- Главная
- /
- Статья
Эта статья справки для беспроводного телефона Cisco 9821, зарегистрированного в Webex Calling.
Настройка параметров DHCP
Можно задать порядок использования параметров DHCP телефоном. Сведения о параметрах DHCP см. в разделе «Поддержка параметровDHCP».
| 1 |
Доступ к веб-странице администрирования телефона.
|
| 2 |
Выберите . |
| 3 |
В разделе " Профиль конфигурации" задайте параметр DHCP параметр для использования . Этот параметр состоит из серии параметров DHCP, разделенных запятыми, которые используются для извлечения микропрограммного обеспечения и профилей. Выполните одно из следующих действий:
Значение по умолчанию: |
| 4 |
Щелкните Submit All Changes. |
поддержка параметра DHCP
В следующей таблице приведены параметры DHCP, которые поддерживаются на беспроводном телефоне Cisco 9821.
| Стандарт сети | Описание |
|---|---|
| Опция DHCP 1 | Маска подсети |
| Опция DHCP 2 | Смещ. вр. |
| Опция DHCP 3 | Маршрутизатор |
| Опция DHCP 6 | Сервер имен домена |
| Опция DHCP 15 | Имя домена |
| Опция DHCP 17 | Корневой путь |
| Опция DHCP 41 | Срок предоставления IP-адреса |
| Опция DHCP 42 | Сервер NTP |
| Опция DHCP 43 | Сведения, относящиеся к конкретному поставщику Может использоваться для обеспечения конфигурации SCEP. |
| Опция DHCP 56 | Сервер NTP |
| Опция DHCP 60 | Идентификатор класса поставщика |
| Опция DHCP 66 | Имя сервера TFTP |
| Опция DHCP 125 | Сведения, идентифицирующие конкретного поставщика |
| Опция DHCP 150 | TFTP |
| Опция DHCP 159 | IP сервера настройки |
| Опция DHCP 160 | URL настройки |
Безопасность беспроводной локальной сети
Так как все устройства беспроводной сети, расположенные в пределах радиуса действия, могут получать весь остальной трафик беспроводной сети, обеспечение безопасности голосовой связи является критически важной задачей в беспроводных локальных сетях. Чтобы злоумышленники не могли манипулировать и не перехватывать голосовой трафик, телефон поддерживает архитектура Cisco SAFE Security. Дополнительные сведения о безопасности в сетях см. в разделе http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html
Решение телефонии для беспроводной сети Cisco IP обеспечивает защиту беспроводной сети и предотвращает несанкционированный вход и скомпрометируемые сообщения с помощью следующих методов аутентификации, поддерживаемых телефоном:
-
Открытая аутентификация: в открытой системе любое беспроводное устройство может запросить аутентификацию. Точка доступа, которая получает запрос, может аутентифицировать любое запрашивающее лицо или только тех запрашивающих лиц, которые включены в список пользователей. Связь между беспроводным устройством и точкой доступа (точка доступа) может быть нешифровой.
-
Аутентификация с помощью защищенного туннелирования (EAP-FAST) Аутентификация: эта архитектура безопасности клиент-сервер обеспечивает шифрование транзакций EAP в туннеле уровня безопасности на транспорте (TLS) между точкой доступа и сервером АУТЕНТИФИКАЦИИ,например Identity Services Engine (ISE).
TLS-туннель использует учетные данные для защищенного доступа (PAC) для выполнения аутентификации между клиентом (телефоном) и сервером RADIUS. Сервер отправляет идентификатор AID клиенту (телефону), который в свою очередь выбирает подходящий PAC. Клиент (телефон) возвращает PAC-Opaque на сервер RADIUS. Сервер расшифровывает PAC с помощью первичного ключа. Обе конечные точки теперь имеют ключ PAC, и создается TLS-туннель. EAP-FAST поддерживает автоматическую подготовку PAC, однако вам необходимо включить ее на сервере RADIUS.
В ISE по умолчанию PAC истекает в течение одной недели. Если в телефоне есть PAC с истекшим сроком действия, аутентификация на сервере RADIUS занимает дольше времени, пока телефон получает новый PAC. Чтобы избежать задержек с подготовкой PAC, задайте на сервере ISE или RADIUS срок действия PAC не менее 90 дней.
-
Аутентификация по протоколу EAP-TLS: для аутентификации и предоставления доступа к сети протоколу EAP-TLS требуется сертификат клиента. Для беспроводной сети EAP-TLS сертификатом клиента может быть сертификат MIC или установленный пользователем сертификат.
-
Протокол PEAP: запатентованная Cisco схема взаимной аутентификации на основе пароля между клиентом (телефоном) и сервером RADIUS. Телефон может использовать PEAP для аутентификации с беспроводной сетью. Поддерживаются методы аутентификации PEAP-MSCHAPV2 и PEAP-GTC.
Для поддержки аутентификации PEAP-GTC для беспроводного телефона Cisco 9821 настройте необходимую политику в наборе политик Cisco ISE.
-
Ключ до общего доступа (PSK): телефон поддерживает форматы ASCII и шестнадцатеричный (HEX). Эти форматы необходимо использовать при настройке предварительно общего доступа ключа WPA2/SAE.
ASCII: строка ASCII-символов длиной от 8 до 63 символов (от 0 до 9, строчные буквы a-z, заглавные буквы A–Z и специальные символы). Например,
GREG123567@9ZX&W.HEX: строка с hex-символами длиной 64 гессерич-цифры (0–9, a-f или A–F).
Следующие схемы аутентификации задействуют сервер RADIUS для управления ключами аутентификации:
-
WPA2/WPA3: используются сведения с сервера RADIUS для создания уникальных ключей аутентификации. Поскольку эти ключи генерируются на централизованном сервере RADIUS, WPA2/WPA3 обеспечивает безопасность более высокого уровня, чем предварительные ключи WPA, которые хранятся в точке доступа и на телефоне.
-
Быстрый безопасный роуминг: для управления ключами и их аутентификации используются сведения с сервера RADIUS и сервера домена беспроводной сети (WDS). WDS создает кэш учетных данных для клиентских устройств с поддержкой FT для быстрой и безопасной повторной аутентификации.
При использовании WPA2/WPA3 ключи шифрования не вводятся на телефоне, а автоматически извлекаются между точкой доступа и телефоном. Однако имя пользователя и пароль EAP, которые используются для аутентификации, должны быть введены на каждом телефоне.
В целях защиты голосового трафика по беспроводному каналу телефон поддерживает шифрование на основе AES для аутентификации WPA2/WPA3. AES — симметричный шифр блока, стандартизированный NIST. AES использует фиксированный размер 128-битный блок и поддерживает ключи размеров 128 бит, 192 бит и 256 бит. В сетях Wi-Fi AES используется пакетами шифров, такими как CCMP или ГЦМП, а аутентификация предоставляется отдельно PSK, SAE или 802.1X/EAP в зависимости от настроенного режима безопасности WLAN. Поддерживаемый пакет шифров и размер ключа зависит от модели телефона и конфигурации WLAN.
Схемы аутентификации и шифрования настраиваются в беспроводной локальной сети. VLAN настраиваются в сети и в точках доступа и могут использовать разные комбинации аутентификации и шифрования. SSID связывается с VLAN и определенной схемой аутентификации и шифрования. Чтобы беспроводные клиентские устройства прошли успешную аутентификацию, необходимо настроить те же SSID со схемами аутентификации и шифрования на интернет-серверах и на телефоне.
Некоторые схемы аутентификации нуждаются в определенных типах шифрования.
При использовании ключа предварительного доступа WPA2 или SAE этот ключ должен быть статически установлен на телефоне. Эти ключи должны соответствовать ключам в точке доступа.
Схемы аутентификации и шифрования, приведенные в следующей таблице, приведены параметры конфигурации сети для беспроводного телефона Cisco 9821, который соответствует конфигурации точки доступа.
| Тип FSR | Проверки подлинности | Центр управления | Шифрования | Защищенный кадр управления (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Нет |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Да |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Нет |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Да |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Нет |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Да |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Нет |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Да |
| без FT | Люкс-B | WPA-EAP-SUITE-B | ГЦМП | Да |
| без FT | Люкс B-192 | WPA-EAP-SUITE-B-192 | ГЦМП | Да |
Настройка профиля Wi-Fi
Профили Wi-Fi можно настроить на веб-странице администрирования телефона или с помощью синхронизации профиля удаленного устройства. После настройки эти профили можно связать с доступными беспроводными сетями для установления подключения. Беспроводной телефон Cisco 9821 поддерживает до четырех настроенных профилей Wi-Fi.
Профиль содержит параметры, необходимые телефону для подключения к серверу телефонов по Wi-Fi. При создании и использовании профиля Wi-Fi вам или вашим пользователям не требуется настраивать беспроводную сеть для отдельных телефонов.
Профиль Wi-Fi позволяет предотвратить или ограничить изменения конфигурации Wi-Fi на телефоне пользователем.
При использовании профиля Wi-Fi для защиты ключей и паролей рекомендуется использовать защищенный профиль с включенными протоколами шифрования.
Когда вы настраиваете телефоны использовать метод аутентификации EAP-FAST в режиме безопасности, пользователям требуются отдельные учетные данные для подключения к точке доступа.
| 1 |
Необходим доступ к веб-странице администрирования телефона. |
| 2 |
Выберите . |
| 3 |
В разделе Wi-Fi Profile (n) задайте параметры, как описано в таблице «Параметры» Wi-Fi профиля. Для входа пользователя также доступна конфигурация профиля Wi-Fi.
|
| 4 |
Щелкните Submit All Changes. |
Параметры для профиля Wi-Fi
В следующей таблице определены функции и использование всех параметров в разделе Wi-Fi Profile(n) в разделе System Tab на веб-странице телефона. Она также определяет синтаксис строки, добавляемой в файл конфигурации телефона (cfg.XML) для настройки параметра.
| Параметр | Описание |
|---|---|
| Имя сети | Позволяет ввести имя SSID, которое будет отображаться в телефоне. У нескольких профилей может быть одно и то же имя сети с различными режимами безопасности. Выполните одно из следующих действий:
Значение по умолчанию: пустое |
| Режим безопасности | Позволяет выбрать метод аутентификации, используемый для защиты доступа к сети Wi-Fi. В зависимости от выбранного метода появляется поле пароля, в которое можно указать учетные данные, которые необходимы для присоединения к сети Wi-Fi. Выполните одно из следующих действий:
Значение по умолчанию: нет |
| Идентификатор пользователя Wi-Fi | Позволяет ввести идентификатор пользователя для сетевого профиля. Это поле доступно, когда для режима безопасности заданы следующие значения: "Авто", "EAP-FAST" или "EAP-PEAP". Это обязательное поле с максимальной длиной 32 алфавитно-цифровых символа. Выполните одно из следующих действий:
Значение по умолчанию: пустое |
| Пароль для Wi-Fi | Позволяет ввести пароль для указанного идентификатора пользователя Wi-Fi. Выполните одно из следующих действий:
Значение по умолчанию: пустое |
| Полоса частот | Позволяет выбрать полосу частот беспроводных сигналов, используемую в БЛВС. Выполните одно из следующих действий:
Значение по умолчанию: Авто |
| Выбор сертификата | Позволяет выбрать тип сертификата для первоначальной регистрации и обновления сертификата в беспроводной сети. Этот процесс доступен только для аутентификации 802.1X. Выполните одно из следующих действий:
По умолчанию: установлено на производстве |
| Режим управления | Управляет, может ли пользователь настраивать профили Wi-Fi. Выполните одно из следующих действий:
Значение по умолчанию: Разрешить |
| Включить | Управляет включением профиля Wi-Fi. Выполните одно из следующих действий:
Значение по умолчанию: Да |
| Имя профиля | Позволяет ввести имя для профиля, который будет отображаться на телефоне. Выполните одно из следующих действий:
Значение по умолчанию: Профиль 1 |
| Парольная фраза PSK | Позволяет вводить парольную фразу PSK, когда для режима безопасности задано значение PSK. Выполните одно из следующих действий:
Значение по умолчанию: Разрешить |
Аутентификация 802.1X для проводных сетей
Беспроводной телефон Cisco 9821 поддерживает аутентификацию 802.1X для проводных сетей. Обычно это используется при автоматической подготовке , когда телефон подключается к настольному зарядному устройству через поддерживаемый адаптер USB-to-Ethernet.
Для поддержки аутентификации 802.1X в проводных сетях требуются несколько компонентов, приведенных ниже
-
Телефон Cisco IP: телефон инициирует запрос на доступ к сети. Телефоны Cisco IP содержат запрашивающее устройство 802.1X. Это запрашивающее устройство позволяет администраторам сети управлять подключением IP-телефонов к портам коммутатора локальной сети. Текущая версия запрашивающего устройства 802.1X на телефоне использует параметры EAP-FAST и EAP-TLS для аутентификации в сети.
-
Сервер аутентификации: и сервер аутентификации, и коммутатор должны быть настроены с использованием общего секрета РАДИУС ДЕЙСТВИЯ(144).
-
Коммутатор: коммутатор должен поддерживать 802.1X, чтобы он мог выполнять функции аутентификатора и ретранслировать сообщения EAP между телефоном и сервером аутентификации. По завершении обмена коммутатор предоставляет телефону доступ к сети или отказывает в доступе.
Телефоны Cisco IP и коммутаторы Cisco Catalyst традиционно используют протокол CDP для определения друг друга, а также таких параметров, как выделение VLAN и требования к питанию на линии.
Для настройки 802.1X необходимо выполнить следующие действия.
-
Настройте CDP/LLDP обход голосового VLAN.
-
Настройте сервер аутентификации и коммутатор, прежде чем включить аутентификацию 802.1X для проводных сетей на телефоне.
-
Настройка голосовой VLAN: так как в стандарте 802.1X не учтены виртуальные локальные сети (VLAN), необходимо настроить этот параметр в зависимости от характеристик коммутатора.
- Включено: если вы используете коммутатор, который поддерживает аутентификацию в нескольких доменах, можно настроить его на использование голосовой VLAN.
- Отключено: если коммутатор не поддерживает аутентификацию в нескольких доменах, отключите голосовую VLAN и рассмотрите возможность назначения этого порта обычной VLAN.
-
Cisco беспроводной телефон 9821 имеет в PID другой префикс, чем у других телефонов Cisco. Чтобы телефон мог проходить аутентификацию 802.1X, задайте «Радиус» Параметр «Имя пользователя» для добавления параметра Cisco беспроводного телефона 9821.
Например, PID для Cisco беспроводного телефона 9821 имеет значение WP-9821. Можно настроить Радиус. Имя пользователя для
начала с WPилисодержит WPв обоих следующих разделах: -
Включите аутентификацию 802.1X для проводных сетей на своем телефоне
Выполните следующие действия, чтобы включить аутентификацию 802.1X для проводных сетей на телефоне. Обратите внимание, что аутентификация 802.1X для Wi-Fi по умолчанию включена и не требует ручной настройки.
| 1 |
Доступ к настройкам |
| 2 |
При появлении запроса введите пароль для доступа к меню настроек . Вы можете получить пароль у своего администратора. |
| 3 |
Выберите . |
| 4 |
Выберите Аутентификация устройства и нажмите Вкл . |
Включите аутентификацию 802.1X для проводных сетей на веб-странице телефона
Если аутентификация 802.1X включена для проводных сетей, телефон использует аутентификацию 802.1X для запроса доступа к сети с порта Ethernet ЛОКАЛЬНОй сети. Если аутентификация 802.1X для проводных сетей отключена, телефон использует Cisco Discovery Protocol (CDP) для получения VLAN и доступа к сети. Обратите внимание, что аутентификация 802.1X для Wi-Fi по умолчанию включена и не требует ручной настройки.
Можно выбрать сертификат (MIC/SUDI или CDC), который используется для аутентификации 802.1X. Дополнительные сведения о CDC см. в разделе «Сертификат пользовательского устройства» на Cisco беспроводном телефоне 9821.
Статус и настройки безопасности транзакции можно просмотреть в меню экрана телефона. Дополнительные сведения см. в разделе меню настроек безопасности на телефоне.
| 1 |
Включите аутентификацию 802.1X. Выберите . В разделе «Аутентификация 802.1X» задайте для параметра «Включить аутентификацию 802.1X» значение «Да». Этот параметр также можно настроить в файле конфигурации (cfg.xml).
Допустимые значения: Да/Нет Значение по умолчанию: Нет |
| 2 |
В разделе "Аутентификация 802.1X" в раскрывающемся списке "Выбрать сертификаты" выберите один из следующих установленных сертификатов, используемых для аутентификации 802.1X. Параметры значений:
Этот параметр также можно настроить в файле конфигурации (cfg.xml).
Допустимые значения: установлено на производстве |Настраиваемая установка По умолчанию: установлено на производстве |
| 3 |
Настройте параметр User ID , который будет использоваться в качестве идентификатора для аутентификации 802.1X в проводной сети. Данная конфигурация применяется только тогда, когда для проводной аутентификации 802.1X используется сертификат пользовательского устройства (CDC), а для параметра Certificate Select установлено значениеCustom(Custom). Этот параметр также можно настроить в файле конфигурации (cfg.xml).
Допустимое значение: не более 127 символов Значение по умолчанию: пустое Этот параметр также поддерживает переменные макро расширения. Подробности см . Если вы хотите указать ресурсы пользователя ID комбинацию с параметрами DHCP, см. раздел «Выделение ресурсов для пользователя ID через DHCP параметр 15. |
| 4 |
Щелкните Submit All Changes. |
Меню настроек безопасности на телефоне
Для просмотра информации о настройках безопасности в меню телефона перейдите к разделу «Настройки»
. Доступность этой информации зависит от сетевых настроек в вашей организации.
|
Параметры |
Параметры |
По умолч. |
Описание |
|---|---|---|---|
|
Аутентификация устройства |
Вкл Выкл. |
Выкл. |
Включает или выключает аутентификацию 802.1X на телефоне. Настройки параметра можно сохранить после регистрации телефона «из коробки» (OOB). |
|
Состояние транзакции | Отключено |
Отображает состояние аутентификации 802.1X. Состояние может быть (не ограничиваясь):
| |
|
Протокол | Нет |
Отображает метод EAP, используемый для аутентификации 802.1X. Это может быть протокол EAP-FAST или EAP-TLS. | |
|
Тип сертификата пользователя |
На производстве установлено Настраиваемая установка |
На производстве установлено |
Выбор сертификата для аутентификации 802.1X при начальной регистрации и продлении сертификата.
Этот параметр появляется на телефоне, только если включена аутентификация устройства. |
Изменение паролей пользователя и администратора
При начальной регистрации в системе управления вызовами или после сброса до заводских настроек при первом доступе к веб-странице администрирования телефона необходимо настроить пароли пользователей и администраторов. Для обеспечения безопасности устройства эти учетные данные можно обновить в любое время.
Допустимые правила ввода паролей включают следующее
- Пароль должен содержать от 8 до 127 символов.
- Сочетание (три из четырех типов) заглавной буквы, небольшой нижней буквы, цифры и специального символа.
- Свободное место не разрешено.
| 1 |
Доступ к веб-странице администрирования телефона. |
| 2 |
Выберите . |
| 3 |
(Необязательно) В разделе "Конфигурация системы" задайте для параметра Display Password Warnings значение "Да" и нажмите " Отправить все изменения". Кроме того, параметры можно включить в файле конфигурации телефона (cfg.XML).
Значение по умолчанию: Да Параметры: Да|Нет Если для параметра задано значение «Нет», предупреждение о пароле на экране телефона не появляется. |
| 4 |
Найдите параметры «Пароль пользователя» или «Пароль администратора» и щелкните « Изменить пароль » рядом с ним. |
| 5 |
Введите текущий пароль пользователя в поле Старый пароль. |
| 6 |
Введите новый пароль в поле Новый пароль. Если новый пароль не соответствует допустимым правилам, настройке будет отказано. |
| 7 |
Нажмите Отправить. На веб-странице отобразится сообщение После задания пароля пользователя в этом параметре в XML-файле конфигурации телефона (cfg. XML) отображается следующее:
|
Установите минимальную версию TLS для клиента и сервера
По умолчанию минимальная версия TLS для клиента и сервера равна 1.2. Это означает, что клиент и сервер согласны устанавливать соединения с TLS 1.2 или выше. Максимальная поддерживаемая версия TLS для клиента и сервера — 1.3. При настройке минимальная версия TLS будет использоваться для согласования клиента TLS и сервера TLS.
Можно задать минимальную версию TLS для клиента и сервера соответственно, например 1.1, 1.2 или 1.3.
Перед началом настройки
Убедитесь, что сервер TLS поддерживает заданную минимальную TLS версию. Вы можете проконсультироваться с администратором системы обработки вызовов.
| 1 |
Доступ к веб-странице администрирования телефона. |
| 2 |
Выберите . |
| 3 |
В разделе « Параметры безопасности» настройте параметр TLS минимальной версии клиента.
Этот параметр также можно настроить в файле конфигурации (cfg.xml). <TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>
Допустимые значения: TLS 1.1, TLS1.2 и TLS 1.3. Значение по умолчанию: TLS 1.2. |
| 4 |
В разделе « Параметры безопасности» настройте параметр TLS Min Server Version. Webex Calling не поддерживает TLS 1.1.
Этот параметр также можно настроить в файле конфигурации (cfg.xml). <TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>
Допустимые значения: TLS 1.1, TLS1.2 и TLS 1.3. Значение по умолчанию: TLS 1.2. |
| 5 |
Щелкните Submit All Changes. |
Включите режим, инициированный клиентом для согласования безопасности на уровне сред передачи
Для защиты сеансов работы с мультимедиа телефон можно настроить на инициирование согласования с сервером плана безопасной передачи информации. Механизм безопасности соответствует стандартам, установленным в RFC 3329 и проекте его добавочного номера «Названия механизмов безопасности для сред передачи » (см. https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Транспорт согласований между телефоном и сервером может использовать протокол SIP по UDP, TCP и TLS. Согласование безопасности плана передачи информации можно ограничить случаем, когда протоколом передачи сигналов служит TLS.
| Параметр | Описание |
|---|---|
|
Запрос MediaSec |
Указывает, будет ли телефон инициировать согласование безопасности в плане передачи информации с сервером. Выполните одно из следующих действий:
Допустимые значения: Да/Нет
Значение по умолчанию: Нет |
|
Только MediaSec по TLS |
Указывает транспортный протокол сигнализации, по которому выполняется согласование безопасности в плане передачи информации. Прежде чем задать в этом поле значение Да, обязательно выберите TLS в качестве транспортного протокола сигнализации. Выполните одно из следующих действий:
Допустимые значения: Да/Нет
Значение по умолчанию: Нет |
| 1 |
Доступ к веб-странице администрирования телефона. |
| 2 |
Выберите . |
| 3 |
В разделе «SIP настройки» задайте поля MediaSec Request и MediaSec Over TLS Only , как указано в таблице выше. |
| 4 |
Щелкните Submit All Changes. |