- Strona główna
- /
- Artykuł
Cisco IP Phone na 9800/8875 (wieloplatformowe)
Ten artykuł Pomocy dotyczy telefonów stacjonarnych Cisco serii 9800 i Cisco wideo zarejestrowanych w Cisco BroadWorks lub Webex Calling.
Konfiguracja opcji DHCP
Możliwe jest ustawienie kolejności, w jakiej telefon korzysta z opcji DHCP. Aby uzyskać pomoc dotyczącą opcji DHCP, zobacz DHCP pomoc techniczna dotycząca opcji.
1 |
Przejdź do strony WWW administrowania telefonem. |
2 |
Wybierz kolejno opcje . |
3 |
W sekcji Configuration Profile (Profil konfiguracji) ustaw parametry opcji DHCP Use i DHCPv6 Option To Use w sposób opisany poniżej:
|
4 |
Kliknij przycisk Submit All Changes (Prześlij wszystkie zmiany). |
Obsługa opcji DHCP
W poniższej tabeli wymieniono opcje DHCP obsługiwane przez telefony z systemem PhoneOS.
Standard sieciowy | Opis |
---|---|
Opcja DHCP 1 | Maska podsieci |
Opcja DHCP 2 | Przesunięcie czasu |
Opcja DHCP 3 | Router |
Opcja DHCP 6 | Serwer nazw domen |
Opcja DHCP 15 | Nazwa domeny |
Opcja DHCP 17 | Informacje specyficzne dla producenta, które go identyfikują |
Opcja DHCP 41 | Czas trwania dzierżawy adresu IP |
Opcja DHCP 42 | serwer NTP |
Opcja DHCP 43 | Informacje specyficzne dla producenta Może służyć do zapewnienia konfiguracji protokołu SCEP. |
Opcja DHCP 56 | serwer NTP Konfiguracja serwera NTP z adresacją IPv6 |
Opcja DHCP 60 | Identyfikator klasy producenta (VCI) |
Opcja DHCP 66 | Nazwa serwera TFTP |
Opcja DHCP 125 | Informacje specyficzne dla producenta, które go identyfikują |
Opcja DHCP 150 | Serwer TFTP |
Opcja DHCP 159 | Adres IP serwera obsługi administracyjnej |
Opcja DHCP 160 | Adres URL obsługi administracyjnej |
Ustaw minimalną wersję TLS dla klienta i serwera
Domyślnie minimalna wersja TLS dla klienta i serwera to 1.2. Oznacza to, że klient i serwer akceptują nawiązanie połączeń z TLS 1.2 lub wyższym. Obsługiwana maksymalna wersja TLS dla klienta i serwera to 1.3. Po skonfigurowaniu, minimalna wersja TLS będzie używana do negocjacji między klientem TLS a serwerem TLS.
Można ustawić minimalną wersję TLS odpowiednio dla klienta i serwera, na przykład 1.1, 1.2 lub 1.3.
Zanim rozpoczniesz
1 |
Przejdź do strony WWW administrowania telefonem. |
2 |
Wybierz . |
3 |
W sekcji Ustawienia zabezpieczeń skonfiguruj parametr TLS Minimalna wersja klienta.
Możesz również skonfigurować ten parametr w pliku konfiguracyjnym (cfg.xml): <TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>
Dozwolone wartości: TLS 1.1, TLS1.2 i TLS 1.3. Wartość domyślna: TLS 1.2 |
4 |
W sekcji Ustawienia zabezpieczeń skonfiguruj parametr TLS Server Min Version. Webex Calling nie obsługuje TLS 1.1.
Możesz również skonfigurować ten parametr w pliku konfiguracyjnym (cfg.xml): <TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>
Dozwolone wartości: TLS 1.1, TLS1.2 i TLS 1.3. Wartość domyślna: TLS 1.2 |
5 |
Kliknij przycisk Submit All Changes (Prześlij wszystkie zmiany). |
Włączanie trybu FIPS
Telefon może być zgodny z amerykańskimi normami Federal Information Processing Standard (FIPS)).
FIPS to zestaw standardów opisujących przetwarzanie dokumentów, algorytmy szyfrowania i inne standardy informatyczne, które są wykorzystywane przez organizacje rządowe (nie-wojskowe) oraz przez wykonawców rządowych i sprzedawców współpracujących z agencjami rządowymi. CiscoSSL FOM (FIPS Object Module) to starannie zdefiniowany składnik oprogramowania, zaprojektowany pod kątem zgodności z biblioteką CiscoSSL, dzięki czemu produkty korzystające z biblioteki CiscoSSL i API można przekonwertować na kryptografię zgodną ze standardem FIPS 140-2 przy minimalnym wysiłku.
1 |
Przejdź do strony WWW administrowania telefonem. |
2 |
Wybierz . |
3 |
W sekcji Ustawienia zabezpieczeń wybierz opcję Tak lub Nie z parametru Tryb FIPS. |
4 |
Kliknij przycisk Submit All Changes (Prześlij wszystkie zmiany). Po włączeniu funkcji FIPS w telefonie bez problemu działają następujące funkcje:
|
Ustawianie haseł użytkowników i administratorów
Po zarejestrowaniu telefonu w systemie sterowania połączeniami po raz pierwszy lub przywróceniu ustawień fabrycznych telefonu należy ustawić hasła użytkownika i administratora, aby zwiększyć bezpieczeństwo telefonu. Po ustawieniu haseł można uzyskać dostęp do interfejsu WWW telefonu.
Domyślnie hasła użytkownika i administratora są puste. Dlatego problem "Nie podano hasła" można znaleźć na
.1 |
Dostęp do strony WWW administrowania telefonem |
2 |
Wybierz . |
3 |
(Opcjonalnie) W sekcji Konfiguracja systemu ustaw parametr Wyświetl ostrzeżenia o haśle na Tak, a następnie kliknij przycisk Prześlij wszystkie zmiany. Parametry można również włączyć w pliku konfiguracyjnym telefonu (cfg.xml).
Wartość domyślna: Tak Dostępne opcje: Tak | Nie Jeśli parametr jest ustawiony na Nie, ostrzeżenie o haśle nie pojawia się na ekranie telefonu. |
4 |
Znajdź parametr Hasło użytkownika lub Hasło administratora, a następnie kliknij przycisk Zmień hasło obok parametru. |
5 |
W polu Stare hasło wpisz dotychczasowe hasło użytkownika. Jeśli nie masz hasła, pozostaw to pole puste. Wartością domyślną jest puste pole.
|
6 |
W polu Nowe hasło wpisz nowe hasło. Prawidłowe zasady hasła:
Jeśli nowe hasło nie spełnia wymagań, ustawienie zostanie odrzucone. |
7 |
Kliknij przycisk Wyślij. Na stronie internetowej zostanie wyświetlony komunikat Po ustawieniu hasła użytkownika parametr ten wyświetla następujące informacje w pliku XML konfiguracji telefonu (cfg.xml):
|
Uwierzytelnianie 802.1X
Telefony IP Cisco obsługują uwierzytelnianie 802.1X.
Telefony IP Cisco i przełączniki Cisco Catalyst używają tradycyjnie protokołu CDP (Cisco Discovery Protocol) do identyfikowania siebie nawzajem i ustalania parametrów, np. przydziału sieci VLAN i wymagań dotyczących zasilania poprzez kabel sieciowy. Protokół CDP nie rozpoznaje podłączonych lokalnie stacji roboczych. Telefony IP Cisco udostępniają mechanizm przelotowy protokołu EAPOL. Umożliwia on stacji roboczej podłączonej do telefonu IP Cisco przekazywanie komunikatów protokołu EAPOL stronie uwierzytelniającej 802.1X w przełączniku sieci LAN. Dzięki mechanizmowi przelotowemu telefon IP nie musi pełnić funkcji przełącznika sieci LAN, aby uwierzytelnić punkt końcowy danych przed uzyskaniem dostępu do sieci.
Telefony IP Cisco udostępniają również mechanizm zastępczego wylogowywania w ramach protokołu EAPOL. W sytuacji, gdy podłączony lokalnie komputer przerwie połączenie z telefonem IP, przełącznik sieci LAN nie zauważy awarii łącza fizycznego, ponieważ łącze między przełącznikiem sieci LAN a telefonem IP zostanie zachowane. Aby zapobiec naruszeniu bezpieczeństwa sieci, telefon IP wysyła do przełącznika komunikat wylogowania w ramach protokołu EAPOL w imieniu komputera, co powoduje wyczyszczenie wpisu uwierzytelnienia komputera w przełączniku.
Obsługa uwierzytelniania 802.1X wymaga kilku składników:
-
Telefon IP Cisco: telefon inicjuje żądanie dostępu do sieci. Telefony IP Cisco zawierają stronę uwierzytelnianą 802.1X. Dzięki niej administratorzy sieci mogą kontrolować łączność telefonów IP z portami przełącznika sieci LAN. Bieżąca wersja strony uwierzytelnianej 802.1X w telefonach korzysta z opcji EAP-FAST i EAP-TLS do uwierzytelniania sieci.
-
Serwer uwierzytelniania: zarówno serwer uwierzytelniania, jak i przełącznik muszą być skonfigurowane przy użyciu wspólnego hasła, które uwierzytelnia telefon.
-
Przełącznik: Przełącznik musi obsługiwać 802.1X i pełni funkcję strony uwierzytelniającej, przekazuje komunikaty między telefonem a serwerem uwierzytelniania. Po zakończeniu wymiany komunikatów przełącznik przyznaje telefonowi dostęp do sieci lub odrzuca jego żądanie.
Aby skonfigurować uwierzytelnianie 802.1X:
-
Skonfiguruj pozostałe składniki, zanim włączysz w telefonie uwierzytelnianie 802.1X.
-
Skonfiguruj port komputera: w standardzie 802.1X nie uwzględniono sieci VLAN, więc zaleca się uwierzytelnianie tylko jednego urządzenia na każdym porcie przełącznika. Niektóre przełączniki obsługują jednak uwierzytelnianie w wielu domenach. Konfiguracja przełącznika określa, czy do portu komputera w telefonie można podłączyć komputer.
-
Włączone: jeśli korzystasz z przełącznika, który obsługuje uwierzytelnianie w wielu domenach, możesz włączyć port komputera i podłączyć do niego komputer. W takim przypadku telefony IP Cisco obsługują zastępcze wylogowywanie w ramach protokołu EAPOL, aby monitorować wymianę komunikatów dotyczących uwierzytelniania między przełącznikiem a podłączonym komputerem.
Więcej informacji o zgodności przełączników Cisco Catalyst ze standardem IEEE 802.1X można znaleźć w ich podręcznikach konfiguracji pod adresem:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
Wyłączone: jeśli przełącznik nie obsługuje na tym samym porcie wielu urządzeń zgodnych ze standardem 802.1X, po włączeniu uwierzytelniania 802.1X wyłącz port komputera. W przeciwnym razie przy próbie podłączenia do niego komputera przełącznik odmówi dostępu do sieci zarówno telefonowi, jak i komputerowi.
-
- Skonfiguruj opcję VLAN głosowy: w standardzie 802.1X nie uwzględniono sieci VLAN, więc skonfiguruj tę opcję zgodnie z zakresem obsługi uwierzytelniania przez przełącznik.
- Włączone: jeśli korzystasz z przełącznika, który obsługuje uwierzytelnianie w wielu domenach, możesz kontynuować korzystanie z sieci VLAN komunikacji głosowej.
- Wyłączone: jeśli przełącznik nie obsługuje uwierzytelniania w wielu domenach, wyłącz opcję VLAN głosowy i rozważ przypisanie portu macierzystej sieci VLAN.
- (Tylko dla Cisco Desk Phone 9800 Series)
Cisco Telefon biurkowy serii 9800 ma inny prefiks w identyfikatorze PID niż pozostałe telefony Cisco. Aby umożliwić telefonowi przekazywanie uwierzytelniania 802.1X, ustaw opcję Promień· Parametr Nazwa użytkownika, aby uwzględnić telefon biurkowy Cisco Seria 9800.
Na przykład identyfikator PID telefonu 9841 to DP-9841; można ustawić promień· Nazwa użytkownika, która
zaczyna się od DP
lubzawiera DP.
Można go ustawić w obu następujących sekcjach: -
Włączanie uwierzytelniania 802.1X na stronie WWW telefonu
Gdy uwierzytelnianie 802.1X jest włączone, telefon używa uwierzytelniania 802.1X do żądania dostępu do sieci. Gdy uwierzytelnianie 802.1X jest wyłączone, telefon używa Cisco Discovery Protocol (CDP) do uzyskania VLAN i dostępu do sieci.
Można wybrać certyfikat (MIC/SUDI lub CDC) używany do uwierzytelniania 802.1X. Aby uzyskać więcej informacji na temat CDC, zobacz Certyfikat urządzenia niestandardowego na 9800/8875.
Status transakcji i ustawienia zabezpieczeń można wyświetlić w menu ekranu telefonu. Aby uzyskać więcej informacji, zobacz Menu ustawień zabezpieczeń telefonu.
1 |
Włącz uwierzytelnianie 802.1X. Wybierz opcję parametr Włącz uwierzytelnianie 802.1X na Tak. i ustawMożesz również skonfigurować ten parametr w pliku konfiguracyjnym (cfg.xml):
Prawidłowe wartości: Tak|Nie Domyślne: Nie |
2 |
Wybierz jeden z następujących zainstalowanych certyfikatów używanych do uwierzytelniania 802.1X. Opcje wartości:
Konfiguracja zależy od sieci:
|
3 |
Skonfiguruj parametr User ID , który będzie używany jako tożsamość uwierzytelniania 802.1X w sieci przewodowej. Konfiguracja parametrów jest skuteczna tylko wtedy, gdy do przewodowego uwierzytelniania 802.1X jest używana funkcja CDC (opcja Wybór certyfikatu jest ustawiona na Zainstalowano niestandardowo). Domyślnie ten parametr jest pusty. Tożsamość przewodowego standardu 802.1X różni się w zależności od wybranego certyfikatu:
Jeśli identyfikator użytkownika jest pusty, a nazwa pospolita w CDC jest skonfigurowana, wówczas przewodowy 802.1X użyje nazwy pospolitej CDC jako tożsamości. Możesz również skonfigurować ten parametr w pliku konfiguracyjnym (cfg.xml):
Prawidłowe wartości: maksymalnie 127 znaków Wartość domyślna: puste Ten parametr obsługuje również zmienne rozszerzeń makr, zobacz Zmienne rozszerzeń makr , aby uzyskać szczegółowe informacje. Jeśli chcesz użyć opcji DHCP do obsługi identyfikatora użytkownika, zobacz Inicjowanie obsługi nazwy pospolitej lub identyfikatora użytkownika za pomocą opcji DHCP 15. |
4 |
Kliknij przycisk Submit All Changes (Prześlij wszystkie zmiany). |
Menu ustawień zabezpieczeń w telefonie
Informacje o ustawieniach zabezpieczeń można wyświetlić w menu telefonu. Ścieżka nawigacji to:
. Dostępność informacji zależy od ustawień sieciowych w organizacji.
Parametry |
Opcje |
Domyślny |
Opis |
---|---|---|---|
Uwierzytelnianie urządzenia |
Włączone Wył |
Wył |
Włącza lub wyłącza uwierzytelnianie 802.1X w telefonie. Ustawienie parametrów można zachować po zarejestrowaniu telefonu Out-Of-Box (OOB). |
Status transakcji | Wyłączone |
Wyświetla stan uwierzytelniania 802.1X. Stan może być (nie ograniczony do):
| |
Protokół | Brak |
Wyświetla metodę EAP używaną do uwierzytelniania 802.1X. Protokół może mieć wartość EAP-FAST lub EAP-TLS. | |
Typ certyfikatu użytkownika |
Zainstalowane fabrycznie Instalacja niestandardowa |
Zainstalowane fabrycznie |
Wybiera certyfikat do uwierzytelniania 802.1X podczas początkowej rejestracji i odnawiania certyfikatu.
Ten parametr pojawia się w telefonie tylko wtedy, gdy jest włączone Uwierzytelnianie urządzenia. |
Zgodność wsteczna z WPA |
Włączone Wył | Wył |
Określa, czy najstarsza wersja Wi-Fi Protected Access (WPA) jest zgodna z telefonem w celu nawiązania połączenia z siecią bezprzewodową lub punktem dostępu (AP).
Ta funkcja jest dostępna tylko w telefonach 9861/9871/8875. |
Konfigurowanie serwera proxy
Telefon można skonfigurować tak, aby korzystał z serwera proxy w celu zwiększenia bezpieczeństwa. Zazwyczaj serwer proxy HTTP może udostępniać następujące usługi:
- Przekierowywanie ruchu między sieciami wewnętrznymi i zewnętrznymi
- Filtrowanie, monitorowanie i rejestrowanie ruchu
- Buforowanie odpowiedzi w celu poprawy wydajności
Ponadto serwer proxy HTTP może działać jako zapora między telefonem a Internetem. Po udanej konfiguracji telefon łączy się z Internetem za pośrednictwem serwera proxy, który chroni telefon przed cyberatakiem.
Po skonfigurowaniu funkcja serwera proxy HTTP będzie miała zastosowanie do wszystkich aplikacji korzystających z protokołu HTTP. Na przykład:
- GDS (Wdrażanie za pomocą kodu aktywacyjnego)
- Aktywacja urządzenia EDOS
- Wdrażanie do chmury Webex (za pośrednictwem EDOS lub GDS)
- Niestandardowy urząd certyfikacji
- Dostarczanie
- Aktualizacja oprog. sprzętowego
- Raport o stanie telefonu
- Metoda przesyłania plików PRT
- Usługi XSI
- Usługi Webex
- Obecnie funkcja ta obsługuje tylko IPv4.
- Ustawienia serwera proxy HTTP mogą zostać zachowane po rejestracji telefonu po wyjęciu z pudełka (OOB).
1 |
Przejdź do strony WWW administrowania telefonem. |
2 |
Wybierz . |
3 |
W sekcji Ustawienia serwera proxy HTTP wybierz tryb serwera proxy z listy rozwijanej Tryb serwera proxy i skonfiguruj powiązane parametry. Aby uzyskać więcej informacji na temat parametrów i wymaganych parametrów dla każdego trybu serwera proxy, zobacz Parametry ustawień serwera proxy HTTP . |
4 |
Kliknij przycisk Submit All Changes (Prześlij wszystkie zmiany). |
Parametry ustawień serwera proxy HTTP
Poniższa tabela definiuje funkcję i zastosowanie parametrów serwera proxy HTTP w sekcji Ustawienia serwera proxy HTTP w obszarze Tab w interfejsie internetowym telefonu. Definiuje również składnię ciągu dodanego do pliku konfiguracyjnego w formacie XML (cfg.xml) w celu skonfigurowania parametru.
Parametr | Opis |
---|---|
Tryb serwera proxy | Określa tryb proxy HTTP używany przez telefon lub wyłącza funkcję proxy HTTP.
Wykonaj jedną z następujących czynności:
Dozwolone wartości: Auto, Ręczne i Wył. Wartość domyślna: Wył. |
Automatyczne wykrywanie serwera proxy internetowego | Określa, czy telefon używa protokołu Web Proxy Auto Discovery (WPAD) do pobierania pliku PAC. Protokół WPAD używa protokołów sieciowych DHCP lub DNS, lub obu, aby automatycznie zlokalizować plik automatycznej konfiguracji serwera proxy (PAC). Plik PAC służy do wyboru serwera proxy dla danego adresu URL. Ten plik może być przechowywany lokalnie lub w sieci.
Wykonaj jedną z następujących czynności:
Dozwolone wartości: Tak oraz Nie. Wartość domyślna: Tak |
Adres PAC | Adres URL pliku PAC. Na przykład Obsługiwane są protokoły TFTP, HTTP i HTTPS. Jeśli ustawisz Tryb proxy na Auto i Automatyczne wykrywanie serwera proxy na Nie, musisz skonfigurować ten parametr. Wykonaj jedną z następujących czynności:
Wartość domyślna: puste |
Host proxy | Adres IP lub nazwa hosta serwera proxy, do którego telefon ma mieć dostęp. Na przykład:
Schemat ( Jeśli ustawisz Tryb Proxy na Ręczny, musisz skonfigurować ten parametr. Wykonaj jedną z następujących czynności:
Wartość domyślna: puste |
Port proxy | Numer portu serwera hosta proxy. Jeśli ustawisz Tryb Proxy na Ręczny, musisz skonfigurować ten parametr. Wykonaj jedną z następujących czynności:
Domyślne: 3128 |
Uwierzytelnianie proxy | Określa, czy użytkownik musi podać dane uwierzytelniające (nazwę użytkownika i hasło) wymagane przez serwer proxy. Ten parametr jest konfigurowany w zależności od rzeczywistego zachowania serwera proxy. Jeśli ustawisz parametr na Tak, musisz skonfigurować Nazwa użytkownika i Hasło. Szczegółowe informacje na temat parametrów znajdziesz w parametrach „Nazwa użytkownika” i „Hasło” w tej tabeli. Konfiguracja parametru wchodzi w życie, gdy Tryb proxy jest ustawiony na Ręczne. Wykonaj jedną z następujących czynności:
Dozwolone wartości: Tak oraz Nie. Domyślne: Nie |
Nazwa użytkownika | Nazwa użytkownika uwierzytelniającego na serwerze proxy. Jeśli Tryb proxy jest ustawiony na Ręczny , a Uwierzytelnianie proxy jest ustawione na Tak, należy skonfigurować ten parametr. Wykonaj jedną z następujących czynności:
Wartość domyślna: puste |
Hasło | Hasło określonej nazwy użytkownika dla celów uwierzytelniania przez proxy. Jeśli Tryb proxy jest ustawiony na Ręczny , a Uwierzytelnianie proxy jest ustawione na Tak, należy skonfigurować ten parametr. Wykonaj jedną z następujących czynności:
Wartość domyślna: puste |
Tryb serwera proxy | Wymagane parametry | Opis |
---|---|---|
Wył | ND | Serwer proxy HTTP jest wyłączony w telefonie. |
Ręcznie | Host proxy Port proxy Uwierzytelnianie proxy: Tak Nazwa użytkownika Hasło | Ręcznie określ serwer proxy (nazwę hosta lub adres IP) i port proxy. Jeśli serwer proxy wymaga uwierzytelnienia, musisz dodatkowo wpisać nazwę użytkownika i hasło. |
Host proxy Port proxy Uwierzytelnianie proxy: Nie | Ręcznie określ serwer proxy. Serwer proxy nie wymaga danych uwierzytelniających. | |
Auto | Automatyczne wykrywanie serwera proxy sieciowego: Nie Adres PAC | Wprowadź prawidłowy adres URL PAC, aby pobrać plik PAC. |
Automatyczne wykrywanie serwera proxy internetowego: Tak |
Używa protokołu WPAD do automatycznego pobierania pliku PAC. |
Włącz tryb inicjowany przez klienta w celu negocjacji zabezpieczeń płaszczyzny multimedialnej
Aby chronić sesje multimedialne, można skonfigurować telefon w taki sposób, aby rozpoczynał negocjacje zabezpieczeń płaszczyzny nośnika z serwerem. Mechanizm bezpieczeństwa jest zgodny ze standardami określonymi w dokumencie RFC 3329 i jego rozszerzonym projekcie Nazwy mechanizmów bezpieczeństwa dla multimediów (patrz https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Transport negocjacji między telefonem a serwerem może służyć do korzystania z protokołu SIP za pośrednictwem protokołu UDP, TCP i TLS. Negocjowanie zabezpieczeń na płaszczyźnie nośników można ograniczyć tylko wtedy, gdy protokół transportu sygnalizacji jest w trybie TLS.
Parametr | Opis |
---|---|
Żądanie MediaSec |
Określa, czy telefon inicjuje negocjacje zabezpieczeń na płaszczyźnie nośnika z serwerem. Wykonaj jedną z następujących czynności:
Dozwolone wartości: tak|nie
Domyślne: Nie |
MediaSec tylko przez TLS |
Określa protokół transportu sygnalizacji, w którym odbywa się negocjowanie zabezpieczeń płaszczyzny nośnika. Przed ustawieniem tego pola na Tak należy upewnić się, że protokół transportu sygnalizacji jest zgodny TLS. Wykonaj jedną z następujących czynności:
Dozwolone wartości: tak|nie
Domyślne: Nie |
1 |
Przejdź do strony WWW administrowania telefonem. |
2 |
Wybierz . |
3 |
W sekcji Ustawienia SIP ustaw pola Żądanie MediaSec i MediaSec Tylko dla TLS zgodnie z definicją w powyższej tabeli. |
4 |
Kliknij przycisk Submit All Changes (Prześlij wszystkie zmiany). |
Zabezpieczenia WLAN
Wszystkie urządzenia sieci WLAN znajdujące się w zasięgu mogą odbierać wszystkie dane przesyłane w sieci, dlatego zapewnienie bezpieczeństwa komunikacji głosowej ma krytyczne znaczenie dla sieci WLAN. Aby mieć pewność, że intruzi nie będą mogli manipulować ani przechwytywać ruchu głosowego, architektura zabezpieczeń Cisco SAFE obsługuje telefon. Więcej informacji o zabezpieczeniach w sieci można znaleźć na stronie http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Rozwiązanie telefonii bezprzewodowej Cisco IP zapewnia bezpieczeństwo sieci bezprzewodowej, zapobiegając nieautoryzowanym logowaniom i zagrożeniom komunikacji, korzystając z następujących metod uwierzytelniania obsługiwanych przez telefon:
-
Otwarte uwierzytelnianie: dowolne urządzenie może zażądać uwierzytelnienia w systemie otwartym. Punkt dostępu, który odbiera żądanie, może udzielić uwierzytelniania dowolnemu żądającemu lub tylko tym żądającym, którzy znajdują się na liście użytkowników. Komunikacja między urządzeniem bezprzewodowym a punktem dostępowym (AP) może być niezaszyfrowana.
-
Protokół Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Uwierzytelnianie: Ta architektura zabezpieczeń typu klient-serwer szyfruje transakcje EAP w tunelu Transport Level Security (TLS) pomiędzy punktem dostępu a serwerem RADIUS, takim jak Identity Services Engine (ISE).
Tunel TLS do uwierzytelniania między klientem (telefonem) a serwerem RADIUS używa protokołu PACs (Protected Access Credentials). Serwer wysyła do klienta (telefonu) identyfikator uwierzytelnienia (AID), który z kolei wybiera odpowiedni klucz PAC. Klient (telefon) zwraca wiadomość PAC-Opaque do serwera RADIUS. Serwer odszyfrowuje klucz PAC za pomocą klucza głównego. Oba punkty końcowe mają teraz klucz PAC, co umożliwia utworzenie tunelu TLS. Protokół EAP-FAST obsługuje automatyczne dostarczanie kluczy PAC, ale tę funkcję należy włączyć na serwerze RADIUS.
W ISE domyślnie PAC wygasa po tygodniu. Jeśli klucz PAC w telefonie jest nieważny, uwierzytelnianie z serwerem RADIUS trwa dłużej, gdy telefon pobiera nowy klucz PAC. Aby uniknąć opóźnień związanych z dostarczaniem klucza PAC, na serwerze ISE lub RADIUS ustaw okres ważności klucza PAC na 90 dni lub dłużej.
-
Uwierzytelnianie przy użyciu protokołu EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): protokół EAP-TLS wymaga certyfikatu klienta do uwierzytelniania i dostępu do sieci. W przypadku sieci bezprzewodowej EAP-TLS certyfikatem klienta może być MIC, LSC, lub certyfikat zainstalowany przez użytkownika.
-
Protokół PEAP (Protected Extensible Authentication Protocol): opracowany przez firmę Cisco protokół uwierzytelniania wzajemnego w oparciu o hasło między klientem (telefonem) a serwerem RADIUS. Telefon może używać PEAP do uwierzytelniania w sieci bezprzewodowej. Obsługiwane są metody uwierzytelniania PEAP-MSCHAPV2 i PEAP-GTC.
-
Klucz wstępnie współdzielony (PSK) :Telefon obsługuje format ASCII. Konfigurując klucz wstępny WPA/WPA2/SAE, należy użyć następującego formatu:
ASCII: ciąg znaków ASCII o długości od 8 do 63 znaków (0–9, małe i duże litery A–Z oraz znaki specjalne)
Przykład : GREG123567@9ZX&W
Następujące systemy uwierzytelnianie korzystają z serwera RADIUS do zarządzania kluczami uwierzytelniania:
-
WPA/WPA2/WPA3: Używa informacji o serwerze RADIUS do generowania unikalnych kluczy uwierzytelniania. Ponieważ klucze te są generowane na centralnym serwerze RADIUS, protokół WPA2/WPA3 zapewnia większe bezpieczeństwo w porównaniu z metodą WPA używającą wstępnych kluczy przechowywanych w punkcie dostępu w telefonie.
-
Szybki i bezpieczny roaming: używa informacji serwera RADIUS i serwera domeny bezprzewodowej do zarządzania kluczami i ich uwierzytelniania. WDS tworzy pamięć podręczną danych uwierzytelniających dla urządzeń klienckich obsługujących FT, umożliwiając szybką i bezpieczną ponowną autoryzację. Cisco Telefon stacjonarny 9861 i 9871 oraz Cisco Wideotelefon 8875 obsługują standard 802.11r (FT). Obsługiwane są połączenia bezprzewodowe i przez DS, co pozwala na szybki i bezpieczny roaming. Zalecamy jednak korzystanie z połączenia bezprzewodowego 802.11r (FT).
W przypadku WPA/WPA2/WPA3 klucze szyfrujące nie są wprowadzane na telefonie, ale są automatycznie generowane między punktem dostępu a telefonem. Jednak nazwę użytkownika i hasło EAP, które są używane do uwierzytelniania, należy wprowadzić w każdym telefonie.
Aby zagwarantować bezpieczeństwo transmisji głosowej, telefon obsługuje szyfrowanie TKIP i AES. Gdy do szyfrowania używane są te mechanizmy, zarówno pakiety sygnalizacyjne SIP, jak i pakiety głosowe protokołu Real-Time Transport Protocol (RTP) są szyfrowane między punktem dostępu i telefonem.
- TKIP
-
WPA wykorzystuje szyfrowanie TKIP, które ma kilka udoskonaleń w stosunku do WEP. Protokół TKIP udostępnia funkcję szyfrowania poszczególnych pakietów przy użyciu klucza oraz dłuższe wektory inicjowania (IV), co poprawia jakość szyfrowania. Ponadto sprawdzanie integralności wiadomości (MIC) zapewnia, że zaszyfrowane pakiety nie zostały zmienione. Protokół TKIP rozwiązuje problem z przewidywalnością protokołu WEP, która umożliwiała intruzom odszyfrowanie klucza WEP.
- AES
-
Metoda szyfrowania używana do uwierzytelniania WPA2/WPA3. Ten krajowy standard szyfrowania korzysta z algorytmu symetrycznego, używającego tego samego klucza do szyfrowania i odszyfrowywania. Protokół AES używa szyfrowania CBC (Cipher Blocking Chain) dla bloków o rozmiarze 128 bitów, stosując klucze o minimalnej długości 128, 192 i 256 bitów. Telefon obsługuje klucz o rozmiarze 256 bitów.
Cisco Telefony stacjonarne 9861 i 9871 oraz Cisco Telefon wideo 8875 nie obsługują Cisco protokołu CKIP (Key Integrity Protocol) z CMIC.
Systemy uwierzytelniania i szyfrowania są konfigurowane w bezprzewodowej sieci LAN. W sieci bezprzewodowej i w punktach dostępu są konfigurowane sieci VLAN, dla których są wybierane różne kombinacje metod uwierzytelniania i szyfrowania. Identyfikator SSID skojarzony z siecią VLAN i określonym schematem uwierzytelniania i szyfrowania. Aby uwierzytelnianie urządzeń klienckich sieci bezprzewodowej przebiegło pomyślnie, należy skonfigurować te same identyfikatory SSID oraz schematy uwierzytelniania i szyfrowania w punktach dostępowych i w telefonie.
Niektóre systemy uwierzytelniania wymagają określonych typów szyfrowania.
- W przypadku korzystania z klucza wstępnego współdzielonego WPA, klucza wstępnego współdzielonego WPA2 lub protokołu SAE klucz wstępny musi być statycznie ustawiony w telefonie. Te klucze muszą odpowiadać kluczom znajdującym się w punkcie dostępu.
-
Telefon obsługuje automatyczną negocjację EAP dla FAST lub PEAP, ale nie dla TLS. W przypadku trybu EAP-TLS należy go określić.
Schematy uwierzytelniania i szyfrowania w poniższej tabeli przedstawiają opcje konfiguracji sieci dla telefonu odpowiadające konfiguracji punktu dostępu.
Typ FSR | Uwierzytelnianie | Zarządzanie kluczami | Szyfrowanie | Chroniona Rama Zarządzania (PMF) |
---|---|---|---|---|
802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Nie |
802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Tak |
802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Nie |
802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Tak |
802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Nie |
802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Tak |
802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Nie |
802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Tak |
Skonfiguruj profil Wi-Fi
Profil Wi-Fi można skonfigurować Na stronie WWW telefonu lub używając ponownej synchronizacji profilu urządzenia zdalnego, a następnie kojarząc profil z dostępnymi sieciami Wi-Fi. Za pomocą tego profilu Wi-Fi można nawiązać połączenie z siecią Wi-Fi. Obecnie można skonfigurować tylko jeden profil Wi-Fi.
Profil zawiera parametry wymagane przez telefony do łączenia się serwera usługi telefonicznej z siecią Wi-Fi. Gdy tworzysz i używasz profilu Wi-Fi, ani Ty, ani Twoi użytkownicy nie musicie konfigurować sieci bezprzewodowej dla poszczególnych telefonów.
Profil Wi-Fi pozwala zapobiec zmianom w konfiguracji sieci Wi-Fi telefonu przez użytkownika lub je ograniczyć.
Zalecamy korzystanie z bezpiecznego profilu z włączonymi protokołami szyfrowania w celu ochrony kluczy i haseł podczas korzystania z profilu Wi-Fi.
Gdy skonfigurujesz telefony do używania metody uwierzytelniania EAP-FAST w trybie bezpiecznym, Twoi użytkownicy będą potrzebować indywidualnych danych uwierzytelniających, aby połączyć się z punktem dostępu.
1 |
Przejdź do interfejsu WWW telefonu. |
2 |
Wybierz . |
3 |
W sekcji Profil Wi-Fi (n) ustaw parametry zgodnie z opisem w poniższej tabeli Parametry dla profilu Wi-Fi. Konfiguracja profilu Wi-Fi jest również dostępna po zalogowaniu użytkownika.
|
4 |
Kliknij przycisk Submit All Changes (Prześlij wszystkie zmiany). |
Parametry profilu Wi-Fi
Poniższa tabela zawiera informacje na temat przeznaczenia i zastosowania parametrów znajdujących się w części Profil Wi-Fi(n) na karcie System na stronie WWW telefonu. Definiuje również składnię ciągu dodawanego do pliku konfiguracyjnego telefonu (cfg.xml) w celu skonfigurowania parametru.
Parametr | Opis |
---|---|
Nazwa sieci | Umożliwia wprowadzenie nazwy identyfikatora SSID, która będzie wyświetlana na telefonie. Wiele profili może mieć taką samą nazwę sieci i różne tryby zabezpieczeń. Wykonaj jedną z następujących czynności:
Wartość domyślna: puste |
Tryb zabezpieczeń | Można wybrać metodę uwierzytelniania zabezpieczającą dostęp do sieci Wi-Fi. W zależności od wybranej metody wyświetli się pole, w którym należy podać dane uwierzytelniające wymagane do przyłączenia się do sieci Wi-Fi. Wykonaj jedną z następujących czynności:
Wartość domyślna: automatycznie |
Identyfikator użytkownika sieci Wi-Fi | Umożliwia wprowadzenie identyfikatora użytkownika w profilu sieci. To pole jest dostępne po ustawieniu trybu zabezpieczeń na Auto, EAP-FAST lub EAP-PEAP. To pole jest obowiązkowe i może się składać z co najwyżej 32 znaków alfanumerycznych. Wykonaj jedną z następujących czynności:
Wartość domyślna: puste |
Hasło sieci Wi-Fi | Umożliwia wprowadzenie hasła dla określonego identyfikatora użytkownika sieci Wi-Fi. Wykonaj jedną z następujących czynności:
Wartość domyślna: puste |
Pasmo częstotliwości | Umożliwia wybranie pasma sygnału sieci bezprzewodowej, który jest używany w sieci WLAN. Wykonaj jedną z następujących czynności:
Wartość domyślna: automatycznie |
Wybierz certyfikat | Umożliwia wybranie typu certyfikatu na potrzeby początkowej rejestracji i odnawiania certyfikatu w sieci bezprzewodowej. Proces ten jest dostępny wyłącznie w przypadku uwierzytelniania 802.1X. Wykonaj jedną z następujących czynności:
Domyślnie: zainstalowano produkcyjnie |
Sprawdź stan bezpieczeństwa urządzenia na telefonie
Twój telefon automatycznie sprawdza stan bezpieczeństwa urządzenia. Jeśli w telefonie zostaną wykryte potencjalne zagrożenia bezpieczeństwa, w menu Problemy i diagnostyka można wyświetlić szczegóły problemów. Na podstawie zgłoszonych problemów administrator może podjąć działania mające na celu zabezpieczenie i wzmocnienie zabezpieczeń telefonu.
Stan bezpieczeństwa urządzenia jest dostępny przed zarejestrowaniem telefonu w systemie kontroli połączeń (Webex Calling lub BroadWorks).
Aby wyświetlić szczegóły problemów bezpieczeństwa na ekranie telefonu, wykonaj następujące czynności:
1 |
Naciśnij przycisk Ustawienia |
2 |
Wybierz .Obecnie raport dotyczący bezpieczeństwa urządzenia zawiera następujące problemy:
|
3 |
Aby uzyskać pomoc w rozwiązaniu problemów z bezpieczeństwem, skontaktuj się z administratorem. |