W tym artykule
dropdown icon
Konfigurowanie opcji DHCP
    Obsługa opcji DHCP
dropdown icon
Zabezpieczenia bezprzewodowej sieci LAN
    Konfigurowanie profilu Wi-Fi
dropdown icon
Uwierzytelnianie 802.1X w sieciach przewodowych
    Włączanie uwierzytelniania 802.1X dla sieci przewodowych w telefonie
    Włączanie uwierzytelniania 802.1X dla sieci przewodowych na stronie WWW telefonu
    Menu ustawień zabezpieczeń w telefonie
Zmienianie haseł użytkowników i administratorów
Ustaw minimalną wersję TLS dla klienta i serwera
Włączanie trybu inicjowanego przez klienta dla negocjacji zabezpieczeń płaszczyzny nośników
Cisco Zabezpieczenia telefonu bezprzewodowego 9821 (wieloplatformowe)
list-menuW tym artykule
list-menuOpinia?

Ten artykuł Pomocy dotyczy Cisco telefonu bezprzewodowego 9821 zarejestrowanego na Webex Calling.

Konfiguracja opcji DHCP

Możliwe jest ustawienie kolejności, w jakiej telefon korzysta z opcji DHCP. Aby uzyskać pomoc dotyczącą opcji DHCP, zobacz DHCP pomoc techniczna dotycząca opcji.

1

Przejdź do strony WWW administrowania telefonem.

http://<ip adres>/admin/advanced

2

Wybierz kolejno opcje Głos > Obsługa administracyjna.

3

W sekcji Configuration Profile (Profil konfiguracji) ustaw parametr DHCP Option To Use (Opcja użycia ). Ten parametr składa się z serii opcji DHCP, oddzielonych przecinkami, używanych do pobierania oprogramowania układowego i profili.

Wykonaj jedną z następujących czynności:

  • W pliku konfiguracyjnym telefonu z plikiem XML (cfg.xml) wprowadź ciąg w następującym formacie:

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • Na stronie WWW telefonu wprowadź serię opcji DHCP rozdzielonych przecinkami.

Wartość domyślna: 66,160,159,150,60,43,125

4

Kliknij przycisk Submit All Changes (Prześlij wszystkie zmiany).

Obsługa opcji DHCP

W poniższej tabeli wymieniono opcje DHCP obsługiwane przez telefon bezprzewodowy Cisco 9821.

Standard sieciowyOpis
Opcja DHCP 1Maska podsieci
Opcja DHCP 2Przesunięcie czasu
Opcja DHCP 3Router
Opcja DHCP 6Serwer nazw domen
Opcja DHCP 15Nazwa domeny
Opcja DHCP 17Ścieżka katalogu głównego
Opcja DHCP 41Czas trwania dzierżawy adresu IP
Opcja DHCP 42serwer NTP
Opcja DHCP 43Informacje specyficzne dla producenta

Może służyć do zapewnienia konfiguracji protokołu SCEP.

Opcja DHCP 56serwer NTP
Opcja DHCP 60Identyfikator klasy producenta (VCI)
Opcja DHCP 66Nazwa serwera TFTP
Opcja DHCP 125Informacje specyficzne dla producenta, które go identyfikują
Opcja DHCP 150Serwer TFTP
Opcja DHCP 159Adres IP serwera obsługi administracyjnej
Opcja DHCP 160Adres URL obsługi administracyjnej

Zabezpieczenia bezprzewodowej sieci LAN

Wszystkie urządzenia sieci WLAN znajdujące się w zasięgu mogą odbierać wszystkie dane przesyłane w sieci, dlatego zapewnienie bezpieczeństwa komunikacji głosowej ma krytyczne znaczenie dla sieci WLAN. Aby zapewnić, że intruzi nie manipulują ani nie przechwytują ruchu głosowego, architektura Cisco SAFE Security obsługuje telefon. Aby uzyskać więcej informacji o zabezpieczeniach sieci, zobacz http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Rozwiązanie telefoniczne Cisco Wireless IP zapewnia bezpieczeństwo sieci bezprzewodowej, które zapobiega nieautoryzowanym logowaniom i zakłóceniom komunikacji przy użyciu następujących metod uwierzytelniania obsługiwanych przez telefon.

  • Otwarte uwierzytelnianie: dowolne urządzenie może zażądać uwierzytelnienia w systemie otwartym. Punkt dostępu, który odbiera żądanie, może udzielić uwierzytelniania dowolnemu żądającemu lub tylko tym żądającym, którzy znajdują się na liście użytkowników. Komunikacja między urządzeniem bezprzewodowym a punktem dostępowym (AP) może być nieszyfrowana.

  • Uwierzytelnianie elastyczne w protokole uwierzytelniania rozszerzonego za pomocą bezpiecznego tunelowania (EAP-FAST): Ta architektura zabezpieczeń klient-serwer szyfruje transakcje EAP w tunelu Transport Level Security (TLS) między punktem dostępu a serwerem RADIUS, takim jak aparat usług tożsamości (ISE).

    Tunel TLS do uwierzytelniania między klientem (telefonem) a serwerem RADIUS używa protokołu PACs (Protected Access Credentials). Serwer wysyła do klienta (telefonu) identyfikator uwierzytelnienia (AID), który z kolei wybiera odpowiedni klucz PAC. Klient (telefon) zwraca wiadomość PAC-Opaque do serwera RADIUS. Serwer odszyfrowuje klucz PAC za pomocą klucza głównego. Oba punkty końcowe mają teraz klucz PAC, co umożliwia utworzenie tunelu TLS. Protokół EAP-FAST obsługuje automatyczne dostarczanie kluczy PAC, ale tę funkcję należy włączyć na serwerze RADIUS.

    W ISE domyślnie PAC wygasa za tydzień. Jeśli klucz PAC w telefonie jest nieważny, uwierzytelnianie z serwerem RADIUS trwa dłużej, gdy telefon pobiera nowy klucz PAC. Aby uniknąć opóźnień związanych z dostarczaniem klucza PAC, na serwerze ISE lub RADIUS ustaw okres ważności klucza PAC na 90 dni lub dłużej.

  • Uwierzytelnianie przy użyciu protokołu EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): protokół EAP-TLS wymaga certyfikatu klienta do uwierzytelniania i dostępu do sieci. W przypadku sieci bezprzewodowej EAP-TLS certyfikat klienta może być certyfikatem MIC lub certyfikatem zainstalowanym przez użytkownika.

  • Protokół PEAP (Protected Extensible Authentication Protocol): opracowany przez firmę Cisco protokół uwierzytelniania wzajemnego w oparciu o hasło między klientem (telefonem) a serwerem RADIUS. Telefon może używać PEAP do uwierzytelniania w sieci bezprzewodowej. Obsługiwane są metody uwierzytelniania PEAP-MSCHAPV2 i PEAP-GTC.

    Aby zapewnić obsługę uwierzytelniania PEAP-GTC dla telefonu Cisco Wireless Phone 9821, skonfiguruj odpowiednie zasady w zestawie zasad Cisco ISE.

  • Klucz wstępny (PSK): telefon obsługuje formaty ASCII i szesnastkowe (HEX). Tych formatów należy użyć podczas konfigurowania klucza wstępnego WPA2/SAE.

    ASCII: Ciąg znaków ASCII o długości od 8 do 63 znaków (0-9, małe litery a-z, wielkie litery A-Z i znaki specjalne). Na przykład GREG123567@9ZX&W.

    HEX: Ciąg znaków HEX z 64 cyframi szesnastkowymi (0-9, a-f lub A-F).

Następujące systemy uwierzytelnianie korzystają z serwera RADIUS do zarządzania kluczami uwierzytelniania:

  • WPA2/WPA3: używa informacji serwera RADIUS do generowania unikatowych kluczy uwierzytelniania. Ponieważ klucze te są generowane na centralnym serwerze RADIUS, protokół WPA2/WPA3 zapewnia większe bezpieczeństwo w porównaniu z metodą WPA używającą wstępnych kluczy przechowywanych w punkcie dostępu w telefonie.

  • Szybki i bezpieczny roaming: używa informacji serwera RADIUS i serwera domeny bezprzewodowej do zarządzania kluczami i ich uwierzytelniania. Usługi wdrażania systemu Windows tworzą pamięć podręczną poświadczeń zabezpieczeń dla urządzeń klienckich z obsługą FT w celu szybkiego i bezpiecznego ponownego uwierzytelnienia.

W przypadku WPA2/WPA3 klucze szyfrowania nie są wprowadzane w telefonie, ale są automatycznie pobierane między punktem dostępu a telefonem. Jednak nazwę użytkownika i hasło EAP, które są używane do uwierzytelniania, należy wprowadzić w każdym telefonie.

Aby chronić ruch głosowy za pośrednictwem łącza bezprzewodowego, telefon obsługuje szyfrowanie oparte na AES dla uwierzytelniania WPA2/WPA3. AES jest symetrycznym szyfrem blokowym standaryzowanym przez NIST. AES używa stałego 128-bitowego rozmiaru bloku i obsługuje klucze o rozmiarach 128 bitów, 192 bitów i 256 bitów. W sieciach Wi-Fi AES jest używany przez zestawy szyfrów, takie jak CCMP lub GCMP, podczas gdy uwierzytelnianie jest dostarczane oddzielnie przez PSK, SAE lub 802.1X/EAP, w zależności od skonfigurowanego trybu zabezpieczeń WLAN. Obsługiwany zestaw szyfrów i rozmiar klucza zależą od modelu telefonu i konfiguracji WLAN.

Systemy uwierzytelniania i szyfrowania są konfigurowane w bezprzewodowej sieci LAN. W sieci bezprzewodowej i w punktach dostępu są konfigurowane sieci VLAN, dla których są wybierane różne kombinacje metod uwierzytelniania i szyfrowania. Identyfikator SSID skojarzony z siecią VLAN i określonym schematem uwierzytelniania i szyfrowania. Aby bezprzewodowe urządzenia klienckie mogły się pomyślnie uwierzytelnić, należy skonfigurować te same identyfikatory SSID wraz z ich schematami uwierzytelniania i szyfrowania w punktach dostępu i w telefonie.

Niektóre systemy uwierzytelniania wymagają określonych typów szyfrowania.

W przypadku korzystania z klucza wstępnego WPA2 (SAE) klucz wstępny musi być statycznie ustawiony w telefonie. Te klucze muszą odpowiadać kluczom znajdującym się w punkcie dostępu.

Schematy uwierzytelniania i szyfrowania w poniższej tabeli przedstawiają opcje konfiguracji sieci dla telefonu bezprzewodowego Cisco 9821 odpowiadającego konfiguracji punktu dostępu.

Tabela 1. Systemy uwierzytelniania i szyfrowania
Typ FSRUwierzytelnianiaZarządzanie kluczamiSzyfrowaniaChroniona ramka zarządzania (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNie
802.11r (FT)WPA3

SAE

FT-SAE

AESTak
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNie
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESTak
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNie
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESTak
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNie
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESTak
Inne niż FTApartament typu Suite-BWPA-EAP-SUITE-BGCMPTak
Inne niż FTApartament typu Suite-B-192WPA-EAP-SUITE-B-192GCMPTak

Konfigurowanie profilu Wi-Fi

Profile Wi-Fi można skonfigurować na stronie WWW administracji telefonu lub poprzez zdalną ponowną synchronizację profilu urządzenia. Po skonfigurowaniu można skojarzyć te profile z dostępnymi sieciami bezprzewodowymi w celu ustanowienia łączności. Cisco Telefon bezprzewodowy 9821 obsługuje maksymalnie cztery skonfigurowane profile Wi-Fi.

Profil zawiera parametry wymagane przez telefony do łączenia się serwera usługi telefonicznej z siecią Wi-Fi. Podczas tworzenia profilu Wi-Fi i korzystania z niego użytkownicy nie musicie konfigurować sieci bezprzewodowej dla poszczególnych telefonów.

Profil Wi-Fi pozwala zapobiec zmianom w konfiguracji sieci Wi-Fi telefonu przez użytkownika lub je ograniczyć.

Zalecamy używanie bezpiecznego profilu z protokołami obsługującymi szyfrowanie w celu ochrony kluczy i haseł podczas korzystania z profilu Wi-Fi.

Podczas konfigurowania telefonów do korzystania z metody uwierzytelniania EAP-FAST w trybie zabezpieczeń użytkownicy potrzebują indywidualnych poświadczeń, aby połączyć się z punktem dostępu.

1

Przejdź do interfejsu WWW telefonu.

2

Wybierz Głos > System.

3

W sekcji Wi-Fi Profil (n) ustaw parametry zgodnie z opisem w poniższej tabeli Parametry profilu Wi-Fi.

Konfiguracja profilu Wi-Fi jest również dostępna dla logowania użytkownika.
4

Kliknij przycisk Submit All Changes (Prześlij wszystkie zmiany).

Parametry profilu Wi-Fi

W poniższej tabeli zdefiniowano funkcję i zastosowanie poszczególnych parametrów w sekcji Wi-Fi Profil(n) w polu System Tab na stronie WWW telefonu. Definiuje również składnię ciągu dodawanego do pliku konfiguracyjnego telefonu (cfg.xml) w celu skonfigurowania parametru.

ParametrOpis
Nazwa sieciUmożliwia wprowadzenie nazwy identyfikatora SSID, która będzie wyświetlana na telefonie. Wiele profili może mieć taką samą nazwę sieci i różne tryby zabezpieczeń.

Wykonaj jedną z następujących czynności:

  • W pliku konfiguracyjnym telefonu z plikiem XML (cfg.xml) wprowadź ciąg w następującym formacie:

    <Network_Name_1_ ua="rw">Cisco</Network_Name_1_>

  • Na stronie WWW telefonu wprowadź nazwę SSID.

Wartość domyślna: puste

Tryb zabezpieczeńMożna wybrać metodę uwierzytelniania zabezpieczającą dostęp do sieci Wi-Fi. W zależności od wybranej metody zostanie wyświetlone pole hasła, w którym można podać poświadczenia wymagane do przyłączenia się do tej sieci Wi-Fi.

Wykonaj jedną z następujących czynności:

  • W pliku konfiguracyjnym telefonu z plikiem XML (cfg.xml) wprowadź ciąg w następującym formacie:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- Dostępne opcje: |EAP-FAST|||PSK||Brak|EAP-PEAP|EAP-TLS -->

  • Na stronie WWW telefonu wybierz jedną z metod:
    • EAP-FAST
    • PSK
    • Brak
    • EAP-PEAP
    • EAP-TLS

Domyślne: Brak

Identyfikator użytkownika sieci Wi-FiUmożliwia wprowadzenie identyfikatora użytkownika w profilu sieci.

To pole jest dostępne po ustawieniu trybu zabezpieczeń na Auto, EAP-FAST lub EAP-PEAP. To pole jest obowiązkowe i może się składać z co najwyżej 32 znaków alfanumerycznych.

Wykonaj jedną z następujących czynności:

  • W pliku konfiguracyjnym telefonu z plikiem XML (cfg.xml) wprowadź ciąg w następującym formacie:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Na stronie WWW telefonu wprowadź użytkownika ID profilu sieciowego.

Wartość domyślna: puste

Hasło sieci Wi-FiUmożliwia wprowadzenie hasła dla określonego identyfikatora użytkownika sieci Wi-Fi.

Wykonaj jedną z następujących czynności:

  • W pliku konfiguracyjnym telefonu z plikiem XML (cfg.xml) wprowadź ciąg w następującym formacie:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Na stronie WWW telefonu wprowadź hasło dodanego użytkownika ID.

Wartość domyślna: puste

Pasmo częstotliwościUmożliwia wybranie pasma sygnału sieci bezprzewodowej, który jest używany w sieci WLAN.

Wykonaj jedną z następujących czynności:

  • W pliku konfiguracyjnym telefonu z plikiem XML (cfg.xml) wprowadź ciąg w następującym formacie:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Na stronie WWW telefonu wybierz jedną z opcji:
    • Auto
    • 2,4 GHz
    • 5 GHz lub 6 GHz

Wartość domyślna: automatycznie

Wybierz certyfikatUmożliwia wybranie typu certyfikatu dla początkowej rejestracji certyfikatu i odnowienia certyfikatu w sieci bezprzewodowej. Ten proces jest dostępny tylko w przypadku uwierzytelniania 802.1X.

Wykonaj jedną z następujących czynności:

  • W pliku konfiguracyjnym telefonu z plikiem XML (cfg.xml) wprowadź ciąg w następującym formacie:

    <Certificate_Select_1_ ua="rw">Instalacja zainstalowana</Certificate_Select_1_>

  • Na stronie WWW telefonu wybierz jedną z opcji:
    • Zainstalowane fabrycznie
    • Instalacja niestandardowa

Wartość domyślna: Instalacja produkcyjna

Tryb sterowaniaOkreśla, czy użytkownik może konfigurować profile Wi-Fi.

Wykonaj jedną z następujących czynności:

  • W pliku konfiguracyjnym telefonu z plikiem XML (cfg.xml) wprowadź ciąg w następującym formacie:

    <Control_Mode_1_ ua="rw">Zezwól</Control_Mode_1_>

  • Na stronie WWW telefonu wybierz jedną z opcji:
    • Umożliwić swobodne otworzenie
    • Niedozwolone
    • Ograniczony

Wartość domyślna: Zezwól

WłączyćOkreśla, czy profil Wi-Fi jest włączony.

Wykonaj jedną z następujących czynności:

  • W pliku konfiguracyjnym telefonu z plikiem XML (cfg.xml) wprowadź ciąg w następującym formacie:

    <Enable_1_ ua="rw">Tak</Enable_1_>

  • Na stronie WWW telefonu wybierz jedną z opcji:
    • Tak
    • Nie

Wartość domyślna: Tak

Nazwa profiluUmożliwia wprowadzenie nazwy profilu, który będzie wyświetlany na telefonie.

Wykonaj jedną z następujących czynności:

  • W pliku konfiguracyjnym telefonu z plikiem XML (cfg.xml) wprowadź ciąg w następującym formacie:

    <Profile_Name_1_ ua="rw">Profil 1</Profile_Name_1_>

  • Na stronie WWW telefonu wprowadź nazwę profilu.

Wartość domyślna: Profil 1

Hasło pomocnicze PSKUmożliwia wprowadzenie hasła PSK, gdy tryb zabezpieczeń jest ustawiony na PSK.

Wykonaj jedną z następujących czynności:

  • W pliku konfiguracyjnym telefonu z plikiem XML (cfg.xml) wprowadź ciąg w następującym formacie:

    <PSK_Passphrase_1_ ua="rw">*************</PSK_Passphrase_1_>

  • Na stronie WWW telefonu wprowadź hasło PSK.

Wartość domyślna: Zezwól

Uwierzytelnianie 802.1X w sieciach przewodowych

Cisco Telefon bezprzewodowy 9821 obsługuje uwierzytelnianie 802.1X w sieciach przewodowych. Jest to zwykle używane podczas automatycznego inicjowania obsługi, gdy telefon jest podłączony do ładowarki biurkowej za pośrednictwem obsługiwanego adaptera USB-to-Ethernet.

Obsługa uwierzytelniania 802.1X w sieciach przewodowych wymaga kilku następujących składników:

  • Telefon IP Cisco: telefon inicjuje żądanie dostępu do sieci. Telefony IP Cisco zawierają stronę uwierzytelnianą 802.1X. Dzięki niej administratorzy sieci mogą kontrolować łączność telefonów IP z portami przełącznika sieci LAN. Bieżąca wersja strony uwierzytelnianej 802.1X w telefonach korzysta z opcji EAP-FAST i EAP-TLS do uwierzytelniania sieci.

  • Serwer uwierzytelniania: Serwer uwierzytelniania i przełącznik muszą być skonfigurowane przy użyciu wspólnego hasła usługi RADIUS.

  • Przełącznik: przełącznik musi obsługiwać standard 802.1X, aby mógł działać jako wystawca uwierzytelnienia i przekazywać komunikaty EAP między telefonem a serwerem uwierzytelniania. Po zakończeniu wymiany komunikatów przełącznik przyznaje telefonowi dostęp do sieci lub odrzuca jego żądanie.

Telefony IP Cisco i przełączniki Cisco Catalyst używają tradycyjnie protokołu CDP (Cisco Discovery Protocol) do identyfikowania siebie nawzajem i ustalania parametrów, np. przydziału sieci VLAN i wymagań dotyczących zasilania poprzez kabel sieciowy.

Aby skonfigurować uwierzytelnianie 802.1X:

  • Skonfiguruj obejście głosu CDP/LLDP VLAN.

  • Przed włączeniem uwierzytelniania 802.1X dla sieci przewodowych w telefonie skonfiguruj serwer uwierzytelniania i przełącznik.

  • Skonfiguruj opcję VLAN głosowy: w standardzie 802.1X nie uwzględniono sieci VLAN, więc skonfiguruj tę opcję zgodnie z zakresem obsługi uwierzytelniania przez przełącznik.

    • Włączone: jeśli używasz przełącznika obsługującego uwierzytelnianie wielodomenowe, możesz skonfigurować go do korzystania z głosu VLAN.
    • Wyłączone: jeśli przełącznik nie obsługuje uwierzytelniania w wielu domenach, wyłącz opcję VLAN głosowy i rozważ przypisanie portu macierzystej sieci VLAN.
  • Cisco Telefon bezprzewodowy 9821 ma inny prefiks w identyfikatorze PID niż pozostałe telefony Cisco. Aby umożliwić telefonowi przekazywanie uwierzytelniania 802.1X, ustaw opcję Promień· User-Name , aby dołączyć telefon bezprzewodowy Cisco 9821.

    Na przykład identyfikator PID telefonu bezprzewodowego Cisco 9821 to WP-9821. Możesz ustawić promień· Nazwa użytkownika, aby rozpocząć od WP lub Zawiera WP w obu następujących sekcjach:

    • Zasady > Warunki > Warunki biblioteczne

    • Zasady > Zestawy zasad> Zasady autoryzacji > Reguła autoryzacji 1

Włączanie uwierzytelniania 802.1X dla sieci przewodowych w telefonie

Wykonaj poniższe czynności, aby włączyć uwierzytelnianie 802.1X dla sieci przewodowych w telefonie. Należy pamiętać, że uwierzytelnianie 802.1X dla Wi-Fi jest domyślnie włączone i nie wymaga ręcznej konfiguracji.

1

Przejdź do ustawień 9821 Settings app icon App.

2

Jeśli zostanie wyświetlony monit, wprowadź hasło, aby uzyskać dostęp do menu Ustawienia . Hasło można uzyskać od administratora.

3

Wybierz Ustawienia administracyjne > Konfiguracja zabezpieczeń> Uwierzytelnianie 802.1X.

4

Podświetl Uwierzytelnianie urządzenia i naciśnij .

Włączanie uwierzytelniania 802.1X dla sieci przewodowych na stronie WWW telefonu

Gdy włączone jest uwierzytelnianie 802.1X dla sieci przewodowych, telefon używa uwierzytelniania 802.1X do żądania dostępu do sieci z portu Ethernet LAN. Gdy uwierzytelnianie 802.1X dla sieci przewodowych jest wyłączone, telefon używa Cisco Discovery Protocol (CDP) do uzyskania VLAN i dostępu do sieci. Należy pamiętać, że uwierzytelnianie 802.1X dla Wi-Fi jest domyślnie włączone i nie wymaga ręcznej konfiguracji.

Można wybrać certyfikat (MIC/SUDI lub CDC) używany do uwierzytelniania 802.1X. Aby uzyskać więcej informacji na temat CDC, zobacz Custom Device Certificate on Cisco Wireless Phone 9821.

Status transakcji i ustawienia zabezpieczeń można wyświetlić w menu ekranu telefonu. Aby uzyskać więcej informacji, zobacz Menu ustawień zabezpieczeń telefonu.

1

Włącz uwierzytelnianie 802.1X.

Wybierz Głos > System. W sekcji Uwierzytelnianie 802.1X ustaw parametr Włącz uwierzytelnianie 802.1X na Tak.

Możesz również skonfigurować ten parametr w pliku konfiguracyjnym (cfg.xml):

<Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>

Prawidłowe wartości: Tak|Nie

Domyślne: Nie

2

W sekcji Uwierzytelnianie 802.1X z listy rozwijanej Wybór certyfikatu wybierz jeden z następujących zainstalowanych certyfikatów używanych do uwierzytelniania 802.1X.

Opcje wartości:

  • Instalacja produkcyjna: MIC/SUDI.
  • Instalacja niestandardowa: Custom Device Certificate (CDC).

Możesz również skonfigurować ten parametr w pliku konfiguracyjnym (cfg.xml):

<Certificate_Select ua="rw">Zainstalowano niestandardowo</Certificate_Select>

Prawidłowe wartości: Instalacja produkcyjna|Instalacja niestandardowa

Wartość domyślna: Instalacja produkcyjna

3

Skonfiguruj parametr ID użytkownika, który będzie używany jako tożsamość uwierzytelniania 802.1X w sieci przewodowej.

Ta konfiguracja ma zastosowanie tylko wtedy, gdy do przewodowego uwierzytelniania 802.1X jest używany certyfikat urządzenia niestandardowego (Custom Device Certificate) z ustawieniem Certificate Select ( Niestandardowe ) zainstalowane.

Możesz również skonfigurować ten parametr w pliku konfiguracyjnym (cfg.xml):

<Wired_User_ID ua="na"></Wired_User_ID>

Prawidłowe wartości: maksymalnie 127 znaki

Wartość domyślna: puste

Ten parametr obsługuje również zmienne rozszerzeń makr, zobacz Zmienne rozszerzeń makr , aby uzyskać szczegółowe informacje.

Jeśli chcesz udostępnić użytkownikowi ID przy użyciu kombinacji z opcjami DHCP, zobacz Inicjowanie obsługi administracyjnej użytkownika ID za pomocą opcji DHCP 15.

4

Kliknij przycisk Submit All Changes (Prześlij wszystkie zmiany).

Menu ustawień zabezpieczeń w telefonie

Aby wyświetlić informacje o ustawieniach zabezpieczeń z menu telefonu, przejdź do opcji Ustawienia 9821 Settings app icon i wybierz Ustawienia administratora> Konfiguracja zabezpieczeń> Uwierzytelnianie 802.1X. Dostępność informacji zależy od ustawień sieciowych w organizacji.

Parametry

Opcje

Domyślny

Opis

Uwierzytelnianie urządzenia

Włączone

Wył

Wył

Włącza lub wyłącza uwierzytelnianie 802.1X w telefonie.

Ustawienie parametrów można zachować po zarejestrowaniu telefonu Out-Of-Box (OOB).

Status transakcji

Wyłączone

Wyświetla stan uwierzytelniania 802.1X. Stan może być (nie ograniczony do):

  • Uwierzytelnianie — wskazuje, że proces uwierzytelniania jest w toku.
  • Uwierzytelnione — wskazuje, że telefon jest uwierzytelniony.
  • Wyłączone — wskazuje, że uwierzytelnianie 802.1x w telefonie jest wyłączone.
  • Łączenie — wskazuje, że telefon co 30 sekund wysyła do przełącznika komunikaty EAP start.
  • Nabyte — wskazuje, że przełącznik odrzucił żądanie EAP telefonu i telefon nie otrzymuje od przełącznika żadnego wyzwania EAP-TLS ani EAP-FAST. Telefon ponawia próbę wysłania żądań EAP.
  • Odłączony — wskazuje, że kabel Ethernet został odłączony.
  • Wstrzymane — wskazuje, że przełącznik przetworzył żądanie EAP telefonu, ale odrzucił uwierzytelnianie EAP-FAST lub EAP-TLS. Telefon ponowił próbę wysłania żądań EAP.

Protokół

Brak

Przedstawia metodę EAP używaną do uwierzytelniania 802.1X. Protokół może mieć wartość EAP-FAST lub EAP-TLS.

Typ certyfikatu użytkownika

Zainstalowane fabrycznie

Instalacja niestandardowa

Zainstalowane fabrycznie

Wybiera certyfikat do uwierzytelniania 802.1X podczas początkowej rejestracji i odnawiania certyfikatu.

  • Zainstalowana produkcja — używany jest bezpieczny unikatowy identyfikator urządzenia (SUDI).
  • Niestandardowa instalacja — Używany jest niestandardowy certyfikat urządzenia (CDC). Certyfikat tego typu można zainstalować przez ręczne przesłanie na stronie WWW telefonu lub przez instalację z serwera protokołu SCEP (Simple Certificate Enrollment Protocol).

Ten parametr pojawia się w telefonie tylko wtedy, gdy jest włączone Uwierzytelnianie urządzenia.

Zmienianie haseł użytkowników i administratorów

Po początkowej rejestracji w systemie sterowania połączeniami lub po przywróceniu ustawień fabrycznych należy skonfigurować hasła użytkowników i administratorów podczas uzyskiwania dostępu do strony WWW administracji telefonu. Możesz zaktualizować te poświadczenia w dowolnym momencie, aby zachować bezpieczeństwo urządzenia.

Prawidłowe reguły haseł obejmują:

  • Hasło musi zawierać od 8 do 127 znaków.
  • Kombinacja (trzy z czterech typów) wielkiej litery, małej małej litery, cyfry i znaku specjalnego.
  • Miejsce nie jest dozwolone.
1

Przejdź do strony WWW administrowania telefonem.

2

Wybierz Głos > System.

3

(Opcjonalnie) W sekcji Konfiguracja systemu ustaw parametr Wyświetl ostrzeżenia o haśle na Tak, a następnie kliknij przycisk Prześlij wszystkie zmiany.

Parametry można również włączyć w pliku konfiguracyjnym telefonu (cfg.xml).

<Display_Password_Warnings ua="na">Tak</Display_Password_Warnings>

Wartość domyślna: Tak

Dostępne opcje: Tak | Nie

Jeśli parametr jest ustawiony na Nie, ostrzeżenie o haśle nie pojawia się na ekranie telefonu.

4

Znajdź parametr Hasło użytkownika lub Hasło administratora, a następnie kliknij przycisk Zmień hasło obok parametru.

5

W polu Stare hasło wpisz dotychczasowe hasło użytkownika.

6

W polu Nowe hasło wpisz nowe hasło.

Jeśli nowe hasło nie spełnia prawidłowych reguł hasła, ustawienie zostanie odrzucone.

7

Kliknij przycisk Wyślij.

Na stronie internetowej zostanie wyświetlony komunikat Hasło zostało zmienione pomyślnie. Strona internetowa odświeży się po kilku sekundach.

Po ustawieniu hasła użytkownika parametr ten wyświetla następujące informacje w pliku XML konfiguracji telefonu (cfg.xml):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Ustaw minimalną wersję TLS dla klienta i serwera

Domyślnie minimalna wersja TLS dla klienta i serwera to 1.2. Oznacza to, że klient i serwer akceptują nawiązanie połączeń z TLS 1.2 lub wyższym. Obsługiwana maksymalna wersja TLS dla klienta i serwera to 1.3. Po skonfigurowaniu do negocjacji między klientem TLS a serwerem TLS będzie używana minimalna wersja protokołu TLS.

Można ustawić minimalną wersję protokołu TLS odpowiednio dla klienta i serwera, na przykład 1.1, 1.2 lub 1.3.

Zanim rozpoczniesz

Upewnij się, że serwer TLS obsługuje skonfigurowaną minimalną wersję TLS. Możesz skonsultować się z administratorem systemu sterowania połączeniami.

1

Przejdź do strony WWW administrowania telefonem.

2

Wybierz Głos > System.

3

W sekcji Ustawienia zabezpieczeń skonfiguruj parametr TLS Minimalna wersja klienta.

  • TLS 1.1: Klient TLS obsługuje wersje protokołu TLS od 1.1 do 1.3.

    Jeśli wersja TLS na serwerze jest niższa niż 1.1, nie można nawiązać połączenia.

  • TLS 1.2 (domyślnie): klient TLS obsługuje protokoły TLS 1.2 i 1.3.

    Jeśli wersja protokołu TLS na serwerze jest niższa niż 1.2, na przykład 1.1, nie można nawiązać połączenia.

  • TLS 1.3: Klient TLS obsługuje tylko protokół TLS 1.3.

    Jeśli wersja protokołu TLS na serwerze jest niższa niż 1.3, na przykład 1.2 lub 1.1, nie można nawiązać połączenia.

    Jeśli chcesz ustawić parametr "TLS Client Min Version" na "TLS 1.3", upewnij się, że strona serwera obsługuje TLS 1.3. Jeśli strona serwera nie obsługuje TLS 1.3, może to spowodować krytyczne problemy. Na przykład nie można wykonywać operacji inicjowania obsługi administracyjnej na telefonach.

Możesz również skonfigurować ten parametr w pliku konfiguracyjnym (cfg.xml):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Dozwolone wartości: TLS 1.1, TLS1.2 i TLS 1.3.

Wartość domyślna: TLS 1.2

4

W sekcji Ustawienia zabezpieczeń skonfiguruj parametr TLS Server Min Version.

Webex Calling nie obsługuje TLS 1.1.

  • TLS 1.1: serwer TLS obsługuje wersje protokołu TLS od 1.1 do 1.3.

    Jeśli wersja TLS w kliencie jest niższa niż 1.1, nie można nawiązać połączenia.

  • TLS 1.2 (domyślnie): serwer TLS obsługuje TLS 1.2 i 1.3.

    Jeśli wersja TLS w kliencie jest niższa niż 1.2, na przykład 1.1, nie można nawiązać połączenia.

  • TLS 1.3: Serwer TLS obsługuje tylko protokół TLS 1.3.

    Jeśli wersja TLS w kliencie jest niższa niż 1.3, na przykład 1.2 lub 1.1, nie można nawiązać połączenia.

Możesz również skonfigurować ten parametr w pliku konfiguracyjnym (cfg.xml):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Dozwolone wartości: TLS 1.1, TLS1.2 i TLS 1.3.

Wartość domyślna: TLS 1.2

5

Kliknij przycisk Submit All Changes (Prześlij wszystkie zmiany).

Włączanie trybu inicjowanego przez klienta dla negocjacji zabezpieczeń płaszczyzny nośników

Aby chronić sesje multimedialne, można skonfigurować telefon w taki sposób, aby rozpoczynał negocjacje zabezpieczeń płaszczyzny nośnika z serwerem. Mechanizm zabezpieczeń jest zgodny ze standardami określonymi w dokumencie RFC 3329 i jego projekcie rozszerzenia Security Mechanism Names for Media (Patrz https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Transport negocjacji między telefonem a serwerem może służyć do korzystania z protokołu SIP za pośrednictwem protokołu UDP, TCP i TLS. Negocjowanie zabezpieczeń na płaszczyźnie nośników można ograniczyć tylko wtedy, gdy protokół transportu sygnalizacji jest w trybie TLS.

Tabela 2. Parametry negocjacji zabezpieczeń płaszczyzny nośnika
ParametrOpis

Żądanie MediaSec

Określa, czy telefon inicjuje negocjacje zabezpieczeń na płaszczyźnie nośnika z serwerem.

Wykonaj jedną z następujących czynności:

  • W pliku konfiguracyjnym telefonu z plikiem XML (cfg.xml) wprowadź ciąg w następującym formacie:

    <MediaSec_Request_1_ ua="na">Tak</MediaSec_Request_1_>
  • W interfejsie WWW telefonu ustaw to pole na Tak lub Nie, aby włączyć lub wyłączyć tę funkcję.

Dozwolone wartości: tak|nie

  • Tak— tryb zainicjowany przez klienta. Telefon inicjuje negocjacje zabezpieczeń na płaszczyźnie nośnika.
  • Nie— tryb zainicjowany na serwerze. Serwer inicjuje negocjacje zabezpieczeń na płaszczyźnie nośnika. Telefon nie inicjuje negocjacji, ale może obsługiwać żądania negocjacji z serwera w celu nawiązania połączenia zabezpieczonego

Domyślne: Nie

MediaSec tylko przez TLS

Określa protokół transportu sygnalizacji, w którym odbywa się negocjowanie zabezpieczeń płaszczyzny nośnika.

Przed ustawieniem tego pola na Tak należy upewnić się, że protokół transportu sygnalizacji jest zgodny TLS.

Wykonaj jedną z następujących czynności:

  • W pliku konfiguracyjnym telefonu z plikiem XML (cfg.xml) wprowadź ciąg w następującym formacie:

    <MediaSec_Over_TLS_Only_1_ ua="na">Nie</MediaSec_Over_TLS_Only_1_>

  • W interfejsie WWW telefonu ustaw to pole na Tak lub Nie, aby włączyć lub wyłączyć tę funkcję.

Dozwolone wartości: tak|nie

  • Tak— telefon inicjuje lub obsługuje negocjacje zabezpieczeń płaszczyzny nośnika tylko wtedy, gdy protokół transportu sygnalizacji jest w trybie szyfrowania
  • Nie— telefon inicjuje i obsługuje negocjacje zabezpieczeń na płaszczyźnie multimedialnej bez względu na sygnalizowany protokół transportu.

Domyślne: Nie

1

Przejdź do strony WWW administrowania telefonem.

2

Wybierz Głos > Nr wew.(n).

3

W sekcji Ustawienia SIP ustaw pola MediaSec Request (Żądanie MediaSec) i MediaSec Over TLS Only zdefiniowane w powyższej tabeli.

4

Kliknij przycisk Submit All Changes (Prześlij wszystkie zmiany).

Czy ten artykuł był pomocny?
Czy ten artykuł był pomocny?