במאמר זה
תכונות אבטחה נתמכות
dropdown icon
אבטחת שיחות טלפון
    זיהוי מאובטח של שיחת ועידה
    זיהוי שיחות טלפון מאובטח
    ספק הצפנה עבור דוברה
dropdown icon
אבטחת רשת LAN אלחוטית
    הגדרת פרופיל Wi-Fi
    התקנת אישור משתמש מדף האינטרנט של ניהול הטלפון
    התקנת CA של שרת אימות מדף האינטרנט של ניהול הטלפון
    הסרה ידנית של אישור אבטחה מדף האינטרנט של ניהול הטלפון
    הגדרת SCEP
הגדר אישור מקומי משמעותי (LSC)
dropdown icon
אימות 802.1X עבור רשתות קוויות
    הפעל אימות 802.1X עבור רשתות קוויות בטלפון שלך
    הפעל אימות 802.1X עבור רשתות קוויות ב- Cisco Unified Communications Manager Administration
    תפריט הגדרות אבטחה בטלפון
הגדר את הגירסאות הנתמכות של TLS
TURN לכבות את הרמקול והאוזניות בטלפון אלחוטי Cisco 9821
Cisco אבטחה עבור טלפון אלחוטי 9821 (Unified CM)
list-menuבמאמר זה
list-menuמשוב?

מאמר עזרה זה מיועד לטלפון אלחוטי Cisco 9821 הרשום אל Cisco Unified Communications Manager (Unified CM).

באפשרותך להפעיל את Cisco Unified Communications Manager (Unified CM) כדי לפעול בסביבת אבטחה משופרת. עם שיפורים אלה, רשת הטלפון שלך פועלת תחת מערכת בקרות אבטחה וניהול סיכונים קפדניות כדי להגן עליך ועל המשתמשים שלך.

סביבת האבטחה המשופרת כוללת את התכונות הבאות:

  • אימות חיפוש אנשי קשר

  • TCP כפרוטוקול ברירת המחדל עבור רישום ביקורת מרחוק

  • מדיניות אישורים משופרת

  • תמיכה במשפחת SHA-2 של קודי hash עבור חתימות דיגיטליות

  • תמיכה בגודל מקש RSA עד 4096 סיביות

עם Cisco Unified CM מהדורה 14.0 ואילך, הטלפונים תומכים באימות OAuth SIP.

OAuth נתמך עבור Proxy Trivial File Transfer Protocol (TFTP) עם Cisco Unified CM Release 14.0 (1) SU1 ואילך.

לקבלת מידע נוסף אודות אבטחה, עיין במדריכים הבאים:

הטלפון שלך יכול לאחסן רק מספר מוגבל של קבצי רשימת אמון זהות (ITL). קבצי ITL לא יכולים לחרוג מ- 64K בטלפון, לכן הגבל את מספר הקבצים ש- Cisco Unified CM שולחת לטלפון.

תכונות אבטחה נתמכות

תכונות אבטחה מגנות מפני איומים, כולל איומים על זהות הטלפון ועל הנתונים. תכונות אלה מייצרות ושומרות על זרמי תקשורת מאומתים בין הטלפון לשרת Cisco Unified Communications Manager, ומבטיחות שהטלפון משתמש רק בקבצים חתומים דיגיטלית.

Cisco Unified Communications Manager מהדורה 8.5(1) ואילך כולל אבטחה כברירת מחדל, המספקת את תכונות האבטחה הבאות עבור טלפונים IP של Cisco מבלי להפעיל את לקוח CTL:

  • חתימה על קבצי התצורה של הטלפון

  • הצפנת קובץ תצורת הטלפון

  • HTTPS עם Tomcat ושירותי אינטרנט אחרים

תכונות איתות ומדיה מאובטחות עדיין מחייבות אותך להפעיל את לקוח CTL ולהשתמש ב-eTokens של חומרה.

הטמעת אבטחה במערכת Cisco Unified Communications Manager מונעת גניבת זהות של הטלפון ושל שרת Cisco Unified Communications Manager, מונעת חבלה בנתונים ומונעת איתות שיחות וחבלה בזרם מדיה.

כדי להקל על איומים אלו, רשת הטלפוניה של Cisco IP מקימה ומתחזקת זרמי תקשורת מאובטחים (מוצפנים) בין טלפון לשרת, חותמת דיגיטלית על קבצים לפני שהם מועברים לטלפון, ומצפינה זרמי מדיה ואיתות שיחות בין טלפונים של Cisco IP.

אישור מקומי משמעותי (LSC) מותקן בטלפונים לאחר ביצוע המשימות הדרושות המשויכות לפונקציית Proxy Authority (CAPF). באפשרותך להשתמש ב- Cisco Unified Communications Manager Administration כדי להגדיר LSC, כמתואר במדריך האבטחה Cisco Unified Communications Manager. לחלופין, תוכל ליזום התקנה של LSC מתפריט אבטחה בטלפון. תפריט זה גם מאפשר לך לעדכן או להסיר LSC.

הטלפונים משתמשים בפרופיל האבטחה של הטלפון, המגדיר אם המכשיר אינו מאובטח או מאובטח. למידע על החלת פרופיל האבטחה על הטלפון, עיין בתיעוד עבור מהדורת Cisco Unified Communications Manager הספציפית שלך.

אם תגדיר הגדרות הקשורות לאבטחה ב-Cisco Unified Communications Manager Administration, קובץ התצורה של הטלפון מכיל מידע רגיש. כדי להבטיח את הפרטיות של קובץ תצורה, עליך להגדיר אותו להצפנה. למידע מפורט, עיין בתיעוד עבור מהדורת Cisco Unified Communications Manager הספציפית שלך.

הטבלה הבאה מספקת סקירה כללית של תכונות האבטחה שבהן הטלפונים תומכים. לפרטים נוספים, ראה תיעוד עבור גירסת Cisco Unified Communications Manager הספיציפי שלך.

שולחן 1. סקירה כללית של תכונות אבטחה

תכונה

תיאור

אימות תמונה

קבצים בינאריים חתומים מונעים התעסקות בתמונת הקושחה לפני טעינת התמונה בטלפון.

התעסקות בתמונה גורמת לטלפון להיכשל בתהליך האימות ולדחות את התמונה החדשה.

התקנת תעודת אתר לקוח

כל טלפון IP של Cisco דורש אישור ייחודי לאימות המכשיר. טלפונים כוללים אישור מותקן בייצור (MIC), אך ליתר אבטחה, אתה יכול לציין התקנת אישור ב-Cisco Unified Communications Manager Administration באמצעות פונקציית ה-Certificate Authority Proxy Function (CAPF). לחלופין, תוכל להתקין Locally Significant Certificate (LSC) מתפריט אבטחה בטלפון.

אימות מכשיר

מתרחש בין שרת Cisco Unified Communications Manager לטלפון כאשר כל ישות מקבלת את האישור של הישות האחרת. קובע אם יש להיווצר חיבור מאובטח בין הטלפון למנהל תקשורת מאוחדת של Cisco; ובמידת הצורך, יוצר נתיב איתות מאובטח בין הישויות באמצעות פרוטוקול TLS. Cisco Unified Communications Manager אינו רושם טלפונים אלא אם כן הוא יכול לאמת אותם.

אימות קובץ

מאמת קבצים חתומים דיגיטלית שהטלפון מוריד. הטלפון מאמת את החתימה כדי לוודא שלא התרחשו שיבוש קבצים לאחר יצירת הקובץ. קבצים שנכשלים באימות אינם נכתבים לזיכרון פלאש בטלפון. הטלפון דוחה קבצים כאלה ללא עיבוד נוסף.

הצפנת קבצים

ההצפנה מונעת חשיפת מידע רגיש בזמן שהקובץ נמצא במעבר לטלפון. בנוסף, הטלפון מאמת את החתימה כדי לוודא שלא התרחשו שיבוש קבצים לאחר יצירת הקובץ. קבצים שנכשלים באימות אינם נכתבים לזיכרון פלאש בטלפון. הטלפון דוחה קבצים כאלה ללא עיבוד נוסף.

אימות איתות

משתמש בפרוטוקול TLS כדי לאמת שלא התרחשה התעסקות במנות איתות במהלך השידור.

ייצור אישור מותקן

כל טלפון IP של Cisco מכיל אישור מותקן ייצור ייחודי (MIC), המשמש לאימות המכשיר. ה-MIC מספק הוכחה ייחודית קבועה של זהות לטלפון ומאפשר ל-Cisco Unified Communications Manager לאמת את הטלפון.

הצפנת מדיה

משתמש ב-SRTP כדי להבטיח שזרמי מדיה בין מכשירים נתמכים יוכיחו את עצמם מאובטחים ושרק המכשיר המיועד מקבל וקורא את הנתונים. כולל יצירת צמד מפתחות מדיה ראשיים למכשירים, מסירת המפתחות למכשירים ואבטחת מסירת המפתחות בזמן שהמפתחות נמצאים בהובלה.

CAPF (פונקציית פרוקסי של רשות האישורים)

מיישמת חלקים מהליך הפקת האישורים עתירי עיבוד מדי עבור הטלפון, ומקיימת אינטראקציה עם הטלפון לצורך הפקת מפתחות והתקנת אישורים. ניתן להגדיר את ה-CAPF לבקש אישורים מרשויות אישורים שצוינו על ידי הלקוח מטעם הטלפון, או שהוא יכול להיות מוגדר להפקת אישורים באופן מקומי.

שני סוגי המקשים EC (עקומה אליפטית) ו- RSA נתמכים. כדי להשתמש במפתח EC, ודא שהפרמטר "Endpoint Advanced Encryption Algorithms Support" (מתוך הפרמטר System >Enterprise) מופעל.

לקבלת מידע נוסף אודות CAPF ותצורות קשורות, עיין במסמכים הבאים:

פרופיל אבטחה

מגדיר אם הטלפון אינו מאובטח, מאומת, מוצפן או מוגן. ערכים אחרים בטבלה זו מתארים תכונות אבטחה.

קבצי תצורה מוצפנים

מאפשר לך להבטיח את הפרטיות של קובצי התצורה של הטלפון.

השבתת שרת אינטרנט אופציונלית עבור טלפון

למטרות אבטחה, אתה יכול למנוע גישה לדפי האינטרנט של טלפון (המציגים נתונים סטטיסטיים תפעוליים שונים עבור הטלפון) ופורטל טיפול עצמי.

התקשות טלפון

אפשרויות אבטחה נוספות, שבהן אתה שולט מניהול Cisco Unified Communications Manager:

  • השבתת ARP ללא תשלום (GARP)
  • השבתת גישה לתפריט ההגדרות או מתן גישה מוגבלת
  • השבתת גישה לדפי אינטרנט של ניהול הטלפון
  • השבתת יציאת אביזרי Bluetooth
  • הגבלת צפני TLS

Secure SIP Failover עבור SRST

לאחר שתגדיר התייחסות ל-Survivable Remote Site Telephony (SRST) לאבטחה ולאחר מכן איפוס את ההתקנים התלויים ב-Cisco Unified Communications Manager Administration, שרת TFTP מוסיף את אישור ה-SRST לקובץ cnf.xml של הטלפון ושולח את הקובץ לטלפון. לאחר מכן, טלפון מאובטח משתמש בחיבור TLS כדי ליצור אינטראקציה עם הנתב התומך ב-SRST.

הצפנת איתות

מבטיח שכל הודעות איתות SIP שנשלחות בין ההתקן לשרת Cisco Unified Communications Manager מוצפנות.

אזעקת עדכון רשימת אמון

כאשר רשימת האמון מתעדכנת בטלפון, Cisco Unified Communications Manager מקבל אזעקה המציינת הצלחה או כישלון של העדכון. עיין בטבלה הבאה למידע נוסף.

AES 256 הצפנה

כאשר הם מחוברים ל-Cisco Unified Communications Manager Release 10.5(2) ואילך, הטלפונים תומכים בתמיכה בהצפנה של AES 256 עבור TLS ו-SIP עבור איתות והצפנת מדיה. זה מאפשר לטלפונים ליזום ולתמוך בחיבורי TLS 1.2 באמצעות צפנים מבוססי AES-256 התואמים לתקני SHA-2 (Secure Hash Algorithm) ותואמים לתקני עיבוד מידע פדרליים (FIPS). הצפנים כוללים:

  • עבור חיבורי TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • עבור sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

לפרטים נוספים, ראה תיעוד Cisco Unified Communications Manager.

תעודות אלגוריתם חתימה דיגיטלית של עקומה אליפטית (ECDSA).

כחלק מהסמכת Common Criteria (CC), Cisco Unified Communications Manager; הוסיפו תעודות ECDSA בגרסה 11.0. זה משפיע על כל מוצרי מערכת ההפעלה הקולית (VOS) המריצים CUCM 11.5 ואילך.

אישור Tomcat מרובה שרתים (SAN) עם Cisco UCM

הטלפון תומך Cisco UCM עם אישורי Tomcat מרובי שרתים (SAN) מוגדרים. ניתן למצוא את כתובת השרת הנכונה TFTP בקובץ ה-ITL של הטלפון לצורך רישום הטלפון.

לקבלת מידע נוסף אודות התכונה, עיין בנושאים הבאים:

הטבלה הבאה מכילה את הודעות האזעקה והמשמעות של עדכון רשימת האמון. לפרטים נוספים, ראה תיעוד Cisco Unified Communications Manager.

שולחן 2. הודעות אזעקה לעדכון רשימת אמון
קוד והודעה תיאור

1 - TL_SUCCESS

קיבל CTL ו/או ITL חדשים

2 - CTL_INITIAL_SUCCESS

קיבל CTL חדש, אין TL קיים

3 - ITL_INITIAL_SUCCESS

קיבל ITL חדש, אין TL קיים

4 - TL_INITIAL_SUCCESS

קיבלו CTL ו-ITL חדשים, ללא TL קיים

5 - TL_FAILED_OLD_CTL

עדכון ל-CTL חדש נכשל, אבל יש TL קודם

6 - TL_FAILED_NO_TL

העדכון ל-TL החדש נכשל, ואין להם TL ישן

7 - TL_FAILED

כשל גנרי

8 - TL_FAILED_OLD_ITL

עדכון ל-ITL חדש נכשל, אבל יש TL קודם

9 - TL_FAILED_OLD_TL

עדכון ל-TL חדש נכשל, אבל יש TL קודם

אבטחת שיחות טלפון

כאשר מיושמת אבטחה עבור טלפון, אתה יכול לזהות שיחות טלפון מאובטחות על ידי סמלים על מסך הטלפון. אתה יכול גם לקבוע אם הטלפון המחובר מאובטח ומוגן אם נשמע צליל אבטחה בתחילת השיחה.

בשיחה מאובטחת, כל איתות השיחות וזרמי המדיה מוצפנים. שיחה מאובטחת מציעה רמת אבטחה גבוהה, המעניקה שלמות ופרטיות לשיחה. כאשר שיחה מתבצעת מוצפנת, תוכל לראות את הסמל מאובטח סמל שיחה מאובטחת 9821 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית) על הקו.

  • אם השיחה מנותבת דרך רגלי שיחה שאינן IP, למשל, PSTN, השיחה עלולה להיות לא מאובטחת למרות שהיא מוצפנת בתוך רשת ה-IP ויש לה סמל מנעול המשויך אליה.

  • שיחות מאובטחות נתמכות עבור חיבורים בין שני טלפונים בלבד. תכונות מסוימות, כגון שיחות ועידה וקווים משותפים, אינן זמינות כאשר מוגדרת שיחות מאובטחות.

ב- Cisco Unified Communications Manager, ניתן להקצות לטלפונים המוגדרים כמאובטחים (מוצפנים ומהימנים) מצב מוגן. לאחר ההגנה, ניתן להגדיר מכשירים אלה כך שישמיעו צליל אבטחה בתחילת כל שיחה.

  • התקן מוגן:

    כדי לשנות את הסטטוס של טלפון מאובטח לטלפון מוגן:

    1. ב- Cisco Unified Communications Manager Administration, בחר התקן > טלפון.
    2. אתר את הטלפון שתגדיר.
    3. בחלון תצורת הטלפון, בחר בתיבת הסימון התקן מוגן.
    4. לחץ על שמור.
  • הפעל צליל חיווי מאובטח:

    כדי לאפשר לטלפון המוגן להשמיע צליל חיווי מאובטח או לא מאובטח:

    1. ב- Cisco Unified Communications Manager Administration, בחר פרמטרים של מערכת >שירות.
    2. בחר את השרת ולאחר מכן את שירות Cisco CallManager .
    3. באזור Clusterwide parameters (Feature - Secure Tone), הגדר את צליל ההשמעה כך שיציין את ההגדרה מצב שיחה מאובטחת/לא מאובטחת כ - True.
    4. לחץ על שמור.

זיהוי מאובטח של שיחת ועידה

אתה יכול ליזום שיחת ועידה מאובטחת ולנטר את רמת האבטחה של המשתתפים. שיחת ועידה מאובטחת נוצרת באמצעות תהליך זה:

  1. משתמש יוזם את הוועידה מטלפון מאובטח.

  2. Cisco Unified Communications Manager מקצה גשר ועידה מאובטח לשיחה.

  3. עם הוספת משתתפים, Cisco Unified Communications Manager מאמת את מצב האבטחה של כל טלפון ושומר על רמת האבטחה לוועידה.

  4. הטלפון מציג את רמת האבטחה של שיחת הועידה. שיחת ועידה מאובטחת מציגה את הסמל המאובטח סמל שיחה מאובטחת 9821 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית).

שיחות מאובטחות נתמכות בין שני טלפונים. עבור טלפונים מוגנים, תכונות מסוימות, כגון שיחות ועידה, קווים משותפים וניידות שלוחות, אינן זמינות כאשר מוגדרת שיחה מאובטחת.

הטבלה הבאה מספקת מידע על שינויים ברמות האבטחה של ועידה בהתאם לרמת האבטחה של הטלפון היוזם, רמות האבטחה של המשתתפים והזמינות של גשרי ועידה מאובטחים.

טבלה 3. הגבלות אבטחה עם שיחות ועידה

רמת אבטחת טלפון יוזם

תכונה בשימוש

רמת אבטחה של המשתתפים

תוצאות הפעולה

לא בטוח

שיחת ועידה

לבטח

גשר ועידות לא מאובטח

ועידה לא מאובטחת

לבטח

שיחת ועידה

לפחות חבר אחד אינו מאובטח.

גשר ועידות מאובטח

ועידה לא מאובטחת

לבטח

שיחת ועידה

לבטח

גשר ועידות מאובטח

ועידה ברמה מוצפנת מאובטחת

לא בטוח

Meet Me

רמת האבטחה המינימלית מוצפנת.

היוזם מקבל צליל הזמנה מחדש.

לבטח

Meet Me

רמת האבטחה המינימלית אינה מאובטחת.

גשר ועידות מאובטח

ועידה מקבלת את כל השיחות.

זיהוי שיחות טלפון מאובטח

שיחה מאובטחת נוצרת כאשר הטלפון שלך, והטלפון מהצד השני, מוגדרים לשיחות מאובטחות. הטלפון השני יכול להיות באותה רשת IP של Cisco, או ברשת מחוץ לרשת ה-IP. ניתן לבצע שיחות מאובטחות רק בין שני טלפונים. שיחות ועידה צריכות לתמוך בשיחה מאובטחת לאחר הגדרת גשר ועידה מאובטח.

שיחה מאובטחת נוצרת באמצעות תהליך זה:

  1. משתמש יוזם את השיחה מטלפון מאובטח (מצב אבטחה מאובטח).

  2. הטלפון מציג את סמל האבטחה סמל שיחה מאובטחת 9821 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית) במסך הטלפון. סמל זה מציין שהטלפון מוגדר לשיחות מאובטחות, אך אין זה אומר שגם הטלפון האחר המחובר מאובטח.

  3. המשתמש שומע צליל אבטחה אם השיחה מתחברת לטלפון מאובטח אחר, המציין ששני קצוות השיחה מוצפנים ומאובטחים. אם השיחה מתחברת לטלפון לא מאובטח, המשתמש לא שומע את צליל האבטחה.

שיחות מאובטחות נתמכות בין שני טלפונים. עבור טלפונים מוגנים, תכונות מסוימות, כגון שיחות ועידה, קווים משותפים וניידות שלוחות, אינן זמינות כאשר מוגדרת שיחה מאובטחת.

רק טלפונים מוגנים משמיעים צלילי חיווי מאובטחים או לא מאובטחים אלה. טלפונים לא מוגנים אף פעם לא משמיעים צלילים. אם סטטוס השיחה הכללי משתנה במהלך השיחה, צליל החיווי משתנה והטלפון המוגן משמיע את הצליל המתאים.

כאשר האפשרות 'צליל השמעה' לציון מצב שיחה מאובטחת/לא מאובטחת מוגדרת כ'נכון ':

  • כאשר נוצרת מדיה מאובטחת מקצה לקצה ומצב השיחה מאובטח, הטלפון משמיע את צליל החיווי המאובטח (שלושה צפצופים ארוכים עם הפסקות).

  • כאשר נוצרת מדיה לא מאובטחת מקצה לקצה ומצב השיחה אינו מאובטח, הטלפון משמיע את צליל החיווי הלא מאובטח (שישה צפצופים קצרים עם הפסקות קצרות).

אם האפשרות ' השמע צליל לציון מצב שיחה מאובטח/לא מאובטח' מוגדרת כ - False, לא יושמע צליל.

ספק הצפנה עבור דוברה

Cisco Unified Communications Manager בודקת את מצב האבטחה של הטלפון בעת הקמת ועידות ומשנה את חיווי האבטחה של הכנס או חוסמת את השלמת השיחה כדי לשמור על שלמות ואבטחה במערכת.

למשתמש אין אפשרות להצטרף לשיחה מוצפנת אם הטלפון המשמש לדוברה אינו מוגדר להצפנה. במקרה זה, כאשר דוברה נכשלת במקרה זה, מושמע צליל סידור מחדש (תפוס מהיר) בטלפון שבו הופעלה הדוברה.

אם הטלפון היוזם מוגדר להצפנה, יוזם הדוברה יכול להצטרף לשיחה לא מאובטחת מהטלפון המוצפן. לאחר התרחשות הדוברה, Cisco Unified Communications Manager מסווג את השיחה כלא מאובטחת.

אם הטלפון היוזם מוגדר להצפנה, יוזם הדוברה יכול להצטרף לשיחה מוצפנת, והטלפון מציין שהשיחה מוצפנת.

אבטחת רשת LAN אלחוטית

מכיוון שכל התקני ה-WLAN שנמצאים בטווח יכולים לקבל את כל תעבורת ה-WLAN האחרת, אבטחת תקשורת קולית היא קריטית ב-WLAN. כדי להבטיח שפורצים לא יבצעו מניפולציות ולא יירטו תעבורה קולית, ארכיטקטורת האבטחה Cisco SAFE תומכת בטלפון. לקבלת מידע נוסף אודות אבטחה ברשתות, ראה http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

פתרון הטלפוניה Cisco Wireless IP מספק אבטחת רשת אלחוטית המונעת כניסות לא מורשות ותקשורת בסכנה באמצעות שיטות האימות הבאות שבהן תומך הטלפון.

  • פתח את האימות: כל מכשיר אלחוטי יכול לבקש אימות במערכת פתוחה. ה-AP שמקבל את הבקשה רשאי להעניק אימות לכל מבקש או רק למבקשים שנמצאים ברשימת משתמשים. ייתכן שהתקשורת בין ההתקן האלחוטי לנקודת הגישה (AP) אינה מוצפנת.

  • אימות גמיש-פרוטוקול אימות מורחב באמצעות אימות מנהור מאובטח (EAP-FAST): ארכיטקטורת אבטחה זו של שרת-לקוח מצפינה טרנזקציות EAP בתוך מנהרת אבטחת רמת תעבורה (TLS) בין נקודת הגישה לשרת ה-RADIUS, כגון Identity Services Engine (ISE).

    מנהרת TLS משתמשת באישורי גישה מוגנת (PAC) לאימות בין הלקוח (טלפון) לשרת RADIUS. השרת שולח מזהה רשות (AID) ללקוח (טלפון), אשר בתורו בוחר את ה-PAC המתאים. הלקוח (טלפון) מחזיר PAC-Opaque לשרת RADIUS. השרת מפענח את ה-PAC עם המפתח הראשי. שתי נקודות הקצה מכילות כעת את מפתח PAC ונוצרת מנהרת TLS. EAP-FAST תומך בהקצאת PAC אוטומטית, אך עליך להפעיל אותה בשרת RADIUS.

    ב- ISE, כברירת מחדל, תוקפו של PAC פג בעוד שבוע. אם לטלפון יש PAC שפג תוקפו, האימות עם שרת RADIUS נמשך זמן רב יותר בזמן שהטלפון מקבל PAC חדש. כדי למנוע עיכובים בהקצאת PAC, הגדר את תקופת התפוגה של PAC ל-90 יום או יותר בשרת ISE או RADIUS.

  • אימות פרוטוקול הרחבה-שכבת תחבורה (EAP-TLS) אימות: EAP-TLS דורש אישור לקוח עבור אימות וגישה לרשת. עבור EAP-TLS אלחוטי, אישור הלקוח יכול להיות MIC, LSC, או אישור המותקן על-ידי המשתמש.

  • Protected Extensible Authentication Protocol (PEAP): סכימת אימות הדדי מבוססת סיסמאות קניינית של Cisco בין הלקוח (טלפון) לשרת RADIUS. הטלפון יכול להשתמש ב- PEAP לאימות עם הרשת האלחוטית. שתי שיטות אימות PEAP-MSCHAPV2 ו-PEAP-GTC נתמכות.

  • מפתח משותף מראש (PSK): הטלפון תומך בתבניות ASCII והקסדצימליות (HEX). עליך להשתמש בתבניות אלה בעת הגדרת מפתח משותף מראש של WPA2/SAE.

    ASCII: מחרוזת של תווי ASCII באורך של 8 עד 63 תווים (0-9, אותיות קטנות a-z, אותיות גדולות A-Z ותווים מיוחדים). לדוגמה,GREG123567@9ZX &W.

    HEX: מחרוזת בעלת תו HEX באורך 64 ספרות הקסדצימאליות (0-9, a-f או A-F).

סכימות האימות הבאות משתמשות בשרת RADIUS לניהול מפתחות אימות:

  • WPA2/WPA3: משתמש במידע שרת RADIUS כדי ליצור מפתחות ייחודיים לאימות. מכיוון שמפתחות אלה נוצרים בשרת ה-RADIUS המרכזי, WPA2/WPA3 מספק יותר אבטחה מאשר מפתחות משותפים מראש של WPA המאוחסנים ב-AP ובטלפון.

  • נדידה מאובטחת מהירה: משתמש בשרת RADIUS ובמידע של שרת תחום אלחוטי (WDS) לניהול ואימות מפתחות. ה-WDS יוצר מטמון של אישורי אבטחה עבור התקני לקוח התומכים ב-FT לצורך אימות מחדש מהיר ומאובטח.

עם WPA2/WPA3, מפתחות הצפנה אינם מוזנים בטלפון, אלא נגזרים באופן אוטומטי בין נקודת הגישה לטלפון. אבל יש להזין את שם המשתמש והסיסמה של EAP המשמשים לאימות בכל טלפון.

כדי לסייע בהגנה על תעבורת הקול דרך הקישור האלחוטי, הטלפון תומך בהצפנה מבוססת AES לאימות WPA2/WPA3. AES הוא צופן בלוקים סימטרי המתוקנן על ידי NIST. AES משתמש בגודל בלוק קבוע של 128 סיביות ותומך בגדלי מפתח של 128 סיביות, 192 סיביות ו- 256 סיביות. ברשתות Wi-Fi, AES משמש חבילות הצפנה כגון CCMP או GCMP, בעוד שהאימות מסופק בנפרד על ידי PSK, SAE או 802.1X/EAP, בהתאם למצב האבטחה WLAN שהוגדר. חבילת הצופן הנתמכת וגודל המפתח תלויים בדגם הטלפון ובתצורת WLAN.

כאשר הטלפון משתמש בהצפנת AES, הן מנות האיתות SIP והן מנות פרוטוקול תעבורה בזמן אמת (RTP) הקוליות מוצפנות בין נקודת הגישה לטלפון.

סכימות אימות והצפנה מוגדרות בתוך ה-LAN האלחוטי. רשתות VLAN מוגדרות ברשת וב-APs ומציינים שילובים שונים של אימות והצפנה. SSID משויך ל-VLAN ולסכימת האימות וההצפנה המסוימת. כדי שהתקני לקוח אלחוטיים יוכלו לבצע אימות מוצלח, עליך להגדיר את אותם מזהי SSID עם סכימות האימות וההצפנה שלהם בנקודות הגישה ובטלפון.

סכימות אימות מסוימות דורשות סוגים ספציפיים של הצפנה.

כאשר אתה משתמש במפתח טרום-שיתוף WPA2 או ב-SAE, המפתח הטרום-משותף חייב להיות מוגדר באופן סטטי בטלפון. מפתחות אלה חייבים להתאים למפתחות שנמצאים ב-AP.

ערכות האימות וההצפנה בטבלה הבאה מציגות את אפשרויות תצורת הרשת עבור Cisco Wireless Phone 9821 המתאים לתצורת נקודת גישה.

טבלה 4. ערכות אימות והצפנה
סוג FSRאימותניהול מפתחהצפנהמסגרת ניהול מוגנת (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESלא
802.11r (FT)WPA3

SAE

FT-SAE

AESכן
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESלא
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESכן
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESלא
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESכן
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESלא
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESכן
לא FTסוויטה BWPA-EAP-SUITE-BGCMPכן
לא FTסוויטה - B-192WPA-EAP-SUITE-B-192GCMPכן

הגדרת פרופיל Wi-Fi

באפשרותך להגדיר פרופיל Wi-Fi ולהקצות אותו לטלפון אלחוטי Cisco 9821. פרופיל זה מכיל את הפרמטרים הדרושים לטלפון כדי ליצור חיבור Wi-Fi ולאחר מכן להירשם עם Cisco Unified CM. בעת יצירת פרופיל Wi-Fi ושימוש בו, אינך צריך להגדיר את תצורת הרשת האלחוטית עבור טלפונים בודדים.

מומלץ להשתמש בפרופיל מאובטח עם הצפנת TFTP מופעלת כדי להגן על מפתחות וסיסמאות בעת שימוש בפרופיל Wi-Fi.

הטלפונים תומכים באישור שרת אחד לכל שיטת התקנה (ידני, SCEP או TFTP).

זכור את ההערות הבאות לפני שתגדיר את פרופיל ה-WLAN:

  • שם משתמש וסיסמא

    • כאשר הרשת שלך משתמשת ב-EAP-FAST ו-PEAP לאימות משתמש, עליך להגדיר הן את שם המשתמש והן את הסיסמה אם נדרשים ב-Remote Authentication Dial-In Service (RADIUS) ובטלפון.

    • האישורים שתזין בפרופיל ה-LAN האלחוטי חייבים להיות זהים לאישורים שהגדרת בשרת RADIUS.
    • אם אתה משתמש בדומיינים בתוך הרשת שלך, עליך להזין את שם המשתמש עם שם הדומיין, בפורמט: תחום\שם משתמש.

  • הפעולות הבאות עלולות לגרום לניקוי סיסמת ה-Wi-Fi הקיימת:

    • הזנת מזהה משתמש או סיסמה לא חוקיים
    • התקנת אישור בסיס לא חוקי או שפג תוקפו כאשר סוג EAP מוגדר ל-PEAP-MSCHAPV2 או PEAP-GTC
    • השבתת סוג EAP בשימוש בשרת RADIUS לפני העברת הטלפון לסוג EAP החדש
  • כדי לשנות את סוג EAP, ודא שאתה מפעיל את סוג EAP החדש בשרת RADIUS תחילה, ולאחר מכן העבר את הטלפון לסוג EAP. כאשר כל הטלפונים שונו לסוג EAP החדש, תוכל להשבית את סוג ה-EAP הקודם אם תרצה.
1

בניהול Cisco Unified Communications Manager, בחר התקן > הגדרות מכשיר > פרופיל LAN אלחוטי.

2

נְקִישָׁה הוסף חדש.

3

במקטע מידע פרופיל LAN אלחוטי, הגדר את הפרמטרים:

  • שם – הזן שם ייחודי לפרופיל Wi-Fi. שם זה מוצג בטלפון.

  • תיאור—הזן תיאור עבור פרופיל Wi-Fi שיעזור לך להבדיל פרופיל זה מפרופילי Wi-Fi אחרים.

  • ניתן לשינוי על-ידי המשתמש—בחר אפשרות:

    • מותר—מציין שהמשתמש יכול לבצע שינויים בהגדרות Wi-Fi מהטלפון שלו. אפשרות זו נבחרת כברירת מחדל.

    • לא מותר—מציין שלמשתמש אין אפשרות לבצע שינויים בהגדרות Wi-Fi בטלפון שלו.

    • מוגבל—מציין שהמשתמש יכול לשנות את שם המשתמש והסיסמה Wi-Fi בטלפון שלו. אך משתמשים אינם מורשים לבצע שינויים בהגדרות Wi-Fi אחרות בטלפון. כאשר הרשת שלך משתמשת ב- EAP-TLS לאימות משתמש, המשתמש יכול לבחור את סוג האישור (MIC, LSC או משתמש מותקן).

4

במקטע הגדרות אלחוטיות, הגדר את הפרמטרים:

  • SSID (שם רשת)—הזן את שם הרשת הזמין בסביבת המשתמש שאליה ניתן לחבר את הטלפון. שם זה מוצג תחת רשימת הרשתות הזמינות בטלפון והטלפון יכול להתחבר לרשת אלחוטית זו.

  • פס תדרים - האפשרויות הזמינות הן אוטומטי , 2.4 GHz ו - 5 GHz. שדה זה קובע את פס התדרים שבו משתמש החיבור האלחוטי. אם תבחר באפשרות אוטומטי, הטלפון ינסה להשתמש תחילה ברצועת התדרים 5 GHz או 6 GHz וישתמש ברצועת התדרים 2.4 GHz רק כאשר 5 GHz או 6 GHz אינם זמינים.

5

במקטע הגדרות אימות, הגדר את שיטת האימות לאחת משיטות האימות הבאות: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK וללא.

Cisco Wireless Phone 9821 אינו תומך ב- WEP.

לאחר הגדרת שדה זה, ייתכן שתראה שדות נוספים שעליך להגדיר.

  • אישור משתמש—נדרש עבור אימות EAP-TLS. בחר # MIC, LSC או משתמש מותקן. הטלפון דורש התקנה של אישור, באופן אוטומטי מה-SCEP או באופן ידני מדף הניהול בטלפון.

  • ביטוי סיסמה של PSK - נדרש עבור אימות PSK. הזן את ביטוי הסיסמה 8-63 תווים ASCII או 64 תווים הקסדצימליים.

  • ספק אישורים משותפים: נדרש עבור אימות EAP-FAST, PEAP-MSCHAPv2 ו-PEAP-GTC.

    • אם המשתמש מנהל את שם המשתמש והסיסמה, השאר את השדות שם משתמש וסיסמה ריקים.

    • אם כל המשתמשים שלך חולקים את אותו שם משתמש וסיסמה, באפשרותך להזין את המידע בשדות שם משתמש וסיסמה .

    • הזן תיאור בשדה תיאור סיסמה.

    אם עליך להקצות לכל משתמש שם משתמש וסיסמה ייחודיים, עליך ליצור פרופיל עבור כל משתמש.

Cisco טלפון אלחוטי 9821 אינו תומך בשדה פרופיל גישה לרשת.

6

לחץ על שמור.

מה לעשות בשלב הבא

אגד את פרופיל ה- LAN האלחוטי לקבוצת פרופילים WLAN ולאחר מכן החל את קבוצת הפרופילים WLAN על מאגר התקנים (מאגר מערכת >מכשיר ) או ישירות על הטלפון (התקן> טלפון).

התקנת אישור משתמש מדף האינטרנט של ניהול הטלפון

באפשרותך להתקין אישור משתמש בטלפון באופן ידני אם פרוטוקול Simple Certificate Enrollment Protocol (SCEP) אינו זמין.

ניתן להשתמש באישור היצרן המותקן מראש (MIC) כאישור המשתמש עבור EAP-TLS.

לאחר התקנת אישור המשתמש, עליך להוסיף את שרשרת CA שהנפיקה את אישור המשתמש לרשימת יחסי האמון של שרת RADIUS.

לפני שאתה מתחיל

לפני שתוכל להתקין אישור משתמש עבור טלפון, עליך להיות בעל:

  • תעודת משתמש שנשמרה במחשב האישי שלך. האישור חייב להיות בפורמט PKCS #12.

  • סיסמת החילוץ של האישור. אורך הסיסמה לא יעלה על 32 תווים.

1

מדף האינטרנט של ניהול הטלפון, בחר תעודות.

2

אתר את משתמש מותקן שדה ולחץ להתקין.

3

דפדף אל האישור במחשב האישי שלך.

4

בתוך ה חלץ סיסמה בשדה, הזן את סיסמת חילוץ האישור.

5

נְקִישָׁה העלה.

6

הפעל מחדש את הטלפון לאחר השלמת ההעלאה.

התקנת CA של שרת אימות מדף האינטרנט של ניהול הטלפון

באפשרותך להתקין באופן ידני CA של שרת אימות בטלפון אם פרוטוקול Simple Certificate Enrollment Protocol (SCEP) אינו זמין.

יש להתקין את אישור CA המשמש כבסיס שהנפיק את אישור שרת RADIUS.

לפני שאתה מתחיל

לפני שתוכל להתקין אישור בטלפון, עליך לשמור CA של שרת אימות במחשב. האישור חייב להיות מקודד ב-PEM (Base-64) או DER.

1

מדף האינטרנט של ניהול הטלפון, בחר תעודות.

2

אתר את שרת אימות CA שדה ולחץ להתקין.

3

דפדף אל האישור במחשב האישי שלך.

4

נְקִישָׁה העלה.

5

הפעל מחדש את הטלפון לאחר השלמת ההעלאה.

הסרה ידנית של אישור אבטחה מדף האינטרנט של ניהול הטלפון

אתה יכול להסיר באופן ידני אישור אבטחה מהטלפון אם פרוטוקול Simple Certificate Enrollment (SCEP) אינו זמין.

1

מדף האינטרנט של ניהול הטלפון, בחר תעודות.

2

אתר את האישור ב- תעודות עמוד.

3

נְקִישָׁה לִמְחוֹק.

4

הפעל מחדש את הטלפון לאחר סיום תהליך המחיקה.

הגדרת SCEP

Simple Certificate Enrollment Protocol ‏(SCEP) הוא התקן להקצאה וחידוש אוטומטיים של אישורים. הוא מונע התקנה ידנית של אישורים בטלפונים שלך.

הפעלת פרמטרי התצורה הספציפיים למוצר SCEP

עליך להגדיר את פרמטרי SCEP הבאים ב- Cisco Unified Communications Manager (Unified CM).

  • RA IP כתובת או שם מארח

  • טביעת אצבע SHA-1 או SHA-256 של אישור CA השורש עבור שרת SCEP

רשות הרישום של Cisco IOS (RA) משמשת כפרוקסי לשרת SCEP. לקוח SCEP בטלפון משתמש בפרמטרים שהורדו מ- Cisco Unified CM. לאחר קביעת התצורה של הפרמטרים, הטלפון שולח בקשת SCEP getcs ל-RA ואישור CA הבסיס מאומת באמצעות טביעת האצבע שהוגדרה.

1

מתוך Cisco Unified Communications Manager Administration, בחר מכשיר > טלפון.

2

אתר את הטלפון.

3

גלול אל ה- פריסת תצורה ספציפית למוצר אֵזוֹר.

4

בחר בתיבת הסימון WLAN SCEP Server כדי להפעיל את הפרמטר SCEP.

5

בחר בתיבת הסימון WLAN Root CA Fingerprint (SHA256 או SHA1) כדי להפעיל את הפרמטר SCEP QED.

תמיכה בשרת SCEP

אם אתה משתמש בשרת Simple Certificate Enrollment Protocol (SCEP), השרת יכול לתחזק באופן אוטומטי את אישורי המשתמש והשרת שלך. בשרת SCEP, הגדר את סוכן הרישום של SCEP (RA) כך:

  • פעל כנקודת אמון PKI

  • פעל בתור PKI RA

  • בצע אימות מכשיר באמצעות שרת RADIUS

למידע נוסף, עיין בתיעוד שרת SCEP שלך.

הגדר אישור מקומי משמעותי (LSC)

קיימות מספר שיטות להתקנת LSC. משימה לדוגמה זו חלה על הגדרת LSC עם שיטת מחרוזת האימות בטלפון אלחוטי Cisco 9821.

לפני שאתה מתחיל

ודא שתצורות האבטחה המתאימות Cisco Unified CM ו- certificate authority proxy function (CAPF) הושלמו.

  • לקובץ CTL או ITL יש אישור CAPF.

  • ב-Cisco Unified Communications Operating System Administration, ודא שאישור CAPF מותקן.

  • ה-CAPF פועל ומוגדר.

לקבלת מידע נוסף אודות הגדרות אלה, עיין בתיעוד עבור מהדורת Cisco Unified CM המסוימת שלך.

1

השג את מחרוזת האימות CAPF שהוגדרה בעת קביעת התצורה של CAPF.

2

בטלפון, גש אל הגדרות 9821 Settings app icon App.

3

בחר הגדרות מנהל> תצורת מערכת> אבטחה > LSC.

4

הזן את מחרוזת האימות.

5

לחץ עוד 9821 More button ובחר שלח.

הטלפון מתחיל להתקין, לעדכן או להסיר את ה-LSC, בהתאם לאופן תצורת ה-CAPF. כאשר ההליך הושלם, מותקן או לא מותקן יופיע בטלפון.

תהליך ההתקנה, העדכון או ההסרה של LSC עשוי להימשך זמן רב.

כאשר הליך התקנת הטלפון מצליח, ה מוּתקָן ההודעה מוצגת. אם הטלפון מוצג לא מותקן, ייתכן שמחרוזת ההרשאה אינה נכונה או שדרוג הטלפון אינו מופעל. אם פעולת CAPF מוחקת את ה-LSC, הטלפון יוצג לא מותקן כדי לציין שהמבצע הצליח. שרת CAPF רושם את הודעות השגיאה. עיין בתיעוד שרת CAPF כדי לאתר את היומנים וכדי להבין את המשמעות של הודעות השגיאה.

אימות 802.1X עבור רשתות קוויות

Cisco טלפון אלחוטי 9821 תומך באימות 802.1X עבור רשתות קוויות. בדרך כלל משתמשים בו במהלך הקצאה אוטומטית כאשר הטלפון מחובר למטען השולחני באמצעות מתאם USB-אל-Ethernet נתמך.

תמיכה באימות 802.1X ברשתות קוויות דורשת מספר רכיבים כדלקמן:

  • טלפון Cisco IP: הטלפון יוזם את הבקשה לגישה לרשת. טלפון Cisco IP כולל מבקש 802.1X. מבקש זה מאפשר למנהל מערכת רשת לשלוט בקישוריות של טלפונים IP ליציאות מתג LAN. מהדורת הגרסה הנוכחית מבקש 802.1X של הטלפון משתמש באפשרויות EAP-FAST ו-EAP-TLS לאימות רשת.

  • שרת אימות: שרת האימות והמתג חייבים להיות מוגדרים שניהם עם סוד משותף מסוג RADIUS.

  • מתג: המתג חייב לתמוך ב- 802.1X, כך שהוא יכול לפעול כמאמת ולהעביר את הודעות EAP בין הטלפון לשרת האימות. לאחר השלמת ההחלפה, המתג מעניק או דוחה את גישת הטלפון לרשת.

טלפונים של Cisco IP ומתגי Cisco Catalyst משתמשים באופן מסורתי ב-Cisco Discovery Protocol (CDP) כדי לזהות זה את זה ולקבוע פרמטרים כגון הקצאת VLAN ודרישות הספק מוטבעות.

עליך לבצע את הפעולות הבאות כדי להגדיר את התצורה של 802.1X.

  • הגדר CDP/LLDP מעקף קול VLAN.

  • הגדר את שרת האימות ואת המתג לפני שתפעיל אימות 802.1X עבור רשתות קוויות בטלפון.

  • הגדר את Voice VLAN: מכיוון שתקן 802.1X אינו מתייחס לרשתות VLAN, עליך להגדיר הגדרה זו בהתבסס על תמיכת המתגים.

    • מופעל: אם אתה משתמש במתג התומך באימות מרובה תחומים, באפשרותך להגדיר אותו לשימוש בקול VLAN.
    • נָכֶה: אם המתג אינו תומך באימות רב-דומיינים, השבת את ה-VLAN הקול ושקול להקצות את היציאה ל-VLAN המקורי.
  • Cisco טלפון אלחוטי 9821 יש קידומת שונה PID מזה עבור טלפונים Cisco אחרים. כדי לאפשר לטלפון לעבור אימות 802.1X, הגדר את הרדיוס· פרמטר שם משתמש כדי לכלול את הטלפון האלחוטי Cisco שלך 9821.

    לדוגמה, ה-PID של Cisco Wireless Phone 9821 הוא WP-9821. באפשרותך להגדיר רדיוס· שם משתמש להתחיל עם WP או מכיל WP בשני הסעיפים הבאים:

    • מדיניות > תנאים > תנאי הספרייה

    • מדיניות > ערכות מדיניות> מדיניות הרשאה> כלל הרשאה 1

הפעל אימות 802.1X עבור רשתות קוויות בטלפון שלך

בצע שלבים אלה כדי להפעיל אימות 802.1X עבור רשתות קוויות בטלפון שלך. שים לב שאימות 802.1X עבור Wi-Fi מופעל כברירת מחדל ואינו דורש קביעת תצורה ידנית.

1

גישה להגדרות 9821 Settings app icon App.

2

אם תתבקש, הזן את הסיסמה כדי לגשת לתפריט הגדרות . באפשרותך לקבל את הסיסמה ממנהל המערכת שלך.

3

בחר הגדרות מנהל> הגדרת אבטחה > אימות 802.1X.

4

סמן את אימות התקן ולחץ על מופעל.

הפעל אימות 802.1X עבור רשתות קוויות ב- Cisco Unified Communications Manager Administration

בצע שלבים אלה כדי להפעיל אימות 802.1X עבור רשתות קוויות ב- Cisco Unified CM. שים לב שאימות 802.1X עבור Wi-Fi מופעל כברירת מחדל ואינו דורש קביעת תצורה ידנית.

באפשרותך להציג את סטטוס העסקה והגדרות האבטחה בתפריט מסך הטלפון. לקבלת מידע נוסף, ראה תפריט הגדרות אבטחה בטלפון.

1

ב- Cisco Unified Communications Manager Administration, בחר מכשיר > טלפון.

2

אתר את הטלפון שתגדיר.

3

נווט לאזור פריסת תצורה ספציפית למוצר.

4

בחר מופעל מהתפריט הנפתח אימות 802.1x.

כאשר היא מוגדרת כמופעלת או מושבתת, אפשרות אימות ההתקן בטלפון אלחוטי Cisco 9821 הופכת לקריאה בלבד, ומונעת מהמשתמשים לשנות את הגדרות אימות 802.1X.

5

בחר שמור.

6

בחר החל תצורה.

תפריט הגדרות אבטחה בטלפון

כדי להציג את המידע אודות הגדרות האבטחה מתפריט הטלפון, גש אל הגדרות 9821 Settings app icon אפליקציה ובחר הגדרות מנהל> הגדרת אבטחה > אימות 802.1X . זמינות המידע תלויה בהגדרות הרשת בארגון שלך.

פרמטרים

אפשרויות

ברירת מחדל

תיאור

אימות מכשיר

מופעל

כבוי

כבוי

הפעלה או השבתה של אימות 802.1X בטלפון.

ניתן לשמור את הגדרת הפרמטר לאחר הרישום המוכן לשימוש (OOB) של הטלפון.

מצב פעולה

מושבת

מציג את המצב של אימות 802.1X. המדינה יכולה להיות (לא רק):

  • אימות – מציין שתהליך האימות מתבצע.
  • מאומת—מציין שהטלפון מאומת.
  • מושבת - מציין שאימות 802.1x מושבת בטלפון.
  • התחברות - מציין שהטלפון שולח הודעות הפעלה EAP למתג כל 30 שניות.
  • הושג—מציין שהמתג דחה את בקשת EAP של הטלפון והטלפון אינו מקבל אתגר EAP-TLS או EAP-FAST מהמתג. הטלפון מנסה שוב לשלוח בקשות EAP.
  • מנותק—מציין שכבל ה-Ethernet מנותק.
  • מוחזק—מציין שהמתג עיבד את בקשת EAP של הטלפון אך דחה את האימות EAP-FAST או EAP-TLS. הטלפון מנסה שוב לשלוח בקשות EAP.

פרוטוקול

ללא

מציג את השיטה EAP המשמשת לאימות 802.1X. הפרוטוקול יכול להיות EAP-FAST או EAP-TLS.

הגדר את הגירסאות הנתמכות של TLS

ניתן להגדיר את הגרסה המינימלית של TLS הנדרשת עבור לקוח ושרת בהתאמה.

כברירת מחדל, גירסת TLS המינימלית של השרת והלקוח היא גם 1.2. להגדרה יש השפעות על הפונקציות הבאות:

  • חיבור גישה לאינטרנט HTTPS
  • קליטה בטלפון מקומי
  • שירותי HTTPS, כגון, שירותי מדריך הכתובות
  • אבטחת שכבת תעבורה של Datagram (DTLS)
  • ישות גישה ליציאה (PAE)
  • אבטחת שכבת תעבורה של פרוטוקול אימות מורחב (EAP-TLS)

לקבלת מידע נוסף אודות תאימות TLS 1.3 עבור Cisco IP Phones, ראה TLS 1.3 תאימות Matrix for Cisco Collaboration Products.

1

ב- Cisco Unified Communications Manager Administration, בצע אחת מהפעולות הבאות לפי הצורך:

  • כדי להגדיר את כל הטלפונים שנפרסו, עבור אל תצורת טלפון מערכת > ארגון.
  • כדי להגדיר טלפונים החולקים את אותו פרופיל טלפון, עבור אל הגדרות מכשיר > מכשיר> פרופיל טלפון נפוץ.
  • כדי להגדיר טלפון בודד, עבור אל מכשיר > טלפון. לאחר מכן מצא את הטלפון ופתח את דף תצורת הטלפון.

התצורה עוקבת אחר מבנה היררכי:

  • הגדרות מכשיר בודדות מקבלות עדיפות על פני הגדרות בפרופיל הטלפון הנפוץ וברמת הארגון
  • הגדרות פרופיל טלפון נפוצות עוקפות הגדרות ברמת הארגון

2

הגדר את השדה TLS Client Min Version :

האפשרות TLS 1.3 זמינה ב- Cisco Unified CM 15SU2 ואילך.

  • TLS 1.1: לקוח TLS תומך בגרסאות של TLS מ-1.1 עד 1.3.

    אם גירסת TLS בשרת נמוכה מ- 1.1, לדוגמה, 1.0, לא ניתן ליצור את החיבור.

  • TLS 1.2 (בְּרִירַת מֶחדָל): לקוח TLS תומך ב-TLS 1.2 ו-1.3.

    אם גירסת TLS בשרת נמוכה מ- 1.2, לדוגמה, 1.1 או 1.0, לא ניתן ליצור את החיבור.

  • TLS 1.3: לקוח TLS תומך ב-TLS 1.3 בלבד.

    אם גירסת TLS בשרת נמוכה מ- 1.3, לדוגמה, 1.2, 1.1 או 1.0, לא ניתן ליצור את החיבור.

3

הגדר את השדה TLS Server Min Version :

  • TLS 1.1: שרת ה-TLS תומך בגרסאות של TLS מ-1.1 עד 1.3.

    אם גירסת TLS בלקוח נמוכה מ- 1.1, לדוגמה, 1.0, לא ניתן ליצור את החיבור.

  • TLS 1.2 (בְּרִירַת מֶחדָל): שרת ה-TLS תומך ב-TLS 1.2 ו-1.3.

    אם גירסת TLS בלקוח נמוכה מ- 1.2, לדוגמה, 1.1 או 1.0, לא ניתן ליצור את החיבור.

  • TLS 1.3: שרת ה-TLS תומך ב-TLS 1.3 בלבד.

    אם גירסת TLS בלקוח נמוכה מ- 1.3, לדוגמה, 1.2, 1.1 או 1.0, לא ניתן ליצור את החיבור.

4

לחץ על שמור.

5

לחץ על החל תצורה.

6

הפעל מחדש את הטלפונים.

TURN לכבות את הרמקול והאוזניות בטלפון אלחוטי Cisco 9821

יש לך את האפשרויות TURN לצמיתות את הרמקול והאוזניות בטלפון אלחוטי Cisco 9821 עבור המשתמש שלך. כיבוי יציאות שמע אלה מבטיח ששיחות לא יישמעו על-ידי אנשים אחרים בקרבת מקום, דבר חשוב בסביבות משרדיות משותפות או פתוחות.

1

ב- Cisco Unified Communications Manager Administration, בחר התקן > טלפון.

2

אתר את הטלפון שתגדיר.

3

נווט לאזור פריסת תצורה ספציפית למוצר.

4

סמן אחת או יותר מתיבות הסימון הבאות כדי TURN את יכולות הטלפון:

  • השבתת דיבורית
  • השבתת דיבורית ואוזניות

כברירת מחדל, תיבות סימון אלה אינן מסומנות.

5

בחר שמור.

6

בחר החל תצורה.

האם המאמר הועיל לך?
האם המאמר הועיל לך?