אישור מכשיר מותאם אישית (CDC) ב-802.1X

התקן באופן ידני אישור מכשיר מותאם אישית

אתה יכול להתקין באופן ידני אישור מכשיר מותאם אישית (CDC) בטלפון על ידי העלאת האישור מדף האינטרנט של ניהול הטלפון.

לפני שאתה מתחיל

לפני שתוכל להתקין אישור מכשיר מותאם אישית עבור טלפון, עליך להיות בעל:

  • קובץ אישור ( .p12 או .pfx) נשמר במחשב. הקובץ מכיל את האישור והמפתח הפרטי.
  • סיסמת החילוץ של האישור. הסיסמה משמשת לפענוח קובץ האישור.
1

גישה אל דף האינטרנט של ניהול הטלפון.

2

בחר אישור.

3

במקטע הוסף אישור, לחץ לעיין....

4

דפדף אל האישור במחשב האישי שלך.

5

בתוך ה חלץ סיסמה בשדה, הזן את סיסמת חילוץ האישור.

6

נְקִישָׁה העלה.

אם קובץ האישור והסיסמה נכונים, תקבל את ההודעה "נוספה תעודה.". אחרת, ההעלאה נכשלת עם הודעת שגיאה המציינת שלא ניתן להעלות את האישור.
7

כדי לבדוק פרטים של האישור המותקן, לחץ תצוגה במקטע תעודות קיימות.

8

כדי להסיר את האישור המותקן מהטלפון, לחץ מחיקה במקטע תעודות קיימות.

לאחר לחיצה על הכפתור, פעולת ההסרה מתחילה מיד ללא אישור.

אם האישור יוסר בהצלחה, תקבל את ההודעה "האישור נמחק.".

התקן אוטומטית אישור מכשיר מותאם אישית על ידי SCEP

אתה יכול להגדיר את הפרמטרים של Simple Certificate Enrollment Protocol (SCEP) כדי להתקין אוטומטית את אישור ההתקן המותאם אישית (CDC), אם אינך רוצה להעלות ידנית את קובץ האישור או שאין לך את קובץ האישור במקום.

כאשר פרמטרי SCEP מוגדרים כהלכה, הטלפון שולח בקשות לשרת SCEP, ואישור ה-CA מאומת על ידי המכשיר באמצעות טביעת האצבע שהוגדרה.

לפני שאתה מתחיל

לפני שתוכל לבצע התקנה אוטומטית של אישור התקן מותאם אישית עבור טלפון, דרושים לך:

  • כתובת שרת SCEP
  • טביעת אצבע SHA-1 או SHA-256 של אישור CA השורש עבור שרת SCEP
1

גישה אל דף האינטרנט של ניהול הטלפון.

2

בחר אישור.

3

במקטע תצורת SCEP 1 הגדר את הפרמטרים כמתואר בטבלה הבאה פרמטרים עבור תצורת SCEP.

4

לחץ על שלח את כל השינויים.

פרמטרים עבור תצורת SCEP

הטבלה הבאה מגדירה את הפונקציה והשימוש של פרמטרי תצורת SCEP בקטע תצורת SCEP 1 תחת אישור Tab בממשק האינטרנט של הטלפון. זה גם מגדיר את התחביר של המחרוזת שמתווספת בקובץ התצורה של הטלפון (cfg.xml) כדי להגדיר פרמטר.

טבלה 1. פרמטרים עבור תצורת SCEP
פרמטרתיאור
שרת

כתובת שרת SCEP. פרמטר זה הוא חובה.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • בדף האינטרנט של הטלפון, הזן את כתובת שרת SCEP.

ערכים חוקיים: כתובת URL או כתובת IP. סכימת HTTPS אינה נתמכת.

ברירת מחדל: ריק

טביעת אצבע של שורש CA

טביעת אצבע SHA256 או SHA1 של ה-Root CA לאימות במהלך תהליך SCEP. פרמטר זה הוא חובה.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • בדף האינטרנט של הטלפון, הזן טביעת אצבע חוקית.

ברירת מחדל: ריק

סיסמת אתגר

סיסמת האתגר להרשאת רשות האישורים (CA) נגד הטלפון במהלך רישום אישורים באמצעות SCEP. פרמטר זה הוא אופציונלי.

בהתאם לסביבת SCEP בפועל, ההתנהגות של סיסמת האתגר משתנה.

  • אם הטלפון מקבל אישור מ-Cisco RA שמתקשר עם CA, סיסמת האתגר אינה נתמכת ב-CA. במקרה זה, Cisco RA משתמש ב-MIC/SUDI של הטלפון לצורך אימות כדי לגשת ל-CA. הטלפון משתמש ב-MIC/SUDI הן לרישום ראשוני והן לחידוש תעודה.
  • אם הטלפון מקבל אישור על ידי תקשורת עם CA ישירות, סיסמת האתגר נתמכת ב-CA. אם מוגדר, הוא ישמש עבור ההרשמה הראשונית בלבד. עבור חידוש התעודה, האישור המותקן ישמש במקום זאת.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    הסיסמה מוסווה בקובץ התצורה.

  • בדף האינטרנט של הטלפון, הזן את סיסמת האתגר.

ברירת מחדל: ריק

תצורת פרמטרי SCEP באמצעות אפשרות DHCP 43

בנוסף לרישום תעודת SCEP על ידי התצורות הידניות בדף האינטרנט של הטלפון, אתה יכול גם להשתמש באפשרות DHCP 43 כדי לאכלס את הפרמטרים משרת DHCP. אפשרות DHCP 43 מוגדרת מראש עם פרמטרי SCEP, מאוחר יותר הטלפון יכול להביא את הפרמטרים משרת ה-DHCP כדי לבצע את רישום תעודת SCEP.

  • תצורת פרמטרי SCEP דרך DHCP אפשרות 43 זמינה רק עבור הטלפון שבו מבוצע איפוס להגדרות היצרן.
  • לא יוצבו טלפונים ברשת התומכת הן באפשרות 43 והן בהקצאה מרחוק (לדוגמה, אפשרויות 66,160,159,150 או אספקת ענן). אחרת, ייתכן שטלפונים לא יקבלו את תצורות Option 43.

כדי לרשום אישור SCEP על ידי הגדרת פרמטרי SCEP באפשרות DHCP 43, בצע את הפעולות הבאות:

  1. הכן סביבת SCEP.

    למידע על הגדרת סביבת SCEP, עיין בתיעוד שרת SCEP שלך.

  2. הגדר את אפשרות DHCP 43 (מוגדר ב-8.4 מידע ספציפי על הספק, RFC 2132).

    אפשרויות משנה (10–15) שמורות לשיטה:

    פרמטר בדף האינטרנט של הטלפוןאפשרות משנהסוגאורך (בייט)חובה
    מצב FIPS10בוליאני1לא*
    שרת11חוּט208 - אורך (סיסמת אתגר)כן
    טביעת אצבע של שורש CA12בינארי20 או 32כן
    סיסמת אתגר13חוּט208 - אורך (שרת)לא*
    הפעל אימות 802.1X14בוליאני1לא
    בחר תעודה158 סיביות לא חתומות1לא

    כאשר אתה משתמש באפשרות DHCP 43, שימו לב למאפיינים הבאים של השיטה:

    • אפשרויות משנה (10–15) שמורות לאישור מכשיר מותאם אישית (CDC).
    • האורך המרבי של אפשרות DHCP 43 הוא 255 בתים.
    • האורך המרבי של שרת סיסמת אתגר יהיה פחות מ-208 בתים.
    • הערך של מצב FIPS יהיה עקבי עם תצורת ההקצאה לכניסה. אחרת, הטלפון לא מצליח לאחזר את האישור שהותקן קודם לכן לאחר הכניסה. ספציפית,
      • אם הטלפון יהיה רשום לסביבה שבה מצב FIPS מושבת, אין צורך להגדיר את הפרמטר מצב FIPS ב-DHCP אפשרות 43. כברירת מחדל, מצב FIPS מושבת.
      • אם הטלפון יירשם בסביבה שבה מצב FIPS מופעל, עליך להפעיל את מצב FIPS באפשרות DHCP 43. ראה הפעלת מצב FIPS לקבלת פרטים.
    • הסיסמה באופציה 43 היא בטקסט ברור.

      אם סיסמת האתגר ריקה, הטלפון משתמש ב-MIC/SUDI עבור ההרשמה הראשונית וחידוש האישור. אם סיסמת האתגר מוגדרת, היא משמשת רק עבור ההרשמה הראשונית, והאישור המותקן ישמש לחידוש האישור.

    • אפשר אימות 802.1X ובחר תעודה משמשים רק עבור הטלפונים ברשת קווית.
    • אפשרות DHCP 60 (מזהה מחלקת ספקים) משמשת לזיהוי דגם ההתקן.

    הטבלה הבאה מספקת דוגמה לאפשרות DHCP 43 (אפשרויות משנה 10–15):

    אפשרות משנה עשרונית/הקסדהאורך ערך (בייט) עשרוני/הקסדהערךערך משושה
    10/0a1/011 (0: מושבת; 1: מופעל)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0d16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0: לא; 1: כן)01
    15/0f1/011 (0: ייצור מותקן; 1: מותקן בהתאמה אישית) 01

    סיכום ערכי הפרמטרים:

    • מצב FIPS = מופעל

    • שרת = http://10.79.57.91

    • טביעת אצבע של שורש CA = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • סיסמת האתגר = D233CCF9B9952A15

    • אפשר אימות 802.1X = כן

    • בחר תעודה = מותקן בהתאמה אישית

    התחביר של הערך ההקסדצימלי הסופי הוא: {<suboption><length><value>}...

    על פי ערכי הפרמטרים לעיל, ערך ה-hex הסופי הוא כדלקמן:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. הגדר את אפשרות DHCP 43 בשרת DHCP.

    שלב זה מספק דוגמה לתצורות DHCP אפשרות 43 ב- Cisco Network Register.

    1. הוסף ערכת הגדרות DHCP.

      מחרוזת אפשרויות ספק הוא שם הדגם של טלפונים IP. הערך החוקי הוא: DP-9841, DP-9851, DP-9861, DP-9871 או CP-8875.

    2. הוסף את אפשרות DHCP 43 ואפשרויות המשנה לקבוצת הגדרות DHCP.

      דוגמה:

      צילום מסך של DHCP אפשרות 43 הגדרות ב- Cisco Network Register

    3. הוסף אפשרויות 43 למדיניות DHCP והגדר את הערך באופן הבא:

      דוגמה:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. אמת את ההגדרות. אתה יכול להשתמש ב-Wireshark כדי ללכוד עקבות של תעבורת הרשת בין הטלפון לשירות.
  4. בצע איפוס להגדרות היצרן עבור הטלפון.

    לאחר איפוס הטלפון, הפרמטרים שרת, טביעת אצבע של שורש CA, וסיסמת אתגר ימולא אוטומטית. פרמטרים אלה ממוקמים בסעיף תצורת SCEP 1 מתוך אישור> מותאם אישית בדף האינטרנט של ניהול הטלפון.

    כדי לבדוק פרטים של האישור המותקן, לחץ תצוגה במקטע תעודות קיימות.

    כדי לבדוק את מצב התקנת האישור, בחר מצב אישור > מותאם אישית. הורד סטטוס 1 מציג את התוצאה האחרונה. אם מתרחשת בעיה כלשהי במהלך רישום האישור, סטטוס ההורדה יכול להראות את סיבת הבעיה למטרות פתרון בעיות.

    אם אימות סיסמת האתגר נכשל, המשתמשים יתבקשו להזין את הסיסמה על מסך הטלפון.
  5. (אופציונלי): כדי להסיר את האישור המותקן מהטלפון, לחץ על מחק במקטע אישורים קיימים.
    לאחר לחיצה על הכפתור, פעולת ההסרה מתחילה מיד ללא אישור.

חידוש תעודה על ידי SCEP

ניתן לרענן את אישור ההתקן באופן אוטומטי על ידי תהליך SCEP.

  • הטלפון בודק אם תוקף האישור יפוג בעוד 15 יום כל 4 שעות. אם כן, הטלפון מתחיל את תהליך חידוש האישור באופן אוטומטי.
  • אם סיסמת האתגר ריקה, הטלפון משתמש ב-MIC/SUDI הן לרישום ראשוני והן לחידוש האישור. אם סיסמת האתגר מוגדרת, היא משמשת לרישום ראשוני בלבד, האישור הקיים/מותקן משמש לחידוש האישור.
  • הטלפון לא מסיר את אישור המכשיר הישן עד שהוא מאחזר את החדש.
  • אם חידוש האישור נכשל בגלל שתוקף אישור התקן או CA פג, הטלפון מפעיל את ההרשמה הראשונית באופן אוטומטי. בינתיים, אם אימות סיסמת האתגר נכשל, יופיע מסך הזנת סיסמה במסך הטלפון, והמשתמשים מתבקשים להזין את סיסמת האתגר בטלפון.

הגדר את גירסת TLS המינימלית עבור לקוח ושרת

כברירת מחדל, גירסת TLS המינימלית עבור לקוח ושרת היא 1.2. משמעות הדבר היא כי הלקוח והשרת מסכימים ליצור חיבורים עם TLS 1.2 ומעלה. הגירסה המרבית הנתמכת של TLS עבור לקוח ושרת היא 1.3. לאחר קביעת התצורה, גירסת TLS המינימלית תשמש למשא ומתן בין לקוח TLS לשרת TLS.

ניתן להגדיר את הגירסה המינימלית של TLS עבור לקוח ושרת בהתאמה, כגון 1.1, 1.2 או 1.3.

לפני שאתה מתחיל

ודא ששרת TLS תומך בגירסת TLS המינימלית שהוגדרה. באפשרותך להתייעץ עם מנהל המערכת של בקרת השיחות.
1

גישה אל דף האינטרנט של ניהול הטלפון.

2

בחר קול > מערכת.

3

בסעיף הגדרות אבטחה, הגדר את הפרמטר TLS גרסת מינימום לקוח.

  • TLS 1.1: לקוח TLS תומך בגירסאות של TLS מ- 1.1 עד 1.3.

    אם גירסת TLS בשרת נמוכה מ- 1.1, לא ניתן ליצור את החיבור.

  • TLS 1.2 (ברירת מחדל): לקוח TLS תומך ב- TLS 1.2 ו- 1.3.

    אם גירסת TLS בשרת נמוכה מ- 1.2, לדוגמה, 1.1, לא ניתן ליצור את החיבור.

  • TLS 1.3: לקוח TLS תומך ב- TLS 1.3 בלבד.

    אם גירסת TLS בשרת נמוכה מ- 1.3, לדוגמה, 1.2 או 1.1, לא ניתן ליצור את החיבור.

    אם ברצונך להגדיר את הפרמטר "TLS Client Min Version" ל- "TLS 1.3", ודא שצד השרת תומך ב- TLS 1.3. אם צד השרת אינו תומך ב- TLS 1.3, הדבר עלול לגרום לבעיות קריטיות. לדוגמה, לא ניתן לבצע את פעולות הקצאת המשאבים בטלפונים.

ניתן בנוסף להגדיר פרמטר זה בקובץ התצורה (cfg.xml):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

ערכים מותרים: TLS 1.1, TLS1.2 ו- TLS 1.3.

ברירת מחדל: TLS 1.2.

4

בסעיף הגדרות אבטחה, הגדר את הפרמטר TLS גירסת מינימום שרת.

Webex Calling אינו תומך TLS 1.1.

  • TLS 1.1: שרת TLS תומך בגרסאות של TLS מ-1.1 עד 1.3.

    אם גירסת TLS בלקוח נמוכה מ- 1.1, לא ניתן ליצור את החיבור.

  • TLS 1.2 (ברירת מחדל): שרת TLS תומך ב- TLS 1.2 ו- 1.3.

    אם גירסת TLS בלקוח נמוכה מ- 1.2, לדוגמה, 1.1, לא ניתן ליצור את החיבור.

  • TLS 1.3: שרת TLS תומך ב- TLS 1.3 בלבד.

    אם גירסת TLS בלקוח נמוכה מ- 1.3, לדוגמה, 1.2 או 1.1, לא ניתן ליצור את החיבור.

ניתן בנוסף להגדיר פרמטר זה בקובץ התצורה (cfg.xml):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

ערכים מותרים: TLS 1.1, TLS1.2 ו- TLS 1.3.

ברירת מחדל: TLS 1.2.

5

לחץ על שלח את כל השינויים.

הפעל את מצב FIPS

אתה יכול להפוך את הטלפון הפדרלי לעיבוד מידע (FIPS) תואם.

FIPS הם סט של תקנים המתארים עיבוד מסמכים, אלגוריתמי הצפנה ותקני טכנולוגיית מידע אחרים לשימוש בתוך ממשל לא צבאי ועל ידי קבלנים וספקים ממשלתיים שעובדים עם הסוכנויות. CiscoSSL FOM (FIPS Object Module) הוא רכיב תוכנה מוגדר בקפידה המיועד לתאימות עם ספריית CiscoSSL, כך שניתן להמיר מוצרים המשתמשים בספריית CiscoSSL וב- API לשימוש בקריפטוגרפיה מאומתת FIPS 140-2 במאמץ מינימלי.

1

גישה אל דף האינטרנט של ניהול הטלפון.

2

בחר קול > מערכת.

3

במקטע הגדרות אבטחה, בחר כן או לא מתוך הפרמטר מצב FIPS .

4

לחץ על שלח את כל השינויים.

כאשר אתה מפעיל FIPS, התכונות הבאות פועלות בצורה חלקה בטלפון:
  • אימות תמונה
  • אחסון מאובטח
  • הצפנת קובץ תצורה
  • TLS:
    • HTTPs
    • העלאת PRT
    • שדרוג קושחה
    • סנכרון מחדש של הפרופיל
    • שירות על הסיפון
    • Webex קליטת עובדים
    • SIP over TLS
    • 802.1x (קווית)
  • תקציר SIP (RFC 8760)
  • SRTP
  • Webex יומני שיחות וספריית Webex
  • לחצן אחד ללחיצה (OBTP)

הסר באופן ידני אישור אבטחה

אתה יכול להסיר באופן ידני אישור אבטחה מהטלפון אם פרוטוקול Simple Certificate Enrollment (SCEP) אינו זמין.

1

מדף האינטרנט של ניהול הטלפון, בחר תעודות.

2

אתר את האישור ב- תעודות עמוד.

3

נְקִישָׁה לִמְחוֹק.

4

הפעל מחדש את הטלפון לאחר סיום תהליך המחיקה.

הגדרת סיסמאות המשתמש ומנהל המערכת

לאחר שהטלפון נרשם למערכת בקרת שיחות בפעם הראשונה או לאחר ביצוע איפוס להגדרות יצרן בטלפון, עליך להגדיר את סיסמאות המשתמש ומנהל המערכת כדי לשפר את אבטחת הטלפון. לאחר הגדרת הסיסמאות, תוכל לגשת לממשק האינטרנט של הטלפון.

כברירת מחדל, סיסמאות המשתמש ומנהל המערכת ריקות. לכן, תוכל למצוא את הבעיה "לא סופקה סיסמה" במסך הטלפון הגדרות > בעיות ואבחון > בעיות .

1

גש לדף האינטרנט של ניהול הטלפון

2

בחר קול > מערכת.

3

(אופציונלי) במקטע תצורת מערכת, הגדר את הפרמטר הצגת אזהרות סיסמה ככן ולאחר מכן לחץ עלשלח את כל השינויים .

אתה יכול גם להפעיל את הפרמטרים בקובץ התצורה של הטלפון (cfg.xml).

<Display_Password_Warnings ua="na">כן</Display_Password_Warnings>

ברירת מחדל: כן

אפשרויות: כן|לא

אם הפרמטר מוגדר לא , אזהרת הסיסמה לא תופיע במסך הטלפון.

4

אתר את הפרמטר User Password או Admin Password, ולחץ על Change Password לצד הפרמטר.

5

הזן את סיסמת המשתמש הנוכחית בשדה Old Password..

אם אין לך סיסמה, השאר את השדה ריק. ערך ברירת המחדל ריק.
6

הזן סיסמה חדשה בשדה New Password..

כללי סיסמה חוקיים:

  • הסיסמה חייבת להכיל לפחות 8 עד 127 תווים.
  • שילוב (3/4) של אות רישית, אות קטנה קטנה, מספר ותו מיוחד.
  • חל איסור על מקום.

אם הסיסמה החדשה אינה עומדת בדרישות, ההגדרה תידחה.

7

לחץ על שלח.

ההודעה סיסמה has been changed successfully.תוצג בדף האינטרנט. דף האינטרנט ירוענן תוך מספר שניות.

לאחר הגדרת סיסמת המשתמש, פרמטר זה מציג את הדברים הבאים בקובץ ה-XML של תצורת הטלפון (cfg.xml):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

אימות 802.1X

טלפונים IP של Cisco תומכים באימות 802.1X.

טלפונים של Cisco IP ומתגי Cisco Catalyst משתמשים באופן מסורתי ב-Cisco Discovery Protocol (CDP) כדי לזהות זה את זה ולקבוע פרמטרים כגון הקצאת VLAN ודרישות הספק מוטבעות. CDP אינו מזהה תחנות עבודה מחוברות מקומיות. טלפון Cisco IP מספק מנגנון מעבר EAPOL. מנגנון זה מאפשר לתחנת עבודה המחוברת לטלפון Cisco IP להעביר הודעות EAPOL למאמת 802.1X במתג LAN. מנגנון המעבר מבטיח שטלפון ה-IP לא יפעל כמתג LAN לאימות נקודת קצה נתונים לפני הגישה לרשת.

טלפון Cisco IP מספק בנוסף מנגנון התנתקות של פרוקסי EAPOL. אם המחשב המחובר המקומי מתנתק מטלפון ה-IP, מתג ה-LAN לא רואה את הקישור הפיזי נכשל, מכיוון שהקישור בין מתג ה-LAN לטלפון ה-IP נשמר. כדי להימנע מלפגוע בשלמות הרשת, טלפון ה-IP שולח הודעת EAPOL-Logoff למתג מטעם המחשב במורד הזרם, המפעיל את מתג ה-LAN לנקות את ערך האימות של המחשב במורד הזרם.

דרושים מספר רכיבים לתמיכה באימות 802.1X:

  • טלפון Cisco IP: הטלפון יוזם את הבקשה לגישה לרשת. טלפון Cisco IP כולל מבקש 802.1X. מבקש זה מאפשר למנהל מערכת רשת לשלוט בקישוריות של טלפונים IP ליציאות מתג LAN. מהדורת הגרסה הנוכחית מבקש 802.1X של הטלפון משתמש באפשרויות EAP-FAST ו-EAP-TLS לאימות רשת.

  • שרת אימות: שרת האימות והמתג חייבים להיות מוגדרים שניהם עם סוד משותף שמאמת את הטלפון.

  • החלף: המתג חייב לתמוך ב-802.1X, כך שהוא יכול לשמש כמאמת ולהעביר את ההודעות בין הטלפון לשרת האימות. לאחר השלמת ההחלפה, המתג מעניק או דוחה את גישת הטלפון לרשת.

עליך לבצע את הפעולות הבאות כדי להגדיר את התצורה של 802.1X.

  • הגדר את הרכיבים האחרים לפני שתפעיל את אימות 802.1X בטלפון.

  • הגדר את יציאת המחשב: תקן 802.1X אינו מתייחס לרשתות VLAN ולכן ממליץ שרק התקן בודד יעבור אימות ליציאת מתג ספציפית. עם זאת, מתגים מסוימים תומכים באימות מרובה תחומים. תצורת המתג קובעת אם באפשרותך לחבר מחשב ליציאת המחשב של הטלפון.

    • מופעל: אם אתה משתמש במתג שתומך באימות רב-דומיינים, תוכל להפעיל את יציאת המחשב ולחבר אליו מחשב. במקרה זה, טלפון Cisco IP תומך בפרוקסי EAPOEAPOL-Logoff כדי לנטר את חילופי האימות בין המתג למחשב המחובר.

      למידע נוסף על תמיכה ב-IEEE 802.1X על מתגי Cisco Catalyst, עיין במדריכי תצורת מתג Cisco Catalyst בכתובת:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • נָכֶה: אם המתג אינו תומך במספר התקנים תואמי 802.1X באותה יציאה, עליך להשבית את יציאת המחשב כאשר אימות 802.1X מופעל. אם לא תבטל יציאה זו ולאחר מכן תנסה לחבר אליה מחשב, המתג מונע גישה לרשת הן לטלפון והן למחשב.

  • הגדר את Voice VLAN: מכיוון שתקן 802.1X אינו מתייחס לרשתות VLAN, עליך להגדיר הגדרה זו בהתבסס על תמיכת המתגים.
    • מופעל: אם אתה משתמש במתג שתומך באימות רב-דומיינים, תוכל להמשיך בו כדי להשתמש ב-VLAN הקולי.
    • נָכֶה: אם המתג אינו תומך באימות רב-דומיינים, השבת את ה-VLAN הקול ושקול להקצות את היציאה ל-VLAN המקורי.
  • (עבור טלפון שולחני Cisco מסדרת 9800 בלבד)

    Cisco טלפון שולחני 9800 סדרה יש קידומת שונה PID מזה עבור טלפונים Cisco אחרים. כדי לאפשר לטלפון לעבור אימות 802.1X, הגדר את הרדיוס· פרמטר שם משתמש כדי לכלול את Cisco טלפון שולחני מסדרת 9800.

    לדוגמה, PID של טלפון 9841 הוא DP-9841; באפשרותך להגדיר רדיוס· שם משתמש להתחיל עם DP או מכיל DP. ניתן להגדיר אותו בשני הסעיפים הבאים:

    • מדיניות > תנאים > תנאי הספרייה

    • מדיניות > ערכות מדיניות> מדיניות הרשאה> כלל הרשאה 1

אפשר אימות 802.1X

כאשר אימות 802.1X מופעל, הטלפון משתמש באימות 802.1X כדי לבקש גישה לרשת. כאשר אימות 802.1X מושבת, הטלפון משתמש ב- Cisco Discovery Protocol (CDP) כדי להשיג VLAN וגישה לרשת. ניתן גם להציג את סטטוס העסקה והשינוי בתפריט מסך הטלפון.

כאשר אימות 802.1X מופעל, באפשרותך גם לבחור את אישור ההתקן (MIC/SUDI או מותאם אישית) עבור ההרשמה הראשונית והחידוש של האישור. בדרך כלל, MIC הוא עבור Cisco טלפון וידאו 8875, SUDI הוא עבור Cisco טלפון שולחני 9800 סדרה. CDC יכול לשמש לאימות רק ב- 802.1x.

1

בצע אחת מהפעולות הבאות להפעלת אימות 802.1X:

  • בממשק האינטרנט של הטלפון, בחר Voice > System והגדר את הפרמטר Enable 802.1X Authentication ככן . ואז, לחץ על שלח את כל השינויים.
  • בקובץ התצורה (cfg.xml), הזן סטרינג בתבנית הבאה:

    <Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>

    ערכים חוקיים: כן| לא

    ברירת מחדל: לא

  • בטלפון, לחץ על הגדרות the Settings hard keyונווט אל הגדרות רשת ושירות >אבטחה> אימות 802.1X., העבר את השדה אימות התקן למצב מופעל ולאחר מכן בחר החל.

    לקבלת מידע נוסף אודות הפרמטרים, ראה פרמטרים עבור הגדרות proxy של HTTP.

2

בחר אישור (MIC או מותאם אישית) עבור אימות 802.1X בדף האינטרנט של הטלפון.

  • עבור רשת קווית, בחר קול > מערכת, בחר סוג אישור מהרשימה הנפתחת אישור בחר במקטע אימות 802.1X.

    ניתן בנוסף להגדיר פרמטר זה בקובץ התצורה (cfg.xml):

    <Certificate_Select ua="rw">מותאם אישית מותקן</Certificate_Select>

    ערכים חוקיים: ייצור מותקן|מותקן בהתאמה אישית

    ברירת מחדל: ייצור מותקן

  • עבור רשת אלחוטית, בחר קול > מערכת, בחר סוג אישור מהרשימה הנפתחת אישור בחר במקטע Wi-Fi פרופיל 1.

    ניתן בנוסף להגדיר פרמטר זה בקובץ התצורה (cfg.xml):

    <Wi-Fi_Certificate_Select_1_ ua="rw">מותאם אישית מותקן</Wi-Fi_Certificate_Select_1_>

    ערכים חוקיים: ייצור מותקן|מותקן בהתאמה אישית

    ברירת מחדל: ייצור מותקן

לקבלת מידע אודות אופן בחירת סוג אישור במסך הטלפון, ראה חיבור הטלפון לרשת Wi-Fi.

פרמטרים עבור אימות 802.1X

פרמטרים

אפשרויות

ברירת מחדל

תיאור

אימות מכשיר

מופעל

כבוי

כבוי

הפעל או השבת אימות 802.1X בטלפון.

ניתן לשמור את הגדרת הפרמטר לאחר הרישום המוכן לשימוש (OOB) של הטלפון.

מצב פעולה

מושבת

מציג את המצב של אימות 802.1X. המדינה יכולה להיות (לא רק):

  • אימות : מציין שתהליך האימות מתבצע.
  • מאומת: מציין שהטלפון מאומת.
  • מושבת: מציין כי אימות 802.1x מושבת בטלפון.

פרוטוקול

ללא

מציג את שיטת EAP המשמשת לאימות 802.1X. הפרוטוקול יכול להיות EAP-FAST או EAP-TLS.

סוג אישור משתמש

ייצור מותקן

מותקן בהתאמה אישית

ייצור מותקן

בחר את האישור עבור אימות 802.1X במהלך ההרשמה הראשונית וחידוש האישור.

  • ייצור מותקן - נעשה שימוש בתעודת הייצור המותקנת (MIC) ומזהה התקן מאובטח (SUDI).
  • מותקן בהתאמה אישית - נעשה שימוש באישור ההתקן המותאם אישית (CDC). ניתן להתקין אישור מסוג זה או על ידי העלאה ידנית בדף האינטרנט של הטלפון או על ידי התקנה משרת Simple Certificate Enrollment Protocol (SCEP).

פרמטר זה מופיע בטלפון רק כאשר אימות מכשיר מופעל.

הצגת מידע אודות הגדרות אבטחה בטלפון

טבלה 2. פרמטרים עבור הגדרות אבטחה

פרמטרים

תיאור

אימות 802.1Xהפעלה או השבתה של אימות IEEE 802.1X.

לקבלת פרטים, ראה הפעלת אימות 802.1X.

תאימות לאחור עם WPA

קביעה אם הגירסה הישנה ביותר של Wi-Fi Protected Access (WPA) תואמת בטלפון כדי להתחבר לרשת אלחוטית או לנקודת גישה (AP).

  • אם אפשרות זו מופעלת, הטלפון יכול לחפש ולהתחבר לרשתות אלחוטיות כאשר כל הגירסאות של WPA נתמכות, כולל WPA, WPA2 ו- WPA3. בנוסף, הטלפון יכול לחפש ולהתחבר לנקודות גישה התומכות רק בגירסה הישנה ביותר של WPA.
  • אם האפשרות מושבתת (ברירת מחדל), הטלפון יכול לחפש ולהתחבר רק לרשתות האלחוטיות ולנקודות הגישה התומכות ב-WPA2 וב-WPA3.

תכונה זו זמינה רק בטלפונים 9861/9871/8875.

לפני שאתה מתחיל

באפשרותך להציג את המידע אודות הגדרות האבטחה בתפריט הטלפון. זמינות המידע תלויה בהגדרות הרשת בארגון שלך.

1

לחץ על Settings.the Settings key.

2

נווט אל הגדרות רשת ושירות > אבטחה.

3

בהגדרות האבטחה, הצג את פרטי האבטחה.

הגדרת שרת Proxy

באפשרותך להגדיר את הטלפון לשימוש בשרת proxy כדי לשפר את האבטחה. בדרך כלל, שרת proxy של HTTP יכול לספק את השירותים הבאים:

  • ניתוב תעבורה בין רשתות פנימיות וחיצוניות
  • סינון, ניטור או רישום תעבורה
  • אחסון תגובות במטמון לשיפור הביצועים

כמו כן, שרת ה-proxy של HTTP יכול לשמש כחומת אש בין הטלפון לאינטרנט. לאחר תצורה מוצלחת, הטלפון מתחבר לאינטרנט דרך שרת פרוקסי המגן על הטלפון מפני התקפת סייבר.

לאחר קביעת התצורה, תכונת ה-proxy של HTTP חלה על כל היישומים המשתמשים בפרוטוקול HTTP. לדוגמה:

  • GDS (הכנסת קוד הפעלה)
  • הפעלת מכשיר EDOS
  • הצטרפות לענן Webex (דרך EDOS או GDS)
  • CA מותאם אישית
  • מקצה
  • שדרוג קושחה
  • דוח מצב טלפון
  • העלאת PRT
  • שירותי XSI
  • שירותי Webex

  • נכון לעכשיו, התכונה תומכת רק IPv4.
  • ניתן לשמור את הגדרות ה-proxy של HTTP לאחר הרישום המוכן לשימוש (OOB) של הטלפון.

1

גישה אל דף האינטרנט של ניהול הטלפון.

2

בחר קול > מערכת.

3

בסעיף הגדרות proxy של HTTP, בחר מצב proxy מהרשימה הנפתחת מצב proxy והגדר את הפרמטרים הקשורים.

לקבלת מידע נוסף אודות הפרמטרים והפרמטרים הדרושים עבור כל מצב Proxy, ראה פרמטרים עבור הגדרות proxy של HTTP.

4

לחץ על שלח את כל השינויים.

פרמטרים עבור הגדרות proxy של HTTP

הטבלה הבאה מגדירה את הפונקציה והשימוש של פרמטרי ה-proxy של HTTP במקטע הגדרות Proxy של HTTP תחת Voice > System Tab בממשק האינטרנט של הטלפון. הוא בנוסף מגדיר את תחביר המחרוזת אשר מתווסף אל קובץ התצורה של הטלפון (cfg.xml) עם קוד XML כדי להגדיר תצורת פרמטר.

פרמטרתיאור
מצב Proxyמציין את מצב ה-proxy של HTTP שהטלפון משתמש בו, או משבית את תכונת ה-proxy של HTTP.
  • אוטומטי

    הטלפון מאחזר אוטומטית קובץ Proxy Auto-Configuration (PAC) כדי לבחור שרת proxy. במצב זה, באפשרותך לקבוע אם להשתמש בפרוטוקול גילוי אוטומטי של Web Proxy (WPAD) כדי לאחזר קובץ PAC או להזין ידנית כתובת URL חוקית של קובץ PAC.

    לקבלת פרטים אודות הפרמטרים, עיין בפרמטרים "Web Proxy Auto Discovery" ו- "PAC URL" בטבלה זו.

  • ידני

    עליך לציין באופן ידני שרת (שם מארח או כתובת IP) ויציאה של שרת proxy.

    לפרטים על הפרמטרים, ראה Proxy Host ו- Proxy Port.

  • כבוי

    אתה משבית את תכונת HTTP proxy בטלפון.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Proxy_Mode ua="rw">Off</Proxy_Mode>

  • בממשק האינטרנט של הטלפון, בחר מצב proxy או השבת את התכונה.

ערכים מותרים: אוטומטי, ידני וכבוי

ברירת מחדל: כבוי

גילוי אוטומטי של Web Proxyקובע אם הטלפון משתמש בפרוטוקול Web Proxy Auto Discovery (WPAD) כדי לאחזר קובץ PAC.

פרוטוקול WPAD משתמש ב- DHCP או DNS, או בשני פרוטוקולי הרשת כדי לאתר קובץ תצורה אוטומטית של פרוקסי (PAC) באופן אוטומטי. קובץ PAC משמש לבחירת שרת proxy עבור כתובת URL נתונה. קובץ זה יכול להתארח באופן מקומי או ברשת.

  • תצורת הפרמטר נכנסת לתוקף כאשר Proxy Mode מוגדר ל- Auto.
  • אם תגדיר את הפרמטר ל- No, עליך לציין כתובת URL של PAC.

    לקבלת פרטים אודות הפרמטר, עיין בפרמטר "PAC URL" בטבלה זו.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Web_Proxy_Auto_Discovery ua="rw">כן</Web_Proxy_Auto_Discovery>

  • בממשק האינטרנט של הטלפון, בחר כן או לא לפי הצורך.

ערכים מותרים: כן/לא

ברירת מחדל: כן

PAC URLכתובת URL של קובץ PAC.

לדוגמה, http://proxy.department.branch.example.com

TFTP, HTTP ו-HTTPS נתמכים.

אם תגדיר את מצב ה-proxy לגילוי אוטומטי ואת גילוי אוטומטי של פרוקסי באינטרנט ללא , עליך להגדירפרמטר זה.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL>

  • בממשק האינטרנט של הטלפון, הזן כתובת URL חוקית שמאתרת לקובץ PAC.

ברירת מחדל: ריק

מארח proxyכתובת ה-IP או שם המארח של שרת המארח של ה-proxy שאליו ניתן לגשת לטלפון. לדוגמה:

proxy.example.com

הסכמה (http:// or https://) אינה נדרשת.

אם תגדיר את Proxy Mode ל-Manual, עליך להגדיר פרמטר זה.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Proxy_Host ua="rw">proxy.example.com</Proxy_Host>

  • בממשק האינטרנט של הטלפון, הזן כתובת IP או שם מארח של שרת ה-proxy.

ברירת מחדל: ריק

יציאת proxyמספר יציאה של שרת מארח ה-proxy.

אם תגדיר את Proxy Mode ל- Manual, עליך להגדיר פרמטר זה.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Proxy_Port ua="rw">3128</Proxy_Port>

  • בממשק האינטרנט של הטלפון, הזן יציאת שרת.

ברירת מחדל: 3128

אימות Proxyקובע אם המשתמש צריך לספק את אישורי האימות (שם משתמש וסיסמה) ששרת ה-proxy דורש. פרמטר זה מוגדר בהתאם להתנהגות בפועל של שרת ה-proxy.

אם תגדיר את הפרמטר ל- Yes, עליך להגדיר Usernameו- Password.

לקבלת פרטים על הפרמטרים, עיין בפרמטר "שם משתמש" ו- "סיסמה" בטבלה זו.

תצורת הפרמטר נכנסת לתוקף כאשר Proxy Mode מוגדר ל- Manual .

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Proxy_Authentication ua="rw">No</Proxy_Authentication>

  • בממשק האינטרנט של הטלפון, הגדר שדה זה כן או לא לפי הצורך.

ערכים מותרים: כן/לא

ברירת מחדל: לא

שם משתמששם משתמש עבור משתמש אישור בשרת ה-proxy.

אם מצב Proxy מוגדר ידני ואימות Proxy מוגדר ככן , עליך להגדיר את הפרמטר.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Proxy_Username ua="rw">דוגמה</Proxy_Username>

  • בממשק האינטרנט של הטלפון, הזן את שם המשתמש.

ברירת מחדל: ריק

סיסמההסיסמה של שם המשתמש שצוין למטרת אימות ה-proxy.

אם מצב Proxy מוגדר ידני ואימות Proxy מוגדר ככן , עליך להגדיר את הפרמטר.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Proxy_Password ua="rw">דוגמה</Proxy_Password>

  • בממשק האינטרנט של הטלפון, הזן סיסמה חוקית לאימות ה-proxy של המשתמש.

ברירת מחדל: ריק

טבלה 3. פרמטרים נדרשים עבור כל מצב proxy
מצב Proxyפרמטרים נדרשיםתיאור
כבוילא ישיםHTTP proxy מושבת בטלפון.
ידנימארח proxy

יציאת proxy

אימות Proxy: כן

שם משתמש

סיסמה

ציין ידנית שרת proxy (שם מארח או כתובת IP) ויציאת proxy. אם שרת ה-proxy דורש אימות, עליך להזין את שם המשתמש והסיסמה.
מארח proxy

יציאת proxy

אימות Proxy: לא

ציין ידנית שרת Proxy. שרת ה-proxy אינו דורש אישורי אימות.
אוטומטיגילוי אוטומטי של Web Proxy: לא

PAC URL

הזן כתובת URL חוקית של PAC כדי לאחזר את קובץ ה-PAC.
גילוי אוטומטי של Web Proxy: כן

משתמש בפרוטוקול WPAD לאחזור אוטומטי של קובץ PAC.

הפעל מצב ייזום-לקוח עבור משא ומתן של אבטחת מישור מדיה

כדי להגן על מושבי מדיה, באפשרותך להגדיר את הטלפון כך שיזום משא ומתן לאבטחת מישור מדיה עם השרת. מנגנון האבטחה פועל בהתאם לתקנים המצוינים ב-RFC 3329 וטיוטת ההרחבה שלו, שמות מנגנוני אבטחה עבור מדיה (ראה https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). תעבורת המשא ומתן בין הטלפון לשרת יכולה להשתמש בפרוטוקול SIP על-גבי UDP, TCP, ו-TLS. ניתן להגביל את החלת משא ומתן אבטחת מישור מדיה כאשר פרוטוקול תעבורת איתות הןא TLS.

טבלה 4. פרמטרים למשא ומתן ביטחוני במישור התקשורת
פרמטרתיאור

בקשת MediaSec

מציין אם הטלפון יוזם משא ומתן של אבטחת מישור מדיה עם השרת.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <MediaSec_Request_1_ ua="na">כן</MediaSec_Request_1_>
  • בממשק האינטרנט של הטלפון, הגדר שדה זה במצב כן או לא כפי הנדרש.

ערכים מותרים: כן|לא

  • כן - מצב יזום על ידי לקוח. הטלפון יוזם משא ומתן של אבטחת מישור מדיה.
  • לא — מצב יזום על-ידי שרת. השרת יוזם משא ומתן של אבטחת מישור מדיה. הטלפון לא יוזם משא ומתן, אבל יכול לטפל בבקשות משא ומתן מהשרת כדי ליצור שיחות מאובטחות.

ברירת מחדל: לא

MediaSec Over TLS בלבד

מציין את פרוטוקול תעבורת איתות שבו מוחל משא ומתן על אבטחת מישור מדיה.

לפני הגדרת שדה זה למצב כן, ודא שפרוטוקול תעבורת איתות במצב TLS.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>

  • בממשק האינטרנט של הטלפון, הגדר שדה זה במצב כן או לא כפי הנדרש.

ערכים מותרים: כן|לא

  • כן - הטלפון יוזם או מטפל במשא ומתן של אבטחת מישור מדיה רק כאשר פרוטוקול תעבורת איתות הוא במצב TLS.
  • לא — הטלפון יוזם ומטפל במשא ומתן של אבטחת מישור מדיה ללא קשר לפרוטוקול תעבורת איתות.

ברירת מחדל: לא

1

גישה אל דף האינטרנט של ניהול הטלפון.

2

בחר קול > Ext(n).

3

במקטע SIP הגדרות , הגדר את השדות MediaSec Request ו - MediaSec Over TLS Only כפי שמוגדר בטבלה לעיל.

4

לחץ על שלח את כל השינויים.

WLAN אבטחה

מכיוון שכל התקני ה-WLAN שנמצאים בטווח יכולים לקבל את כל תעבורת ה-WLAN האחרת, אבטחת תקשורת קולית היא קריטית ב-WLAN. כדי להבטיח שפולשים לא יבצעו מניפולציות ולא יירטו תעבורה קולית, ארכיטקטורת האבטחה Cisco SAFE תומכת בטלפון. למידע נוסף על אבטחה ברשתות, ראה http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

פתרון טלפוניית IP האלחוטית Cisco מספק אבטחת רשת אלחוטית המונעת כניסות לא מורשות ותקשורת בסכנה באמצעות שיטות האימות הבאות שבהן תומך הטלפון:

  • פתח את האימות: כל מכשיר אלחוטי יכול לבקש אימות במערכת פתוחה. ה-AP שמקבל את הבקשה רשאי להעניק אימות לכל מבקש או רק למבקשים שנמצאים ברשימת משתמשים. ייתכן שהתקשורת בין ההתקן האלחוטי לנקודת הגישה (AP) אינה מוצפנת.

  • אימות מורחב - אימות גמיש באמצעות אימות מנהור מאובטח (EAP-FAST): ארכיטקטורת אבטחה זו של שרת-לקוח מצפינה טרנזקציות EAP בתוך מנהרת אבטחת רמת תעבורה (TLS) בין נקודת הגישה לשרת ה-RADIUS, כגון Identity Services Engine (ISE).

    מנהרת TLS משתמשת באישורי גישה מוגנת (PAC) לאימות בין הלקוח (טלפון) לשרת RADIUS. השרת שולח מזהה רשות (AID) ללקוח (טלפון), אשר בתורו בוחר את ה-PAC המתאים. הלקוח (טלפון) מחזיר PAC-Opaque לשרת RADIUS. השרת מפענח את ה-PAC עם המפתח הראשי. שתי נקודות הקצה מכילות כעת את מפתח PAC ונוצרת מנהרת TLS. EAP-FAST תומך בהקצאת PAC אוטומטית, אך עליך להפעיל אותה בשרת RADIUS.

    ב- ISE, כברירת מחדל, תוקפו של PAC פג בעוד שבוע. אם לטלפון יש PAC שפג תוקפו, האימות עם שרת RADIUS נמשך זמן רב יותר בזמן שהטלפון מקבל PAC חדש. כדי למנוע עיכובים בהקצאת PAC, הגדר את תקופת התפוגה של PAC ל-90 יום או יותר בשרת ISE או RADIUS.

  • אימות פרוטוקול הרחבה-שכבת תחבורה (EAP-TLS) אימות: EAP-TLS דורש אישור לקוח עבור אימות וגישה לרשת. עבור EAP-TLS אלחוטי, אישור הלקוח יכול להיות MIC, LSC, או אישור המותקן על-ידי המשתמש.

  • Protected Extensible Authentication Protocol (PEAP): סכימת אימות הדדי מבוססת סיסמאות קניינית של Cisco בין הלקוח (טלפון) לשרת RADIUS. הטלפון יכול להשתמש ב- PEAP לאימות עם הרשת האלחוטית. שתי שיטות אימות PEAP-MSCHAPV2 ו-PEAP-GTC נתמכות.

  • מפתח טרום-משותף (PSK): הטלפון תומך בתבנית ASCII. עליך להשתמש בתבנית זו בעת הגדרת מפתח משותף מראש WPA/WPA2/SAE:

    ASCII: מחרוזת תווים ASCII באורך של 8 עד 63 תווים (0-9, אותיות קטנות ואותיות גדולות AZ, ותווים מיוחדים)

    דוגמה: GREG123567@9ZX&W

סכימות האימות הבאות משתמשות בשרת RADIUS לניהול מפתחות אימות:

  • WPA/WPA2/WPA3: משתמש במידע שרת RADIUS ליצירת מפתחות ייחודיים לאימות. מכיוון שמפתחות אלה נוצרים בשרת ה-RADIUS המרכזי, WPA2/WPA3 מספק יותר אבטחה מאשר מפתחות משותפים מראש של WPA המאוחסנים ב-AP ובטלפון.

  • נדידה מאובטחת מהירה: משתמש בשרת RADIUS ובמידע של שרת תחום אלחוטי (WDS) לניהול ואימות מפתחות. ה-WDS יוצר מטמון של אישורי אבטחה עבור התקני לקוח התומכים ב-FT לצורך אימות מחדש מהיר ומאובטח. Cisco טלפון שולחני 9861 ו 9871 ו Cisco טלפון וידאו 8875 תמיכה 802.11r (FT). הן דרך האוויר והן מעל DS נתמכות כדי לאפשר נדידה מהירה ומאובטחת. אבל אנו ממליצים בחום להשתמש בשיטת 802.11r (FT) מעל האוויר.

עם WPA/WPA2/WPA3, מפתחות הצפנה אינם מוזנים בטלפון, אלא נגזרים באופן אוטומטי בין נקודת הגישה לטלפון. אבל יש להזין את שם המשתמש והסיסמה של EAP המשמשים לאימות בכל טלפון.

כדי להבטיח שתעבורת הקול מאובטחת, הטלפון תומך ב-TKIP וב-AES לצורך הצפנה. כאשר מנגנונים אלה משמשים להצפנה, הן מנות האיתות SIP והן מנות פרוטוקול תעבורה בזמן אמת (RTP) מוצפנות בין נקודת הגישה והטלפון.

TKIP

WPA משתמש בהצפנת TKIP הכוללת מספר שיפורים לעומת WEP. TKIP מספקת הצפנת מפתח לכל מנה ווקטורי אתחול ארוכים יותר (IVs) המחזקים את ההצפנה. בנוסף, בדיקת תקינות ההודעה (MIC) מבטיחה שמנות מוצפנות אינן משתנות. TKIP מסיר את יכולת החיזוי של WEP המסייעת לפולשים לפענח את מפתח ה-WEP.

AES

שיטת הצפנה המשמשת לאימות WPA2/WPA3. תקן לאומי זה להצפנה משתמש באלגוריתם סימטרי בעל אותו מפתח להצפנה ולפענוח. AES משתמש בהצפנת Chipher Blocking Chain (CBC) בגודל 128 סיביות, התומך בגדלים של מפתחות של 128 סיביות, 192 סיביות ו-256 סיביות, כמינימום. הטלפון תומך בגודל מפתח של 256 סיביות.

Cisco טלפון שולחני 9861 ו- 9871 ו- Cisco טלפון וידאו 8875 אינם תומכים Cisco פרוטוקול תקינות מפתח (CKIP) עם CMIC.

סכימות אימות והצפנה מוגדרות בתוך ה-LAN האלחוטי. רשתות VLAN מוגדרות ברשת וב-APs ומציינים שילובים שונים של אימות והצפנה. SSID משויך ל-VLAN ולסכימת האימות וההצפנה המסוימת. כדי שהתקני לקוח אלחוטיים יוכלו לבצע אימות מוצלח, עליך להגדיר את אותם מזהי SSID עם סכימות האימות וההצפנה שלהם בנקודות הגישה ובטלפון.

סכימות אימות מסוימות דורשות סוגים ספציפיים של הצפנה.

  • כאשר אתה משתמש במפתח WPA לשיתוף מראש, מפתח שיתוף מראש של WPA2 או SAE, המפתח המשותף מראש חייב להיות מוגדר באופן סטטי בטלפון. מפתחות אלה חייבים להתאים למפתחות שנמצאים ב-AP.

  • הטלפון תומך במשא ומתן אוטומטי EAP עבור FAST או PEAP, אך לא עבור TLS. עבור מצב EAP-TLS, עליך לציין אותו.

סכימות האימות וההצפנה בטבלה הבאה מציגות את אפשרויות תצורת הרשת עבור הטלפון המתאים לתצורת נקודת גישה.

טבלה 5. ערכות אימות והצפנה
סוג FSRאימותניהול מפתחהצפנהמסגרת ניהול מוגנת (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESלא
802.11r (FT)WPA3

SAE

FT-SAE

AESכן
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESלא
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESכן
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESלא
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESכן
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESלא
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESכן

הגדרת פרופיל Wi-Fi

ניתן להגדיר פרופיל Wi-Fi מדף האינטרנט של הטלפון או מנסכרון מחדש של מפרופיל התקן מרוחק ושיוך הפרופיל לרשתות ה-Wi-Fi הזמינות. ניתן להשתמש בפרופיל Wi-Fi זה כדי להתחבר אל Wi-Fi. נכון לעכשיו, ניתן להגדיר פרופיל Wi-Fi אחד בלבד.

הפרופיל כולל את הפרמטרים הדרושים לטלפונים על מנת להתחבר לשרת הטלפון באמצעות Wi-Fi. בעת יצירת פרופיל Wi-Fi ושימוש בו, אינך צריך להגדיר את תצורת הרשת האלחוטית עבור טלפונים בודדים.

פרופיל Wi-Fi מאפשר לך למנוע או להגביל שינויים לתצורת ה-Wi-Fi בטלפון על-ידי המשתמש.

מומלץ להשתמש בפרופיל מאובטח עם פרוטוקולים התומכים בהצפנה כדי להגן על מפתחות וסיסמאות בעת שימוש בפרופיל Wi-Fi.

כאשר אתה מגדיר את הטלפונים לשימוש בשיטת האימות EAP-FAST במצב אבטחה, המשתמשים שלך זקוקים לאישורים נפרדים כדי להתחבר לנקודת גישה.

1

עבור אל דף האינטרנט של הטלפון.

2

בחר קול > מערכת.

3

במקטע Wi-Fi פרופיל (n), הגדר את הפרמטרים כמתואר בטבלה הבאה פרמטרים עבור פרופיל Wi-Fi.

תצורת פרופיל Wi-Fi זמינה גם לכניסת המשתמש.
4

לחץ על שלח את כל השינויים.

פרמטרים עבור פרופיל Wi-Fi

הטבלה הבאה מגדירה את הפונקציה והשימוש של כל פרמטר בקטע פרופיל Wi-Fi תחת כרטיסייה מערכת בדף האינטרנט של הטלפון. זה גם מגדיר את התחביר של המחרוזת שמתווספת בקובץ התצורה של הטלפון (cfg.xml) כדי להגדיר פרמטר.

פרמטרתיאור
שם רשתמאפשר לך להזין שם עבור ה-SSID שיוצג בטלפון. פרופילים מרובים יכולים להיות בעלי שם רשת זהה עם מצבי אבטחה שונים.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Network_Name_1_ua="rw">cisco</Network_Name_1_>

  • בדף האינטרנט של הטלפון, הזן שם עבור SSID.

ברירת מחדל: ריק

מצב אבטחהמאפשר לך לבחור את שיטת האימות המשמשת לאבטחת גישה לרשת ה-Wi-Fi. בהתאם לשיטה שתבחר, יופיע שדה סיסמה כדי שתוכל לספק את האישורים הדרושים להצטרפות לרשת Wi-Fi זו.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- אפשרויות זמינות: אוטומטי|EAP-FAST|||PSK||אין|EAP-PEAP|EAP-TLS -->

  • בדף האינטרנט של הטלפון, בחר אחת מהשיטות:
    • אוטומטי
    • EAP-FAST
    • PSK
    • ללא
    • EAP-PEAP
    • EAP-TLS

ברירת מחדל: אוטומטי

מזהה משתמש של Wi-Fiמאפשר להזין מזהה משתמש לפרופיל הרשת.

שדה זה זמין בעת הגדרת מצב האבטחה כאוטומטי, EAP-FAST או EAP-PEAP. זהו שדה חובה והוא מאפשר אורך מרבי של 32 תווים אלפא נומריים.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • בדף האינטרנט של הטלפון, הזן מזהה משתמש עבור פרופיל הרשת.

ברירת מחדל: ריק

סיסמת Wi-Fiמאפשר לך להזין את הסיסמה עבור מזהה המשתמש של Wi-Fi שצוין.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • בדף האינטרנט של הטלפון, הזן סיסמה עבור מזהה המשתמש שהוספת.

ברירת מחדל: ריק

פס תדריםמאפשר לך לבחור את פס תדר האות האלחוטי עבור ה-WLAN.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Frequency_Band_1_ ua="rw">אוטומטי</Frequency_Band_1_>

  • בדף האינטרנט של הטלפון, בחר אחת מהאפשרויות:
    • אוטומטי
    • 2.4 GHz
    • 5 GHz

ברירת מחדל: אוטומטי

בחר תעודהמאפשר לך לבחור סוג אישור עבור הרשמה ראשונית של אישור וחידוש אישור ברשת האלחוטית. תהליך זה זמין רק עבור אימות 802.1X.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Certificate_Select_1_ ua="rw">ייצור מותקן</Certificate_Select_1_>

  • בדף האינטרנט של הטלפון, בחר אחת מהאפשרויות:
    • ייצור מותקן
    • מותקן בהתאמה אישית

ברירת מחדל: ייצור מותקן

בדיקת מצב אבטחת המכשיר בטלפון

הטלפון בודק את מצב האבטחה של המכשיר באופן אוטומטי. אם הוא מזהה איומי אבטחה פוטנציאליים בטלפון, תפריט בעיות ואבחון יכול להציג את פרטי הבעיות. בהתאם לבעיות שדווחו, מנהל המערכת יכול לנקוט פעולות כדי לאבטח ולהקשיח את הטלפון שלך.

מצב אבטחת ההתקן זמין לפני רישום הטלפון במערכת בקרת השיחות (Webex Calling או BroadWorks).

כדי להציג פרטים של בעיות אבטחה בטלפון, בצע את הפעולות הבאות:

1

לחץ על Settings.Settings button

2

בחר בעיות ואבחון > בעיות.

נכון לעכשיו, דוח אבטחת המכשיר מכיל את הבעיות הבאות:

  • אמון במכשיר
    • אימות המכשיר נכשל
    • זוהה חבלה ב-SoC
  • תצורה פגיעה
    • SSH מופעל
    • Telnet מופעל
  • זוהתה אנומליה ברשת
    • ניסיונות כניסה מוגזמים לאינטרנט
  • הנפקת אישור
    • תפוגת אישור מכשיר מותאם אישית

3

פנה למנהל המערכת לקבלת תמיכה כדי לפתור את בעיות האבטחה.