במאמר זה
dropdown icon
הגדרת אפשרויות DHCP
    DHCP תמיכה באפשרות
dropdown icon
אבטחת רשת LAN אלחוטית
    הגדרת פרופיל Wi-Fi
dropdown icon
אימות 802.1X עבור רשתות קוויות
    הפעל אימות 802.1X עבור רשתות קוויות בטלפון שלך
    הפעל אימות 802.1X עבור רשתות קוויות בדף האינטרנט של הטלפון
    תפריט הגדרות אבטחה בטלפון
שינוי סיסמאות המשתמש ומנהל המערכת
הגדר את גירסת TLS המינימלית עבור לקוח ושרת
הפעל מצב ייזום-לקוח עבור משא ומתן של אבטחת מישור מדיה
Cisco אבטחת טלפון אלחוטי 9821 (Multiplatform)
list-menuבמאמר זה
list-menuמשוב?

מאמר עזרה זה מיועד לטלפון אלחוטי Cisco 9821 הרשום Webex Calling.

הגדרת אפשרויות DHCP

ניתן להגדיר את הסדר שבו הטלפון משתמש באפשרויות DHCP. לקבלת עזרה עם אפשרויות DHCP, ראה תמיכה באפשרות DHCP.

1

גישה אל דף האינטרנט של ניהול הטלפון.

http://<ip כתובת>/admin/advanced

2

בחר קול > הקצאה.

3

במקטע פרופיל תצורה , הגדר את הפרמטר DHCP Option To Use . פרמטר זה מורכב מסדרה של אפשרויות DHCP, המופרדות באמצעות פסיקים, המשמשות לאחזור קושחה ופרופילים.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • בדף האינטרנט של הטלפון, הזן סידרה של אפשרויות DHCP, המופרדות באמצעות פסיקים.

ברירת מחדל: 66,160,159,150,60,43,125

4

לחץ על שלח את כל השינויים.

DHCP תמיכה באפשרות

הטבלה הבאה מפרטת את אפשרויות DHCP הנתמכות בטלפון אלחוטי Cisco 9821.

תקן הרשתתיאור
DHCP אפשרות 1מסיכת רשת משנה
DHCP אפשרות 2היסט זמן
DHCP אפשרות 3נתב
DHCP אפשרות 6שרת שם תחום
DHCP אפשרות 15שם דומיין
DHCP אפשרות 17נתיב שורש
DHCP אפשרות 41זמן החכרת כתובת IP
DHCP אפשרות 42שרת NTP
DHCP אפשרות 43מידע ספציפי לספק

ניתן להשתמש כדי לספק את תצורת SCEP.

DHCP אפשרות 56שרת NTP
DHCP אפשרות 60מזהה סיווג ספק
DHCP אפשרות 66שם שרת TFTP
DHCP אפשרות 125מידע מזהה-ספק ספציפי-לספק
DHCP אפשרות 150שרת TFTP
DHCP אפשרות 159IP שרת הקצאה
DHCP אפשרות 160כתובת URL להקצאה

אבטחת רשת LAN אלחוטית

מכיוון שכל התקני ה-WLAN שנמצאים בטווח יכולים לקבל את כל תעבורת ה-WLAN האחרת, אבטחת תקשורת קולית היא קריטית ב-WLAN. כדי להבטיח שפורצים לא יבצעו מניפולציות ולא יירטו תעבורה קולית, ארכיטקטורת האבטחה Cisco SAFE תומכת בטלפון. לקבלת מידע נוסף אודות אבטחה ברשתות, ראה http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

פתרון הטלפוניה Cisco Wireless IP מספק אבטחת רשת אלחוטית המונעת כניסות לא מורשות ותקשורת בסכנה באמצעות שיטות האימות הבאות שבהן תומך הטלפון.

  • פתח את האימות: כל מכשיר אלחוטי יכול לבקש אימות במערכת פתוחה. ה-AP שמקבל את הבקשה רשאי להעניק אימות לכל מבקש או רק למבקשים שנמצאים ברשימת משתמשים. ייתכן שהתקשורת בין ההתקן האלחוטי לנקודת הגישה (AP) אינה מוצפנת.

  • אימות גמיש-פרוטוקול אימות מורחב באמצעות אימות מנהור מאובטח (EAP-FAST): ארכיטקטורת אבטחה זו של שרת-לקוח מצפינה טרנזקציות EAP בתוך מנהרת אבטחת רמת תעבורה (TLS) בין נקודת הגישה לשרת ה-RADIUS, כגון Identity Services Engine (ISE).

    מנהרת TLS משתמשת באישורי גישה מוגנת (PAC) לאימות בין הלקוח (טלפון) לשרת RADIUS. השרת שולח מזהה רשות (AID) ללקוח (טלפון), אשר בתורו בוחר את ה-PAC המתאים. הלקוח (טלפון) מחזיר PAC-Opaque לשרת RADIUS. השרת מפענח את ה-PAC עם המפתח הראשי. שתי נקודות הקצה מכילות כעת את מפתח PAC ונוצרת מנהרת TLS. EAP-FAST תומך בהקצאת PAC אוטומטית, אך עליך להפעיל אותה בשרת RADIUS.

    ב- ISE, כברירת מחדל, תוקפו של PAC פג בעוד שבוע. אם לטלפון יש PAC שפג תוקפו, האימות עם שרת RADIUS נמשך זמן רב יותר בזמן שהטלפון מקבל PAC חדש. כדי למנוע עיכובים בהקצאת PAC, הגדר את תקופת התפוגה של PAC ל-90 יום או יותר בשרת ISE או RADIUS.

  • אימות פרוטוקול הרחבה-שכבת תחבורה (EAP-TLS) אימות: EAP-TLS דורש אישור לקוח עבור אימות וגישה לרשת. עבור EAP-TLS אלחוטי, אישור הלקוח יכול להיות MIC או אישור המותקן על-ידי המשתמש.

  • Protected Extensible Authentication Protocol (PEAP): סכימת אימות הדדי מבוססת סיסמאות קניינית של Cisco בין הלקוח (טלפון) לשרת RADIUS. הטלפון יכול להשתמש ב- PEAP לאימות עם הרשת האלחוטית. שתי שיטות אימות PEAP-MSCHAPV2 ו-PEAP-GTC נתמכות.

    כדי לתמוך באימות PEAP-GTC עבור טלפון אלחוטי Cisco 9821, הגדר את המדיניות הדרושה במסגרת ערכת המדיניות Cisco ISE.

  • מפתח משותף מראש (PSK): הטלפון תומך בתבניות ASCII והקסדצימליות (HEX). עליך להשתמש בתבניות אלה בעת הגדרת מפתח משותף מראש של WPA2/SAE.

    ASCII: מחרוזת של תווי ASCII באורך של 8 עד 63 תווים (0-9, אותיות קטנות a-z, אותיות גדולות A-Z ותווים מיוחדים). לדוגמה,GREG123567@9ZX &W.

    HEX: מחרוזת בעלת תו HEX באורך 64 ספרות הקסדצימאליות (0-9, a-f או A-F).

סכימות האימות הבאות משתמשות בשרת RADIUS לניהול מפתחות אימות:

  • WPA2/WPA3: משתמש במידע שרת RADIUS כדי ליצור מפתחות ייחודיים לאימות. מכיוון שמפתחות אלה נוצרים בשרת ה-RADIUS המרכזי, WPA2/WPA3 מספק יותר אבטחה מאשר מפתחות משותפים מראש של WPA המאוחסנים ב-AP ובטלפון.

  • נדידה מאובטחת מהירה: משתמש בשרת RADIUS ובמידע של שרת תחום אלחוטי (WDS) לניהול ואימות מפתחות. ה-WDS יוצר מטמון של אישורי אבטחה עבור התקני לקוח התומכים ב-FT לצורך אימות מחדש מהיר ומאובטח.

עם WPA2/WPA3, מפתחות הצפנה אינם מוזנים בטלפון, אלא נגזרים באופן אוטומטי בין נקודת הגישה לטלפון. אבל יש להזין את שם המשתמש והסיסמה של EAP המשמשים לאימות בכל טלפון.

כדי לסייע בהגנה על תעבורת הקול דרך הקישור האלחוטי, הטלפון תומך בהצפנה מבוססת AES לאימות WPA2/WPA3. AES הוא צופן בלוקים סימטרי המתוקנן על ידי NIST. AES משתמש בגודל בלוק קבוע של 128 סיביות ותומך בגדלי מפתח של 128 סיביות, 192 סיביות ו- 256 סיביות. ברשתות Wi-Fi, AES משמש חבילות הצפנה כגון CCMP או GCMP, בעוד שהאימות מסופק בנפרד על ידי PSK, SAE או 802.1X/EAP, בהתאם למצב האבטחה WLAN שהוגדר. חבילת הצופן הנתמכת וגודל המפתח תלויים בדגם הטלפון ובתצורת WLAN.

סכימות אימות והצפנה מוגדרות בתוך ה-LAN האלחוטי. רשתות VLAN מוגדרות ברשת וב-APs ומציינים שילובים שונים של אימות והצפנה. SSID משויך ל-VLAN ולסכימת האימות וההצפנה המסוימת. כדי שהתקני לקוח אלחוטיים יוכלו לבצע אימות מוצלח, עליך להגדיר את אותם מזהי SSID עם סכימות האימות וההצפנה שלהם בנקודות הגישה ובטלפון.

סכימות אימות מסוימות דורשות סוגים ספציפיים של הצפנה.

כאשר אתה משתמש במפתח טרום-שיתוף WPA2 או ב-SAE, המפתח הטרום-משותף חייב להיות מוגדר באופן סטטי בטלפון. מפתחות אלה חייבים להתאים למפתחות שנמצאים ב-AP.

ערכות האימות וההצפנה בטבלה הבאה מציגות את אפשרויות תצורת הרשת עבור טלפון אלחוטי Cisco 9821 המתאים לתצורת נקודת גישה.

טבלה 1. ערכות אימות והצפנה
סוג FSRאימותניהול מפתחהצפנהמסגרת ניהול מוגנת (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESלא
802.11r (FT)WPA3

SAE

FT-SAE

AESכן
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESלא
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESכן
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESלא
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESכן
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESלא
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESכן
לא FTסוויטה BWPA-EAP-SUITE-BGCMPכן
לא FTסוויטה - B-192WPA-EAP-SUITE-B-192GCMPכן

הגדרת פרופיל Wi-Fi

באפשרותך להגדיר פרופילי Wi-Fi מדף האינטרנט של ניהול הטלפון או באמצעות סנכרון מחדש של פרופיל התקן מרוחק. לאחר קביעת התצורה, באפשרותך לשייך פרופילים אלה לרשתות אלחוטיות זמינות כדי ליצור קישוריות. Cisco טלפון אלחוטי 9821 תומך בארבעה פרופילי Wi-Fi מוגדרים לכל היותר.

הפרופיל כולל את הפרמטרים הדרושים לטלפונים על מנת להתחבר לשרת הטלפון באמצעות Wi-Fi. בעת יצירת פרופיל Wi-Fi ושימוש בו, אינך צריך להגדיר את תצורת הרשת האלחוטית עבור טלפונים בודדים.

פרופיל Wi-Fi מאפשר לך למנוע או להגביל שינויים לתצורת ה-Wi-Fi בטלפון על-ידי המשתמש.

מומלץ להשתמש בפרופיל מאובטח עם פרוטוקולים התומכים בהצפנה כדי להגן על מפתחות וסיסמאות בעת שימוש בפרופיל Wi-Fi.

כאשר אתה מגדיר את הטלפונים לשימוש בשיטת האימות EAP-FAST במצב אבטחה, המשתמשים שלך זקוקים לאישורים אישיים כדי להתחבר לנקודת גישה.

1

עבור אל דף האינטרנט של הטלפון.

2

בחר קול > מערכת.

3

במקטע Wi-Fi פרופיל (n), הגדר את הפרמטרים כמתואר בטבלה הבאה פרמטרים עבור פרופיל Wi-Fi.

תצורת פרופיל Wi-Fi זמינה גם לכניסת המשתמש.
4

לחץ על שלח את כל השינויים.

פרמטרים עבור פרופיל Wi-Fi

הטבלה הבאה מגדירה את הפונקציה והשימוש של כל פרמטר במקטע Wi-Fi Profile(n) תחת System Tab בדף האינטרנט של הטלפון. זה גם מגדיר את התחביר של המחרוזת שמתווספת בקובץ התצורה של הטלפון (cfg.xml) כדי להגדיר פרמטר.

פרמטרתיאור
שם רשתמאפשר לך להזין שם עבור ה-SSID שיוצג בטלפון. פרופילים מרובים יכולים להיות בעלי שם רשת זהה עם מצבי אבטחה שונים.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Network_Name_1_ ua="rw">Cisco</Network_Name_1_>

  • בדף האינטרנט של הטלפון, הזן שם עבור SSID.

ברירת מחדל: ריק

מצב אבטחהמאפשר לך לבחור את שיטת האימות המשמשת לאבטחת גישה לרשת ה-Wi-Fi. בהתאם לשיטה שתבחר, יופיע שדה סיסמה כדי שתוכל לספק את האישורים הדרושים להצטרפות לרשת Wi-Fi זו.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- אפשרויות זמינות: |EAP-FAST|||PSK||אין|EAP-PEAP|EAP-TLS -->

  • בדף האינטרנט של הטלפון, בחר אחת מהשיטות:
    • EAP-FAST
    • PSK
    • ללא
    • EAP-PEAP
    • EAP-TLS

ברירת מחדל: ללא

מזהה משתמש של Wi-Fiמאפשר להזין מזהה משתמש לפרופיל הרשת.

שדה זה זמין בעת הגדרת מצב האבטחה כאוטומטי, EAP-FAST או EAP-PEAP. זהו שדה חובה והוא מאפשר אורך מרבי של 32 תווים אלפא נומריים.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • בדף האינטרנט של הטלפון, הזן ID משתמש עבור פרופיל הרשת.

ברירת מחדל: ריק

סיסמת Wi-Fiמאפשר לך להזין את הסיסמה עבור מזהה המשתמש של Wi-Fi שצוין.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • בדף האינטרנט של הטלפון, הזן סיסמה עבור המשתמש ID שהוספת.

ברירת מחדל: ריק

פס תדריםמאפשר לך לבחור את פס תדר האות האלחוטי עבור ה-WLAN.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Frequency_Band_1_ ua="rw">אוטומטי</Frequency_Band_1_>

  • בדף האינטרנט של הטלפון, בחר אחת מהאפשרויות:
    • אוטומטי
    • 2.4 GHz
    • 5 GHz או 6 GHz

ברירת מחדל: אוטומטי

בחר תעודהמאפשר לך לבחור סוג אישור עבור הרשמה ראשונית של אישור וחידוש אישור ברשת האלחוטית. תהליך זה זמין רק עבור אימות 802.1X.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Certificate_Select_1_ ua="rw">ייצור מותקן</Certificate_Select_1_>

  • בדף האינטרנט של הטלפון, בחר אחת מהאפשרויות:
    • ייצור מותקן
    • מותקן בהתאמה אישית

ברירת מחדל: ייצור מותקן

מצב בקרהקובע אם המשתמש רשאי להגדיר את פרופילי Wi-Fi.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Control_Mode_1_ ua="rw">Allow</Control_Mode_1_>

  • בדף האינטרנט של הטלפון, בחר אחת מהאפשרויות:
    • לאפשר
    • אסור
    • מוגבלת

ברירת מחדל: אפשר

לאפשרקובע אם הפרופיל Wi-Fi מופעל.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Enable_1_ ua="rw">כן</Enable_1_>

  • בדף האינטרנט של הטלפון, בחר אחת מהאפשרויות:
    • כן
    • לא

ברירת מחדל: כן

שם פרופילמאפשר לך להזין שם עבור הפרופיל שיוצג בטלפון.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <Profile_Name_1_ ua="rw">פרופיל 1</Profile_Name_1_>

  • בדף האינטרנט של הטלפון, הזן שם עבור הפרופיל.

ברירת מחדל: פרופיל 1

ביטוי סיסמה PSKמאפשר לך להזין את ביטוי הסיסמה של PSK כאשר מצב האבטחה מוגדר כ-PSK.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <PSK_Passphrase_1_ ua="rw">*************</PSK_Passphrase_1_>

  • בדף האינטרנט של הטלפון, הזן את ביטוי הסיסמה של PSK.

ברירת מחדל: אפשר

אימות 802.1X עבור רשתות קוויות

Cisco טלפון אלחוטי 9821 תומך באימות 802.1X עבור רשתות קוויות. בדרך כלל משתמשים בו במהלך הקצאה אוטומטית כאשר הטלפון מחובר למטען השולחני באמצעות מתאם USB-אל-Ethernet נתמך.

תמיכה באימות 802.1X ברשתות קוויות דורשת מספר רכיבים כדלקמן:

  • טלפון Cisco IP: הטלפון יוזם את הבקשה לגישה לרשת. טלפון Cisco IP כולל מבקש 802.1X. מבקש זה מאפשר למנהל מערכת רשת לשלוט בקישוריות של טלפונים IP ליציאות מתג LAN. מהדורת הגרסה הנוכחית מבקש 802.1X של הטלפון משתמש באפשרויות EAP-FAST ו-EAP-TLS לאימות רשת.

  • שרת אימות: שרת האימות והמתג חייבים להיות מוגדרים שניהם עם סוד משותף מסוג RADIUS.

  • מתג: המתג חייב לתמוך ב- 802.1X, כך שהוא יכול לפעול כמאמת ולהעביר את הודעות EAP בין הטלפון לשרת האימות. לאחר השלמת ההחלפה, המתג מעניק או דוחה את גישת הטלפון לרשת.

טלפונים של Cisco IP ומתגי Cisco Catalyst משתמשים באופן מסורתי ב-Cisco Discovery Protocol (CDP) כדי לזהות זה את זה ולקבוע פרמטרים כגון הקצאת VLAN ודרישות הספק מוטבעות.

עליך לבצע את הפעולות הבאות כדי להגדיר את התצורה של 802.1X.

  • הגדר CDP/LLDP מעקף קול VLAN.

  • הגדר את שרת האימות ואת המתג לפני שתפעיל אימות 802.1X עבור רשתות קוויות בטלפון.

  • הגדר את Voice VLAN: מכיוון שתקן 802.1X אינו מתייחס לרשתות VLAN, עליך להגדיר הגדרה זו בהתבסס על תמיכת המתגים.

    • מופעל: אם אתה משתמש במתג התומך באימות מרובה תחומים, באפשרותך להגדיר אותו לשימוש בקול VLAN.
    • נָכֶה: אם המתג אינו תומך באימות רב-דומיינים, השבת את ה-VLAN הקול ושקול להקצות את היציאה ל-VLAN המקורי.
  • Cisco טלפון אלחוטי 9821 יש קידומת שונה PID מזה עבור טלפונים Cisco אחרים. כדי לאפשר לטלפון לעבור אימות 802.1X, הגדר את הרדיוס· פרמטר שם משתמש כדי לכלול את הטלפון האלחוטי Cisco שלך 9821.

    לדוגמה, ה-PID של Cisco Wireless Phone 9821 הוא WP-9821. באפשרותך להגדיר רדיוס· שם משתמש להתחיל עם WP או מכיל WP בשני הסעיפים הבאים:

    • מדיניות > תנאים > תנאי הספרייה

    • מדיניות > ערכות מדיניות> מדיניות הרשאה> כלל הרשאה 1

הפעל אימות 802.1X עבור רשתות קוויות בטלפון שלך

בצע שלבים אלה כדי להפעיל אימות 802.1X עבור רשתות קוויות בטלפון שלך. שים לב שאימות 802.1X עבור Wi-Fi מופעל כברירת מחדל ואינו דורש קביעת תצורה ידנית.

1

גישה להגדרות 9821 Settings app icon App.

2

אם תתבקש, הזן את הסיסמה כדי לגשת לתפריט הגדרות . באפשרותך לקבל את הסיסמה ממנהל המערכת שלך.

3

בחר הגדרות מנהל> הגדרת אבטחה> אימות 802.1X.

4

סמן את אימות התקן ולחץ על מופעל.

הפעל אימות 802.1X עבור רשתות קוויות בדף האינטרנט של הטלפון

כאשר אימות 802.1X עבור רשתות קוויות מופעל, הטלפון משתמש באימות 802.1X כדי לבקש גישה לרשת מיציאת Ethernet LAN. כאשר אימות 802.1X עבור רשתות קוויות מושבת, הטלפון משתמש ב- Cisco Discovery Protocol (CDP) כדי להשיג VLAN וגישה לרשת. שים לב שאימות 802.1X עבור Wi-Fi מופעל כברירת מחדל ואינו דורש קביעת תצורה ידנית.

באפשרותך לבחור אישור (MIC/SUDI או CDC) המשמש לאימות 802.1X. לקבלת מידע נוסף אודות CDC, ראה אישור התקן מותאם אישית בטלפון אלחוטי Cisco 9821.

באפשרותך להציג את סטטוס העסקה והגדרות האבטחה בתפריט מסך הטלפון. לקבלת מידע נוסף, ראה תפריט הגדרות אבטחה בטלפון.

1

הפעל אימות 802.1X.

בחר קול > מערכת. במקטע אימות 802.1X, הגדר את הפרמטר הפוך אימות 802.1X לזמין ככן .

ניתן בנוסף להגדיר פרמטר זה בקובץ התצורה (cfg.xml):

<Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>

ערכים חוקיים: כן| לא

ברירת מחדל: לא

2

במקטע אימות 802.1X, בחר אחד מהאישורים המותקנים הבאים המשמשים לאימות 802.1X מהרשימה הנפתחת בחירת אישורים.

אפשרויות ערך:

  • ייצור מסופק: MIC/SUDI.
  • מותאם אישית מותקן: אישור התקן מותאם אישית (CDC).

ניתן בנוסף להגדיר פרמטר זה בקובץ התצורה (cfg.xml):

<Certificate_Select ua="rw">מותאם אישית מותקן</Certificate_Select>

ערכים חוקיים: ייצור מותקן|מותקן בהתאמה אישית

ברירת מחדל: ייצור מותקן

3

הגדר את הפרמטר User ID שישמש כזהות עבור אימות 802.1X ברשת הקווית.

תצורה זו חלה רק כאשר אתה משתמש באישור התקן מותאם אישית (CDC) עבור אימות קווי 802.1X, כאשר בחירת אישור מוגדרת כמותאמת אישית מותקן.

ניתן בנוסף להגדיר פרמטר זה בקובץ התצורה (cfg.xml):

<Wired_User_ID ua="na"></Wired_User_ID>

ערכים חוקיים: 127 תווים לכל היותר

ברירת מחדל: ריק

פרמטר זה תומך גם במשתני הרחבת מאקרו, ראה משתני הרחבת מאקרו לקבלת פרטים.

אם ברצונך להקצות את ID המשתמש באמצעות שילוב עם אפשרויות DHCP, ראה הקצאת משתמש ID דרך DHCP אפשרות 15.

4

לחץ על שלח את כל השינויים.

תפריט הגדרות אבטחה בטלפון

כדי להציג את המידע אודות הגדרות האבטחה מתפריט הטלפון, גש אל הגדרות 9821 Settings app icon אפליקציה ובחר הגדרות מנהל> הגדרת אבטחה > אימות 802.1X . זמינות המידע תלויה בהגדרות הרשת בארגון שלך.

פרמטרים

אפשרויות

ברירת מחדל

תיאור

אימות מכשיר

מופעל

כבוי

כבוי

הפעלה או השבתה של אימות 802.1X בטלפון.

ניתן לשמור את הגדרת הפרמטר לאחר הרישום המוכן לשימוש (OOB) של הטלפון.

מצב פעולה

מושבת

מציג את המצב של אימות 802.1X. המדינה יכולה להיות (לא רק):

  • אימות – מציין שתהליך האימות מתבצע.
  • מאומת—מציין שהטלפון מאומת.
  • מושבת - מציין שאימות 802.1x מושבת בטלפון.
  • התחברות - מציין שהטלפון שולח הודעות הפעלה EAP למתג כל 30 שניות.
  • הושג—מציין שהמתג דחה את בקשת EAP של הטלפון והטלפון אינו מקבל אתגר EAP-TLS או EAP-FAST מהמתג. הטלפון מנסה שוב לשלוח בקשות EAP.
  • מנותק—מציין שכבל ה-Ethernet מנותק.
  • מוחזק—מציין שהמתג עיבד את בקשת EAP של הטלפון אך דחה את האימות EAP-FAST או EAP-TLS. הטלפון מנסה שוב לשלוח בקשות EAP.

פרוטוקול

ללא

מציג את שיטת EAP המשמשת לאימות 802.1X. הפרוטוקול יכול להיות EAP-FAST או EAP-TLS.

סוג אישור משתמש

ייצור מותקן

מותקן בהתאמה אישית

ייצור מותקן

בחירת האישור עבור אימות 802.1X במהלך ההרשמה הראשונית וחידוש האישור.

  • ייצור מותקן—נעשה שימוש במזהה המכשיר הייחודי המאובטח (SUDI).
  • מותקן בהתאמה אישית - נעשה שימוש באישור ההתקן המותאם אישית (CDC). ניתן להתקין אישור מסוג זה או על ידי העלאה ידנית בדף האינטרנט של הטלפון או על ידי התקנה משרת Simple Certificate Enrollment Protocol (SCEP).

פרמטר זה מופיע בטלפון רק כאשר אימות מכשיר מופעל.

שינוי סיסמאות המשתמש ומנהל המערכת

בעת רישום ראשוני במערכת בקרת שיחות או לאחר איפוס להגדרות יצרן, עליך להגדיר הן סיסמאות משתמש והן סיסמאות מנהל מערכת בעת הגישה הראשונה לדף האינטרנט של ניהול הטלפון. באפשרותך לעדכן אישורים אלה בכל עת כדי לשמור על אבטחת המכשיר.

כללי סיסמה חוקיים כוללים:

  • הסיסמה חייבת להכיל לפחות 8 עד 127 תווים.
  • שילוב (שלושה מתוך ארבעת הסוגים) של אות רישית, אות קטנה קטנה, מספר ותו מיוחד.
  • חל איסור על מקום.
1

גישה אל דף האינטרנט של ניהול הטלפון.

2

בחר קול > מערכת.

3

(אופציונלי) במקטע תצורת מערכת, הגדר את הפרמטר הצגת אזהרות סיסמה ככן ולאחר מכן לחץ עלשלח את כל השינויים .

אתה יכול גם להפעיל את הפרמטרים בקובץ התצורה של הטלפון (cfg.xml).

<Display_Password_Warnings ua="na">כן</Display_Password_Warnings>

ברירת מחדל: כן

אפשרויות: כן|לא

אם הפרמטר מוגדר לא , אזהרת הסיסמה לא תופיע במסך הטלפון.

4

אתר את הפרמטר User Password או Admin Password, ולחץ על Change Password לצד הפרמטר.

5

הזן את סיסמת המשתמש הנוכחית בשדה Old Password..

6

הזן סיסמה חדשה בשדה New Password..

אם הסיסמה החדשה אינה עומדת בכללי הסיסמה החוקית, ההגדרה תידחה.

7

לחץ על שלח.

ההודעה סיסמה has been changed successfully.תוצג בדף האינטרנט. דף האינטרנט ירוענן תוך מספר שניות.

לאחר הגדרת סיסמת המשתמש, פרמטר זה מציג את הדברים הבאים בקובץ ה-XML של תצורת הטלפון (cfg.xml):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

הגדר את גירסת TLS המינימלית עבור לקוח ושרת

כברירת מחדל, גרסת TLS המינימלית עבור לקוח ושרת היא 1.2. משמעות הדבר היא כי הלקוח והשרת מסכימים ליצור חיבורים עם TLS 1.2 ומעלה. הגירסה המרבית הנתמכת של TLS עבור לקוח ושרת היא 1.3. לאחר התצורה, גרסת ה-TLS המינימלית תשמש למשא ומתן בין לקוח ה-TLS לשרת ה-TLS.

ניתן להגדיר את הגרסה המינימלית של TLS עבור הלקוח והשרת בהתאמה, כגון 1.1, 1.2 או 1.3.

לפני שאתה מתחיל

ודא ששרת TLS תומך בגירסת TLS המינימלית שהוגדרה. באפשרותך להתייעץ עם מנהל המערכת של בקרת השיחות.

1

גישה אל דף האינטרנט של ניהול הטלפון.

2

בחר קול > מערכת.

3

במקטע הגדרות אבטחה, הגדר את הפרמטר TLS גירסת מינימום לקוח.

  • TLS 1.1: לקוח TLS תומך בגרסאות של TLS מ-1.1 עד 1.3.

    אם גירסת TLS בשרת נמוכה מ- 1.1, לא ניתן ליצור את החיבור.

  • TLS 1.2 (בְּרִירַת מֶחדָל): לקוח TLS תומך ב-TLS 1.2 ו-1.3.

    אם גירסת TLS בשרת נמוכה מ- 1.2, לדוגמה, 1.1, לא ניתן ליצור את החיבור.

  • TLS 1.3: לקוח TLS תומך ב-TLS 1.3 בלבד.

    אם גירסת TLS בשרת נמוכה מ- 1.3, לדוגמה, 1.2 או 1.1, לא ניתן ליצור את החיבור.

    אם ברצונך להגדיר את הפרמטר "TLS Client Min Version" ל- "TLS 1.3", ודא שצד השרת תומך ב- TLS 1.3. אם צד השרת אינו תומך ב- TLS 1.3, הדבר עלול לגרום לבעיות קריטיות. לדוגמה, לא ניתן לבצע את פעולות הקצאת המשאבים בטלפונים.

ניתן בנוסף להגדיר פרמטר זה בקובץ התצורה (cfg.xml):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

ערכים מותרים: TLS 1.1, TLS1.2 ו- TLS 1.3.

ברירת מחדל: TLS 1.2.

4

בסעיף הגדרות אבטחה, הגדר את הפרמטר TLS גירסת Min של שרת.

Webex Calling אינו תומך TLS 1.1.

  • TLS 1.1: שרת ה-TLS תומך בגרסאות של TLS מ-1.1 עד 1.3.

    אם גירסת TLS בלקוח נמוכה מ- 1.1, לא ניתן ליצור את החיבור.

  • TLS 1.2 (בְּרִירַת מֶחדָל): שרת ה-TLS תומך ב-TLS 1.2 ו-1.3.

    אם גירסת TLS בלקוח נמוכה מ- 1.2, לדוגמה, 1.1, לא ניתן ליצור את החיבור.

  • TLS 1.3: שרת ה-TLS תומך ב-TLS 1.3 בלבד.

    אם גירסת TLS בלקוח נמוכה מ- 1.3, לדוגמה, 1.2 או 1.1, לא ניתן ליצור את החיבור.

ניתן בנוסף להגדיר פרמטר זה בקובץ התצורה (cfg.xml):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

ערכים מותרים: TLS 1.1, TLS1.2 ו- TLS 1.3.

ברירת מחדל: TLS 1.2.

5

לחץ על שלח את כל השינויים.

הפעל מצב ייזום-לקוח עבור משא ומתן של אבטחת מישור מדיה

כדי להגן על מושבי מדיה, באפשרותך להגדיר את הטלפון כך שיזום משא ומתן לאבטחת מישור מדיה עם השרת. מנגנון האבטחה פועל בהתאם לתקנים המצוינים ב-RFC 3329 וטיוטת ההרחבה שלו, שמות מנגנוני אבטחה עבור מדיה (ראה https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). תעבורת המשא ומתן בין הטלפון לשרת יכולה להשתמש בפרוטוקול SIP על-גבי UDP, TCP, ו-TLS. ניתן להגביל את החלת משא ומתן אבטחת מישור מדיה כאשר פרוטוקול תעבורת איתות הןא TLS.

טבלה 2. פרמטרים למשא ומתן ביטחוני במישור התקשורת
פרמטרתיאור

בקשת MediaSec

מציין אם הטלפון יוזם משא ומתן של אבטחת מישור מדיה עם השרת.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <MediaSec_Request_1_ ua="na">כן</MediaSec_Request_1_>
  • בממשק האינטרנט של הטלפון, הגדר שדה זה במצב כן או לא כפי הנדרש.

ערכים מותרים: כן|לא

  • כן - מצב יזום על ידי לקוח. הטלפון יוזם משא ומתן של אבטחת מישור מדיה.
  • לא — מצב יזום על-ידי שרת. השרת יוזם משא ומתן של אבטחת מישור מדיה. הטלפון לא יוזם משא ומתן, אבל יכול לטפל בבקשות משא ומתן מהשרת כדי ליצור שיחות מאובטחות.

ברירת מחדל: לא

MediaSec Over TLS בלבד

מציין את פרוטוקול תעבורת איתות שבו מוחל משא ומתן על אבטחת מישור מדיה.

לפני הגדרת שדה זה למצב כן, ודא שפרוטוקול תעבורת איתות במצב TLS.

בצע אחת מהפעולות הבאות:

  • בקובץ התצורה של הטלפון הכולל XML(cfg.xml), הזן מחרוזת בתבנית הבאה:

    <MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>

  • בממשק האינטרנט של הטלפון, הגדר שדה זה במצב כן או לא כפי הנדרש.

ערכים מותרים: כן|לא

  • כן - הטלפון יוזם או מטפל במשא ומתן של אבטחת מישור מדיה רק כאשר פרוטוקול תעבורת איתות הוא במצב TLS.
  • לא — הטלפון יוזם ומטפל במשא ומתן של אבטחת מישור מדיה ללא קשר לפרוטוקול תעבורת איתות.

ברירת מחדל: לא

1

גישה אל דף האינטרנט של ניהול הטלפון.

2

בחר קול > Ext(n).

3

במקטע SIP הגדרות , הגדר את השדות MediaSec Request ו - MediaSec Over TLS Only כפי שהוגדרו בטבלה לעיל.

4

לחץ על שלח את כל השינויים.

האם המאמר הועיל לך?
האם המאמר הועיל לך?