I denne artikkelen
dropdown icon
Konfigurer DHCP alternativer
    Støtte for DHCP-alternativ
dropdown icon
Trådløs LAN-sikkerhet
    Sett opp Wi-Fi profil
dropdown icon
802.1X-godkjenning for kablede nettverk
    Aktivere 802.1X-godkjenning for kablede nettverk på telefonen
    Aktivere 802.1X-godkjenning for kablede nettverk på telefonens webside
    Meny for sikkerhetsinnstillinger på telefonen
Endre bruker- og administratorpassord
Angi minimum TLS-versjon for klient og server
Aktiver klientinitiert modus for sikkerhetsforhandlinger på medieplan
Cisco trådløs telefon 9821 sikkerhet (multiplatform)
list-menuI denne artikkelen
list-menuTilbakemelding?

Denne hjelpeartikkelen gjelder Cisco trådløs telefon 9821 registrert på Webex Calling.

Konfigurer DHCP alternativer

Du kan angi i hvilken rekkefølge telefonen skal bruke DHCP-alternativene. Hvis du vil ha hjelp med DHCP Alternativer, kan du se DHCP kundestøtte for alternativer.

1

Åpne telefonens administrasjonsnettside.

http://<ip adresse>/admin/avansert

2

Velg Stemme > Klargjøring.

3

I delen Konfigurasjonsprofil angir du alternativet DHCP for å bruke parameteren. Dette paramter består av en rekke DHCP alternativer, avgrenset av komma, som brukes til å hente firmware og profiler.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • På telefonens nettside angir du en serie med DHCP-alternativer, adskilt med komma.

Standard: 66,160,159,150,60,43,125

4

Klikk på Godta alle endringer.

Støtte for DHCP-alternativ

Tabellen nedenfor viser DHCP-alternativene som støttes på Cisco trådløs telefon 9821.

NettverksstandardBeskrivelse
DHCP alternativ 1Nettverksmaske
DHCP alternativ 2Tidsforskyvning
DHCP alternativ 3Ruteren
DHCP alternativ 6Domenenavnserver
DHCP alternativ 15Domenenavn
DHCP alternativ 17Rotbane
DHCP alternativ 41IP adresse leietid
DHCP alternativ 42NTP-server
DHCP alternativ 43Leverandørspesifikk informasjon

Kan brukes til å levere SCEP-konfigurasjonen.

DHCP alternativ 56NTP-server
DHCP alternativ 60Identifikator for leverandørklasse
DHCP alternativ 66TFTP servernavn
DHCP alternativ 125Leverandøridentifiserende leverandørspesifikk informasjon
DHCP alternativ 150TFTP-server
DHCP alternativ 159Klargjøringsserver IP
DHCP alternativ 160URL-adresse for klargjøring

Trådløs LAN-sikkerhet

Fordi alle WLAN-enheter som er innenfor rekkevidde, kan motta all annen WLAN-trafikk, er sikring av talekommunikasjon kritisk i WLAN-er. For å sikre at inntrengere ikke manipulerer eller fanger opp taletrafikk, støtter Cisco SAFE Security-arkitekturen telefonen. Hvis du vil ha mer informasjon om sikkerhet i nettverk, kan du se http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Telefoniløsningen Cisco Wireless IP gir trådløs nettverkssikkerhet som forhindrer uautoriserte pålogginger og kompromittert kommunikasjon ved å bruke følgende godkjenningsmetoder som telefonen støtter.

  • Åpen godkjenning: Alle trådløse enheter kan be om godkjenning i et åpent system. Tilgangspunktet som mottar forespørselen kan gi godkjenning til en hvilken som helst anmoder eller bare til anmodere som finnes på en liste over brukere. Kommunikasjon mellom den trådløse enheten og tilgangspunktet (AP) kan være ukryptert.

  • Utvidbar godkjenningsprotokoll-fleksibel godkjenning via sikker tunnelering (EAP-FAST) Godkjenning: Denne klient-server-sikkerhetsarkitekturen krypterer EAP-transaksjoner i en TLS)-tunnel (Transport Level Security) mellom AP- og RADIUS-serveren, for eksempel Identity Services Engine (ISE).

    TLS-tunnelen bruker PAC-legitimasjon (Protected Access Credentials) til godkjenning mellom klienten (telefon) og RADIUS-serveren. Serveren sender en AID (Authority ID) til klienten (telefonen), som igjen velger den riktige PAC-koden. Klienten (telefonen) returnerer en PAC-Opaque til RADIUS-serveren. Serveren dekrypterer PAC-koden med hovednøkkelen. Begge endepunktene inneholder nå PAC-nøkkelen, og det opprettes en TLS-tunnel. EAP-FAST støtter automatisk klargjøring av PAC-koder, men må du aktivere det på RADIUS-serveren.

    I ISE, som standard, utløper PAC om en uke. Hvis telefonen har en utløpt PAC-kode, tar godkjenning med RADIUS-serveren lengre tid mens telefonen får en ny PAC-kode. For å unngå forsinkelser ved klargjøring av PAC-koder kan du angi utløpsperioden for PAC-koder til 90 dager eller lenger på ISE- eller RADIUS-serveren.

  • EAP-TLS-godkjenning (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS krever et klientsertifikat for godkjenning og nettverkstilgang. For trådløs EAP-TLS kan klientsertifikatet være MIC eller brukerinstallert sertifikat.

  • PEAP (Protected Extensible Authentication Protocol): Ciscos egenutviklede passordbaserte ordning for gjensidig godkjenning mellom klienten (telefonen) og en RADIUS-server. Telefonen kan bruke PEAP for autentisering med det trådløse nettverket. Både godkjenningsmetodene PEAP-MSCHAPV2 og PEAP-GTC støttes.

    For å støtte PEAP-GTC-godkjenning for Cisco Wireless Phone 9821, konfigurer den nødvendige policyen innenfor Cisco ISE-policysettet.

  • Pre-Shared Key (PSK): Telefonen støtter ASCII og heksadesimale (HEX) formater. Du må bruke disse formatene når du konfigurerer en forhåndsdelt WPA2/SAE-nøkkel.

    ASCII: En ASCII-tegnstreng med en lengde på 8 til 63 tegn (0-9, små bokstaver a-z, store A-Z og spesialtegn). For eksempel,GREG123567@9ZX &W.

    HEX: En HEX-tegnstreng med 64 sekskantsifre i lengde (0-9, a-f eller A-F).

De følgende godkjenningsordningene bruker RADIUS-serveren til å håndtere godkjenningsnøkler:

  • WPA2/WPA3: bruker RADIUS-serverinformasjon til å generere unike godkjenningsnøkler. Fordi disse nøklene genereres på den sentraliserte RADIUS-serveren, gir WPA2/WPA3 bedre sikkerhet enn forhåndsdelte WPA-nøkler som er lagret på tilgangspunktet og telefonen.

  • Rask og sikker roaming: bruker RADIUS-serveren og informasjon fra en trådløst domene-server (WDS) til å håndtere og godkjenne nøkler. WDS oppretter en hurtigbuffer med sikkerhetslegitimasjon for FT-aktiverte klientenheter for rask og sikker reautentisering.

Med WPA2/WPA3 angis ikke krypteringsnøkler på telefonen, men avledes automatisk mellom tilgangspunktet og telefonen. Men EAP-brukernavnet og -passordet som brukes til godkjenning, må angis på hver telefon.

For å beskytte taletrafikk over den trådløse koblingen støtter telefonen AES-basert kryptering for WPA2/WPA3-godkjenning. AES er et symmetrisk blokkchiffer standardisert av NIST. AES bruker en fast 128-biters blokkstørrelse og støtter nøkkelstørrelser på 128 bits, 192 bits og 256 bits. I Wi-Fi-nettverk brukes AES av chiffreringssamlinger som CCMP eller GCMP, mens godkjenning gis separat av PSK, SAE eller 802.1X/EAP, avhengig av den konfigurerte WLAN-sikkerhetsmodusen. Den støttede chiffreringspakken og nøkkelstørrelsen avhenger av telefonmodellen og WLAN konfigurasjonen.

Godkjennings- og krypteringsordninger konfigureres innenfor det trådløse LAN-et. VLAN-er konfigureres i nettverket og på tilgangspunktene og angir forskjellige kombinasjoner av godkjenning og kryptering. En SSID knyttes til et VLAN og til den bestemte godkjennings og krypteringsordningen. For at trådløse klientenheter skal godkjennes, må du konfigurere de samme SSID-ene med godkjennings- og krypteringsskjemaene på tilgangspunktene og på telefonen.

Noen godkjenningsordninger krever bestemte typer kryptering.

Når du bruker WPA2 forhåndsdelt nøkkel eller SAE, må den forhåndsdelte nøkkelen være statisk angitt på telefonen. Disse nøklene må samsvare med tastene på tilgangspunktet.

Godkjennings- og krypteringsskjemaene i tabellen nedenfor viser nettverkskonfigurasjonsalternativene for Cisco trådløs telefon 9821 som tilsvarer tilgangspunktkonfigurasjon.

Tabell 1. Godkjennings- og krypteringsordninger
FSR TypeGodkjenningNøkkeladministrasjonKrypteringBeskyttet styringsramme (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNei
802.11r (FT)WPA3

SAE

FT-SAE

AESJa
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNei
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNei
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNei
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
ikke-FTSuite-BWPA-EAP-SUITE-BGCMPJa
ikke-FTSuite-B-192WPA-EAP-SUITE-B-192GCMPJa

Sett opp Wi-Fi-profil

Du kan konfigurere Wi-Fi-profiler fra websiden for telefonadministrasjon eller via en ekstern enhetsprofilsynkronisering. Når de er konfigurert, kan du knytte disse profilene til tilgjengelige trådløse nettverk for å opprette tilkobling. Cisco Trådløs telefon 9821 støtter maksimalt fire konfigurerte Wi-Fi-profiler.

Profilen inneholder parametrene som er nødvendige for å kunne koble telefoner til telefonserveren med Wi-Fi. Når du oppretter og bruker en Wi-Fi-profil, trenger ikke du eller brukerne å konfigurere det trådløse nettverket for individuelle telefoner.

En Wi-Fi-profil gjør det mulig å forhindre eller begrense endringer i Wi-Fi-konfigurasjonen på telefonen fra brukeren.

Vi anbefaler at du bruker en sikker profil med krypteringsaktiverte protokoller for å beskytte nøkler og passord når du bruker en Wi-Fi-profil.

Når du konfigurerer telefonene til å bruke godkjenningsmetoden EAP-FAST i sikkerhetsmodus, trenger brukerne individuell legitimasjon for å koble til et tilgangspunkt.

1

Gå til telefonens webside.

2

Velg Stemme > System.

3

I seksjonen Wi-Fi Profil (n) angir du parametrene som beskrevet i følgende tabell Parametere for Wi-Fi-profil.

Profilkonfigurasjonen Wi-Fi er også tilgjengelig for brukerpåloggingen.
4

Klikk på Godta alle endringer.

Parametere for Wi-Fi profil

Tabellen nedenfor definerer funksjonen og bruken av hver parameter i Wi-Fi Profile(n) -delen under System Tab på telefonens webside. Den definerer også syntaksen til strengen som legges til i telefonkonfigurasjonsfilen (cfg.XML) for å konfigurere en parameter.

ParameterBeskrivelse
NettverksnavnHer kan du angi et navn på SSID-en. Dette vises på telefonen. Flere profiler kan ha samme nettverksnavn med ulik sikkerhetsmodus.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <Network_Name_1_ua="rw">cisco</Network_Name_1_>

  • Skriv inn et navn for SSID på telefonens nettside.

Standard: tom

SikkerhetsmodusLar deg velge hvilken godkjenningsmetode som skal brukes til å sikre tilgangen til Wi-Fi-nettverket. Avhengig av hvilken metode du velger, vises et passordfelt slik at du kan angi legitimasjonen som kreves for å bli med i dette Wi-Fi nettverket.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- tilgjengelige alternativer: |EAP-FAST|||PSK||Ingen|EAP-PEAP|EAP-TLS -->

  • Velg én av metodene på telefonens webside:
    • EAP-FAST
    • PSK
    • Ingen
    • EAP-PEAP
    • EAP-TLS

Standard: Ingen

Wi-Fi-bruker-IDLar deg angi en bruker-ID for nettverksprofilen.

Dette feltet er tilgjengelig når du setter sikkerhetsmodusen til Auto, EAP-FAST eller EAP-PEAP. Feltet er obligatorisk og har en maksimumslengde på 32 alfanumeriske tegn.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • På telefonens webside angir du en bruker ID for nettverksprofilen.

Standard: tom

Wi-Fi-passordHer kan du oppgi passordet for den angitte Wi-Fi-bruker-ID-en.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Skriv inn et passord for brukeren ID du har lagt til, på telefonens webside.

Standard: tom

FrekvensbåndHer kan du velge frekvensbåndet for trådløse signaler som WLAN-et skal bruke.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Velg ett av alternativene på telefonens webside:
    • Automatisk
    • 2,4 GHz
    • 5 GHz eller 6 GHz

Standard: Automatisk

Velg sertifikatLar deg velge en sertifikattype for innmelding av sertifikat og sertifikatfornyelse i trådløsnettverket. Denne prosessen er bare tilgjengelig for 802.1X-autentifikasjon.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <Certificate_Select_1_ ua="rw">Produksjon installert</Certificate_Select_1_>

  • Velg ett av alternativene på telefonens nettside:
    • Produksjon installert
    • Tilpasset installasjon

Standard: Produksjon installert

Kontroll-modusKontrollerer om brukeren har lov til å konfigurere Wi-Fi-profilene.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <Control_Mode_1_ ua="rw">Tillat</Control_Mode_1_>

  • Velg ett av alternativene på telefonens nettside:
    • Tillate
    • Forbudt
    • Begrenset

Standard: Tillat

AktivererKontrollerer om Wi-Fi-profilen er aktivert.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <Enable_1_ ua="rw">Ja</Enable_1_>

  • Velg ett av alternativene på telefonens nettside:
    • Ja
    • Nei

Standard: Ja

ProfilnavnLar deg angi et navn for profilen som skal vises på telefonen.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <Profile_Name_1_ ua="rw">Profil 1</Profile_Name_1_>

  • Skriv inn et navn på profilen på telefonens nettside.

Standard: Profil 1

PSK-passfraseLar deg angi PSK-passordet når sikkerhetsmodus er satt til PSK.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <PSK_Passphrase_1_ ua="rw">*************</PSK_Passphrase_1_>

  • Skriv inn PSK-passordet på telefonens nettside.

Standard: Tillat

802.1X-godkjenning for kablede nettverk

Cisco Trådløs telefon 9821 støtter 802.1X-godkjenning for kablede nettverk. Dette brukes vanligvis under automatisk klargjøring når telefonen er koblet til skrivebordsladeren via en støttet USB-til-Ethernet-adapter.

Støtte for 802.1X-godkjenning på kablede nettverk krever flere komponenter som følger:

  • Cisco IP-telefon: Telefonen sender forespørselen om tilgang til nettverket. Cisco IP-telefoner inneholder en 802.1X-anmoder. Denne anmoderen tillater at nettverksadministratorer kontrollerer tilkoblingen for IP-telefoner til LAN-svitsjeportene. Den gjeldende versjonen av telefonens 802.1X-anmoder bruker alternativene EAP-FAST og EAP-TLS for nettverksgodkjenning.

  • Godkjenningsserver: Både godkjenningsserveren og svitsjen må konfigureres med en delt RADIUS-hemmelighet.

  • Svitsj: Svitsjen må støtte 802.1X, slik at den kan fungere som autentisator og videresende EAP-meldingene mellom telefonen og godkjenningsserveren. Etter at utvekslingen er fullført, gir eller avslår svitsjen tilgang til nettverket for telefonen.

Cisco IP-telefon og Cisco Catalyst-svitsjer bruker tradisjonelt CDP-protokollen (Cisco Discovery Protocol) til å identifisere hverandre og definere parametere, for eksempel VLAN-tildeling og innebygde strømkrav.

Du må utføre følgende handlinger for å konfigurere 802.1X.

  • Konfigurer CDP/LLDP stemme VLAN bypass.

  • Konfigurer godkjenningsserveren og svitsjen før du aktiverer 802.1X-godkjenning for kablede nettverk på telefonen.

  • Konfigurer Tale-VLAN: 802.1X-standarden omfatter ikke VLAN-er, og derfor må du konfigurere denne innstillingen basert på svitsjstøtten.

    • Aktivert: Hvis du bruker en svitsj som støtter godkjenning på flere domener, kan du konfigurere den til å bruke stemmen VLAN.
    • Deaktivert: Hvis svitsjen ikke støtter godkjenning på flere domener, deaktiverer du Tale-VLAN og vurderer å tilordne porten til opprinnelig VLAN.
  • Cisco Trådløs telefon 9821 har et annet prefiks i PID enn for de andre Cisco-telefonene. Hvis du vil at telefonen skal bestå 802.1X-godkjenning, angir du Radius· Brukernavnparameter for å inkludere Cisco trådløs telefon 9821.

    For eksempel er PID for Cisco trådløs telefon 9821 WP-9821. Du kan angi radius · Brukernavn til å begynne med WP eller inneholder WP i begge følgende seksjoner:

    • Retningslinjer > betingelser > bibliotekbetingelser

    • Policy > policysett> autorisasjonspolicy > autorisasjonsregel 1

Aktivere 802.1X-godkjenning for kablede nettverk på telefonen

Følg denne fremgangsmåten for å aktivere 802.1X-godkjenning for kablede nettverk på telefonen. Vær oppmerksom på at 802.1X-godkjenning for Wi-Fi er aktivert som standard og krever ingen manuell konfigurasjon.

1

Få tilgang til innstillingene 9821 Settings app icon App.

2

Hvis du blir bedt om det, skriver du inn passordet for å få tilgang til Innstillinger-menyen . Du kan få passordet fra administratoren.

3

Velg Administratorinnstillinger > Sikkerhetsoppsett > 802.1X-godkjenning.

4

Merk Enhetsautentisering og trykk på .

Aktivere 802.1X-godkjenning for kablede nettverk på telefonens webside

Når 802.1X-godkjenning for kablede nettverk er aktivert, bruker telefonen 802.1X-godkjenning til å be om nettverkstilgang fra Ethernet LAN-porten. Når 802.1X-godkjenning for kablede nettverk er deaktivert, bruker telefonen Cisco Discovery Protocol (CDP) til å hente VLAN og nettverkstilgang. Vær oppmerksom på at 802.1X-godkjenning for Wi-Fi er aktivert som standard og krever ingen manuell konfigurasjon.

Du kan velge et sertifikat (MIC/SUDI eller CDC) som brukes for 802.1X-godkjenningen. Hvis du vil ha mer informasjon om CDC, kan du se Custom Device Certificate on Cisco Wireless Phone 9821.

Du kan vise transaksjonsstatus og sikkerhetsinnstillinger på telefonskjermmenyen. Hvis du vil ha mer informasjon, kan du se Meny for sikkerhetsinnstillinger på telefonen.

1

Aktiver 802.1X-godkjenning.

Velg Stemme > System. I delen 802.1X-godkjenning setter du parameteren Aktiver 802.1X-godkjenning til Ja.

Du kan også konfigurere denne parameteren i konfigurasjonsfilen (cfg.XML):

<Enable_802.1X_Authentication ua="rw">Ja</Enable_802.1X_Autentisering>

Gyldige verdier: Ja|Nei

Standard: Ingen

2

I delen 802.1X-godkjenning velger du ett av følgende installerte sertifikater som brukes for 802.1X-godkjenning, fra rullegardinlisten Sertifikatvalg .

Alternativer for verdi:

  • Produksjon installert: MIC/SUDI.
  • Tilpasset installert: Custom Device Certificate (CDC).

Du kan også konfigurere denne parameteren i konfigurasjonsfilen (cfg.XML):

<Certificate_Select ua="rw">Custom installert</Certificate_Select>

Gyldige verdier: Produksjon installert|Tilpasset installasjon

Standard: Produksjon installert

3

Konfigurer parameteren User ID som skal brukes som identitet for 802.1X-godkjenningen i det kablede nettverket.

Denne konfigurasjonen gjelder bare når du bruker et Custom Device Certificate (CDC) for kablet 802.1X-godkjenning, med Sertifikatvalg satt til Tilpasset installert.

Du kan også konfigurere denne parameteren i konfigurasjonsfilen (cfg.XML):

<Wired_User_ID ua="na"></Wired_User_ID>

Gyldige verdier: Maksimalt 127 tegn

Standard: tom

Denne parameteren støtter også makroutvidelsesvariabler, se Makroutvidelsesvariabler hvis du vil ha mer informasjon.

Hvis du vil klargjøre brukeren ID ved hjelp av en kombinasjon med DHCP-alternativer, kan du se Klargjøring av bruker ID via DHCP alternativ 15.

4

Klikk på Godta alle endringer.

Meny for sikkerhetsinnstillinger på telefonen

Hvis du vil vise informasjon om sikkerhetsinnstillingene fra telefonmenyen, går du til Innstillinger 9821 Settings app icon app og velg Administratorinnstillinger > Sikkerhetsoppsett > 802.1X-godkjenning. Tilgjengeligheten av informasjonen avhenger av nettverksinnstillingene i organisasjonen.

Parametre

Alternativer

Standard

Beskrivelse

Enhetsgodkjenning

Av

Av

Aktiverer eller deaktiverer 802.1X-godkjenning på telefonen.

Parameterinnstillingen kan beholdes etter telefonens medfølgende registrering (OOB).

Transaksjonsstatus

Deaktivert

Viser tilstanden for 802.1X-godkjenning. Staten kan være (ikke begrenset til):

  • Godkjenning – Angir at godkjenningsprosessen pågår.
  • Godkjent – Angir at telefonen er godkjent.
  • Deaktivert – Angir at 802.1x-godkjenning er deaktivert på telefonen.
  • Kobler til – Angir at telefonen sender EAP startmeldinger til svitsjen hvert 30. sekund.
  • Hentet – Angir at svitsjen har avvist telefonens EAP-forespørsel, og at telefonen ikke mottar noen utfordring av EAP-TLS eller EAP-FAST fra svitsjen. Telefonen prøver på nytt å sende EAP-forespørsler.
  • Frakoblet – Angir at Ethernet-kabelen er koblet fra.
  • Ventet: Angir at svitsjen har behandlet telefonens EAP-forespørsel, men avvist EAP-FAST- eller EAP-TLS-godkjenningen. Telefonen prøver på nytt å sende EAP-forespørsler.

Protokoll

Ingen

Viser EAP metoden som brukes for 802.1X-godkjenning. Protokollen kan være EAP-FAST eller EAP-TLS.

Type brukersertifikat

Produksjon installert

Tilpasset installasjon

Produksjon installert

Velger sertifikatet for 802.1X-godkjenningen under den første registreringen og sertifikatfornyelsen.

  • Produksjon installert – Secure Unique Device Identifier (SUDI) brukes.
  • Tilpasset installert – Custom Device Certificate (CDC) brukes. Denne sertifikattypen kan installeres enten ved manuell opplasting på telefonens webside eller ved installasjon fra en SCEP-server (Simple Certificate Enrollment Protocol).

Denne parameteren vises bare på telefonen når enhetsgodkjenning er aktivert.

Endre bruker- og administratorpassord

Ved første gangs registrering hos et anropskontrollsystem eller etter en tilbakestilling til fabrikkstandarden, må du konfigurere både bruker- og administratorpassord første gang du åpner nettsiden for telefonadministrasjon. Du kan oppdatere denne påloggingsinformasjonen når som helst for å opprettholde enhetssikkerheten.

Gyldige passordregler inkluderer følgende:

  • Passordet må inneholde mellom 8 og 127 tegn.
  • En kombinasjon (tre av de fire typene) med stor bokstav, liten liten bokstav, tall og spesialtegn.
  • Plass er ikke tillatt.
1

Åpne telefonens administrasjonsnettside.

2

Velg Stemme > System.

3

(Valgfritt) I delen Systemkonfigurasjon setter du parameteren Vis passordadvarsler til Ja, og deretter klikker du Send alle endringer.

Du kan også aktivere parameterne i telefonkonfigurasjonsfilen (cfg.XML).

<Display_Password_Warnings ua="na">Ja</Display_Password_Warnings>

Standard: Ja

Alternativer: Ja|Nei

Hvis parameteren er satt til Nei, vises ikke passordadvarselen på telefonskjermen.

4

Finn parameteren Brukerpassord eller Administratorpassord, og klikk på Endre passord ved siden av parameteren.

5

Skriv inn gjeldende brukerpassord i feltet Gammelt passord .

6

Skriv inn et nytt passord i feltet Nytt passord .

Hvis det nye passordet ikke oppfyller de gyldige passordreglene, blir innstillingen avslått.

7

Klikk på Bekreft.

Meldingen Passordet er endret. vises på nettsiden. Nettsiden oppdateres om noen sekunder.

Når du har angitt brukerpassordet, viser denne parameteren følgende i telefonkonfigurasjonsfilen XML (cfg.XML):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Angi minimum TLS-versjon for klient og server

Som standard er minimum TLS-versjonen for klient og server 1.2. Dette betyr at klienten og serveren godtar å opprette forbindelser med TLS 1.2 eller nyere. Den støttede maksimale versjonen av TLS for klient og server er 1.3. Når den er konfigurert, vil minimum TLS-versjonen bli brukt til forhandlinger mellom TLS-klienten og TLS-serveren.

Du kan angi minimumsversjonen av TLS for henholdsvis klient og server, for eksempel 1.1, 1.2 eller 1.3.

Før du begynner

Kontroller at TLS-serveren støtter den konfigurerte minimumsversjonen TLS. Du kan rådføre deg med administratoren av anropskontrollsystemet.

1

Åpne telefonens administrasjonsnettside.

2

Velg Stemme > System.

3

I seksjonen Sikkerhetsinnstillinger konfigurerer du parameteren TLS Klient min-versjon.

  • TLS 1.1: TLS-klienten støtter versjonene av TLS fra 1.1 til 1.3.

    Hvis TLS-versjonen på serveren er lavere enn 1.1, kan ikke tilkoblingen opprettes.

  • TLS 1.2 (standard): TLS-klienten støtter TLS 1.2 og 1.3.

    Hvis TLS-versjonen på serveren er lavere enn 1.2, for eksempel 1.1, kan ikke tilkoblingen opprettes.

  • TLS 1.3: TLS-klienten støtter bare TLS 1.3.

    Hvis TLS-versjonen i serveren er lavere enn 1.3, for eksempel 1.2 eller 1.1, kan ikke tilkoblingen opprettes.

    Hvis du vil sette parameteren "TLS Klient Min versjon" til "TLS 1.3", må du kontrollere at serversiden støtter TLS 1.3. Hvis serversiden ikke støtter TLS 1.3, kan dette forårsake kritiske problemer. Klargjøringsoperasjonene kan for eksempel ikke utføres på telefonene.

Du kan også konfigurere denne parameteren i konfigurasjonsfilen (cfg.XML):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Tillatte verdier: TLS 1.1, TLS1.2 og TLS 1.3.

Standard: TLS 1.2

4

I seksjonen Sikkerhetsinnstillinger konfigurerer du parameteren TLS Server Min versjon.

Webex Calling støtter ikke TLS 1.1.

  • TLS 1.1: TLS serveren støtter versjonene av TLS fra 1.1 til 1.3.

    Hvis TLS versjonen i klienten er lavere enn 1.1, kan ikke tilkoblingen opprettes.

  • TLS 1.2 (standard): TLS serveren støtter TLS 1.2 og 1.3.

    Hvis TLS-versjonen i klienten er lavere enn 1.2, for eksempel 1.1, kan ikke tilkoblingen opprettes.

  • TLS 1.3: The TLS serveren støtter TLS 1.3 bare.

    Hvis TLS-versjonen i klienten er lavere enn 1.3, for eksempel 1.2 eller 1.1, kan ikke tilkoblingen opprettes.

Du kan også konfigurere denne parameteren i konfigurasjonsfilen (cfg.XML):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Tillatte verdier: TLS 1.1, TLS1.2 og TLS 1.3.

Standard: TLS 1.2

5

Klikk på Godta alle endringer.

Aktiver klientinitiert modus for sikkerhetsforhandlinger på medieplan

Hvis du vil beskytte medieøkter, kan du konfigurere telefonen til å starte sikkerhetsforhandlinger med serveren. Sikkerhetsmekanismen følger standardene angitt i RFC 3329 og dens utvidelsesutkast Sikkerhetsmekanismenavn for media (se https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Transport av forhandlinger mellom telefonen og serveren kan bruke SIP protokollen over UDP, TCP, og TLS. Du kan begrense at sikkerhetsforhandlinger for mediefly bare brukes når signaltransportprotokollen er TLS.

Tabell 2. Parametere for sikkerhetsforhandlinger på medieplan
ParameterBeskrivelse

MediaSec-forespørsel

Angir om telefonen starter sikkerhetsforhandlinger med serveren.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <MediaSec_Request_1_ ua="na">Ja</MediaSec_Request_1_>
  • I telefonens webgrensesnitt setter du dette feltet til Ja eller Nei etter behov.

Tillatte verdier: Ja|Nei

  • Ja – klientinitiert modus. Telefonen innleder medieflyets sikkerhetsforhandlinger.
  • Nei – Serverinitiert modus. Serveren starter medieplansikkerhetsforhandlinger. Telefonen starter ikke forhandlinger, men kan behandle forhandlingsforespørsler fra serveren for å etablere sikre anrop.

Standard: Ingen

Bare MediaSec over TLS

Angir signaltransportprotokollen som sikkerhetsforhandlinger for medieplan brukes over.

Før du setter dette feltet til Ja, må du kontrollere at signaltransportprotokollen er TLS.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <MediaSec_Over_TLS_Only_1_ ua="na">Nei</MediaSec_Over_TLS_Only_1_>

  • I telefonens webgrensesnitt setter du dette feltet til Ja eller Nei etter behov.

Tillatte verdier: Ja|Nei

  • Ja, telefonen starter eller håndterer sikkerhetsforhandlinger på medieplan bare når signaltransportprotokollen er TLS.
  • Nei, telefonen initierer og håndterer sikkerhetsforhandlinger på mediefly uavhengig av signaltransportprotokollen.

Standard: Ingen

1

Åpne telefonens administrasjonsnettside.

2

Velg Stemme > Ext(n).

3

I delen SIP Settings angir du feltene MediaSec Request og MediaSec Over TLS Only som definert i tabellen ovenfor.

4

Klikk på Godta alle endringer.

Var denne artikkelen nyttig?
Var denne artikkelen nyttig?