U ovome članku
dropdown icon
Konfiguriranje mogućnosti DHCP
    Podrška za DHCP mogućnosti
dropdown icon
Bežična LAN sigurnost
    Postavljanje profila Wi-Fi
dropdown icon
802.1X Provjera autentičnosti za žičane mreže
    Omogućivanje provjere autentičnosti 802.1X za ožičene mreže na telefonu
    Omogući provjeru autentičnosti 802.1X za ožičene mreže na web-stranici telefona
    Izbornik sigurnosnih postavki na telefonu
Promjena korisničkih i administratorskih lozinki
Postavljanje minimalne verzije TLS za klijenta i poslužitelj
Omogući način rada koji pokreće klijent za pregovore o sigurnosti medijskog aviona
Cisco Bežični telefon 9821 sigurnost (Multiplatform)
list-menuU ovome članku
list-menuŽelite li poslati povratne informacije?

Ovaj članak pomoći odnosi se na Cisco bežični telefon 9821 registriran na Webex Calling.

Konfiguriranje mogućnosti DHCP

Možete postaviti redoslijed korištenja opcija DHCP. Pomoć za mogućnosti DHCP potražite u podršci za #DHCP mogućnosti.

1

Pristupite web stranici administracije telefona.

http://<ip adresa>/admin/napredno

2

Odaberite Glas > Dodjeljivanje resursa.

3

U odjeljku Konfiguracijski profil postavite parametar DHCP Option To Use . Ovaj paramter sastoji se od niza DHCP opcija, razgraničenih zarezima, koje se koriste za dohvaćanje firmvera i profila.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • Na web-stranici telefona unesite niz mogućnosti DHCP, razgraničene zarezima.

Zadano: 66,160,159,150,60,43,125

4

Kliknite Pošalji sve promjene.

Podrška za DHCP opcije

U sljedećoj su tablici navedene mogućnosti DHCP podržane na Cisco bežičnom telefonu 9821.

Mrežni standardOpis
DHCP opcija 1Maska podmreže
DHCP opcija 2Pomak vremena
DHCP opcija 3Usmjerivač
DHCP opcija 6Poslužitelj naziva domene
DHCP opcija 15Naziv domene
DHCP opcija 17Korijenski put
DHCP opcija 41IP adresa vrijeme najma
DHCP opcija 42NTP poslužitelj
DHCP opcija 43Podaci specifični za dobavljača

Može se koristiti za konfiguraciju SCEP-a.

DHCP opcija 56NTP poslužitelj
DHCP opcija 60Identifikator klase dobavljača
DHCP opcija 66TFTP naziv poslužitelja
DHCP opcija 125Podaci specifični za dobavljača
DHCP opcija 150TFTP poslužitelj
DHCP opcija 159Poslužitelj dodjele resursa IP
DHCP opcija 160URL dodjele resursa

Bežična LAN sigurnost

Budući da svi uređaji WLAN-a koji su u dometu mogu primati sav drugi WLAN promet, osiguravanje glasovne komunikacije je nužno u WLAN-ovima. Kako uljezi ne bi manipulirali niti presreli glasovni promet, arhitektura Cisco SAFE Security podržava telefon. Dodatne informacije o sigurnosti u mrežama potražite u članku http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Rješenje Cisco bežične IP telefonije pruža sigurnost bežične mreže koja sprječava neovlaštene prijave i ugroženu komunikaciju pomoću sljedećih metoda provjere autentičnosti koje telefon podržava.

  • Otvori provjeru autentičnosti: svaki bežični uređaj može zatražiti provjeru autentičnosti u otvorenom sustavu. AP koji prima zahtjev može odobriti provjeru autentičnosti svakom tražitelju ili samo tražiteljima koji se nalaze na popisu korisnika. Komunikacija između bežičnog uređaja i pristupne točke (AP) može biti nešifrirana.

  • Proširivi protokol provjere autentičnosti – fleksibilna provjera autentičnosti putem sigurnog tuneliranja (EAP-FAST) Provjera autentičnosti: Ova sigurnosna arhitektura klijent-poslužitelj šifrira EAP transakcije unutar tunela Transport Level Security (TLS) između AP-a i RADIUS poslužitelja, kao što je Identity Services Engine (ISE).

    Tunel TLS upotrebljava Vjerodajnice za zaštićeni pristup (engl. Protected Access Credential, PAC) za provjeru autentičnosti između klijenta (telefona) i poslužitelja RADIUS. Poslužitelj šalje ID ovlaštenja (engl. Authority ID, AID) klijentu (telefon), što zauzvrat odabire odgovarajući PAC. Klijent (telefon) vraća neproziran PAC poslužitelju RADIUS-u. Poslužitelj primarnim ključem dešifrira PAC. Obje krajnje točke sada sadrže ključ PAC i stvara se TLS tunel. EAP-FAST podržava automatsku dodjelu PAC-a, ali ga morate omogućiti na poslužitelju RADIUS-u.

    U ISE-u, prema zadanim postavkama, PAC istječe za tjedan dana. Ako telefon ima istekli PAC, provjera autentičnosti na poslužitelju RADIUS traje dulje dok telefon dobije novi PAC. Kako biste izbjegli kašnjenja pri dodjeli PAC-ova, postavite razdoblje trajanja PAC-a na 90 dana ili dulje na ISE-u ili poslužitelju RADIUS.

  • Protokol proširene provjere autentičnosti – Sigurnost na razini prijenosa (engl. Extensible Authentication Protocol-Transport Layer Security, EAP-TLS) za provjeru autentičnosti: EAP-TLS zahtijeva certifikat klijenta za provjeru autentičnosti i pristup mreži. Za bežičnu EAP-TLS certifikat klijenta može biti MIC ili certifikat koji je instalirao korisnik.

  • Protokol za zaštićenu proširenu provjeru autentičnosti (engl. Protected Extensible Authentication Protocol, PEAP): Vlasnička shema tvrtke Cisco uzajamne provjere autentičnosti temeljena na lozinci između klijenta (telefona) i poslužitelja RADIUS. Telefon može koristiti PEAP za provjeru autentičnosti s bežičnom mrežom. Podržani su i PEAP-MSCHAPV2 i PEAP-GTC načini provjere autentičnosti.

    Da biste podržali PEAP-GTC autentifikaciju za Cisco bežični telefon 9821, konfigurirajte potrebna pravila unutar skupa pravila Cisco ISE.

  • Unaprijed dijeljeni ključ (PSK): telefon podržava formate ASCII i heksadecimalne (HEX). Te oblike morate koristiti prilikom postavljanja unaprijed dijeljenog ključa WPA2/SAE.

    ASCII: Niz ASCII znakova duljine od 8 do 63 znaka (0-9, mala slova a-z, velika slova A-Z i posebni znakovi). Na primjer,GREG123567@9ZX &W.

    HEX: HEX-znakovni niz sa 64 šesterokutne znamenke duljine (0-9, a-f ili A-F).

Sheme provjere autentičnosti u nastavku upotrebljavaju poslužitelj RADIUS za upravljanje ključevima za provjeru autentičnosti:

  • WPA2/WPA3: upotrebljava podatke poslužitelja RADIUS za stvaranje jedinstvenih ključeva za provjeru autentičnosti. Budući da se ovi ključevi stvaraju na središnjem poslužitelju RADIUS, WPA2/WPA3 pruža više sigurnosti nego unaprijed dijeljeni ključevi WPA pohranjeni na AP-u i telefonu.

  • Brz i siguran roaming: upotrebljava poslužitelj RADIUS i podatke o poslužitelju bežične domene (engl. wireless domain server, WDS) za upravljanje i provjeru autentičnosti ključeva. WDS stvara predmemoriju sigurnosnih vjerodajnica za klijentske uređaje s omogućenim FT-om za brzu i sigurnu ponovnu provjeru autentičnosti.

Uz WPA2/WPA3 ključevi za šifriranje ne unose se na telefon, već se automatski izvode između AP-a i telefona. No, EAP korisničko ime i lozinka koji se upotrebljavaju za provjeru autentičnosti moraju biti unesene u svaki telefon.

Da bi zaštitio glasovni promet putem bežične veze, telefon podržava šifriranje temeljeno na AES-u za WPA2/WPA3 provjeru autentičnosti. AES je simetrična šifra bloka standardizirana od strane NIST-a. AES koristi fiksnu 128-bitnu veličinu bloka i podržava veličine ključeva od 128 bita, 192 bita i 256 bita. U Wi-Fi mrežama AES koriste paketi šifri kao što su CCMP ili GCMP, dok provjeru autentičnosti zasebno pružaju PSK, SAE ili 802.1X/EAP, ovisno o konfiguriranom WLAN sigurnosnom načinu rada. Podržani paket šifri i veličina ključa ovise o modelu telefona i konfiguraciji WLAN.

Provjera autentičnosti i sheme šifriranja postavljeni su unutar bežičnog LAN-a. VLAN-ovi su konfigurirani u mreži i na AP-ovima i određuju različite kombinacije provjere autentičnosti i šifriranja. SSID se povezuje s VLAN-om i određenom shemom za provjeru autentičnosti i šifriranje. Da bi bežični klijentski uređaji uspješno provjerili autentičnost, morate konfigurirati iste SSID-ove s njihovim shemama provjere autentičnosti i šifriranja na AP-ovima i na telefonu.

Neke sheme za provjeru autentičnosti zahtijevaju određene vrste šifriranja.

Kada koristite unaprijed dijeljeni ključ WPA2 ili SAE, unaprijed dijeljeni ključ mora biti statički postavljen na telefonu. Ovi ključevi moraju se poklapati s ključevima koji se nalaze na AP-u.

Sheme provjere autentičnosti i šifriranja u sljedećoj tablici prikazuju mogućnosti mrežne konfiguracije za Cisco bežični telefon 9821 koje odgovaraju AP konfiguraciji.

Tablica 1. Sheme za provjeru autentičnosti i šifriranje
Vrsta FSRProvjeru autentičnostiUpravljanje ključevimaŠifriranjeZaštićeni okvir upravljanja (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNe
802.11r (FT)WPA3

SAE

FT-SAE

AESDa
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa
ne-FTSuite-BWPA-EAP-SUITE-BGCMPDa
ne-FTApartman-B-192WPA-EAP-SUITE-B-192GCMPDa

Postavljanje profila Wi-Fi

Profile Wi-Fi možete konfigurirati s web-stranice administracije telefona ili putem ponovne sinkronizacije profila udaljenog uređaja. Nakon konfiguriranja, te profile možete povezati s dostupnim bežičnim mrežama kako biste uspostavili povezivost. Cisco bežični telefon 9821 podržava maksimalno četiri konfigurirana Wi-Fi profila.

Profil sadrži parametre potrebne telefonima za povezivanje s poslužiteljem telefona s Wi-Fi-jem. Kada stvarate i koristite profil Wi-Fi, vi ili vaši korisnici ne morate konfigurirati bežičnu mrežu za pojedinačne telefone.

Wi-Fi profil omogućuje vam da sprječavanje ili ograničavanje promjena u Wi-Fi konfiguraciji na telefonu od strane korisnika.

Preporučujemo da koristite sigurni profil s protokolima omogućenim za šifriranje za zaštitu ključeva i lozinki kada koristite profil Wi-Fi.

Prilikom postavljanja telefona za korištenje metode provjere autentičnosti EAP-FAST u sigurnosnom načinu rada, korisnicima su potrebne pojedinačne vjerodajnice za povezivanje s pristupnom točkom.

1

Pristupite web-stranici telefona.

2

Odaberite Glas > Sustav.

3

U odjeljku Wi-Fi Profil (n), postavite parametre kako je opisano u sljedećoj tablici Parametri za Wi-Fi profil.

Konfiguracija Wi-Fi profila dostupna je i za prijavu korisnika.
4

Kliknite Pošalji sve promjene.

Parametri za Wi-Fi profil

Sljedeća tablica definira funkciju i korištenje svakog parametra u odjeljku Wi-Fi Profile(n) u odjeljku System Tab na web-stranici telefona. Također definira sintaksu niza koji se dodaje u konfiguracijsku datoteku telefona (cfg.XML) za konfiguriranje parametra.

ParametarOpis
Naziv mrežeOmogućuje vam da unesete naziv za SSID koji će se prikazati na telefonu. Više profila može imati isti naziv mrežne s različitim načinom sigurnosti.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <Network_Name_1_ ua="rw">Cisco</Network_Name_1_>

  • Na web-stranici telefona unesite naziv za pogrešku SSID.

Zadano: prazno

Sigurnosni način radaOmogućuje vam da odaberite metodu ovjere koja se koristi za siguran pristup Wi-Fi mreži. Ovisno o metodi koju odaberete, pojavit će se polje lozinke kako biste mogli unijeti vjerodajnice potrebne za pridruživanje ovoj mreži Wi-Fi.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- dostupne mogućnosti: |EAP-FAST|||PSK||Ništa|EAP-PEAP|EAP-TLS -->

  • Na web-stranici telefona odaberite jednu od metoda:
    • EAP-FAST
    • PSK
    • Ništa
    • EAP-PEAP
    • EAP-TLS

Zadano: Ništa

Wi-Fi Korisnički IDOmogućuje vam da upišete ID korisnika za mrežni profil.

Ovo je polje dostupno kada način sigurnosti postavite na automatski, EAP-FAST ili EAP-PEAP. To je obavezno polje i omogućuje maksimalnu duljinu od 32 alfanumerička znaka.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Na web-stranici telefona unesite korisnika ID za mrežni profil.

Zadano: prazno

Wi-Fi lozinkaOmogućuje vam unos lozinke za navedeni korisnički ID za Wi-Fi.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Na web-stranici telefona unesite lozinku za korisnika ID koji ste dodali.

Zadano: prazno

Frekvencijski opsegOmogućuje vam da odaberete frekvenciju bežičnog signala kojom se koristi WLAN.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Na web-stranici telefona odaberite jednu od mogućnosti:
    • Auto
    • 2,4 GHz
    • 5 GHz ili 6 GHz

Zadano: automatski

Odabir certifikataOmogućuje vam odabir vrste certifikata za početnu prijavu certifikata i obnovu certifikata u bežičnoj mreži. Taj je postupak dostupan samo za provjeru autentičnosti 802.1X.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <Certificate_Select_1_ ua="rw">Instalirana proizvodnja</Certificate_Select_1_>

  • Na web-stranici telefona odaberite jednu od mogućnosti:
    • Instalirana proizvodnja
    • Prilagođeno instalirano

Zadana: instalirana proizvodnja

Način upravljanjaKontrolira smije li korisnik konfigurirati profile Wi-Fi.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <Control_Mode_1_ ua="rw">Dopusti</Control_Mode_1_>

  • Na web-stranici telefona odaberite jednu od mogućnosti:
    • Dopustiti
    • Odbijena
    • Ograničena

Zadano: dopusti

OmogućitiKontrolira je li omogućen profil Wi-Fi.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <Enable_1_ ua="rw">Da</Enable_1_>

  • Na web-stranici telefona odaberite jednu od mogućnosti:
    • Da
    • Ne

Zadana: da

Naziv profilaOmogućuje vam unos naziva profila koji će se prikazivati na telefonu.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <Profile_Name_1_ ua="rw">Profil 1</Profile_Name_1_>

  • Na web-stranici telefona unesite naziv profila.

Zadano: Profil 1

PSK pristupni izrazOmogućuje vam unos PSK pristupnog izraza kada je sigurnosni način rada postavljen na PSK.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <PSK_Passphrase_1_ ua="rw">*************</PSK_Passphrase_1_>

  • Na web-stranici telefona unesite PSK pristupni izraz.

Zadano: dopusti

802.1X Provjera autentičnosti za žičane mreže

Cisco bežični telefon 9821 podržava provjeru autentičnosti 802.1X za žičane mreže. To se obično koristi tijekom automatskog dodjeljivanja resursa kada je telefon povezan s stolnim punjačem putem podržanog adaptera USB-to-Ethernet.

Podrška za provjeru autentičnosti 802.1X na žičanim mrežama zahtijeva nekoliko komponenti kako slijedi:

  • Cisco IP telefoni: telefon inicira zahtjev za pristup mreži. Cisco IP telefoni sadrže alt za slanje zamolbe u protokolu 802.1X Ovaj alat za slanje zamolbe omogućuje administratorima mreže kontrolu povezanosti IP telefona s LAN ulazima za prespajanje. Trenutačno izdanje alata za slanje zamolbe u protokolu 802.1X telefona upotrebljava mogućnosti EAP-FAST i EAP-TLS za provjeru autentičnosti mreže.

  • Poslužitelj za provjeru autentičnosti: Poslužitelj za provjeru autentičnosti i skretnica moraju biti konfigurirani s zajedničkom tajnom RADIUS-a.

  • Prekidač: skretnica mora podržavati 802.1X kako bi mogla djelovati kao autentifikator i prenositi poruke EAP između telefona i poslužitelja za provjeru autentičnosti. Nakon dovršetka razmjene, prespojnik odobrava ili odbija odobriti pristup telefona mreži.

Cisco IP telefoni i prespojnici Cisco Catalyst uobičajeno upotrebljavaju Cisco protokol za otkrivanje (engl. Cisco Discovery Protocol, CDP) kako bi identificirali jedni druge i utvrditi parametre kao što su alokacija VLAN-a i zahtjevi za linijsko napajanje.

Kako biste konfigurirali protokol 802.1X, morate izvršiti radnje navedene u nastavku.

  • Konfigurirajte CDP/LLDP glas VLAN zaobiđi.

  • Konfigurirajte poslužitelj za provjeru autentičnosti i skretnicu prije omogućivanja provjere autentičnosti 802.1X za ožičene mreže na telefonu.

  • Konfiguriranje Glasovnog VLAN-a: Budući da standard 802.1X ne računa na VLAN-ove, trebali biste konfigurirati ovu postavku na temelju podrške prespojnika.

    • Omogućeno: ako koristite skretnicu koja podržava provjeru autentičnosti više korisnika, možete je konfigurirati tako da koristi glas VLAN.
    • Onemogućeno: ako prespojnik ne podržava provjeru autentičnosti višestukih domena, onemogućite glasovni VLAN i razmislite o dodjeljivanju ulaza izvornom VLAN-u.
  • Cisco bežični telefon 9821 ima drugačiji prefiks u PID-u od onog za ostale Cisco telefone. Da biste telefonu omogućili prolazak provjere autentičnosti 802.1X, postavite radij· Parametar korisničkog imena koji uključuje vaš Cisco bežični telefon 9821.

    Na primjer, PID Cisco bežičnog telefona 9821 je WP-9821. Možete postaviti radijus· Korisničko ime za početak s WP ili sadrži WP u oba sljedeća odjeljka:

    • Uvjeti > Uvjeti > Uvjeti biblioteke

    • Pravila > Skupovi pravila> Pravila autorizacije> Pravilo autorizacije 1

Omogućivanje provjere autentičnosti 802.1X za ožičene mreže na telefonu

Slijedite ove korake da biste omogućili provjeru autentičnosti 802.1X za ožičene mreže na telefonu. Imajte na umu da je provjera autentičnosti 802.1X za Wi-Fi omogućena prema zadanim postavkama i da ne zahtijeva ručnu konfiguraciju.

1

Pristup postavkama 9821 Settings app icon App.

2

Ako se to od vas zatraži, unesite lozinku za pristup izborniku Postavke . Lozinku možete dobiti od administratora.

3

Odaberite Administratorske postavke > Sigurnosno postavljanje > 802.1X provjera autentičnosti.

4

Označite provjeru autentičnosti uređaja i pritisnite Uključeno.

Omogući provjeru autentičnosti 802.1X za ožičene mreže na web-stranici telefona

Kada je omogućena provjera autentičnosti 802.1X za žičane mreže, telefon koristi provjeru autentičnosti 802.1X kako bi zatražio pristup mreži iz Ethernet LAN priključka. Kada je onemogućena provjera autentičnosti 802.1X za ožičene mreže, telefon koristi Cisco Discovery Protocol (CDP) za pribavljanje VLAN i pristup mreži. Imajte na umu da je provjera autentičnosti 802.1X za Wi-Fi omogućena prema zadanim postavkama i ne zahtijeva ručnu konfiguraciju.

Možete odabrati certifikat (MIC/SUDI ili CDC) koji se koristi za provjeru autentičnosti 802.1X. Dodatne informacije o CDC-u potražite u odjeljku Prilagođeni certifikat uređaja na Cisco bežičnom telefonu 9821.

Status transakcije i sigurnosne postavke možete pregledati na izborniku zaslona telefona. Dodatne informacije potražite u odjeljku Izbornik sigurnosnih postavki na telefonu.

1

Omogućite provjeru autentičnosti 802.1X.

Odaberite Glas > Sustav. U odjeljku 802.1X provjera autentičnosti postavite parametar Omogući provjeru autentičnosti 802.1X na Da.

Ovaj parametar možete konfigurirati i u konfiguracijskoj datoteci (cfg.XML):

<Enable_802.1X_Authentication ua="rw">Da</Enable_802.1X_Authentication>

Dopuštene vrijednosti: Da|Ne

Zadano: Ne

2

U odjeljku 802.1X Provjera autentičnosti odaberite jedan od sljedećih instaliranih certifikata korištenih za provjeru autentičnosti 802.1X s padajućeg popisa Odabir certifikata .

Mogućnosti vrijednosti:

  • Instalirana proizvodnja: MIC/SUDI.
  • Prilagođeno instalirano: Prilagođeni certifikat uređaja (CDC).

Ovaj parametar možete konfigurirati i u konfiguracijskoj datoteci (cfg.XML):

<Certificate_Select ua="rw">Custom instaliran</Certificate_Select>

Valjane vrijednosti: Instalirana proizvodnja|Prilagođeno instalirano

Zadana: instalirana proizvodnja

3

Konfigurirajte parametar Korisnik ID koji će se koristiti kao identitet za provjeru autentičnosti 802.1X u ožičenoj mreži.

Ta se konfiguracija primjenjuje samo kada koristite prilagođeni certifikat uređaja (CDC) za ožičenu provjeru autentičnosti 802.1X, pri čemu je odabir certifikata postavljen na Prilagođeno.

Ovaj parametar možete konfigurirati i u konfiguracijskoj datoteci (cfg.XML):

<Wired_User_ID ua="na"></Wired_User_ID>

Valjane vrijednosti: najviše 127 znaka

Zadano: prazno

Ovaj parametar također podržava varijable proširenja makronaredbe, pogledajte Varijable proširenja makronaredbe za detalje.

Ako korisniku ID želite dodijeliti resurse koristeći kombinaciju s opcijama DHCP, pogledajte Dodjela resursa korisniku ID putem opcije DHCP 15.

4

Kliknite Pošalji sve promjene.

Izbornik sigurnosnih postavki na telefonu

Za pregled informacija o sigurnosnim postavkama s izbornika telefona pristupite Postavkama 9821 Settings app icon i odaberite Administratorske postavke > Postavljanje sigurnosti> 802.1X provjera autentičnosti. Dostupnost informacija ovisi o mrežnim postavkama u vašoj tvrtki ili ustanovi.

Parametri

Mogućnosti

Zadano

Opis

Autentifikacija uređaja

Uključi

Off

Off

Omogućuje ili onemogućuje provjeru autentičnosti 802.1X na telefonu.

Postavka parametra može se zadržati nakon registracije telefona Out-Of-Box (OOB).

Status transakcije

Onemogućeni

Prikazuje stanje provjere autentičnosti 802.1X. Država može biti (ne ograničavajući se na):

  • Provjera autentičnosti – pokazuje da je postupak provjere autentičnosti u tijeku.
  • Autentificirana – označava da je telefon autentificiran.
  • Onemogućeno – znači da je na telefonu onemogućena provjera autentičnosti 802.1x.
  • Povezivanje – naznačuje da telefon šalje EAP početne poruke na prebacivanje svakih 30 sekundi.
  • Dohvaćeno – znači da je skretnica odbila zahtjev telefona EAP i da telefon ne prima EAP-TLS ili EAP-FAST izazov od prekidača. Telefon ponovno pokušava poslati zahtjev EAP.
  • Prekinuta veza – ukazuje na to da je Ethernet kabel odspojen.
  • Zadržano – označava da je skretnica obradila zahtjev telefona EAP, ali je odbila provjeru autentičnosti EAP-FAST ili EAP-TLS. Telefon ponovno pokušava poslati zahtjeve za EAP.

Protokol

Ništa

Prikazuje metodu EAP koja se koristi za provjeru autentičnosti 802.1X. Protokol može biti EAP-FAST ili EAP-TLS.

Vrsta korisničkog certifikata

Instalirana proizvodnja

Prilagođeno instalirano

Instalirana proizvodnja

Odabire certifikat za provjeru autentičnosti 802.1X tijekom početnog upisa i obnovu certifikata.

  • Instalirana proizvodnja – koristi se sigurni jedinstveni identifikator uređaja (SUDI).
  • Prilagođeno instalirano – koristi se certifikat prilagođenog uređaja (CDC). Ova vrsta certifikata može se instalirati bilo ručnim prijenosom na web-stranicu telefona ili instalacijom s poslužitelja protokola Simple Certificate Enrollment Protocol (SCEP).

Ovaj parametar pojavljuje se na telefonu samo kada je omogućena provjera autentičnosti uređaja.

Promjena korisničkih i administratorskih lozinki

Nakon početne registracije sa sustavom upravljanja pozivima ili nakon vraćanja na tvorničke postavke, morate konfigurirati i korisničke i administratorske lozinke prilikom prvog pristupa web stranici administracije telefona. Te vjerodajnice možete ažurirati u bilo kojem trenutku kako biste održali sigurnost uređaja.

Valjana pravila lozinke uključuju sljedeće:

  • Lozinka mora sadržavati između 8 i 127 znakova.
  • Kombinacija (tri od četiri vrste) velikog slova, malog donjeg slova, broja i posebnog znaka.
  • Prostor nije dopušten.
1

Pristupite web stranici administracije telefona.

2

Odaberite Glas > Sustav.

3

(Neobavezno) U odjeljku Konfiguracija sustava postavite parametar Display Password Warnings na Da , a zatim kliknitePošalji sve promjene .

Parametre možete omogućiti i u konfiguracijskoj datoteci telefona (usp.XML).

<Display_Password_Warnings ua="na">Da</Display_Password_Warnings>

Zadana: da

Mogućnosti: Da|Ne

Ako je parametar postavljen na Ne, upozorenje o lozinki ne pojavljuje se na zaslonu telefona.

4

Pronađite parametar Korisnička lozinka ili administratorska lozinka, a zatim kliknite Promijeni lozinku pokraj parametra.

5

Unesite trenutnu korisničku lozinku u polje Stara lozinka .

6

Unesite novu lozinku u polje Nova lozinka .

Ako nova lozinka ne zadovoljava važeća pravila lozinke, postavka će biti odbijena.

7

Kliknite Pošalji.

Na web-stranici prikazat će se poruka Lozinka je uspješno promijenjena. Web-stranica će se osvježiti za nekoliko sekundi.

Nakon što postavite korisničku lozinku, ovaj parametar prikazuje sljedeće u datoteci XML konfiguracije telefona (usp.XML):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Postavljanje minimalne verzije TLS za klijenta i poslužitelj

Prema zadanim postavkama minimalna verzija TLS za klijenta i poslužitelj je 1.2. To znači da klijent i poslužitelj prihvaćaju uspostavljanje veza s TLS 1.2 ili novijim. Podržana maksimalna verzija TLS za klijenta i poslužitelj je 1.3. Kada je konfigurirana, minimalna verzija TLS koristit će se za pregovore između TLS klijenta i TLS poslužitelja.

Možete postaviti minimalnu verziju TLS za klijenta odnosno poslužitelj, kao što su 1.1, 1.2 ili 1.3.

Prije nego što počnete

Provjerite podržava li poslužitelj TLS minimalnu konfiguriranu verziju TLS. Možete se posavjetovati s administratorom sustava kontrole poziva.

1

Pristupite web stranici administracije telefona.

2

Odaberite Glas > Sustav.

3

U odjeljku Sigurnosne postavke konfigurirajte parametar TLS Client Min Version.

  • TLS 1.1: Klijent TLS podržava verzije TLS od 1.1 do 1.3.

    Ako je verzija TLS na poslužitelju manja od 1.1, veza se ne može uspostaviti.

  • TLS 1.2 (zadano): TLS klijent podržava TLS 1.2 i 1.3.

    Ako je verzija TLS na poslužitelju niža od 1.2, na primjer, 1.1, tada se veza ne može uspostaviti.

  • TLS 1.3: Klijent TLS podržava samo TLS 1.3.

    Ako je verzija TLS na poslužitelju niža od 1.3, na primjer, 1.2 ili 1.1, tada se veza ne može uspostaviti.

    Ako želite postaviti parametar "TLS Client Min Version" na "TLS 1.3", provjerite podržava li strana poslužitelja TLS 1.3. Ako poslužiteljska strana ne podržava TLS 1.3, to bi moglo uzrokovati kritične probleme. Na primjer, operacije dodjele resursa ne mogu se izvoditi na telefonima.

Ovaj parametar možete konfigurirati i u konfiguracijskoj datoteci (cfg.XML):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Dopuštene vrijednosti: TLS 1.1, TLS1.2 i TLS 1.3.

Zadana vrijednost: TLS 1.2

4

U odjeljku Sigurnosne postavke konfigurirajte parametar TLS Min verzija poslužitelja.

Webex Calling ne podržava TLS 1.1.

  • TLS 1.1: Poslužitelj TLS podržava verzije TLS od 1.1 do 1.3.

    Ako je verzija TLS u klijentu niža od 1.1, veza se ne može uspostaviti.

  • TLS 1.2 (zadano): poslužitelj TLS podržava TLS 1.2 i 1.3.

    Ako je verzija TLS u klijentu niža od 1.2, na primjer, 1.1, tada se veza ne može uspostaviti.

  • TLS 1.3: Poslužitelj TLS podržava samo TLS 1.3.

    Ako je verzija TLS u klijentu niža od 1.3, na primjer, 1.2 ili 1.1, tada se veza ne može uspostaviti.

Ovaj parametar možete konfigurirati i u konfiguracijskoj datoteci (cfg.XML):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Dopuštene vrijednosti: TLS 1.1, TLS1.2 i TLS 1.3.

Zadana vrijednost: TLS 1.2

5

Kliknite Pošalji sve promjene.

Omogući način rada koji pokreće klijent za pregovore o sigurnosti medijskog aviona

Da biste zaštitili medijske sesije, možete konfigurirati telefon za pokretanje pregovora o sigurnosti medijske ravnine s poslužiteljem. Sigurnosni mehanizam slijedi standarde navedene u RFC 3329 i njegov nacrt proširenja Nazivi sigurnosnih mehanizama za medije (See https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Prijenos pregovora između telefona i poslužitelja može koristiti SIP protokol putem UDP, TCP, i TLS. Možete ograničiti da se pregovaranje o sigurnosti medijske ravnine primjenjuje samo kada je protokol signalnog prijenosa TLS.

Stol 2. Parametri za pregovore o sigurnosti medijske ravnine
ParametarOpis

MediaSec zahtjev

Određuje pokreće li telefon pregovore o sigurnosti medijske ravnine s poslužiteljem.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <MediaSec_Request_1_ ua="na">Da</MediaSec_Request_1_>
  • U telefonskom web-sučelju postavite ovo polje na Da ili Ne po potrebi.

Dopuštene vrijednosti: da | ne

  • Da – način rada koji pokreće klijent. Telefon pokreće pregovore o sigurnosti medijskog zrakoplova.
  • Ne – način rada koji pokreće poslužitelj. Poslužitelj pokreće pregovore o sigurnosti medijske ravnine. Telefon ne pokreće pregovore, ali može obraditi zahtjeve za pregovaranje s poslužitelja kako bi uspostavio sigurne pozive.

Zadano: Ne

MediaSec samo preko TLS

Određuje protokol signalizacijskog prijenosa na koji se primjenjuju pregovori o sigurnosti medijskih zrakoplova.

Prije postavljanja ovog polja na Da, provjerite je li protokol signalizacije TLS.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <MediaSec_Over_TLS_Only_1_ ua="na">Ne</MediaSec_Over_TLS_Only_1_>

  • U telefonskom web-sučelju postavite ovo polje na Da ili Ne po potrebi.

Dopuštene vrijednosti: da | ne

  • Da – telefon pokreće ili vodi pregovore o sigurnosti medijske ravnine samo kada je protokol signalnog prijenosa TLS.
  • Ne – telefon pokreće i vodi pregovore o sigurnosti medijske ravnine bez obzira na protokol signalizacijskog prijenosa.

Zadano: Ne

1

Pristupite web stranici administracije telefona.

2

Odaberite Glas > Kućni(n).

3

U odjeljku SIP postavke postavite polja MediaSec Request i MediaSec Over TLS Only kako je definirano u gornjoj tablici.

4

Kliknite Pošalji sve promjene.

Je li taj članak bio koristan?
Je li taj članak bio koristan?