- Página inicial
- /
- Artigo
Este artigo da Ajuda é para o Cisco Wireless Phone 9821 registrado em Webex Calling.
Configurar opções de DHCP
Você pode definir a ordem em que o telefone usa as opções DHCP. Para obter ajuda com as Opções de DHCP, consulte o suporte à opçãoDHCP.
| 1 |
Acesse a página da Web de administração do telefone.
|
| 2 |
Selecione . |
| 3 |
Na seção Perfil de configuração, defina a opção DHCP Para usar . Este paramter consiste em uma série de opções DHCP, delimitadas por vírgulas, usadas para recuperar firmware e perfis. Execute um dos seguintes procedimentos:
Padrão: |
| 4 |
Clique em Enviar todas as alterações. |
Suporte à opção DHCP
A tabela a seguir lista as opções DHCP que são compatíveis com o Cisco Telefone sem fio 9821.
| Padrão de Rede | Descrição |
|---|---|
| Opção DHCP 1 | Máscara de sub-rede |
| Opção DHCP 2 | Compensação de tempo |
| Opção DHCP 3 | Roteador |
| Opção DHCP 6 | Servidor de nome de domínio |
| Opção DHCP 15 | Nome de domínio |
| Opção DHCP 17 | Caminho raiz |
| Opção DHCP 41 | Tempo de aluguel do endereço IP |
| Opção DHCP 42 | Servidor NTP |
| Opção DHCP 43 | Informações específicas do provedor Pode ser usado para fornecer a configuração SCEP. |
| Opção DHCP 56 | Servidor NTP |
| Opção DHCP 60 | Identificador de classe do provedor |
| Opção DHCP 66 | TFTP nome do servidor |
| Opção DHCP 125 | Informações específicas do provedor que identificam o provedor |
| Opção DHCP 150 | Servidor TFTP |
| Opção DHCP 159 | Servidor de provisionamento IP |
| Opção DHCP 160 | URL de provisionamento |
Segurança de LAN sem fio
Como todos os dispositivos de WLAN que estão no intervalo podem receber todo o tráfego da WLAN, proteger a comunicação por voz é algo essencial nessas redes. Para garantir que os intrusos não manipulem nem interceptam o tráfego de voz, a arquitetura Cisco SEGURANÇA SEGURA suporta o telefone. Para obter mais informações sobre segurança nas redes, consulte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
A solução Cisco sem fio IP telefonia fornece segurança de rede sem fio que impede entradas não autorizadas e comunicações comprometidas usando os métodos de autenticação a seguir que o telefone suporta.
-
Autenticação aberta: qualquer dispositivo sem fio pode solicitar autenticação em um sistema aberto. O AP que recebe a solicitação pode conceder autenticação para qualquer solicitante ou apenas para solicitantes encontrados em uma lista de usuários. A comunicação entre o dispositivo sem fio e o Ponto de Acesso (AP) não pôde ser criptografada.
-
Protocolo de Autenticação Extensível – Autenticação Flexível via Túnel Seguro (EAP-FAST) Autenticação: Esta arquitetura de segurança cliente-servidor criptografa EAP transações dentro de um túnel de Segurança de Nível de Transporte (TLS) entre o AP e o servidor RADIUS, como o Identity Services Engine (ISE).
O túnel TLS usa credenciais de acesso protegido (PACs) para autenticação entre o cliente (telefone) e o servidor RADIUS. O servidor envia um ID de autoridade (AID) para o cliente (telefone), que por sua vez seleciona a PAC apropriada. O cliente (telefone) retorna uma PAC-Opaque para o servidor RADIUS. O servidor descriptografa a PAC com a chave primária. Agora s dois pontos de extremidade contêm a chave PAC, e um túnel TLS é criado. O EAP-FAST oferece suporte para provisionamento automático de PAC, mas você precisa ativá-lo no servidor RADIUS.
No ISE, por padrão, o PAC expira em uma semana. Se a PAC do telefone tiver expirado, a autenticação no servidor RADIUS será mais demorada enquanto o telefone obtém uma nova PAC. Para evitar atrasos no provisionamento do PAC, defina o período de expiração do PAC como 90 dias ou mais no servidor ISE ou RADIUS.
-
Protocolo de autenticação ampliável - autenticação de segurança da camada de transporte (EAP-TLS): o EAP-TLS exige um certificado de cliente para autenticação e acesso à rede. Para EAP-TLS sem fio, o certificado do cliente pode ser MIC ou certificado instalado pelo usuário.
-
Protocolo de autenticação extensível protegido (PEAP): esquema de autenticação mútua baseada em senha e proprietário da Cisco entre o cliente (telefone) e um servidor RADIUS. O telefone pode usar PEAP para autenticação com a rede sem fio. Os métodos de autenticação PEAP MSCHAPV2 e PEAP-GTC têm suporte.
Para suportar a autenticação PEAP-GTC para o Cisco Telefone sem fio 9821, configure a política necessária dentro do conjunto de diretivas Cisco ISE.
-
Chave pré-compartilhada (PSK): o telefone oferece suporte aos formatos ASCII e hexadecimal (HEX). Você deve usar esses formatos ao configurar uma chave pré-compartilhada WPA2/SAE.
ASCII: uma cadeia de caracteres ASCII com 8 a 63 caracteres de comprimento (0 a 9, letras minúsculas a-z, A-Z maiúsculo e caracteres especiais). Por exemplo,GREG123567@9ZX
&W.HEX: uma cadeia de caracteres HEX com 64 dígitos hex de comprimento (0-9, a-f ou A-F).
Os seguintes esquemas de autenticação usam o servidor RADIUS para gerenciar chaves de autenticação:
-
WPA2/WPA3: usa informações do servidor RADIUS para gerar chaves exclusivas para autenticação. Como essas chaves são geradas no servidor RADIUS centralizado, o WPA2/WPA3 oferece que mais segurança do que as chaves pré-compartilhadas WPA que são armazenadas no AP e no telefone.
-
Roaming rápido e seguro: usa informações do servidor RADIUS e de um servidor de domínio sem fio (WDS) para gerenciar e autenticar as chaves. O WDS cria um cache de credenciais de segurança para dispositivos cliente ativados por FT para autenticação rápida e segura.
Com o WPA2/WPA3, as teclas de criptografia não são inseridas no telefone, mas são automaticamente derivadas entre o AP e o telefone. Porém, o nome do usuário EAP e a senha que são usados para autenticação devem ser inseridos em cada telefone.
Para ajudar a proteger o tráfego de voz através de um link sem fio, o telefone suporta criptografia baseada em AES para autenticação WPA2/WPA3. AES é uma cifere de bloco simétrico padronizada pelo NIST. O AES usa um tamanho de bloqueio fixo de 128 bits e suporta tamanhos de chave de 128 bits, 192 bits e 256 bits. Em redes Wi-Fi, AES é usado por conjuntos de cifradrias como CCMP ou GCMP, enquanto a autenticação é fornecida separadamente por PSK, SAE ou 802.1X/EAP, dependendo do modo de segurança WLAN configurado. O conjunto de cipher e o tamanho da chave suportados dependem do modelo do telefone e da configuração de WLAN.
Esquemas de autenticação e criptografia são configuradas na LAN sem fio. As VLANs configuradas na rede e nos APs e especificam diferentes combinações de autenticação e criptografia. Um SSID é associado a uma VLAN e ao esquema de autenticação e criptografia específico. Para que os dispositivos de cliente sem fio se autenticem com êxito, você deve configurar os mesmos SSIDs com seus esquemas de autenticação e criptografia nos APs e no telefone.
Alguns esquemas de autenticação exigem tipos específicos de criptografia.
Quando você usa a chave pré-compartilhada WPA2 ou SAE, a chave pré-compartilhada deve ser definida estáticamente no telefone. Essas chaves devem coincidir com as chaves que estão no AP.
Os esquemas de autenticação e criptografia na tabela a seguir mostram as opções de configuração de rede para o Cisco Telefone sem fio 9821 que correspondem à configuração AP.
| Tipo de FSR | Autenticação | Gerenciamento de tecla | Criptografia | Quadro de Gerenciamento Protegido (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
PSK WPA WPA-PSK-SHA256 FT-PSK | AES | Não |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Sim |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Não |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sim |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Não |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sim |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Não |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sim |
| Não FT | Suite-B | WPA-EAP-SUITE-B | GCMP | Sim |
| Não FT | Suite-B-192 | WPA-EAP-SUITE-B-192 | GCMP | Sim |
Configurar o perfil Wi-Fi
Você pode configurar Wi-Fi perfis na página da Web de administração do telefone ou por meio de um novo perfil de dispositivo remoto. Depois de configurado, você pode associar esses perfis a redes sem fio disponíveis para estabelecer a conectividade. O Cisco Telefone sem fio 9821 suporta um máximo de quatro perfis Wi-Fi configurados.
O perfil contém os parâmetros necessários para os telefones se conectarem ao servidor de telefone com Wi-Fi. Quando você cria e usa um perfil Wi-Fi, você ou seus usuários não precisam configurar a rede sem fio para telefones individuais.
Um perfil de Wi-Fi permite impedir ou limitar as alterações na configuração de Wi-Fi no telefone pelo usuário.
Recomendamos que você use um perfil seguro com protocolos habilitados para criptografia para proteger chaves e senhas quando usar um perfil Wi-Fi.
Ao configurar os telefones para usar o método de autenticação EAP-FAST no modo de segurança, seus usuários precisam de credenciais individuais para se conectar a um ponto de acesso.
| 1 |
Acesse a página da Web do telefone. |
| 2 |
Selecione . |
| 3 |
Na seção Wi-Fi Perfil (n),defina os parâmetros conforme descrito na tabela a seguir Parâmetros para Wi-Fi perfil. A configuração do perfil Wi-Fi também está disponível para login do usuário.
|
| 4 |
Clique em Enviar todas as alterações. |
Parâmetros do perfil Wi-Fi
A tabela a seguir define a função e o uso de cada parâmetro na seçãoWi-Fi Perfil(n) na página da WebTab do sistema. Ele também define a sintaxe da cadeia de caracteres que é adicionada no arquivo de configuração do telefone (cfg.XML) para configurar um parâmetro.
| Parâmetro | Descrição |
|---|---|
| Nome da Rede | Permite digitar um nome para o SSID que será exibido no telefone. Vários perfis podem ter o mesmo nome de rede com modo de segurança diferente. Execute um dos seguintes procedimentos:
Padrão: vazio |
| Modo de segurança | Permite selecionar o método de autenticação usado para garantir o acesso à rede Wi-Fi. Dependendo do método escolhido, um campo de senha será exibido para que você possa fornecer as credenciais necessárias para ingressar nessa rede Wi-Fi. Execute um dos seguintes procedimentos:
Padrão: Nenhum |
| Wi-Fi Usuário ID | Permite que você insira um usuário ID para o perfil da rede. Esse campo estará disponível quando você definir o modo de segurança como Automático, EAP-FAST ou EAP-PEAP. Esse é um campo obrigatório e permite um comprimento máximo de 32 caracteres alfanuméricos. Execute um dos seguintes procedimentos:
Padrão: vazio |
| Wi-Fi senha | Permite digitar a senha do Wi-Fi usuário ID especificado. Execute um dos seguintes procedimentos:
Padrão: vazio |
| Banda de frequência | Permite selecionar a banda de frequência de sinal sem fio que é a WLAN usa. Execute um dos seguintes procedimentos:
Padrão: Auto |
| Certificado Selecionado | Permite-lhe selecionar um tipo de certificado para registro inicial de certificado e renovação de certificado na rede sem fio. Esse processo está disponível somente para autenticação 802.1X. Execute um dos seguintes procedimentos:
Padrão: Fabricação instalada |
| Modo de controle | Controla se o usuário tem permissão para configurar os perfis do Wi-Fi. Execute um dos seguintes procedimentos:
Padrão: Permitir |
| Permitir | Controla se o perfil Wi-Fi está habilitado. Execute um dos seguintes procedimentos:
Padrão: Sim |
| Nome do perfil | Permite digitar um nome para o perfil que será exibido no telefone. Execute um dos seguintes procedimentos:
Padrão: Perfil 1 |
| Senha de PSK | Permite digitar a senha de PSK quando o Modo de segurança estiver configurado como PSK. Execute um dos seguintes procedimentos:
Padrão: Permitir |
Autenticação 802.1X para redes com fio
O Cisco Wireless Phone 9821 suporta autenticação 802.1X para redes com fio. Isso é geralmente usado durante o provisionamento automático quando o telefone está conectado ao carregador de mesa por meio de um adaptador USB-to-Ethernet suportado.
O suporte para autenticação 802.1X em redes com fio requer diversos componentes como se segue:
-
Telefone IP Cisco: o telefone inicia a solicitação para acessar a rede. Os Telefones IP Cisco contêm um suplicante 802.1X. Esse suplicante permite aos administradores de rede controlar a conectividade dos telefones IP para as portas de switch da LAN. A versão atual do suplicante 802.1X do telefone usa as opções EAP-FAST e EAP-TLS para autenticação de rede.
-
Servidor de autenticação: O servidor de autenticação e o comutador devem ser configurados com um segredo compartilhado RADIUS.
-
Switch: o comutador deve suportar 802.1X, de forma que possa funcionar como um autenticador e retransmitir as mensagens EAP entre o telefone e o servidor de autenticação. Após a conclusão da troca, o switch concede ou nega o acesso do telefone à rede.
Os Telefones IP Cisco e os switches do Cisco Catalyst tradicionalmente usam o CDP (Cisco Discovery Protocol) para identificar um ao outro e determinar parâmetros como a alocação de VLAN e os requisitos de potência embutida.
Você deve executar as ações a seguir para configurar a 802.1X.
-
Configure CDP/LLDP de voz VLAN ignorar.
-
Configure o servidor de autenticação e o comutador antes de ativar a autenticação 802.1X para redes com fio no telefone.
-
Configure a VLAN de voz: como o padrão 802.1X não considera as VLANs, você deve definir essa configuração com base no suporte ao switch.
- Ativado: se estiver usando um comutador que suporte autenticação multidomain, você pode configurá-lo para usar a voz VLAN.
- Desativado: se o switch não suportar a autenticação de vários domínios, desative a VLAN de voz e considere a atribuição da porta à VLAN nativa.
-
Cisco Telefone sem fio 9821 tem um prefixo diferente no PID daquele para os outros telefones Cisco. Para ativar seu telefone para passar pela autenticação 802.1X, defina o Radius· O parâmetro Nome de usuário para incluir seu Cisco Telefone sem fio 9821.
Por exemplo, a PID do Cisco Telefone sem fio 9821 é O WP-9821. Você pode definir Radius· O Nome do usuário para
iniciar com WPouWP contém o WPnas duas seções a seguir: -
Ativar autenticação 802.1X para redes com fio no telefone
Siga estas etapas para ativar a autenticação 802.1X para redes com fio em seu telefone. Observe que a autenticação 802.1X para Wi-Fi está ativada por padrão e não exige configuração manual.
| 1 |
Acessar as Configurações |
| 2 |
Se solicitado, digite a senha para acessar o menu Configurações . Você pode obter a senha do administrador. |
| 3 |
Selecione . |
| 4 |
Realce a autenticação do dispositivo e pressione Ativar. |
Ativar autenticação 802.1X para redes com fio na página da Web do telefone
Quando a autenticação 802.1X para redes com fio é ativada, o telefone usa a autenticação 802.1X para solicitar acesso de rede pela porta LAN Ethernet. Quando a autenticação 802.1X para redes com fio é desativada, o telefone usa a opção Cisco Discovery Protocol (CDP) para adquirir o VLAN e o acesso à rede. Observe que a autenticação 802.1X para Wi-Fi está ativada por padrão e não exige configuração manual.
É possível selecionar um certificado (MIC/SUDI ou CDC) usado para a autenticação 802.1X. Para obter mais informações sobre o CDC, consulte o Certificado do dispositivo personalizado no Cisco Telefone sem fio 9821.
Você pode visualizar o status da transação e as configurações de segurança no menu da tela do telefone. Para obter mais informações, consulte o menu de configurações de segurança no telefone.
| 1 |
Ativar autenticação 802.1X. Selecione . Na seção Autenticação 802.1X, defina o parâmetro Ativar autenticação 802.1X como Sim. Você também pode configurar esse parâmetro no arquivo de configuração (cfg.XML):
Valores válidos: Sim|Não Padrão: No |
| 2 |
Na seção Autenticação 802.1X, selecione um dos seguintes certificados instalados usados para a autenticação 802.1X na lista suspensa Selecionar certificado. Opções de valor:
Você também pode configurar esse parâmetro no arquivo de configuração (cfg.XML):
Valores válidos: Fabricação instalada|Personalizado instalado Padrão: Fabricação instalada |
| 3 |
Configure o parâmetro ID do usuário que será usado como identidade para a autenticação 802.1X na rede com fio. Essa configuração aplica-se somente quando você usa um Certificado de dispositivo personalizado (CDC) para autenticação 802.1X com fio, com o Certificado Selecionado definido como Personalizado instalado. Você também pode configurar esse parâmetro no arquivo de configuração (cfg.XML):
Valores válidos: máximo de 127 caracteres Padrão: vazio Esse parâmetro também suporta variáveis de expansão de macro. Consulte variáveis de expansão de macro para obter detalhes. Se desejar provisionar o usuário ID utilizando uma combinação com opções de DHCP, consulte Provisionamento do usuário ID via DHCP opção 15. |
| 4 |
Clique em Enviar todas as alterações. |
Menu de configurações de segurança no telefone
Para visualizar as informações sobre as configurações de segurança no menu do telefone, acesse as Configurações
aplicativo e selecione . A disponibilidade das informações depende das configurações de rede de sua organização.
|
Parâmetros |
Opções |
Padrão |
Descrição |
|---|---|---|---|
|
Autenticação do dispositivo |
Ligada Desativado |
Desativado |
Ativa ou desativa a autenticação 802.1X no telefone. A configuração do parâmetro pode ser mantida após o registro de OOB (Out-Of-Box) do telefone. |
|
Status da transação | Desativado |
Exibe o estado de autenticação 802.1X. O estado pode ser (não limitado a):
| |
|
Protocolo | Nenhuma |
Exibe o método EAP usado para autenticação 802.1X. O protocolo pode ser EAP-FAST ou EAP-TLS. | |
|
Tipo de certificado do usuário |
Fabricação instalada Personalizado instalado |
Fabricação instalada |
Seleciona o certificado para a autenticação 802.1X durante a renovação inicial de registro e certificado.
Esse parâmetro aparece no telefone somente quando a autenticação do dispositivo está ativada. |
Alterar as senhas do usuário e do administrador
No registro inicial com um sistema de controle de chamadas ou após uma redefinição de fábrica, você deve configurar as senhas de usuário e administrador ao acessar a página da Web de administração do telefone. Você pode atualizar essas credenciais a qualquer momento para manter a segurança do dispositivo.
As regras válidas de senha incluem as seguintes:
- A senha deve conter de pelo menos 8 a 127 caracteres.
- Uma combinação (três dos quatro tipos) de letra maiúscula, letra minúscula, número e caractere especial.
- O espaço não é permitido.
| 1 |
Acesse a página da Web de administração do telefone. |
| 2 |
Selecione . |
| 3 |
(Opcional) Na seção Configuração do sistema, defina o parâmetro Exibir avisos de senha como Sim e clique em Enviar todas as alterações. Você também pode ativar os parâmetros no arquivo de configuração do telefone (cfg.XML).
Padrão: Sim Opções: Sim|Não Se o parâmetro estiver definido como Não, o aviso de senha não aparecerá na tela do telefone. |
| 4 |
Localize a senha do usuário do parâmetro ou a Senha Admin e clique em Alterar senha ao lado do parâmetro. |
| 5 |
Digite a senha atual no campo Senha antiga. |
| 6 |
Digite uma nova senha no campo Nova senha . Se a nova senha não atender às regras de senha válidas, a configuração será negada. |
| 7 |
Clique em Enviar. A mensagem Após definir a senha do usuário, este parâmetro exibe o seguinte no arquivo de configuração do telefone XML (cfg.XML):
|
Definir a versão mínima do TLS para cliente e servidor
Por padrão, a versão TLS mínima para cliente e servidor é 1.2. Isso significa que o cliente e o servidor aceitam estabelecer conexões com o TLS 1.2 ou superior. A versão máxima suportada de TLS para cliente e servidor é 1.3. Quando configurada, a versão mínima do TLS será usada para negociação entre o cliente TLS e o servidor TLS.
Você pode definir a versão mínima de TLS para cliente e servidor, respectivamente, como 1.1, 1.2 ou 1.3.
Antes de começar
Assegure-se de que o servidor TLS suporte a versão mínima TLS configurada. Você pode consultar o administrador do sistema de controle de chamadas.
| 1 |
Acesse a página da Web de administração do telefone. |
| 2 |
Selecione . |
| 3 |
Na seção Configurações de segurança, configure o parâmetro TLS Versão mín. do cliente.
Você também pode configurar esse parâmetro no arquivo de configuração (cfg.XML): <TLS_Client_Min_Version ua=">TLS 1.2</TLS_Client_Min_Version>
Valores permitidos: TLS 1.1, TLS1.2 e TLS 1.3. Padrão: TLS 1.2 |
| 4 |
Na seção Configurações de segurança, configure o parâmetro TLS Versão mín. do servidor. Webex Calling não suporta TLS 1.1.
Você também pode configurar esse parâmetro no arquivo de configuração (cfg.XML): <TLS_Server_Min_Version ua=">TLS 1,2</TLS_Server_Min_Version>
Valores permitidos: TLS 1.1, TLS1.2 e TLS 1.3. Padrão: TLS 1.2 |
| 5 |
Clique em Enviar todas as alterações. |
Ativar o modo iniciado pelo cliente para negociações de segurança de avião de mídia
Para proteger as sessões de mídia, você pode configurar o telefone para iniciar negociações de segurança de avião de mídia com o servidor. O mecanismo de segurança segue as normas declaradas no RFC 3329 e seu rascunho de ramal Nomes de mecanismos de segurança para mídia (consulte https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). O transporte de negociações entre o telefone e o servidor pode usar o protocolo SIP sobre UDP, TCP, e TLS. Você pode limitar que a negociação de segurança de avião de mídia seja aplicada somente quando o protocolo de transporte de sinalização for TLS.
| Parâmetro | Descrição |
|---|---|
|
Solicitação do MediaSec |
Especifica se o telefone inicia negociações de segurança de avião de mídia com o servidor. Execute um dos seguintes procedimentos:
Valores permitidos: Sim|Não
Padrão: No |
|
MediaSec sobre TLS apenas |
Especifica o protocolo de transporte de sinalização sobre qual negociação de segurança de avião de mídia é aplicada. Antes de definir esse campo para Sim, assegure-se de que o protocolo de transporte de sinalização seja TLS. Execute um dos seguintes procedimentos:
Valores permitidos: Sim|Não
Padrão: No |
| 1 |
Acesse a página da Web de administração do telefone. |
| 2 |
Selecione . |
| 3 |
Na seçãoSIP Configurações , defina os campos Solicitação MediaSec e MediaSec sobre TLS Somente, conforme definido na tabela acima. |
| 4 |
Clique em Enviar todas as alterações. |