In dit artikel
dropdown icon
Opties van DHCP configureren
    Ondersteuning voor DHCP optie
dropdown icon
Wireless LAN-beveiliging
    Profiel Wi-Fi instellen
dropdown icon
802.1X-verificatie voor bekabelde netwerken
    802.1X-verificatie inschakelen voor bekabelde netwerken op de telefoon
    802.1X-verificatie inschakelen voor bekabelde netwerken op de webpagina telefoon
    Menu Beveiligingsinstellingen op de telefoon
De gebruikers- en beheerderswachtwoorden wijzigen
Het minimumnummer TLS-versie instellen voor client en server
De door de klant geïnitieerde modus inschakelen voor beveiligingsonderhandelingen voor het mediavliegtuig
Cisco Draadloze telefoon 9821 beveiliging (meerdere platforms)
list-menuIn dit artikel
list-menuFeedback?

Dit Help-artikel is voor Cisco Wireless Phone 9821 geregistreerd bij Webex Calling.

Opties van DHCP configureren

U kunt de volgorde instellen waarin de telefoon de DHCP-opties gebruikt. ZieDHCP voor meer informatie over opties voor DHCP opties.

1

Open de beheerwebpagina van de telefoon.

http://<ip-adres>/admin/geavanceerd

2

Selecteer Spraak > Inrichting.

3

Stel in het gedeelte Configuratieprofiel de optie DHCP in om parameter te gebruiken . Deze paramter bestaat uit een reeks opties voor DHCP, gescheiden door komma's, die gebruikt worden om firmware en profielen op te halen.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • Geef op de webpagina telefoon een reeks opties op voor DHCP, gescheiden door komma's.

Standaard: 66,160,159,150,60,43,125

4

Klik op Submit All Changes.

Ondersteuning voor DHCP optie

De volgende tabel bevat een overzicht van de opties van DHCP die worden ondersteund door Cisco Wireless Phone 9821.

NetwerkstandaardBeschrijving
DHCP-optie 1Subnetmasker
DHCP-optie 2Tijdverschil (UU/mm)
DHCP-optie 3Router
DHCP-optie 6Domeinnaamserver
DHCP-optie 15Domeinnaam
DHCP-optie 17Hoofdpad
DHCP-optie 41Leasetijd IP-adres
DHCP-optie 42NTP-server
DHCP-optie 43Leveranciersspecifieke informatie

Kan worden gebruikt om de SCEP-configuratie te leveren.

DHCP-optie 56NTP-server
DHCP-optie 60Klasse-id leverancier
DHCP-optie 66TFTP-servernaam
DHCP-optie 125Leveranciersspecifieke informatie waarmee leveranciers worden geïdentificeerd
DHCP-optie 150TFTP-server
DHCP-optie 159IP inrichtingsserver
DHCP-optie 160URL-inrichting

Wireless LAN-beveiliging

Omdat alle WLAN-apparaten die binnen het bereik zijn al het andere WLAN-verkeer kunnen ontvangen, is veilige gesproken communicatie van cruciaal belang in WLAN's. Om te voorkomen dat indringers het spraakverkeer niet manipuleren of onderscheppen, ondersteunt de architectuur Cisco SAFE Security de telefoon. Ziehttp://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html voor meer informatie over beveiliging in netwerken.

De oplossing Cisco Wireless IP telefonie biedt een draadloze netwerkbeveiliging die ongeoorloofde aanmeldingen en gevaar voorkomt dat communicatie wordt verhinderd door gebruik te maken van de volgende verificatiemethoden die de telefoon ondersteunt.

  • Open verificatie: een draadloos apparaat kan verificatie aanvragen in een open systeem. Het toegangspunt dat het verzoek ontvangt, verleent verificatie voor een aanvrager of alleen voor aanvragers in een lijst met gebruikers. De communicatie tussen het draadloze apparaat en het Toegangspunt (AP) kan niet zijn versleuteld.

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Authentication: deze beveiligingsarchitectuur voor clientservers versleutelt EAP transacties binnen een tunnel voor Transport Level Security (TLS) tussen de AP en de RADIUS-server, zoals Ise (Identity Services Engine).

    De TLS-tunnel gebruikt PAC (Protected Access Credentials) voor de verificatie tussen de client (telefoon) en de RADIUS-server. De server verstuurt een Authority ID (AID) naar de client (telefoon), die vervolgens de juiste PAC selecteert. De client (telefoon) retourneert een PAC-Opaque naar de RADIUS-server. De server decodeert de PAC met de hoofdsleutel. Beide eindpunten bevatten nu de PAC-sleutel en een TLS-tunnel wordt gemaakt. EAP-FAST ondersteunt automatische PAC-levering, maar u moet dit inschakelen op de RADIUS-server.

    In ISE verloopt de PAC standaard binnen één week. Als de telefoon een verlopen PAC heeft, duurt verificatie met de RADIUS-server langer terwijl de telefoon een nieuwe PAC krijgt. Om vertragingen in de PAC-levering te voorkomen stelt u de PAC-vervalperiode in op 90 dagen of meer op de ISE-of RADIUS-server.

  • EAP-TLS-verificatie (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS vereist een clientcertificaat voor verificatie en netwerktoegang. Voor draadloze EAP-TLS kan het clientcertificaat MIC of een door de gebruiker geïnstalleerd certificaat zijn.

  • Protected Extensible Authentication Protocol (PEAP): Cisco's eigen op wachtwoorden gebaseerde wederzijdse verificatieschema tussen de client (telefoon) en een RADIUS-server. De telefoon kan PEAP gebruiken voor verificatie met het draadloze netwerk. Zowel de PEAP-MSCHAPV2 als PEAP-GTC verificatiemethoden worden ondersteund.

    Ter ondersteuning van PEAP-GTC-verificatie voor draadloze telefoon Cisco 9821, configureert u het nodige beleid binnen de ise-beleidsset van Cisco.

  • Pre-Shared Key (PSK):de telefoon ondersteunt ASCII en hexadecimale (HEX) indelingen. U moet deze indelingen gebruiken bij het instellen van een PRE-shared sleutel (WPA2/SAE).

    ASCII: een ASCII-tekenreeks met 8 tot 63 tekens (0-9, kleine letters a-z, hoofdletters A-Z en speciale tekens). Bijvoorbeeld GREG123567@9ZX&W.

    HEX: een HEX-tekenreeks met een lengte van 64 hex cijfers (0-9, a-f of A-F).

De volgende verificatieschema's gebruiken de RADIUS-server om verificatiesleutels te beheren:

  • WPA2/WPA3: gebruikt RADIUS-serverinformatie voor het genereren van unieke sleutels voor de verificatie. Omdat deze sleutels zijn gegenereerd op de centrale RADIUS-server, biedt WPA2/WPA3 betere beveiliging dan de vooraf gedeelde WPA-sleutels die op de telefoon en het toegangspunt zijn opgeslagen.

  • Snelle beveiligde roaming: gebruikt de RADIUS-server en de gegevens van een draadloze domeinserver (WDS) voor het beheren en verifiëren van sleutels. De WDS maakt een cache met beveiligingsreferenties voor CLIENTapparaten met FT-ondersteuning voor snelle en veilige reauthenticatie.

Bij WPA2/WPA3 worden coderingssleutels niet ingevoerd op de telefoon, maar worden automatisch afgeleid tussen het AP en de telefoon. Maar de EAP-gebruikersnaam en het wachtwoord die worden gebruikt voor de verificatie, moeten worden ingevoerd op elke telefoon.

Om spraakverkeer via de draadloze koppeling te beveiligen, ondersteunt de telefoon op basis van AES-codering voor WPA2/WPA3-verificatie. AES is een door NIST standaard symmetrische blokversleuteling. AES werkt met een vaste 128-bits blokgrootte en ondersteunt sleutelgroottes van 128 bits, 192 bits en 256 bits. In Wi-Fi netwerken wordt AES gebruikt door versleutelingssuites zoals CCMP of FAHRT, terwijl verificatie afzonderlijk wordt geleverd door PSK, SAE of 802.1X/EAP, afhankelijk van de geconfigureerde beveiligingsmodus van WLAN. De ondersteunde codeersuite en het sleutelformaat zijn afhankelijk van het telefoonmodel en de configuratie van WLAN.

Verificatie en coderingschema's worden ingesteld binnen het draadloze LAN-netwerk. VLAN's zijn geconfigureerd in het netwerk en op de toegangspunten en geven verschillende verificatie- en coderingscombinaties. Een SSID wordt gekoppeld aan een VLAN en het specifieke verificatie- en coderingsschema. Voor verificatie van draadloze clientapparaten moet u dezelfde SSID's configureren met hun verificatie- en coderingsprogramma's op de AP's en op de telefoon.

Sommige verificatieschema's vereisen specifieke coderingstypen.

Wanneer u WPA2 een vooraf gedeelde sleutel of SAE gebruikt, moet de vooraf gedeelde sleutel statisch op de telefoon worden ingesteld. Deze sleutels moeten overeenkomen met de sleutels op het toegangspunt.

In de verificatie- en encryptieschema's in de volgende tabel worden de netwerkconfiguratieopties voor Cisco Wireless Phone 9821 weergegeven die overeenkomt met de AP-configuratie.

Tabel 1. Verificatie- en coderingschema's
FSR-typeVerificatieToetsbeheerCoderingPMF (Protected Management Frame)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNee
802.11r (FT)WPA3

SAE

FT-SAE

AESJa
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNee
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNee
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)AP-PEAP

WPA-EAP

FT-EAP

AESNee
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
niet-FTSuite-BWPA-EAP-SUITE-BDEMPJa
niet-FTSuite B-192WPA-EAP-SUITE-B-192DEMPJa

Profiel Wi-Fi instellen

U kunt profielen van Wi-Fi configureren via de webpagina telefoonbeheer of via een externe apparaatprofiel. Nadat deze profielen zijn geconfigureerd, kunt u deze profielen koppelen aan beschikbare draadloze netwerken om een verbinding tot stand te brengen. Cisco Wireless Phone 9821 ondersteunt maximaal vier geconfigureerde Wi-Fi-profielen.

Het profiel bevat de vereiste parameters voor telefoons om verbinding te maken met de telefoonserver via Wi-Fi. Wanneer u profiel Wi-Fi maakt en gebruikt, hoeven u of uw gebruikers het draadloze netwerk voor afzonderlijke telefoons niet te configureren.

Met een Wi-Fi-profiel kunt u wijzigingen door de gebruiker voorkomen of beperken in de Wi-Fi-configuratie op de telefoon.

Het is raadzaam een beveiligd profiel te gebruiken met protocollen met codering ingeschakeld om de sleutels en wachtwoorden te beveiligen wanneer u een profiel Wi-Fi gebruikt.

Wanneer u de telefoons instelt om verificatiemethode EAP-FAST te gebruiken in de beveiligingsmodus, hebben gebruikers afzonderlijke referenties nodig om verbinding te maken met een toegangspunt.

1

Open de webpagina van de telefoon.

2

Selecteer Spraak > Systeem.

3

Stel in sectie Wi-Fi Profiel (n)de parameters in zoals beschreven in de volgende tabel Parameters voor Wi-Fi profiel.

De profielconfiguratie Wi-Fi is ook beschikbaar voor de aanmelding van de gebruiker.
4

Klik op Submit All Changes.

Parameters voor Wi-Fi-profiel

In de volgende tabel worden de functie en het gebruik van elke parameter in het gedeelte Wi-Fi profiel(n) onder Systeem Tab op de webpagina telefoon beschreven. Het definieert ook de syntaxis van de string die in het telefoonconfiguratiebestand (cfg.xml) wordt toegevoegd om een parameter te configureren.

ParameterBeschrijving
NetwerknaamHiermee kunt u een naam invoeren voor de SSID die op de telefoon wordt weergegeven. Meerdere profielen kunnen dezelfde netwerknaam hebben met een verschillende beveiligingsmodus.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Network_Name_1_ ua="opa">Cisco</Network_Name_1_>

  • Geef op de webpagina telefoon een naam op voor SSID.

Standaard: leeg

BeveiligingsmodusHiermee kunt u de verificatiemethode selecteren die wordt gebruikt voor beveiligde toegang tot het Wi-Fi-netwerk. Afhankelijk van de methode die u kiest, wordt een wachtwoordveld weergegeven waarop u de aanmeldingsgegevens kunt opgeven die nodig zijn om deel te nemen aan het netwerk van Wi-Fi.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Security_Mode_1_ ua="ops>EAP-TLS</Security_Mode_1_> <!-- beschikbare opties: |EAP-FAST|||PSK||Geen|EAP-PEAP|EAP-TLS -->

  • Selecteer een van de methoden op de webpagina Telefoon:
    • EAP-FAST
    • PSK
    • Geen
    • AP-PEAP
    • EAP-TLS

Standaard: Geen

Wi-Fi-gebruikers-IDHiermee kunt u een gebruikers-id invoeren voor het netwerkprofiel.

Dit veld is beschikbaar wanneer u de beveiligingsmodus instelt op Automatisch, EAP-FAST of EAP-PEAP. Dit is een verplicht veld en kan maximaal 32 alfanumerieke tekens bevatten.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Wi-Fi_User_ID_1_ua="op een ></Wi-Fi_User_ID_1_>

  • Geef op de webpagina van de telefoon op ID voor het netwerkprofiel.

Standaard: leeg

Wi-Fi-wachtwoordHiermee kunt u het wachtwoord van het ID voor de opgegeven Wi-Fi-gebruikers invoeren.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Wi-Fi_Password_1_ ua="op een ></Wi-Fi_Password_1_>

  • Geef op de webpagina van de telefoon een wachtwoord op voor de gebruiker ID die u hebt toegevoegd.

Standaard: leeg

FrequentiebandHiermee kunt u de frequentieband van het draadloze signaal kiezen dat door de WLAN wordt gebruikt.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Frequency_Band_1_ ua="op >Autom</Frequency_Band_1_>

  • Selecteer een van de opties op de webpagina Telefoon:
    • Auto
    • 2,4 GHz
    • 5 GHz of 6 GHz

Standaard: automatisch

Certificaat selecterenHiermee kunt u een certificaattype selecteren voor de eerste aanmelding en het vernieuwen van het certificaat in het draadloze netwerk. Dit proces is alleen beschikbaar voor 802.1X-verificatie.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Certificate_Select_1_ ua="op >Manufacturing geïnstalleerd</Certificate_Select_1_>

  • Selecteer een van de opties op de webpagina Telefoon:
    • Fabrikant geïnstalleerd
    • Aangepast geïnstalleerd

Standaardwaarde: Productie geïnstalleerd

BeheermodusBepaalt of de gebruiker toestemming heeft om de Wi-Fi-profielen te configureren.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Control_Mode_1_ ua="op >Allow</Control_Mode_1_>

  • Selecteer een van de opties op de webpagina Telefoon:
    • Toestaan
    • Toegestaan
    • Beperkt

Standaardwaarde: Toestaan

InschakelenHiermee bepaalt u of profiel Wi-Fi is ingeschakeld.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Enable_1_ ua="op >Jj</Enable_1_>

  • Selecteer een van de opties op de webpagina Telefoon:
    • Ja
    • Nee

Standaard: Ja

ProfielnaamHiermee kunt u een naam opgeven voor het profiel dat op de telefoon wordt weergegeven.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Profile_Name_1_ ua=">Profile 1</Profile_Name_1_>

  • Voer op de webpagina van de telefoon een naam voor het profiel in.

Standaardwaarde: Profiel 1

PSK-wachtwoordzinHier kunt u het PSK-wachtwoord invoeren als de Beveiligingsmodus is ingesteld op PSK.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <PSK_Passphrase_1_ ua="des">*************</PSK_Passphrase_1_>

  • Geef op de webpagina van de telefoon het PSK-wachtwoord op.

Standaardwaarde: Toestaan

802.1X-verificatie voor bekabelde netwerken

Cisco Wireless Phone 9821 ondersteunt 802,1X-verificatie voor bekabelde netwerken. Deze wordt gewoonlijk gebruikt tijdens automatische provisionering wanneer de telefoon via een ondersteunde USB-naar-Ethernet-adapter op het bureaulader is aangesloten.

Ondersteuning voor 802.1x-verificatie op bedrade netwerken vereist verschillende componenten:

  • Cisco IP-telefoon: de telefoon initieert het verzoek voor toegang tot het netwerk. Cisco IP-telefoon bevat een 802.1X-supplicant. Met deze supplicant kunnen netwerkbeheerders de verbinding regelen van IP-telefoons met de LAN-switchpoorten. De huidige versie van de 802.1X-supplicant voor de telefoon gebruikt de opties EAP-FAST en EAP-TLS voor netwerkverificatie.

  • Verificatieserver: de verificatieserver en de switch moeten beide zijn geconfigureerd met een RADIUS-gedeeld geheim.

  • Switch: de switch moet 802.1X ondersteunen, zodat deze kan fungeren als verificator en de EAP-berichten kan doorsturen tussen de telefoon en de verificatieserver. Nadat de uitwisseling is afgerond, kan de switch toegang tot het netwerk toestaan of weigeren.

Cisco IP-telefoons en Cisco Catalyst-switches gebruiken traditioneel Cisco Discovery Protocol (CDP) om elkaar te herkennen en om parameters te bepalen zoals VLAN-toewijzing en inline voedingsvereisten.

U moet de volgende acties uitvoeren om 802.1X te configureren.

  • Configureer CDP/LLDP spraak VLAN bypass.

  • Configureer de verificatieserver en de switch voordat u 802.1X-verificatie voor bekabelde netwerken op de telefoon inschakelt.

  • Spraak-VLAN configureren: omdat de 802.1X-standaard geen rekening houdt met VLAN's, moet u deze instelling configureren op basis van de switchondersteuning.

    • Ingeschakeld: als u een switch gebruikt die multidomeinverificatie ondersteunt, kunt u deze configureren voor het gebruik van spraaknummer VLAN.
    • Uitgeschakeld: als de switch geen ondersteuning biedt voor multidomeinverificatie, schakelt u het spraak-VLAN uit en probeert u de poort toe te wijzen aan het native VLAN.
  • Cisco Wireless Phone 9821 heeft een ander prefix in het PID dan het prefix voor de andere telefoons van het nummer Cisco. Om ervoor te zorgen dat uw telefoon 802.1X-verificatie doorgeeft, stelt u de Radius· Gebruikersnaamparameter voor uw draadloze telefoon Cisco 9821.

    Bijvoorbeeld, de PID van Cisco Wireless Phone 9821 is WP-9821. U kunt Radius· Gebruikersnaam om te beginnen met WP of Bevat WP in de beide volgende secties:

    • Beleid > Voorwaarden > Libraire Voorwaarden

    • Beleids > Beleidssets > Authorization Policy > Authorization Rule 1

802.1X-verificatie inschakelen voor bekabelde netwerken op de telefoon

Voer de volgende stappen uit om 802.1X-verificatie voor bekabelde netwerken op uw telefoon in te schakelen. 802.1X-verificatie voor Wi-Fi is standaard ingeschakeld en hoeft niet handmatig te worden geconfigureerd.

1

Instellingen openen 9821 Settings app icon App.

2

Voer het wachtwoord in als daarom wordt gevraagd om het menu Instellingen te openen. U kunt het wachtwoord opvragen bij uw beheerder.

3

Selecteer Admin settings > Security setup > 802.1X Authentication.

4

Markeer Apparaatverificatie en druk op Aan.

802.1X-verificatie inschakelen voor bekabelde netwerken op de webpagina telefoon

Wanneer 802.1X-verificatie voor bekabelde netwerken is ingeschakeld, gebruikt de telefoon 802.1X-verificatie om toegang tot het netwerk te vragen via de Ethernet LAN-poort. Wanneer 802.1X-verificatie voor vaste netwerken is uitgeschakeld, gebruikt de telefoon Cisco Discovery Protocol (CDP) om VLAN en netwerktoegang te verkrijgen. 802.1X-verificatie voor Wi-Fi is standaard ingeschakeld en vereist geen handmatige configuratie.

U kunt een certificaat (MIC/S EN CDC) selecteren dat wordt gebruikt voor de 802.1X-verificatie. Zie Aangepast apparaatcertificaat op Cisco Wireless Phone 9821 voor meer informatie over CDC.

U kunt de transactiestatus en beveiligingsinstellingen weergeven in het menu op het telefoonscherm. Zie het menu Beveiligingsinstellingen op de telefoon voor meer informatie.

1

Schakel 802.1X-verificatie in.

Selecteer Spraak > Systeem. Stel in het gedeelte 802.1X-verificatie de parameter 802.1X-verificatie in op Ja.

U kunt deze parameter ook configureren in het configuratiebestand (cfg.xml).

<Enable_802.1X_Authentication ua="op een >Jj</Enable_802.1X_Authentication>

Geldige waarden: Ja|Nee

Standaard: Nee

2

Selecteer in het gedeelte 802.1X-verificatie een van de volgende geïnstalleerde certificaten die worden gebruikt voor de 802.1X-verificatie in de vervolgkeuzelijst Certificaat selecteren .

Opties waarde:

  • Productie geïnstalleerd: MIC/S.
  • Aangepast geïnstalleerd: Custom Device Certificate (CDC).

U kunt deze parameter ook configureren in het configuratiebestand (cfg.xml).

<Certificate_Select ua="de >Custom geïnstalleerd</Certificate_Select>

Geldige waarden: Productie geïnstalleerd|Aangepast geïnstalleerd

Standaardwaarde: Productie geïnstalleerd

3

Configureer de gebruiker ID parameter die wordt gebruikt als de identiteit voor de 802.1X-verificatie in het vaste netwerk.

Deze configuratie is alleen van toepassing als u een CDC (Custom Device Certificate) gebruikt voor bedrade 802.1X-verificatie, waarbij Certificaatselecte is ingesteld op Aangepast geïnstalleerd .

U kunt deze parameter ook configureren in het configuratiebestand (cfg.xml).

<Wired_User_ID ua="na"></Wired_User_ID>

Geldige waarden: maximaal 127 tekens

Standaard: leeg

Deze parameter ondersteunt ook macro-uitbreidingsvariabelen. Raadpleeg Macro-uitbreidingsvariabelen voor meer informatie.

Als u gebruiker ID wilt inrichten door gebruik te maken van een combinatie met DHCP opties, raadpleegt u Inrichting van gebruiker ID via DHCP optie 15.

4

Klik op Submit All Changes.

Menu Beveiligingsinstellingen op de telefoon

Als u de informatie over de beveiligingsinstellingen in het telefoonmenu wilt weergeven, gaat u naar de pagina Instellingen 9821 Settings app icon en selecteer Admin settings > Security setup > 802.1X Authentication. Welke informatie beschikbaar is, hangt af van de netwerkinstellingen in uw organisatie.

Parameters

Opties

Standaard

Beschrijving

Apparaatverificatie

Aan

Uit

Uit

Hiermee schakelt u 802.1X-verificatie op de telefoon in of uit.

De parameterinstelling kan worden bewaard na de OOB-registratie (Out-Of-Box) van de telefoon.

Transactiestatus

Uitgeschakeld

Geeft de status van 802.1X-verificatie weer. De status kan (niet beperkt tot):

  • Verifiëren: geeft aan dat het verificatieproces wordt uitgevoerd.
  • Geverifieerd: geeft aan dat de telefoon is geverifieerd.
  • Uitgeschakeld: geeft aan dat de 802.1x-verificatie is uitgeschakeld op de telefoon.
  • Verbinden: geeft aan dat de telefoon elke 30 seconden EAP start-berichten verzendt naar de switch.
  • Verkregen: geeft aan dat de switch het verzoek EAP van de telefoon heeft afgewezen en geen EAP-TLS of EAP-FAST-uitdaging van de switch heeft ontvangen. De telefoon probeert opnieuw EAP-verzoeken te verzenden.
  • Losgekoppeld: geeft aan dat de ethernetkabel is losgekoppeld.
  • In de wachtstand: geeft aan dat het verzoek EAP van de telefoon is verwerkt, maar de verificatie van EAP-FAST of EAP-TLS is geweigerd. De telefoon probeert opnieuw EAP-verzoeken te verzenden.

Protocol

Geen

Geeft de EAP methode weer die wordt gebruikt voor 802.1X-verificatie. Het protocol kan EAP-FAST of EAP-TLS zijn.

Type gebruikerscertificaat

Fabrikant geïnstalleerd

Aangepast geïnstalleerd

Fabrikant geïnstalleerd

Hiermee selecteert u het certificaat voor de 802.1X-verificatie tijdens de eerste aanmelding en het vernieuwen van het certificaat.

  • Productie geïnstalleerd—De S ENE aanduiding voor het unieke apparaat (Secure Unique Device Identifier) wordt gebruikt.
  • Aangepaste installatie: het aangepaste apparaatcertificaat (CDC) wordt gebruikt. Dit type certificaat kan worden geïnstalleerd door handmatig te uploaden op de webpagina van de telefoon of door de installatie vanaf een SCEP-server (Simple Certificate Enrollment Protocol).

Deze parameter wordt alleen op de telefoon weergegeven als Apparaatverificatie is ingeschakeld.

De gebruikers- en beheerderswachtwoorden wijzigen

Wanneer u zich voor de eerste keer aanmeldt bij een gespreksbeheersysteem of na het opnieuw instellen van de fabriek, moet u bij het openen van de webpagina voor telefoonbeheer zowel gebruikers- als beheerderswachtwoorden configureren. U kunt deze aanmeldingsgegevens op elk moment bijwerken om de apparaatbeveiliging te behouden.

Geldige wachtwoordregels omvatten de volgende:

  • Het wachtwoord moet uit minimaal 8 tot 127 tekens bestaan.
  • Een combinatie (drie van de vier typen) van hoofdletter, kleine onder letter, cijfer en speciaal teken.
  • Er is geen ruimte toegestaan.
1

Open de beheerwebpagina van de telefoon.

2

Selecteer Spraak > Systeem.

3

(Optioneel) Stel in het gedeelte Systeemconfiguratie de parameter Wachtwoordwaarschuwingen weergeven in op Ja en klik vervolgens op Alle wijzigingen indienen.

U kunt de parameters ook in het configuratiebestand van de telefoon (cfg.xml) inschakelen.

<Display_Password_Warnings ua="na">Jj</Display_Password_Warnings>

Standaard: Ja

Opties: Ja|Nee

Als de parameter is ingesteld op Nee, wordt de wachtwoordwaarschuwing niet weergegeven op het telefoonscherm.

4

Zoek de parameter gebruikerswachtwoord of beheerderswachtwoord en klik op Wachtwoord wijzigen naast de parameter.

5

Voer uw huidige gebruikerswachtwoord in het veld Oud wachtwoord in.

6

Voer een nieuw wachtwoord in het veld Nieuw wachtwoord in.

Als het nieuwe wachtwoord niet voldoet aan de geldige wachtwoordregels, wordt de instelling geweigerd.

7

Klik op Verzenden.

Het bericht Uw wachtwoord is gewijzigd. wordt op de webpagina weergegeven. De webpagina wordt binnen enkele seconden vernieuwd.

Nadat u het gebruikerswachtwoord hebt ingesteld, wordt met de parameter het volgende weergegeven in het XML-bestand met de telefoonconfiguratie (cfg.xml):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="op de >*************</User_Password> -->

Het minimumnummer TLS-versie instellen voor client en server

De minimumversie TLS voor client en server is standaard 1,2. Dit betekent dat de client en server accepteren om verbindingen tot stand te brengen met TLS 1.2 of hoger. De ondersteunde maximumversie van TLS voor client en server is 1,3. Indien geconfigureerd, wordt de minimumversie van TLS gebruikt voor onderhandelingen tussen de TLS-client en de TLS-server.

U kunt respectievelijk de minimumversie van TLS instellen voor de client en de server, zoals 1.1, 1.2 of 1.3.

Voordat u begint

Zorg dat TLS-server de minimaal geconfigureerde versie TLS ondersteunt. U kunt contact opnemen met de beheerder van het gespreksbeheersysteem.

1

Open de beheerwebpagina van de telefoon.

2

Selecteer Spraak > Systeem.

3

Configureer in de sectie Beveiligingsinstellingen de parameter TLS min.versie van client.

  • TLS 1.1: de TLS-client ondersteunt de versies van TLS van 1.1 tot 1.3.

    Als versie TLS op de server lager is dan 1.1, kan de verbinding niet tot stand worden gebracht.

  • TLS 1.2 (standaard): de TLS-client ondersteunt TLS 1.2 en 1.3.

    Als de TLS-versie op de server lager is dan 1.2, bijvoorbeeld 1.1, kan de verbinding niet tot stand worden gebracht.

  • TLS 1.3: de TLS-client ondersteunt alleen TLS 1.3.

    Als de TLS-versie op de server lager is dan 1.3, bijvoorbeeld 1.2 of 1.1, kan de verbinding niet tot stand worden gebracht.

    Als u de parameter "TLS min.versie client" wilt instellen op "TLS 1.3", moet u zorgen dat de serverzijde TLS 1.3 ondersteunt. Als TLS 1.3 van de server niet wordt ondersteund, kan dit kritieke problemen veroorzaken. U kunt bijvoorbeeld geen inrichtingsbewerkingen uitvoeren op de telefoons.

U kunt deze parameter ook configureren in het configuratiebestand (cfg.xml).

<TLS_Client_Min_Version ua="na">TLS 1,2</TLS_Client_Min_Version>

Toegestane waarden: TLS 1.1, TLS1.2 en TLS 1.3.

Standaard: TLS 1.2

4

Configureer in de sectie Beveiligingsinstellingen de parameter TLS Min.versie server.

TLS 1.1 wordt niet ondersteund door Webex Calling.

  • TLS 1.1: de TLS-server ondersteunt de versies van TLS van 1.1 tot 1.3.

    Als TLS in client lager is dan 1.1, kan de verbinding niet tot stand worden gebracht.

  • TLS 1.2 (standaard): de TLS-server ondersteunt TLS 1.2 en 1.3.

    Als TLS in client lager is dan 1.2, bijvoorbeeld 1.1, kan de verbinding niet tot stand worden gebracht.

  • TLS 1.3: de TLS-server ondersteunt alleen TLS 1.3.

    Als TLS versie in client lager is dan 1,3, bijvoorbeeld 1.2 of 1.1, kan de verbinding niet tot stand worden gebracht.

U kunt deze parameter ook configureren in het configuratiebestand (cfg.xml).

<TLS_Server_Min_Version ua="na">TLS 1,2</TLS_Server_Min_Version>

Toegestane waarden: TLS 1.1, TLS1.2 en TLS 1.3.

Standaard: TLS 1.2

5

Klik op Submit All Changes.

De door de klant geïnitieerde modus inschakelen voor beveiligingsonderhandelingen voor het mediavliegtuig

Als u mediasessies wilt beveiligen, kunt u de telefoon zo configureren dat de beveiligingsonderhandelingen voor het mediaplane op de server worden geïnitieerd. Het beveiligingsmechanisme volgt de standaards vermeld in RFC 3329 en het uitbreidingsontwerp van de namen van beveiligingsmechanismes voor media (zie https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Voor het transport van onderhandelingen tussen de telefoon en de server kan het SIP-protocol via UDP, TCP en TLS worden gebruikt. U kunt instellen dat de beveiligingsonderhandeling van het mediaplane alleen wordt toegepast wanneer het signaleringstransportprotocol TLS is.

Tabel 2. Parameters voor onderhandelen over de beveiliging van mediavliegtuigen
ParameterBeschrijving

MediaSec-aanvraag

Geeft aan of de telefoon beveiligingsonderhandelingen in de mediaplane initieert met de server.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <MediaSec_Request_1_ ua="na">Jj</MediaSec_Request_1_>
  • Stel dit veld in de telefoonwebinterface in op Ja of Nee.

Toegestane waarden: Ja|Nee

  • Ja— modus door client gestart. De telefoon initieert beveiligings onderhandelingen voor media vlieg tuigen.
  • Nee— modus door server gestart. De server initieert beveiligings onderhandelingen voor media vlieg tuigen. De telefoon start geen onderhandelingen, maar kan onderhandelings verzoeken van de server afhandelen om veilige gesp rekken tot stand te brengen.

Standaard: Nee

Alleen MediaSec via TLS

Geeft het signalerings transport protocol aan waarop de beveiligings onderhandeling voor media vlak wordt toegepast.

Voordat u dit veld instelt op Ja, moet u controleren of het signaleringstransportprotocol TLS is.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <MediaSec_Over_TLS_Only_1_ ua="na">Geen</MediaSec_Over_TLS_Only_1_>

  • Stel dit veld in de telefoonwebinterface in op Ja of Nee.

Toegestane waarden: Ja|Nee

  • Ja— de telefoon initieert of afhandelt alleen beveiligings onderhandelingen als het signalerings transport protocol TLS is.
  • Nee— de telefoon initieert de beveiligings onderhandelingen voor media vlieg tuigen, ongeacht het protocol voor het signalerings transport protocol.

Standaard: Nee

1

Open de beheerwebpagina van de telefoon.

2

Selecteer Spraak > Toestel (n).

3

Stel in het gedeelteSIP Instellingen de velden MediaSec-verzoek en MediaSec boven TLS Alleen in zoals in de bovenstaande tabel gedefinieerd.

4

Klik op Submit All Changes.

Vond u dit artikel nuttig?
Vond u dit artikel nuttig?