În acest articol
dropdown icon
Configurarea opțiunilor DHCP
    Suport pentru opțiunea DHCP
dropdown icon
Securitate LAN wireless
    Configurează profilul Wi-Fi
dropdown icon
Autentificare 802.1X pentru rețele cu fir
    Activați autentificarea 802.1X pentru rețelele cu fir de pe telefon
    Activarea autentificării 802.1X pentru rețelele cu fir pe pagina web a telefonului
    Meniul setărilor de securitate de pe telefon
Modificarea parolelor de utilizator și de administrator
Setați versiunea minimă TLS pentru client și server
Activați modul inițiat de client pentru negocierile de securitate ale planului media
Cisco Securitate telefon wireless 9821 (multiplatformă)
list-menuÎn acest articol
list-menuFeedback?

Acest articol de ajutor este pentru telefonul wireless Cisco 9821 înregistrat la Webex Calling.

Configurați opțiunile DHCP

Puteți seta ordinea în care telefonul utilizează opțiunile DHCP. Pentru ajutor cu opțiunile DHCP, consultați DHCP suport pentru opțiuni.

1

Accesați pagina web de administrare a telefonului.

http://<ip adresa>/admin/advanced

2

Selectați Voce > Asigurare acces.

3

În secțiunea Profil de configurare, setați parametrul DHCP Opțiune de utilizare . Acest paramter constă dintr-o serie de opțiuni DHCP, delimitate prin virgule, utilizate pentru a prelua firmware-ul și profilurile.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • Pe pagina web a telefonului, introduceți o serie de opțiuni DHCP, delimitate prin virgule.

Implicit: 66,160,159,150,60,43,125

4

Faceți clic pe Trimitere toate modificările.

DHCP Suport opțiune

Următorul tabel listează opțiunile DHCP care sunt acceptate pe Cisco Wireless Phone 9821.

Standard de rețeaDescriere
DHCP opțiunea 1Mască subreţea
DHCP opțiunea 2Decalaj de timp
DHCP opțiunea 3Router
DHCP opțiunea 6Server de nume de domeniu
DHCP opțiunea 15Nume domeniu
DHCP opțiunea 17Calea rădăcină
DHCP opțiunea 41IP Adresa timpului de închiriere
DHCP opțiunea 42NTP server
DHCP opțiunea 43Informații specifice furnizorului

Poate fi utilizat pentru a furniza configurația SCEP.

DHCP opțiunea 56NTP server
DHCP opțiunea 60Identificator clasă furnizor
DHCP opțiunea 66TFTP numele serverului
DHCP opțiunea 125Informații specifice furnizorului de identificare a furnizorului
DHCP opțiunea 150TFTP server
DHCP opțiunea 159Server de asigurare a accesului IP
DHCP opțiunea 160URL de asigurare a accesului

Securitate LAN wireless

Deoarece toate dispozitivele WLAN care se află în aria de acoperire pot primi tot celălalt trafic WLAN, securizarea comunicațiilor vocale este critică în rețelele WLAN. Pentru a se asigura că intrușii nu manipulează și nu interceptează traficul de voce, arhitectura Cisco SAFE Security acceptă telefonul. Pentru mai multe informații despre securitatea în rețele, consultați http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Soluția de telefonie Cisco Wireless IP oferă securitate de rețea wireless care previne conectările neautorizate și comunicațiile compromise prin utilizarea următoarelor metode de autentificare acceptate de telefon.

  • Autentificare deschisă: orice dispozitiv wireless poate solicita autentificarea într-un sistem deschis. AP care primește solicitarea poate acorda autentificare oricărui solicitant sau numai solicitanților care se află pe o listă de utilizatori. Comunicarea dintre dispozitivul wireless și punctul de acces (AP) ar putea fi necriptată.

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Autentificare: Această arhitectură de securitate client-server criptează EAP tranzacțiile dintr-un tunel Transport Level Security (TLS) între AP și serverul RADIUS, cum ar fi Identity Services Engine (ISE).

    Tunelul TLS utilizează Protected Access Credentials (PAC) pentru autentificarea dintre client (telefon) și serverul RADIUS. Serverul trimite un ID de autoritate (AID) către client (telefon), care, la rândul său, selectează PAC corespunzătoare. Clientul (telefonul) returnează PAC-Opaque către serverul RADIUS. Serverul decriptează PAC cu cheia primară. Ambele puncte finale conțin acum cheia PAC și este creat un tunel TLS. EAP-FAST acceptă asigurarea automată PAC, dar trebuie s-o activați pe serverul RADIUS.

    În ISE, în mod implicit, PAC expiră într-o săptămână. Dacă telefonul are PAC expirate, autentificarea pe serverul RADIUS durează mai mult, în timp ce telefonul primește PAC noi. Pentru a evita întârzierile de asigurare a PAC, setați perioada de expirare a PAC la 90 zile sau mai mult pe serverul ISE sau RADIUS.

  • Autentificarea Extensible Authentication Protocol-Transport Layer Security (EAP-TLS): EAP-TLS necesită un certificat client pentru autentificare și accesul în rețea. Pentru wireless EAP-TLS, certificatul client poate fi MIC sau certificat instalat de utilizator.

  • Protected Extensible Authentication Protocol (PEAP): schema proprietară Cisco de autentificare reciprocă bazată pe parolă dintre client (telefon) și un server RADIUS. Telefonul poate utiliza PEAP pentru autentificarea cu rețeaua wireless. Sunt acceptate ambele metode de autentificare, PEAP-MSCHAPV2 și PEAP-GTC.

    Pentru a accepta autentificarea PEAP-GTC pentru Cisco Wireless Phone 9821, configurați politica necesară în cadrul setului de politici Cisco ISE.

  • Cheie pre-partajată (PSK): telefonul acceptă formatele ASCII și hexazecimal (HEX). Trebuie să utilizați aceste formate atunci când configurați o cheie WPA2/SAE pre-partajată.

    ASCII: Un șir de caractere ASCII cu o lungime de 8 până la 63 de caractere (0-9, litere mici a-z, majuscule A-Z și caractere speciale). De exemplu,GREG123567@9ZX &W.

    HEX: Un șir de caractere HEX cu lungimea de 64 de cifre hexazecimale (0-9, a-f sau A-F).

Următoarele scheme de autentificare utilizează serverul RADIUS pentru a gestiona cheile de autentificare:

  • WPA2/WPA3: utilizează informațiile despre serverul RADIUS pentru a genera chei unice pentru autentificare. Deoarece aceste chei sunt generate la serverul centralizat RADIUS, WPA2/WPA3 oferă mai multă securitate decât cheile prepartajate WPA care sunt stocate pe AP și telefon.

  • Roaming rapid securizat: utilizează informațiile despre serverul RADIUS și despre serverul de domeniu wireless (WDS) pentru a gestiona și a autentifica cheile. WDS creează o memorie cache de acreditări de securitate pentru dispozitivele client compatibile FT pentru reautentificare rapidă și sigură.

Cu WPA2/WPA3, cheile de criptare nu sunt introduse pe telefon, ci sunt derivate automat între AP și telefon. Dar numele de utilizator și parola EAP care sunt utilizate pentru autentificare trebuie introduse pe fiecare telefon.

Pentru a contribui la protejarea traficului de voce prin conexiunea wireless, telefonul acceptă criptarea bazată pe AES pentru autentificarea WPA2/WPA3. AES este un cifru bloc simetric standardizat de NIST. AES utilizează o dimensiune fixă a blocului pe 128 de biți și acceptă dimensiuni cheie de 128 de biți, 192 de biți și 256 de biți. În rețelele Wi-Fi, AES este utilizat de suitele de cifruri, cum ar fi CCMP sau GCMP, în timp ce autentificarea este furnizată separat de PSK, SAE sau 802.1X/EAP, în funcție de modul de securitate WLAN configurat. Suita de cifruri acceptată și dimensiunea cheii depind de modelul telefonului și de configurația WLAN.

Schemele de autentificare și criptare sunt configurate în cadrul rețelei LAN wireless. VLAN-urile sunt configurate în rețea și pe AP-uri și specifică diferite combinații de autentificare și criptare. Un SSID se asociază cu un VLAN și cu schema specifică de autentificare și criptare. Pentru ca dispozitivele client wireless să se autentifice cu succes, trebuie să configurați aceleași SSID-uri cu schemele lor de autentificare și criptare pe AP-uri și pe telefon.

Unele scheme de autentificare necesită tipuri specifice de criptare.

Când utilizați cheia pre-partajată WPA2 sau SAE, cheia pre-partajată trebuie să fie setată static pe telefon. Aceste chei trebuie să se potrivească cu cheile care sunt pe AP.

Schemele de autentificare și criptare din tabelul următor arată opțiunile de configurare a rețelei pentru Cisco Wireless Phone 9821 care corespunde configurației AP.

Tabelul 1. Scheme de autentificare și criptare
FSR TipAutentificareAdministrare cheiCriptareCadrul de Management Protejat (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNu
802.11r (FT)WPA3

SAE

FT-SAE

AESDa
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNu
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNu
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNu
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa
non-FTSuită BWPA-EAP-SUITE-BGCMPDa
non-FTSuită-B-192WPA-EAP-SUITE-B-192GCMPDa

Configurarea profilului Wi-Fi

Puteți configura profilurile Wi-Fi din pagina web de administrare a telefonului sau printr-o resincronizare a profilului dispozitivului la distanță. Odată configurat, puteți asocia aceste profiluri cu rețelele wireless disponibile pentru a stabili conectivitatea. Cisco Telefonul wireless 9821 acceptă maximum patru profiluri Wi-Fi configurate.

Profilul conține parametrii necesari pentru ca telefoanele să se conecteze la serverul de telefonie cu Wi-Fi. Când creați și utilizați un profil Wi-Fi, dvs. sau utilizatorii dvs. nu trebuie să configurați rețeaua wireless pentru telefoane individuale.

Un profil Wi-Fi vă permite să împiedicați sau să limitați modificările configurației Wi-Fi de pe telefon de către utilizator.

Vă recomandăm să utilizați un profil securizat cu protocoale activate pentru criptare pentru a proteja cheile și parolele atunci când utilizați un profil Wi-Fi.

Atunci când configurați telefoanele să utilizeze metoda de autentificare EAP-FAST în modul de securitate, utilizatorii au nevoie de acreditări individuale pentru a se conecta la un punct de acces.

1

Accesați pagina web a telefonului.

2

Selectați Voce > Sistem.

3

În secțiunea Wi-Fi Profil (n), setați parametrii descriși în tabelul următor Parametri pentru profilul Wi-Fi.

Configurația profilului Wi-Fi este, de asemenea, disponibilă pentru autentificarea utilizatorului.
4

Faceți clic pe Trimitere toate modificările.

Parametri pentru profilul Wi-Fi

Următorul tabel definește funcția și utilizarea fiecărui parametru în secțiunea Wi-Fi Profil(n) din Sistem Tab de pe pagina web a telefonului. De asemenea, definește sintaxa șirului care este adăugat în fișierul de configurare a telefonului (cfg.XML) pentru a configura un parametru.

ParametruDescriere
Numele rețeleiVă permite să introduceți un nume pentru SSID care se va afișa pe telefon. Mai multe profiluri pot avea același nume de rețea, cu moduri de securitate diferite.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Network_Name_1_ ua="rw">Cisco</Network_Name_1_>

  • Pe pagina web a telefonului, introduceți un nume pentru SSID.

Valoarea prestabilită: necompletată

Mod securitateVă permite să selectați metoda de autentificare utilizată pentru a securiza accesul la rețeaua Wi-Fi. În funcție de metoda pe care o alegeți, apare un câmp de parolă, astfel încât să puteți furniza acreditările necesare pentru a vă alătura acestei rețele Wi-Fi.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- opțiuni disponibile: |EAP-FAST|||PSK||Nici unul|EAP-PEAP|EAP-TLS -->

  • Pe pagina web a telefonului, selectați una dintre metode:
    • EAP-FAST
    • PSK
    • Fără
    • EAP-PEAP
    • EAP-TLS

Valoarea prestabilită: Fără

Wi-Fi Utilizator IDVă permite să introduceți un utilizator ID pentru profilul de rețea.

Acest câmp este disponibil atunci când setați modul de securitate la Auto, EAP-FAST sau EAP-PEAP. Acesta este un câmp obligatoriu și permite o lungime maximă de 32 de caractere alfanumerice.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Pe pagina web a telefonului, introduceți un utilizator ID pentru profilul de rețea.

Valoarea prestabilită: necompletată

Wi-Fi ParolăVă permite să introduceți parola pentru utilizatorul Wi-Fi specificat ID.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Pe pagina web a telefonului, introduceți o parolă pentru utilizatorul ID pe care l-ați adăugat.

Valoarea prestabilită: necompletată

Banda de frecvențăVă permite să selectați banda de frecvență a semnalului wireless utilizată de WLAN.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • În pagina web a telefonului, selectați una dintre opțiunile:
    • Auto
    • 2,4 GHz
    • 5 GHz sau 6 GHz

Valoarea prestabilită: Auto

Selectare certificatVă permite să selectați un tip de certificat pentru înscrierea inițială a certificatului și reînnoirea certificatului în rețeaua wireless. Acest proces este disponibil numai pentru autentificarea 802.1X.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Certificate_Select_1_ ua="rw">Producție instalată</Certificate_Select_1_>

  • Pe pagina web a telefonului, selectați una dintre opțiunile:
    • Producție instalată
    • Instalat personalizat

Implicit: Producție instalată

Modul de controlControlează dacă utilizatorului i se permite să configureze profilurile Wi-Fi.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Control_Mode_1_ ua="rw">Allow</Control_Mode_1_>

  • Pe pagina web a telefonului, selectați una dintre opțiunile:
    • Permite
    • Nepermis
    • Restricţionat

Implicit: Permite

ActivaControlează dacă profilul Wi-Fi este activat.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Enable_1_ ua="rw">Da</Enable_1_>

  • Pe pagina web a telefonului, selectați una dintre opțiunile:
    • Da
    • Nu

Valoarea prestabilită: Da

Numele profiluluiVă permite să introduceți un nume pentru profilul care se va afișa pe telefon.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Profile_Name_1_ ua="rw">Profil 1</Profile_Name_1_>

  • Pe pagina web a telefonului, introduceți un nume pentru profil.

Implicit: Profil 1

Parolă PSKVă permite să introduceți fraza de acces PSK când Modul securitate este setat la PSK.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <PSK_Passphrase_1_ ua="rw">*************</PSK_Passphrase_1_>

  • Pe pagina web a telefonului, introduceți fraza de acces PSK.

Implicit: Permite

Autentificare 802.1X pentru rețele cu fir

Cisco Telefonul wireless 9821 acceptă autentificarea 802.1X pentru rețelele cu fir. Acest lucru este utilizat de obicei în timpul asigurării automate a accesului , atunci când telefonul este conectat la încărcătorul de birou printr-un adaptor USB-la-Ethernet acceptat.

Suportul pentru autentificarea 802.1X în rețelele cu fir necesită mai multe componente, după cum urmează:

  • Telefonul Cisco IP: telefonul inițiază solicitarea de a accesa rețeaua. Telefoanele Cisco IP conțin un solicitant 802.1X. Acest solicitant permite administratorilor de rețea să controleze conectivitatea telefoanelor IP la porturile switch-ului LAN. Versiunea curentă a solicitantului 802.1X de pe telefon utilizează opțiunile EAP-FAST și EAP-TLS pentru autentificarea în rețea.

  • Server de autentificare: Serverul de autentificare și comutatorul trebuie să fie configurate cu un secret partajat RADIUS.

  • Comutator: Comutatorul trebuie să accepte 802.1X, astfel încât să poată acționa ca autentificator și să transmită mesajele EAP între telefon și serverul de autentificare. După finalizarea schimbului, switch-ul acordă sau respinge accesul telefonului în rețea.

Telefoanele Cisco IP și switch-urile Cisco Catalyst utilizează în mod tradițional Cisco Discovery Protocol (CDP) pentru a se identifica reciproc și pentru a determina parametrii, cum ar fi alocarea VLAN și cerințele de alimentare în linie.

Trebuie să efectuați următoarele acțiuni pentru a configura 802.1X.

  • Configurați CDP/LLDP bypass vocal VLAN.

  • Configurați serverul de autentificare și comutatorul înainte de a activa autentificarea 802.1X pentru rețelele cu fir de pe telefon.

  • Configurare VLAN vocal: deoarece standardul 802.1X nu ține cont de VLAN-uri, trebuie să configurați această setare pe baza compatibilității switch-ului.

    • Activat: dacă utilizați un comutator care acceptă autentificarea multidomeniu, îl puteți configura să utilizeze vocea VLAN.
    • Dezactivat: dacă switch-ul nu acceptă autentificarea în mai multe domenii, dezactivați VLAN-ul vocal și luați în considerare atribuirea portului către VLAN-ul nativ.
  • Cisco Telefonul wireless 9821 are un prefix diferit în PID față de cel pentru celelalte telefoane Cisco. Pentru a permite telefonului să treacă autentificarea 802.1X, setați Rază · Parametrul Nume utilizator pentru a include telefonul wireless Cisco 9821.

    De exemplu, PID-ul telefonului wireless Cisco 9821 este WP-9821. Puteți seta raza· Nume de utilizator pentru a începe cu WP sau conține WP în ambele secțiuni următoare:

    • Politică > Condiții > Condiții de bibliotecă

    • Politici > Seturi de politici> Politica de autorizare> Regula de autorizare 1

Activați autentificarea 802.1X pentru rețelele cu fir de pe telefon

Urmați acești pași pentru a activa autentificarea 802.1X pentru rețelele cu fir de pe telefon. Rețineți că autentificarea 802.1X pentru Wi-Fi este activată implicit și nu necesită configurare manuală.

1

Accesați setările 9821 Settings app icon App.

2

Dacă vi se solicită, introduceți parola pentru a accesa meniul Setări . Puteți obține parola de la administratorul dvs.

3

Selectați Setări administrator > Configurare securitate> Autentificare 802.1X.

4

Evidențiați Autentificare dispozitiv și apăsați Activat.

Activarea autentificării 802.1X pentru rețelele cu fir pe pagina web a telefonului

Când este activată autentificarea 802.1X pentru rețelele cu fir, telefonul utilizează autentificarea 802.1X pentru a solicita acces la rețea de la portul LAN Ethernet. Când autentificarea 802.1X pentru rețelele cu fir este dezactivată, telefonul utilizează Cisco Discovery Protocol (CDP) pentru a obține VLAN și acces la rețea. Rețineți că autentificarea 802.1X pentru Wi-Fi este activată implicit și nu necesită configurare manuală.

Puteți selecta un certificat (MIC/SUDI sau CDC) utilizat pentru autentificarea 802.1X. Pentru mai multe informații despre CDC, consultați Certificatul de dispozitiv particularizat pe Cisco Wireless Phone 9821.

Puteți vizualiza starea tranzacției și setările de securitate în meniul ecranului telefonului. Pentru informații suplimentare, consultați meniul Setări securitate de pe telefon.

1

Activați autentificarea 802.1X.

Selectați Voce > Sistem. În secțiunea Autentificare 802.1X, setați parametrul Activare autentificare 802.1X la Da.

Puteți configura acest parametru și în fișierul de configurare (cfg.XML):

<Enable_802.1X_Authentication ua="rw">Da</Enable_802.1X_Autentificare>

Valori valide: Da|Nu

Implicit: nu

2

În secțiunea Autentificare 802.1X, selectați unul dintre următoarele certificate instalate utilizate pentru autentificarea 802.1X din lista verticală Selectare certificat.

Opțiuni de valoare:

  • Producție instalată: MIC/SUDI.
  • Instalat personalizat: Custom Device Certificate (CDC).

Puteți configura acest parametru și în fișierul de configurare (cfg.XML):

<Certificate_Select ua="rw">Custom instalat</Certificate_Select>

Valori valide: Producție instalată|Instalat personalizat

Implicit: Producție instalată

3

Configurați parametrul User ID care va fi utilizat ca identitate pentru autentificarea 802.1X în rețeaua cu fir.

Această configurație se aplică numai atunci când utilizați un certificat de dispozitiv particularizat (CDC) pentru autentificarea 802.1X cu fir, cu opțiunea Selectare certificat setată la Particularizat instalată.

De asemenea, puteți configura acest parametru în fișierul de configurare (cfg.XML):

<Wired_User_ID ua="na"></Wired_User_ID>

Valori valide: maximum 127 de caractere

Valoarea prestabilită: necompletată

Acest parametru acceptă, de asemenea, variabile de expansiune macro, consultați Variabile de extindere macro pentru detalii.

Dacă doriți să asigurați accesul utilizatorului ID utilizând o combinație cu opțiunile DHCP, consultați Asigurarea accesului utilizatorului ID prin opțiunea DHCP 15.

4

Faceți clic pe Trimitere toate modificările.

Meniul setărilor de securitate de pe telefon

Pentru a vizualiza informațiile despre setările de securitate din meniul telefonului, accesați Setări 9821 Settings app icon și selectați Setări administrator > Configurare securitate> Autentificare 802.1X. Disponibilitatea informațiilor depinde de setările de rețea din organizația dvs.

Parametri

Opţiuni

Default

Descriere

Autentificarea dispozitivelor

Activat

Dezactivat

Dezactivat

Activează sau dezactivează autentificarea 802.1X pe telefon.

Setarea parametrilor poate fi păstrată după înregistrarea Out-Of-Box (OOB) a telefonului.

Starea tranzacției

Dezactivate

Afișează starea autentificării 802.1X. Statul poate fi (fără a se limita la):

  • Autentificare — indică faptul că procesul de autentificare este în desfășurare.
  • Autentificat — Indică faptul că telefonul este autentificat.
  • Dezactivat — indică faptul că autentificarea 802.1x este dezactivată pe telefon.
  • Conectare — Indică faptul că telefonul trimite mesaje de pornire EAP către comutator la fiecare 30 de secunde.
  • Achiziționat— Indică faptul că comutatorul a respins solicitarea EAP a telefonului și telefonul nu primește nicio provocare EAP-TLS sau EAP-FAST de la comutator. Telefonul încearcă din nou să trimită solicitări EAP.
  • Deconectat — Indică faptul că este deconectat cablul Ethernet.
  • În așteptare — indică faptul că comutatorul a procesat solicitarea EAP a telefonului, dar a respins autentificarea EAP-FAST sau EAP-TLS. Telefonul încearcă din nou să trimită solicitări EAP.

Protocol

Fără

Afișează metoda EAP utilizată pentru autentificarea 802.1X. Protocolul poate fi EAP-FAST sau EAP-TLS.

Tipul certificatului de utilizator

Producție instalată

Instalat personalizat

Producție instalată

Selectează certificatul pentru autentificarea 802.1X în timpul înscrierii inițiale și reînnoirii certificatului.

  • Producție instalată — se utilizează identificatorul unic securizat al dispozitivului (SUDI).
  • Custom installed (Personalizat) — se utilizează Custom Device Certificate (CDC). Acest tip de certificat poate fi instalat fie prin încărcare manuală pe pagina web a telefonului, fie prin instalare de pe un server Simple Certificate Enrollment Protocol (SCEP).

Acest parametru apare pe telefon numai atunci când este activată autentificarea dispozitivului.

Modificarea parolelor de utilizator și de administrator

La înregistrarea inițială cu un sistem de control al apelurilor sau după o resetare la setările din fabrică, trebuie să configurați atât parola de utilizator, cât și parola de administrator atunci când accesați pentru prima dată pagina web de administrare a telefonului. Puteți actualiza aceste acreditări în orice moment pentru a menține securitatea dispozitivului.

Regulile valide pentru parole includ următoarele:

  • Parola trebuie să conțină cel puțin 8 până la 127 de caractere.
  • O combinație (trei din cele patru tipuri) de majusculă, literă mică mică, număr și caracter special.
  • Spațiul nu este permis.
1

Accesați pagina web de administrare a telefonului.

2

Selectați Voce > Sistem.

3

(Opțional) În secțiunea System Configuration ( Configurație sistem), setați parametrul Display Password Warnings (Afișare avertismente parolă) la Yes (Da), apoi faceți clic pe Submit All Changes (Trimitere toate modificările).

De asemenea, puteți activa parametrii din fișierul de configurare a telefonului (cfg.XML).

<Display_Password_Warnings ua="na">Da</Display_Password_Warnings>

Valoarea prestabilită: Da

Opțiuni: Da |Nu

Dacă parametrul este setat la Nu, avertismentul privind parola nu apare pe ecranul telefonului.

4

Localizați parametrul Parolă utilizator sau Parolă administrator și faceți clic pe Modificare parolă lângă parametru.

5

Introduceți parola curentă de utilizator în câmpul Parolă veche.

6

Introduceți o parolă nouă în câmpul Parolă nouă.

Dacă noua parolă nu respectă regulile valide pentru parolă, setarea va fi refuzată.

7

Faceţi clic pe Submit (Trimitere).

Mesajul Parola a fost schimbat cu succes. se va afișa în pagina web. Pagina web se va reîmprospăta în câteva secunde.

După ce setați parola de utilizator, acest parametru afișează următoarele în fișierul XML de configurare a telefonului (cfg.XML):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Setați versiunea minimă TLS pentru client și server

În mod implicit, versiunea minimă TLS pentru client și server este 1.2. Aceasta înseamnă că clientul și serverul acceptă să stabilească conexiuni cu TLS 1.2 sau o versiune ulterioară. Versiunea maximă acceptată de TLS pentru client și server este 1.3. Când este configurată, versiunea minimă TLS va fi utilizată pentru negocierea dintre clientul TLS și serverul TLS.

Puteți seta versiunea minimă de TLS pentru client și, respectiv, server, cum ar fi 1.1, 1.2 sau 1.3.

nainte de a începe

Asigurați-vă că serverul TLS acceptă versiunea minimă TLS configurată. Vă puteți consulta cu administratorul sistemului de control al apelurilor.

1

Accesați pagina web de administrare a telefonului.

2

Selectați Voce > Sistem.

3

În secțiunea Setări de securitate, configurați parametrul TLS Client Min Version.

  • TLS 1.1: Clientul TLS acceptă versiunile TLS de la 1.1 la 1.3.

    Dacă versiunea TLS pe server este mai mică decât 1.1, atunci conexiunea nu poate fi stabilită.

  • TLS 1.2 (implicit): clientul TLS acceptă TLS 1.2 și 1.3.

    Dacă versiunea TLS pe server este mai mică decât 1.2, de exemplu, 1.1, atunci conexiunea nu poate fi stabilită.

  • TLS 1.3: Clientul TLS acceptă numai TLS 1.3.

    Dacă versiunea TLS din server este mai mică decât 1.3, de exemplu, 1.2 sau 1.1, atunci conexiunea nu poate fi stabilită.

    Dacă doriți să setați parametrul "TLS Client Min Version" la "TLS 1.3", asigurați-vă că partea serverului acceptă TLS 1.3. Dacă partea de server nu acceptă TLS 1.3, acest lucru poate cauza probleme critice. De exemplu, operațiunile de asigurare a accesului nu pot fi efectuate pe telefoane.

De asemenea, puteți configura acest parametru în fișierul de configurare (cfg.XML):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Valori permise: TLS 1.1, TLS1.2 și TLS 1.3.

Valoarea prestabilită: TLS 1.2

4

În secțiunea Setări de securitate, configurați parametrul TLS Server Min Version.

Webex Calling nu acceptă TLS 1.1.

  • TLS 1.1: Serverul TLS acceptă versiunile TLS de la 1.1 la 1.3.

    Dacă versiunea TLS din client este mai mică decât 1.1, atunci conexiunea nu poate fi stabilită.

  • TLS 1.2 (implicit): Serverul TLS acceptă TLS 1.2 și 1.3.

    Dacă versiunea TLS din client este mai mică decât 1.2, de exemplu, 1.1, atunci conexiunea nu poate fi stabilită.

  • TLS 1.3: Serverul TLS acceptă numai TLS 1.3.

    Dacă versiunea TLS din client este mai mică decât 1.3, de exemplu, 1.2 sau 1.1, atunci conexiunea nu poate fi stabilită.

Puteți configura acest parametru și în fișierul de configurare (cfg.XML):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Valori permise: TLS 1.1, TLS1.2 și TLS 1.3.

Valoarea prestabilită: TLS 1.2

5

Faceți clic pe Trimitere toate modificările.

Activați modul inițiat de client pentru negocierile de securitate ale planului media

Pentru a proteja sesiunile media, puteți configura telefonul pentru a iniția negocieri de securitate a planului media cu serverul. Mecanismul de securitate respectă standardele menționate în RFC 3329 și proiectul său de extindere a numelor mecanismelor de securitate pentru mass-media (a se vedea https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Transportul negocierilor dintre telefon și server poate utiliza protocolul SIP peste UDP, TCP, și TLS. Puteți limita ca negocierea securității planului media să se aplice numai atunci când protocolul de transport de semnalizare este TLS.

Tabelul 2. Parametrii pentru negocierea securității planului media
ParametruDescriere

Cerere MediaSec

Specifică dacă telefonul inițiază negocieri de securitate a planului media cu serverul.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <MediaSec_Request_1_ ua="na">Da</MediaSec_Request_1_>
  • În interfața Web a telefonului, setați acest câmp la Da sau Nu , după cum este necesar.

Valori permise: Da | Nu

  • Da - Modul inițiat de client. Telefonul inițiază negocieri de securitate a avionului media.
  • Nu - Modul inițiat de server. Serverul inițiază negocieri de securitate a planului media. Telefonul nu inițiază negocieri, dar poate gestiona cererile de negociere de la server pentru a stabili apeluri sigure.

Implicit: nu

MediaSec numai peste TLS

Specifică protocolul de transport de semnalizare peste care se aplică negocierea securității avionului media.

Înainte de a seta acest câmp la Da, asigurați-vă că protocolul de transport al semnalizării este TLS.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <MediaSec_Over_TLS_Only_1_ ua="na">nr</MediaSec_Over_TLS_Only_1_>

  • În interfața Web a telefonului, setați acest câmp la Da sau Nu , după cum este necesar.

Valori permise: Da | Nu

  • Da, telefonul inițiază sau gestionează negocierile de securitate a avioanelor media numai atunci când protocolul de transport de semnalizare este TLS.
  • Nu - Telefonul inițiază și gestionează negocierile de securitate a avioanelor media, indiferent de protocolul de transport de semnalizare.

Implicit: nu

1

Accesați pagina web de administrare a telefonului.

2

Selectați Voce > Ext. (n).

3

În secțiunea SIP Settings , setați câmpurile MediaSec Request și MediaSec Over TLS Only , așa cum sunt definite în tabelul de mai sus.

4

Faceți clic pe Trimitere toate modificările.

A fost util acest articol?
A fost util acest articol?