Konfigurirajte možnosti DHCP

Nastavite lahko vrstni red, po katerem telefon uporablja možnosti DHCP. Za pomoč pri možnostih DHCP glejte podporo za možnosti DHCP.

1

Odprite spletno stran za skrbništvo telefona.

2

Izberite Glasovno > omogočanje uporabe.

3

V razdelku Konfiguracijski profil nastavite možnost uporabe DHCP in možnost DHCPv6 za uporabo parametrov, kot je opisano spodaj:

  • DHCP Možnost uporabe: DHCP možnosti, omejene z vejicami, ki se uporabljajo za pridobivanje vdelane programske opreme in profilov.

    Ta parameter lahko konfigurirate tudi v konfiguracijski datoteki (cfg.XML):

    <DHCP_Option_To_Use UA="na">66,160,159,150</DHCP_Option_To_Use>

    Privzeto: 66,160,159,150 ali 66,160,159,150,60,43,125, odvisno od modela telefona

  • Možnost DHCPv6 za uporabo: možnosti DHCPv6, omejene z vejicami, ki se uporabljajo za pridobivanje vdelane programske opreme in profilov.

    Ta parameter lahko konfigurirate tudi v konfiguracijski datoteki (cfg.XML):

    <DHCPv6_Option_To_Use UA="na">17,160,159</DHCPv6_Option_To_Use>

    Privzeto: 17,160,159

4

Kliknite Submit All Changes.

Podpora za možnosti DHCP

V spodnji tabeli so navedene možnosti DHCP, ki so podprte v telefonih PhoneOS.

Omrežni standardOpis
DHCP možnost 1Maska podomrežja
DHCP možnost 2Časovni zamik
DHCP možnost 3Usmerjevalnik
DHCP možnost 6Strežnik za ime domene
DHCP možnost 15Ime domene
DHCP možnost 17Informacije, specifične za prodajalca, ki identificirajo dobavitelja
DHCP možnost 41IP naslov Čas zakupa
DHCP možnost 42strežnik NTP
DHCP možnost 43Informacije, specifične za prodajalca

Lahko se uporablja za konfiguracijo SCEP.

DHCP možnost 56strežnik NTP

NTP konfiguracija strežnika z IPv6

DHCP možnost 60Identifikator razreda dobavitelja
DHCP možnost 66TFTP ime strežnika
DHCP možnost 125Informacije, specifične za prodajalca, ki identificirajo dobavitelja
DHCP možnost 150Strežnik TFTP
DHCP možnost 159Omogočanje uporabe strežniških IP
DHCP možnost 160URL za omogočanje uporabe

Nastavite najmanjšo različico TLS za odjemalca in strežnika

Privzeto je minimalna različica TLS za odjemalca in strežnika 1.2. To pomeni, da odjemalec in strežnik sprejmeta vzpostavitev povezav z TLS 1.2 ali novejšim. Podprta največja različica TLS za odjemalca in strežnika je 1.3. Ko bo konfigurirana, bo minimalna različica TLS uporabljena za pogajanja med odjemalcem TLS in strežnikom TLS.

Nastavite lahko najmanjšo različico TLS za odjemalca in strežnika, na primer 1.1, 1.2 ali 1.3.

Preden začnete

Prepričajte se, da strežnik TLS podpira konfigurirano minimalno različico TLS. Lahko se posvetujete s skrbnikom sistema za nadzor klicev.
1

Odprite spletno stran za skrbništvo telefona.

2

Izberite Voice > System.

3

V razdelku Varnostne nastavitve konfigurirajte parameter TLS Client Min Version.

  • TLS 1.1: Odjemalec TLS podpira različice TLS od 1.1 do 1.3.

    Če je različica TLS v strežniku nižja od 1,1, povezave ni mogoče vzpostaviti.

  • TLS 1.2 (privzeto): Odjemalec TLS podpira TLS 1.2 in 1.3.

    Če je različica TLS v strežniku nižja od 1,2, na primer 1,1, povezave ni mogoče vzpostaviti.

  • TLS 1.3: Odjemalec TLS podpira samo TLS 1.3.

    Če je različica TLS v strežniku nižja od 1,3, na primer 1,2 ali 1,1, povezave ni mogoče vzpostaviti.

    Če želite parameter "TLS Client Min Version" nastaviti na "TLS 1.3", se prepričajte, da strežniška stran podpira TLS 1.3. Če strežniška stran ne podpira TLS 1.3, lahko to povzroči kritične težave. Omogočanja uporabe na primer ni mogoče izvesti v telefonih.

Ta parameter lahko konfigurirate tudi v konfiguracijski datoteki (cfg.XML):

<TLS_Client_Min_Version UA="na">TLS 1.2</TLS_Client_Min_Version>

Dovoljene vrednosti: TLS 1.1, TLS1.2 in TLS 1.3.

Privzeto: TLS 1.2

4

V razdelku Varnostne nastavitve konfigurirajte parameter TLS Server Min Version.

Webex Calling ne podpira TLS 1.1.

  • TLS 1.1: Strežnik TLS podpira različice TLS od 1.1 do 1.3.

    Če je različica TLS v odjemalcu nižja od 1,1, povezave ni mogoče vzpostaviti.

  • TLS 1.2 (privzeto): Strežnik TLS podpira TLS 1.2 in 1.3.

    Če je različica TLS v odjemalcu nižja od 1,2, na primer 1,1, povezave ni mogoče vzpostaviti.

  • TLS 1.3: Strežnik TLS podpira samo TLS 1.3.

    Če je različica TLS v odjemalcu nižja od 1,3, na primer 1,2 ali 1,1, povezave ni mogoče vzpostaviti.

Ta parameter lahko konfigurirate tudi v konfiguracijski datoteki (cfg.XML):

<TLS_Server_Min_Version UA="na">TLS 1.2</TLS_Server_Min_Version>

Dovoljene vrednosti: TLS 1.1, TLS1.2 in TLS 1.3.

Privzeto: TLS 1.2

5

Kliknite Submit All Changes.

Omogočanje načina FIPS

Telefon lahko uskladite s FIPS (Federal Information Processing Standards).

FIPS je niz standardov, ki opisujejo obdelavo dokumentov, algoritme šifriranja in druge standarde informacijske tehnologije za uporabo v nevojaški vladi in s strani vladnih izvajalcev in prodajalcev, ki sodelujejo z agencijami. CiscoSSL FOM (FIPS Object Module) je skrbno definirana programska komponenta, zasnovana za združljivost s knjižnico CiscoSSL, zato lahko izdelke, ki uporabljajo knjižnico CiscoSSL in znak API, pretvorite v kriptografijo, potrjeno s FIPS 140-2, z minimalnim naporom.

1

Odprite spletno stran za skrbništvo telefona.

2

Izberite Voice > System.

3

V razdelku Varnostne nastavitve v parametru načina FIPS izberite Da ali Ne .

4

Kliknite Submit All Changes.

Ko omogočite FIPS, naslednje funkcije na telefonu delujejo brezhibno:
  • Preverjanje pristnosti slike
  • Varno shranjevanje
  • Konfiguracija šifriranja datotek
  • TLS:
    • HTTP-ji
    • Prenos PRT
    • Nadgradnja vdelane programske opreme
    • Vnovična sinhronizacija profila
    • Storitev na krovu
    • Webex uvajanje
    • SIP prek TLS
    • 802.1x (Žično)
  • SIP digest (RFC 8760)
  • SRTP
  • Webex dnevniki klicev in imenik Webex
  • En gumb za pritisk (OBTP)

Nastavite uporabniško in skrbniško geslo

Ko je telefon prvič registriran v sistemu za nadzor klicev ali ko ga ponastavite na tovarniške nastavitve, morate nastaviti uporabniško in skrbniško geslo, da povečate varnost telefona. Ko so gesla nastavljena, lahko dostopate do spletnega vmesnika telefona.

Privzeto sta uporabniško in skrbniško geslo prazna. Zato lahko težavo »Geslo ni bilo vneseno« najdete na zaslonu telefona Nastavitve > Težave in diagnostika > Težave .

1

Dostop do spletne strani za upravljanje telefona

2

Izberite Glas > Sistem.

3

(Neobvezno) V razdelku Konfiguracija sistema nastavite parameter Prikaži opozorila o geslu na Da in nato kliknite Pošlji vse spremembe.

Parametre lahko omogočite tudi v konfiguracijski datoteki telefona (cfg.XML).

<Display_Password_Warnings ua="na">Da</Display_Password_Warnings>

Privzeto: Da

Možnosti: Da | Ne

Če je parameter nastavljen na Ne, se opozorilo o geslu ne prikaže na zaslonu telefona.

4

Poiščite parameter Uporabniško geslo ali Skrbniško geslo in kliknite Spremeni geslo zraven parametra.

5

V polje Staro geslo vnesite trenutno uporabniško geslo.

Če nimate gesla, pustite polje prazno. Privzeto je ta možnost prazna.
6

V polje Novo geslo vnesite novo geslo.

Veljavna pravila za gesla:

  • Geslo mora vsebovati vsaj 8 do 127 znakov.
  • Kombinacija (3/4) velike začetnice, male začetnice, številke in posebnega znaka.
  • Prostor ni dovoljen.

Če novo geslo ne izpolnjuje zahtev, bo nastavitev zavrnjena.

7

Kliknite Submit (Pošlji).

Na spletni strani se prikaže sporočilo Geslo je uspešno spremenjeno. Spletna stran se bo osvežila v nekaj sekundah.

Ko nastavite uporabniško geslo, ta parameter v datoteki s konfiguracijo telefona XML (cfg.XML) prikaže naslednje:

<!-- <Admin_Password ua="na">**************<//Admin_Password><Uporabniško_geslo ua="rw">****************<//Uporabniško_geslo> -->

Preverjanje pristnosti 802.1X

Cisco IP Phones podpira preverjanje pristnosti 802.1X.

Cisco IP Phones in Cisco Katalitična stikala tradicionalno uporabljajo Cisco (CDP) za medsebojno identifikacijo in določanje parametrov, kot sta dodelitev VLAN in zahteve glede napajanja. CDP ne prepozna lokalno priključenih delovnih postaj. Cisco IP Phones zagotavlja mehanizem prehoda EAPOL. Ta mehanizem omogoča delovni postaji, priključeni na Cisco IP Phone, da posreduje sporočila EAPOL overitelju 802.1X na stikalu LAN. Mehanizem prehoda zagotavlja, da telefon IP ne deluje kot stikalo LAN za preverjanje pristnosti končne točke podatkov pred dostopom do omrežja.

Cisco IP Phones ponuja tudi mehanizem za odjavo EAPOL prek proxyja. Če se lokalno priključen računalnik prekine s telefonom IP, stikalo LAN ne zazna prekinitve fizične povezave, ker se povezava med stikalom LAN in telefonom IP ohrani. Da bi se izognili ogrožanju integritete omrežja, telefon IP v imenu računalnika v nižji povezavi pošlje stikalu sporočilo EAPOL-Logoff, kar sproži, da stikalo LAN počisti vnos za preverjanje pristnosti za računalnik v nižji povezavi.

Podpora za preverjanje pristnosti 802.1X zahteva več komponent:

  • Cisco IP Phone: Telefon sproži zahtevo za dostop do omrežja. Cisco IP Phones vsebuje prošnjo 802.1X. Ta prošnja omogoča omrežnim skrbnikom nadzor nad povezljivostjo telefonov IP z vrati LAN stikala. Trenutna izdaja telefona, ki podpira standard 802.1X, uporablja možnosti EAP-FAST in EAP-TLS za preverjanje pristnosti v omrežju.

  • Strežnik za preverjanje pristnosti: Strežnik za preverjanje pristnosti in stikalo morata biti konfigurirana s skupno skrivnostjo, ki preverja pristnost telefona.

  • Stikalo: Stikalo mora podpirati standard 802.1X, da lahko deluje kot overitelj in posreduje sporočila med telefonom in strežnikom za overjanje. Ko je izmenjava končana, stikalo odobri ali zavrne telefonu dostop do omrežja.

Za konfiguracijo 802.1X morate izvesti naslednja dejanja.

  • Preden v telefonu omogočite preverjanje pristnosti 802.1X, konfigurirajte druge komponente.

  • Konfiguracija vrat računalnika: Standard 802.1X ne upošteva omrežij VLAN in zato priporoča, da se na določenih vratih stikala overi le ena naprava. Vendar pa nekatera stikala podpirajo overjanje v več domenah. Konfiguracija stikala določa, ali lahko na vrata za računalnik na telefonu priključite računalnik.

    • Omogočeno: Če uporabljate stikalo, ki podpira overjanje v več domenah, lahko omogočite vrata za računalnik in nanje priključite računalnik. V tem primeru Cisco IP Phones podpira proxy EAPOL-Logoff za spremljanje izmenjav preverjanja pristnosti med stikalom in priključenim računalnikom.

      Za več informacij o podpori za IEEE 802.1X na stikalih Catalyst Cisco glejte vodnike za konfiguracijo stikala Catalyst CDP na naslovu:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Onemogočeno: Če stikalo ne podpira več naprav, ki so skladne s standardom 802.1X, na istih vratih, morate onemogočiti vrata za računalnik, ko je omogočeno preverjanje pristnosti 802.1X. Če teh vrat ne onemogočite in nato poskusite nanje priključiti računalnik, stikalo zavrne dostop do omrežja tako telefonu kot računalniku.

  • Konfiguriraj glas VLAN: Ker standard 802.1X ne upošteva VLAN-ov, morate to nastavitev konfigurirati glede na podporo stikala.
    • Omogočeno: Če uporabljate stikalo, ki podpira overjanje v več domenah, lahko še naprej uporabljate glas VLAN.
    • Onemogočeno: Če stikalo ne podpira večdomenske avtentikacije, onemogočite glasovno povezavo VLAN in razmislite o dodelitvi vrat izvorni domeni VLAN.
  • (Samo za Cisco namizni telefon serije 9800)

    Cisco Namizni telefon serije 9800 ima drugačno predpono v PID-u kot drugi telefoni Cisco. Če želite, da telefon opravi preverjanje pristnosti 802.1X, nastavite Radius · Uporabniško ime parameter, ki vključuje vaš Cisco namizni telefon serije 9800.

    Na primer, PID telefona 9841 je DP-9841; nastavite lahko Radius · Uporabniško ime do Začnite z DP ali Vsebuje DP. Nastavite ga lahko v obeh naslednjih razdelkih:

    • Politika > Pogoji > Pogoji v knjižnici

    • Politika > Nabori pravilnikov > Pravilnik o avtorizaciji > Pravilo avtorizacije 1

Omogočanje preverjanja pristnosti 802.1X na spletni strani telefona

Ko je omogočeno preverjanje pristnosti 802.1X, telefon za zahtevo dostopa do omrežja uporablja preverjanje pristnosti 802.1X. Ko je preverjanje pristnosti 802.1X onemogočeno, telefon za pridobitev Cisco Discovery Protocol in dostopa do omrežja uporabi VLAN.

Izberete lahko potrdilo (MIC/SUDI ali CDC), ki se uporablja za preverjanje pristnosti 802.1X. Za več informacij o CDC glejte Potrdilo o napravi po meri za 9800/8875.

Stanje transakcije in varnostne nastavitve si lahko ogledate v meniju zaslona telefona. Za več informacij glejte Meni varnostnih nastavitev v telefonu.

1

Omogočite preverjanje pristnosti 802.1X.

Izberite Glasovni Sistem in nastavite parameter Omogoči preverjanje pristnosti 802.1X na Da .

Ta parameter lahko konfigurirate tudi v konfiguracijski datoteki (cfg.XML):

<Omogoči_802.1X_preverjanje pristnosti ua="rw">Da<//Omogoči_802.1X_preverjanje pristnosti>

Veljavne vrednosti: Da|Ne

Privzeto: Ne

2

Izberite eno od naslednjih nameščenih potrdil, ki se uporabljajo za preverjanje pristnosti 802.1X.

Možnosti vrednosti:

  • Nameščena proizvodnja: MIC/SUDI.
  • Nameščeno po meri: Potrdilo o uporabi naprave (CDC).

Konfiguracija se razlikuje glede na omrežje:

  • Za žično omrežje izberite Glas > Sistem, nato pa v spustnem seznamu Izberite potrdilo v razdelku Preverjanje pristnosti 802.1X izberite vrsto potrdila.

    Ta parameter lahko konfigurirate tudi v konfiguracijski datoteki (cfg.XML):

    <Certificate_Select ua="rw">Nameščeno po meri<//Certificate_Select>

    Veljavne vrednosti: Nameščeno v proizvodnji|Nameščeno po meri

    Privzeto: Nameščena proizvodnja

  • Za brezžično omrežje izberite Glas > Sistem, nato pa v spustnem seznamu Izberite potrdilo v razdelku Wi-Fi Profil 1.

    Ta parameter lahko konfigurirate tudi v konfiguracijski datoteki (cfg.XML):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Nameščeno po meri<//Wi-Fi_Certificate_Select_1_>

    Veljavne vrednosti: Nameščeno v proizvodnji|Nameščeno po meri

    Privzeto: Nameščena proizvodnja

3

Konfigurirajte parameter ID uporabnika , ki bo uporabljen kot identiteta za preverjanje pristnosti 802.1X v žičnem omrežju.

Konfiguracija parametra začne veljati le, če se za žično preverjanje pristnosti 802.1X uporablja CDC (Izbira potrdila je nastavljena na Nameščeno po meri).

Privzeto je ta parameter prazen. Identiteta za žično omrežje 802.1X se razlikuje glede na izbrano potrdilo:

  • Če je izbrana možnost MIC/SUDI, je identiteta žične povezave 802.1X predstavljena na naslednji način:

    <Ime izdelka> + SEP<MAC naslov>.

    Primeri: DP-98xx-SEP, CP-8875-SEP.

  • Če je izbran CDC, se kot identiteta za žično omrežje 802.1X uporabi splošno ime v CDC.

Če je polje Uporabniški ID prazno in je skupno ime v CDC konfigurirano, bo žični 802.1X kot identiteto uporabil skupno ime CDC.

Ta parameter lahko konfigurirate tudi v konfiguracijski datoteki (cfg.XML):

<ID_žičnega_uporabnika ua="na"></ID_žičnega_uporabnika>

Veljavne vrednosti: največ 127 znakov

Privzeto: Prazno

Ta parameter podpira tudi spremenljivke za razširitev makrov, za podrobnosti glejte Spremenljivke za razširitev makrov .

Če želite uporabiti možnosti IPv4 za zagotavljanje uporabniškega ID-ja, glejte Zagotavljanje običajnega imena ali uporabniškega ID-ja prek možnosti DHCP 15.

4

Kliknite Submit All Changes.

Meni varnostnih nastavitev v telefonu

Informacije o varnostnih nastavitvah si lahko ogledate v meniju telefona. Navigacijska pot je: Nastavitve > Omrežje in storitve > Varnostne nastavitve. Razpoložljivost informacij je odvisna od omrežnih nastavitev v vaši organizaciji.

Parametri

Možnosti

Privzeto

Opis

Preverjanje pristnosti naprave

Ob

Izklopljeno

Izklopljeno

Omogoči ali onemogoči preverjanje pristnosti 802.1X v telefonu.

Nastavitev parametrov se lahko ohrani po registraciji telefona ob prvi namestitvi (OOB).

Stanje transakcije

Onemogočeno

Prikazuje stanje preverjanja pristnosti 802.1X. Država je lahko (ne omejena na):

  • Preverjanje pristnosti: Označuje, da je postopek preverjanja pristnosti v teku.
  • Preverjeno pristnost: Označuje, da je telefon preverjen.
  • Onemogočeno: Označuje, da je preverjanje pristnosti 802.1x v telefonu onemogočeno.

Protokol

Brez

Prikaže metodo MAC, ki se uporablja za preverjanje pristnosti 802.1X. Protokol je lahko Webex ali EAP.

Vrsta uporabniškega potrdila

Nameščena proizvodnja

Nameščeno po meri

Nameščena proizvodnja

Izbere potrdilo za preverjanje pristnosti 802.1X med začetnim vpisom in podaljšanjem potrdila.

  • Nameščeno v proizvodnji – Uporablja se potrdilo o namestitvi v proizvodnji (MIC) in varni enolični identifikator naprave (SUDI).
  • Nameščeno po meri – Uporablja se potrdilo naprave po meri (CDC). To vrsto potrdila je mogoče namestiti z ročnim nalaganjem na spletno stran telefona ali z namestitvijo s strežnika Simple Certificate Enrollment Protocol (SCEP).

Ta parameter se v telefonu prikaže le, če je omogočeno preverjanje pristnosti naprave.

Združljivost z nazaj z WPA

Ob

Izklopljeno

Izklopljeno

Določa, ali je najstarejša različica zaščitenega dostopa Wi-Fi (WPA) združljiva s telefonom za povezavo z brezžičnim omrežjem ali dostopno točko (AP).

  • Če je omogočeno, lahko telefon išče in se povezuje z brezžičnimi omrežji, ki podpirajo vse različice WPA, vključno z WPA, WPA2 in WPA3. Poleg tega lahko telefon išče in se poveže z dostopnimi točkami, ki podpirajo le najstarejšo različico WPA.
  • Če je onemogočeno (privzeto), lahko telefon išče in se povezuje samo z brezžičnimi omrežji in dostopnimi točkami, ki podpirajo WPA2 in WPA3.

Ta funkcija je na voljo samo na telefonih 9861/9871/8875.

Nastavitev proxy strežnika

Telefon lahko konfigurirate tako, da za izboljšanje varnosti uporablja posredniški strežnik. Običajno lahko strežnik HTTP proxy nudi naslednje storitve:

  • Usmerjanje prometa med notranjimi in zunanjimi omrežji
  • Filtriranje, spremljanje ali beleženje prometa
  • Predpomnjenje odgovorov za izboljšanje učinkovitosti delovanja

Proxy strežnik HTTP lahko deluje tudi kot požarni zid med telefonom in internetom. Po uspešni konfiguraciji se telefon poveže z internetom prek proxy strežnika, ki ga ščiti pred kibernetskimi napadi.

Ko je konfigurirana, funkcija HTTP proxy velja za vse aplikacije, ki uporabljajo protokol HTTP. Na primer:

  • GDS (Uvajanje aktivacijske kode)
  • Aktivacija naprave EDOS
  • Uvajanje v oblak DHCP (prek EDOS ali GDS)
  • CA po meri
  • Nadziranje
  • Nadgradnja vdelane programske opreme
  • Poročilo o stanju telefona
  • Nalaganje PRT
  • XSI storitve
  • Webex Storitve

  • Trenutno funkcija podpira samo MAC.
  • Nastavitve proxyja HTTP je mogoče ohraniti po registraciji telefona ob prvem namestitvi (OOB).

1

Odprite spletno stran za skrbništvo telefona.

2

Izberite Glas > Sistem.

3

V razdelku Nastavitve proxyja HTTP, izberite način posredniškega strežnika s spustnega seznama Način posrednika in konfigurirajte povezane parametre.

Za več informacij o parametrih in zahtevanih parametrih za vsak način posredniškega strežnika glejte Parametri za nastavitve proxyja HTTP .

4

Kliknite Submit All Changes.

Parametri za nastavitve proxyja HTTP

V naslednji tabeli sta opredeljeni funkcija in uporaba parametrov proxyja HTTP v razdelku Nastavitve proxyja HTTP v razdelku Glasovni > Sistem Tab v spletnem vmesniku telefona. Določa tudi sintakso niza, ki je dodana v konfiguracijsko datoteko telefona (cfg.xml) s kodo XML za konfiguriranje parametra.

ParameterOpis
Način proxyjaDoloča način HTTP proxy, ki ga uporablja telefon, ali onemogoči funkcijo HTTP proxy.
  • Samodejno

    Telefon samodejno pridobi datoteko za samodejno konfiguracijo proxyja (PAC), da izbere proxy strežnik. V tem načinu lahko določite, ali želite za pridobitev datoteke PAC uporabiti protokol WPAD (Web Proxy Auto Discovery) ali ročno vnesti veljaven URL datoteke PAC.

    Za podrobnosti o parametrih glejte parametra »Samodejno odkrivanje spletnega proxyja« in »URL PAC« v tej tabeli.

  • Ročno

    Ročno morate določiti strežnik (ime gostitelja ali naslov IP) in vrata proxy strežnika.

    Za podrobnosti o parametrih glejte Gostitelj proxyja in Vrata proxyja.

  • Izklopljeno

    V telefonu onemogočite funkcijo HTTP proxy.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Proxy_Mode ua="rw">Izklopljeno</Proxy_Mode>

  • V spletnem vmesniku telefona izberite način proxyja ali onemogočite funkcijo.

Dovoljene vrednosti: Samodejno, Ročno in Izklopljeno

Privzeto: izklopljeno

Samodejno odkrivanje spletnega proxyjaDoloča, ali telefon za pridobivanje datoteke PAC uporablja protokol WPAD (Web Proxy Auto Discovery).

Protokol WPAD uporablja DHCP ali DNS ali oba omrežna protokola za samodejno iskanje datoteke za samodejno konfiguracijo proxyja (PAC). Datoteka PAC se uporablja za izbiro proxy strežnika za dani URL. To datoteko je mogoče shraniti lokalno ali v omrežju.

  • Konfiguracija parametra začne veljati, ko je možnost Način posredniškega strežnika nastavljena na Samodejno.
  • Če parameter nastavite na Ne, morate navesti URL PAC.

    Za podrobnosti o parametru glejte parameter »PAC URL« v tej tabeli.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Web_Proxy_Auto_Discovery ua="rw">Da<//Web_Proxy_Auto_Discovery>

  • V spletnem vmesniku telefona po potrebi izberite Da ali Ne .

Dovoljene vrednosti: Da in Ne

Privzeto: Da

URL za PACURL datoteke PAC.

Na primer, http://proxy.department.branch.example.com

Podprti so TFTP, HTTP in HTTPS.

Če nastavite Način posredniškega strežnika na Samodejno in Samodejno odkrivanje spletnega posredniškega strežnika na Ne, morate konfigurirati ta parameter.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL>

  • V spletnem vmesniku telefona vnesite veljaven URL, ki vodi do datoteke PAC.

Privzeto: Prazno

Gostitelj proxyjaIP naslov ali ime gostitelja proxy strežnika, do katerega telefon dostopa. Na primer:

proxy.example.com

Shema (http:// ali https://) ni obvezna.

Če nastavite Način posredniškega strežnika na Ročno, morate konfigurirati ta parameter.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Proxy_Host ua="rw">proxy.example.com</Proxy_Host>

  • V spletnem vmesniku telefona vnesite naslov ali ime gostitelja proxy strežnika z oznako IP.

Privzeto: Prazno

Vrata strežnika proxyŠtevilka vrat gostiteljskega strežnika proxy.

Če nastavite Način posredniškega strežnika na Ročno, morate konfigurirati ta parameter.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Proxy_Port ua="rw">3128</Proxy_Port>

  • V spletnem vmesniku telefona vnesite vrata strežnika.

Privzeta vrednost: 3128

Preverjanje pristnosti posrednikaDoloča, ali mora uporabnik vnesti poverilnice za preverjanje pristnosti (uporabniško ime in geslo), ki jih zahteva proxy strežnik. Ta parameter je konfiguriran glede na dejansko delovanje proxy strežnika.

Če parameter nastavite na Da, morate konfigurirati Uporabniško ime in Geslo.

Za podrobnosti o parametrih glejte parametra »Uporabniško ime« in »Geslo« v tej tabeli.

Konfiguracija parametra začne veljati, ko je možnost Način posredniškega strežnika nastavljena na Ročno .

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Proxy_Authentication ua="rw">Ne<//Proxy_Authentication>

  • V spletnem vmesniku telefona nastavite to polje na Da ali Ne po potrebi.

Dovoljene vrednosti: Da in Ne

Privzeto: Ne

Uporabniško imeUporabniško ime za uporabnika s poverilnicami na strežniku proxy.

Če je možnost Način posredniškega strežnika nastavljena na Ročno in je možnost Preverjanje pristnosti posredniškega strežnika nastavljena na Da, morate konfigurirati parameter.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Proxy_Uporabniško_ime ua="rw">Primer<//Proxy_Uporabniško_ime>

  • V spletnem vmesniku telefona vnesite uporabniško ime.

Privzeto: Prazno

GesloGeslo navedenega uporabniškega imena za namene preverjanja pristnosti posredniškega strežnika.

Če je možnost Način posredniškega strežnika nastavljena na Ročno in je možnost Preverjanje pristnosti posredniškega strežnika nastavljena na Da, morate konfigurirati parameter.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Geslo_posredniškega_strežnika ua="rw">Primer</Geslo_posredniškega_strežnika>

  • V spletnem vmesniku telefona vnesite veljavno geslo za preverjanje pristnosti uporabnika prek posredniškega strežnika.

Privzeto: Prazno

Tabela 1. Zahtevani parametri za vsak način posredniškega strežnika
Način proxyjaZahtevani parametriOpis
IzklopljenoN/VProxy HTTP je v telefonu onemogočen.
RočnoGostitelj proxyja

Vrata strežnika proxy

Preverjanje pristnosti posrednika: Da

Uporabniško ime

Geslo

Ročno določite proxy strežnik (ime gostitelja ali naslov IP) in proxy vrata. Če proxy strežnik zahteva preverjanje pristnosti, morate dodatno vnesti uporabniško ime in geslo.
Gostitelj proxyja

Vrata strežnika proxy

Preverjanje pristnosti posrednika: Ne

Ročno določite proxy strežnik. Proxy strežnik ne zahteva poverilnic za preverjanje pristnosti.
SamodejnoSamodejno odkrivanje spletnega proxyja: Ne

URL za PAC

Vnesite veljaven URL PAC za pridobitev datoteke PAC.
Samodejno odkrivanje spletnega proxyja: Da

Uporablja protokol WPAD za samodejno pridobivanje datoteke PAC.

Omogoči način, ki ga sproži odjemalec, za pogajanja o varnosti medijske ravnine

Za zaščito medijskih sej lahko telefon konfigurirate tako, da s strežnikom sproži pogajanja o varnosti medijske ravnine. Varnostni mehanizem sledi standardom, navedenim v RFC 3329 in njegovem osnutku razširitve Imena varnostnih mehanizmov za medije (glejte https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Prenos pogajanj med telefonom in strežnikom lahko uporablja protokol SIP prek UDP, TCP, in TLS. Omejite lahko, da se pogajanja o varnosti medijske ravnine uporabijo le, če je protokol za prenos signalizacije TLS.

Tabela 2. Parametri za pogajanja o varnosti medijske ravnine
ParameterOpis

Zahteva MediaSec

Določa, ali telefon začne pogajanja o varnosti medijske ravnine s strežnikom.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <MediaSec_Request_1_ ua="na">Da</MediaSec_Request_1_>
  • V spletnem vmesniku telefona nastavite to polje na Da ali Ne po potrebi.

Dovoljeni vrednosti: Da|Ne

  • Da —Način, ki ga sproži odjemalec. Telefon sproži varnostna pogajanja na medijski ravnini.
  • Ne —Način, ki ga sproži strežnik. Strežnik sproži pogajanja o varnosti medijskega letala. Telefon ne sproži pogajanj, vendar lahko obravnava zahteve za pogajanja iz strežnika za vzpostavljanje varnih klicev.

Privzeto: Ne

MediaSec samo nad TLS

Določa signalizacijski transportni protokol, prek katerega se uporabljajo pogajanja o varnosti medijskega letala.

Preden to polje nastavite na Da, se prepričajte, da je protokol prenosa signalizacije TLS.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <MediaSec_Over_TLS_Only_1_ ua="na">Ne</MediaSec_Over_TLS_Only_1_>

  • V spletnem vmesniku telefona po potrebi nastavite to polje na Da ali Ne .

Dovoljeni vrednosti: Da|Ne

  • Da – telefon sproži ali obravnava varnostna pogajanja medijskega letala le, če je signalizacijski transportni protokol TLS.
  • Ne—Telefon sproži in vodi pogajanja o varnosti medijskega letala ne glede na protokol prenosa signalizacije.

Privzeto: Ne

1

Odprite spletno stran za skrbništvo telefona.

2

Izberite Glas> ext (n).

3

V razdelku SIP Settings nastavite polji MediaSec Request in MediaSec Over TLS Only , kot je določeno v zgornji tabeli.

4

Kliknite Submit All Changes.

Varnost WLAN

Ker lahko vse naprave WLAN, ki so v dosegu, sprejemajo ves preostali promet WLAN, je zaščita glasovne komunikacije ključnega pomena v omrežjih WLAN. Da vsiljivci ne manipulirajo ali prestrezajo glasovnega prometa, arhitektura Cisco SAFE Security podpira telefon. Če želite več informacij o varnosti v omrežjih, glejte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Rešitev brezžične telefonije Cisco Wireless IP zagotavlja varnost brezžičnega omrežja, ki preprečuje nepooblaščeno prijavo in ogroženo komunikacijo z naslednjimi načini preverjanja pristnosti, ki jih telefon podpira:

  • Odpri preverjanje pristnosti: Vsaka brezžična naprava lahko zahteva preverjanje pristnosti v odprtem sistemu. AP, ki prejme zahtevo, lahko odobri avtentikacijo kateremu koli vlagatelju zahteve ali samo vlagateljem, ki so na seznamu uporabnikov. Komunikacija med brezžično napravo in dostopno točko (AP) morda ni šifrirana.

  • Prilagodljivo preverjanje pristnosti razširljivega protokola preverjanja pristnosti prek varnega tuneliranja (EAP-FAST) Preverjanje pristnosti: Ta varnostna arhitektura odjemalec-strežnik šifrira EAP transakcije v tunelu Transport Level Security (TLS) med AP in strežnikom RADIUS, kot je Identity Services Engine (ISE).

    Tunel TLS uporablja poverilnice za zaščiteni dostop (PAC) za preverjanje pristnosti med odjemalcem (telefonom) in strežnikom RADIUS. Strežnik pošlje ID organa (AID) odjemalcu (telefonu), ki v TURN izbere ustrezen PAC. Odjemalec (telefon) vrne PAC-Opaque strežniku RADIUS. Strežnik dešifrira PAC s primarnim ključem. Obe končni točki zdaj vsebujeta ključ PAC in ustvarjen je tunel TLS. EAP-FAST podpira samodejno omogočanje PAC, vendar ga morate omogočiti na strežniku RADIUS.

    V ISE PAC privzeto poteče v enem tednu. Če ima telefon potekel PAC, preverjanje pristnosti s strežnikom RADIUS traja dlje, medtem ko telefon dobi nov PAC. Če se želite izogniti zamudam pri zagotavljanju PAC, nastavite obdobje poteka PAC na 90 dni ali več v strežniku ISE ali RADIUS.

  • Preverjanje pristnosti razširljivega protokola preverjanja pristnosti – varnost na prenosni plasti (EAP-TLS): EAP-TLS zahteva potrdilo odjemalca za preverjanje pristnosti in dostop do omrežja. Za brezžično EAP-TLS je potrdilo odjemalca lahko MIC, LSC, ali uporabniško nameščeno potrdilo.

  • Protected Extensible Authentication Protocol (PEAP): Cisco lastniška shema vzajemnega preverjanja pristnosti na podlagi gesla med odjemalcem (telefonom) in strežnikom RADIUS. Telefon lahko uporablja PEAP za preverjanje pristnosti z brezžičnim omrežjem. Podprta sta načina preverjanja pristnosti PEAP-MSCHAPV2 in PEAP-GTC.

  • Ključ v skupni rabi (PSK): Telefon podpira format ASCII. To obliko zapisa morate uporabiti, ko nastavljate ključ v vnaprejšnji skupni rabi WPA/WPA2/SAE:

    ASCII: niz znakov ASCII z dolžino od 8 do 63 znakov (0–9, male in velike črke A–Z ter posebni znaki)

    Primer: GREG123567@9ZX&W

Naslednje sheme preverjanja pristnosti uporabljajo strežnik RADIUS za upravljanje ključev za preverjanje pristnosti:

  • WPA/WPA2/WPA3: Uporablja informacije o strežniku RADIUS za ustvarjanje edinstvenih ključev za preverjanje pristnosti. Ker so ti ključi ustvarjeni na centraliziranem strežniku RADIUS, WPA2/WPA3 zagotavlja večjo varnost kot WPA ključi v vnaprejšnji skupni rabi, ki so shranjeni v AP in telefonu.

  • Hitro varno gostovanje: uporablja informacije strežnika RADIUS in strežnika brezžične domene (WDS) za upravljanje in preverjanje pristnosti ključev. WDS ustvari predpomnilnik varnostnih poverilnic za odjemalske naprave, ki podpirajo FT, za hitro in varno ponovno preverjanje pristnosti. Cisco namizni telefon 9861 in 9871 ter Cisco Video telefon 8875 podpira 802.11r (FT). Tako po zraku kot nad vozilom DS je podprto, kar omogoča hitro in varno gostovanje. Vendar močno priporočamo uporabo metode 802.11r (FT) nad zrakom.

Pri WPA/WPA2/WPA3 šifrirni ključi niso vneseni v telefon, temveč se samodejno izpeljejo med AP in telefonom. Toda uporabniško ime in geslo EAP, ki se uporabljata za preverjanje pristnosti, je treba vnesti na vsakem telefonu.

Da bi zagotovili varnost glasovnega prometa, telefon podpira TKIP in AES za šifriranje. Ko se ti mehanizmi uporabljajo za šifriranje, so med AP in telefonom šifrirani tako signalni paketi SIP kot glasovni paketi Real-Time Transport Protocol (RTP).

TKIP

WPA uporablja šifriranje TKIP, ki ima več izboljšav v primerjavi z WEP. TKIP zagotavlja šifriranje ključev na paket in daljše vektorje inicializacije (IV), ki krepijo šifriranje. Poleg tega preverjanje celovitosti sporočila (MIC) zagotavlja, da šifrirani paketi niso spremenjeni. TKIP odstrani predvidljivost WEP, ki vsiljivcem pomaga dešifrirati ključ WEP.

AES

Način šifriranja, ki se uporablja za preverjanje pristnosti WPA2/WPA3. Ta nacionalni standard za šifriranje uporablja simetrični algoritem, ki ima isti ključ za šifriranje in dešifriranje. AES uporablja šifriranje verige blokiranja šifer (CBC) velikosti 128 bitov, ki podpira najmanj 128 bitov, 192 bitov in 256 bitov. Telefon podpira velikost ključa 256 bitov.

Cisco namizni telefon 9861 in 9871 ter Cisco Video Phone 8875 ne podpirajo Cisco Key Integrity Protocol (CKIP) s CMIC.

Sheme za preverjanje pristnosti in šifriranje so vzpostavljene znotraj brezžičnega omrežja LAN. VLAN-i so konfigurirani v omrežju in na AP-jih ter določajo različne kombinacije preverjanja pristnosti in šifriranja. SSID se povezuje z VLAN in določeno shemo preverjanja pristnosti in šifriranja. Če želite, da brezžične odjemalske naprave uspešno preverijo pristnost, morate konfigurirati iste SSID-je z njihovimi shemami preverjanja pristnosti in šifriranja v AP-jih in telefonu.

Nekatere sheme preverjanja pristnosti zahtevajo posebne vrste šifriranja.

  • Če uporabljate ključ v vnaprejšnji skupni rabi WPA, ključ v vnaprejšnji skupni rabi WPA2 ali SAE, mora biti ključ v vnaprejšnji skupni rabi statično nastavljen na telefonu. Ti ključi se morajo ujemati s tipkami na AP.

  • Telefon podpira samodejno pogajanje EAP za FAST ali PEAP, ne pa tudi za TLS. Za način EAP-TLS ga morate določiti.

Sheme preverjanja pristnosti in šifriranja v spodnji tabeli prikazujejo možnosti konfiguracije omrežja za telefon, ki ustrezajo konfiguraciji AP.

Preglednica 3. Sheme preverjanja pristnosti in šifriranja
Vrsta FSRPreverjanje pristnostiUpravljanje ključevŠifriranjeZaščiteni okvir upravljanja (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNe
802.11r (FT)WPA3

SAE

FT-SAE

AESda
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESda
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESda
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESda

Nastavitev profila Wi-Fi

Profil Wi-Fi lahko konfigurirate na spletni strani telefona ali z vnovično sinhronizacijo profila oddaljene naprave, nato pa povežete profil z razpoložljivimi omrežji Wi-Fi. Ta profil Wi-Fi lahko uporabite za povezavo z omrežjem Wi-Fi. Trenutno je mogoče konfigurirati samo en profil Wi-Fi.

Profil vsebuje parametre, ki so potrebni, da se telefoni povežejo s telefonskim strežnikom prek omrežja Wi-Fi. Ko ustvarite in uporabljate profil Wi-Fi, vam ali vašim uporabnikom ni treba konfigurirati brezžičnega omrežja za posamezne telefone.

Profil Wi-Fi omogoča, da uporabniku preprečite ali omejite spreminjane konfiguracije Wi-Fi na telefonu.

Priporočamo, da pri uporabi profila Wi-Fi uporabljate varen profil s protokoli, ki omogočajo šifriranje, da zaščitite ključe in gesla.

Ko telefone nastavite tako, da v varnostnem načinu uporabljajo način preverjanja pristnosti EAP-FAST, uporabniki potrebujejo posamezne poverilnice za povezavo z dostopno točko.

1

Dostop do spletne strani telefona.

2

Izberite Voice > System.

3

V razdelku Wi-Fi Profil (n) nastavite parametre, kot je opisano v naslednji tabeli Parametri za profil Wi-Fi.

Konfiguracija profila Wi-Fi je na voljo tudi za prijavo uporabnika.
4

Kliknite Submit All Changes.

Parametri za profil Wi-Fi

Spodnja tabela definira funkcijo in uporabo vsakega parametra v razdelku Profil Wi-Fi(n) na zavihku Sistem na spletni strani telefona. Določa tudi sintakso niza, ki je dodan v konfiguracijsko datoteko telefona (cfg.XML) za konfiguriranje parametra.

ParameterOpis
Ime omrežjaOmogoča, da vnesete ime za SSID, ki bo prikazano v telefonu. Več profilov lahko uporablja enako ime omrežja z različnim varnostnim načinom.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Ime_omrežja_1_ua="rw">cisco</Ime_omrežja_1_>

  • Na spletni strani telefona vnesite ime za SSID.

Privzeto: Prazno

Varnostni načinOmogoča, da izberete način preverjanja pristnosti, ki je uporabljen za zaščito dostopa do omrežja Wi-Fi. Glede na izbrano metodo se prikaže polje za geslo, v katerem lahko vnesete poverilnice, ki so potrebne za pridružitev temu omrežju Wi-Fi.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- možnosti, ki so na voljo: Samodejno|EAP-FAST|||PSK||Jih ni|EAP-PEAP|EAP-TLS -->

  • Na spletni strani telefona izberite enega od načinov:
    • Samodejno
    • EAP-FAST
    • PSK
    • Brez
    • EAP-PEAP
    • EAP-TLS

Privzeto: samodejno

ID uporabnika za Wi-FiOmogoča, da vnesete ID uporabnika za profil omrežja.

To polje je na voljo, ko varnostni način nastavite na Samodejno, EAP-FAST ali EAP-PEAP. To polje je obvezno; njegova največja dovoljena dolžina je 32 alfanumeričnih znakov.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Na spletni strani telefona vnesite ID uporabnika za omrežni profil.

Privzeto: Prazno

Geslo za Wi-FiOmogoča, da vnesete geslo za podano uporabniško ime za Wi-Fi.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Na spletni strani telefona vnesite geslo za ID uporabnika, ki ste ga dodali.

Privzeto: Prazno

Frekvenčni pasOmogoča, da izberete frekvenčni pas brezžičnega signala, ki ga uporablja omrežje WLAN.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Na spletni strani telefona izberite eno od možnosti:
    • Samodejno
    • 2,4 GHz
    • 5 GHz

Privzeto: samodejno

Izbira certifikataOmogoča izbiro vrste certifikata za začetno registracijo certifikata in obnovitev certifikata v brezžičnem omrežju. Ta postopek je na voljo samo za preverjanje pristnosti 802.1X.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Certificate_Select_1_ UA="rw">Proizvodnja</Certificate_Select_1_>

  • Na spletni strani telefona izberite eno od možnosti:
    • Proizvodno vgrajena
    • Namestitev po meri

Privzeto: Proizvodnja nameščena

Preverjanje varnostnega stanja naprave v telefonu

Telefon samodejno preveri varnostno stanje naprave. Če zazna morebitne varnostne grožnje v telefonu, lahko v meniju Težave in diagnostika prikažete podrobnosti težav. Glede na sporočene težave lahko skrbnik izvaja postopke za zaščito in utrjevanje telefona.

Varnostno stanje naprave je na voljo, preden je telefon registriran v sistem za nadzor klicev (Webex Calling ali BroadWorks).

Če si želite ogledati podrobnosti o varnostnih težavah na zaslonu telefona, naredite to:

1

Pritisnite Nastavitve.Settings button

2

Izberite Težave in diagnostika > težave.

Trenutno so v varnostnem poročilu naprave te težave:

  • Zaupanje naprave
    • Preverjanje pristnosti naprave ni uspelo
    • Zaznano poseganje v SoC
  • Ranljiva konfiguracija
    • SSH omogočen
    • Telnet omogočen
  • Zaznan dogodek omrežne anomalije
    • Pretirani poskusi prijave v splet
    • Zaznan je visok UDP promet
    • Sumljive zahteve ICMP timpstamp
  • Izdaja potrdila
    • Potek veljavnosti certifikata naprave po meri

3

Za podporo pri odpravljanju varnostnih težav se obrnite na skrbnika.