Ebben a cikkben
dropdown icon
DHCP beállítások konfigurálása
    DHCP opció támogatás
dropdown icon
Vezeték nélküli LAN biztonság
    Wi-Fi profil beállítása
dropdown icon
802.1X hitelesítés vezetékes hálózatokhoz
    802.1X hitelesítés engedélyezése vezetékes hálózatokhoz a telefonon
    802.1X hitelesítés engedélyezése vezetékes hálózatokhoz a telefon weboldalán
    Biztonsági beállítások menü a telefonon
A felhasználói és rendszergazdai jelszó módosítása
Az ügyfél és a kiszolgáló minimális TLS verziójának beállítása
Ügyfél által kezdeményezett mód engedélyezése a médiasík biztonsági egyeztetéseihez
Cisco Vezeték nélküli telefon 9821 biztonság (Multiplatform)
list-menuEbben a cikkben
list-menuVisszajelzés?

Ez a súgócikk a Cisco 9821-es vezeték nélküli telefonról szól, amely a Webex Calling számon van regisztrálva.

DHCP beállítások konfigurálása

Beállíthatja azt a sorrendet, amelyben a telefon a DHCP beállításokat használja. A DHCP beállításokkal kapcsolatos segítségért lásd: DHCP beállítások támogatása.

1

Lépjen be a telefon adminisztrációs weboldalára.

http://<ip cím>/admin/advanced

2

Válassza ki a Hang > Ellátás lehetőséget.

3

A Konfigurációs profil szakaszban állítsa be a DHCP beállítást a paraméter használatához . Ez a paraméter egy sor DHCP opcióból áll, vesszővel elválasztva, amelyek a firmware és a profilok lekérésére szolgálnak.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • A telefon weblapján adjon meg egy sor DHCP beállítást, vesszővel elválasztva.

Alapértelmezés: 66,160,159,150,60,43,125

4

Kattintson az Összes változás elküldése lehetőségre.

DHCP opció támogatása

A következő táblázat a Cisco 9821-es vezeték nélküli telefonokon támogatott DHCP beállításokat sorolja fel.

Hálózati szabványLeírás
DHCP 1. lehetőségAlhálózati maszk
DHCP 2. lehetőségIdőeltolódás
DHCP 3. lehetőségÚtválasztó
DHCP 6. lehetőségDomain névszerver
DHCP 15. lehetőségTartománynév
DHCP 17. lehetőségGyökér elérési útja
DHCP 41. lehetőségIP cím bérleti ideje
DHCP 42. lehetőségNTP szerver
DHCP 43. lehetőségSzállítóspecifikus információk

Az SCEP-konfiguráció biztosítására használható.

DHCP 56. lehetőségNTP szerver
DHCP 60. lehetőségSzállítói osztály azonosítója
DHCP 66. lehetőségTFTP kiszolgáló neve
DHCP 125. lehetőségSzállítóazonosító szállítóspecifikus információk
DHCP 150. lehetőségTFTP szerver
DHCP 159. lehetőségKiszolgáló kiépítése IP
DHCP 160. lehetőségKiépítési URL-cím

Vezeték nélküli LAN biztonság

Mivel az összes hatókörön belüli WLAN-eszköz képes fogadni minden egyéb WLAN-forgalmat, a hangkommunikáció biztonságossá tétele alapvető fontosságú a WLAN-hálózatok esetén. Annak érdekében, hogy a behatolók ne manipulálják és ne fogják el a hangforgalmat, a Cisco SAFE Security architektúra támogatja a telefont. A hálózatok biztonságáról további információt a http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html című témakörben talál.

A Cisco vezeték nélküli IP telefonos megoldás a telefon által támogatott alábbi hitelesítési módszerekkel biztosítja a vezeték nélküli hálózat biztonságát, amely megakadályozza az illetéktelen bejelentkezéseket és a kommunikáció veszélyeztetését.

  • Nyílt hitelesítés: egy nyitott rendszerben bármely vezeték nélküli eszköz kérhet hitelesítést. A kérést fogadó hozzáférési pont jóváhagyhatja a hitelesítést bármely kérelmező számára, vagy csak a felhasználók listáján található kérelmezőknek. Előfordulhat, hogy a vezeték nélküli eszköz és az Access Point (AP) közötti kommunikáció titkosítatlan.

  • Bővíthető hitelesítési protokoll – Rugalmas hitelesítés biztonságos bújtatási (EAP-FAST) hitelesítéssel: Ez az ügyfél-kiszolgáló biztonsági architektúra EAP tranzakciókat titkosít az AP és a RADIUS-kiszolgáló közötti Transport Level Security (TLS) alagúton belül, például az Identity Services Engine (ISE) esetében.

    A TLS-alagút védett hozzáférési hitelesítő adatokat (PAC) használ az ügyfél (telefon) és a RADIUS-kiszolgáló közötti hitelesítéshez. A kiszolgáló egy Authority ID (AID) azonosítót küld az ügyfélnek (telefon), amely kiválasztja a megfelelő PAC-ot. Az ügyfél (telefon) egy PAC-Opaque választ ad vissza a RADIUS-kiszolgálónak. A kiszolgáló az elsődleges kulccsal visszafejti a PAC-ot. Ekkor már mindkét végpont tartalmazza a PAC-kulcsot, és létrejön egy TLS-alagút. Az EAP-FAST támogatja az automatikus PAC-létesítést, de Önnek engedélyeznie kell azt a RADIUS-kiszolgálón.

    Az ISE-ben alapértelmezés szerint a PAC egy hét múlva lejár. Ha a telefon lejárt PAC-kal rendelkezik, akkor a RADIUS-kiszolgálóval való hitelesítés hosszabb időt vesz igénybe, mert a telefon új PAC-ot kap. A PAC-létesítési késleltetések elkerülése érdekében a PAC lejárati időszakát 90 napra vagy hosszabb időszakra kell beállítani az ISE- vagy RADIUS-kiszolgálón.

  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Authentication: az EAP-TLS esetén egy ügyféltanúsítvány szükséges a hitelesítéshez és a hálózati eléréshez. Vezeték nélküli EAP-TLS esetén az ügyféltanúsítvány lehet MIC vagy felhasználó által telepített tanúsítvány.

  • Protected Extensible Authentication Protocol (PEAP): a Cisco saját jelszóalapú kölcsönös hitelesítési sémája az ügyfél (telefon) és egy RADIUS-kiszolgáló között. A telefon a PEAP hashtaggel hitelesítheti magát a vezeték nélküli hálózaton. A PEAP-MSCHAPV2 és a PEAP-GTC hitelesítési módszerek is támogatottak.

    A 9821-es Cisco vezeték nélküli telefon PEAP-GTC hitelesítésének támogatásához konfigurálja a szükséges házirendet a Cisco ISE-házirendkészleten belül.

  • Előmegosztott kulcs (PSK): A telefon támogatja a ASCII és a hexadecimális (HEX) formátumokat. Ezeket a formátumokat kell használnia WPA2/SAE előmegosztott kulcs beállításakor.

    ASCII: ASCII-karakterlánc 8–63 karakter hosszúsággal (0-9, kisbetűs a-z, nagybetűs A-Z és speciális karakterek). Például,GREG123567@9ZX &W.

    HEX: 64 hexadecimális számjegyből álló hexadecimális karakterlánc (0-9, a-f vagy A-F).

A következő hitelesítési sémák a RADIUS-kiszolgáló használatával kezelik a hitelesítési kulcsokat:

  • WPA2/WPA3: a RADIUS-kiszolgáló adatait használja egyedi kulcsok előállításához a hitelesítéskor. Mivel ezek a kulcsok a központosított RADIUS-kiszolgálón jönnek létre, a WPA2/WPA3 nagyobb biztonságot nyújt, mint a hozzáférési ponton és a telefonon tárolt előmegosztott WPA-kulcsok.

  • Gyors biztonságos barangolás: a RADIUS-kiszolgáló és egy vezeték nélküli tartományi kiszolgáló (WDS) adatait használja a kulcsok kezeléséhez és hitelesítéséhez. A WDS létrehozza az FT-kompatibilis ügyféleszközök biztonsági hitelesítő adatainak gyorsítótárát a gyors és biztonságos újrahitelesítés érdekében.

A WPA2/WPA3 titkosítás esetén a titkosítási kulcsok nem kerülnek be a telefonra, hanem automatikusan származnak a hozzáférési pont és a telefon között. A hitelesítéshez használt EAP-felhasználónevet és -jelszót azonban minden telefonon meg kell adni.

A vezeték nélküli kapcsolaton keresztüli hangforgalom védelme érdekében a telefon támogatja az AES-alapú titkosítást a WPA2/WPA3 hitelesítéshez. A AES a NIST által szabványosított szimmetrikus blokkrejtjel. A AES rögzített 128 bites blokkméretet használ, és támogatja a 128 bites, 192 bites és 256 bites kulcsméreteket. A Wi-Fi hálózatokban a AES protokollt olyan titkosítási csomagok használják, mint a CCMP vagy a GCMP, míg a hitelesítést külön biztosítja a PSK, SAE vagy 802.1X/EAP, a beállított WLAN biztonsági módtól függően. A támogatott titkosítási csomag és kulcsméret a telefon típusától és a WLAN konfigurációtól függ.

A hitelesítési és titkosítási sémák a vezeték nélküli LAN-on belül vannak beállítva. A VLAN-beállítások a hálózaton és a hozzáférési ponton vannak konfigurálva, és a hitelesítés és titkosítás különböző kombinációit határozzák meg. A rendszer egy SSID-t társít egy VLAN-hoz és az adott hitelesítési és titkosítási rendszerhez. A vezeték nélküli ügyféleszközök sikeres hitelesítéséhez ugyanazokat az SSID-ket kell konfigurálnia hitelesítési és titkosítási sémáikkal a hozzáférési pontokon és a telefonon.

Egyes hitelesítési sémák adott típusú titkosítást igényelnek.

WPA2 előmegosztott kulcs vagy SAE használata esetén az előmegosztott kulcsot statikusan kell beállítani a telefonon. Ezeknek a kulcsoknak meg kell egyezniük a hozzáférési ponton megadott kulcsokkal.

A következő táblázatban található hitelesítési és titkosítási sémák a Cisco vezeték nélküli 9821-es telefon AP-konfigurációnak megfelelő hálózati konfigurációs beállításait mutatják be.

1. táblázat. Hitelesítési és titkosítási sémák
FSR TípusHitelesítésKulcskezelésTitkosításVédett felügyeleti keret (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNem
802.11r (FT)WPA3

SAE

FT-SAE

AESVan
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNem
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESVan
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNem
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESVan
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNem
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESVan
FT-n kívüliLakosztály-BWPA-EAP-SUITE-BGCMPVan
FT-n kívüliLakosztály-B-192WPA-EAP-SUITE-B-192GCMPVan

Wi-Fi profil beállítása

A Wi-Fi profilokat a telefon felügyeleti weboldaláról vagy távoli eszközprofil újraszinkronizálásával konfigurálhatja. A konfigurálás után ezeket a profilokat társíthatja az elérhető vezeték nélküli hálózatokhoz a kapcsolat létrehozásához. Cisco A 9821-es vezeték nélküli telefon legfeljebb négy konfigurált Wi-Fi profilt támogat.

A profil tartalmazza azokat a paramétereket, amelyekre a telefonnak szüksége a telefonszerverre való csatlakozáshoz Wi-Fi hálózaton keresztül. Wi-Fi profil létrehozásakor és használatakor sem Önnek, sem a felhasználóknak nem kell konfigurálniuk a vezeték nélküli hálózatot az egyes telefonokhoz.

Egy Wi-Fi profillal megakadályozhatja vagy korlátozhatja, hogy a felhasználók módosításokat végezzenek a Wi-Fi konfiguráción.

Javasoljuk, hogy Wi-Fi profil használata esetén titkosítást engedélyező protokollokkal rendelkező biztonságos profilt használjon a kulcsok és jelszavak védelme érdekében.

Amikor biztonsági módban a EAP-FAST hitelesítési módszer használatára állítja be a telefonokat, a felhasználóknak egyéni hitelesítő adatokra van szükségük a hozzáférési ponthoz való csatlakozáshoz.

1

Nyissa meg a telefon weboldalát.

2

Válassza ki a Hang > Rendszer lehetőséget.

3

A Wi-Fi Profil (n) szakaszban állítsa be a paramétereket az alábbi táblázatban leírtak szerint: A Wi-Fi profil paraméterei.

A Wi-Fi profil konfigurációja a felhasználói bejelentkezéshez is elérhető.
4

Kattintson az Összes változás elküldése lehetőségre.

A Wi-Fi profil paraméterei

Az alábbi táblázat a telefon Rendszer Tab részének Wi-Fi profil(n) szakaszában található paraméterek funkcióját és használatát határozza meg. Meghatározza továbbá a telefon konfigurációs fájljában (cfg.XML) hozzáadott karakterlánc szintaxisát egy paraméter konfigurálásához.

ParaméterLeírás
Hálózat neveLehetővé teszi a telefonon megjelenő SSID nevének megadását. Több profilnak is lehet ugyanaz a hálózati neve más biztonsági móddal.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Network_Name_1_ ua="rw">Cisco</Network_Name_1_>

  • A telefon weblapján adja meg a SSID nevet.

Alapértelmezett: üres

Biztonsági módKiválaszthatja a Wi-Fi hálózat biztonságos hozzáféréséhez használt hitelesítési módot. A választott módszertől függően megjelenik egy jelszómező, ahol megadhatja a Wi-Fi hálózathoz való csatlakozáshoz szükséges hitelesítő adatokat.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- elérhető lehetőségek: |EAP-FAST|||PSK||Nincs|EAP-PEAP|EAP-TLS -->

  • A telefon weblapján válasszon az alábbi módszerek közül:
    • EAP-FAST
    • PSK
    • Nincs
    • EAP-PEAP
    • EAP-TLS

Alapértelmezett: Nincs

Wi-Fi a FelhasználóazonosítóMegadhatja a hálózati profil felhasználói azonosítóját.

Ez a mező akkor érhető el, ha a biztonsági módot Auto, EAP-FAST vagy EAP-PEAP értékre állítja. Ez egy kötelező mező, amelybe legfeljebb 32 alfanumerikus karaktert lehet beírni.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • A telefon weblapján adja meg a hálózati profilhoz tartozó ID felhasználót.

Alapértelmezett: üres

Wi-Fi jelszóLehetővé teszi a megadott Wi-Fi felhasználói azonosító jelszavának megadását.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • A telefon weblapján adja meg a hozzáadott ID felhasználó jelszavát.

Alapértelmezett: üres

FrekvenciasávItt választhatja ki a WLAN hálózaton használt vezeték nélküli jel frekvenciasávját.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • A telefon weblapján válasszon az alábbi lehetőségek közül:
    • Auto
    • 2,4 GHz
    • 5 GHz vagy 6 GHz

Alapértelmezett: automatikus

Tanúsítvány kiválasztásaLehetővé teszi a tanúsítvány típusának kiválasztását a tanúsítvány kezdeti igényléséhez és megújításához a vezeték nélküli hálózaton. Ez a folyamat csak 802.1X hitelesítés esetén érhető el.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Certificate_Select_1_ ua="rw">Gyártó telepítve</Certificate_Select_1_>

  • A telefon weblapján válasszon az alábbi lehetőségek közül:
    • Gyártó telepített
    • Egyéni telepítés

Alapértelmezés: A gyártó telepítve van

Vezérlési módAzt szabályozza, hogy a felhasználó konfigurálhatja-e a Wi-Fi profilokat.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Control_Mode_1_ ua="rw">Engedélyezés</Control_Mode_1_>

  • A telefon weblapján válasszon az alábbi lehetőségek közül:
    • Lehetővé teszi
    • Nem engedélyezett
    • Korlátozott

Alapértelmezés: Engedélyezés

EngedélyeziAzt szabályozza, hogy a Wi-Fi profil engedélyezve van-e.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Enable_1_ ua="rw">Igen</Enable_1_>

  • A telefon weblapján válasszon az alábbi lehetőségek közül:
    • Van
    • Nem

Alapértelmezett: igen

ProfilnévLehetővé teszi a telefonon megjelenő profil nevének megadását.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Profile_Name_1_ ua="rw">1. profil</Profile_Name_1_>

  • A telefon weblapján adja meg a profil nevét.

Alapértelmezés: 1. profil

PSK-jelszó kifejezésLehetővé teszi a PSK-jelszó megadását, ha a Biztonsági mód beállítása PSK.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <PSK_Passphrase_1_ ua="rw">*************</PSK_Passphrase_1_>

  • A telefon weblapján adja meg a PSK-jelszót.

Alapértelmezés: Engedélyezés

802.1X hitelesítés vezetékes hálózatokhoz

Cisco A 9821-es vezeték nélküli telefon támogatja a vezetékes hálózatok 802.1X hitelesítését. Ez általában az automatikus létesítés során használatos, amikor a telefon támogatott USB–Ethernet adapteren keresztül csatlakozik az asztali töltőhöz.

A vezetékes hálózatokon a 802.1X hitelesítés támogatásához több összetevőre van szükség, az alábbiak szerint:

  • Cisco IP Phone: a telefon kezdeményezi a hálózatelérési kérést. A Cisco IP Phone telefonok 802.1X kérelmezőt tartalmaznak. Ez a kérelmező lehetővé teszi a hálózati rendszergazdák számára az IP telefonok és a LAN-kapcsolóportok közötti kapcsolat vezérlését. A telefon 802.1X kérelmezőjének aktuális kiadása EAP-FAST és EAP-TLS lehetőségeket kínál a hálózati hitelesítéshez.

  • Hitelesítési kiszolgáló: A hitelesítési kiszolgálót és a kapcsolót egyaránt RADIUS közös titokkal kell konfigurálni.

  • Kapcsoló: A kapcsolónak támogatnia kell a 802.1X szabványt, hogy hitelesítőként működhessen, és továbbíthassa a EAP üzeneteket a telefon és a hitelesítési kiszolgáló között. Miután az adatcsere befejeződött, a kapcsoló engedélyezi vagy megtagadja a telefon számára a hálózat elérését.

A Cisco IP Phone telefonok és a Cisco Catalyst kapcsolók hagyományosan Cisco Discovery Protocol (CDP) segítségével azonosítják egymást és határozzák meg a paramétereket (például a VLAN-kiosztást és a vonali tápellátási követelményeket).

A 802.1X konfigurálásához a következő műveleteket kell végrehajtania.

  • Konfigurálja a CDP/LLDP hang VLAN megkerülését.

  • Konfigurálja a hitelesítési kiszolgálót és a kapcsolót, mielőtt engedélyezné a 802.1X hitelesítést a telefon vezetékes hálózatain.

  • Hang VLAN konfigurálása: mivel a 802.1X szabvány nem veszi figyelembe a VLAN-okat, ezt a beállítást a kapcsolótámogatás alapján kell beállítania.

    • Engedélyezve: Ha olyan kapcsolót használ, amely támogatja a többtartományos hitelesítést, konfigurálhatja úgy, hogy a VLAN hangot használja.
    • Letiltva: ha a kapcsoló nem támogatja a többtartományos hitelesítést, tiltsa le a hang VLAN-t, és fontolja meg a port natív VLAN-hoz való hozzárendelését.
  • Cisco A 9821-es vezeték nélküli telefon PID előtagja eltér a többi Cisco telefon előtagjától. Ha engedélyezni szeretné, hogy telefonja átmenjen a 802.1X hitelesítésen, állítsa be a Sugár· User-Name paraméter a Cisco 9821-es vezeték nélküli telefon felvételéhez.

    Például a Cisco 9821 vezeték nélküli telefon PID-je WP-9821. Beállíthatja a sugarat· A felhasználónév WP-vel kezdődik, vagy WP-t tartalmaz mindkét alábbi szakaszban:

    • Házirend > Feltételek > Könyvtári feltételek

    • Házirend > Házirendkészletek > Engedélyezési házirend > Engedélyezési szabály 1

802.1X hitelesítés engedélyezése vezetékes hálózatokhoz a telefonon

Kövesse az alábbi lépéseket a telefon vezetékes hálózatainak 802.1X hitelesítésének engedélyezéséhez. Ne feledje, hogy a Wi-Fi 802.1X hitelesítése alapértelmezés szerint engedélyezve van, és nem igényel kézi konfigurálást.

1

Nyissa meg a beállításokat 9821 Settings app icon App.

2

Ha a rendszer kéri, adja meg a jelszót a Beállítások menü eléréséhez. A jelszót a rendszergazdától szerezheti be.

3

Válassza a Rendszergazda beállítások > Biztonsági beállítás > 802.1X hitelesítés lehetőséget.

4

Jelölje ki az Eszközhitelesítés elemet , és nyomja meg a Be gombot.

802.1X hitelesítés engedélyezése vezetékes hálózatokhoz a telefon weboldalán

Ha a vezetékes hálózatokon engedélyezve van a 802.1X hitelesítés, a telefon 802.1X hitelesítéssel kér hálózati hozzáférést az Ethernet LAN portról. Ha a vezetékes hálózatok 802.1X hitelesítése le van tiltva, a telefon a Cisco Discovery Protocol (CDP) hashtaggel szerez VLAN és hálózati hozzáférést. Ne feledje, hogy a Wi-Fi 802.1X hitelesítése alapértelmezés szerint engedélyezve van, és nem igényel kézi konfigurálást.

Kiválaszthatja a 802.1X hitelesítéshez használt tanúsítványt (MIC/SUDI vagy CDC). A CDC protokollal kapcsolatos további információkért lásd: Egyéni eszköztanúsítvány a Cisco 9821-es vezeték nélküli telefonon.

A tranzakció állapotát és a biztonsági beállításokat a telefon képernyőjének menüjében tekintheti meg. További információt a telefon Biztonsági beállítások menüje című témakörben talál.

1

Engedélyezze a 802.1X hitelesítést.

Válassza ki a Hang > Rendszer lehetőséget. A 802.1X hitelesítés szakaszban állítsa a 802.1X hitelesítés engedélyezése paramétert Igen értékre.

Ezt a paramétert a konfigurációs fájlban (cfg.XML) is konfigurálhatja:

<Enable_802.1X_Authentication ua="rw">Igen</Enable_802.1X_hitelesítés>

Érvényes értékek: Igen|Nem

Alapértelmezett: Nem

2

A 802.1X hitelesítés szakaszban válassza ki a 802.1X hitelesítéshez használt alábbi telepített tanúsítványok egyikét a Tanúsítvány kiválasztása legördülő listából.

Érték beállítások:

  • Gyártás telepítve: MIC/SUDI.
  • Egyéni telepítve: Egyéni eszköztanúsítvány (CDC).

Ezt a paramétert a konfigurációs fájlban (cfg.XML) is konfigurálhatja:

<Certificate_Select ua="rw">Egyéni telepítve</Certificate_Select>

Érvényes értékek: Gyártó telepítve|Egyéni telepítés

Alapértelmezés: A gyártó telepítve van

3

Konfigurálja a vezetékes hálózat 802.1X hitelesítésének identitásaként használandó User ID paramétert.

Ez a konfiguráció csak akkor érvényes, ha egyéni eszköztanúsítványt (CDC) használ vezetékes 802.1X hitelesítéshez, és a Tanúsítványválasztás beállítása Egyéni telepítve van.

Ezt a paramétert a konfigurációs fájlban (cfg.XML) is konfigurálhatja:

<Wired_User_ID ua="na"></Wired_User_ID>

Érvényes értékek: legfeljebb 127 karakter

Alapértelmezett: üres

Ez a paraméter támogatja a makróbővítési változókat is, a részleteket lásd a Makróbővítési változók című részben .

Ha a ID felhasználót a DHCP beállításokkal kombinálva szeretné kiépíteni, tekintse meg a ID felhasználó kiépítése a DHCP 15. beállításon keresztül.

4

Kattintson az Összes változás elküldése lehetőségre.

Biztonsági beállítások menü a telefonon

A biztonsági beállításokkal kapcsolatos információkat a telefon menüjéből a Beállítások 9821 Settings app icon alkalmazást, és válassza a Rendszergazdai beállítások > Biztonsági beállítás > 802.1X hitelesítés lehetőséget. Az információk elérhetősége a szervezet hálózati beállításaitól függ.

Paraméterek

Beállítások

Alapértelmezett

Leírás

Készülékhitelesítés

Be

Off

Off

Engedélyezi vagy letiltja a 802.1X hitelesítést a telefonon.

A paraméterbeállítás a telefon Out-Of-Box (OOB) regisztrációja után is megtartható.

Tranzakció állapota

Letiltva

Megjeleníti a 802.1X hitelesítés állapotát. Az állapot lehet (nem kizárólagosan):

  • Hitelesítés – Azt jelzi, hogy a hitelesítési folyamat folyamatban van.
  • Hitelesített – Azt jelzi, hogy a telefon hitelesítve van.
  • Letiltva – Azt jelzi, hogy a 802.1x hitelesítés le van tiltva a telefonon.
  • Csatlakozás – Azt jelzi, hogy a telefon 30 másodpercenként EAP indítási üzeneteket küld a kapcsolónak.
  • Megszerezve – Azt jelzi, hogy a kapcsoló elutasította a telefon EAP kérését, és a telefon nem kap EAP-TLS vagy EAP-FAST kihívást a kapcsolótól. A telefon újra EAP kéréseket próbál küldeni.
  • Leválasztva – Azt jelzi, hogy az Ethernet-kábel le van választva.
  • Tartás – Azt jelzi, hogy a kapcsoló feldolgozta a telefon EAP kérését, de elutasította a EAP-FAST vagy EAP-TLS hitelesítést. A telefon újra megpróbál EAP kéréseket küldeni.

Protokoll

Nincs

Megjeleníti a 802.1X hitelesítéshez használt EAP módszert. A protokoll lehet EAP-FAST vagy EAP-TLS.

Felhasználói tanúsítvány típusa

Gyártó telepített

Egyéni telepítés

Gyártó telepített

Kiválasztja a tanúsítványt a 802.1X hitelesítéshez a kezdeti igénylés és megújítás során.

  • Gyártó telepítve – A rendszer a Secure Unique Device Identifier (SUDI) azonosítót használja.
  • Egyéni telepítés – A rendszer az egyéni eszköztanúsítványt (CDC) használja. Ez a tanúsítványtípus telepíthető manuálisan a telefon weboldalára vagy egy SCEP-kiszolgálóról történő telepítéssel.

Ez a paraméter csak akkor jelenik meg a telefonon, ha az eszközhitelesítés engedélyezve van.

A felhasználói és rendszergazdai jelszó módosítása

A hívásvezérlő rendszerben történő első regisztrációkor vagy a gyári beállítások visszaállítását követően mind a felhasználói, mind a rendszergazdai jelszavakat konfigurálnia kell, amikor először nyitja meg a telefon adminisztrációs weboldalát. Ezeket a hitelesítő adatokat bármikor frissítheti az eszköz biztonságának fenntartása érdekében.

Az érvényes jelszószabályok a következők:

  • A jelszónak legalább 8 karakterből kell állnia, illetve legfeljebb 127 karakterből állhat.
  • A nagybetű, a kis kisbetű, a szám és a speciális karakter kombinációja (a négy típusból három).
  • A hely nem engedélyezett.
1

Lépjen be a telefon adminisztrációs weboldalára.

2

Válassza ki a Hang > Rendszer lehetőséget.

3

(Nem kötelező) A Rendszerkonfiguráció szakaszban állítsa a Jelszavak figyelmeztetése paramétert Igen értékre , majd kattintson azÖsszes módosítás elküldése gombra.

A paramétereket a telefon konfigurációs fájljában (cfg.XML) is engedélyezheti.

<Display_Password_Warnings ua="na">Igen</Display_Password_Warnings>

Alapértelmezett: igen

Opciók: Igen|Nem

Ha a paraméter értéke Nem, a jelszóval kapcsolatos figyelmeztetés nem jelenik meg a telefon képernyőjén.

4

Keresse meg a Felhasználói jelszó vagy a Rendszergazdai jelszó paramétert , majd kattintson a paraméter melletti Jelszó módosítása gombra.

5

Írja be az aktuális felhasználói jelszót a Régi jelszó mezőbe.

6

Adjon meg egy új jelszót az Új jelszó mezőben.

Ha az új jelszó nem felel meg az érvényes jelszószabályoknak, a rendszer megtagadja a beállítást.

7

Kattintson a Submit (Küldés) lehetőségre.

A Jelszó módosítása sikerült. üzenet jelenik meg a weboldalon. A weboldal néhány másodpercen belül frissül.

A felhasználói jelszó beállítása után ez a paraméter a következőket jeleníti meg a telefonkonfigurációs XML fájlban (cfg.XML):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Az ügyfél és a kiszolgáló minimális TLS verziójának beállítása

Alapértelmezés szerint az ügyfél és a kiszolgáló minimális TLS verziója 1.2. Ez azt jelenti, hogy a kliens és a szerver elfogadja a TLS 1.2 vagy újabb verzióval való kapcsolat létesítését. Az TLS támogatott maximális verziója ügyfél és kiszolgáló esetén 1.3. Ha konfigurálva van, a rendszer a minimális TLS verziót fogja használni a TLS ügyfél és a TLS kiszolgáló közötti egyeztetéshez.

Beállíthatja az TLS minimális verzióját az ügyfélhez és a kiszolgálóhoz, például 1.1, 1.2 vagy 1.3.

Mielőtt nekilátna

Győződjön meg arról, hogy a TLS kiszolgáló támogatja a minimálisan konfigurált TLS verziót. Konzultálhat a hívásvezérlő rendszer rendszergazdájával.

1

Lépjen be a telefon adminisztrációs weboldalára.

2

Válassza ki a Hang > Rendszer lehetőséget.

3

A Biztonsági beállítások szakaszban konfigurálja a paramétertTLS Ügyfél minimális verziója .

  • TLS 1.1: A TLS kliens a TLS 1.1 és 1.3 közötti verzióit támogatja.

    Ha a kiszolgálón a TLS verziója 1.1-esnél alacsonyabb, akkor a kapcsolat nem hozható létre.

  • TLS 1.2 (alapértelmezett): A TLS ügyfél a TLS 1.2 és 1.3 verziókat támogatja.

    Ha a kiszolgálón a TLS verziója 1.2-esnél régebbi, például 1.1, akkor a kapcsolat nem hozható létre.

  • TLS 1.3: A TLS kliens csak a TLS 1.3-at támogatja.

    Ha a kiszolgáló TLS verziója 1.3-nél alacsonyabb, például 1.2 vagy 1.1, akkor a kapcsolat nem hozható létre.

    Ha a "TLS Client Min Version" paramétert "TLS 1.3" értékre szeretné állítani, győződjön meg arról, hogy a kiszolgálóoldal támogatja a TLS 1.3-at. Ha a szerveroldal nem támogatja a TLS 1.3-at, ez kritikus problémákat okozhat. A kiépítési műveletek például nem hajthatók végre a telefonokon.

Ezt a paramétert a konfigurációs fájlban (cfg.XML) is konfigurálhatja:

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Megengedett értékek: TLS 1.1, TLS1.2 és TLS 1.3.

Alapértelmezett: TLS 1.2

4

A Biztonsági beállítások szakaszban konfigurálja a paramétertTLS Server Min. verziója .

A Webex Calling nem támogatja a TLS 1.1-et.

  • TLS 1.1: A TLS szerver a TLS 1.1 és 1.3 közötti verzióit támogatja.

    Ha az ügyfél TLS verziója 1.1-esnél alacsonyabb, akkor a kapcsolat nem létesíthető.

  • TLS 1.2 (alapértelmezett): A TLS szerver támogatja a TLS 1.2 és 1.3 verziókat.

    Ha az TLS verziója az ügyfélben alacsonyabb, mint 1.2, például 1.1, akkor a kapcsolat nem hozható létre.

  • TLS 1.3: A TLS szerver csak a TLS 1.3-at támogatja.

    Ha az TLS verziója az ügyfélben 1.3-esnél alacsonyabb, például 1.2 vagy 1.1, akkor a kapcsolat nem hozható létre.

Ezt a paramétert a konfigurációs fájlban (cfg.XML) is konfigurálhatja:

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Engedélyezett értékek: TLS 1.1, TLS1.2 és TLS 1.3.

Alapértelmezett: TLS 1.2

5

Kattintson az Összes változás elküldése lehetőségre.

Ügyfél által kezdeményezett mód engedélyezése a médiasík biztonsági egyeztetéseihez

A média-munkamenetek védelme érdekében beállíthatja a telefont úgy, hogy médiasík-biztonsági egyeztetéseket kezdeményezzen a kiszolgálóval. A biztonsági mechanizmus az RFC 3329-ben és annak kiterjesztési tervezetében, a Biztonsági mechanizmusok nevei adathordozókhoz (lásd: https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2) meghatározott szabványokat követi. A telefon és a szerver közötti egyeztetések továbbítása SIP protokollt használhat a UDP, TCP, és TLS helyett. Korlátozhatja, hogy a médiasík biztonsági egyeztetése csak akkor legyen alkalmazva, ha a jelzésátviteli protokoll TLS.

2. táblázat. A médiasík biztonsági egyeztetésének paraméterei
ParaméterLeírás

MediaSec-kérés

Megadja, hogy a telefon kezdeményezzen-e médiasík-biztonsági egyeztetést a kiszolgálóval.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <MediaSec_Request_1_ ua="na">Igen</MediaSec_Request_1_>
  • A telefon webes felületén szükség szerint állítsa ezt a mezőt Igen vagy Nem értékre .

Engedélyezett értékek: igen|nem

  • Igen – ügyfél által kezdeményezett mód. A telefon médiarepülőgép-biztonsági egyeztetéseket kezdeményez.
  • Nem – A kiszolgáló által kezdeményezett mód. A kiszolgáló kezdeményezi a médiasík biztonsági egyeztetését. A telefon nem kezdeményez egyeztetéseket, de a kiszolgálótól érkező egyeztetési kérelmeket a biztonságos hívások létrehozásához tudja kezelni.

Alapértelmezett: Nem

MediaSec csak TLS felett

Megadja azt a jelzésátviteli protokollt, amelyen keresztül a médiasík biztonsági egyeztetése alkalmazva van.

Mielőtt ezt a mezőt Igen értékreállítja, győződjön meg arról, hogy a jelzésátviteli protokoll TLS.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <MediaSec_Over_TLS_Only_1_ ua="na">Nem<MediaSec_Over_TLS_Only_1_>

  • A telefon webes felületén szükség szerint állítsa ezt a mezőt Igen vagy Nem értékre .

Engedélyezett értékek: igen|nem

  • Igen – A telefon csak akkor kezdeményez vagy kezel médiarepülőgép-biztonsági egyeztetéseket, ha a jelzésátviteli protokoll értéke TLS.
  • Nem – A telefon kezdeményezi és kezeli a médiarepülőgép biztonsági egyeztetéseit, függetlenül a jelzésátviteli protokolltól.

Alapértelmezett: Nem

1

Lépjen be a telefon adminisztrációs weboldalára.

2

Válassza ki a Hang > Mellék(n) lehetőséget.

3

A SIP beállítások szakaszban állítsa be a MediaSec-kérelem és a MediaSec a TLS felett mezőket a fenti táblázatban meghatározottak szerint.

4

Kattintson az Összes változás elküldése lehetőségre.

Hasznos volt ez a cikk?
Hasznos volt ez a cikk?