В этой статье
dropdown icon
Настройка параметров DHCP
    поддержка параметра DHCP
dropdown icon
Безопасность беспроводной локальной сети
    Настройка профиля Wi-Fi
dropdown icon
Аутентификация 802.1X для проводных сетей
    Включите аутентификацию 802.1X для проводных сетей на своем телефоне
    Включите аутентификацию 802.1X для проводных сетей на веб-странице телефона
    Меню настроек безопасности на телефоне
Изменение паролей пользователя и администратора
Установите минимальную версию TLS для клиента и сервера
Включите режим, инициированный клиентом для согласования безопасности на уровне сред передачи
Защита беспроводного телефона Cisco 9821 (многоплатформенный режим)
list-menuВ этой статье
list-menuОтправить обратную связь?

Эта статья справки для беспроводного телефона Cisco 9821, зарегистрированного в Webex Calling.

Настройка параметров DHCP

Можно задать порядок использования параметров DHCP телефоном. Сведения о параметрах DHCP см. в разделе «Поддержка параметровDHCP».

1

Доступ к веб-странице администрирования телефона.

Адрес http://<ip>/admin/advanced

2

Выберите Голосовая связь > Настройка.

3

В разделе " Профиль конфигурации" задайте параметр DHCP параметр для использования . Этот параметр состоит из серии параметров DHCP, разделенных запятыми, которые используются для извлечения микропрограммного обеспечения и профилей.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • На веб-странице телефона введите серию параметров DHCP, разделенных запятыми.

Значение по умолчанию: 66,160,159,150,60,43,125

4

Щелкните Submit All Changes.

поддержка параметра DHCP

В следующей таблице приведены параметры DHCP, которые поддерживаются на беспроводном телефоне Cisco 9821.

Стандарт сетиОписание
Опция DHCP 1Маска подсети
Опция DHCP 2Смещ. вр.
Опция DHCP 3Маршрутизатор
Опция DHCP 6Сервер имен домена
Опция DHCP 15Имя домена
Опция DHCP 17Корневой путь
Опция DHCP 41Срок предоставления IP-адреса
Опция DHCP 42Сервер NTP
Опция DHCP 43Сведения, относящиеся к конкретному поставщику

Может использоваться для обеспечения конфигурации SCEP.

Опция DHCP 56Сервер NTP
Опция DHCP 60Идентификатор класса поставщика
Опция DHCP 66Имя сервера TFTP
Опция DHCP 125Сведения, идентифицирующие конкретного поставщика
Опция DHCP 150TFTP
Опция DHCP 159IP сервера настройки
Опция DHCP 160URL настройки

Безопасность беспроводной локальной сети

Так как все устройства беспроводной сети, расположенные в пределах радиуса действия, могут получать весь остальной трафик беспроводной сети, обеспечение безопасности голосовой связи является критически важной задачей в беспроводных локальных сетях. Чтобы злоумышленники не могли манипулировать и не перехватывать голосовой трафик, телефон поддерживает архитектура Cisco SAFE Security. Дополнительные сведения о безопасности в сетях см. в разделе http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html

Решение телефонии для беспроводной сети Cisco IP обеспечивает защиту беспроводной сети и предотвращает несанкционированный вход и скомпрометируемые сообщения с помощью следующих методов аутентификации, поддерживаемых телефоном:

  • Открытая аутентификация: в открытой системе любое беспроводное устройство может запросить аутентификацию. Точка доступа, которая получает запрос, может аутентифицировать любое запрашивающее лицо или только тех запрашивающих лиц, которые включены в список пользователей. Связь между беспроводным устройством и точкой доступа (точка доступа) может быть нешифровой.

  • Аутентификация с помощью защищенного туннелирования (EAP-FAST) Аутентификация: эта архитектура безопасности клиент-сервер обеспечивает шифрование транзакций EAP в туннеле уровня безопасности на транспорте (TLS) между точкой доступа и сервером АУТЕНТИФИКАЦИИ,например Identity Services Engine (ISE).

    TLS-туннель использует учетные данные для защищенного доступа (PAC) для выполнения аутентификации между клиентом (телефоном) и сервером RADIUS. Сервер отправляет идентификатор AID клиенту (телефону), который в свою очередь выбирает подходящий PAC. Клиент (телефон) возвращает PAC-Opaque на сервер RADIUS. Сервер расшифровывает PAC с помощью первичного ключа. Обе конечные точки теперь имеют ключ PAC, и создается TLS-туннель. EAP-FAST поддерживает автоматическую подготовку PAC, однако вам необходимо включить ее на сервере RADIUS.

    В ISE по умолчанию PAC истекает в течение одной недели. Если в телефоне есть PAC с истекшим сроком действия, аутентификация на сервере RADIUS занимает дольше времени, пока телефон получает новый PAC. Чтобы избежать задержек с подготовкой PAC, задайте на сервере ISE или RADIUS срок действия PAC не менее 90 дней.

  • Аутентификация по протоколу EAP-TLS: для аутентификации и предоставления доступа к сети протоколу EAP-TLS требуется сертификат клиента. Для беспроводной сети EAP-TLS сертификатом клиента может быть сертификат MIC или установленный пользователем сертификат.

  • Протокол PEAP: запатентованная Cisco схема взаимной аутентификации на основе пароля между клиентом (телефоном) и сервером RADIUS. Телефон может использовать PEAP для аутентификации с беспроводной сетью. Поддерживаются методы аутентификации PEAP-MSCHAPV2 и PEAP-GTC.

    Для поддержки аутентификации PEAP-GTC для беспроводного телефона Cisco 9821 настройте необходимую политику в наборе политик Cisco ISE.

  • Ключ до общего доступа (PSK): телефон поддерживает форматы ASCII и шестнадцатеричный (HEX). Эти форматы необходимо использовать при настройке предварительно общего доступа ключа WPA2/SAE.

    ASCII: строка ASCII-символов длиной от 8 до 63 символов (от 0 до 9, строчные буквы a-z, заглавные буквы A–Z и специальные символы). Например, GREG123567@9ZX&W.

    HEX: строка с hex-символами длиной 64 гессерич-цифры (0–9, a-f или A–F).

Следующие схемы аутентификации задействуют сервер RADIUS для управления ключами аутентификации:

  • WPA2/WPA3: используются сведения с сервера RADIUS для создания уникальных ключей аутентификации. Поскольку эти ключи генерируются на централизованном сервере RADIUS, WPA2/WPA3 обеспечивает безопасность более высокого уровня, чем предварительные ключи WPA, которые хранятся в точке доступа и на телефоне.

  • Быстрый безопасный роуминг: для управления ключами и их аутентификации используются сведения с сервера RADIUS и сервера домена беспроводной сети (WDS). WDS создает кэш учетных данных для клиентских устройств с поддержкой FT для быстрой и безопасной повторной аутентификации.

При использовании WPA2/WPA3 ключи шифрования не вводятся на телефоне, а автоматически извлекаются между точкой доступа и телефоном. Однако имя пользователя и пароль EAP, которые используются для аутентификации, должны быть введены на каждом телефоне.

В целях защиты голосового трафика по беспроводному каналу телефон поддерживает шифрование на основе AES для аутентификации WPA2/WPA3. AES — симметричный шифр блока, стандартизированный NIST. AES использует фиксированный размер 128-битный блок и поддерживает ключи размеров 128 бит, 192 бит и 256 бит. В сетях Wi-Fi AES используется пакетами шифров, такими как CCMP или ГЦМП, а аутентификация предоставляется отдельно PSK, SAE или 802.1X/EAP в зависимости от настроенного режима безопасности WLAN. Поддерживаемый пакет шифров и размер ключа зависит от модели телефона и конфигурации WLAN.

Схемы аутентификации и шифрования настраиваются в беспроводной локальной сети. VLAN настраиваются в сети и в точках доступа и могут использовать разные комбинации аутентификации и шифрования. SSID связывается с VLAN и определенной схемой аутентификации и шифрования. Чтобы беспроводные клиентские устройства прошли успешную аутентификацию, необходимо настроить те же SSID со схемами аутентификации и шифрования на интернет-серверах и на телефоне.

Некоторые схемы аутентификации нуждаются в определенных типах шифрования.

При использовании ключа предварительного доступа WPA2 или SAE этот ключ должен быть статически установлен на телефоне. Эти ключи должны соответствовать ключам в точке доступа.

Схемы аутентификации и шифрования, приведенные в следующей таблице, приведены параметры конфигурации сети для беспроводного телефона Cisco 9821, который соответствует конфигурации точки доступа.

Таблица 1. Схемы аутентификации и шифрования
Тип FSRПроверки подлинностиЦентр управленияШифрованияЗащищенный кадр управления (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESНет
802.11r (FT)WPA3

SAE

FT-SAE

AESДа
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESНет
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESНет
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESНет
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа
без FTЛюкс-BWPA-EAP-SUITE-BГЦМПДа
без FTЛюкс B-192WPA-EAP-SUITE-B-192ГЦМПДа

Настройка профиля Wi-Fi

Профили Wi-Fi можно настроить на веб-странице администрирования телефона или с помощью синхронизации профиля удаленного устройства. После настройки эти профили можно связать с доступными беспроводными сетями для установления подключения. Беспроводной телефон Cisco 9821 поддерживает до четырех настроенных профилей Wi-Fi.

Профиль содержит параметры, необходимые телефону для подключения к серверу телефонов по Wi-Fi. При создании и использовании профиля Wi-Fi вам или вашим пользователям не требуется настраивать беспроводную сеть для отдельных телефонов.

Профиль Wi-Fi позволяет предотвратить или ограничить изменения конфигурации Wi-Fi на телефоне пользователем.

При использовании профиля Wi-Fi для защиты ключей и паролей рекомендуется использовать защищенный профиль с включенными протоколами шифрования.

Когда вы настраиваете телефоны использовать метод аутентификации EAP-FAST в режиме безопасности, пользователям требуются отдельные учетные данные для подключения к точке доступа.

1

Необходим доступ к веб-странице администрирования телефона.

2

Выберите Голосовая связь > Система.

3

В разделе Wi-Fi Profile (n) задайте параметры, как описано в таблице «Параметры» Wi-Fi профиля.

Для входа пользователя также доступна конфигурация профиля Wi-Fi.
4

Щелкните Submit All Changes.

Параметры для профиля Wi-Fi

В следующей таблице определены функции и использование всех параметров в разделе Wi-Fi Profile(n) в разделе System Tab на веб-странице телефона. Она также определяет синтаксис строки, добавляемой в файл конфигурации телефона (cfg.XML) для настройки параметра.

ПараметрОписание
Имя сетиПозволяет ввести имя SSID, которое будет отображаться в телефоне. У нескольких профилей может быть одно и то же имя сети с различными режимами безопасности.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Network_Name_1_ ua="rw">Cisco</Network_Name_1_>

  • На веб-странице телефона введите имя SSID.

Значение по умолчанию: пустое

Режим безопасностиПозволяет выбрать метод аутентификации, используемый для защиты доступа к сети Wi-Fi. В зависимости от выбранного метода появляется поле пароля, в которое можно указать учетные данные, которые необходимы для присоединения к сети Wi-Fi.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!--: |EAP-FAST|||PSK||Нет |EAP-PEAP|EAP-TLS -->

  • На веб-странице телефона выберите один из следующих способов
    • EAP-FAST
    • PSK
    • Нет
    • EAP-PEAP
    • EAP-TLS

Значение по умолчанию: нет

Идентификатор пользователя Wi-FiПозволяет ввести идентификатор пользователя для сетевого профиля.

Это поле доступно, когда для режима безопасности заданы следующие значения: "Авто", "EAP-FAST" или "EAP-PEAP". Это обязательное поле с максимальной длиной 32 алфавитно-цифровых символа.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Wi-Fi_User_ID_1_ua ="rw"></Wi-Fi_User_ID_1_>

  • На веб-странице телефона введите пользователя ID для сетевого профиля.

Значение по умолчанию: пустое

Пароль для Wi-FiПозволяет ввести пароль для указанного идентификатора пользователя Wi-Fi.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • На веб-странице телефона введите пароль для добавленного пользователя ID.

Значение по умолчанию: пустое

Полоса частотПозволяет выбрать полосу частот беспроводных сигналов, используемую в БЛВС.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Выберите один из следующих вариантов на веб-странице телефона
    • Авто
    • 2,4 ГГц
    • 5 или 6 ГГц

Значение по умолчанию: Авто

Выбор сертификатаПозволяет выбрать тип сертификата для первоначальной регистрации и обновления сертификата в беспроводной сети. Этот процесс доступен только для аутентификации 802.1X.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Certificate_Select_1_ ua="rw">Монтировано</Certificate_Select_1_>

  • Выберите один из вариантов на веб-странице телефона
    • На производстве установлено
    • Настраиваемая установка

По умолчанию: установлено на производстве

Режим управленияУправляет, может ли пользователь настраивать профили Wi-Fi.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Control_Mode_1_ ua="rw">Allow</Control_Mode_1_>

  • Выберите один из вариантов на веб-странице телефона
    • Позволяют
    • Запрещено
    • Ограничен

Значение по умолчанию: Разрешить

ВключитьУправляет включением профиля Wi-Fi.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Enable_1_ ua="rw">Yes</Enable_1_>

  • Выберите один из вариантов на веб-странице телефона
    • Да
    • Нет

Значение по умолчанию: Да

Имя профиляПозволяет ввести имя для профиля, который будет отображаться на телефоне.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Profile_Name_1_ ua="rw">Pro адрес 1</Profile_Name_1_>

  • На веб-странице телефона введите имя профиля.

Значение по умолчанию: Профиль 1

Парольная фраза PSKПозволяет вводить парольную фразу PSK, когда для режима безопасности задано значение PSK.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <PSK_Passphrase_1_ ua="rw">*************</PSK_Passphrase_1_>

  • На веб-странице телефона введите парольную фразу PSK.

Значение по умолчанию: Разрешить

Аутентификация 802.1X для проводных сетей

Беспроводной телефон Cisco 9821 поддерживает аутентификацию 802.1X для проводных сетей. Обычно это используется при автоматической подготовке , когда телефон подключается к настольному зарядному устройству через поддерживаемый адаптер USB-to-Ethernet.

Для поддержки аутентификации 802.1X в проводных сетях требуются несколько компонентов, приведенных ниже

  • Телефон Cisco IP: телефон инициирует запрос на доступ к сети. Телефоны Cisco IP содержат запрашивающее устройство 802.1X. Это запрашивающее устройство позволяет администраторам сети управлять подключением IP-телефонов к портам коммутатора локальной сети. Текущая версия запрашивающего устройства 802.1X на телефоне использует параметры EAP-FAST и EAP-TLS для аутентификации в сети.

  • Сервер аутентификации: и сервер аутентификации, и коммутатор должны быть настроены с использованием общего секрета РАДИУС ДЕЙСТВИЯ(144).

  • Коммутатор: коммутатор должен поддерживать 802.1X, чтобы он мог выполнять функции аутентификатора и ретранслировать сообщения EAP между телефоном и сервером аутентификации. По завершении обмена коммутатор предоставляет телефону доступ к сети или отказывает в доступе.

Телефоны Cisco IP и коммутаторы Cisco Catalyst традиционно используют протокол CDP для определения друг друга, а также таких параметров, как выделение VLAN и требования к питанию на линии.

Для настройки 802.1X необходимо выполнить следующие действия.

  • Настройте CDP/LLDP обход голосового VLAN.

  • Настройте сервер аутентификации и коммутатор, прежде чем включить аутентификацию 802.1X для проводных сетей на телефоне.

  • Настройка голосовой VLAN: так как в стандарте 802.1X не учтены виртуальные локальные сети (VLAN), необходимо настроить этот параметр в зависимости от характеристик коммутатора.

    • Включено: если вы используете коммутатор, который поддерживает аутентификацию в нескольких доменах, можно настроить его на использование голосовой VLAN.
    • Отключено: если коммутатор не поддерживает аутентификацию в нескольких доменах, отключите голосовую VLAN и рассмотрите возможность назначения этого порта обычной VLAN.
  • Cisco беспроводной телефон 9821 имеет в PID другой префикс, чем у других телефонов Cisco. Чтобы телефон мог проходить аутентификацию 802.1X, задайте «Радиус» Параметр «Имя пользователя» для добавления параметра Cisco беспроводного телефона 9821.

    Например, PID для Cisco беспроводного телефона 9821 имеет значение WP-9821. Можно настроить Радиус. Имя пользователя для начала с WP или содержит WP в обоих следующих разделах:

    • Политика > Кондиции > Обусловы по лизме

    • Политика > Наборы политики> Политика аутентификации> Правило 1

Включите аутентификацию 802.1X для проводных сетей на своем телефоне

Выполните следующие действия, чтобы включить аутентификацию 802.1X для проводных сетей на телефоне. Обратите внимание, что аутентификация 802.1X для Wi-Fi по умолчанию включена и не требует ручной настройки.

1

Доступ к настройкам 9821 Settings app icon Приложение.

2

При появлении запроса введите пароль для доступа к меню настроек . Вы можете получить пароль у своего администратора.

3

Выберите параметры администратора> Настройка безопасности> 802.1X Аутентификация.

4

Выберите Аутентификация устройства и нажмите Вкл .

Включите аутентификацию 802.1X для проводных сетей на веб-странице телефона

Если аутентификация 802.1X включена для проводных сетей, телефон использует аутентификацию 802.1X для запроса доступа к сети с порта Ethernet ЛОКАЛЬНОй сети. Если аутентификация 802.1X для проводных сетей отключена, телефон использует Cisco Discovery Protocol (CDP) для получения VLAN и доступа к сети. Обратите внимание, что аутентификация 802.1X для Wi-Fi по умолчанию включена и не требует ручной настройки.

Можно выбрать сертификат (MIC/SUDI или CDC), который используется для аутентификации 802.1X. Дополнительные сведения о CDC см. в разделе «Сертификат пользовательского устройства» на Cisco беспроводном телефоне 9821.

Статус и настройки безопасности транзакции можно просмотреть в меню экрана телефона. Дополнительные сведения см. в разделе меню настроек безопасности на телефоне.

1

Включите аутентификацию 802.1X.

Выберите Голосовая связь > Система. В разделе «Аутентификация 802.1X» задайте для параметра «Включить аутентификацию 802.1X» значение «Да».

Этот параметр также можно настроить в файле конфигурации (cfg.xml).

<Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>

Допустимые значения: Да/Нет

Значение по умолчанию: Нет

2

В разделе "Аутентификация 802.1X" в раскрывающемся списке "Выбрать сертификаты" выберите один из следующих установленных сертификатов, используемых для аутентификации 802.1X.

Параметры значений:

  • Установлено на производстве: MIC/SUDI.
  • Установлен сертификат пользовательского устройства (CDC).

Этот параметр также можно настроить в файле конфигурации (cfg.xml).

<Certificate_Select ua="rw">Custom установлено</Certificate_Select>

Допустимые значения: установлено на производстве |Настраиваемая установка

По умолчанию: установлено на производстве

3

Настройте параметр User ID , который будет использоваться в качестве идентификатора для аутентификации 802.1X в проводной сети.

Данная конфигурация применяется только тогда, когда для проводной аутентификации 802.1X используется сертификат пользовательского устройства (CDC), а для параметра Certificate Select установлено значениеCustom(Custom).

Этот параметр также можно настроить в файле конфигурации (cfg.xml).

<Wired_User_ID ua="na"></Wired_User_ID>

Допустимое значение: не более 127 символов

Значение по умолчанию: пустое

Этот параметр также поддерживает переменные макро расширения. Подробности см .

Если вы хотите указать ресурсы пользователя ID комбинацию с параметрами DHCP, см. раздел «Выделение ресурсов для пользователя ID через DHCP параметр 15.

4

Щелкните Submit All Changes.

Меню настроек безопасности на телефоне

Для просмотра информации о настройках безопасности в меню телефона перейдите к разделу «Настройки» 9821 Settings app icon выберите параметры администратора > Защита> 802.1X аутентификация. Доступность этой информации зависит от сетевых настроек в вашей организации.

Параметры

Параметры

По умолч.

Описание

Аутентификация устройства

Вкл

Выкл.

Выкл.

Включает или выключает аутентификацию 802.1X на телефоне.

Настройки параметра можно сохранить после регистрации телефона «из коробки» (OOB).

Состояние транзакции

Отключено

Отображает состояние аутентификации 802.1X. Состояние может быть (не ограничиваясь):

  • Проверка подлинности — указывает на выполнение процесса аутентификации.
  • Аутентифицировано — указывает, что телефон аутентифицирован.
  • Отключено — указывает, что на телефоне отключено аутентификация 802.1x.
  • Подключение — указывает, что телефон каждые 30 секунд отправляет на коммутатор сообщения о начале работы EAP.
  • Приобретенный — указывает, что коммутатор отклонил запрос телефона на EAP и телефон не получает от коммутатора вызова EAP-TLS или EAP-FAST. Телефон пытается повторить попытку отправки запросов EAP.
  • Отсоединен — означает, что кабель Ethernet отсоединен.
  • На удержании — указывает, что коммутатор обработал запрос телефона на EAP, но отклонил аутентификацию EAP-FAST или EAP-TLS. Телефон пытается повторить попытку отправки запросов EAP.

Протокол

Нет

Отображает метод EAP, используемый для аутентификации 802.1X. Это может быть протокол EAP-FAST или EAP-TLS.

Тип сертификата пользователя

На производстве установлено

Настраиваемая установка

На производстве установлено

Выбор сертификата для аутентификации 802.1X при начальной регистрации и продлении сертификата.

  • Установлено на производстве — используется защищенный уникальный идентификатор устройства (SUDI).
  • Настраиваемая установка — используется сертификат пользовательского устройства (CDC). Сертификат этого типа можно установить либо вручную на веб-странице телефона, либо с сервера SCEP.

Этот параметр появляется на телефоне, только если включена аутентификация устройства.

Изменение паролей пользователя и администратора

При начальной регистрации в системе управления вызовами или после сброса до заводских настроек при первом доступе к веб-странице администрирования телефона необходимо настроить пароли пользователей и администраторов. Для обеспечения безопасности устройства эти учетные данные можно обновить в любое время.

Допустимые правила ввода паролей включают следующее

  • Пароль должен содержать от 8 до 127 символов.
  • Сочетание (три из четырех типов) заглавной буквы, небольшой нижней буквы, цифры и специального символа.
  • Свободное место не разрешено.
1

Доступ к веб-странице администрирования телефона.

2

Выберите Голосовая связь > Система.

3

(Необязательно) В разделе "Конфигурация системы" задайте для параметра Display Password Warnings значение "Да" и нажмите " Отправить все изменения".

Кроме того, параметры можно включить в файле конфигурации телефона (cfg.XML).

<Display_Password_Warnings ua=">Yes</Display_Password_Warnings>

Значение по умолчанию: Да

Параметры: Да|Нет

Если для параметра задано значение «Нет», предупреждение о пароле на экране телефона не появляется.

4

Найдите параметры «Пароль пользователя» или «Пароль администратора» и щелкните « Изменить пароль » рядом с ним.

5

Введите текущий пароль пользователя в поле Старый пароль.

6

Введите новый пароль в поле Новый пароль.

Если новый пароль не соответствует допустимым правилам, настройке будет отказано.

7

Нажмите Отправить.

На веб-странице отобразится сообщение Password has been changed successfully. (Пароль успешно изменен). Веб-страница обновится через несколько секунд.

После задания пароля пользователя в этом параметре в XML-файле конфигурации телефона (cfg. XML) отображается следующее:

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Установите минимальную версию TLS для клиента и сервера

По умолчанию минимальная версия TLS для клиента и сервера равна 1.2. Это означает, что клиент и сервер согласны устанавливать соединения с TLS 1.2 или выше. Максимальная поддерживаемая версия TLS для клиента и сервера — 1.3. При настройке минимальная версия TLS будет использоваться для согласования клиента TLS и сервера TLS.

Можно задать минимальную версию TLS для клиента и сервера соответственно, например 1.1, 1.2 или 1.3.

Перед началом настройки

Убедитесь, что сервер TLS поддерживает заданную минимальную TLS версию. Вы можете проконсультироваться с администратором системы обработки вызовов.

1

Доступ к веб-странице администрирования телефона.

2

Выберите Голосовая связь > Система.

3

В разделе « Параметры безопасности» настройте параметр TLS минимальной версии клиента.

  • TLS 1.1: клиент TLS поддерживает версии TLS от 1.1 до 1.3.

    Если версия TLS на сервере ниже, чем 1.1, то соединение установить невозможно.

  • TLS 1.2 (по умолчанию): клиент TLS поддерживает TLS 1.2 и 1.3.

    Если версия TLS на сервере ниже, чем 1.2, например 1.1, то соединение установить невозможно.

  • TLS 1.3: клиент TLS поддерживает только TLS версии 1.3.

    Если версия TLS на сервере ниже 1.3, например 1.2 или 1.1, то соединение установить невозможно.

    Если требуется задать параметру «TLS минимальной версии клиента» значение «TLS 1.3», убедитесь, что на стороне сервера поддерживается TLS версии 1.3. Если на стороне сервера не поддерживается TLS 1.3, это может вызвать критические неполадки. Например, на телефонах невозможно выполнить операции подготовки.

Этот параметр также можно настроить в файле конфигурации (cfg.xml).

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Допустимые значения: TLS 1.1, TLS1.2 и TLS 1.3.

Значение по умолчанию: TLS 1.2.

4

В разделе « Параметры безопасности» настройте параметр TLS Min Server Version.

Webex Calling не поддерживает TLS 1.1.

  • TLS 1.1: сервер TLS поддерживает версии TLS от 1.1 до 1.3.

    Если версия TLS в клиенте ниже 1.1, то соединение установить невозможно.

  • TLS 1.2 (по умолчанию): сервер TLS поддерживает TLS 1.2 и 1.3.

    Если версия TLS в клиенте ниже 1.2, например 1.1, то соединение установить невозможно.

  • TLS 1.3: сервер TLS поддерживает только TLS версии 1.3.

    Если версия TLS в клиенте ниже 1.3, например 1.2 или 1.1, то установить соединение невозможно.

Этот параметр также можно настроить в файле конфигурации (cfg.xml).

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Допустимые значения: TLS 1.1, TLS1.2 и TLS 1.3.

Значение по умолчанию: TLS 1.2.

5

Щелкните Submit All Changes.

Включите режим, инициированный клиентом для согласования безопасности на уровне сред передачи

Для защиты сеансов работы с мультимедиа телефон можно настроить на инициирование согласования с сервером плана безопасной передачи информации. Механизм безопасности соответствует стандартам, установленным в RFC 3329 и проекте его добавочного номера «Названия механизмов безопасности для сред передачи » (см. https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Транспорт согласований между телефоном и сервером может использовать протокол SIP по UDP, TCP и TLS. Согласование безопасности плана передачи информации можно ограничить случаем, когда протоколом передачи сигналов служит TLS.

Таблица 2. Параметры для согласования безопасности на плоскости сред
ПараметрОписание

Запрос MediaSec

Указывает, будет ли телефон инициировать согласование безопасности в плане передачи информации с сервером.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <MediaSec_Request_1_ ua="na">Yes</MediaSec_Request_1_>
  • В веб-интерфейсе телефона задайте в этом поле значение Да или Нет.

Допустимые значения: Да/Нет

  • Да— режим инициирования клиентом Телефон инициирует согласование безопасности в плане передачи информации.
  • Нет— режим инициирования сервером Сервер инициирует согласование безопасности в плане передачи информации. Телефон не инициирует согласования, но может обрабатывать запросы сервера на согласование для установления безопасных вызовов.

Значение по умолчанию: Нет

Только MediaSec по TLS

Указывает транспортный протокол сигнализации, по которому выполняется согласование безопасности в плане передачи информации.

Прежде чем задать в этом поле значение Да, обязательно выберите TLS в качестве транспортного протокола сигнализации.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>

  • В веб-интерфейсе телефона задайте в этом поле значение Да или Нет.

Допустимые значения: Да/Нет

  • Да— телефон инициирует или обрабатывает согласование безопасности в плане передачи информации, если транспортным протоколом сигнализации является TLS.
  • Нет— телефон инициирует и управляет согласованием безопасности в плане передачи информации вне зависимости от выбранного транспортного протокола сигнализации.

Значение по умолчанию: Нет

1

Доступ к веб-странице администрирования телефона.

2

Выберите Голосовая связь > Доб.(n).

3

В разделе «SIP настройки» задайте поля MediaSec Request и MediaSec Over TLS Only , как указано в таблице выше.

4

Щелкните Submit All Changes.

Была ли статья полезной?
Была ли статья полезной?