התקנה ידנית של אישור התקן מותאם אישית

באפשרותך להתקין באופן ידני אישור התקן מותאם אישית (CDC) בטלפון על-ידי העלאת האישור מדף האינטרנט של ניהול הטלפון.

לפני שאתה מתחיל

לפני שתוכל להתקין אישור התקן מותאם אישית עבור טלפון, דרושים לך:

  • קובץ אישור ( .p12 או .pfx) נשמר במחשב. הקובץ מכיל את האישור והמפתח הפרטי.
  • סיסמת החילוץ של האישור. הסיסמה משמשת לפענוח קובץ האישור.
1

גישה אל דף האינטרנט של ניהול הטלפון.

2

בחר אישור.

3

במקטע הוספת אישור , לחץ על עיון....

4

דפדף אל האישור במחשב האישי שלך.

5

בתוך ה חלץ סיסמה בשדה, הזן את סיסמת חילוץ האישור.

6

נְקִישָׁה העלה.

אם קובץ האישור והסיסמה נכונים, תקבל את ההודעה "אישור נוסף.". אחרת, ההעלאה נכשלת עם הודעת שגיאה המציינת שלא ניתן להעלות את האישור.
7

כדי לבדוק את פרטי האישור המותקן, לחץ על תצוגה במקטע אישורים קיימים.

8

כדי להסיר את האישור המותקן מהטלפון, לחץ על מחק במקטע אישורים קיימים.

לאחר שתלחץ על הכפתור, פעולת ההסרה תתחיל באופן מיידי ללא אישור.

אם האישור הוסר בהצלחה, תקבל את ההודעה "האישור נמחק".

התקנה אוטומטית של אישור התקן מותאם אישית על-ידי SCEP

באפשרותך להגדיר את הפרמטרים Simple Certificate Enrollment Protocol (SCEP) כדי להתקין באופן אוטומטי את אישור ההתקן המותאם אישית (CDC), אם אינך מעוניין להעלות את קובץ האישור באופן ידני או אם קובץ האישור אינו במקומו.

כאשר פרמטרי SCEP מוגדרים כראוי, הטלפון שולח בקשות לשרת SCEP, ואישור CA מאומת על-ידי התקן באמצעות טביעת האצבע שהוגדרה.

לפני שאתה מתחיל

לפני שתוכל לבצע התקנה אוטומטית של אישור התקן מותאם אישית עבור טלפון, דרושים לך:

  • כתובת שרת SCEP
  • טביעת אצבע SHA-1 או SHA-256 של אישור CA השורש עבור שרת SCEP
1

גישה אל דף האינטרנט של ניהול הטלפון.

2

בחר אישור.

3

במקטע תצורת SCEP 1 , הגדר את הפרמטרים כמתואר בטבלה הבאה פרמטרים עבור תצורת SCEP.

4

לחץ על שלח את כל השינויים.

פרמטרים עבור תצורת SCEP

הטבלה הבאה מגדירה את הפונקציה והשימוש של פרמטרי תצורת SCEP בקטע תצורת SCEP 1 תחת הכרטיסיה אישור בממשק האינטרנט של הטלפון. הוא גם מגדיר את תחביר המחרוזת שמתווסף לקובץ תצורת הטלפון (cfg.xml) כדי להגדיר פרמטר.

טבלה 1. פרמטרים עבור תצורת SCEP
פרמטרתיאור
שרת

כתובת שרת SCEP. פרמטר זה הוא חובה.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • בדף האינטרנט של הטלפון, הזן את כתובת שרת SCEP.

ערכים חוקיים: כתובת URL או כתובת IP. סכימת HTTPS אינה נתמכת.

ברירת מחדל: ריק

שורש CA טביעת אצבע

SHA256 או SHA1 טביעת אצבע של CA הבסיס לצורך אימות במהלך תהליך SCEP. פרמטר זה הוא חובה.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • בדף האינטרנט של הטלפון, הזן טביעת אצבע חוקית.

ברירת מחדל: ריק

סיסמת אתגר

סיסמת האתגר עבור הרשאת Certificate Authority (CA) מול הטלפון במהלך רישום אישור באמצעות SCEP. פרמטר זה הוא אופציונלי.

בהתאם לסביבת SCEP בפועל, אופן הפעולה של סיסמת אתגר משתנה.

  • אם הטלפון מקבל אישור מ-Cisco RA שמתקשר עם CA, סיסמת האתגר אינה נתמכת ב-CA. במקרה זה, Cisco RA משתמש ב-MIC/SUDI של הטלפון לצורך אימות לגישה ל-CA. הטלפון משתמש ב- MIC/SUDI הן להרשמה ראשונית והן לחידוש אישור.
  • אם הטלפון מקבל אישור על-ידי תקשורת ישירה עם CA, סיסמת האתגר נתמכת ב-CA. אם מוגדר, הוא ישמש להרשמה הראשונית בלבד. לצורך חידוש האישור, ייעשה שימוש באישור המותקן במקום זאת.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    הסיסמה מוסווית בקובץ התצורה.

  • בדף האינטרנט של הטלפון, הזן את סיסמת האתגר.

ברירת מחדל: ריק

תצורת פרמטרי SCEP באמצעות אפשרות DHCP 43

בנוסף לרישום אישור SCEP על-ידי התצורות הידניות בדף האינטרנט של הטלפון, באפשרותך גם להשתמש באפשרות DHCP 43 כדי לאכלס את הפרמטרים משרת DHCP. אפשרות DHCP 43 מוגדרת מראש עם פרמטרי SCEP, מאוחר יותר הטלפון יכול להביא את הפרמטרים משרת DHCP כדי לבצע את רישום אישור SCEP.

  • תצורת פרמטרי SCEP באמצעות אפשרות 43 DHCP זמינה רק עבור הטלפון שבו מתבצע איפוס להגדרות היצרן.
  • טלפונים לא יוצבו ברשת התומכת הן באפשרות 43 והן בהקצאה מרחוק (לדוגמה, אפשרויות 66,160,159,150 או הקצאת ענן). אחרת, ייתכן שהטלפונים לא יקבלו את התצורות של אפשרות 43.

כדי לרשום אישור SCEP על-ידי קביעת התצורה של פרמטרי SCEP באפשרות DHCP 43, בצע את הפעולות הבאות:

  1. הכן סביבת SCEP.

    לקבלת מידע אודות הגדרת סביבת SCEP, עיין בתיעוד שרת SCEP.

  2. הגדר DHCP אפשרות 43 (מוגדר ב - 8.4 מידע ספציפי לספק, RFC 2132).

    אפשרויות משנה (10–15) שמורות לשיטה:

    פרמטר בדף האינטרנט של הטלפוןאפשרות משנהסוגאורך (בתים)חובה
    מצב FIPS10בוליאני1לא*
    שרת11מחרוזת208 - אורך (סיסמת אתגר)כן
    שורש CA טביעת אצבע12בינארי20 או 32כן
    סיסמת אתגר13מחרוזת208 - אורך (שרת)לא*
    הפעל אימות 802.1X14בוליאני1לא
    בחירת אישור158 סיביות לא חתומות1לא

    בעת שימוש באפשרות DHCP 43, שים לב למאפיינים הבאים של השיטה:

    • אפשרויות משנה (10-15) שמורות לאישור התקן מותאם אישית (CDC).
    • האורך המרבי של אפשרות 43 DHCP הוא 255 בתים.
    • האורך המרבי של Server + Challenge Password יהיה קטן מ-208 בתים.
    • הערך של מצב FIPS יהיה עקבי עם תצורת הקצאת הקליטה. אחרת, הטלפון לא יצליח לאחזר את האישור שהותקן קודם לכן לאחר העלייה לאונייה. במיוחד
      • אם הטלפון יירשם בסביבה שבה מצב FIPS מושבת, אין צורך להגדיר את הפרמטר מצב FIPS באפשרות 43 DHCP. כברירת מחדל, מצב FIPS מושבת.
      • אם הטלפון יירשם בסביבה שבה מצב FIPS מופעל, עליך להפעיל את מצב FIPS באפשרות 43 DHCP. ראה הפעלת מצב FIPS לקבלת פרטים.
    • הסיסמה באפשרות 43 היא בטקסט ברור.

      אם סיסמת האתגר ריקה, הטלפון משתמש ב-MIC/SUDI לצורך ההרשמה הראשונית וחידוש האישור. אם סיסמת האתגר מוגדרת, היא משמשת רק להרשמה הראשונית, והאישור המותקן ישמש לחידוש האישור.

    • הפעלת אימות 802.1X ובחירת אישור משמשים רק עבור טלפונים ברשת קווית.
    • DHCP אפשרות 60 (מזהה מחלקת ספק) משמשת לזיהוי דגם המכשיר.

    הטבלה הבאה מספקת דוגמה לאפשרות 43 DHCP (אפשרויות משנה 10-15):

    אפשרות משנה עשרונית/הקסדצימאליתאורך ערך (בתים) עשרוני/הקסדצימליערךערך הקסדצימלי
    10/0א1/011 (0: מושבת; 1: מופעל)01
    11/0ב18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0ג20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0ד16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0ה1/011 (0: לא; 1: כן)01
    15/0F1/011 (0: ייצור מותקן; 1: מותאם אישית מותקן) 01

    סיכום ערכי הפרמטרים:

    • מצב FIPS = מופעל

    • שרת = http://10.79.57.91

    • שורש CA טביעת אצבע = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • סיסמת אתגר = D233CCF9B9952A15

    • הפעל אימות 802.1X = כן

    • אישור בחר = מותקן מותאם אישית

    התחביר של הערך ההקסדצימלי הסופי הוא: {<suboption><length><value>}...

    על פי ערכי הפרמטרים לעיל, ערך ההקסדצימלי הסופי הוא כדלקמן:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. הגדר DHCP אפשרות 43 בשרת DHCP.

    שלב זה מספק דוגמה לתצורות DHCP אפשרות 43 ב-Cisco Network Register.

    1. הוסף DHCP הגדרת אפשרויות.

      מחרוזת אפשרויות ספק היא שם הדגם של IP טלפונים. הערך החוקי הוא: DP-9841, DP-9851, DP-9861, DP-9871 או CP-8875.

    2. הוסף את אפשרות DHCP 43 ואת אפשרויות המשנה לערכת הגדרות האפשרויות DHCP.

      דוגמה:

      צילום מסך של הגדרות אפשרות 43 DHCP ב-Cisco Network Register

    3. הוסף את אפשרויות 43 למדיניות DHCP והגדר את הערך באופן הבא:

      דוגמה:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. אמת את ההגדרות. באפשרותך להשתמש ב- Wireshark כדי ללכוד מעקב אחר תעבורת הרשת בין הטלפון לשירות.
  4. בצע איפוס להגדרות יצרן עבור הטלפון.

    לאחר איפוס הטלפון, הפרמטרים שרת, טביעת אצבע CA בסיס וסיסמת אתגר ימולאו באופן אוטומטי. פרמטרים אלה ממוקמים בסעיף תצורת SCEP 1 מתוך אישור> מותאם אישית בדף האינטרנט של ניהול הטלפון.

    כדי לבדוק את פרטי האישור המותקן, לחץ על תצוגה במקטע אישורים קיימים.

    כדי לבדוק את מצב התקנת האישור, בחר מצב אישור > מותאם אישית. מצב הורדה 1 מציג את התוצאה האחרונה. אם מתרחשת בעיה כלשהי במהלך רישום האישור, מצב ההורדה יכול להציג את סיבת הבעיה למטרות פתרון בעיות.

    אם אימות סיסמת האתגר נכשל, המשתמשים יתבקשו להזין את הסיסמה במסך הטלפון.
  5. (אופציונלי): כדי להסיר את האישור המותקן מהטלפון, לחץ על מחק במקטע אישורים קיימים.
    לאחר שתלחץ על הכפתור, פעולת ההסרה תתחיל באופן מיידי ללא אישור.

חידוש אישור על-ידי SCEP

תהליך SCEP יכול לרענן את אישור ההתקן באופן אוטומטי.

  • הטלפון בודק אם תוקף האישור יפוג בעוד 15 יום כל 4 שעות. אם כן, הטלפון מתחיל את תהליך חידוש האישור באופן אוטומטי.
  • אם סיסמת האתגר ריקה, הטלפון משתמש ב-MIC/SUDI הן להרשמה ראשונית והן לחידוש אישור. אם סיסמת האתגר מוגדרת, היא משמשת להרשמה ראשונית בלבד, האישור הקיים/מותקן משמש לחידוש אישור.
  • הטלפון אינו מסיר את אישור ההתקן הישן עד שהוא מאחזר את החדש.
  • אם חידוש האישור נכשל מכיוון שתוקפו של אישור המכשיר או רשות אישורים פגה, הטלפון מפעיל את ההרשמה הראשונית באופן אוטומטי. בינתיים, אם אימות סיסמת האתגר נכשל, מסך קלט סיסמה מוקפץ במסך הטלפון והמשתמשים מתבקשים להזין את סיסמת האתגר בטלפון.

הפעל את מצב FIPS

אתה יכול להפוך את הטלפון הפדרלי לעיבוד מידע (FIPS) תואם.

FIPS הם סט של תקנים המתארים עיבוד מסמכים, אלגוריתמי הצפנה ותקני טכנולוגיית מידע אחרים לשימוש בתוך ממשל לא צבאי ועל ידי קבלנים וספקים ממשלתיים שעובדים עם הסוכנויות. CiscoSSL FOM (FIPS Object Module) הוא רכיב תוכנה מוגדר בקפידה המיועד לתאימות עם ספריית CiscoSSL, כך שניתן להמיר מוצרים המשתמשים בספריית CiscoSSL וב-API לשימוש בקריפטוגרפיה מאומתת FIPS 140-2 במאמץ מינימלי.

1

גישה אל דף האינטרנט של ניהול הטלפון.

2

בחר קול > מערכת.

3

במקטע הגדרות אבטחה, בחר כן או לא מתוך הפרמטר מצב FIPS .

4

לחץ על שלח את כל השינויים.

כאשר אתה מפעיל FIPS, התכונות הבאות פועלות בצורה חלקה בטלפון:
  • אימות תמונה
  • אחסון מאובטח
  • הצפנת קובץ תצורה
  • TLS:
    • HTTPs
    • העלאת PRT
    • שדרוג קושחה
    • סנכרון מחדש של הפרופיל
    • שירות על הסיפון
    • קליטת Webex
    • SIP over TLS
    • 802.1x (קווית)
  • תקציר SIP (RFC 8760)
  • SRTP
  • Webex יומני שיחות וספריית Webex
  • לחצן אחד ללחיצה (OBTP)

הסר באופן ידני אישור אבטחה

אתה יכול להסיר באופן ידני אישור אבטחה מהטלפון אם פרוטוקול Simple Certificate Enrollment (SCEP) אינו זמין.

1

מדף האינטרנט של ניהול הטלפון, בחר תעודות.

2

אתר את האישור ב- תעודות עמוד.

3

נְקִישָׁה לִמְחוֹק.

4

הפעל מחדש את הטלפון לאחר סיום תהליך המחיקה.

הגדרת סיסמת המשתמש ומנהל המערכת

לאחר שהטלפון נרשם למערכת בקרת שיחות בפעם הראשונה או לאחר ביצוע איפוס להגדרות יצרן בטלפון, עליך להגדיר את סיסמת המשתמש ומנהל המערכת כדי לשפר את אבטחת הטלפון. רק כאשר הסיסמה מוגדרת, באפשרותך לשלוח את השינויים מדף האינטרנט של הטלפון.

כברירת מחדל, אזהרת ללא סיסמה מופעלת בטלפון. כאשר לטלפון אין סיסמת משתמש או סיסמת מנהל מערכת, האזהרות הבאות מוצגות:

  • דף האינטרנט של הטלפון מציג את ההודעה "לא סופקה סיסמת מנהל. האינטרנט נמצא במצב קריאה בלבד ואין באפשרותך לשלוח שינויים. אנא שנה את הסיסמה." בפינה השמאלית העליונה.

    השדות סיסמת משתמש וסיסמת מנהל מערכת מציגים את האזהרה "לא סופקה סיסמה" בהתאמה אם הם ריקים.

  • מסך הטלפון בעיות ואבחון מציג את הבעיה 'לא סופקה סיסמה'.
1

גש לדף האינטרנט של ניהול הטלפון

2

בחר קול > מערכת.

3

(אופציונלי) במקטע תצורת מערכת, הגדר את הפרמטר הצגת אזהרות סיסמה ככן ולאחר מכן לחץ עלשלח את כל השינויים .

אתה יכול גם להפעיל את הפרמטרים בקובץ התצורה של הטלפון (cfg.xml).

<Display_Password_Warnings ua="na">כן</Display_Password_Warnings>

ברירת מחדל: כן

אפשרויות: כן|לא

כאשר הפרמטר מוגדר לא , אזהרת הסיסמה אינה מופיעה בדף האינטרנט או במסך הטלפון. כמו כן, מצב מוכן בלבד עבור דף האינטרנט לא יופעל למרות שהסיסמה ריקה.

4

אתר את הפרמטר User Password או Admin Password, ולחץ על Change Password לצד הפרמטר.

5

הזן את סיסמת המשתמש הנוכחית בשדה Old Password..

אם אין לך סיסמה, השאר את השדה ריק. ערך ברירת המחדל ריק.
6

הזן סיסמה חדשה בשדה New Password..

7

לחץ על שלח.

ההודעה סיסמה has been changed successfully.תוצג בדף האינטרנט. דף האינטרנט ירוענן תוך מספר שניות. האזהרה לצד הפרמטר תיעלם.

לאחר הגדרת סיסמת המשתמש, פרמטר זה מציג את הדברים הבאים בקובץ ה-XML של תצורת הטלפון (cfg.xml):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

אם אתה מקבל את קוד השגיאה 403 בעת ניסיון לגשת לדף האינטרנט של הטלפון, עליך להגדיר את סיסמת המשתמש או מנהל המערכת על-ידי הקצאת משאבים בקובץ תצורת הטלפון (cfg.xml). לדוגמה, הזן מחרוזת בתבנית הבאה:

<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>

<User_Password ua="rw">Abc123</User_Password>

אימות 802.1X

טלפונים IP של Cisco תומכים באימות 802.1X.

טלפונים של Cisco IP ומתגי Cisco Catalyst משתמשים באופן מסורתי ב-Cisco Discovery Protocol (CDP) כדי לזהות זה את זה ולקבוע פרמטרים כגון הקצאת VLAN ודרישות הספק מוטבעות. CDP אינו מזהה תחנות עבודה מחוברות מקומיות. טלפון Cisco IP מספק מנגנון מעבר EAPOL. מנגנון זה מאפשר לתחנת עבודה המחוברת לטלפון Cisco IP להעביר הודעות EAPOL למאמת 802.1X במתג LAN. מנגנון המעבר מבטיח שטלפון ה-IP לא יפעל כמתג LAN לאימות נקודת קצה נתונים לפני הגישה לרשת.

טלפון Cisco IP מספק בנוסף מנגנון התנתקות של פרוקסי EAPOL. אם המחשב המחובר המקומי מתנתק מטלפון ה-IP, מתג ה-LAN לא רואה את הקישור הפיזי נכשל, מכיוון שהקישור בין מתג ה-LAN לטלפון ה-IP נשמר. כדי להימנע מלפגוע בשלמות הרשת, טלפון ה-IP שולח הודעת EAPOL-Logoff למתג מטעם המחשב במורד הזרם, המפעיל את מתג ה-LAN לנקות את ערך האימות של המחשב במורד הזרם.

דרושים מספר רכיבים לתמיכה באימות 802.1X:

  • טלפון Cisco IP: הטלפון יוזם את הבקשה לגישה לרשת. טלפון Cisco IP כולל מבקש 802.1X. מבקש זה מאפשר למנהל מערכת רשת לשלוט בקישוריות של טלפונים IP ליציאות מתג LAN. מהדורת הגרסה הנוכחית מבקש 802.1X של הטלפון משתמש באפשרויות EAP-FAST ו-EAP-TLS לאימות רשת.

  • שרת אימות: שרת האימות והמתג חייבים להיות מוגדרים שניהם עם סוד משותף שמאמת את הטלפון.

  • החלף: המתג חייב לתמוך ב-802.1X, כך שהוא יכול לשמש כמאמת ולהעביר את ההודעות בין הטלפון לשרת האימות. לאחר השלמת ההחלפה, המתג מעניק או דוחה את גישת הטלפון לרשת.

עליך לבצע את הפעולות הבאות כדי להגדיר את התצורה של 802.1X.

  • הגדר את הרכיבים האחרים לפני שתפעיל את אימות 802.1X בטלפון.

  • הגדר את יציאת המחשב: תקן 802.1X אינו מתייחס לרשתות VLAN ולכן ממליץ שרק התקן בודד יעבור אימות ליציאת מתג ספציפית. עם זאת, מתגים מסוימים תומכים באימות מרובה תחומים. תצורת המתג קובעת אם באפשרותך לחבר מחשב ליציאת המחשב של הטלפון.

    • מופעל: אם אתה משתמש במתג שתומך באימות רב-דומיינים, תוכל להפעיל את יציאת המחשב ולחבר אליו מחשב. במקרה זה, טלפון Cisco IP תומך בפרוקסי EAPOEAPOL-Logoff כדי לנטר את חילופי האימות בין המתג למחשב המחובר.

      למידע נוסף על תמיכה ב-IEEE 802.1X על מתגי Cisco Catalyst, עיין במדריכי תצורת מתג Cisco Catalyst בכתובת:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • נָכֶה: אם המתג אינו תומך במספר התקנים תואמי 802.1X באותה יציאה, עליך להשבית את יציאת המחשב כאשר אימות 802.1X מופעל. אם לא תבטל יציאה זו ולאחר מכן תנסה לחבר אליה מחשב, המתג מונע גישה לרשת הן לטלפון והן למחשב.

  • הגדר את Voice VLAN: מכיוון שתקן 802.1X אינו מתייחס לרשתות VLAN, עליך להגדיר הגדרה זו בהתבסס על תמיכת המתגים.
    • מופעל: אם אתה משתמש במתג שתומך באימות רב-דומיינים, תוכל להמשיך בו כדי להשתמש ב-VLAN הקולי.
    • נָכֶה: אם המתג אינו תומך באימות רב-דומיינים, השבת את ה-VLAN הקול ושקול להקצות את היציאה ל-VLAN המקורי.
  • (עבור טלפון שולחני Cisco מסדרת 9800 בלבד)

    לטלפון השולחני של Cisco מסדרת 9800 יש קידומת שונה ב-PID מזו של טלפונים אחרים של Cisco. כדי לאפשר לטלפון לעבור אימות 802.1X, הגדר את הרדיוס· פרמטר שם משתמש שיכלול את טלפון Cisco Desk Phone 9800 Series.

    לדוגמה, PID של טלפון 9841 הוא DP-9841; באפשרותך להגדיר רדיוס· שם משתמש להתחיל עם DP או מכיל DP. ניתן להגדיר אותו בשני הסעיפים הבאים:

    • מדיניות > תנאים > תנאי הספרייה

    • מדיניות > ערכות מדיניות> מדיניות הרשאה> כלל הרשאה 1

אפשר אימות 802.1X

כאשר אימות 802.1X מופעל, הטלפון משתמש באימות 802.1X כדי לבקש גישה לרשת. כאשר אימות 802.1X מושבת, הטלפון משתמש ב-Cisco Discovery Protocol (CDP) כדי להשיג VLAN וגישה לרשת. ניתן גם להציג את סטטוס העסקה והשינוי בתפריט מסך הטלפון.

כאשר אימות 802.1X מופעל, באפשרותך גם לבחור את אישור ההתקן (MIC/SUDI או מותאם אישית) עבור ההרשמה הראשונית והחידוש של האישור. בדרך כלל, MIC מיועד לטלפון Cisco Video Phone 8875, SUDI מיועד לטלפון Cisco Desk Phone 9800 Series. CDC יכול לשמש לאימות רק ב- 802.1x.

1

בצע אחת מהפעולות הבאות להפעלת אימות 802.1X:

  • בממשק האינטרנט של הטלפון, בחר Voice > System והגדר את הפרמטר Enable 802.1X Authentication ככן . ואז, לחץ על שלח את כל השינויים.
  • בקובץ התצורה (cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>

    ערכים חוקיים: כן| לא

    ברירת מחדל: לא

  • בטלפון, לחץ על הגדרות the Settings hard keyונווט אל הגדרות רשת ושירות >אבטחה> אימות 802.1X., העבר את השדה אימות התקן למצב מופעל ולאחר מכן בחר החל.
טבלה 2. פרמטרים לאימות 802.1X במסך הטלפון

פרמטרים

אפשרויות

ברירת מחדל

תיאור

אימות מכשיר

מופעל

כבוי

כבוי

הפעל או השבת אימות 802.1X בטלפון.

מצב פעולה

מושבת

מציג את המצב של אימות 802.1X. המדינה יכולה להיות (לא רק):

  • אימות : מציין שתהליך האימות מתבצע.
  • מאומת: מציין שהטלפון מאומת.
  • מושבת: מציין כי אימות 802.1x מושבת בטלפון.

פרוטוקול

ללא

הצגת שיטת EAP המשמשת לאימות 802.1X. הפרוטוקול יכול להיות EAP-FAST או EAP-TLS.

סוג אישור משתמש

ייצור מותקן

מותקן בהתאמה אישית

ייצור מותקן

בחר את האישור עבור אימות 802.1X במהלך ההרשמה הראשונית וחידוש האישור.

  • ייצור מותקן—נעשה שימוש באישור התקן הייצור (MIC) ובמזהה המכשיר הייחודי המאובטח (SUDI).
  • מותאם אישית מותקן - נעשה שימוש באישור ההתקן המותאם אישית (CDC). ניתן להתקין אישור מסוג זה על-ידי העלאה ידנית בדף האינטרנט של הטלפון או על-ידי התקנה משרת Simple Certificate Enrollment Protocol (SCEP).

פרמטר זה מופיע בטלפון רק כאשר אימות ההתקן מופעל.

2

בחר אישור (MIC או מותאם אישית) עבור אימות 802.1X בדף האינטרנט של הטלפון.

  • עבור רשת קווית, בחר קול > מערכת, בחר סוג אישור מהרשימה הנפתחת אישור בחר במקטע אימות 802.1X.

    ניתן בנוסף להגדיר פרמטר זה בקובץ התצורה (cfg.xml):

    <Certificate_Select ua="rw">מותאם אישית מותקן</Certificate_Select>

    ערכים חוקיים: ייצור מותקן|מותקן בהתאמה אישית

    ברירת מחדל: ייצור מותקן

  • עבור רשת אלחוטית, בחר קול >מערכת , בחר סוג אישור מהרשימההנפתחת אישור בחר במקטע Wi-Fi פרופיל 1.

    ניתן בנוסף להגדיר פרמטר זה בקובץ התצורה (cfg.xml):

    <Wi-Fi_Certificate_Select_1_ ua="rw">מותאם אישית מותקן</Wi-Fi_Certificate_Select_1_>

    ערכים חוקיים: ייצור מותקן|מותקן בהתאמה אישית

    ברירת מחדל: ייצור מותקן

לקבלת מידע אודות אופן בחירת סוג אישור במסך הטלפון, ראה חיבור הטלפון לרשת Wi-Fi.

הגדרת שרת Proxy

באפשרותך להגדיר את הטלפון לשימוש בשרת proxy כדי לשפר את האבטחה. בדרך כלל, שרת proxy של HTTP יכול לספק את השירותים הבאים:

  • ניתוב תעבורה בין רשתות פנימיות וחיצוניות
  • סינון, ניטור או רישום תעבורה
  • אחסון תגובות במטמון לשיפור הביצועים

כמו כן, שרת ה-proxy של HTTP יכול לשמש כחומת אש בין הטלפון לאינטרנט. לאחר תצורה מוצלחת, הטלפון מתחבר לאינטרנט דרך שרת פרוקסי המגן על הטלפון מפני התקפת סייבר.

לאחר קביעת התצורה, תכונת ה-proxy של HTTP חלה על כל היישומים המשתמשים בפרוטוקול HTTP. לדוגמה:

  • GDS (הכנסת קוד הפעלה)
  • הפעלת מכשיר EDOS
  • הצטרפות לענן Webex (דרך EDOS או GDS)
  • CA מותאם אישית
  • מקצה
  • שדרוג קושחה
  • דוח מצב טלפון
  • העלאת PRT
  • שירותי XSI
  • שירותי Webex

נכון לעכשיו, התכונה תומכת רק IPv4.

1

גישה אל דף האינטרנט של ניהול הטלפון.

2

בחר קול > מערכת.

3

בסעיף הגדרות proxy של HTTP, בחר מצב proxy מהרשימה הנפתחת מצב proxy והגדר את הפרמטרים הקשורים.

עבור כל מצב proxy, הפרמטרים הנדרשים שונים. ראה פרטים בטבלה הבאה:
מצב Proxyפרמטרים נדרשיםתיאור
כבוילא ישיםHTTP proxy מושבת בטלפון.
ידנימארח proxy

יציאת proxy

אימות Proxy: כן

שם משתמש

סיסמה

ציין ידנית שרת proxy (שם מארח או כתובת IP) ויציאת proxy. אם שרת ה-proxy דורש אימות, עליך להזין את שם המשתמש והסיסמה.
מארח proxy

יציאת proxy

אימות Proxy: לא

ציין ידנית שרת Proxy. שרת ה-proxy אינו דורש אישורי אימות.
אוטומטיגילוי אוטומטי של Web Proxy: לא

PAC URL

הזן כתובת URL חוקית של PAC כדי לאחזר את קובץ ה-PAC.
גילוי אוטומטי של Web Proxy: כן

משתמש בפרוטוקול WPAD לאחזור אוטומטי של קובץ PAC.

לקבלת מידע נוסף אודות הפרמטרים, ראה פרמטרים עבור הגדרות proxy של HTTP.

4

לחץ על שלח את כל השינויים.

פרמטרים עבור הגדרות proxy של HTTP

הטבלה הבאה מגדירה את הפונקציה והשימוש של פרמטרי HTTP proxy בקטע הגדרות Proxy של HTTP תחת הכרטיסיה קול > מערכת בממשק האינטרנט של הטלפון. הוא בנוסף מגדיר את תחביר המחרוזת אשר מתווסף אל קובץ התצורה של הטלפון (cfg.xml) עם קוד XML כדי להגדיר תצורת פרמטר.

פרמטרתיאור
מצב Proxyמציין את מצב ה-proxy של HTTP שהטלפון משתמש בו, או משבית את תכונת ה-proxy של HTTP.
  • אוטומטי

    הטלפון מאחזר אוטומטית קובץ Proxy Auto-Configuration (PAC) כדי לבחור שרת proxy. במצב זה, באפשרותך לקבוע אם להשתמש בפרוטוקול גילוי אוטומטי של Web Proxy (WPAD) כדי לאחזר קובץ PAC או להזין ידנית כתובת URL חוקית של קובץ PAC.

    לקבלת פרטים אודות הפרמטרים, עיין בפרמטרים "Web Proxy Auto Discovery" ו- "PAC URL" בטבלה זו.

  • ידני

    עליך לציין באופן ידני שרת (שם מארח או כתובת IP) ויציאה של שרת proxy.

    לפרטים על הפרמטרים, ראה Proxy Host ו- Proxy Port.

  • כבוי

    אתה משבית את תכונת HTTP proxy בטלפון.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Proxy_Mode ua="rw">Off</Proxy_Mode>

  • בממשק האינטרנט של הטלפון, בחר מצב proxy או השבת את התכונה.

ערכים מותרים: אוטומטי, ידני וכבוי

ברירת מחדל: כבוי

גילוי אוטומטי של Web Proxyקובע אם הטלפון משתמש בפרוטוקול Web Proxy Auto Discovery (WPAD) כדי לאחזר קובץ PAC.

פרוטוקול WPAD משתמש DHCP או DNS, או בשני פרוטוקולי הרשת כדי לאתר קובץ תצורה אוטומטית של פרוקסי (PAC) באופן אוטומטי. קובץ PAC משמש לבחירת שרת proxy עבור כתובת URL נתונה. קובץ זה יכול להתארח באופן מקומי או ברשת.

  • תצורת הפרמטר נכנסת לתוקף כאשר Proxy Mode מוגדר ל- Auto.
  • אם תגדיר את הפרמטר ל- No, עליך לציין כתובת URL של PAC.

    לקבלת פרטים אודות הפרמטר, עיין בפרמטר "PAC URL" בטבלה זו.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Web_Proxy_Auto_Discovery ua="rw">כן</Web_Proxy_Auto_Discovery>

  • בממשק האינטרנט של הטלפון, בחר כן או לא לפי הצורך.

ערכים מותרים: כן/לא

ברירת מחדל: כן

PAC URLכתובת URL של קובץ PAC.

לדוגמה, http://proxy.department.branch.example.com

TFTP, HTTP ו-HTTPS נתמכים.

אם תגדיר את מצב ה-proxy לגילוי אוטומטי ואת גילוי אוטומטי של פרוקסי באינטרנט ללא , עליך להגדירפרמטר זה.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL>

  • בממשק האינטרנט של הטלפון, הזן כתובת URL חוקית שמאתרת לקובץ PAC.

ברירת מחדל: ריק

מארח proxyכתובת ה-IP או שם המארח של שרת המארח של ה-proxy שאליו ניתן לגשת לטלפון. לדוגמה:

proxy.example.com

הסכמה (http:// or https://) אינה נדרשת.

אם תגדיר את Proxy Mode ל-Manual, עליך להגדיר פרמטר זה.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Proxy_Host ua="rw">proxy.example.com</Proxy_Host>

  • בממשק האינטרנט של הטלפון, הזן כתובת IP או שם מארח של שרת ה-proxy.

ברירת מחדל: ריק

יציאת proxyמספר יציאה של שרת מארח ה-proxy.

אם תגדיר את Proxy Mode ל- Manual, עליך להגדיר פרמטר זה.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Proxy_Port ua="rw">3128</Proxy_Port>

  • בממשק האינטרנט של הטלפון, הזן יציאת שרת.

ברירת מחדל: 3128

אימות Proxyקובע אם המשתמש צריך לספק את אישורי האימות (שם משתמש וסיסמה) ששרת ה-proxy דורש. פרמטר זה מוגדר בהתאם להתנהגות בפועל של שרת ה-proxy.

אם תגדיר את הפרמטר ל- Yes, עליך להגדיר Usernameו- Password.

לקבלת פרטים על הפרמטרים, עיין בפרמטר "שם משתמש" ו- "סיסמה" בטבלה זו.

תצורת הפרמטר נכנסת לתוקף כאשר Proxy Mode מוגדר ל- Manual .

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Proxy_Authentication ua="rw">No</Proxy_Authentication>

  • בממשק האינטרנט של הטלפון, הגדר שדה זה כן או לא לפי הצורך.

ערכים מותרים: כן/לא

ברירת מחדל: לא

שם משתמששם משתמש עבור משתמש אישור בשרת ה-proxy.

אם מצב Proxy מוגדר ידני ואימות Proxy מוגדר ככן , עליך להגדיר את הפרמטר.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Proxy_Username ua="rw">דוגמה</Proxy_Username>

  • בממשק האינטרנט של הטלפון, הזן את שם המשתמש.

ברירת מחדל: ריק

סיסמההסיסמה של שם המשתמש שצוין למטרת אימות ה-proxy.

אם מצב Proxy מוגדר ידני ואימות Proxy מוגדר ככן , עליך להגדיר את הפרמטר.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Proxy_Password ua="rw">דוגמה</Proxy_Password>

  • בממשק האינטרנט של הטלפון, הזן סיסמה חוקית לאימות ה-proxy של המשתמש.

ברירת מחדל: ריק

הפעל מצב ייזום-לקוח עבור משא ומתן של אבטחת מישור מדיה

כדי להגן על מושבי מדיה, באפשרותך להגדיר את הטלפון כך שיזום משא ומתן לאבטחת מישור מדיה עם השרת. מנגנון האבטחה פועל בהתאם לתקנים המצוינים ב-RFC 3329 וטיוטת ההרחבה שלו, שמות מנגנוני אבטחה עבור מדיה (ראה https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). תעבורת המשא ומתן בין הטלפון לשרת יכולה להשתמש בפרוטוקול SIP על-גבי UDP, TCP, ו-TLS. ניתן להגביל את החלת משא ומתן אבטחת מישור מדיה כאשר פרוטוקול תעבורת איתות הןא TLS.

1

גישה אל דף האינטרנט של ניהול הטלפון.

2

בחר קול > Ext(n).

3

במקטע הגדרות SIP, הגדר את השדות MediaSec Request ו - MediaSec Over TLS Only כמוגדר בטבלה הבאה:

טבלה 3. פרמטרים למשא ומתן ביטחוני במישור התקשורת
פרמטרתיאור

בקשת MediaSec

מציין אם הטלפון יוזם משא ומתן של אבטחת מישור מדיה עם השרת.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <MediaSec_Request_1_ ua="na">כן</MediaSec_Request_1_>
  • בממשק האינטרנט של הטלפון, הגדר שדה זה במצב כן או לא כפי הנדרש.

ערכים מותרים: כן|לא

  • כן - מצב יזום על ידי לקוח. הטלפון יוזם משא ומתן של אבטחת מישור מדיה.
  • לא — מצב יזום על-ידי שרת. השרת יוזם משא ומתן של אבטחת מישור מדיה. הטלפון לא יוזם משא ומתן, אבל יכול לטפל בבקשות משא ומתן מהשרת כדי ליצור שיחות מאובטחות.

ברירת מחדל: לא

MediaSec Over TLS בלבד

מציין את פרוטוקול תעבורת איתות שבו מוחל משא ומתן על אבטחת מישור מדיה.

לפני הגדרת שדה זה למצב כן, ודא שפרוטוקול תעבורת איתות במצב TLS.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>

  • בממשק האינטרנט של הטלפון, הגדר שדה זה במצב כן או לא כפי הנדרש.

ערכים מותרים: כן|לא

  • כן - הטלפון יוזם או מטפל במשא ומתן של אבטחת מישור מדיה רק כאשר פרוטוקול תעבורת איתות הוא במצב TLS.
  • לא — הטלפון יוזם ומטפל במשא ומתן של אבטחת מישור מדיה ללא קשר לפרוטוקול תעבורת איתות.

ברירת מחדל: לא

4

לחץ על שלח את כל השינויים.

אבטחת WLAN

מכיוון שכל התקני ה-WLAN שנמצאים בטווח יכולים לקבל את כל תעבורת ה-WLAN האחרת, אבטחת תקשורת קולית היא קריטית ב-WLAN. כדי להבטיח שהפורצים לא יבצעו מניפולציות ולא יירטו תעבורה קולית, ארכיטקטורת Cisco SAFE Security תומכת בטלפון. למידע נוסף על אבטחה ברשתות, ראה http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

פתרון הטלפוניה IP האלחוטית של Cisco מספק אבטחת רשת אלחוטית המונעת כניסות לא מורשות ותקשורת בסכנה באמצעות שיטות האימות הבאות שבהן תומך הטלפון:

  • פתח את האימות: כל מכשיר אלחוטי יכול לבקש אימות במערכת פתוחה. ה-AP שמקבל את הבקשה רשאי להעניק אימות לכל מבקש או רק למבקשים שנמצאים ברשימת משתמשים. ייתכן שהתקשורת בין ההתקן האלחוטי לנקודת הגישה (AP) אינה מוצפנת.

  • Extensible Authentication Protocol-Flexible Authentication באמצעות אימות מנהור מאובטח (EAP-FAST): ארכיטקטורת אבטחה זו של שרת-לקוח מצפינה טרנזקציות EAP בתוך מנהרת אבטחת רמת תעבורה (TLS) בין נקודת הגישה לשרת ה-RADIUS, כגון Identity Services Engine (ISE).

    מנהרת TLS משתמשת באישורי גישה מוגנת (PAC) לאימות בין הלקוח (טלפון) לשרת RADIUS. השרת שולח מזהה רשות (AID) ללקוח (טלפון), אשר בתורו בוחר את ה-PAC המתאים. הלקוח (טלפון) מחזיר PAC-Opaque לשרת RADIUS. השרת מפענח את ה-PAC עם המפתח הראשי. שתי נקודות הקצה מכילות כעת את מפתח PAC ונוצרת מנהרת TLS. EAP-FAST תומך בהקצאת PAC אוטומטית, אך עליך להפעיל אותה בשרת RADIUS.

    ב- ISE, כברירת מחדל, תוקפו של PAC פג בעוד שבוע. אם לטלפון יש PAC שפג תוקפו, האימות עם שרת RADIUS נמשך זמן רב יותר בזמן שהטלפון מקבל PAC חדש. כדי למנוע עיכובים בהקצאת PAC, הגדר את תקופת התפוגה של PAC ל-90 יום או יותר בשרת ISE או RADIUS.

  • אימות פרוטוקול הרחבה-שכבת תחבורה (EAP-TLS) אימות: EAP-TLS דורש אישור לקוח עבור אימות וגישה לרשת. עבור EAP-TLS אלחוטי, ניתן MIC אישור הלקוח, אישור LSC או אישור המותקן על-ידי המשתמש.

  • Protected Extensible Authentication Protocol (PEAP): סכימת אימות הדדי מבוססת סיסמאות קניינית של Cisco בין הלקוח (טלפון) לשרת RADIUS. הטלפון יכול להשתמש ב-PEAP לצורך אימות עם הרשת האלחוטית. שתי שיטות אימות PEAP-MSCHAPV2 ו-PEAP-GTC נתמכות.

  • מפתח טרום-משותף (PSK): הטלפון תומך בתבנית ASCII. עליך להשתמש בתבנית זו בעת הגדרת מפתח משותף מראש של WPA/WPA2/SAE:

    ASCII: מחרוזת תווים ASCII באורך של 8 עד 63 תווים (0-9, אותיות קטנות ואותיות גדולות AZ, ותווים מיוחדים)

    דוגמה: GREG123567@9ZX&W

סכימות האימות הבאות משתמשות בשרת RADIUS לניהול מפתחות אימות:

  • WPA/WPA2/WPA3: משתמש במידע שרת RADIUS ליצירת מפתחות ייחודיים לאימות. מכיוון שמפתחות אלה נוצרים בשרת ה-RADIUS המרכזי, WPA2/WPA3 מספק יותר אבטחה מאשר מפתחות משותפים מראש של WPA המאוחסנים ב-AP ובטלפון.

  • נדידה מאובטחת מהירה: משתמש בשרת RADIUS ובמידע של שרת תחום אלחוטי (WDS) לניהול ואימות מפתחות. ה-WDS יוצר מטמון של אישורי אבטחה עבור התקני לקוח התומכים ב-FT לצורך אימות מחדש מהיר ומאובטח. טלפון שולחני Cisco 9861 ו- 9871 וטלפון Cisco Video Phone 8875 תומכים ב- 802.11r (FT). הן דרך האוויר והן מעל DS נתמכות כדי לאפשר נדידה מהירה ומאובטחת. אבל אנו ממליצים בחום להשתמש בשיטת 802.11r (FT) מעל האוויר.

עם WPA/WPA2/WPA3, מפתחות הצפנה אינם מוזנים בטלפון, אלא נגזרים באופן אוטומטי בין נקודת הגישה לטלפון. אבל יש להזין את שם המשתמש והסיסמה של EAP המשמשים לאימות בכל טלפון.

כדי להבטיח שתעבורת הקול מאובטחת, הטלפון תומך ב-TKIP וב-AES להצפנה. כאשר מנגנונים אלה משמשים להצפנה, הן מנות SIP האיתות והן מנות פרוטוקול תעבורה בזמן אמת (RTP) קוליות מוצפנות בין נקודת הגישה והטלפון.

TKIP

WPA משתמש בהצפנת TKIP הכוללת מספר שיפורים במהלך WEP. TKIP מספקת הצפנת מפתח לכל מנה ווקטורי אתחול ארוכים יותר (IVs) המחזקים את ההצפנה. בנוסף, בדיקת תקינות ההודעה (MIC) מבטיחה שמנות מוצפנות אינן משתנות. TKIP מסיר את יכולת החיזוי של WEP המסייעת לפולשים לפענח את מפתח ה-WEP.

AES

שיטת הצפנה המשמשת לאימות WPA2/WPA3. תקן לאומי זה להצפנה משתמש באלגוריתם סימטרי בעל אותו מפתח להצפנה ולפענוח. AES משתמש בהצפנת Chipher Blocking Chain (CBC) בגודל 128 סיביות, התומך בגדלים של מפתחות של 128 סיביות, 192 סיביות ו-256 סיביות, כמינימום. הטלפון תומך בגודל מפתח של 256 סיביות.

Cisco Desk Phone דגמים 9861 ו-9871 ו-Cisco Video Phone 8875 אינם תומכים בפרוטוקול תקינות מפתחות של Cisco (CKIP) עם CMIC.

סכימות אימות והצפנה מוגדרות בתוך ה-LAN האלחוטי. רשתות VLAN מוגדרות ברשת וב-APs ומציינים שילובים שונים של אימות והצפנה. SSID משויך ל-VLAN ולסכימת האימות וההצפנה המסוימת. כדי שהתקני לקוח אלחוטיים יוכלו לבצע אימות מוצלח, עליך להגדיר את אותם מזהי SSID עם סכימות האימות וההצפנה שלהם בנקודות הגישה ובטלפון.

סכימות אימות מסוימות דורשות סוגים ספציפיים של הצפנה.

  • כאשר אתה משתמש במפתח טרום-שיתוף WPA, מפתח שיתוף מראש של WPA2 או SAE, המפתח הטרום-משותף חייב להיות מוגדר באופן סטטי בטלפון. מפתחות אלה חייבים להתאים למפתחות שנמצאים ב-AP.
  • הטלפון תומך במשא ומתן EAP אוטומטי עבור FAST או PEAP, אך לא עבור TLS. עבור מצב EAP-TLS, יש לציין אותו.

סכימות האימות וההצפנה בטבלה הבאה מציגות את אפשרויות תצורת הרשת עבור הטלפון המתאים לתצורת נקודת גישה.

טבלה 4. ערכות אימות והצפנה
סוג FSRאימותניהול מפתחהצפנהמסגרת ניהול מוגנת (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESלא
802.11r (FT)WPA3

SAE

FT-SAE

AESכן
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESלא
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESכן
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESלא
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESכן
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESלא
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESכן

הגדרת פרופיל Wi-Fi

ניתן להגדיר פרופיל Wi-Fi מדף האינטרנט של הטלפון או מנסכרון מחדש של מפרופיל התקן מרוחק ושיוך הפרופיל לרשתות ה-Wi-Fi הזמינות. ניתן להשתמש בפרופיל Wi-Fi זה כדי להתחבר אל Wi-Fi. נכון לעכשיו, ניתן להגדיר פרופיל Wi-Fi אחד בלבד.

הפרופיל כולל את הפרמטרים הדרושים לטלפונים על מנת להתחבר לשרת הטלפון באמצעות Wi-Fi. בעת יצירת פרופיל Wi-Fi ושימוש בו, אינך צריך להגדיר את תצורת הרשת האלחוטית עבור טלפונים בודדים.

פרופיל Wi-Fi מאפשר לך למנוע או להגביל שינויים לתצורת ה-Wi-Fi בטלפון על-ידי המשתמש.

מומלץ להשתמש בפרופיל מאובטח עם פרוטוקולים התומכים בהצפנה כדי להגן על מפתחות וסיסמאות בעת שימוש בפרופיל Wi-Fi.

כאשר אתה מגדיר את הטלפונים לשימוש בשיטת אימות EAP-FAST במצב אבטחה, המשתמשים שלך זקוקים לאישורים נפרדים כדי להתחבר לנקודת גישה.

1

עבור אל דף האינטרנט של הטלפון.

2

בחר קול > מערכת.

3

בקטע Wi-Fi פרופיל (n), הגדר את הפרמטרים כמתואר בטבלה הבאה פרמטרים עבור פרופיל Wi-Fi.

תצורת פרופיל Wi-Fi זמינה גם לכניסת המשתמש.
4

לחץ על שלח את כל השינויים.

פרמטרים עבור פרופיל Wi-Fi

הטבלה הבאה מגדירה את הפונקציה והשימוש של כל פרמטר בקטע פרופיל Wi-Fi תחת כרטיסייה מערכת בדף האינטרנט של הטלפון. הוא גם מגדיר את תחביר המחרוזת שמתווסף לקובץ תצורת הטלפון (cfg.xml) כדי להגדיר פרמטר.

פרמטרתיאור
שם רשתמאפשר לך להזין שם עבור ה-SSID שיוצג בטלפון. פרופילים מרובים יכולים להיות בעלי שם רשת זהה עם מצבי אבטחה שונים.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Network_Name_1_ua="rw">cisco</Network_Name_1_>

  • בדף האינטרנט של הטלפון, הזן שם עבור SSID.

ברירת מחדל: ריק

מצב אבטחהמאפשר לך לבחור את שיטת האימות המשמשת לאבטחת גישה לרשת ה-Wi-Fi. בהתאם לשיטה שתבחר, יופיע שדה סיסמה כדי שתוכל לספק את האישורים הדרושים להצטרפות לרשת Wi-Fi זו.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- אפשרויות זמינות: אוטומטי|EAP-FAST|||PSK||אין|EAP-PEAP|EAP-TLS -->

  • בדף האינטרנט של הטלפון, בחר אחת מהשיטות:
    • אוטומטי
    • EAP-FAST
    • PSK
    • ללא
    • EAP-PEAP
    • EAP-TLS

ברירת מחדל: אוטומטי

מזהה משתמש של Wi-Fiמאפשר להזין מזהה משתמש לפרופיל הרשת.

שדה זה זמין בעת הגדרת מצב האבטחה כאוטומטי, EAP-FAST או EAP-PEAP. זהו שדה חובה והוא מאפשר אורך מרבי של 32 תווים אלפא נומריים.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • בדף האינטרנט של הטלפון, הזן מזהה משתמש עבור פרופיל הרשת.

ברירת מחדל: ריק

סיסמת Wi-Fiמאפשר לך להזין את הסיסמה עבור מזהה המשתמש של Wi-Fi שצוין.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • בדף האינטרנט של הטלפון, הזן סיסמה עבור מזהה המשתמש שהוספת.

ברירת מחדל: ריק

פס תדריםמאפשר לך לבחור את פס תדר האות האלחוטי עבור ה-WLAN.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Frequency_Band_1_ ua="rw">אוטומטי</Frequency_Band_1_>

  • בדף האינטרנט של הטלפון, בחר אחת מהאפשרויות:
    • אוטומטי
    • 2.4 GHz
    • 5 GHz

ברירת מחדל: אוטומטי

בחירת אישורמאפשר לך לבחור סוג אישור עבור הרשמה ראשונית של אישור וחידוש אישור ברשת האלחוטית. תהליך זה זמין רק עבור אימות 802.1X.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Certificate_Select_1_ ua="rw">ייצור מותקן</Certificate_Select_1_>

  • בדף האינטרנט של הטלפון, בחר אחת מהאפשרויות:
    • ייצור מותקן
    • מותקן בהתאמה אישית

ברירת מחדל: ייצור מותקן

בדיקת מצב אבטחת המכשיר בטלפון

הטלפון בודק את מצב האבטחה של המכשיר באופן אוטומטי. אם הוא מזהה איומי אבטחה פוטנציאליים בטלפון, תפריט בעיות ואבחון יכול להציג את פרטי הבעיות. בהתאם לבעיות שדווחו, מנהל המערכת יכול לנקוט פעולות כדי לאבטח ולהקשיח את הטלפון שלך.

מצב האבטחה של ההתקן עדיין יכול להיות זמין כאשר הטלפון אינו רשום במערכת בקרת שיחות (Webex Calling או BroadWorks).

כדי להציג פרטים של בעיות אבטחה בטלפון, בצע את הפעולות הבאות:

1

לחץ על Settings.Settings button

2

בחר בעיות ואבחון > בעיות.

נכון לעכשיו, דוח אבטחת המכשיר מכיל את הבעיות הבאות:

קטגוריהבעיה
אמון במכשיראימות המכשיר נכשל
חומרה שלא כדין
תצורה פגיעהלא סופקה סיסמה
SSH מופעל
Telnet מופעל
זוהתה אנומליה ברשתניסיונות מוגזמים של התחברות
הנפקת אישורתוקף אישור CDC יפוג בקרוב
3

פנה למנהל המערכת לקבלת תמיכה כדי לפתור את בעיות האבטחה.