V tomto článku
dropdown icon
Konfigurácia možností DHCP
    Podpora možností DHCP
dropdown icon
Zabezpečenie bezdrôtovej siete LAN
    Nastavenie profilu Wi-Fi
dropdown icon
Autentifikácia 802.1X pre káblové siete
    Povolenie overovania 802.1X pre káblové siete v telefóne
    Zapnutie overovania 802.1X pre káblové siete na webovej stránke telefónu
    Ponuka nastavení zabezpečenia v telefóne
Zmena hesla používateľa a správcu
Nastavte minimálnu verziu TLS pre klienta a server
Povoliť režim iniciovaný klientom pre rokovania o bezpečnosti mediálnej roviny
Zabezpečenie bezdrôtového telefónu Cisco 9821 (multiplatformové)
list-menuV tomto článku
list-menuSpätná väzba?

Tento článok Pomocníka je určený pre Cisco bezdrôtový telefón 9821 registrovaný na Webex Calling.

Konfigurácia možností DHCP

Môžete nastaviť poradie, v ktorom váš telefón používa možnosti DHCP. Ak potrebujete pomoc s možnosťami DHCP, pozrite si tému Podpora možností DHCP.

1

Prejdite na webovú stránku správy telefónu.

http://<ip adresa>/admin/rozšírené

2

Vyberte položku Voice > Provisioning (Hlasové zriadenie).

3

V časti Profil konfigurácie nastavte parameter DHCP Možnosť použitia . Tento paramter pozostáva zo série možností DHCP oddelených čiarkami, ktoré sa používajú na načítanie firmvéru a profilov.

Vykonajte jeden z nasledovných krokov:

  • V konfiguračnom súbore telefónu s formátom XML (cfg.xml) zadajte reťazec v tomto formáte:

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • Na webovej stránke telefónu zadajte rad možností DHCP oddelených čiarkami.

Predvolené: 66,160,159,150,60,43,125

4

Kliknite na možnosť Odoslať všetky zmeny.

Podpora možností DHCP

V nasledujúcej tabuľke sú uvedené možnosti DHCP, ktoré sú podporované na Cisco bezdrôtovom telefóne 9821.

Sieťový štandardPopis
DHCP možnosť 1Maska podsiete
DHCP možnosť 2Časový posun
DHCP možnosť 3Router
DHCP možnosť 6Názvový server domény
DHCP možnosť 15Názov domény
DHCP možnosť 17Koreňová cesta
DHCP možnosť 41IP adresa doba prenájmu
DHCP možnosť 42Server NTP
DHCP možnosť 43Informácie špecifické pre dodávateľa

Môže byť použitý na poskytnutie konfigurácie SCEP.

DHCP možnosť 56Server NTP
DHCP možnosť 60Identifikátor triedy dodávateľa
DHCP možnosť 66TFTP názov servera
DHCP možnosť 125Informácie špecifické pre dodávateľa, ktoré identifikujú dodávateľa
DHCP možnosť 150Server TFTP
DHCP možnosť 159Obstarávací server IP
DHCP možnosť 160Adresa URL poskytovania

Zabezpečenie bezdrôtovej siete LAN

Pretože všetky zariadenia WLAN, ktoré sú v dosahu, môžu prijímať všetku ostatnú prevádzku WLAN, zabezpečenie hlasovej komunikácie je v sieti WLAN rozhodujúce. Aby sa zabezpečilo, že votrelci nebudú manipulovať ani nezachytiť hlasovú prevádzku, architektúra Cisco SAFE Security podporuje telefón. Ďalšie informácie o zabezpečení sietí nájdete v téme http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Bezdrôtové telefónne riešenie Cisco IP poskytuje zabezpečenie bezdrôtovej siete, ktoré zabraňuje neoprávnenému prihláseniu a narušeniu komunikácie pomocou nasledujúcich metód overovania, ktoré telefón podporuje.

  • Otvorené overenie: Každé bezdrôtové zariadenie môže požiadať o overenie v otvorenom systéme. Prístupový bod, ktorý prijme žiadosť, môže udeliť autentifikáciu ktorémukoľvek žiadateľovi alebo len žiadateľom, ktorí sa nachádzajú v zozname používateľov. Komunikácia medzi bezdrôtovým zariadením a prístupovým bodom (AP) mohla byť nešifrovaná.

  • Rozšíriteľný autentifikačný protokol – flexibilné overovanie prostredníctvom zabezpečeného tunelovania (EAP-FAST) Autentifikácia: Táto architektúra zabezpečenia klient-server šifruje EAP transakcie v rámci tunela Transport Level Security (TLS) medzi prístupovým bodom a serverom RADIUS, ako je napríklad Identity Services Engine (ISE).

    Tunel TLS používa poverenia chráneného prístupu (PAC) na autentifikáciu medzi klientom (telefónom) a serverom RADIUS. Server odošle klientovi (telefónu) autoritu ID (AID), ktorá v TURN vyberie príslušné PAC. Klient (telefón) vráti PAC-Opaque na server RADIUS. Server dešifruje PAC primárnym kľúčom. Oba koncové body teraz obsahujú kľúč PAC a vytvorí sa tunel TLS. EAP-FAST podporuje automatické poskytovanie PAC, ale musíte ho povoliť na serveri RADIUS.

    V systéme ISE predvolene platnosť PAC vyprší o týždeň. Ak má telefón PAC s vypršanou platnosťou, overenie pomocou servera RADIUS trvá dlhšie, kým telefón dostane nový PAC. Aby ste sa vyhli oneskoreniam pri poskytovaní PAC, nastavte dobu vypršania platnosti PAC na 90 dní alebo dlhšie na serveri ISE alebo RADIUS.

  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Autentifikácia: EAP-TLS vyžaduje certifikát klienta na autentifikáciu a prístup do siete. V prípade bezdrôtového pripojenia EAP-TLS môže byť certifikátom klienta certifikát MIC alebo certifikát nainštalovaný používateľom.

  • Protected Extensible Authentication Protocol (PEAP): Cisco proprietárna vzájomná autentifikačná schéma založená na hesle medzi klientom (telefónom) a serverom RADIUS. Telefón môže použiť PEAP na autentifikáciu v bezdrôtovej sieti. Podporované sú metódy overovania PEAP-MSCHAPV2 aj PEAP-GTC.

    Ak chcete podporiť overovanie PEAP-GTC pre bezdrôtový telefón Cisco 9821, nakonfigurujte potrebnú politiku v rámci súboru zásad Cisco ISE.

  • Predzdieľaný kľúč (PSK): Telefón podporuje formáty ASCII a hexadecimálne (HEX). Tieto formáty musíte použiť pri nastavovaní vopred zdieľaného kľúča WPA2/SAE.

    ASCII: Reťazec znakov ASCII s dĺžkou 8 až 63 znakov (0-9, malé a-z, veľké A-Z a špeciálne znaky). Napríklad,GREG123567@9ZX &W.

    HEX: reťazec so šesťhrannými znakmi a dĺžkou 64 hexadecimálnych číslic (0-9, a-f alebo A-F).

Nasledujúce schémy overovania používajú server RADIUS na správu autentifikačných kľúčov:

  • WPA2/WPA3: Používa informácie o serveri RADIUS na generovanie jedinečných kľúčov na overenie. Keďže tieto kľúče sú generované na centralizovanom serveri RADIUS, WPA2/WPA3 poskytuje väčšiu bezpečnosť ako WPA predzdieľané kľúče, ktoré sú uložené v prístupovom bode a telefóne.

  • Rýchly zabezpečený roaming: Používa informácie zo servera RADIUS a bezdrôtového doménového servera (WDS) na správu a overovanie kľúčov. WDS vytvára vyrovnávaciu pamäť bezpečnostných poverení pre klientske zariadenia s podporou FT pre rýchlu a bezpečnú opätovnú autentifikáciu.

Pri zabezpečení WPA2/WPA3 sa šifrovacie kľúče nezadávajú do telefónu, ale automaticky sa odvodzujú medzi prístupovým bodom a telefónom. Používateľské meno a heslo EAP, ktoré sa používajú na overenie, však musia byť zadané na každom telefóne.

Na ochranu hlasovej prevádzky prostredníctvom bezdrôtového spojenia telefón podporuje šifrovanie WPA2/WPA3 založené na AES. AES je symetrická bloková šifra štandardizovaná NIST. AES používa pevnú 128-bitovú veľkosť bloku a podporuje kľúčové veľkosti 128 bitov, 192 bitov a 256 bitov. V sieťach Wi-Fi používajú AES šifrovacie balíky ako CCMP alebo GCMP, zatiaľ čo autentifikáciu poskytuje samostatne PSK, SAE alebo 802.1X / EAP v závislosti od nakonfigurovaného bezpečnostného režimu WLAN. Podporovaná šifrovacia sada a veľkosť kľúča závisia od modelu telefónu a konfigurácie WLAN.

Schémy overovania a šifrovania sú nastavené v rámci bezdrôtovej siete LAN. VLAN sú konfigurované v sieti a na prístupových bodoch a špecifikujú rôzne kombinácie autentifikácie a šifrovania. SSID sa spája s VLAN a konkrétnou autentifikačnou a šifrovacou schémou. Ak chcete, aby sa bezdrôtové klientske zariadenia úspešne overili, musíte na prístupových bodoch a v telefóne nakonfigurovať rovnaké identifikátory SSID s ich schémami overovania a šifrovania.

Niektoré schémy overovania vyžadujú špecifické typy šifrovania.

Ak používate predzdieľaný kľúč WPA2 alebo SAE, predzdieľaný kľúč musí byť staticky nastavený v telefóne. Tieto klávesy sa musia zhodovať s klávesmi, ktoré sú na prístupovom bode.

Schémy overovania a šifrovania v nasledujúcej tabuľke zobrazujú možnosti konfigurácie siete pre Cisco bezdrôtový telefón 9821, ktorá zodpovedá konfigurácii prístupového bodu.

Tabuľka 1. Schémy autentifikácie a šifrovania
FSR TypOverovanieSpráva kľúčovŠifrovanieChránený rámec správy (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNie
802.11r (FT)WPA3

SAE

FT-SAE

AESÁno
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNie
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESÁno
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNie
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESÁno
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNie
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESÁno
Mimo FTApartmán-BWPA-EAP-SUITE-BGCMPÁno
Mimo FTApartmán-B-192WPA-EAP-SUITE-B-192GCMPÁno

Nastavenie profilu Wi-Fi

Profily Wi-Fi môžete nakonfigurovať na webovej stránke správy telefónu alebo prostredníctvom opätovnej synchronizácie profilov vzdialeného zariadenia. Po nakonfigurovaní môžete tieto profily priradiť k dostupným bezdrôtovým sieťam a vytvoriť tak pripojenie. Cisco Bezdrôtový telefón 9821 podporuje maximálne štyri nakonfigurované profily Wi-Fi.

Profil obsahuje parametre potrebné na to, aby sa telefóny mohli pripojiť k serveru telefónu cez pripojenie Wi-Fi. Keď vytvoríte a používate profil Wi-Fi, vy ani vaši používatelia nemusíte konfigurovať bezdrôtovú sieť pre jednotlivé telefóny.

Profil Wi-Fi umožňuje zakázať alebo obmedziť zmeny v konfigurácii Wi-Fi na telefóne zo strany používateľov.

Odporúčame, aby ste pri používaní profilu Wi-Fi používali zabezpečený profil s protokolmi s povoleným šifrovaním na ochranu kľúčov a hesiel.

Keď nastavíte telefóny na používanie metódy overovania EAP-FAST v režime zabezpečenia, vaši používatelia potrebujú na pripojenie k prístupovému bodu individuálne poverenia.

1

Prejdite na webovú stránku telefónu.

2

Vyberte položku Voice > System.

3

V časti Wi-Fi Profil (n) nastavte parametre podľa popisu v nasledujúcej tabuľke Parametre pre profil Wi-Fi.

Konfigurácia profilu Wi-Fi je k dispozícii aj na prihlásenie používateľa.
4

Kliknite na možnosť Odoslať všetky zmeny.

Parametre profilu Wi-Fi

Nasledujúca tabuľka definuje funkciu a použitie jednotlivých parametrov v časti Wi-Fi Profile(n) section pod System Tab na webovej stránke telefónu. Definuje tiež syntax reťazca, ktorý sa pridá do konfiguračného súboru telefónu (cfg.XML) na konfiguráciu parametra.

ParameterPopis
Názov sieteUmožňuje zadať názov SSID, ktorý sa bude zobrazovať v telefóne. Viaceré profily môžu mať rovnaký názov siete s rôznymi režimami zabezpečenia.

Vykonajte jeden z nasledovných krokov:

  • V konfiguračnom súbore telefónu s formátom XML (cfg.xml) zadajte reťazec v tomto formáte:

    <Network_Name_1_ ua="rw">Cisco</Network_Name_1_>

  • Na webovej stránke telefónu zadajte názov SSID.

Predvolené: prázdne

Režim zabezpeč.Umožňuje vybrať režim overenia používaný na zabezpečenie prístupu k sieti Wi-Fi. V závislosti od vybratej metódy sa zobrazí pole hesla, aby ste mohli zadať poverenia, ktoré sú potrebné na pripojenie k tejto sieti Wi-Fi.

Vykonajte jeden z nasledovných krokov:

  • V konfiguračnom súbore telefónu s formátom XML (cfg.xml) zadajte reťazec v tomto formáte:

    <Security_Mode_1_ UA="RW">EAP-TLS</Security_Mode_1_> <!-- Dostupné možnosti: |EAP-FAST|||PSK||Žiadne|EAP-PEAP|EAP-TLS -->

  • Na webovej stránke telefónu vyberte jednu z metód:
    • EAP-FAST
    • PSK
    • Žiadne
    • EAP-PEAP
    • EAP-TLS

Predvolená hodnota: Žiadne

ID používateľa siete Wi-FiUmožňuje zadať ID užívateľa pre profil siete.

Toto pole je k dispozícii, keď režim zabezpečenia nastavíte na možnosť Auto, EAP-FAST alebo EAP-PEAP. Toto je povinné pole s maximálnou dĺžkou 32 alfanumerických znakov.

Vykonajte jeden z nasledovných krokov:

  • V konfiguračnom súbore telefónu s formátom XML (cfg.xml) zadajte reťazec v tomto formáte:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Na webovej stránke telefónu zadajte používateľa ID pre profil siete.

Predvolené: prázdne

Heslo pre sieť Wi-FiUmožňuje zadať heslo pre zadané ID používateľa Wi-Fi.

Vykonajte jeden z nasledovných krokov:

  • V konfiguračnom súbore telefónu s formátom XML (cfg.xml) zadajte reťazec v tomto formáte:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Na webovej stránke telefónu zadajte heslo používateľa ID, ktorého ste pridali.

Predvolené: prázdne

Frekvenčné pásmoUmožňuje vybrať frekvenčné pásmo signálu bezdrôtového prenosu v sieti WLAN.

Vykonajte jeden z nasledovných krokov:

  • V konfiguračnom súbore telefónu s formátom XML (cfg.xml) zadajte reťazec v tomto formáte:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Na webovej stránke telefónu vyberte jednu z možností:
    • Automaticky
    • 2,4 GHz
    • 5 GHz alebo 6 GHz

Predvolená hodnota: Automaticky

Vybrať certifikátUmožňuje vybrať typ certifikátu pre počiatočnú registráciu certifikátu a obnovenie certifikátu v bezdrôtovej sieti. Tento proces je k dispozícii len pre overenie 802.1X.

Vykonajte jeden z nasledovných krokov:

  • V konfiguračnom súbore telefónu s formátom XML (cfg.xml) zadajte reťazec v tomto formáte:

    <Certificate_Select_1_ ua="rw">Inštalovaná výroba</Certificate_Select_1_>

  • Na webovej stránke telefónu vyberte jednu z možností:
    • Inštalovaná výroba
    • Vlastné nainštalované

Predvolené nastavenie: Výroba je nainštalovaná

Režim ovládaniaUrčuje, či má používateľ povolené konfigurovať profily Wi-Fi.

Vykonajte jeden z nasledovných krokov:

  • V konfiguračnom súbore telefónu s formátom XML (cfg.xml) zadajte reťazec v tomto formáte:

    <Control_Mode_1_ ua="rw">Povoliť</Control_Mode_1_>

  • Na webovej stránke telefónu vyberte jednu z možností:
    • Umožniť
    • Zakázané
    • Obmedzené

Predvolené: Povoliť

PovoliťUrčuje, či je povolený profil Wi-Fi.

Vykonajte jeden z nasledovných krokov:

  • V konfiguračnom súbore telefónu s formátom XML (cfg.xml) zadajte reťazec v tomto formáte:

    <Enable_1_ ua="rw">Áno</Enable_1_>

  • Na webovej stránke telefónu vyberte jednu z možností:
    • Áno
    • Nie

Predvolená hodnota: Áno

Názov profiluUmožňuje zadať názov profilu, ktorý sa zobrazí na telefóne.

Vykonajte jeden z nasledovných krokov:

  • V konfiguračnom súbore telefónu s formátom XML (cfg.xml) zadajte reťazec v tomto formáte:

    <Profile_Name_1_ ua="rw">Profil 1</Profile_Name_1_>

  • Na webovej stránke telefónu zadajte názov profilu.

Predvolené: Profil 1

Prístupová fráza PSKUmožňuje zadať prístupovú frázu PSK, keď je režim zabezpečenia nastavený na PSK.

Vykonajte jeden z nasledovných krokov:

  • V konfiguračnom súbore telefónu s formátom XML (cfg.xml) zadajte reťazec v tomto formáte:

    <PSK_Passphrase_1_ ua="rw">*************</PSK_Passphrase_1_>

  • Na webovej stránke telefónu zadajte prístupovú frázu PSK.

Predvolené: Povoliť

Autentifikácia 802.1X pre káblové siete

Cisco Bezdrôtový telefón 9821 podporuje autentifikáciu 802.1X pre káblové siete. Toto sa zvyčajne používa počas automatického poskytovania , keď je telefón pripojený k stolnej nabíjačke prostredníctvom podporovaného adaptéra USB-to-Ethernet.

Podpora autentifikácie 802.1X v káblových sieťach vyžaduje niekoľko komponentov:

  • Cisco IP Phone: Telefón iniciuje požiadavku na prístup k sieti. Cisco IP Phones obsahujú prosebníka 802.1X. Tento prosebník umožňuje správcom siete kontrolovať pripojenie telefónov IP k portom prepínača LAN. Aktuálne vydanie prosebníka telefónu 802.1X využíva možnosti EAP-FAST a EAP-TLS na overovanie siete.

  • Autentifikačný server: Autentifikačný server aj prepínač musia byť nakonfigurované so zdieľaným kľúčom RADIUS.

  • Prepínač: Prepínač musí podporovať štandard 802.1X, aby mohol fungovať ako autentifikátor a prenášať správy EAP medzi telefónom a overovacím serverom. Po dokončení výmeny prepínač udelí alebo zakáže telefónu prístup k sieti.

Cisco IP Phones a Cisco Spínače katalyzátora tradične používajú Cisco Discovery Protocol (CDP) na vzájomnú identifikáciu a určenie parametrov, ako je alokácia VLAN a požiadavky na inline napájanie.

Ak chcete nakonfigurovať 802.1X, musíte vykonať nasledujúce akcie.

  • Nakonfigurujte CDP/LLDP hlas VLAN bypass.

  • Pred zapnutím overovania 802.1X pre káblové siete v telefóne nakonfigurujte autentifikačný server a prepínač.

  • Konfigurácia hlasu VLAN: Keďže štandard 802.1X nezohľadňuje siete VLAN, mali by ste toto nastavenie nakonfigurovať na základe podpory prepínača.

    • Povolené: Ak používate prepínač, ktorý podporuje overovanie viacerých domén, môžete ho nakonfigurovať tak, aby používal hlas VLAN.
    • Vypnuté: Ak prepínač nepodporuje overovanie viacerých domén, vypnite hlas VLAN a zvážte priradenie portu k natívnemu VLAN.
  • Cisco Bezdrôtový telefón 9821 má inú predvoľbu v PID ako pre ostatné telefóny Cisco. Ak chcete, aby váš telefón prešiel overením 802.1X, nastavte okruh· Parameter Meno používateľa na zahrnutie vášho bezdrôtového telefónu Cisco 9821.

    Napríklad PID bezdrôtového telefónu Cisco 9821 je WP-9821. Môžete nastaviť polomer· Meno používateľa na začiatok na WP alebo Obsahuje WP v oboch nasledujúcich častiach:

    • Zásada > Podmienky > Podmienky knižnice

    • Politika > Množiny politík> Autorizačná politika > Autorizačné pravidlo 1

Povolenie overovania 802.1X pre káblové siete v telefóne

Ak chcete povoliť overenie 802.1X pre káblové siete v telefóne, postupujte podľa týchto krokov. Upozorňujeme, že overenie 802.1X pre Wi-Fi je predvolene povolené a nevyžaduje manuálnu konfiguráciu.

1

Prístup k nastaveniam 9821 Settings app icon App.

2

Ak sa zobrazí výzva, zadajte heslo pre prístup do ponuky Nastavenia . Heslo môžete získať od správcu.

3

Vyberte položku Nastavenia správcu> Nastavenie zabezpečenia> Overenie 802.1X.

4

Zvýraznite možnosť Autentifikácia zariadenia a stlačte tlačidlo Zapnúť.

Zapnutie overovania 802.1X pre káblové siete na webovej stránke telefónu

Keď je povolená autentifikácia 802.1X pre káblové siete, telefón používa overenie 802.1X na vyžiadanie prístupu k sieti z portu Ethernet LAN. Keď je vypnuté overovanie pomocou protokolu 802.1X pre káblové siete, telefón používa Cisco Discovery Protocol (CDP) na získanie prístupu VLAN a k sieti. Upozorňujeme, že overenie 802.1X pre Wi-Fi je predvolene povolené a nevyžaduje manuálnu konfiguráciu.

Môžete vybrať certifikát (MIC/SUDI alebo CDC) používaný na overenie 802.1X. Ďalšie informácie o CDC nájdete v časti Certifikát vlastného zariadenia na bezdrôtovom telefóne Cisco 9821.

Stav transakcie a nastavenia zabezpečenia si môžete pozrieť v ponuke na obrazovke telefónu. Ďalšie informácie nájdete v téme Ponuka Nastavenie zabezpečenia na telefóne.

1

Povoľte overenie 802.1X.

Vyberte položku Voice > System. V časti Overenie 802.1X nastavte parameter Povoliť overenie 802.1X na hodnotu Áno.

Tento parameter môžete nakonfigurovať aj v konfiguračnom súbore (cfg.XML):

<Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>

Platné hodnoty: Áno|Nie

Predvolené: Nie

2

V časti Autentifikácia 802.1X vyberte z rozbaľovacieho zoznamu Výber certifikátu jeden z nasledujúcich nainštalovaných certifikátov používaných na overenie 802.1X.

Možnosti hodnoty:

  • Inštalovaná výroba: MIC/SUDI.
  • Vlastná inštalácia: Certifikát vlastného zariadenia (CDC).

Tento parameter môžete nakonfigurovať aj v konfiguračnom súbore (cfg.XML):

<Certificate_Select ua="rw">Vlastná inštalácia</Certificate_Select>

Platné hodnoty: Inštalovaná výroba|Vlastné nainštalované

Predvolené nastavenie: Výroba je nainštalovaná

3

Nakonfigurujte parameter User ID , ktorý sa použije ako identita pre overenie 802.1X v káblovej sieti.

Táto konfigurácia sa použije len v prípade, že na káblové overenie 802.1X používate certifikát vlastného zariadenia (CDC), pričom možnosť Výber certifikátu je nastavená na možnosť Vlastné nainštalované .

Tento parameter môžete nakonfigurovať aj v konfiguračnom súbore (cfg.XML):

<Wired_User_ID ua="na"></Wired_User_ID>

Platné hodnoty: maximálne 127 znakov

Predvolené: prázdne

Tento parameter podporuje aj makro rozširujúce premenné, podrobnosti nájdete v časti Premenné rozšírenia makier.

Ak chcete zriadiť používateľa ID využitím kombinácie s možnosťami DHCP, pozrite si časť Zriadenie používateľa ID prostredníctvom možnosti DHCP 15.

4

Kliknite na možnosť Odoslať všetky zmeny.

Ponuka nastavení zabezpečenia v telefóne

Ak chcete zobraziť informácie o nastaveniach zabezpečenia z ponuky telefónu, prejdite do časti Nastavenia 9821 Settings app icon a vyberte položku Nastavenia správcu> Nastavenie zabezpečenia> Overenie 802.1X. Dostupnosť informácií závisí od nastavení siete vo vašej organizácii.

Parametre

Možnosti

Predvolené

Popis

Overenie zariadenia

Na

Off

Off

Zapína alebo vypína overovanie 802.1X v telefóne.

Nastavenie parametrov je možné zachovať po prvej registrácii telefónu (OOB).

Stav transakcie

Vypnuté

Zobrazuje stav overenia 802.1X. Štát môže byť (nie výlučne):

  • Autentifikácia – označuje, že prebieha proces overovania.
  • Overené – označuje, že telefón je overený.
  • Vypnuté – označuje, že v telefóne je zakázané overovanie pomocou protokolu 802.1x.
  • Pripája sa—Označuje, že telefón odosiela spúšťacie správy EAP prepínaču každých 30 sekúnd.
  • Získané—Označuje, že prepínač odmietol požiadavku EAP telefónu a telefón neprijíma žiadnu výzvu EAP-TLS alebo EAP-FAST z prepínača. Telefón sa znova pokúša odoslať žiadosti EAP.
  • Odpojený – označuje, že ethernetový kábel je odpojený.
  • Podržané – označuje, že prepínač spracoval požiadavku EAP telefónu, ale odmietol overenie EAP-FAST alebo EAP-TLS. Telefón sa znova pokúša odoslať žiadosti EAP.

Protokol

Žiadne

Zobrazuje metódu EAP, ktorá sa používa na overenie 802.1X. Protokol môže byť EAP-FAST alebo EAP-TLS.

Typ certifikátu používateľa

Inštalovaná výroba

Vlastné nainštalované

Inštalovaná výroba

Vyberie certifikát pre overenie 802.1X počas počiatočnej registrácie a obnovenia certifikátu.

  • Výroba je nainštalovaná – používa sa identifikátor SUDI (Secure Unique Device Identifier).
  • Vlastná inštalácia – používa sa certifikát vlastného zariadenia (CDC). Tento typ certifikátu je možné nainštalovať buď manuálnym odovzdaním na webovú stránku telefónu, alebo inštaláciou zo servera SCEP (Simple Certificate Enrollment Protocol).

Tento parameter sa v telefóne zobrazuje iba vtedy, keď je povolené overovanie zariadenia.

Zmena hesla používateľa a správcu

Pri prvej registrácii v systéme riadenia hovorov alebo po obnovení výrobných nastavení musíte pri prvom prístupe na webovú stránku správy telefónu nakonfigurovať používateľské heslo aj heslo správcu. Tieto poverenia môžete kedykoľvek aktualizovať, aby ste zachovali zabezpečenie zariadenia.

Platné pravidlá pre heslá zahŕňajú nasledujúce:

  • Heslo musí obsahovať najmenej 8 až 127 znakov.
  • Kombinácia (tri zo štyroch typov) veľkého písmena, malého malého písmena, čísla a špeciálneho znaku.
  • Priestor nie je povolený.
1

Prejdite na webovú stránku správy telefónu.

2

Vyberte položku Voice > System.

3

(Voliteľné) V časti Konfigurácia systému nastavte parameter Upozornenia na heslo zobrazenia na hodnotu Áno a potom kliknite na tlačidlo Odoslať všetky zmeny.

Môžete tiež povoliť parametre v konfiguračnom súbore telefónu (cfg.XML).

<Display_Password_Warnings ua="na">Áno</Display_Password_Warnings>

Predvolená hodnota: Áno

Možnosti: Áno|Nie

Ak je parameter nastavený na hodnotu Nie, upozornenie na heslo sa na obrazovke telefónu nezobrazí.

4

Vyhľadajte parameter Používateľské heslo alebo Heslo správcu a kliknite na položku Zmeniť heslo vedľa parametra.

5

Zadajte aktuálne používateľské heslo do poľa Staré heslo .

6

Zadajte nové heslo do poľa Nové heslo .

Ak nové heslo nespĺňa platné pravidlá pre heslo, nastavenie bude zamietnuté.

7

Kliknite na tlačidlo Odoslať.

Na webovej stránke sa zobrazí správa Heslo bolo úspešne zmenené. Webová stránka sa obnoví o niekoľko sekúnd.

Po nastavení hesla používateľa sa v súbore konfigurácie telefónu XML (cfg.XML) zobrazia tieto parametre:

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Nastavte minimálnu verziu TLS pre klienta a server

V predvolenom nastavení je minimálna verzia TLS pre klienta a server 1.2. To znamená, že klient a server súhlasia s nadviazaním spojení s TLS 1.2 alebo vyšším. Podporovaná maximálna verzia TLS pre klienta a server je 1.3. Po nakonfigurovaní sa minimálna verzia TLS použije na vyjednávanie medzi klientom TLS a serverom TLS.

Môžete nastaviť minimálnu verziu TLS pre klienta a server, napríklad 1.1, 1.2 alebo 1.3.

Skôr než začnete

Uistite sa, že server TLS podporuje nakonfigurovanú minimálnu verziu TLS. Môžete sa poradiť so správcom systému riadenia hovorov.

1

Prejdite na webovú stránku správy telefónu.

2

Vyberte položku Voice > System.

3

V časti Nastavenia zabezpečenia nakonfigurujte parameter TLS Min. verzia klienta.

  • TLS 1.1: Klient TLS podporuje verzie TLS od 1.1 do 1.3.

    Ak je verzia TLS na serveri nižšia ako 1.1, pripojenie sa nedá nadviazať.

  • TLS 1.2 (predvolené): Klient TLS podporuje TLS 1.2 a 1.3.

    Ak je verzia TLS na serveri nižšia ako 1.2, napríklad 1.1, pripojenie sa nedá nadviazať.

  • TLS 1.3: Klient TLS podporuje iba TLS 1.3.

    Ak je verzia TLS na serveri nižšia ako 1.3, napríklad 1.2 alebo 1.1, pripojenie nie je možné nadviazať.

    Ak chcete nastaviť parameter "TLS Client Min Version" na "TLS 1.3", uistite sa, že strana servera podporuje TLS 1.3. Ak strana servera nepodporuje TLS 1.3, môže to spôsobiť kritické problémy. Na telefónoch napríklad nie je možné vykonať operácie poskytovania.

Tento parameter môžete nakonfigurovať aj v konfiguračnom súbore (cfg.XML):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Povolené hodnoty: TLS 1.1, TLS1.2 a TLS 1.3.

Predvolené nastavenie: TLS 1.2

4

V časti Nastavenie zabezpečenia nakonfigurujte parameter TLS Server Min Version.

Webex Calling nepodporuje TLS 1.1.

  • TLS 1.1: Server TLS podporuje verzie TLS od 1.1 do 1.3.

    Ak je verzia TLS v klientovi nižšia ako 1.1, pripojenie sa nedá nadviazať.

  • TLS 1.2 (predvolené): Server TLS podporuje TLS 1.2 a 1.3.

    Ak je verzia TLS v klientovi nižšia ako 1.2, napríklad 1.1, pripojenie sa nedá nadviazať.

  • TLS 1.3: Server TLS podporuje iba TLS 1.3.

    Ak je verzia TLS v klientovi nižšia ako 1.3, napríklad 1.2 alebo 1.1, pripojenie sa nedá nadviazať.

Tento parameter môžete nakonfigurovať aj v konfiguračnom súbore (cfg.XML):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Povolené hodnoty: TLS 1.1, TLS1.2 a TLS 1.3.

Predvolené nastavenie: TLS 1.2

5

Kliknite na možnosť Odoslať všetky zmeny.

Povoliť režim iniciovaný klientom pre rokovania o bezpečnosti mediálnej roviny

Ak chcete chrániť relácie médií, môžete telefón nakonfigurovať tak, aby inicioval rokovania o zabezpečení mediálneho lietadla so serverom. Bezpečnostný mechanizmus sa riadi normami uvedenými v RFC 3329 a jeho rozšíreným návrhom názvov bezpečnostných mechanizmov pre médiá (pozri https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Na prepravu rokovaní medzi telefónom a serverom je možné použiť protokol SIP cez UDP, TCP, a TLS. Môžete obmedziť, že vyjednávanie o bezpečnosti mediálnej roviny sa použije iba vtedy, keď je signalizačný prenosový protokol TLS.

Tabuľka 2. Parametre pre rokovania o bezpečnosti mediálneho lietadla
ParameterPopis

Požiadavka MediaSec

Určuje, či telefón iniciuje rokovania o zabezpečení média so serverom.

Vykonajte jeden z nasledovných krokov:

  • V konfiguračnom súbore telefónu s formátom XML (cfg.xml) zadajte reťazec v tomto formáte:

    <MediaSec_Request_1_ ua="na">Áno</MediaSec_Request_1_>
  • Vo webovom rozhraní telefónu nastavte toto pole podľa potreby na hodnotu Áno alebo Nie .

Povolené hodnoty: Áno | nie

  • Áno – klientom iniciovaný režim. Telefón iniciuje rokovania o bezpečnosti mediálneho lietadla.
  • Nie, serverom iniciovaný režim. Server iniciuje rokovania o bezpečnosti v mediálnej rovine. Telefón neiniciuje vyjednávanie, ale môže spracovávať žiadosti o vyjednávanie zo servera s cieľom vytvorenia e zabezpečených hovorov.

Predvolené: Nie

MediaSec iba cez TLS

Určuje signalizačný prenosový protokol, na ktorý sa vzťahuje vyjednávanie o bezpečnosti lietadla média.

Pred nastavením tohto poľa na hodnotu Áno sa uistite, že protokol prenosu signalizácie je TLS.

Vykonajte jeden z nasledovných krokov:

  • V konfiguračnom súbore telefónu s formátom XML (cfg.xml) zadajte reťazec v tomto formáte:

    <MediaSec_Over_TLS_Only_1_ ua="na">Nie</MediaSec_Over_TLS_Only_1_>

  • Vo webovom rozhraní telefónu nastavte toto pole podľa potreby na hodnotu Áno alebo Nie .

Povolené hodnoty: Áno | nie

  • Áno — Telefón iniciuje alebo rieši rokovania o bezpečnosti mediálneho lietadla iba vtedy, keď je signalizačný prenosový protokol TLS.
  • Nie—Telefón iniciuje a vedie rokovania o bezpečnosti mediálneho lietadla bez ohľadu na signalizačný prenosový protokol.

Predvolené: Nie

1

Prejdite na webovú stránku správy telefónu.

2

Vyberte položku Voice > Ext (n).

3

V časti SIP Nastavenia nastavte polia MediaSec Request a MediaSec Over TLS Only tak, ako je definované vo vyššie uvedenej tabuľke.

4

Kliknite na možnosť Odoslať všetky zmeny.

Bol tento článok užitočný?
Bol tento článok užitočný?