Configurer les options DHCP

Vous pouvez définir l'ordre dans lequel votre téléphone utilise les options DHCP. Pour obtenir de l'aide sur les options DHCP, consultez Prise en charge des options DHCP.

1

Accéder à la page Web d'administration du téléphone.

2

Sélectionnez Voix > Déploiement.

3

Dans le Profil de configuration section, définissez le DHCP Option à utiliser et Option DHCPv6 à utiliser paramètres tels que décrits ci-dessous :

  • DHCP Option à utiliser : DHCP options, délimitées par des virgules, utilisées pour récupérer le firmware et les profils.

    Vous pouvez également configurer ce paramètre dans le fichier de configuration (cfg.xml).

    <DHCP_Option_To_Use ua="na">66,160,159,150</DHCP_Option_To_Use>

    Défaut: 66,160,159,150 ou 66,160,159,150,60,43,125, selon le modèle de téléphone

  • Option DHCPv6 à utiliser : Options DHCPv6, délimitées par des virgules, utilisées pour récupérer le firmware et les profils.

    Vous pouvez également configurer ce paramètre dans le fichier de configuration (cfg.xml).

    <DHCPv6_Option_To_Use ua="na">17,160,159</DHCPv6_Option_To_Use>

    Défaut: 17,160,159

4

Cliquez sur Envoyer toutes les modifications.

Prise en charge des options DHCP

Le tableau suivant répertorie les options DHCP prises en charge sur les téléphones PhoneOS.

Norme de réseauDescription
DHCP option 1Masque de sous-réseau
DHCP option 2Time offset
DHCP option 3Routeur
DHCP option 6Serveur de noms de domaine
DHCP option 15Nom du domaine
DHCP option 17Informations spécifiques au fournisseur, qui identifient le fournisseur
DHCP option 41Durée de bail de l’adresse IP
DHCP option 42Serveur NTP
DHCP option 43Informations spécifiques au fournisseur

Peut être utilisé pour fournir la configuration SCEP.

DHCP option 56Serveur NTP

Configuration du serveur NTP avec IPv6

DHCP option 60Identifiant de la classe du fournisseur
DHCP option 66Nom du serveur TFTP
DHCP option 125Informations spécifiques au fournisseur, qui identifient le fournisseur
DHCP option 150Serveur TFTP
DHCP option 159Adresse IP du serveur de mise à disposition
DHCP option 160URL de mise à disposition

Définir la version minimale de TLS pour le client et le serveur

Par défaut, la version minimale de TLS pour le client et le serveur est 1.2. Cela signifie que le client et le serveur acceptent d'établir des connexions avec TLS 1.2 ou supérieur. La version maximale prise en charge de TLS pour le client et le serveur est 1.3. Une fois configurée, la version minimale TLS sera utilisée pour la négociation entre le client TLS et le serveur TLS.

Vous pouvez définir la version minimale de TLS pour le client et le serveur respectivement, par exemple 1.1, 1.2 ou 1.3.

Avant de commencer

Assurez-vous que le serveur TLS prend en charge la version minimale TLS configurée. Vous pouvez consulter l'administrateur du système de contrôle des appels.
1

Accéder à la page Web d'administration du téléphone.

2

Sélectionnez Voix > Système.

3

Dans la section Paramètres de sécurité, configurer le paramètre TLS Version minimale du client.

  • TLS 1.1 :Le client TLS prend en charge les versions de TLS de 1.1 à 1.3.

    Si la version TLS sur le serveur est inférieure à 1.1, la connexion ne peut pas être établie.

  • TLS 1.2 (par défaut) : le client TLS prend en charge TLS 1.2 et 1.3.

    Si la version TLS sur le serveur est inférieure à 1.2, par exemple 1.1, la connexion ne peut pas être établie.

  • TLS 1.3 : Le client TLS prend en charge uniquement TLS 1.3.

    Si la version TLS sur le serveur est inférieure à 1.3, par exemple 1.2 ou 1.1, la connexion ne peut pas être établie.

    Si vous souhaitez définir le paramètre "TLS Client Min Version" sur "TLS 1.3", assurez-vous que le côté serveur prend en charge TLS 1.3. Si le côté serveur ne prend pas en charge TLS 1.3, cela peut entraîner des problèmes critiques. Par exemple, les opérations de provisionnement ne peuvent pas être effectuées sur les téléphones.

Vous pouvez également configurer ce paramètre dans le fichier de configuration (cfg.xml).

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Valeurs autorisées : TLS 1.1, TLS1.2 et TLS 1.3.

Valeur par défaut : TLS 1.2

4

Dans la section Paramètres de sécurité, configurer le paramètre TLS Version minimale du serveur.

Webex Calling ne prend pas en charge TLS 1.1.

  • TLS 1.1 :Le serveur TLS prend en charge les versions de TLS de 1.1 à 1.3.

    Si la version TLS dans le client est inférieure à 1.1, la connexion ne peut pas être établie.

  • TLS 1.2 (par défaut) : Le serveur TLS prend en charge TLS 1.2 et 1.3.

    Si la version TLS dans le client est inférieure à 1.2, par exemple 1.1, la connexion ne peut pas être établie.

  • TLS 1.3 : Le serveur TLS prend en charge uniquement TLS 1.3.

    Si la version TLS du client est inférieure à 1.3, par exemple 1.2 ou 1.1, la connexion ne peut pas être établie.

Vous pouvez également configurer ce paramètre dans le fichier de configuration (cfg.xml).

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Valeurs autorisées : TLS 1.1, TLS1.2 et TLS 1.3.

Valeur par défaut : TLS 1.2

5

Cliquez sur Envoyer toutes les modifications.

Activer le mode FIPS

Vous pouvez mettre un téléphone aux normes FIPS (normes fédérales de traitement d’informations).

FIPS est un ensemble de normes qui décrivent le traitement des documents, les algorithmes de chiffrement et d’autres normes de technologies de l’information dans le cadre d’une utilisation au sein d’un gouvernement non militaire et par les sous-traitants ou fournisseurs qui collaborent avec ces instances. CiscoSSL FOM (FIPS Object Module) est un composant logiciel soigneusement défini et conçu pour être compatible avec la bibliothèque CiscoSSL, de sorte que les produits utilisant la bibliothèque CiscoSSL et API peuvent être convertis pour utiliser la cryptographie validée FIPS 140-2 avec un minimum d'effort.

1

Accéder à la page Web d'administration du téléphone.

2

Sélectionnez Voix > Système.

3

Dans le Paramètres de sécurité section, choisissez Oui ou Non de la Mode FIPS paramètre.

4

Cliquez sur Envoyer toutes les modifications.

Lorsque vous activez le mode FIPS, les fonctionnalités suivantes fonctionnent harmonieusement sur le téléphone :
  • Authentification de l’image
  • Stockage sécurisé
  • Chiffrement du fichier de configuration
  • TLS :
    • HTTP
    • Chargement PRT
    • Mise à niveau du micrologiciel
    • Resynchronisation du profil
    • Service d’intégration
    • Webex intégration
    • SIP sur TLS
    • 802.1x (filaire)
  • Résumé SIP (RFC 8760)
  • SRTP
  • Journaux d'appels Webex et répertoire Webex
  • Un bouton à appuyer (OBTP)

Définir les mots de passe utilisateur et administrateur

Une fois le téléphone enregistré sur un système de contrôle des appels pour la première fois ou après avoir effectué une réinitialisation d'usine sur le téléphone, vous devez définir les mots de passe utilisateur et administrateur pour améliorer la sécurité du téléphone. Une fois les mots de passe définis, vous pouvez accéder à l'interface Web du téléphone.

Par défaut, les mots de passe utilisateur et administrateur sont vides. Par conséquent, vous pouvez trouver le problème "Aucun mot de passe fourni" sur le Paramètres > Problèmes et diagnostics > Problèmes écran de téléphone.

1

Accéder à la page web d'administration du téléphone

2

Sélectionnez Voix > Système.

3

(Facultatif) Dans le Configuration du système section, définissez le Afficher les avertissements de mot de passe paramètre à Oui, puis cliquez sur Soumettre toutes les modifications.

Vous pouvez également activer ces paramètres dans le fichier de configuration du téléphone (cfg.xml).

<Display_Password_Warnings ua="na">Oui</Display_Password_Warnings>

Par défaut : Oui

Options : Oui|Non

Si le paramètre est défini sur Non, l'avertissement de mot de passe n'apparaît pas sur l'écran du téléphone.

4

Localiser le paramètre Mot de passe utilisateur ou Mot de passe administrateur, et cliquez Changer le mot de passe à côté du paramètre.

5

Saisissez le mot de passe d'utilisateur actuel dans le champ Ancien mot de passe.

Si vous n’avez pas de mot de passe, laissez le champ vide. Aucune valeur par défaut n'est définie.
6

Saisissez un nouveau mot de passe dans le champ Nouveau mot de passe.

Règles de mot de passe valides :

  • Le mot de passe doit contenir au moins 8 à 127 caractères.
  • Une combinaison (3/4) de lettre majuscule, de petite lettre minuscule, de chiffre et de caractère spécial.
  • L'espace n'est pas autorisé.

Si le nouveau mot de passe ne répond pas aux exigences, le paramètre sera refusé.

7

Cliquez sur Soumettre.

Le message Password has been changed successfully. s’affiche sur la page Web. L'actualisation de la page Web prendra quelques secondes.

Une fois que vous avez défini le mot de passe d’utilisateur, ce paramètre affiche les informations suivantes dans le fichier XML de configuration téléphonique (cfg.xml) :

<!-- <Mot de passe administrateur ua="na">*************</Mot de passe administrateur><Mot de passe utilisateur ua="rw">*************</Mot de passe utilisateur> -->

Authentification 802.1x

Les téléphones IP Cisco prennent en charge l’authentification 802.1X.

Les téléphones IP Cisco et les commutateurs Catalyst Cisco utilisent généralement le protocole de découverte Cisco (CDP) pour s’identifier entre eux et pour déterminer des paramètres tels que l’allocation d’un réseau VLAN et les exigences relatives à l'alimentation en ligne. CDP n’identifie pas localement les postes de travail raccordés. Les téléphones IP Cisco fournissent un mécanisme de connexion directe à EAPOL. Grâce à ce mécanisme, un poste de travail raccordé au téléphone IP Cisco peut faire passer des messages EAPOL à l’authentifiant 802.1X et au commutateur LAN. Le mécanisme de connexion directe assure que le téléphone IP n’agisse pas en tant que commutateur LAN pour authentifier un terminal de données avant d'accéder au réseau.

Les téléphones IP Cisco fournissent également un mécanisme de déconnexion d’EAPOL par proxy. Si l’ordinateur raccordé localement est déconnecté du téléphone IP, le commutateur LAN ne détecte pas l’interruption de la liaison physique, car la liaison entre le commutateur LAN et le téléphone IP est maintenue. Pour éviter de compromettre l’intégrité du réseau, le téléphone IP envoie au commutateur un message EAPOL-Logoff au nom de l’ordinateur en aval, pour que le commutateur LAN efface la valeur d’authentification correspondant à l'ordinateur en aval.

La prise en charge de l’authentification 802.1X requiert plusieurs composants :

  • Téléphone IP Cisco : le téléphone envoie la requête d'accès au réseau. Les téléphones IP Cisco contiennent un demandeur 802.1X. Ce demandeur permet aux autoriser de contrôler la connectivité des téléphones IP aux ports de commutation LAN. La version actuelle du demandeur 802.1X du téléphone utilise les options EAP-FAST et EAP-TLS pour l’authentification réseau.

  • Serveur d'authentification : le serveur d'authentification et le commutateur doivent tous deux être configurés avec un secret partagé qui authentifie le téléphone.

  • Commutateur : le commutateur doit prendre en charge la norme 802.1X, afin de pouvoir agir comme authentifiant et transmettre les messages entre le téléphone et le serveur d'authentification. Une fois l’échange terminé, le commutateur accorde ou refuse au téléphone l’autorisation d’accéder au réseau.

Vous devez effectuer les actions suivantes pour configurer 802.1X.

  • Configurez les autres composants avant d'activer l’authentification 802.1X sur le téléphone.

  • Configure PC Port (Configurer le port PC) : La norme 802.1X ne tenant pas compte des VLAN, il est recommandé qu’un seul périphérique soit authentifié pour un port de commutation donné. Toutefois, certains commutateurs prennent en charge l’authentification sur plusieurs domaines. La configuration du commutateur détermine si vous pouvez brancher un ordinateur dans le port PC du téléphone.

    • Activé : si vous utilisez un commutateur qui prend en charge l'authentification multi-domaine, vous pouvez activer le port PC et y connecter un ordinateur. Dans ce cas, les téléphones IP Cisco prennent en charge la déconnexion d’EAPOL par proxy pour surveiller les échanges d’authentification entre le commutateur et l’ordinateur relié.

      Pour obtenir plus d’informations sur la prise en charge de la norme IEEE 802.1X sur les commutateurs Catalyst Cisco, reportez-vous aux guides de configuration des commutateurs Catalyst Cisco, disponibles à l'adresse :

      Http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Désactivé : si le commutateur ne prend pas en charge plusieurs périphériques conformes à 802.1x sur le même port, vous devez désactiver le port PC lorsque l'authentification 802.1x est activée. Si vous ne désactivez pas ce port et tentez ensuite d’y raccorder un ordinateur, le commutateur refusera l'accès réseau au téléphone et à l’ordinateur.

  • Configure Voice VLAN (Configurer le VLAN voix) : la norme 802.1X ne tenant pas compte des VLAN, vous devez configurer ce paramètre en fonction de la prise en charge du commutateur.
    • Activé : si vous utilisez un commutateur qui prend en charge l’authentification sur plusieurs domaines, vous pouvez continuer à utiliser le VLAN voix.
    • Désactivé : si le commutateur ne prend pas en charge l’authentification sur plusieurs domaines, désactivez le VLAN voix et envisagez d’affecter le port à un VLAN natif.
  • (Pour le téléphone de bureau Cisco série 9800 uniquement)

    Le téléphone de bureau de la série 9800 Cisco a un préfixe différent dans le PID de celui des autres téléphones Cisco. Pour permettre à votre téléphone de passer l'authentification 802.1X, définissez le paramètre Radius·User-Name pour inclure votre téléphone de bureau Cisco série 9800.

    Par exemple, le PID du téléphone 9841 est DP-9841 ; vous pouvez définir Radius·Nom d'utilisateur sur Commencer par DP ou Contient DP. Vous pouvez le définir dans les deux sections suivantes :

    • Politique > Conditions > Conditions de la bibliothèque

    • Politique > Ensembles de politiques > Politique d'autorisation > Règle d'autorisation 1

Activer l'authentification 802.1X sur la page Web du téléphone

Lorsque l'authentification 802.1X est activée, le téléphone utilise l'authentification 802.1X pour demander l'accès au réseau. Lorsque l'authentification 802.1X est désactivée, le téléphone utilise Cisco Discovery Protocol (CDP) pour acquérir VLAN et l'accès au réseau.

Vous pouvez sélectionner un certificat (MIC/SUDI ou CDC) utilisé pour l'authentification 802.1X. Pour plus d'informations sur CDC, consultez Certificat de périphérique personnalisé sur 9800/8875.

Vous pouvez afficher l'état de la transaction et les paramètres de sécurité dans le menu de l'écran du téléphone. Pour plus d'informations, consultez Menu des paramètres de sécurité sur le téléphone.

1

Activer l'authentification 802.1X.

Sélectionnez Voix > Système et définissez le paramètre Activer l'authentification 802.1X sur Oui.

Vous pouvez également configurer ce paramètre dans le fichier de configuration (cfg.xml).

<Activer_l'authentification_802.1X ua="rw">Oui</Enable_802.1X_Authentication>

Valeurs valides : Oui | Non

Paramètre par défaut : non

2

Sélectionnez l'un des certificats installés suivants utilisés pour l'authentification 802.1X.

Options de valeur :

  • Fabrication installée : MIC/SUDI.
  • Installation personnalisée : Certificat de périphérique personnalisé (CDC).

La configuration varie en fonction du réseau :

  • Pour le réseau filaire, sélectionnez Voix > Système, choisissez un type de certificat dans la liste déroulante Certificat Sélectionnez dans la section Authentification 802.1X.

    Vous pouvez également configurer ce paramètre dans le fichier de configuration (cfg.xml).

    <Certificate_Select ua="rw">Installation personnalisée</Certificate_Select>

    Valeurs valides : Installation en usine | Installation personnalisée

    Par défaut : Fabrication installée

  • Pour le réseau sans fil, sélectionnez Voix > Système, choisissez un type de certificat dans la liste déroulante Certificat Sélectionnez dans la section Wi-Fi Profil 1.

    Vous pouvez également configurer ce paramètre dans le fichier de configuration (cfg.xml).

    <Wi-Fi_Certificate_Select_1_ ua="rw">Installation personnalisée</Wi-Fi_Certificate_Select_1_>

    Valeurs valides : Installation en usine | Installation personnalisée

    Par défaut : Fabrication installée

3

Configurez le paramètre ID utilisateur qui sera utilisé comme identité pour l'authentification 802.1X dans le réseau filaire.

La configuration des paramètres prend effet uniquement lorsque CDC est utilisé pour l'authentification filaire 802.1X (Sélection de certificat est défini sur Installation personnalisée).

Par défaut, ce paramètre est vide. L'identité du 802.1X filaire varie en fonction du certificat sélectionné :

  • Si MIC/SUDI est sélectionné, l'identité câblée 802.1X est représentée comme ci-dessous :

    <Nom du produit> + SEP<MAC adresse>.

    Exemples : DP-98xx-SEP<MAC address>, CP-8875-SEP<MAC address>.

  • Si CDC est sélectionné, le nom commun dans CDC est utilisé comme identité pour le 802.1X filaire.

Si l'ID utilisateur est vide et que le nom commun dans CDC est configuré, le 802.1X filaire utilisera le nom commun CDC comme identité.

Vous pouvez également configurer ce paramètre dans le fichier de configuration (cfg.xml).

<Wired_User_ID ua="na"></Wired_User_ID>

Valeurs valides : 127 caractères maximum

Valeur par défaut : vide

Ce paramètre prend également en charge les variables d'extension de macro, voir Variables d'extension de macro pour plus de détails.

Si vous souhaitez utiliser les options DHCP pour provisionner l'ID utilisateur, consultez Provisionnement du nom commun ou de l'ID utilisateur via l'option DHCP 15.

4

Cliquez sur Envoyer toutes les modifications.

Menu des paramètres de sécurité sur le téléphone

Vous pouvez afficher les informations sur les paramètres de sécurité dans le menu du téléphone. Le chemin de navigation est : Paramètres > Réseau et service > Paramètres de sécurité. La disponibilité des informations dépend des paramètres réseau de votre organisation.

Paramètres

Options

Par défaut

Description

Authentification du périphérique

Activé

Désactivé

Désactivé

Active ou désactive l'authentification 802.1X sur le téléphone.

Le réglage des paramètres peut être conservé après l'enregistrement Out-Of-Box (OOB) du téléphone.

État de la transaction

Désactivé

Affiche l'état de l'authentification 802.1X. L'état peut être (sans s'y limiter) :

  • En cours d'authentifiaction : indique que le processus d'authentification est en cours.
  • Authentifié : indique que le téléphone est authentifié.
  • Désactivé : indique que l'authentification 802.1 x est désactivée sur le téléphone.

Protocole

Aucun

Affiche la méthode EAP utilisée pour l'authentification 802.1X. Il peut s’agir du protocole EAP-FAST ou EAP-TLS.

Type de certificat utilisateur

Installé en usine

Installation personnalisée

Installé en usine

Sélectionne le certificat pour l'authentification 802.1X lors de l'inscription initiale et du renouvellement du certificat.

  • Fabrication installée : le certificat de fabrication installé (MIC) et l'identifiant unique sécurisé du périphérique (SUDI) sont utilisés.
  • Installation personnalisée : le certificat de périphérique personnalisé (CDC) est utilisé. Ce type de certificat peut être installé par téléchargement manuel sur la page Web du téléphone ou par installation à partir d'un serveur SCEP (Simple Certificate Enrollment Protocol).

Ce paramètre apparaît sur le téléphone uniquement lorsque l'authentification du périphérique est activée.

Rétrocompatibilité avec WPA

Activé

Désactivé

Désactivé

Détermine si la version la plus ancienne de Wi-Fi Protected Access (WPA) est compatible sur le téléphone pour se connecter à un réseau sans fil ou à un point d'accès (AP).

  • Si cette option est activée, le téléphone peut rechercher et se connecter aux réseaux sans fil avec toutes les versions de WPA prises en charge, y compris WPA, WPA2 et WPA3. De plus, le téléphone peut rechercher et se connecter aux points d'accès qui ne prennent en charge que la version la plus ancienne de WPA.
  • Si cette option est désactivée (par défaut), le téléphone peut uniquement rechercher et se connecter aux réseaux sans fil et aux points d'accès prenant en charge WPA2 et WPA3.

Cette fonctionnalité est uniquement disponible sur les téléphones 9861/9871/8875.

Configurer un serveur proxy

Vous pouvez configurer le téléphone pour utiliser un serveur proxy afin d'améliorer la sécurité. En règle générale, un serveur proxy HTTP peut fournir les services suivants :

  • Routage du trafic entre les réseaux internes et externes
  • Filtrage, surveillance ou journalisation du trafic
  • Mise en cache des réponses pour améliorer les performances

De plus, le serveur proxy HTTP peut agir comme un pare-feu entre le téléphone et Internet. Après une configuration réussie, le téléphone se connecte à Internet via le serveur proxy qui protège le téléphone des cyberattaques.

Lorsqu'elle est configurée, la fonctionnalité proxy HTTP s'applique à toutes les applications qui utilisent le protocole HTTP. Par exemple :

  • GDS (Embarquement du code d'activation)
  • Activation du périphérique EDOS
  • Intégration au cloud Webex (via EDOS ou GDS)
  • Autorité de certification personnalisée
  • Mise à disposition
  • Mise à niveau du micrologiciel
  • Rapport d'état du téléphone
  • Chargement PRT
  • Services XSI
  • Services Webex

  • Actuellement, la fonctionnalité ne prend en charge que IPv4.
  • Les paramètres de proxy HTTP peuvent être conservés après l'enregistrement Out-Of-Box (OOB) du téléphone.

1

Accéder à la page Web d'administration du téléphone.

2

Sélectionnez Voix > Système.

3

Dans la section Paramètres proxy HTTP, sélectionnez un mode proxy dans la liste déroulante Mode proxy et configurez les paramètres associés.

Pour plus d'informations sur les paramètres et les paramètres requis pour chaque mode proxy, voir Paramètres pour les paramètres de proxy HTTP .

4

Cliquez sur Envoyer toutes les modifications.

Paramètres des paramètres de proxy HTTP

Le tableau suivant définit la fonction et l'utilisation des paramètres du proxy HTTP dans la section Paramètres du proxy HTTP sous Système > voixTab de l'interface Web du téléphone. Il définit également la syntaxe de la chaîne ajoutée au fichier de configuration du téléphone (cfg.xml) à l'aide du code XML pour configurer un paramètre.

ParamètreDescription
Mode proxySpécifie le mode proxy HTTP utilisé par le téléphone, ou désactive la fonctionnalité Proxy HTTP.
  • Auto

    Le téléphone récupère automatiquement un fichier PAC (Proxy Auto-Configuration) pour sélectionner un serveur de proxy. Dans ce mode, vous pouvez déterminer s'il faut utiliser le protocole WPAD (Web Proxy Auto Discovery) pour récupérer un fichier PAC ou saisir manuellement une URL valide du fichier PAC.

    Pour plus d'informations sur les paramètres, reportez-vous aux paramètres "Web Proxy Auto Discovery" et "PAC URL" de ce tableau.

  • Manuelle

    Vous devez spécifier manuellement un serveur (nom d'hôte ou adresse IP) et un port d'un serveur de proxy.

    Pour plus de détails sur les paramètres, voir Hôte du proxy et Port du proxy.

  • Désactivé

    Vous désactivez la fonctionnalité de proxy HTTP sur le téléphone.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Proxy_Mode ua="rw">Désactivé</Proxy_Mode>

  • Sur l'interface Web du téléphone, sélectionnez un mode proxy ou désactivez la fonctionnalité.

Valeurs autorisées : Auto, Manuel, et Désactivé

Par défaut : Désactivé

Détection automatique du proxy WebDétermine si le téléphone utilise le protocole WPAD (Web Proxy Auto Discovery) pour récupérer un fichier PAC.

Le protocole WPAD utilise DHCP ou DNS, ou les deux protocoles réseau pour localiser automatiquement un fichier PAC (Proxy Auto Configuration). Le fichier PAC est utilisé pour sélectionner un serveur de proxy pour une URL donnée. Ce fichier peut être hébergé localement ou sur un réseau.

  • La configuration du paramètre prend effet lorsque le mode Proxy est défini sur Auto.
  • Si vous définissez le paramètre sur Non, vous devez spécifier une URL PAC.

    Pour plus d'informations sur le paramètre, reportez-vous à la section "URL PAC" de ce tableau.

Exécutez l’une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Web_Proxy_Auto_Discovery ua="rw">Oui</Web_Proxy_Auto_Discovery>

  • Dans l'interface Web du téléphone, sélectionnez Oui ou Non selon les besoins.

Valeurs autorisées : Oui et Non.

Par défaut : Oui

URL PACURL d'un fichier PAC.

Par exemple, http://proxy.department.branch.example.com

TFTP, HTTP et HTTPS sont pris en charge.

Si vous définissez le mode proxy sur Auto et la détection automatique du proxy Web sur Non, vous devez configurer ce paramètre.

Exécutez l’une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL&gt ;

  • Sur l'interface Web du téléphone, entrez une URL valide qui permet de localiser un fichier PAC.

Valeur par défaut : vide

Hôte proxyAdresse IP ou nom d'hôte du serveur hôte proxy auquel le téléphone doit accéder. Par exemple :

proxy.example.com

Le schéma (http:// or https://) n'est pas requis.

Si vous définissez le mode Proxy sur Manuel, vous devez configurer ce paramètre.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Proxy_Host ua="rw">proxy.example.com</Proxy_Host>

  • Sur l'interface Web du téléphone, entrez l'adresse IP ou le nom d'hôte du serveur de proxy.

Valeur par défaut : vide

Port proxyNuméro de port du serveur hôte proxy.

Si vous définissez le mode Proxy sur Manuel, vous devez configurer ce paramètre.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Proxy_Port ua="rw">3128</Proxy_Port>

  • Sur l'interface Web du téléphone, entrez un port de serveur.

Par défaut : 3128

Authentification proxyDétermine si l'utilisateur doit fournir les informations d'authentification (nom d'utilisateur et mot de passe) requises par le serveur de proxy. Ce paramètre est configuré selon le comportement actuel du serveur de proxy.

Si vous définissez ce paramètre sur Oui, vous devez configurer Nom d'utilisateur et Mot de passe.

Pour plus de détails sur les paramètres, reportez-vous aux paramètres "Nom d'utilisateur" et "Mot de passe" de ce tableau.

La configuration du paramètre prend effet lorsque le mode Proxy est défini sur Manuel.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Proxy_Authentication ua="rw">Non</Proxy_Authentication>

  • Dans l'interface Web du téléphone, définissez ce champ Oui ou Non selon vos besoins.

Valeurs autorisées : Oui et Non.

Paramètre par défaut : non

Nom d'utilisateurNom d'utilisateur pour un utilisateur d'identifiant sur le serveur de proxy.

Si le mode proxy est défini sur Manuel et l'authentification proxy sur Oui, vous devez configurer le paramètre.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Proxy_Username ua="rw">Exemple</Proxy_Username>

  • Sur l'interface Web du téléphone, saisissez le nom d'utilisateur.

Valeur par défaut : vide

Mot de passeMot de passe du nom d'utilisateur spécifié à des fins d'authentification sur le serveur de proxy.

Si le mode proxy est défini sur Manuel et l'authentification proxy sur Oui, vous devez configurer le paramètre.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Proxy_Password ua="rw">Exemple</Proxy_Password>

  • Sur l’interface Web du téléphone, saisissez un mot de passe valide pour l’authentification proxy de l’utilisateur.

Valeur par défaut : vide

Tableau 1. Paramètres requis pour chaque mode proxy
Mode proxyParamètres requisDescription
DésactivéS.O.Le proxy HTTP est désactivé sur le téléphone.
ManuelleHôte proxy

Port proxy

Authentification proxy : Oui

Nom d’utilisateur

Mot de passe

Spécifiez manuellement un serveur proxy (un nom d'hôte ou une adresse IP) et un port proxy. Si le serveur proxy requiert une authentification, vous devez saisir le nom d'utilisateur et le mot de passe.
Hôte proxy

Port proxy

Authentification proxy : Non

Spécifiez manuellement un serveur proxy. Le serveur proxy ne nécessite pas d'informations d'authentification.
AutoDétection automatique du proxy Web : Non

URL PAC

Entrez une URL PAC valide pour récupérer le fichier PAC.
Détection automatique du proxy Web : Oui

Utilise le protocole WPAD pour récupérer automatiquement un fichier PAC.

Activer le mode initié par le client pour les négociations de sécurité du plan média

Pour protéger les sessions multimédias, vous pouvez configurer le téléphone pour qu'il initie les négociations de sécurité du plan de support avec le serveur. Le mécanisme de sécurité suit les normes énoncées dans la RFC 3329 et son projet d'extension Security Mechanism Names for Media (Voir https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Le transport des négociations entre le téléphone et le serveur peut utiliser le protocole SIP sur UDP, TCP et TLS. Vous pouvez limiter la négociation de la sécurité du plan de support pour qu'elle ne s'applique que lorsque le protocole de transport de signalisation est TLS.

Tableau 2. Paramètres de négociation de sécurité du plan média
ParamètreDescription

Demande MediaSec

Indique si le téléphone initie des négociations de sécurité du plan de support avec le serveur.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <MediaSec_Request_1_ ua="na">Oui</MediaSec_Request_1_>
  • Dans l'interface Web du téléphone, définissez ce champ sur Oui ou Non en fonction des besoins.

Valeurs autorisées : Oui | Non

  • Oui : mode initié par le client. Le téléphone initie des négociations de sécurité du plan de support.
  • Non : mode initié par le serveur. Le serveur initie des négociations de sécurité du plan de support. Le téléphone n'initie pas de négociations, mais peut traiter les demandes de négociation provenant du serveur pour établir des appels sécurisés.

Paramètre par défaut : non

MediaSec sur TLS uniquement

Spécifie le protocole de transport de signalisation sur lequel la négociation de sécurité du plan de média est appliquée.

Avant de définir ce champ sur Oui, assurez-vous que le protocole de transport de signalisation est TLS.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <MediaSec_Over_TLS_Only_1_ ua="na">Non</MediaSec_Over_TLS_Only_1_>

  • Dans l'interface Web du téléphone, définissez ce champ sur Oui ou Non en fonction des besoins.

Valeurs autorisées : Oui | Non

  • Oui : le téléphone initie ou traite les négociations de sécurité du plan de support uniquement lorsque le protocole de transport de signalisation est TLS.
  • Non : le téléphone initie et traite les négociations de sécurité du plan de support indépendamment du protocole de transport de signalisation.

Paramètre par défaut : non

1

Accéder à la page Web d'administration du téléphone.

2

Sélectionnez Voix > Poste(n).

3

Dans la section SIP Paramètres , définissez les champs Demande MediaSec et MediaSec sur TLS uniquement comme défini dans le tableau ci-dessus.

4

Cliquez sur Envoyer toutes les modifications.

Sécurité WLAN

Tout périphérique WLAN étant à portée peut recevoir n'importe quel trafic WLAN : en conséquence, la sécurisation des communications voix est un élément essentiel des réseaux WLAN. Pour s'assurer que les intrus ne manipulent ni n'interceptent le trafic vocal, l'architecture Cisco SAFE Security prend en charge le téléphone. Pour plus d'informations sur la sécurité dans les réseaux, consultez http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

La solution de téléphonie IP sans fil Cisco assure la sécurité des réseaux sans fil, empêchant les connexions non autorisées et les communications dangereuses à l'aide des méthodes d'authentification suivantes prises en charge par le téléphone :

  • Authentification ouverte : tout périphérique sans fil peut demander une authentification dans un système ouvert. Le point d'accès qui reçoit la requête peut accorder l'authentification à n'importe quel demandeur ou seulement aux demandeurs présents sur une liste d'utilisateurs. Les communications entre le périphérique sans fil et le point d'accès (AP) peuvent être non chiffrées.

  • Authentification EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling) : cette architecture de sécurité client-serveur chiffre les transactions EAP dans un tunnel de sécurité de niveau de transport (TLS) entre le point d'accès et le serveur RADIUS, tel que Identity Services Engine (ISE).

    Le tunnel TLS utilise des identifiants PAC (Protected Access Credentials) lors de l'authentification du client (téléphone) avec le serveur RADIUS. Le serveur envoie un identifiant AID (Authority ID) au client (téléphone), qui sélectionne ensuite le PAC approprié. Le client (téléphone) renvoie un champ PAC-Opaque au serveur RADIUS. Le serveur déchiffre le PAC grâce à la clé principale. Les deux terminaux détiennent alors la clé PAC et un tunnel TLS est créé. EAP-FAST prend en charge le provisionnement automatique de PAC, mais vous devez activer cette option sur le serveur RADIUS.

    Dans ISE, par défaut, le PAC expire au bout d'une semaine. Si le téléphone détient un PAC qui a expiré, l'authentification avec le serveur RADIUS prend plus de temps, car le téléphone doit obtenir un nouveau PAC. Pour éviter les délais de provisionnement de PAC, configurez la durée de vie du PAC à 90 jours ou plus sur le serveur ISE ou RADIUS.

  • L'authentification Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)  : EAP-TLS requiert un certificat client pour l'authentification et l'accès au réseau. Pour le sans fil EAP-TLS, le certificat client peut être un certificat MIC, LSC, ou installé par l'utilisateur.

  • Protocole PEAP (Protected Extensible Authentication Protocol) : modèle propriétaire Cisco d'authentification mutuelle via mot de passe entre le client (téléphone) et un serveur RADIUS. Le téléphone peut utiliser PEAP pour s'authentifier auprès du réseau sans fil. Les méthodes d'authentification PEAP-MSCHAPv2 et PEAP-GTC sont prises en charge.

  • Pre-Shared Key (PSK) : le téléphone prend en charge le format ASCII. Vous devez utiliser ce format lors de la configuration d'une clé pré-partagée WPA/WPA2/SAE :

    ASCII : chaîne de caractères ASCII de 8 à 63 caractères en longueur (0-9, minuscules et majuscules A-Z, et caractères spéciaux)

    Exemple : GREG123567@9ZX&W

Les modèles d'authentification suivants utilisent le serveur RADIUS pour gérer les clés d'authentification :

  • WPA/WPA2/WPA3 : Utilise les informations du serveur RADIUS pour générer des clés d'authentification uniques. Ces clés étant générées par le serveur RADIUS centralisé, WPA2/WPA3 assure une sécurité renforcée par rapport aux clés WPA pré-partagées stockées par le point d'accès et le téléphone.

  • Itinérance sécurisée rapide : utilise le serveur RADIUS et les informations d'un serveur de domaine sans fil (WDS) pour gérer et authentifier les clés. Le serveur WDS crée un cache d'informations d'identification pour les périphériques clients compatibles FT, permettant ainsi une ré-authentification rapide et sécurisée. Cisco Téléphone de bureau 9861 et 9871 et Cisco Téléphone vidéo 8875 prennent en charge 802.11r (FT). La DS est prise en charge à la fois sur les ondes et sur la DS pour permettre une itinérance rapide et sécurisée. Mais nous recommandons vivement d'utiliser la méthode 802.11r (FT) aérienne.

Avec WPA/WPA2/WPA3, les clés de chiffrement ne sont pas entrées sur le téléphone, mais sont automatiquement dérivées entre le point d'accès et le téléphone. Toutefois, les nom d'utilisateur et mot de passe EAP utilisés pour l'authentification doivent être saisis sur chaque téléphone.

Pour garantir la sécurité du trafic voix, le téléphone prend en charge TKIP et AES pour le chiffrement. Lorsque ces mécanismes sont utilisés pour le chiffrement, les paquets de signalisation SIP et les paquets RTP (Real-Time Transport Protocol) vocal sont chiffrés entre le point d'accès et le téléphone.

TKIP

WPA utilise le chiffrement TKIP qui a plusieurs améliorations par rapport à WEP. TKIP assure un chiffrement des clés par paquet et des vecteurs d'initialisation (IV) plus longs qui renforcent le chiffrement. De plus, un message de vérification d'intégrité (MIC) garantit la non-altération des paquets chiffrés. TKIP permet de supprimer le caractère prévisible de WEP, qui faciliterait le déchiffrage de la clé WEP par des intrus.

AES

Une méthode de codage utilisée pour l'authentification WPA2/WPA3. Ce standard national de chiffrement utilise un algorithme symétrique qui emploie une clé identique pour le chiffrement et le décodage. AES utilise un chiffrement CBC (Cipher Blocking Chain) de 128 bits et prend ainsi en charge les tailles de clé de 128, 192 et 256 bits au minimum. Le téléphone prend en charge une taille de clé de 256 bits.

Les téléphones de bureau Cisco 9861 et 9871 et le téléphone vidéo Cisco 8875 ne prennent pas en charge le protocole CKIP (Cisco Key Integrity Protocol) avec CMIC.

Les modèles d'authentification et de chiffrement sont configurés dans le LAN sans fil. Les VLAN sont configurés dans le réseau et sur les points d'accès. Ils spécifient différentes combinaisons d'authentification et de chiffrement. Un SSID s'associe avec un VLAN et avec un modèle spécifique d'authentification et de chiffrement. Pour que les périphériques clients sans fil réussissent à s'authentifier, vous devez configurer les mêmes SSID avec leurs modèles d'authentification et de chiffrement sur les points d'accès et le téléphone.

Certains modèles d'authentification nécessitent des types de chiffrement spécifiques.

  • Lorsque vous utilisez la clé pré-partagée WPA, la clé pré-partagée WPA2 ou SAE, la clé pré-partagée doit être configurée statiquement sur le téléphone. Ces clés doivent correspondre à celles présentes sur le point d'accès.
  • Le téléphone prend en charge la négociation automatique EAP pour FAST ou PEAP, mais pas pour TLS. Pour le mode EAP-TLS, vous devez le préciser.

Les modèles d'authentification et de chiffrement présentés dans le tableau suivant indiquent les options de configuration réseau pour le téléphone correspondant à la configuration du point d'accès.

Tableau 3. Modèles d'authentification et de chiffrement
Type de FSRAuthentificationGestion des clésChiffrementCadre de gestion protégé (CMR)
802.11r (FT)Clé pré-partagée

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNon
802.11r (FT)WPA3

SAE

FT-SAE

AESOui
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNon
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESOui
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNon
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESOui
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNon
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESOui

Configurer le profil Wi-Fi

Vous pouvez configurer un profil de réseau Wi-Fi à partir de la page web du téléphone ou de la resynchronisation de profil de périphérique distant et ensuite associer le profil aux réseaux Wi-Fi disponibles. Vous pouvez utiliser ce profil Wi-Fi pour vous connecter à un réseau Wi-Fi. Actuellement, un seul profil Wi-Fi peut être configuré.

Le profil contient les paramètres requis par les téléphones pour se connecter au serveur téléphonique en Wi-fi. Lorsque vous créez et utilisez un profil Wi-Fi, vous ou vos utilisateurs n'avez pas besoin de configurer le réseau sans fil pour les téléphones individuels.

Un profil de réseau Wifi vous permet de prévenir ou de limiter les modifications apportées à la configuration du réseau Wifi sur le téléphone par l'utilisateur.

Nous vous recommandons d'utiliser un profil sécurisé avec des protocoles de cryptage activés pour protéger les clés et les mots de passe lorsque vous utilisez un profil Wi-Fi.

Lorsque vous configurez les téléphones pour utiliser la méthode d'authentification EAP-FAST en mode sécurité, vos utilisateurs ont besoin d'informations d'identification individuelles pour se connecter à un point d'accès.

1

Accéder à la page Web du téléphone

2

Sélectionnez Voix > Système.

3

Dans la section Wi-Fi Profil (n), définissez les paramètres comme décrit dans le tableau suivant Paramètres pour le profil Wi-Fi.

La configuration du profil Wi-Fi est également disponible pour la connexion utilisateur.
4

Cliquez sur Envoyer toutes les modifications.

Paramètres du profil Wi-Fi

Le tableau ci-dessous indique la fonction et l'utilisation de chaque paramètre dans la section Profil Wi-Fi sous l'onglet Système de la page Web du téléphone. Elle définit également la syntaxe de la chaîne intégrée au fichier de configuration du téléphone (cfg.xml) afin de configurer un paramètre spécifique.

ParamètreDescription
Nom du réseauPermet d'entrer un nom pour le SSID qui s'affiche sur le téléphone. Plusieurs profils peuvent avoir le même nom de réseau avec plusieurs modes de sécurité.

Exécutez l’une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Network_Name_1_ua="rw">cisco</Network_Name_1_>

  • Sur la page Web du téléphone, saisissez un nom pour le SSID.

Valeur par défaut : vide

Mode de sécuritéVous permet de sélectionner la méthode d'authentification qui permet de sécuriser l'accès au réseau Wi-Fi. Selon la méthode choisie, un champ de mot de passe apparaît afin que vous puissiez fournir les informations d'identification requises pour rejoindre ce réseau Wi-Fi.

Exécutez l’une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_><!-- options disponibles : Auto|EAP-FAST|||PSK||Aucun|EAP-PEAP|EAP-TLS -->

  • Sur la page Web du téléphone, sélectionnez l'une des méthodes :
    • Auto
    • EAP-FAST
    • Clé pré-partagée
    • Aucun
    • EAP-PEAP
    • EAP-TLS

Valeur par défaut : automatique

ID utilisateur Wi-FiVous permet d'entrer un nom d'utilisateur pour le profil réseau.

Ce champ est disponible lorsque vous définissez le mode de sécurité sur Auto, EAP-FAST ou EAP-PEAP. Ce champ est obligatoire et il peut comporter une longueur maximale de 32 caractères alphanumériques.

Exécutez l’une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Sur la page Web du téléphone, saisissez un ID utilisateur pour le profil réseau.

Valeur par défaut : vide

Mot de passe Wi-FiPermet de saisir le mot de passe pour l'ID utilisateur Wi-Fi spécifié.

Exécutez l’une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Sur la page Web du téléphone, saisissez un mot de passe pour l'ID utilisateur que vous avez ajouté.

Valeur par défaut : vide

Plage de fréquencesVous permet de sélectionner la plage de fréquence du signal sans fil qui est utilisée par le réseau local sans fil.

Exécutez l’une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Sur la page Web du téléphone, sélectionnez l'une des options :
    • Auto
    • 2,4 GHz
    • 5 GHz

Valeur par défaut : automatique

Sélection de certificatVous permet de sélectionner un type de certificat pour l'inscription initiale du certificat et le renouvellement du certificat dans le réseau sans fil. Ce processus n'est disponible que pour l'authentification 802.1X.

Exécutez l’une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Certificate_Select_1_ ua="rw">Fabrication installée</Certificate_Select_1_>

  • Sur la page Web du téléphone, sélectionnez l'une des options :
    • Installé en usine
    • Installation personnalisée

Par défaut : Fabrication installée

Vérifiez l'état de sécurité de l'appareil sur le téléphone

Votre téléphone vérifie automatiquement l'état de sécurité de l'appareil. S'il détecte des menaces de sécurité potentielles sur le téléphone, le menu Problèmes et diagnostics peut afficher les détails des problèmes. En fonction des problèmes signalés, votre administrateur peut prendre des mesures pour sécuriser et renforcer votre téléphone.

L'état de sécurité de l'appareil est disponible avant que le téléphone ne soit enregistré dans le système de contrôle des appels (Webex Calling ou BroadWorks).

Pour afficher les détails des problèmes de sécurité sur l'écran du téléphone, procédez comme suit :

1

Appuyez sur ParamètresSettings button

2

Sélectionnez Problèmes et diagnostics > Problèmes.

Actuellement, le rapport de sécurité de l'appareil contient les problèmes suivants :

  • Confiance de l'appareil
    • L'authentification de l'appareil a échoué
    • Altération du SoC détectée
  • Configuration vulnérable
    • SSH actif
    • Telnet activé
  • Événement d'anomalie réseau détecté
    • Tentatives excessives de connexion Web
    • Trafic élevé UDP détecté
    • Demandes d'horodatage ICMP suspectes
  • Délivrance du certificat
    • Expiration du certificat de l'appareil personnalisé

3

Contactez votre administrateur pour obtenir de l'aide afin de résoudre les problèmes de sécurité.