In diesem Artikel
dropdown icon
Konfigurieren von DHCP-Optionen
    Unterstützung der Option DHCP
dropdown icon
Wireless LAN-Sicherheit
    Profil Wi-Fi einrichten
dropdown icon
802.1X-Authentifizierung für kabelgebundene Netzwerke
    802.1X-Authentifizierung für kabelgebundene Netzwerke auf Ihrem Telefon aktivieren
    802.1X-Authentifizierung für kabelgebundene Netzwerke auf der Telefon-Webseite aktivieren
    Menü Sicherheitseinstellungen auf dem Telefon
Ändern des Benutzer- und des Administratorkennworts
Legen Sie die Mindestversion TLS für Client und Server fest
Aktivieren des vom Client initiierten Modus für Sicherheitsverhandlungen auf Medienebene
Cisco Sicherheit des drahtlosen Telefons 9821 (Multiplattform)
list-menuIn diesem Artikel
list-menuFeedback?

Dieser Hilfeartikel ist für Cisco Wireless Phone 9821, das auf Webex Calling registriert ist.

Konfigurieren von DHCP-Optionen

Sie können die Reihenfolge festlegen, in der Ihr Telefon die DHCP-Optionen verwendet. Hilfe zu DHCP-Optionen finden Sie unter DHCP-Optionsunterstützung.

1

Greifen Sie auf die Webseite zur Telefonverwaltung zu.

http://<ip Adresse>/admin/advanced

2

Wählen Sie Sprache > Bereitstellung aus.

3

Legen Sie im Abschnitt Konfigurationsprofil den Parameter DHCP Zu verwendende Option fest. Dieser Parameter besteht aus einer Reihe von DHCP-Optionen, die durch Kommas getrennt sind und zum Abrufen von Firmware und Profilen verwendet werden.

Führen Sie eine der folgenden Aktionen aus:

  • Geben Sie in der Konfigurationsdatei des Telefons eine Zeichenfolge mit XML (cfg.xml) in folgendem Format ein:

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • Geben Sie auf der Telefon-Webseite eine Reihe von DHCP-Optionen ein, die durch Kommas getrennt sind.

Standard: 66,160,159,150,60,43,125

4

Klicken Sie auf Submit All Changes.

Unterstützung der Option DHCP

In der folgenden Tabelle sind die DHCP Optionen aufgelistet, die vom Cisco Wireless Phone 9821 unterstützt werden.

NetzwerkstandardBeschreibung
DHCP-Option 1Subnetzmaske
DHCP-Option 2Time offset (Zeitoffset)
DHCP-Option 3Router
DHCP-Option 6Domänennamenserver
DHCP-Option 15Domänenname
DHCP-Option 17Wurzelpfad
DHCP-Option 41IP-Adressen-Leasezeit
DHCP-Option 42NTP-Server
DHCP-Option 43Anbieterspezifische Informationen

Kann verwendet werden, um die SCEP-Konfiguration bereitzustellen.

DHCP-Option 56NTP-Server
DHCP-Option 60VCI (Vendor Class Identifier)
DHCP-Option 66TFTP-Servername
DHCP-Option 125Anbieterspezifische Informationen
DHCP-Option 150TFTP-Server
DHCP-Option 159Bereitstellungsserver-IP
DHCP-Option 160Bereitstellungs-URL

Wireless LAN-Sicherheit

Da alle WLAN-Geräte, die sich innerhalb der Reichweite befinden, den gesamten anderen WLAN-Datenverkehr empfangen können, ist die Sicherung der Sprachkommunikation in einem WLAN besonders wichtig. Um sicherzustellen, dass Eindringlinge den Sprachverkehr weder manipulieren noch abfangen können, wird das Telefon von der Cisco SAFE Security-Architektur unterstützt. Weitere Informationen zur Sicherheit in Netzwerken finden Sie unter http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Die Cisco Wireless IP Telefonielösung bietet Sicherheit für Wireless-Netzwerke, die nicht autorisierte Anmeldungen und kompromittierte Kommunikation mithilfe der folgenden, vom Telefon unterstützten Authentifizierungsmethoden verhindert.

  • Offene Authentifizierung: In einem offenen System kann jedes kabellose Gerät die Authentifizierung anfordern. Der Access Point, der die Anforderung empfängt, kann die Authentifizierung entweder jedem Anforderer oder nur denjenigen Anforderern gewähren, die in einer Benutzerliste aufgeführt sind. Die Kommunikation zwischen dem drahtlosen Gerät und dem Access Point (AP) kann unverschlüsselt sein.

  • Extensible Authentication Protocol-flexible Authentication via Secure Tunneling (EAP-FAST)-Authentifizierung: Diese Client-Server-Sicherheitsarchitektur verschlüsselt EAP-Transaktionen innerhalb eines Transport Level Security (TLS)-Tunnels zwischen dem Access Point und dem RADIUS-Server, z. B. Identity Services Engine (ISE).

    Der TLS-Tunnel verwendet PACs (Protected Access Credentials) für die Authentifizierung zwischen dem Client (Telefon) und dem RADIUS-Server. Der Server sendet eine Autoritäts-ID (Authority ID, AID) an den Client (Telefon), der wiederum die richtige PAC auswählt. Der Client (Telefon) gibt einen PAC-Opaque-Wert an den RADIUS-Server zurück. Der Server entschlüsselt die PAC mit dem primären Schlüssel. Beide Endpunkte verfügen nun über den PAC-Schlüssel, und ein TLS-Tunnel wird erstellt. EAP-FAST unterstützt die automatische PAC-Bereitstellung, muss jedoch auf dem RADIUS-Server aktiviert werden.

    In der ISE läuft die PAC standardmäßig nach einer Woche ab. Wenn auf dem Telefon eine abgelaufene PAC vorhanden ist, dauert die Authentifizierung beim RADIUS-Server länger, da das Telefon eine neue PAC abrufen muss. Um Verzögerungen bei der PAC-Bereitstellung zu vermeiden, sollten Sie den Ablaufzeitraum für die PAC auf dem ISE oder RADIUS-Server auf mindestens 90 Tage festlegen.

  • Extensible Authentication Protocol-Transport Layer Security-(EAP-TLS-)-Authentifizierung: EAP-TLS erfordert ein Client-Zertifikat für Authentifizierung und Netzwerkzugriff. Bei Wireless EAP-TLS kann das Clientzertifikat MIC oder ein vom Benutzer installiertes Zertifikat sein.

  • PEAP (Protected Extensible Authentication Protocol): Ein von Cisco entwickeltes, kennwortbasiertes Schema zur gegenseitigen Authentifizierung zwischen Client (Telefon) und RADIUS-Server. Das Telefon kann PEAP für die Authentifizierung beim Drahtlosnetzwerk verwenden. Als Authentifizierungsmethoden werden sowohl PEAP-MSCHAPV2 als auch PEAP-GTC unterstützt.

    Um die PEAP-GTC-Authentifizierung für das Cisco Wireless Phone 9821 zu unterstützen, konfigurieren Sie die erforderliche Richtlinie innerhalb des Cisco ISE-Richtliniensatzes.

  • Pre-shared Key (PSK): Das Telefon unterstützt das Format ASCII und Hexadezimal (HEX). Sie müssen diese Formate verwenden, wenn Sie einen WPA2/SAE Pre-shared Key einrichten.

    ASCII: Eine ASCII-Zeichenfolge mit einer Länge von 8 bis 63 Zeichen (0-9, Kleinbuchstaben a-z, Großbuchstaben A-Z und Sonderzeichen). Beispiel: GREG123567@9ZX&W.

    HEX: Eine HEX-Zeichenfolge mit einer Länge von 64 Hexadezimalzeichen (0-9, a-f oder A-F).

Folgende Authentifizierungsschemata verwenden den RADIUS-Server, um Authentifizierungsschlüssel zu verwalten:

  • WPA2/WPA3: Verwendet RADIUS-Serverinformationen, um eindeutige Authentifizierungsschlüssel zu generieren. Da diese Schlüssel auf dem zentralen RADIUS-Server generiert werden, bietet WPA2/WPA3 eine höhere Sicherheit als die vorinstallierten WPA-Schlüssel, die am Access Point und auf dem Telefon gespeichert sind.

  • Fast Secure Roaming: Verwendet RADIUS-Serverinformationen und WDS-Informationen (Wireless Domain Server), um Schlüssel zu verwalten und zu authentifizieren. Der WDS erstellt einen Cache mit Sicherheitsanmeldedaten für FT-fähige Client-Geräte, um eine schnelle und sichere erneute Authentifizierung zu gewährleisten.

Bei WPA2/WPA3 werden die Verschlüsselungsschlüssel nicht auf dem Telefon eingegeben, sondern automatisch zwischen dem Access Point und dem Telefon abgeleitet. Der EAP-Benutzername und das Kennwort, die zur Authentifizierung verwendet werden, müssen jedoch auf jedem Telefon eingegeben werden.

Um den Sprachverkehr über die drahtlose Verbindung zu schützen, unterstützt das Telefon die AES-basierte Verschlüsselung für die WPA2/WPA3-Authentifizierung. AES ist eine symmetrische Blockchiffre, die vom NIST standardisiert wurde. AES verwendet eine feste 128-Bit-Blockgröße und unterstützt Schlüssellängen von 128 Bit, 192 Bit und 256 Bit. In Wi-Fi-Netzwerken wird AES von Verschlüsselungssammlungen wie CCMP oder GCMP verwendet, während die Authentifizierung je nach konfiguriertem WLAN-Sicherheitsmodus separat von PSK, SAE oder 802.1X/EAP bereitgestellt wird. Die unterstützte Verschlüsselungssammlung und Schlüsselgröße hängen vom Telefonmodell und der WLAN-Konfiguration ab.

Authentifizierungs- und Verschlüsselungsschemata werden innerhalb des Wireless LAN eingerichtet. VLANs werden im Netzwerk und an den Access Points konfiguriert und geben verschiedene Kombinationen von Authentifizierung und Verschlüsselung an. Eine SSID wird einem VLAN und dem spezifischen Authentifizierungs- und Verschlüsselungsschema zugeordnet. Damit kabellose Client-Geräte erfolgreich authentifiziert werden können, müssen Sie an den Access Points und auf dem Telefon die gleichen SSIDs mit ihren Authentifizierungs- und Verschlüsselungsschemata konfigurieren.

Einige Authentifizierungsschemata erfordern bestimmte Arten von Verschlüsselung.

Wenn Sie WPA2 Pre-shared Key oder SAE verwenden, muss der vorinstallierte Schlüssel auf dem Telefon statisch festgelegt werden. Diese Schlüssel müssen mit den Schlüsseln am Access Point übereinstimmen.

Die Authentifizierungs- und Verschlüsselungsschemata in der folgenden Tabelle zeigen die Netzwerkkonfigurationsoptionen für Cisco Wireless Phone 9821, das der AP-Konfiguration entspricht.

Tabelle 1. Authentifizierungs- und Verschlüsselungsschemata
FSR-TypAuthentifizierungSchlüsselverwaltungVerschlüsselungGeschützter Verwaltungsrahmen (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNein
802.11r (FT)WPA3

SAE

FT-SAE

AESJa
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNein
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNein
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNein
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
Nicht-FTSuite-BWPA-EAP-SUITE-BGCMPJa
Nicht-FTSuite-B-192WPA-EAP-SUITE-B-192GCMPJa

Profil Wi-Fi einrichten

Sie können Wi-Fi-Profile über die Webseite für die Telefonverwaltung oder über eine erneute Synchronisierung von Remote-Geräteprofilen konfigurieren. Nach der Konfiguration können Sie diese Profile mit verfügbaren Drahtlosnetzwerken verknüpfen, um eine Verbindung herzustellen. Cisco Wireless Phone 9821 unterstützt maximal vier konfigurierte Wi-Fi-Profile.

Das Profil enthält die Parameter, die für Telefone erforderlich sind, um den Telefonserver mit Wi-Fi zu verbinden. Wenn Sie ein Wi-Fi Profil erstellen und verwenden, müssen Sie oder Ihre Benutzer das Drahtlosnetzwerk nicht für einzelne Telefone konfigurieren.

Mit Wi-Fi-Profilen können Sie Änderungen an der Wi-Fi-Konfiguration auf dem Telefon durch den Benutzer verhindern bzw. beschränken.

Es wird empfohlen, ein sicheres Profil mit Verschlüsselungsprotokollen zu verwenden, um Schlüssel und Kennwörter zu schützen, wenn Sie ein Wi-Fi Profil verwenden.

Wenn Sie die Telefone für die Verwendung der Authentifizierungsmethode EAP-FAST im Sicherheitsmodus einrichten, benötigen die Benutzer individuelle Anmeldeinformationen, um eine Verbindung mit einem Access Point herzustellen.

1

Greifen Sie auf die Telefon-Webseite zu.

2

Wählen Sie Sprache > System aus.

3

Legen Sie im Abschnitt Wi-Fi Profil (n) die Parameter fest, wie in der folgenden Tabelle Parameter für Wi-Fi Profil beschrieben.

Die Profilkonfiguration Wi-Fi steht auch für die Benutzeranmeldung zur Verfügung.
4

Klicken Sie auf Submit All Changes.

Parameter für das Profil Wi-Fi

In der folgenden Tabelle werden die Funktion und die Verwendung der einzelnen Parameter im Abschnitt Wi-Fi Profil(e) unter System Tab auf der Telefon-Webseite definiert. Darüber hinaus wird die Syntax der Zeichenfolge definiert, die zur Konfiguration eines Parameters in die Telefonkonfigurationsdatei (cfg.xml) eingegeben wird.

ParameterBeschreibung
NetzwerknameErmöglicht die Eingabe eines Namens für die SSID, die auf dem Telefon angezeigt wird. Mehrere Profile können denselben Netzwerknamen mit einem unterschiedlichen Sicherheitsmodus besitzen.

Führen Sie eine der folgenden Aktionen aus:

  • Geben Sie in der Konfigurationsdatei des Telefons eine Zeichenfolge mit XML (cfg.xml) in folgendem Format ein:

    <Network_Name_1_ ua="rw">Cisco</Network_Name_1_>

  • Geben Sie auf der Telefon-Webseite einen Namen für die SSID ein.

Standard: leer

SicherheitsmodusErmöglicht Ihnen die Auswahl der Authentifizierungsmethode, die für einen sicheren Zugriff auf das WLAN-Netzwerk verwendet wird. Je nach gewählter Methode wird ein Kennwortfeld angezeigt, in das Sie die Anmeldeinformationen eingeben können, die für die Teilnahme an diesem Wi-Fi Netzwerk erforderlich sind.

Führen Sie eine der folgenden Aktionen aus:

  • Geben Sie in der Konfigurationsdatei des Telefons eine Zeichenfolge mit XML (cfg.xml) in folgendem Format ein:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- verfügbare Optionen: |EAP-FAST|||PSK||Keine|EAP-PEAP|EAP-TLS -->

  • Wählen Sie auf der Telefon-Webseite eine der folgenden Methoden aus:
    • EAP-FAST
    • PSK
    • Keine
    • EAP-PEAP
    • EAP-TLS

Standard: Keine

Wi-Fi-Benutzer-IDErmöglicht es Ihnen, eine Benutzer-ID für das Netzwerkprofil einzugeben.

Dieses Feld ist verfügbar, wenn Sie den Sicherheitsmodus auf Auto, EAP-FAST oder EAP-PEAP festlegen. Dies ist ein Pflichtfeld, das eine maximale Länge von 32 alphanumerischen Zeichen zulässt.

Führen Sie eine der folgenden Aktionen aus:

  • Geben Sie in der Konfigurationsdatei des Telefons eine Zeichenfolge mit XML (cfg.xml) in folgendem Format ein:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Geben Sie auf der Telefon-Webseite einen Benutzer ID für das Netzwerkprofil ein.

Standard: leer

Wi-Fi-KennwortErmöglicht die Eingabe des Kennworts für die angegebene Wi-Fi-Benutzer-ID.

Führen Sie eine der folgenden Aktionen aus:

  • Geben Sie in der Konfigurationsdatei des Telefons eine Zeichenfolge mit XML (cfg.xml) in folgendem Format ein:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Geben Sie auf der Telefon-Webseite ein Kennwort für den Benutzer ID ein, den Sie hinzugefügt haben.

Standard: leer

FrequenzbandErmöglicht es Ihnen, den Wireless-Signalfrequenzbereich auszuwählen, den das Wi-Fi verwendet.

Führen Sie eine der folgenden Aktionen aus:

  • Geben Sie in der Konfigurationsdatei des Telefons eine Zeichenfolge mit XML (cfg.xml) in folgendem Format ein:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Wählen Sie auf der Telefon-Webseite eine der folgenden Optionen aus:
    • Auto
    • 2,4 GHz
    • 5 GHz oder 6 GHz

Standard: Auto

Zertifikat auswählenErmöglicht Ihnen die Auswahl eines Zertifikattyps für die erstmalige Registrierung und Erneuerung des Zertifikats im Drahtlosnetzwerk. Dieser Prozess ist nur für die 802.1X-Authentifizierung verfügbar.

Führen Sie eine der folgenden Aktionen aus:

  • Geben Sie in der Konfigurationsdatei des Telefons eine Zeichenfolge mit XML (cfg.xml) in folgendem Format ein:

    <Certificate_Select_1_ ua="rw">Fertigung installiert</Certificate_Select_1_>

  • Wählen Sie auf der Telefon-Webseite eine der folgenden Optionen aus:
    • Vom Hersteller installiert
    • Individuell installiert

Standard: Fertigung installiert

SteuerungsmodusLegt fest, ob der Benutzer die Wi-Fi Profile konfigurieren darf.

Führen Sie eine der folgenden Aktionen aus:

  • Geben Sie in der Konfigurationsdatei des Telefons eine Zeichenfolge mit XML (cfg.xml) in folgendem Format ein:

    <Control_Mode_1_ ua="rw">Zulassen</Control_Mode_1_>

  • Wählen Sie auf der Telefon-Webseite eine der folgenden Optionen aus:
    • Ermöglichen
    • Unzulässige
    • Eingeschränkt

Standard: Zulassen

AktivierenSteuert, ob das Profil Wi-Fi aktiviert ist.

Führen Sie eine der folgenden Aktionen aus:

  • Geben Sie in der Konfigurationsdatei des Telefons eine Zeichenfolge mit XML (cfg.xml) in folgendem Format ein:

    <Enable_1_ ua="rw">Ja</Enable_1_>

  • Wählen Sie auf der Telefon-Webseite eine der folgenden Optionen aus:
    • Ja
    • Nein

Standard: Ja

ProfilnameErmöglicht Ihnen die Eingabe eines Namens für das Profil, das auf dem Telefon angezeigt wird.

Führen Sie eine der folgenden Aktionen aus:

  • Geben Sie in der Konfigurationsdatei des Telefons eine Zeichenfolge mit XML (cfg.xml) in folgendem Format ein:

    <Profile_Name_1_ ua="rw">Profil 1</Profile_Name_1_>

  • Geben Sie auf der Telefon-Webseite einen Namen für das Profil ein.

Standard: Profil 1

PSK-PassphraseErmöglicht die Eingabe der PSK-Passphrase, wenn der Sicherheitsmodus auf PSK festgelegt ist.

Führen Sie eine der folgenden Aktionen aus:

  • Geben Sie in der Konfigurationsdatei des Telefons eine Zeichenfolge mit XML (cfg.xml) in folgendem Format ein:

    <PSK_Passphrase_1_ ua="rw">*************</PSK_Passphrase_1_>

  • Geben Sie auf der Telefon-Webseite die PSK-Passphrase ein.

Standard: Zulassen

802.1X-Authentifizierung für kabelgebundene Netzwerke

Cisco Wireless Phone 9821 unterstützt die 802.1X-Authentifizierung für kabelgebundene Netzwerke. Diese wird normalerweise während der automatischen Bereitstellung verwendet, wenn das Telefon über einen unterstützten USB-zu-Ethernet-Adapter mit dem Desktopladegerät verbunden ist.

Für die Unterstützung der 802.1X-Authentifizierung in kabelgebundenen Netzwerken werden folgende Komponenten benötigt:

  • Cisco IP-Telefon: Das Telefon initiiert die Anforderung, um auf das Netzwerk zuzugreifen. Das Cisco IP-Telefon enthält ein 802.1X Supplicant. Dieses Supplicant ermöglicht Netzwerkadministratoren die Verbindung von IP-Telefonen mit den LAN-Switch-Ports zu steuern. Die aktuelle Version des 802.1X Supplicant verwendet EAP-FAST und EAP-TLS für die Netzwerkauthentifizierung.

  • Authentifizierungsserver: Der Authentifizierungsserver und der Switch müssen beide mit einem Shared Secret für RADIUS konfiguriert werden.

  • Switch: Der Switch muss 802.1X unterstützen, damit er als Authentifikator fungieren und die EAP Nachrichten zwischen dem Telefon und dem Authentifizierungsserver weiterleiten kann. Nach dem Meldungsaustausch gewährt oder verweigert der Switch dem Telefon den Zugriff auf das Netzwerk.

Cisco IP-Telefons und Cisco Catalyst-Switches verwenden normalerweise CDP (Cisco Discovery Protocol), um sich gegenseitig zu identifizieren und Paramater zu bestimmen, beispielsweise die VLAN-Zuweisung und Inline-Energieanforderungen.

Um 802.1X zu konfigurieren, müssen Sie die folgenden Schritte ausführen.

  • Konfigurieren Sie CDP/LLDP Sprachumgehung VLAN.

  • Konfigurieren Sie den Authentifizierungsserver und den Switch, bevor Sie die 802.1X-Authentifizierung für verkabelte Netzwerke auf dem Telefon aktivieren.

  • Sprach-VLAN konfigurieren: Da VLANs von 802.1X-Standard nicht berücksichtigt werden, sollten Sie diese Einstellung basierend auf der Switch-Unterstützung konfigurieren.

    • Aktiviert: Wenn Sie einen Switch verwenden, der die Authentifizierung in mehreren Domänen unterstützt, können Sie ihn für die Verwendung der Sprachauthentifizierung VLAN konfigurieren.
    • Deaktiviert: Wenn der Switch die Authentifizierung in mehreren Domänen nicht unterstützt, deaktivieren Sie das Sprach-VLAN und weisen Sie den Port dem systemeigenen VLAN zu.
  • Cisco Das Wireless-Telefon 9821 hat ein anderes Präfix in der PID als die anderen Cisco-Telefone. Damit Ihr Telefon die 802.1X-Authentifizierung bestehen kann, legen Sie das Feld Radius· User-Name-Parameter , um Ihr Cisco Wireless Phone 9821 einzuschließen.

    Beispielsweise lautet die PID von Cisco Wireless Phone 9821 WP-9821. Sie können Radius · Benutzername , der mit WP beginnen soll oder Enthält WP in den beiden folgenden Abschnitten:

    • Richtlinie > Bedingungen > Bibliotheksbedingungen

    • Richtlinie > Richtliniensätze > Autorisierungsrichtlinie > Autorisierungsregel 1

802.1X-Authentifizierung für kabelgebundene Netzwerke auf Ihrem Telefon aktivieren

Um die 802.1X-Authentifizierung für kabelgebundene Netzwerke auf Ihrem Telefon zu aktivieren, führen Sie die folgenden Schritte aus: Beachten Sie, dass die 802.1X-Authentifizierung für Wi-Fi standardmäßig aktiviert ist und keine manuelle Konfiguration erfordert.

1

Greifen Sie auf die Einstellungen zu 9821 Settings app icon App.

2

Geben Sie das Kennwort ein, um auf das Menü "Einstellungen" zuzugreifen, wenn Sie dazu aufgefordert werden. Sie erhalten das Kennwort vom Administrator.

3

Wählen Sie Administratoreinstellungen > Sicherheitseinrichtung > 802.1X-Authentifizierung aus.

4

Markieren Sie Geräteauthentifizierung und drücken Sie Ein.

802.1X-Authentifizierung für kabelgebundene Netzwerke auf der Telefon-Webseite aktivieren

Wenn die 802.1X-Authentifizierung für verkabelte Netzwerke aktiviert ist, verwendet das Telefon die 802.1X-Authentifizierung, um Netzwerkzugriff über den Ethernet-LAN-Port anzufordern. Wenn die 802.1X-Authentifizierung für verkabelte Netzwerke deaktiviert ist, verwendet das Telefon Cisco Discovery Protocol (CDP), um VLAN und Netzwerkzugriff zu erhalten. Beachten Sie, dass die 802.1X-Authentifizierung für Wi-Fi standardmäßig aktiviert ist und keine manuelle Konfiguration erfordert.

Sie können ein Zertifikat (MIC/SUDI oder CDC) auswählen, das für die 802.1X-Authentifizierung verwendet wird. Weitere Informationen zu CDC finden Sie unter Benutzerdefiniertes Gerätezertifikat auf Cisco Wireless Phone 9821.

Sie können den Transaktionsstatus und die Sicherheitseinstellungen im Telefonmenü anzeigen. Weitere Informationen finden Sie unter Menü Sicherheitseinstellungen auf dem Telefon.

1

Aktivieren Sie die 802.1X-Authentifizierung.

Wählen Sie Sprache > System aus. Legen Sie im Abschnitt 802.1X-Authentifizierung den Parameter 802.1X-Authentifizierung aktivieren auf Ja fest.

Sie können diesen Parameter auch in der Konfigurationsdatei (cfg.xml) konfigurieren:

<Enable_802.1X_Authentifizierung ua="rw">Ja</Enable_802.1X_Authentifizierung>

Gültige Werte: Ja|Nein

Standard: Nein

2

Wählen Sie unter "802.1X-Authentifizierung " in der Dropdown-Liste "Zertifikatauswahl " eines der folgenden installierten Zertifikate für die 802.1X-Authentifizierung aus.

Wertoptionen:

  • Hersteller installiert: MIC/SUDI.
  • Benutzerdefiniert installiert: Benutzerdefiniertes Gerätezertifikat (CDC).

Sie können diesen Parameter auch in der Konfigurationsdatei (cfg.xml) konfigurieren:

<Certificate_Select ua="rw">benutzerdefinierte Installation</Certificate_Select>

Gültige Werte: Werkseitig verbaut|Individuell installiert

Standard: Fertigung installiert

3

Konfigurieren Sie den Parameter Benutzer ID , der als Identität für die 802.1X-Authentifizierung im kabelgebundenen Netzwerk verwendet wird.

Diese Konfiguration gilt nur, wenn Sie ein Custom Device Certificate (CDC) für die kabelgebundene 802.1X-Authentifizierung verwenden und die Zertifikatauswahl auf "Benutzerdefiniert" eingestellt ist.

Sie können diesen Parameter auch in der Konfigurationsdatei (cfg.xml) konfigurieren:

<Wired_User_ID ua="na"></Wired_User_ID>

Gültige Werte: Maximal 127 Zeichen

Standard: leer

Dieser Parameter unterstützt auch Makroerweiterungsvariablen, (siehe Makroerweiterungsvariablen für Details.

Wenn Sie den Benutzer ID in Kombination mit DHCP-Optionen bereitstellen möchten, finden Sie weitere Informationen unter Provisionierung des Benutzers ID über DHCP Option 15.

4

Klicken Sie auf Submit All Changes.

Menü "Sicherheitseinstellungen" auf dem Telefon

Um die Informationen zu den Sicherheitseinstellungen im Telefonmenü anzuzeigen, öffnen Sie das Fenster Einstellungen 9821 Settings app icon und wählen Sie Administratoreinstellungen > Sicherheits-Setup > 802.1X-Authentifizierung aus. Die Verfügbarkeit der Informationen hängt von den Netzwerkeinstellungen in Ihrem Unternehmen ab.

Parameter

Optionen

Standard

Beschreibung

Geräteauthentifizierung

Ein

Aus

Aus

Aktiviert oder deaktiviert die 802.1X-Authentifizierung auf dem Telefon.

Die Parametereinstellung kann nach der Out-Of-Box-Registrierung (OOB) des Telefons beibehalten werden.

Transaktionsstatus

Deaktiviert

Zeigt den Status der 802.1X-Authentifizierung an. Der Status kann (nicht beschränkt auf):

  • Authentifizieren: Zeigt an, dass die Authentifizierung gerade durchgeführt wird.
  • Authentifiziert: Zeigt an, dass das Telefon authentifiziert ist.
  • Deaktiviert: Gibt an, dass die 802.1X-Authentifizierung auf dem Telefon deaktiviert ist.
  • Wird verbunden: Zeigt an, dass das Telefon alle 30 Sekunden EAP Startnachrichten an den Switch sendet.
  • Acquired: Zeigt an, dass der Switch die EAP-Anforderung des Telefons zurückgewiesen hat und das Telefon keine EAP-TLS- oder EAP-FAST-Aufforderung vom Switch erhält. Das Telefon versucht erneut, EAP Anforderungen zu senden.
  • Getrennt: Zeigt an, dass das Ethernet-Kabel nicht angeschlossen ist.
  • Gehalten: Zeigt an, dass der Switch die EAP-Anforderung des Telefons verarbeitet, aber die Authentifizierung EAP-FAST oder EAP-TLS zurückgewiesen hat. Das Telefon versucht erneut, EAP Anforderungen zu senden.

Protokoll

Keine

Zeigt die Methode EAP an, die für die 802.1X-Authentifizierung verwendet wird. Das Protokoll kann EAP-FAST oder EAP-TLS sein.

Typ des Benutzerzertifikats

Vom Hersteller installiert

Individuell installiert

Vom Hersteller installiert

Wählt das Zertifikat für die 802.1X-Authentifizierung während der erstmaligen Registrierung und der Zertifikatserneuerung aus.

  • Vom Hersteller installiert: Der Secure Unique Device Identifier (SUDI) wird verwendet.
  • Benutzerdefiniert installiert: Das benutzerdefinierte Gerätezertifikat (Custom Device Certificate, CDC) wird verwendet. Dieser Zertifikatstyp kann entweder durch manuelles Hochladen auf der Telefonwebseite oder durch eine Installation von einem SCEP-Server (Simple Certificate Enrollment Protocol) installiert werden.

Dieser Parameter wird nur auf dem Telefon angezeigt, wenn die Geräteauthentifizierung aktiviert ist.

Ändern des Benutzer- und des Administratorkennworts

Bei der erstmaligen Registrierung bei einem Anrufsteuerungssystem oder nach dem Zurücksetzen auf die Werkseinstellungen müssen Sie beim ersten Zugriff auf die Webseite für die Telefonverwaltung sowohl das Benutzer- als auch das Administratorkennwort konfigurieren. Sie können diese Anmeldeinformationen jederzeit aktualisieren, um die Gerätesicherheit zu gewährleisten.

Zu den Regeln für gültige Kennwörter gehören die folgenden:

  • Das Kennwort muss aus mindestens 8 bis 127 Zeichen bestehen.
  • Eine Kombination (drei von vier Typen) aus Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen.
  • Platz ist nicht erlaubt.
1

Greifen Sie auf die Webseite zur Telefonverwaltung zu.

2

Wählen Sie Sprache > System aus.

3

(Optional) Legen Sie im Abschnitt Systemkonfiguration den Parameter Kennwortwarnungen anzeigen auf Ja fest, und klicken Sie dann auf Alle Änderungen übernehmen.

Sie können die Parameter ebenfalls in der Konfigurationsdatei (cfg.xml) des Telefons aktivieren.

<Display_Password_Warnings ua="na">Ja</Display_Password_Warnings>

Standard: Ja

Optionen: Ja|Nein

Wenn der Parameter auf "Nein " festgelegtist, wird keine Warnung zum Kennwort auf dem Telefondisplay angezeigt.

4

Suchen Sie den Parameter Benutzerkennwort oder Administratorkennwort, und klicken Sie neben dem Parameter auf Kennwort ändern.

5

Geben Sie das aktuelle Benutzerkennwort in das Feld Altes Kennwort ein.

6

Geben Sie im Feld Neues Kennwort ein neues Kennwort ein.

Wenn das neue Kennwort nicht den gültigen Kennwortregeln entspricht, wird die Einstellung abgelehnt.

7

Klicken Sie auf Senden.

Das Meldung Ihr Kennwort wurde geändert wird auf der Webseite angezeigt. Die Webseite wird nach einigen Sekunden aktualisiert.

Nach dem Festlegen des Benutzerkennworts wird von diesem Parameter Folgendes in der Telefonkonfigurations-XML-Datei (cfg.xml) angezeigt:

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Legen Sie die Mindestversion TLS für Client und Server fest

Standardmäßig ist die Mindestversion TLS für Client und Server 1.2. Dies bedeutet, dass der Client und der Server akzeptieren, Verbindungen mit TLS 1.2 oder höher herzustellen. Die unterstützte maximale Version von TLS für Client und Server ist 1.3. Wenn konfiguriert, wird die TLS-Mindestversion für die Aushandlung zwischen dem TLS-Client und dem TLS-Server verwendet.

Sie können die TLS-Mindestversion für Client bzw. Server festlegen, z. B. 1.1, 1.2 oder 1.3.

Bevor Sie beginnen:

Stellen Sie sicher, dass der Server TLS die konfigurierte Mindestversion TLS unterstützt. Wenden Sie sich an den Administrator des Anrufsteuerungssystems.

1

Greifen Sie auf die Webseite zur Telefonverwaltung zu.

2

Wählen Sie Sprache > System aus.

3

Konfigurieren Sie im Abschnitt Sicherheitseinstellungen den Parameter TLS Client Min Version.

  • TLS 1.1: Der TLS-Client unterstützt die TLS-Versionen 1.1 bis 1.3.

    Wenn die Version TLS im Server niedriger als 1.1 ist, kann die Verbindung nicht hergestellt werden.

  • TLS 1.2 (Standard): Der TLS-Client unterstützt TLS 1.2 und 1.3.

    Wenn die TLS-Version auf dem Server niedriger als 1.2 ist, z. B. 1.1, kann die Verbindung nicht hergestellt werden.

  • TLS 1.3: Der TLS-Client unterstützt nur TLS 1.3.

    Wenn die TLS-Version auf dem Server niedriger als 1.3 ist, z. B. 1.2 oder 1.1, kann die Verbindung nicht hergestellt werden.

    Wenn Sie den Parameter "TLS Client Min Version" auf "TLS 1.3" setzen möchten, stellen Sie sicher, dass die Serverseite TLS 1.3 unterstützt. Wenn die Serverseite TLS 1.3 nicht unterstützt, kann dies zu kritischen Problemen führen. Beispielsweise können die Bereitstellungsvorgänge nicht auf den Telefonen ausgeführt werden.

Sie können diesen Parameter auch in der Konfigurationsdatei (cfg.xml) konfigurieren:

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Zulässige Werte: TLS 1.1, TLS1.2 und TLS 1.3.

Standard: TLS 1.2

4

Konfigurieren Sie im Abschnitt Sicherheitseinstellungen den Parameter TLS Server Min Version.

Webex Calling unterstützt TLS 1.1 nicht.

  • TLS 1.1: Der TLS-Server unterstützt die TLS-Versionen 1.1 bis 1.3.

    Wenn die Version TLS im Client niedriger als 1.1 ist, kann die Verbindung nicht hergestellt werden.

  • TLS 1.2 (Standard): Der TLS-Server unterstützt TLS 1.2 und 1.3.

    Wenn die Version TLS im Client niedriger als 1.2 ist, z. B. 1.1, kann die Verbindung nicht hergestellt werden.

  • TLS 1.3: Der TLS-Server unterstützt nur TLS 1.3.

    Wenn die Version TLS im Client niedriger als 1.3 ist, z. B. 1.2 oder 1.1, kann die Verbindung nicht hergestellt werden.

Sie können diesen Parameter auch in der Konfigurationsdatei (cfg.xml) konfigurieren:

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Zulässige Werte: TLS 1.1, TLS1.2 und TLS 1.3.

Standard: TLS 1.2

5

Klicken Sie auf Submit All Changes.

Aktivieren des vom Client initiierten Modus für Sicherheitsverhandlungen auf Medienebene

Um Mediensitzungen zu schützen, können Sie das Telefon so konfigurieren, dass Sicherheitsverhandlungen auf Medienebene mit dem Server eingeleitet werden. Der Sicherheitsmechanismus folgt den Standards, die in RFC 3329 und dem Erweiterungsentwurf Security Mechanism Names for Media (siehe https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-Parameter-08#ref-2) festgelegt sind. Der Transport von Verhandlungen zwischen dem Telefon und dem Server kann das SIP-Protokoll über UDP, TCP und TLS verwenden. Sie können die Sicherheitsverhandlungen auf Medienebene einschränken, wenn das signalisierende Transportprotokoll TLS ist.

Tabelle 2. Parameter für die Sicherheitsaushandlung auf Medienebene
ParameterBeschreibung

MediaSec-Anforderung

Gibt an, ob das Telefon Medienebene-Sicherheitsverhandlungen mit dem Server initiiert.

Führen Sie eine der folgenden Aktionen aus:

  • Geben Sie in der Konfigurationsdatei des Telefons eine Zeichenfolge mit XML (cfg.xml) in folgendem Format ein:

    <MediaSec_Request_1_ ua="na">Ja</MediaSec_Request_1_>
  • Legen Sie in der Telefon-Weboberfläche dieses Feld nach Bedarf auf Ja oder Nein fest.

Zulässige Werte: Ja|Nein

  • Ja: vom Client initiierter Modus. Das Telefon initiiert Medienplan-Sicherheitsverhandlungen.
  • Nein: Server initiierter Modus. Der Server initiiert Sicherheitsverhandlungen in der Medienebene. Das Telefon initiiert keine Verhandlungen, kann aber Aushandlungsanfragen vom Server bearbeiten, um sichere Anrufe zu initiieren.

Standard: Nein

MediaSec nur über TLS

Gibt das signalisierende Transportprotokoll an, über das die Medienebene-Sicherheitsverhandlung angewendet wird.

Bevor Sie dieses Feld auf Ja festlegen, müssen Sie sicherstellen, dass das signalisierende Transportprotokoll TLS ist.

Führen Sie eine der folgenden Aktionen aus:

  • Geben Sie in der Konfigurationsdatei des Telefons eine Zeichenfolge mit XML (cfg.xml) in folgendem Format ein:

    <MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>

  • Legen Sie in der Telefon-Weboberfläche dieses Feld nach Bedarf auf Ja oder Nein fest.

Zulässige Werte: Ja|Nein

  • Ja: das Telefon initiiert oder bearbeitet Sicherheitsverhandlungen in der Medienebene nur, wenn das signalisierende Transportprotokoll TLS ist.
  • Nein: das Telefon initiiert und bearbeitet Medienplan-Sicherheitsverhandlungen, unabhängig vom Signalisierungs-Transportprotokoll.

Standard: Nein

1

Greifen Sie auf die Webseite zur Telefonverwaltung zu.

2

Wählen Sie Sprache > Durchwahl (n) aus.

3

Legen Sie im Abschnitt SIP Einstellungen die Felder "MediaSec Request " und "MediaSec Over TLS Only " fest, wie in der obigen Tabelle definiert.

4

Klicken Sie auf Submit All Changes.

War dieser Artikel hilfreich für Sie?
War dieser Artikel hilfreich für Sie?