på telefonen, men hentes automatisk mellem adgangspunktet og telefonen. Men det EAP-brugernavn og den adgangskode, der bruges til godkendelse, skal angives på hver enkelt telefon.

For at hjælpe med at beskytte taletrafik via det trådløse link understøtter telefonen AES-baseret kryptering til WPA2/WPA3-godkendelse. AES er en symmetrisk blokchiffer standardiseret af NIST. AES bruger en fast 128-bit blokstørrelse og understøtter nøglestørrelser på 128 bit, 192 bit og 256 bit. I Wi-Fi-netværk bruges AES af krypteringspakker som CCMP eller GCMP, mens godkendelse leveres separat af PSK, SAE eller 802.1X/EAP, afhængigt af den konfigurerede WLAN-sikkerhedstilstand. Den understøttede krypteringspakke og nøglestørrelse afhænger af telefonmodellen og WLAN-konfigurationen.

Godkendelses- og krypteringsmetoder konfigureres inden for det trådløse LAN. VLAN'er konfigureres i netværket og på AP'er og angiver forskellige kombinationer af godkendelse og kryptering. Et SSID er knyttet til et VLAN og det specifikke godkendelses- og krypteringsmetode. Hvis trådløse klientenheder skal kunne godkendes, skal du konfigurere de samme SSID'er med deres godkendelses- og krypteringsskemaer på AP'erne og på telefonen.

Visse godkendelsesmetoder kræver bestemte typer kryptering.

Når du bruger WPA2 forhåndsdelt nøgle eller SAE, skal den forhåndsdelte nøgle være statisk indstillet på telefonen. Disse nøgler skal matche de nøgler, der er i AP'en.

Godkendelses- og krypteringsskemaerne i følgende tabel viser netværkskonfigurationsindstillingerne for Cisco trådløs telefon 9821, der svarer til AP-konfigurationen.

Tabel 1. Godkendelses- og krypteringsmetoder
FSR TypeGodkendelseTaststyringKrypteringBeskyttet styringsramme (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNej
802.11r (FT)WPA3

SAE

FT-SAE

AESJa
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNej
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNej
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNej
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
ikke-FTSuite-BWPA-EAP-SUITE-BGCMPJa
ikke-FTSuite-B-192WPA-EAP-SUITE-B-192GCMPJa

Konfigurer Wi-Fi profil

Du kan konfigurere Wi-Fi-profiler fra websiden til telefonadministration eller via en gensynkronisering af en fjernenhedsprofil. Når de er konfigureret, kan du knytte disse profiler til tilgængelige trådløse netværk for at etablere forbindelse. Cisco Trådløs telefon 9821 understøtter maksimalt fire konfigurerede Wi-Fi profiler.

Profilen indeholder de parametre, der er krævet for, at telefoner kan oprette forbindelse til telefonserveren med Wi-Fi. Når du opretter og bruger en Wi-Fi-profil, behøver du eller dine brugere ikke at konfigurere det trådløse netværk for individuelle telefoner.

En Wi-Fi-profil giver dig mulighed at forhindre eller begrænse ændringer af Wi-Fi-konfigurationen på telefonen efter brugeren.

Vi anbefaler, at du bruger en sikker profil med krypteringsaktiverede protokoller til at beskytte nøgler og adgangskoder, når du bruger en Wi-Fi-profil.

Når du konfigurerer telefonerne til at bruge godkendelsesmetoden EAP-FAST i sikkerhedstilstand, skal brugerne bruge individuelle legitimationsoplysninger for at oprette forbindelse til et adgangspunkt.

1

Åbn telefonens webside.

2

Vælg Tale > System.

3

I afsnittet Wi-Fi Profil (n) skal du angive parametrene som beskrevet i følgende tabel Parametre for Wi-Fi profil.

Profilkonfigurationen Wi-Fi er også tilgængelig for brugerlogonet.
4

Klik på Send alle ændringer.

Parametre for Wi-Fi profil

Følgende tabel definerer funktionen og brugen af hver parameter i afsnittet Wi-Fi Profil(n) under System Tab på telefonwebsiden. Den definerer også syntaksen for den streng, der tilføjes i telefonkonfigurationsfilen (cfg.XML) for at konfigurere en parameter.

ParameterBeskrivelse
NetværksnavnGør det muligt at indtaste et navn på det SSID, der skal vises på telefonen. Flere profiler kan have det samme netværksnavn med forskellig sikkerhedstilstand.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Network_Name_1_ ua="rw">Cisco</Network_Name_1_>

  • Indtast et navn til SSID på telefonens webside.

Standard: tom

SikkerhedstilstandGør det muligt at vælge den godkendelsesmetode, der bruges til at sikre adgang til Wi-Fi-netværket. Afhængigt af den metode, du vælger, vises et adgangskodefelt, så du kan angive de legitimationsoplysninger, der kræves for at deltage i dette Wi-Fi-netværk.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- tilgængelige indstillinger: |EAP-FAST|||PSK||Intet|EAP-PEAP|EAP-TLS -->

  • Vælg en af metoderne på telefonens webside:
    • EAP-FAST
    • PSK
    • Ingen
    • EAP-PEAP
    • EAP-TLS

Standard: ingen

Wi-Fi-bruger-idGør det muligt at angive et bruger-id for netværksprofilen.

Dette felt er tilgængeligt, når du indstiller sikkerhedstilstanden til Auto, EAP-FAST eller EAP-PEAP. Dette er et obligatorisk felt, og der kan højst være 32 alfanumeriske tegn.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Angiv en bruger ID til netværksprofilen på telefonens webside.

Standard: tom

Wi-Fi-adgangskodeGør det muligt at angive adgangskoden for det angivne Wi-Fi-bruger-id.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Indtast en adgangskode til den bruger ID, du har tilføjet, på telefonens webside.

Standard: tom

FrekvensbåndGør det muligt at vælge frekvensbåndet for det trådløse signal, som WLAN'et bruger.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Vælg en af indstillingerne på telefonens webside:
    • Auto
    • 2,4 GHz
    • 5 GHz eller 6 GHz

Standard: automatisk

Valg af certifikatGør det muligt at vælge en certifikattype til certifikatførste tilmelding og certifikatfornyelse i det trådløse netværk. Denne proces er kun tilgængelig for 802.1X-godkendelse.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Certificate_Select_1_ ua="rw">Produktion installeret</Certificate_Select_1_>

  • Vælg en af indstillingerne på telefonens webside:
    • Produktion installeret
    • Specialinstalleret

Standard: Produktion installeret

KontroltilstandStyrer, om brugeren har tilladelse til at konfigurere Wi-Fi-profilerne.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Control_Mode_1_ ua="rw">Tillad</Control_Mode_1_>

  • Vælg en af indstillingerne på telefonens webside:
    • Tillade
    • Ugyldig
    • Begrænset

Standard: Tillad

AktivererStyrer, om Wi-Fi-profilen er aktiveret.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Enable_1_ ua="rw">Ja</Enable_1_>

  • Vælg en af indstillingerne på telefonens webside:
    • Ja
    • Nej

Standard: ja

ProfilnavnGør det muligt at angive et navn til den profil, der skal vises på telefonen.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Profile_Name_1_ ua="rw">Profil 1</Profile_Name_1_>

  • Angiv et navn til profilen på telefonens webside.

Standard: Profil 1

PSK-adgangsnøgleGør det muligt at indtaste PSK-adgangssætningen, når sikkerhedstilstanden er indstillet til PSK.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <PSK_Passphrase_1_ ua="rw">*************</PSK_Passphrase_1_>

  • Indtast PSK-adgangssætningen på telefonens webside.

Standard: Tillad

802.1X-godkendelse til kabelforbundne netværk

Cisco Trådløs telefon 9821 understøtter 802.1X-godkendelse for kablede netværk. Dette bruges typisk under automatisk klargøring , når telefonen er sluttet til bordopladeren via en understøttet USB-til-Ethernet-adapter.

Understøttelse af 802.1X-godkendelse på kablede netværk kræver følgende flere komponenter:

  • Cisco IP-telefon: Telefonen starter anmodningen for at få adgang til netværket. Cisco IP-telefon indeholder en 802.1X-supplikant. Denne supplikant giver netværksadministratorer kontrol over forbindelsen mellem IP-telefoner og porte på LAN-switch. Den aktuelle version af telefonens 802.1X-supplikant bruger EAP-FAST- og EAP-TLS-indstillingerne til netværksgodkendelse.

  • Autentificeringsserver: Godkendelsesserveren og switchen skal begge konfigureres med en delt RADIUS-hemmelighed.

  • Switch: Switchen skal understøtte 802.1X, så den kan fungere som godkender og videresende EAP-meddelelser mellem telefonen og godkendelsesserveren. Når udvekslingen er fuldført, giver eller afviser switchen at give telefonen adgang til netværket.

Cisco IP-telefon og Cisco Catalyst-switches bruger traditionelt set Cisco Discovery Protocol (CDP) til at identificere hinanden og bestemme parametre som f.eks. VLAN-tildeling og integreret strømkrav.

Du skal udføre følgende handlinger for at konfigurere 802.1X.

  • Konfigurer CDP/LLDP stemme VLAN bypass.

  • Konfigurer godkendelsesserveren og switchen, før du aktiverer 802.1X-godkendelse for kabelbaserede netværk på telefonen.

  • Konfigurer tale-VLAN: Da 802.1X-standarden ikke tager højde for VLAN'er, skal du konfigurere denne indstilling ud fra switchunderstøttelsen.

    • Aktiveret: Hvis du bruger en switch, der understøtter godkendelse på flere domæner, kan du konfigurere den til at bruge stemmen VLAN.
    • Deaktiveret: Hvis switchen ikke understøtter godkendelse på flere domæner, skal du deaktivere tale-VLAN'et og overveje at tildele porten til det indbyggede VLAN.
  • Cisco Trådløs telefon 9821 har et andet præfiks i PID end for de andre Cisco telefoner. Indstil Radius· for at aktivere din telefon til at passere 802.1X-godkendelse Parameteren Brugernavn for at inkludere din Cisco trådløse telefon 9821.

    For eksempel er PID'et for Cisco trådløs telefon 9821 WP-9821. Du kan indstille Radius· Brugernavn til at starte med WP eller Indeholder WP i begge følgende afsnit:

    • Politik > Betingelser > Biblioteksbetingelser

    • Politik > Politiksæt> Autorisationspolitik > Autorisationsregel 1

Aktivér 802.1X-godkendelse for kabelforbundne netværk på din telefon

Følg disse trin for at aktivere 802.1X-godkendelse for kabelbaserede netværk på din telefon. Bemærk, at 802.1X-godkendelse for Wi-Fi er aktiveret som standard og ikke kræver nogen manuel konfiguration.

1

Få adgang til indstillingerne 9821 Settings app icon App.

2

Indtast adgangskoden for at få adgang til menuen Indstillinger , hvis du bliver bedt om det. Du kan få adgangskoden fra administratoren.

3

Vælg Administratorindstillinger > Sikkerhedsopsætning > 802.1X-godkendelse.

4

Markér Enhedsgodkendelse , og tryk på Til.

Aktivér 802.1X-godkendelse for kabelbaserede netværk på telefonens webside

Når 802.1X-godkendelse for kabelforbundne netværk er aktiveret, bruger telefonen 802.1X-godkendelse til at anmode om netværksadgang fra Ethernet LAN-porten. Når 802.1X-godkendelse for kabelforbundne netværk er deaktiveret, bruger telefonen Cisco Discovery Protocol (CDP) til at hente VLAN og netværksadgang. Bemærk, at 802.1X-godkendelse for Wi-Fi er aktiveret som standard og ikke kræver nogen manuel konfiguration.

Du kan vælge et certifikat (MIC/SUDI eller CDC), der bruges til 802.1X-godkendelse. Du kan finde flere oplysninger om CDC under Custom Device Certificate on Cisco Wireless Phone 9821.

Du kan se transaktionsstatus og sikkerhedsindstillinger i telefonens skærmmenu. Du kan finde flere oplysninger under Menuen Sikkerhedsindstillinger på telefonen.

1

Aktivér 802.1X-godkendelse.

Vælg Tale > System. I afsnittet 802.1X-godkendelse skal du indstille parameteren Enable 802.1X Authentication (Aktivér 802.1X-godkendelse ) til Ja.

Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.XML):

<Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>

Gyldige værdier: Ja|Nej

Standard: nej

2

I afsnittet 802.1X-godkendelse skal du vælge et af følgende installerede certifikater, der bruges til 802.1X-godkendelse, på rullelisten Valg af certifikat.

Værdiindstillinger:

  • Produktion installeret: MIC/SUDI.
  • Specialinstalleret: CDC (Custom Device Certificate).

Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.XML):

<Certificate_Select ua="rw">Brugerdefineret installeret</Certificate_Select>

Gyldige værdier: Produktion installeret|Specialinstalleret

Standard: Produktion installeret

3

Konfigurer parameteren User ID , der skal bruges som identitet for 802.1X-godkendelse på det kablede netværk.

Denne konfiguration gælder kun, når du bruger et CDC (Custom Device Certificate) til kablet 802.1X-godkendelse med Valg af certifikat indstillet til Brugerdefineret installeret .

Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.XML):

<Wired_User_ID ua="na"></Wired_User_ID>

Gyldige værdier: Maksimalt 127 tegn

Standard: tom

Denne parameter understøtter også makroekspansionsvariabler, se Makroudvidelsesvariabler for at få flere oplysninger.

Hvis du vil klargøre brugeren ID ved hjælp af en kombination med DHCP-indstillinger, skal du se Klargøring af bruger ID via DHCP-indstilling 15.

4

Klik på Send alle ændringer.

Menuen Sikkerhedsindstillinger på telefonen

Hvis du vil have vist oplysninger om sikkerhedsindstillingerne i telefonmenuen, skal du åbne Indstillinger 9821 Settings app icon og vælg Administratorindstillinger > Sikkerhedsopsætning > 802.1X-godkendelse . Tilgængeligheden af oplysningerne afhænger af netværksindstillingerne i din organisation.

Parametre

Indstillinger

Standard

Beskrivelse

Enhedsgodkendelse

Til

Fra

Fra

Aktiverer eller deaktiverer 802.1X-godkendelse på telefonen.

Parameterindstillingen kan bevares efter telefonens Out-Of-Box (OOB)-registrering.

Transaktionsstatus

Deaktiveret

Viser status for 802.1X-godkendelse. Staten kan være (ikke begrænset til):

  • Godkendelse – Angiver, at godkendelsesprocessen er i gang.
  • Godkendt – angiver, at telefonen er godkendt.
  • Deaktiveret – angiver, at 802.1x-godkendelse er deaktiveret på telefonen.
  • Opretter forbindelse – Angiver, at telefonen sender EAP startmeddelelser til switchen hvert 30. sekund.
  • Erhvervet – Angiver, at switchen har afvist telefonens EAP-anmodning, og at telefonen ikke modtager nogen EAP-TLS- eller EAP-FAST-udfordring fra switchen. Telefonen forsøger igen at sende EAP-anmodninger.
  • Frakoblet – Angiver, at Ethernet-kablet er frakoblet.
  • Venteposition – angiver, at switchen har behandlet telefonens EAP-anmodning, men afvist EAP-FAST- eller EAP-TLS-godkendelsen. Telefonen forsøger igen at sende EAP-anmodninger.

Protokol

Ingen

Viser metoden EAP, der bruges til 802.1X-godkendelse. Protokollen kan være EAP-FAST eller EAP-TLS.

Brugercertifikattype

Produktion installeret

Specialinstalleret

Produktion installeret

Vælger certifikatet til 802.1X-godkendelse under den første tilmelding og certifikatfornyelse.

  • Produktion installeret – SUDI (Secure Unique Device Identifier) bruges.
  • Brugerdefineret installeret – CDC'et (Custom Device Certificate) bruges. Denne type certifikat kan installeres enten ved manuel overførsel på telefonens webside eller ved installation fra en SCEP-server (Simple Certificate Enrollment Protocol).

Denne parameter vises kun på telefonen, når enhedsgodkendelse er aktiveret.

Skift bruger- og adminadgangskoder

Ved første registrering i et opkaldskontrolsystem eller efter en fabriksnulstilling skal du konfigurere både bruger- og administratoradgangskoder, første gang du åbner websiden for telefonadministration. Du kan til enhver tid opdatere disse legitimationsoplysninger for at opretholde enhedssikkerheden.

Gyldige adgangskoderegler omfatter følgende:

  • Adgangskoden skal indeholde mindst 8 til 127 tegn.
  • En kombination (tre ud af fire typer) af stort bogstav, lille lille lille bogstav, tal og specialtegn.
  • Plads er ikke tilladt.
1

Gå til websiden til telefonadministration

2

Vælg Tale > System.

3

(Valgfrit) Indstil parameteren Vis advarsler om adgangskode til Ja i afsnittet Systemkonfiguration , og klik derefter påSend alle ændringer .

Du kan også aktivere parametrene i telefonkonfigurationsfilen (cfg.XML).

<Display_Password_Warnings ua="na">Ja</Display_Password_Warnings>

Standard: ja

Indstillinger: Ja|Nej

Hvis parameteren er indstillet til Nej, vises advarslen om adgangskoden ikke på telefonskærmen.

4

Find parameteren User Password eller Admin Password, og klik på Skift adgangskode ud for parameteren.

5

Indtast den aktuelle brugeradgangskode i feltet Gammel adgangskode .

6

Indtast en ny adgangskode i feltet Ny adgangskode .

Hvis den nye adgangskode ikke overholder reglerne for gyldig adgangskode, afvises indstillingen.

7

Klik på Send.

Meddelelsen Adgangskode er blevet ændret. vises på websiden. Websiden opdateres om flere sekunder.

Når du har angivet brugeradgangskoden, viser denne parameter følgende i telefonkonfigurationsfil XML (cfg.XML):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Indstil minimum TLS version for klient og server

Som standard er minimum TLS-versionen for klient og server 1.2. Dette betyder, at klienten og serveren accepterer at etablere forbindelser med TLS 1.2 eller nyere. Den understøttede maksimale version af TLS for klient og server er 1.3. Når den er konfigureret, vil den mindste TLS-version blive brugt til forhandling mellem TLS-klienten og TLS-serveren.

Du kan indstille minimumversionen af TLS for henholdsvis klient og server, f.eks. 1.1, 1.2 eller 1.3.

Før du begynder

Sørg for, at TLS-serveren understøtter den konfigurerede TLS-version. Du kan rådføre dig med administratoren af opkaldskontrolsystemet.

1

Gå til websiden til telefonadministration

2

Vælg Tale > System.

3

I afsnittet Sikkerhedsindstillinger skal du konfigurere parameter TLS Klientens min. version.

  • TLS 1.1: TLS-klienten understøtter versionerne af TLS fra 1.1 til 1.3.

    Hvis TLS-versionen på serveren er lavere end 1.1, kan forbindelsen ikke oprettes.

  • TLS 1.2 (standard): TLS-klienten understøtter TLS 1.2 og 1.3.

    Hvis TLS-versionen på serveren er lavere end 1.2, f.eks. 1.1, kan forbindelsen ikke oprettes.

  • TLS 1.3: TLS-klienten understøtter kun TLS 1.3.

    Hvis TLS-versionen på serveren er lavere end 1.3, f.eks. 1.2 eller 1.1, kan forbindelsen ikke oprettes.

    Hvis du vil indstille parameteren "TLS klientmin. version" til "TLS 1.3", skal du kontrollere, at serversiden understøtter TLS 1.3. Hvis serversiden ikke understøtter TLS 1.3, kan dette forårsage kritiske problemer. Provisioneringshandlingerne kan f.eks. ikke udføres på telefonerne.

Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.XML):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Tilladte værdier: TLS 1.1, TLS1.2 og TLS 1.3.

Standard: TLS 1.2

4

I afsnittet Sikkerhedsindstillinger skal du konfigurere parameter TLS Serverens min. version.

Webex Calling understøtter ikke TLS 1.1.

  • TLS 1.1: TLS-serveren understøtter versionerne af TLS fra 1.1 til 1.3.

    Hvis TLS-versionen i klienten er lavere end 1.1, kan forbindelsen ikke oprettes.

  • TLS 1.2 (standard): TLS-serveren understøtter TLS 1.2 og 1.3.

    Hvis TLS-versionen i klienten er lavere end 1.2, f.eks. 1.1, kan forbindelsen ikke oprettes.

  • TLS 1.3: TLS-serveren understøtter kun TLS 1.3.

    Hvis TLS-versionen i klienten er lavere end 1.3, f.eks. 1.2 eller 1.1, kan forbindelsen ikke oprettes.

Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.XML):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Tilladte værdier: TLS 1.1, TLS1.2 og TLS 1.3.

Standard: TLS 1.2

5

Klik på Send alle ændringer.

Aktivér klientinitieret tilstand for sikkerhedsforhandlinger på medieplan

For at beskytte mediesessioner kan du konfigurere telefonen til at starte sikkerhedsforhandlinger med serveren på medieplan. Sikkerhedsmekanismen følger standarderne i RFC 3329 og dens udvidelsesudkast Sikkerhedsmekanismenavne til medier (Se https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Transporten af forhandlinger mellem telefonen og serveren kan bruge SIP protokol over UDP, TCP, og TLS. Du kan begrænse, at sikkerhedsforhandling på medieplan kun anvendes, når protokollen for signaltransport er TLS.

Tabel 2. Parametre for sikkerhedsforhandling på medieplan
ParameterBeskrivelse

MediaSec-anmodning

Angiver, om telefonen starter sikkerhedsforhandlinger på medieplan med serveren.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <MediaSec_Request_1_ ua="na">Ja</MediaSec_Request_1_>
  • Indstil dette felt til Ja eller Nej efter behov i telefonens webgrænseflade.

Tilladte værdier: Ja | Nej

  • Ja – klientinitieret tilstand. Telefonen indleder sikkerhedsforhandlinger på medieplan.
  • Nej – serverinitieret tilstand. Serveren indleder sikkerhedsforhandlinger på medieplan. Telefonen starter ikke forhandlinger, men kan håndtere forhandlingsanmodninger fra serveren for at oprette sikre opkald.

Standard: nej

Kun MediaSec over TLS

Angiver den protokol for signaltransport, som medieplansikkerhedsforhandling anvendes på.

Før du indstiller dette felt til Ja, skal du sikre dig, at protokollen for signaltransport er TLS.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <MediaSec_Over_TLS_Only_1_ ua="na">Nej</MediaSec_Over_TLS_Only_1_>

  • Indstil dette felt til Ja eller Nej efter behov i telefonens webgrænseflade.

Tilladte værdier: Ja | Nej

  • Ja – telefonen starter eller håndterer kun sikkerhedsforhandlinger på medieplan, når protokollen for signaltransport er TLS.
  • Nej – telefonen starter og håndterer sikkerhedsforhandlinger på medieplan uanset protokollen for transport af signaler.

Standard: nej

1

Gå til websiden til telefonadministration

2

Vælg Tale > Lokalnr. (n).

3

I afsnittet SIP Indstillinger skal du indstille felterne MediaSec-anmodning og MediaSec over TLS Only som defineret i ovenstående tabel.

4

Klik på Send alle ændringer.

Var denne artikel nyttig?
Var denne artikel nyttig?