Configurați opțiunile DHCP

Puteți seta ordinea în care telefonul utilizează opțiunile DHCP. Pentru ajutor cu DHCP Opțiuni, consultați DHCP suport pentru opțiuni.

1

Accesați pagina web de administrare a telefonului.

2

Selectați Voce > Asigurare acces.

3

În secțiunea Profil de configurare, setați parametrii DHCP Opțiune de utilizat și Opțiune DHCPv6 de utilizat așa cum este descris mai jos:

  • DHCP Opțiune de utilizat: DHCP opțiuni, delimitate prin virgule, utilizate pentru a prelua firmware-ul și profilurile.

    De asemenea, puteți configura acest parametru în fișierul de configurare (cfg.XML):

    <DHCP_Option_To_Use ua="na">66,160,159,150</DHCP_Option_To_Use>

    Implicit: 66,160,159,150 sau 66,160,159,150,60,43,125, în funcție de modelul telefonului

  • Opțiune DHCPv6 de utilizat: Opțiuni DHCPv6, delimitate prin virgule, utilizate pentru a prelua firmware-ul și profiles.

    De asemenea, puteți configura acest parametru în fișierul de configurare (cfg.XML):

    <DHCPv6_Option_To_Use ua="na">17,160,159</DHCPv6_Option_To_Use>

    Implicit: 17,160,159

4

Faceți clic pe Trimitere toate modificările.

DHCP suport pentru opțiuni

Următorul tabel listează opțiunile DHCP care sunt acceptate pe telefoanele PhoneOS.

Standard de rețeaDescriere
DHCP opțiunea 1Mască subreţea
DHCP opțiunea 2Decalaj de timp
DHCP opțiunea 3Ruter
DHCP opțiunea 6Server de nume de domeniu
DHCP opțiunea 15Nume domeniu
DHCP opțiunea 17Informații specifice furnizorului de identificare a furnizorului
DHCP opțiunea 41Timpul de închiriere a adresei IP
DHCP opțiunea 42NTP server
DHCP opțiunea 43Informații specifice furnizorului

Poate fi utilizat pentru a furniza configurația SCEP.

DHCP opțiunea 56NTP server

NTP configurarea serverului cu IPv6

DHCP opțiunea 60Identificator de clasă furnizor
DHCP opțiunea 66TFTP numele serverului
DHCP opțiunea 125Informații specifice furnizorului de identificare a furnizorului
DHCP opțiunea 150TFTP server
DHCP opțiunea 159Server de aprovizionare IP
DHCP opțiunea 160URL de asigurare a accesului

Setați versiunea minimă TLS pentru client și server

În mod implicit, versiunea minimă TLS pentru client și server este 1.2. Aceasta înseamnă că clientul și serverul acceptă să stabilească conexiuni cu TLS 1.2 sau o versiune ulterioară. Versiunea maximă acceptată a TLS pentru client și server este 1.3. Când este configurată, versiunea minimă TLS va fi utilizată pentru negocierea între clientul TLS și serverul TLS.

Puteți seta versiunea minimă a TLS pentru client și, respectiv, server, cum ar fi 1.1, 1.2 sau 1.3.

nainte de a începe

Asigurați-vă că serverul TLS acceptă versiunea minimă TLS configurată. Vă puteți consulta cu administratorul sistemului de control al apelurilor.
1

Accesați pagina web de administrare a telefonului.

2

Selectați Voce > Sistem.

3

În secțiunea Setări de securitate, configurați parametrul TLS Versiunea minimă a clientului.

  • TLS 1.1: Clientul TLS acceptă versiunile de TLS de la 1.1 la 1.3.

    Dacă versiunea TLS în server este mai mică decât 1.1, atunci conexiunea nu poate fi stabilită.

  • TLS 1.2 (implicit): Clientul TLS acceptă TLS 1.2 și 1.3.

    Dacă versiunea TLS din server este mai mică de 1.2, de exemplu, 1.1, atunci conexiunea nu poate fi stabilită.

  • TLS 1.3: Clientul TLS acceptă doar TLS 1.3.

    Dacă versiunea TLS din server este mai mică de 1.3, de exemplu, 1.2 sau 1.1, atunci conexiunea nu poate fi stabilită.

    Dacă doriți să setați parametrul "TLS Client Min Version" la "TLS 1.3", asigurați-vă că partea serverului acceptă TLS 1.3. Dacă partea de server nu acceptă TLS 1.3, acest lucru ar putea cauza probleme critice. De exemplu, operațiunile de asigurare a accesului nu pot fi efectuate pe telefoane.

De asemenea, puteți configura acest parametru în fișierul de configurare (cfg.XML):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Valori permise: TLS 1.1, TLS1.2 și TLS 1.3.

Valoarea prestabilită: TLS 1.2

4

În secțiunea Setări de securitate, configurați parametrul TLS Versiunea minimă a serverului.

Webex Calling nu acceptă TLS 1.1.

  • TLS 1.1: Serverul TLS acceptă versiunile TLS de la 1.1 la 1.3.

    Dacă versiunea TLS în client este mai mică decât 1.1, atunci conexiunea nu poate fi stabilită.

  • TLS 1.2 (implicit): Serverul TLS acceptă TLS 1.2 și 1.3.

    Dacă versiunea TLS din client este mai mică de 1.2, de exemplu, 1.1, atunci conexiunea nu poate fi stabilită.

  • TLS 1.3: Serverul TLS acceptă doar TLS 1.3.

    Dacă versiunea TLS din client este mai mică de 1.3, de exemplu, 1.2 sau 1.1, atunci conexiunea nu poate fi stabilită.

De asemenea, puteți configura acest parametru în fișierul de configurare (cfg.XML):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Valori permise: TLS 1.1, TLS1.2 și TLS 1.3.

Valoarea prestabilită: TLS 1.2

5

Faceți clic pe Trimitere toate modificările.

Activarea modului FIPS

Puteți face un telefon conform cu standardele federale de procesare a informațiilor (FIPS).

FIPS sunt un set de standarde care descriu procesarea documentelor, algoritmii de criptare și alte standarde de tehnologie a informației pentru utilizare în cadrul guvernului non-militar și de către contractorii și furnizorii guvernamentali care lucrează cu agențiile. CiscoSSL FOM (FIPS Object Module) este o componentă software atent definită și proiectată pentru compatibilitate cu biblioteca CiscoSSL, astfel încât produsele care utilizează biblioteca CiscoSSL și API pot fi convertite pentru a utiliza criptografia validată FIPS 140-2 cu un efort minim.

1

Accesați pagina web de administrare a telefonului.

2

Selectați Voce > Sistem.

3

În secțiunea Setări de securitate, alegeți Da sau Nu din parametrul Mod FIPS.

4

Faceți clic pe Trimitere toate modificările.

Când activați FIPS, următoarele caracteristici funcționează perfect pe telefon:
  • Autentificarea pentru imagini
  • Depozitare securizată
  • Criptarea fișierului de configurare
  • TLS:
    • HTTP-uri
    • Încărcare PRT
    • Actualizarea firmware-ului
    • Resincronizarea profilului
    • Service la bord
    • Webex integrare
    • SIP peste TLS
    • 802.1x (cu fir)
  • SIP rezumat (RFC 8760)
  • SRTP
  • Webex jurnalele de apeluri și directorul Webex
  • Un buton de apăsat (OBTP)

Setarea parolelor de utilizator și de administrator

După ce telefonul este înregistrat pentru prima dată într-un sistem de control al apelurilor sau efectuați o resetare din fabrică pe telefon, trebuie să setați parolele de utilizator și de administrator pentru a spori securitatea telefonului. După ce parolele sunt setate, puteți accesa telefonul web interfață.

În mod implicit, parolele de utilizator și de administrator sunt goale. Prin urmare, puteți găsi problema "Nicio parolă furnizată" pe ecranul telefonului Setări > Probleme și diagnosticare > Probleme .

1

Accesarea paginii web de administrare a telefonului

2

Selectați Voce > Sistem.

3

(Opțional) În secțiunea System Configuration ( Configurație sistem), setați parametrul Display Password Warnings (Afișare avertismente parolă) la Yes (Da), apoi faceți clic pe Submit All Changes (Trimitere toate modificările).

De asemenea, puteți activa parametrii din fișierul de configurare a telefonului (cfg.XML).

<Display_Password_Warnings ua="na">Da</Display_Password_Warnings>

Valoarea prestabilită: Da

Opțiuni: Da |Nu

Dacă parametrul este setat la Nu, avertismentul privind parola nu apare pe ecranul telefonului.

4

Localizați parametrul Parolă utilizator sau Parolă administrator și faceți clic pe Modificare parolă lângă parametru.

5

Introduceți parola curentă de utilizator în câmpul Parolă veche.

Dacă nu aveți o parolă, păstrați câmpul necompletat. Valoarea prestabilită este necompletată.
6

Introduceți o parolă nouă în câmpul Parolă nouă.

Reguli valabile privind parola:

  • Parola trebuie să conțină cel puțin 8 până la 127 de caractere.
  • O combinație (3/4) de majusculă, literă mică inferioară, număr și caracter special.
  • Spațiul nu este permis.

Dacă noua parolă nu îndeplinește cerințele, setarea va fi refuzată.

7

Faceţi clic pe Submit (Trimitere).

Mesajul Parola a fost schimbat cu succes. se va afișa în pagina web. Pagina web se va reîmprospăta în câteva secunde.

După ce setați parola de utilizator, acest parametru afișează următoarele în fișierul XML de configurare a telefonului (cfg.XML):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Autentificarea 802.1X

Telefoanele Cisco IP acceptă autentificarea 802.1X.

Telefoanele Cisco IP și switch-urile Cisco Catalyst utilizează în mod tradițional Cisco Discovery Protocol (CDP) pentru a se identifica reciproc și pentru a determina parametrii, cum ar fi alocarea VLAN și cerințele de alimentare în linie. CDP nu identifică stațiile de lucru atașate local. Telefoanele Cisco IP oferă un mecanism de transfer EAPOL. Acest mecanism permite unei stații de lucru atașate la telefonul Cisco IP să transmită mesaje EAPOL către autentificatorul 802.1X de la switch-ul LAN. Mecanismul de transmisie garantează faptul că telefonul IP nu acționează ca switch LAN pentru a autentifica un punct final de date înainte de a accesa rețeaua.

Telefoanele Cisco IP oferă, de asemenea, un mecanism proxy de deconectare de la EAPOL. Dacă PC-ul atașat local se deconectează de la telefonul IP, switch LAN nu vede eșecul legăturii fizice, deoarece legătura dintre switch-ul LAN și telefonul IP este păstrată. Pentru a evita compromiterea integrității rețelei, telefonul IP trimite un mesaj EAPOL-Logoff către switch în numele PC-ului din aval, care declanșează switch-ul LAN pentru a elimina intrarea de autentificare pentru PC-ul din aval.

Acceptarea autentificării 802.1X necesită mai multe componente:

  • Telefonul Cisco IP: telefonul inițiază solicitarea de a accesa rețeaua. Telefoanele Cisco IP conțin un solicitant 802.1X. Acest solicitant permite administratorilor de rețea să controleze conectivitatea telefoanelor IP la porturile switch-ului LAN. Versiunea curentă a solicitantului 802.1X de pe telefon utilizează opțiunile EAP-FAST și EAP-TLS pentru autentificarea în rețea.

  • Server de autentificare: Serverul de autentificare și comutatorul trebuie să fie configurate cu un secret partajat care autentifică telefonul.

  • Switch: switch-ul trebuie să accepte 802.1X, astfel încât să poată acționa ca autentificator și să poată transmite mesajele între telefon și serverul de autentificare. După finalizarea schimbului, switch-ul acordă sau respinge accesul telefonului în rețea.

Trebuie să efectuați următoarele acțiuni pentru a configura 802.1X.

  • Configurați celelalte componente înainte de a activa autentificarea 802.1X pe telefon.

  • Configurarea portului PC: standardul 802.1X nu ia în considerare VLAN-urile și, prin urmare, recomandă ca numai un singur dispozitiv să fie autentificat la un port de switch specific. Cu toate acestea, unele switch-uri acceptă autentificarea în mai multe domenii. Configurația switch-ului stabilește dacă puteți conecta un PC la portul PC al telefonului.

    • Activat: Dacă utilizați un switch care acceptă autentificarea în mai multe domenii, puteți să activați portul PC și să conectați un PC la acesta. În acest caz, telefoanele Cisco IP acceptă EAPOL-Logoff proxy pentru a monitoriza schimburile de autentificare dintre switch și PC-ul atașat.

      Pentru mai multe informații despre acceptarea IEEE 802.1X pe switch-urile Cisco Catalyst, consultați ghidurile de configurare a switch-urilor Cisco Catalyst, de la:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Dezactivat: dacă switch-ul nu acceptă mai multe dispozitive compatibile cu 802.1X pe același port, trebuie să dezactivați portul PC când este activată autentificarea 802.1X. Dacă nu dezactivați acest port și apoi încercați să atașați un PC la acesta, switch-ul respinge accesul în rețea atât pentru telefon, cât și pentru PC.

  • Configurare VLAN vocal: deoarece standardul 802.1X nu ține cont de VLAN-uri, trebuie să configurați această setare pe baza compatibilității switch-ului.
    • Activat: dacă utilizați un switch care acceptă autentificarea în mai multe domenii, puteți continua să utilizați VLAN-ul vocal.
    • Dezactivat: dacă switch-ul nu acceptă autentificarea în mai multe domenii, dezactivați VLAN-ul vocal și luați în considerare atribuirea portului către VLAN-ul nativ.
  • (Numai pentru telefonul de birou Cisco seria 9800)

    Cisco Telefonul de birou seria 9800 are un prefix diferit în PID față de cel pentru celelalte telefoane Cisco. Pentru a permite telefonului să treacă autentificarea 802.1X, setați Rază · Parametrul Nume utilizator pentru a include telefonul de birou Cisco seria 9800.

    De exemplu, PID-ul telefonului 9841 este DP-9841; puteți seta Rază· Nume utilizator pentru a începe cu DP sau conține DP. Puteți să o setați în ambele secțiuni următoare:

    • Politică > Condiții > Condiții de bibliotecă

    • Politici > Seturi de politici> Politica de autorizare> Regula de autorizare 1

Activarea autentificării 802.1X pe pagina web a telefonului

Când este activată autentificarea 802.1X, telefonul utilizează autentificarea 802.1X pentru a solicita acces la rețea. Când autentificarea 802.1X este dezactivată, telefonul utilizează Cisco Discovery Protocol (CDP) pentru a obține VLAN și acces la rețea.

Puteți selecta un certificat (MIC/SUDI sau CDC) utilizat pentru autentificarea 802.1X. Pentru mai multe informații despre CDC, consultați Certificatul de dispozitiv particularizat pe 9800/8875.

Puteți vizualiza starea tranzacției și setările de securitate în meniul ecranului telefonului. Pentru informații suplimentare, consultați meniul Setări securitate de pe telefon.

1

Activați autentificarea 802.1X.

Selectați Voce > Sistem și setați parametrul Activare autentificare 802.1X la Da.

De asemenea, puteți configura acest parametru în fișierul de configurare (cfg.XML):

<Enable_802.1X_Authentication ua="rw">Da</Enable_802.1X_Autentificare>

Valori valide: Da|Nu

Implicit: nu

2

Selectați unul dintre următoarele certificate instalate utilizate pentru autentificarea 802.1X.

Opțiuni de valoare:

  • Producție instalată: MIC/SUDI.
  • Instalat personalizat: Custom Device Certificate (CDC).

Configurația variază în funcție de rețea:

  • Pentru rețeaua cu fir, selectați Voce > sistem, alegeți un tip de certificat din lista derulantă Certificate Select din secțiunea 802.1X Authentication.

    De asemenea, puteți configura acest parametru în fișierul de configurare (cfg.XML):

    <Certificate_Select ua="rw">Custom instalat</Certificate_Select>

    Valori valide: Producție instalată|Instalat personalizat

    Implicit: Producție instalată

  • Pentru rețeaua wireless, selectați Voce>sistem, alegeți un tip de certificat din lista derulantă Certificate Select din secțiunea Wi-Fi Profil 1.

    De asemenea, puteți configura acest parametru în fișierul de configurare (cfg.XML):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Custom installed</Wi-Fi_Certificate_Select_1_>

    Valori valide: Producție instalată|Instalat personalizat

    Implicit: Producție instalată

3

Configurați parametrul User ID care va fi utilizat ca identitate pentru autentificarea 802.1X în rețeaua cu fir.

Configurația parametrilor are efect numai atunci când CDC este utilizat pentru autentificarea cu fir 802.1X (Selectare certificat este setat la Instalat particularizat).

În mod implicit, acest parametru este gol. Identitatea pentru 802.1X cablat variază în funcție de certificatul selectat:

  • Dacă este selectată opțiunea MIC/SUDI, identitatea 802.1X cablată este reprezentată după cum urmează:

    <Nume produs> + SEP<MAC adresa>.

    Exemple: adresa DP-98xx-SEP<MAC>, adresa CP-8875-SEP<MAC>.

  • Dacă este selectată opțiunea CDC, numele comun din CDC este utilizat ca identitate pentru 802.1X cablat.

Dacă ID-ul de utilizator este gol și numele comun din CDC este configurat, atunci 802.1X cablat va utiliza numele comun CDC ca identitate.

De asemenea, puteți configura acest parametru în fișierul de configurare (cfg.XML):

<Wired_User_ID ua="na"></Wired_User_ID>

Valori valide: maximum 127 de caractere

Valoarea prestabilită: necompletată

Acest parametru acceptă, de asemenea, variabile de expansiune macro, consultați Variabile de extindere macro pentru detalii.

Dacă doriți să utilizați opțiunile DHCP pentru a furniza ID-ul utilizatorului, consultați Furnizarea numelui comun sau a ID-ului utilizator prin intermediul opțiunii 15 DHCP.

4

Faceți clic pe Trimitere toate modificările.

Meniul setărilor de securitate de pe telefon

Puteți vizualiza informațiile despre setările de securitate din meniul telefonului. Calea de navigare este: Setări > Rețea și servicii > Setări de securitate. Disponibilitatea informațiilor depinde de setările de rețea din organizația dumneavoastră.

Parametri

Opţiuni

Default

Descriere

Autentificarea dispozitivelor

Activat

Dezactivat

Dezactivat

Activează sau dezactivează autentificarea 802.1X pe telefon.

Setarea parametrilor poate fi păstrată după înregistrarea telefonului în modul Out-Of-Box (OOB).

Stare tranzacţie

Dezactivate

Afișează starea autentificării 802.1X. Statul poate fi (fără a se limita la):

  • Autentificare: Indică faptul că procesul de autentificare este în desfășurare.
  • Autentificat: Indică faptul că telefonul este autentificat.
  • Dezactivat: Indică faptul că autentificarea 802.1x este dezactivată pe telefon.

Protocol

Fără

Afișează metoda EAP utilizată pentru autentificarea 802.1X. Protocolul poate fi EAP-FAST sau EAP-TLS.

Tipul certificatului de utilizator

Fabricație instalată

Instalare personalizată

Fabricație instalată

Selectează certificatul pentru autentificarea 802.1X în timpul înscrierii inițiale și al reînnoirii certificatului.

  • Instalare din fabricație — Se utilizează certificatul de instalare din fabricație (MIC) și identificatorul unic securizat al dispozitivului (SUDI).
  • Instalare personalizată - Se utilizează certificatul de dispozitiv personalizat (CDC). Acest tip de certificat poate fi instalat fie prin încărcare manuală pe pagina web a telefonului, fie prin instalare de pe un server SCEP (Simple Certificate Enrollment Protocol).

Acest parametru apare pe telefon numai atunci când este activată autentificarea dispozitivului .

Compatibilitate retroactivă cu WPA

Activat

Dezactivat

Dezactivat

Stabilește dacă cea mai veche versiune a Wi-Fi Protected Access (WPA) este compatibilă pe telefon pentru conectarea la o rețea wireless sau la un punct de acces (PA).

  • Dacă este activat, telefonul poate căuta și se poate conecta la rețele wireless cu toate versiunile de WPA acceptate, inclusiv WPA, WPA2 și WPA3. În plus, telefonul poate căuta și se poate conecta la puncte de acces care acceptă doar cea mai veche versiune a WPA.
  • Dacă este dezactivată (implicit), telefonul poate căuta și se poate conecta doar la rețelele wireless și punctele de acces care acceptă WPA2 și WPA3.

Această funcție este disponibilă numai pe telefoanele 9861/9871/8875.

Configurați un server proxy

Puteți configura telefonul să utilizeze un server proxy pentru a îmbunătăți securitatea. De obicei, un server proxy HTTP poate oferi următoarele servicii:

  • Rutarea traficului între rețelele interne și cele externe
  • Filtrarea, monitorizarea sau înregistrarea traficului
  • Stocarea în cache a răspunsurilor pentru îmbunătățirea performanței

De asemenea, serverul proxy HTTP poate acționa ca un firewall între telefon și Internet. După o configurare reușită, telefonul se conectează la internet prin serverul proxy, ceea ce îl protejează de atacuri cibernetice.

Când este configurată, funcția proxy HTTP se aplică tuturor aplicațiilor care utilizează protocolul HTTP. De exemplu:

  • GDS (Introducerea Codului de Activare)
  • Activarea dispozitivului EDOS
  • Integrarea în cloud-ul Webex (prin EDOS sau GDS)
  • CA personalizat
  • Pregătire
  • Upgrade firmware
  • Raport de stare a telefonului
  • Încărcare PRT
  • Servicii XSI
  • Webex Servicii

  • În prezent, funcția acceptă doar IPv4.
  • Setările proxy HTTP pot fi păstrate după înregistrarea telefonului în modul Out-Of-Box (OOB).

1

Accesați pagina web de administrare a telefonului.

2

Selectați Voce > Sistem.

3

În secțiunea Setări proxy HTTP, selectați un mod proxy din lista derulantă Mod proxy și configurați parametrii asociați.

Pentru mai multe informații despre parametrii și parametrii necesari pentru fiecare mod proxy, consultați Parametri pentru setările proxy HTTP .

4

Faceți clic pe Trimitere toate modificările.

Parametri pentru setările proxy HTTP

Următorul tabel definește funcția și utilizarea parametrilor proxy HTTP din secțiunea Setări proxy HTTP din Voce > Sistem Tab din interfața web a telefonului. De asemenea, definește sintaxa șirului care este adăugat în fișierul de configurare a telefonului (cfg.xml) cu codul XML pentru configurarea unui parametru.

ParametruDescriere
Mod proxySpecifică modul proxy HTTP utilizat de telefon sau dezactivează funcția proxy HTTP.
  • Auto

    Telefonul preia automat un fișier de configurare automată proxy (PAC) pentru a selecta un server proxy. În acest mod, puteți stabili dacă să utilizați protocolul Web Proxy Auto Discovery (WPAD) pentru a prelua un fișier PAC sau să introduceți manual o adresă URL validă a fișierului PAC.

    Pentru detalii despre parametri, consultați parametrii „Descoperire automată proxy web” și „URL PAC” din acest tabel.

  • Manual

    Trebuie să specificați manual un server (nume de gazdă sau adresă IP) și un port al unui server proxy.

    Pentru detalii despre parametri, consultați Gazdă proxy și Port proxy.

  • Dezactivat

    Dezactivezi funcția proxy HTTP de pe telefon.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Proxy_Mode ua="rw">Dezactivat</Proxy_Mode>

  • Pe interfața web a telefonului, selectați un mod proxy sau dezactivați funcția.

Valori permise: Automat, Manual și Dezactivat

Implicit: Dezactivat

Descoperire automată proxy webStabilește dacă telefonul utilizează protocolul Web Proxy Auto Discovery (WPAD) pentru a recupera un fișier PAC.

Protocolul WPAD folosește DHCP sau DNS, sau ambele protocoale de rețea pentru a localiza automat un fișier de configurare automată proxy (PAC). Fișierul PAC este utilizat pentru a selecta un server proxy pentru o anumită adresă URL. Acest fișier poate fi găzduit local sau într-o rețea.

  • Configurarea parametrilor intră în vigoare când Mod proxy este setat la Auto.
  • Dacă setați parametrul la Nu, trebuie să specificați o adresă URL PAC.

    Pentru detalii despre parametru, consultați parametrul „PAC URL” din acest tabel.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Web_Proxy_Auto_Discovery ua="rw">Da</Web_Proxy_Auto_Discovery>

  • Pe interfața web a telefonului, selectați Da sau Nu după cum este necesar.

Valori permise: Da și Nu

Valoarea prestabilită: Da

Adresa URL PACURL-ul unui fișier PAC.

De exemplu, http://proxy.department.branch.example.com

TFTP, HTTP și HTTPS sunt acceptate.

Dacă setați Mod proxy la Auto şi Descoperire automată proxy web la Nu, trebuie să configurați acest parametru.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL>

  • În interfața web a telefonului, introduceți o adresă URL validă care duce la un fișier PAC.

Valoarea prestabilită: necompletată

Gazdă proxyIP adresa sau numele de gazdă al serverului proxy la care telefonul trebuie să acceseze. De exemplu:

proxy.example.com

Schema ( http:// sau https://) nu este obligatoriu.

Dacă setați Mod proxy la Manual, trebuie să configurați acest parametru.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Proxy_Host ua="rw">proxy.example.com</Proxy_Host>

  • În interfața web a telefonului, introduceți o adresă IP sau un nume de gazdă al serverului proxy.

Valoarea prestabilită: necompletată

Port proxyNumărul de port al serverului gazdă proxy.

Dacă setați Mod proxy la Manual, trebuie să configurați acest parametru.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Proxy_Port ua="rw">3128</Proxy_Port>

  • Pe interfața web a telefonului, introduceți un port pentru server.

Implicit: 3128

Autentificare proxyStabilește dacă utilizatorul trebuie să furnizeze acreditările de autentificare (nume de utilizator și parolă) solicitate de serverul proxy. Acest parametru este configurat în funcție de comportamentul real al serverului proxy.

Dacă setați parametrul la Da, trebuie să configurați Nume de utilizator şi Parolă.

Pentru detalii despre parametri, consultați parametrii „Nume utilizator” și „Parolă” din acest tabel.

Configurația parametrilor intră în vigoare când *Modul proxy* este setat la *Manual* .

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Proxy_Authentication ua="rw">Nu</Proxy_Authentication>

  • Pe interfața web a telefonului, setați acest câmp Da sau Nu după cum este necesar.

Valori permise: Da și Nu

Implicit: nu

Nume de utilizatorNume de utilizator pentru un utilizator cu acreditări pe serverul proxy.

Dacă Modul proxy este setat la Manual și Autentificarea proxy este setată la Da, trebuie să configurați parametrul.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Nume_utilizator_proxy ua="rw">Exemplu</Nume_utilizator_proxy>

  • Pe interfața web a telefonului, introduceți numele de utilizator.

Valoarea prestabilită: necompletată

ParolăParola numelui de utilizator specificat pentru autentificarea prin proxy.

Dacă Modul proxy este setat la Manual și Autentificarea proxy este setată la Da, trebuie să configurați parametrul.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Proxy_Password ua="rw">Exemplu</Proxy_Password>

  • Pe interfața web a telefonului, introduceți o parolă validă pentru autentificarea proxy a utilizatorului.

Valoarea prestabilită: necompletată

Tabelul 1. Parametri necesari pentru fiecare mod proxy
Mod proxyParametrii necesariDescriere
DezactivatNAProxy-ul HTTP este dezactivat pe telefon.
ManualGazdă proxy

Port proxy

Autentificare proxy: Da

Nume de utilizator

Parolă

Specificați manual un server proxy (un nume de gazdă sau o adresă IP) și un port proxy. Dacă serverul proxy necesită autentificare, trebuie să introduceți în plus numele de utilizator și parola.
Gazdă proxy

Port proxy

Autentificare proxy: Nu

Specificați manual un server proxy. Serverul proxy nu necesită acreditări de autentificare.
AutoDescoperire automată proxy web: Nu

URL-ul PAC

Introduceți o adresă URL PAC validă pentru a prelua fișierul PAC.
Descoperire automată proxy web: Da

Folosește protocolul WPAD pentru a recupera automat un fișier PAC.

Activează modul inițiat de client pentru negocierile de securitate pe planul media

Pentru a proteja sesiunile media, puteți configura telefonul să inițieze negocieri de securitate a planului media cu serverul. Mecanismul de securitate respectă standardele enunțate în RFC 3329 și în proiectul său de extindere, Denumiri ale mecanismelor de securitate pentru medii (vezi https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Transportul negocierilor dintre telefon și server poate utiliza protocolul SIP prin UDP, TCP, și TLS. Puteți limita aplicarea negocierii de securitate a planului media numai atunci când protocolul de transport al semnalizării este TLS.

Tabelul 2. Parametri pentru negocierea securității planului media
ParametruDescriere

Cerere MediaSec

Specifică dacă telefonul inițiază negocieri de securitate a planului media cu serverul.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <MediaSec_Request_1_ ua="na">Da</b></MediaSec_Request_1_>
  • În interfața web a telefonului, setați acest câmp la Da sau Nu după cum este necesar.

Valori permise: Da | Nu

  • Da—Mod inițiat de client. Telefonul inițiază negocieri privind securitatea planului media.
  • Nu—Mod inițiat de server. Serverul inițiază negocieri de securitate a planului media. Telefonul nu inițiază negocieri, dar poate gestiona cereri de negociere de la server pentru a stabili apeluri securizate.

Implicit: nu

MediaSec Doar peste TLS

Specifică protocolul de transport al semnalizării prin care se aplică negocierea securității pe planul media.

Înainte de a seta acest câmp la Da, asigurați-vă că protocolul de transport al semnalizării este TLS.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <MediaSec_Over_TLS_Only_1_ ua="na">Nu</MediaSec_Over_TLS_Only_1_>

  • În interfața web a telefonului, setați acest câmp la Da sau Nu , după cum este necesar.

Valori permise: Da | Nu

  • Da—Telefonul inițiază sau gestionează negocierile de securitate a planului media numai atunci când protocolul de transport al semnalizării este TLS.
  • Nu—Telefonul inițiază și gestionează negocierile de securitate a planului media, indiferent de protocolul de transport al semnalizării.

Implicit: nu

1

Accesați pagina web de administrare a telefonului.

2

Selectați Voce > Ext. (n).

3

În secțiunea SIP Settings , setați câmpurile MediaSec Request și MediaSec Over TLS Only așa cum sunt definite în tabelul de mai sus.

4

Faceți clic pe Trimitere toate modificările.

WLAN securitate

Deoarece toate dispozitivele WLAN care se află în aria de acoperire pot primi tot celălalt trafic WLAN, securizarea comunicațiilor vocale este critică în rețelele WLAN. Pentru a se asigura că intrușii nu manipulează și nu interceptează traficul vocal, arhitectura de securitate SAFE Cisco este compatibilă cu telefonul. Pentru mai multe informații despre securitatea în rețele, consultați http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Soluția de telefonie wireless Cisco IP oferă securitatea rețelei wireless care previne conectările neautorizate și comunicațiile compromise, utilizând următoarele metode de autentificare acceptate de telefon:

  • Autentificare deschisă: orice dispozitiv wireless poate solicita autentificarea într-un sistem deschis. AP care primește solicitarea poate acorda autentificare oricărui solicitant sau numai solicitanților care se află pe o listă de utilizatori. Comunicarea dintre dispozitivul wireless și punctul de acces (AP) ar putea fi necriptată.

  • Protocol de autentificare extensibil - autentificare flexibilă prin tunelare securizată (EAP-FAST): Această arhitectură de securitate client-server criptează tranzacțiile EAP într-un tunel de securitate la nivel de transport (TLS) între punctul de acces și serverul RADIUS, cum ar fi Identity Services Engine (ISE).

    Tunelul TLS utilizează Protected Access Credentials (PAC) pentru autentificarea dintre client (telefon) și serverul RADIUS. Serverul trimite un ID de autoritate (AID) către client (telefon), care, la rândul său, selectează PAC corespunzătoare. Clientul (telefonul) returnează PAC-Opaque către serverul RADIUS. Serverul decriptează PAC cu cheia primară. Ambele puncte finale conțin acum cheia PAC și este creat un tunel TLS. EAP-FAST acceptă asigurarea automată PAC, dar trebuie s-o activați pe serverul RADIUS.

    În ISE, în mod implicit, PAC-ul expiră peste o săptămână. Dacă telefonul are PAC expirate, autentificarea pe serverul RADIUS durează mai mult, în timp ce telefonul primește PAC noi. Pentru a evita întârzierile de asigurare a PAC, setați perioada de expirare a PAC la 90 zile sau mai mult pe serverul ISE sau RADIUS.

  • Autentificarea Extensible Authentication Protocol-Transport Layer Security (EAP-TLS): EAP-TLS necesită un certificat client pentru autentificare și accesul în rețea. Pentru rețeaua wireless EAP-TLS, certificatul clientului poate fi MIC, LSC, sau un certificat instalat de utilizator.

  • Protected Extensible Authentication Protocol (PEAP): schema proprietară Cisco de autentificare reciprocă bazată pe parolă dintre client (telefon) și un server RADIUS. Telefonul poate folosi PEAP pentru autentificarea cu rețeaua wireless. Sunt acceptate ambele metode de autentificare, PEAP-MSCHAPV2 și PEAP-GTC.

  • Cheie pre-partajată (PSK) Telefonul acceptă formatul ASCII. Trebuie să utilizați acest format atunci când configurați o cheie pre-partajată WPA/WPA2/SAE:

    ASCII: un șir de caractere ASCII cu 8 - 63 caractere lungime (0-9, litere mici și majuscule A-Z și caractere speciale)

    Exemplu : GREG123567@9ZX&W

Următoarele scheme de autentificare utilizează serverul RADIUS pentru a gestiona cheile de autentificare:

  • WPA/WPA2/WPA3: Folosește informațiile serverului RADIUS pentru a genera chei unice pentru autentificare. Deoarece aceste chei sunt generate la serverul RADIUS centralizat, WPA2/WPA3 oferă mai multă securitate decât cheile prepartajate WPA care sunt stocate pe punctul de acces și pe telefon.

  • Roaming rapid securizat: utilizează informațiile despre serverul RADIUS și despre serverul de domeniu wireless (WDS) pentru a gestiona și a autentifica cheile. WDS creează o memorie cache cu acreditări de securitate pentru dispozitivele client compatibile cu FT, pentru o reautentificare rapidă și sigură. Cisco Telefoanele de birou 9861 și 9871 și Cisco Videotelefonul 8875 acceptă 802.11r (FT). Atât conexiunea wireless, cât și cea prin DS sunt acceptate pentru a permite roaming rapid și sigur. Dar vă recomandăm insistent utilizarea 802.11r (FT) la metoda aeriană.

Cu WPA/WPA2/WPA3, cheile de criptare nu sunt introduse în telefon, ci sunt derivate automat între punctul de acces și telefon. Dar numele de utilizator și parola EAP care sunt utilizate pentru autentificare trebuie introduse pe fiecare telefon.

Pentru a asigura securitatea traficului vocal, telefonul acceptă TKIP și AES pentru criptare. Când aceste mecanisme sunt utilizate pentru criptare, atât pachetele de semnalizare SIP, cât și pachetele vocale Real-Time Transport Protocol (RTP) sunt criptate între punct de acces și telefon.

TKIP

WPA folosește criptarea TKIP care are mai multe îmbunătățiri față de WEP. TKIP oferă cifrarea cheilor per pachet și vectori de inițializare (IV) mai lungi, care consolidează criptarea. În plus, o verificare de integritate a mesajului (MIC) garantează faptul că pachetele criptate nu sunt modificate. TKIP elimină predictibilitatea WEP, care ajută intrușii să descifreze cheia WEP.

AES

O metodă de criptare utilizată pentru autentificarea WPA2/WPA3. Acest standard național pentru criptare utilizează un algoritm simetric, care are aceeași cheie pentru criptare și decriptare. AES utilizează criptarea Cipher Blocking Chain (CBC) pe dimensiunea de 128 de biți, care acceptă dimensiuni de chei de minimum 128 de biți, 192 de biți și 256 de biți. Telefonul acceptă o cheie de 256 de biți.

Cisco Telefoanele de birou 9861 și 9871 și videotelefonul Cisco 8875 nu acceptă Cisco Protocolul de integritate a cheilor (CKIP) cu CMIC.

Schemele de autentificare și criptare sunt configurate în cadrul rețelei LAN wireless. VLAN-urile sunt configurate în rețea și pe AP-uri și specifică diferite combinații de autentificare și criptare. Un SSID se asociază cu un VLAN și cu schema specifică de autentificare și criptare. Pentru ca dispozitivele client wireless să se autentifice cu succes, trebuie să configurați aceleași SSID-uri cu schemele lor de autentificare și criptare pe punctele de acces și pe telefon.

Unele scheme de autentificare necesită tipuri specifice de criptare.

  • Când utilizați cheia prepartajată WPA, cheia prepartajată WPA2 sau SAE, cheia prepartajată trebuie să fie setată static pe telefon. Aceste chei trebuie să se potrivească cu cheile care sunt pe AP.

  • Telefonul acceptă negocierea automată EAP pentru FAST sau PEAP, dar nu și pentru TLS. Pentru modul EAP-TLS, trebuie să îl specificați.

Schemele de autentificare și criptare din tabelul următor prezintă opțiunile de configurare a rețelei pentru telefonul care corespunde configurației punctului de acces.

Tabelul 3. Scheme de autentificare și criptare
Tip FSRAutentificareAdministrare cheiCriptareCadru de gestionare protejat (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNu
802.11r (FT)WPA3

SAE

FT-SAE

AESDa
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNu
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNu
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNu
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa

Configurați profilul Wi-Fi

Puteți configura un profil Wi-Fi de pe pagina web a telefonului sau din resincronizarea profilului dispozitivului la distanță și apoi puteți asocia profilul cu rețelele Wi-Fi disponibile. Poți folosi acest profil Wi-Fi pentru a te conecta la un utilizator Wi-Fi. În prezent, poate fi configurat un singur profil Wi-Fi.

Profilul conține parametrii necesari pentru ca telefoanele să se conecteze la serverul telefonic cu Wi-Fi. Atunci când creați și utilizați un profil Wi-Fi, dvs. sau utilizatorii dvs. nu trebuie să configurați rețeaua wireless pentru telefoane individuale.

Un profil Wi-Fi vă permite să preveniți sau să limitați modificările configurației Wi-Fi de pe telefon de către utilizator.

Vă recomandăm să utilizați un profil securizat cu protocoale activate pentru criptare pentru a proteja cheile și parolele atunci când utilizați un profil Wi-Fi.

Atunci când configurați telefoanele să utilizeze metoda de autentificare EAP-FAST în modul de securitate, utilizatorii au nevoie de acreditări individuale pentru a se conecta la un punct de acces.

1

Accesați pagina web a telefonului.

2

Selectați Voce > Sistem.

3

În secțiunea Wi-Fi Profil (n), setați parametrii așa cum este descris în tabelul următor Parametri pentru profilul Wi-Fi.

Configurația profilului Wi-Fi este, de asemenea, disponibilă pentru autentificarea utilizatorului.
4

Faceți clic pe Trimitere toate modificările.

Parametri pentru profilul Wi-Fi

Următorul tabel definește funcția și utilizarea fiecărui parametru în secțiunea Wi-Fi Profil(n) din cadrul Sistemului Tab din pagina web a telefonului. De asemenea, definește sintaxa șirului care este adăugat în fișierul de configurare a telefonului (cfg.XML) pentru a configura un parametru.

ParametruDescriere
Numele rețeleiVă permite să introduceți un nume pentru SSID care se va afișa pe telefon. Mai multe profiluri pot avea același nume de rețea, cu moduri de securitate diferite.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Network_Name_1_ ua="rw">Cisco</Network_Name_1_>

  • În pagina web a telefonului, introduceți un nume pentru SSID.

Valoarea prestabilită: necompletată

Mod securitateVă permite să selectați metoda de autentificare utilizată pentru a securiza accesul la rețeaua Wi-Fi. În funcție de metoda pe care o alegeți, apare un câmp de parolă, astfel încât să puteți furniza acreditările necesare pentru a vă alătura acestei rețele Wi-Fi.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- opțiuni disponibile: Auto|EAP-FAST|||PSK||Nici unul|EAP-PEAP|EAP-TLS -->

  • În pagina web a telefonului, selectați una dintre metode:
    • Auto
    • EAP-FAST
    • PSK
    • Fără
    • EAP-PEAP
    • EAP-TLS

Valoarea prestabilită: Auto

Wi-Fi ID utilizatorVă permite să introduceți un ID de utilizator pentru profilul de rețea.

Acest câmp este disponibil atunci când setați modul de securitate la Auto, EAP-FAST sau EAP-PEAP. Acesta este un câmp obligatoriu și permite o lungime maximă de 32 de caractere alfanumerice.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • În pagina web a telefonului, introduceți un ID de utilizator pentru profilul de rețea.

Valoarea prestabilită: necompletată

Wi-Fi ParolăVă permite să introduceți parola pentru ID-ul de utilizator Wi-Fi specificat.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • În pagina Web a telefonului, introduceți o parolă pentru ID-ul de utilizator pe care l-ați adăugat.

Valoarea prestabilită: necompletată

Banda de frecvențăVă permite să selectați banda de frecvență a semnalului wireless utilizată de WLAN.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • În pagina web a telefonului, selectați una dintre opțiunile:
    • Auto
    • 2,4 GHz
    • 5 GHz

Valoarea prestabilită: Auto

Selectare certificatVă permite să selectați un tip de certificat pentru înscrierea inițială a certificatului și reînnoirea certificatului în rețeaua wireless. Acest proces este disponibil numai pentru autentificarea 802.1X.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Certificate_Select_1_ ua="rw">Producție instalată</Certificate_Select_1_>

  • În pagina web a telefonului, selectați una dintre opțiunile:
    • Producție instalată
    • Instalat personalizat

Implicit: Producție instalată

Verificați starea de securitate a dispozitivului pe telefon

Telefonul verifică automat starea de securitate a dispozitivului. Dacă detectează potențiale amenințări de securitate pe telefon, meniul Probleme și diagnosticare poate afișa detaliile problemelor. Pe baza problemelor raportate, administratorul poate efectua operațiuni pentru securizarea și întărirea telefonului.

Starea de securitate a dispozitivului este disponibilă înainte ca telefonul să fie înregistrat în sistemul de control al apelurilor (Webex Calling sau BroadWorks).

Pentru a vizualiza detaliile problemelor de securitate pe ecranul telefonului, procedați astfel:

1

Apăsați Setări Settings button

2

Selectați Probleme și diagnosticare > Probleme.

În prezent, raportul de securitate al dispozitivului conține următoarele probleme:

  • Încrederea în dispozitive
    • Autentificarea dispozitivului a eșuat
    • A fost detectată modificarea SoC
  • Configurație vulnerabilă
    • SSH activat
    • Telnet activat
  • Eveniment de anomalie a rețelei detectat
    • Încercări excesive de conectare la web
    • Trafic UDP ridicat detectat
    • Solicitări suspecte de marcaj temporal ICMP
  • Eliberarea certificatului
    • Expirare certificat dispozitiv personalizat

3

Contactați administratorul pentru asistență în vederea rezolvării problemelor de securitate.