V tem članku
dropdown icon
Konfiguriranje možnosti DHCP
    Podpora za možnosti DHCP
dropdown icon
Varnost brezžičnega omrežja LAN
    Nastavitev profila Wi-Fi
dropdown icon
802.1X preverjanje pristnosti za žična omrežja
    Omogočanje preverjanja pristnosti 802.1X za žična omrežja v telefonu
    Omogoči preverjanje pristnosti 802.1X za žična omrežja na spletni strani telefona
    Meni varnostnih nastavitev v telefonu
Spreminjanje uporabniškega in skrbniškega gesla
Nastavitev najmanjše različice TLS za odjemalca in strežnika
Omogočanje načina, ki ga je sprožil odjemalec, za pogajanja o varnosti medijskega letala
Cisco Varnost brezžičnega telefona 9821 (več platform)
list-menuV tem članku
list-menuPovratne informacije?

Ta članek pomoči velja za Cisco brezžični telefon 9821, registriran na Webex Calling.

Konfigurirajte možnosti DHCP

Nastavite lahko vrstni red, po katerem telefon uporablja možnosti DHCP. Za pomoč pri možnostih DHCP glejte DHCP podpora možnosti.

1

Odprite spletno stran za skrbništvo telefona.

http://<ip naslov>/admin/napredno

2

Izberite Glasovno > omogočanje uporabe.

3

V razdelku Konfiguracijski profil nastavite parameter DHCP Option To Use . Ta paramter je sestavljen iz niza DHCP možnosti, omejenih z vejicami, ki se uporabljajo za pridobivanje vdelane programske opreme in profilov.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <DHCP_Option_To_Use UA="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • Na spletni strani telefona vnesite niz možnosti DHCP, ki so omejene z vejicami.

Privzeto: 66,160,159,150,60,43,125

4

Kliknite Submit All Changes.

Podpora za možnosti DHCP

V spodnji tabeli so navedene možnosti DHCP, ki so podprte na brezžičnem telefonu Cisco 9821.

Omrežni standardOpis
DHCP možnost 1Maska podomrežja
DHCP možnost 2Časovni zamik
DHCP možnost 3Usmerjevalnik
DHCP možnost 6Strežnik za ime domene
DHCP možnost 15Ime domene
DHCP možnost 17Koreninska pot
DHCP možnost 41IP naslov čas najema
DHCP možnost 42NTP strežnik
DHCP možnost 43Informacije, specifične za prodajalca

Lahko se uporablja za konfiguracijo SCEP.

DHCP možnost 56NTP strežnik
DHCP možnost 60Identifikator razreda dobavitelja
DHCP možnost 66TFTP ime strežnika
DHCP možnost 125Informacije, specifične za prodajalca, ki identificirajo dobavitelja
DHCP možnost 150TFTP strežnik
DHCP možnost 159Strežnik za omogočanje uporabe IP
DHCP možnost 160URL za omogočanje uporabe

Varnost brezžičnega omrežja LAN

Ker lahko vse naprave WLAN, ki so v dosegu, prejmejo ves preostali promet WLAN, je zaščita glasovne komunikacije ključnega pomena v omrežjih WLAN. Da vsiljivci ne manipulirajo ali prestrezajo glasovnega prometa, arhitektura Cisco SAFE Security podpira telefon. Če želite več informacij o varnosti v omrežjih, glejte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Telefonska rešitev Cisco Wireless IP zagotavlja varnost brezžičnega omrežja, ki preprečuje nepooblaščeno prijavo in ogroženo komunikacijo z naslednjimi načini preverjanja pristnosti, ki jih telefon podpira.

  • Odpri preverjanje pristnosti: Vsaka brezžična naprava lahko zahteva preverjanje pristnosti v odprtem sistemu. AP, ki prejme zahtevo, lahko odobri avtentikacijo kateremu koli vlagatelju zahteve ali samo vlagateljem, ki so na seznamu uporabnikov. Komunikacija med brezžično napravo in dostopno točko (AP) morda ni šifrirana.

  • Prilagodljivo preverjanje pristnosti razširljivega protokola preverjanja pristnosti prek varnega tuneliranja (EAP-FAST) Preverjanje pristnosti: Ta varnostna arhitektura odjemalec-strežnik šifrira EAP transakcije v tunelu Transport Level Security (TLS) med AP in strežnikom RADIUS, kot je Identity Services Engine (ISE).

    Tunel TLS uporablja poverilnice za zaščiteni dostop (PAC) za preverjanje pristnosti med odjemalcem (telefonom) in strežnikom RADIUS. Strežnik pošlje naročniku ID (AID) odjemalcu (telefonu), ki v TURN izbere ustrezen PAC. Odjemalec (telefon) vrne PAC-Opaque strežniku RADIUS. Strežnik dešifrira PAC s primarnim ključem. Obe končni točki zdaj vsebujeta ključ PAC in ustvarjen je tunel TLS. EAP-FAST podpira samodejno omogočanje PAC, vendar ga morate omogočiti na strežniku RADIUS.

    V ISE PAC privzeto poteče v enem tednu. Če ima telefon potekel PAC, preverjanje pristnosti s strežnikom RADIUS traja dlje, medtem ko telefon dobi nov PAC. Če se želite izogniti zamudam pri zagotavljanju PAC, nastavite obdobje poteka PAC na 90 dni ali več v strežniku ISE ali RADIUS.

  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Preverjanje pristnosti: EAP-TLS zahteva potrdilo odjemalca za preverjanje pristnosti in dostop do omrežja. Za brezžični EAP-TLS je lahko certifikat odjemalca MIC ali uporabniško nameščen certifikat.

  • Protected Extensible Authentication Protocol (PEAP): Cisco lastniška shema vzajemnega preverjanja pristnosti na podlagi gesla med odjemalcem (telefonom) in strežnikom RADIUS. Telefon lahko uporablja PEAP za preverjanje pristnosti z brezžičnim omrežjem. Podprta sta načina preverjanja pristnosti PEAP-MSCHAPV2 in PEAP-GTC.

    Če želite podpreti preverjanje pristnosti PEAP-GTC za brezžični telefon Cisco 9821, konfigurirajte potreben pravilnik v naboru pravil Cisco ISE.

  • Ključ v vnaprejšnji skupni rabi (PSK): telefon podpira formata ASCII in šestnajstiške oblike zapisa (HEX). Te oblike zapisa morate uporabiti, ko nastavljate ključ v vnaprejšnji skupni rabi WPA2/SAE.

    ASCII: Niz znakov ASCII z dolžino od 8 do 63 znakov (0–9, male črke a–z, velike črke A–Z in posebni znaki). Na primer,GREG123567@9ZX &W.

    HEX: šestnajstiški niz s 64 šestnajstiškimi števkami (0–9, a–f ali A–F).

Naslednje sheme preverjanja pristnosti uporabljajo strežnik RADIUS za upravljanje ključev za preverjanje pristnosti:

  • WPA2/WPA3: uporablja informacije o strežniku RADIUS za ustvarjanje enoličnih ključev za preverjanje pristnosti. Ker so ti ključi ustvarjeni na centraliziranem strežniku RADIUS, WPA2/WPA3 zagotavlja večjo varnost kot ključi v vnaprejšnji skupni rabi WPA, ki so shranjeni v AP in telefonu.

  • Hitro varno gostovanje: uporablja informacije strežnika RADIUS in strežnika brezžične domene (WDS) za upravljanje in preverjanje pristnosti ključev. WDS ustvari predpomnilnik varnostnih poverilnic za odjemalske naprave, ki podpirajo FT, za hitro in varno ponovno preverjanje pristnosti.

Z WPA2/WPA3 šifrirni ključi niso vneseni v telefon, temveč se samodejno izpeljejo med AP in telefonom. Toda uporabniško ime in geslo EAP, ki se uporabljata za preverjanje pristnosti, je treba vnesti na vsakem telefonu.

Telefon za zaščito glasovnega prometa prek brezžične povezave podpira šifriranje na podlagi AES za preverjanje pristnosti WPA2/WPA3. AES je simetrična šifra blokov, ki jo standardizira NIST. AES uporablja fiksno 128-bitno velikost bloka in podpira velikosti ključev 128 bitov, 192 bitov in 256 bitov. V omrežjih Wi-Fi AES uporabljajo zbirke šifer, kot sta CCMP ali GCMP, preverjanje pristnosti pa ločeno zagotavljajo PSK, SAE ali 802.1X/EAP, odvisno od konfiguriranega varnostnega načina WLAN. Podprta zbirka šifer in velikost ključa sta odvisni od modela telefona in konfiguracije WLAN.

Sheme za preverjanje pristnosti in šifriranje so vzpostavljene znotraj brezžičnega omrežja LAN. VLAN-i so konfigurirani v omrežju in na AP-jih ter določajo različne kombinacije preverjanja pristnosti in šifriranja. SSID se poveže z VLAN in posebno shemo preverjanja pristnosti in šifriranja. Če želite, da brezžične odjemalske naprave uspešno preverijo pristnost, morate konfigurirati iste SSID-je z njihovimi shemami preverjanja pristnosti in šifriranja v AP-jih in telefonu.

Nekatere sheme preverjanja pristnosti zahtevajo posebne vrste šifriranja.

Ko uporabljate ključ v vnaprejšnji skupni rabi WPA2 ali SAE, mora biti ključ v vnaprejšnji skupni rabi statično nastavljen na telefonu. Ti ključi se morajo ujemati s tipkami na AP.

Sheme preverjanja pristnosti in šifriranja v spodnji tabeli prikazujejo možnosti konfiguracije omrežja za Cisco Wireless Phone 9821, ki ustrezajo konfiguraciji AP.

Preglednica 1. Sheme preverjanja pristnosti in šifriranja
FSR VrstaPreverjanje pristnostiUpravljanje ključevŠifriranjeZaščiteni okvir upravljanja (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNe
802.11r (FT)WPA3

SAE

FT-SAE

AESda
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESda
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESda
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESda
Brez FTSuita-BWPA-EAP-SUITE-BGCMPda
Brez FTSuita-B-192WPA-EAP-SUITE-B-192GCMPda

Nastavitev profila Wi-Fi

Profile Wi-Fi lahko konfigurirate na spletni strani skrbništva telefona ali prek ponovne sinhronizacije profila oddaljene naprave. Ko jih konfigurirate, jih lahko povežete z razpoložljivimi brezžičnimi omrežji in tako vzpostavite povezljivost. Cisco Wireless Phone 9821 podpira največ štiri konfigurirane profile Wi-Fi.

Profil vsebuje parametre, ki so potrebni, da se telefoni povežejo s telefonskim strežnikom prek omrežja Wi-Fi. Ko ustvarite in uporabljate profil Wi-Fi, vam ali vašim uporabnikom ni treba konfigurirati brezžičnega omrežja za posamezne telefone.

Profil Wi-Fi omogoča, da uporabniku preprečite ali omejite spreminjane konfiguracije Wi-Fi na telefonu.

Priporočamo, da pri uporabi profila Wi-Fi uporabljate varen profil s protokoli z omogočenim šifriranjem, da zaščitite ključe in gesla.

Ko telefone nastavite tako, da v varnostnem načinu uporabljajo način preverjanja pristnosti EAP-FAST, uporabniki potrebujejo posamezne poverilnice za povezavo z dostopno točko.

1

Dostop do spletne strani telefona.

2

Izberite Voice > System.

3

V razdelku Wi-Fi Profil (n) nastavite parametre, kot je opisano v naslednji tabeli Parametri za profil Wi-Fi.

Konfiguracija profila Wi-Fi je na voljo tudi za prijavo uporabnika.
4

Kliknite Submit All Changes.

Parametri za profil Wi-Fi

V naslednji tabeli sta opredeljeni funkcija in uporaba posameznega parametra v razdelku Wi-Fi Profile(n) pod Sistem Tab na spletni strani telefona. Določa tudi sintakso niza, ki je dodan v konfiguracijsko datoteko telefona (cfg.XML) za konfiguriranje parametra.

ParameterOpis
Ime omrežjaOmogoča, da vnesete ime za SSID, ki bo prikazano v telefonu. Več profilov lahko uporablja enako ime omrežja z različnim varnostnim načinom.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Network_Name_1_ UA="rw">Cisco</Network_Name_1_>

  • Na spletni strani telefona vnesite ime za SSID.

Privzeto: Prazno

Varnostni načinOmogoča, da izberete način preverjanja pristnosti, ki je uporabljen za zaščito dostopa do omrežja Wi-Fi. Glede na izbrani način se prikaže polje za geslo, v katerem lahko vnesete poverilnice, ki so potrebne za pridružitev temu omrežju Wi-Fi.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Security_Mode_1_ UA="RW">EAP-TLS</Security_Mode_1_> <!-- možnosti, ki so na voljo: |EAP-FAST|||PSK||Jih ni|EAP-PEAP|EAP-TLS -->

  • Na spletni strani telefona izberite enega od načinov:
    • EAP-FAST
    • PSK
    • Brez
    • EAP-PEAP
    • EAP-TLS

Privzeto: brez

ID uporabnika za Wi-FiOmogoča, da vnesete ID uporabnika za profil omrežja.

To polje je na voljo, ko varnostni način nastavite na Samodejno, EAP-FAST ali EAP-PEAP. To polje je obvezno; njegova največja dovoljena dolžina je 32 alfanumeričnih znakov.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Na spletni strani telefona vnesite uporabnika ID za omrežni profil.

Privzeto: Prazno

Geslo za Wi-FiOmogoča, da vnesete geslo za podano uporabniško ime za Wi-Fi.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Na spletni strani telefona vnesite geslo za uporabnika ID, ki ste ga dodali.

Privzeto: Prazno

Frekvenčni pasOmogoča, da izberete frekvenčni pas brezžičnega signala, ki ga uporablja omrežje WLAN.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Na spletni strani telefona izberite eno od možnosti:
    • Samodejno
    • 2,4 GHz
    • 5 GHz ali 6 GHz

Privzeto: samodejno

Izbira certifikataOmogoča izbiro vrste certifikata za začetno registracijo certifikata in obnovitev certifikata v brezžičnem omrežju. Ta postopek je na voljo samo za preverjanje pristnosti 802.1X.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Certificate_Select_1_ UA="rw">Proizvodnja</Certificate_Select_1_>

  • Na spletni strani telefona izberite eno od možnosti:
    • Proizvodno vgrajena
    • Namestitev po meri

Privzeto: Proizvodnja nameščena

Nadzorni načinNadzira, ali lahko uporabnik konfigurira profile Wi-Fi.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Control_Mode_1_ ua="rw">Dovoli</Control_Mode_1_>

  • Na spletni strani telefona izberite eno od možnosti:
    • Omogočajo
    • Ni dovoljen
    • Omejena

Privzeto: dovoli

OmogočiNadzira, ali je profil Wi-Fi omogočen.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Enable_1_ ua="rw">Da</Enable_1_>

  • Na spletni strani telefona izberite eno od možnosti:
    • da
    • Ne

Privzeto: Da

Ime profilaOmogoča vnos imena profila, ki bo prikazano v telefonu.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Profile_Name_1_ ua="rw">Profil 1</Profile_Name_1_>

  • Na spletni strani telefona vnesite ime profila.

Privzeto: profil 1

Šifra PSKOmogoča vnos gesla PSK, ko je varnostni način nastavljen na PSK.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <PSK_Passphrase_1_ UA="rw">*************</PSK_Passphrase_1_>

  • Na spletni strani telefona vnesite geslo PSK.

Privzeto: dovoli

802.1X preverjanje pristnosti za žična omrežja

Cisco Wireless Phone 9821 podpira preverjanje pristnosti 802.1X za žična omrežja. To se običajno uporablja med samodejnim omogočanjem uporabe, ko je telefon povezan z namiznim polnilnikom prek podprtega vmesnika USB-to-Ethernet.

Podpora za preverjanje pristnosti 802.1X v žičnih omrežjih zahteva več komponent:

  • Cisco IP Phone: Telefon sproži zahtevo za dostop do omrežja. Cisco IP Phones vsebujejo prosilno sredstvo 802.1X. Ta pripomoček omogoča skrbnikom omrežja, da nadzorujejo povezljivost telefonov IP s stikalnimi vrati LAN. Trenutna izdaja telefona 802.1X supplicant uporablja možnosti EAP-FAST in EAP-TLS za preverjanje pristnosti omrežja.

  • Strežnik za preverjanje pristnosti: strežnik za preverjanje pristnosti in stikalo morata biti konfigurirana s skupno skrivnostjo RADIUS.

  • Stikalo: Stikalo mora podpirati 802.1X, tako da lahko deluje kot avtentikator in prenaša sporočila EAP med telefonom in strežnikom za preverjanje pristnosti. Ko je izmenjava končana, stikalo dodeli ali zavrne telefonski dostop do omrežja.

Stikala Cisco IP Phones in Cisco Catalyst tradicionalno uporabljajo Cisco Discovery Protocol (CDP) za medsebojno identifikacijo in določanje parametrov, kot so razporeditev VLAN in zahteve glede moči v vrsti.

Če želite konfigurirati standard 802.1X, morate izvesti naslednja dejanja.

  • Konfigurirajte obhod CDP/LLDP glas VLAN.

  • Konfigurirajte strežnik za preverjanje pristnosti in stikalo, preden omogočite preverjanje pristnosti 802.1X za žična omrežja v telefonu.

  • Konfiguriraj glas VLAN: Ker standard 802.1X ne upošteva VLAN-ov, morate to nastavitev konfigurirati glede na podporo stikala.

    • Omogočeno: če uporabljate stikalo, ki podpira večdomensko preverjanje pristnosti, ga lahko konfigurirate tako, da uporablja glas VLAN.
    • Onemogočeno: Če stikalo ne podpira preverjanja pristnosti z več domenami, onemogočite Voice VLAN in razmislite o dodelitvi vrat izvornemu VLAN.
  • Cisco Wireless Phone 9821 ima v PID drugačno predpono kot za druge telefone Cisco. Če želite telefonu omogočiti preverjanje pristnosti 802.1X, nastavite Radij· Parameter uporabniškega imena , ki vključuje vaš brezžični telefon Cisco 9821.

    Na primer, PID brezžičnega telefona Cisco 9821 je WP-9821. Nastavite lahko Radius· Uporabniško ime za začetek z WP ali Vsebuje WP v obeh naslednjih razdelkih:

    • Pravilnik > Pogoji > knjižnični pogoji

    • Nabori pravilnikov > pravilnikov > Pravilnik o avtorizaciji> Pravilo 1

Omogočanje preverjanja pristnosti 802.1X za žična omrežja v telefonu

Če želite omogočiti preverjanje pristnosti 802.1X za žična omrežja v telefonu, sledite tem korakom. Upoštevajte, da je preverjanje pristnosti 802.1X za Wi-Fi privzeto omogočeno in ne zahteva ročne konfiguracije.

1

Dostop do nastavitev 9821 Settings app icon App.

2

Če ste pozvani, vnesite geslo za dostop do menija Nastavitve . Geslo lahko dobite pri skrbniku.

3

Izberite Skrbniške nastavitve > Varnostna nastavitev > 802.1X preverjanje pristnosti.

4

Označite preverjanje pristnosti naprave in pritisnite Vklopljeno.

Omogoči preverjanje pristnosti 802.1X za žična omrežja na spletni strani telefona

Ko je za žična omrežja omogočeno preverjanje pristnosti 802.1X, telefon prek preverjanja pristnosti 802.1X zahteva dostop do omrežja prek vrat za ethernetno lokalno omrežje. Ko je preverjanje pristnosti 802.1X za žična omrežja onemogočeno, telefon za pridobitev VLAN in omrežnega dostopa uporabi Cisco Discovery Protocol (CDP). Upoštevajte, da je preverjanje pristnosti 802.1X za Wi-Fi privzeto omogočeno in ne zahteva ročne konfiguracije.

Izberete lahko potrdilo (MIC/SUDI ali CDC), ki se uporablja za preverjanje pristnosti 802.1X. Če želite več informacij o CDC-ju, glejte Potrdilo naprave po meri v brezžičnem telefonu Cisco 9821.

Stanje transakcije in varnostne nastavitve si lahko ogledate v meniju telefonskega zaslona. Če želite več informacij, glejte meni Varnostne nastavitve v telefonu.

1

Omogočite preverjanje pristnosti 802.1X.

Izberite Voice > System. V razdelku Preverjanje pristnosti 802.1X nastavite parameter Omogoči preverjanje pristnosti 802.1X na Da.

Ta parameter lahko konfigurirate tudi v konfiguracijski datoteki (cfg.XML):

<Enable_802.1X_Authentication ua="rw">Da</Enable_802.1X_Authentication>

Veljavne vrednosti: Da |Ne

Privzeto: Ne

2

V razdelku Preverjanje pristnosti 802.1X na spustnem seznamu Izbira potrdila izberite eno od teh nameščenih potrdil, ki se uporabljajo za preverjanje pristnosti 802.1X.

Možnosti vrednosti:

  • Namestitev proizvodnje: MIC/SUDI.
  • Nameščeno po meri: Potrdilo naprave po meri (CDC).

Ta parameter lahko konfigurirate tudi v konfiguracijski datoteki (cfg.XML):

<Certificate_Select ua="rw">Nameščeno po meri</Certificate_Select>

Veljavne vrednosti: Proizvodno nameščeno |Namestitev po meri

Privzeto: Proizvodnja nameščena

3

Konfigurirajte parameter Uporabnik ID , ki bo uporabljen kot identiteta za preverjanje pristnosti 802.1X v žičnem omrežju.

Ta konfiguracija velja le, če za žično preverjanje pristnosti 802.1X uporabljate certifikat naprave po meri (CDC), pri čemer je možnost Izbira potrdila nastavljena naPo meri.

Ta parameter lahko konfigurirate tudi v konfiguracijski datoteki (cfg.XML):

<Wired_User_ID UA="na"></Wired_User_ID>

Veljavne vrednosti: največ 127 znakov

Privzeto: Prazno

Ta parameter podpira tudi spremenljivke razširitve makrov, za podrobnosti glejte Spremenljivke razširitve makrov.

Če želite omogočiti uporabnika ID s kombinacijo z možnostmi DHCP, glejte Omogočanje uporabe uporabnika ID prek možnosti DHCP 15.

4

Kliknite Submit All Changes.

Meni varnostnih nastavitev v telefonu

Če si želite informacije o varnostnih nastavitvah ogledati v meniju telefona, odprite Nastavitve 9821 Settings app icon in izberite Skrbniške nastavitve > Varnostna nastavitev > 802.1X preverjanje pristnosti. Razpoložljivost informacij je odvisna od omrežnih nastavitev v vaši organizaciji.

Parametri

Možnosti

Privzeto

Opis

Preverjanje pristnosti naprave

Na

Izklopljeno

Izklopljeno

Omogoči ali onemogoči preverjanje pristnosti 802.1X v telefonu.

Nastavitev parametrov lahko ohranite po registraciji telefona Out-Of-Box (OOB).

Stanje transakcije

Onemogočeno

Prikaže stanje preverjanja pristnosti 802.1X. Država je lahko (ni omejena na):

  • Preverjanje pristnosti – označuje, da postopek preverjanja pristnosti poteka.
  • Preverjena pristnost – označuje, da je pristnost telefona preverjena.
  • Onemogočeno – označuje, da je preverjanje pristnosti 802.1x v telefonu onemogočeno.
  • Vzpostavljanje povezave – označuje, da telefon vsakih 30 sekund stikalu pošilja začetna sporočila EAP.
  • Pridobljeno – označuje, da je stikalo zavrnilo zahtevo telefona EAP in telefon s stikala ne prejme nobenega izziva EAP-TLS ali EAP-FAST. Telefon ponovno poskuša poslati zahteve EAP.
  • Odklopljen – označuje, da je ethernetni kabel izključen.
  • Zadržano – označuje, da je stikalo obdelalo zahtevo telefona EAP, vendar je zavrnilo preverjanje pristnosti EAP-FAST ali EAP-TLS. Telefon ponovno poskuša poslati zahteve EAP.

Protokol

Brez

Prikaže metodo EAP, ki se uporablja za preverjanje pristnosti 802.1X. Protokol je lahko EAP-FAST ali EAP-TLS.

Vrsta uporabniškega certifikata

Proizvodno vgrajena

Namestitev po meri

Proizvodno vgrajena

Izbere certifikat za preverjanje pristnosti 802.1X med začetno včlanitvijo in podaljšanjem certifikata.

  • Proizvodno nameščen – uporabljen je varni enolični identifikator naprave (SUDI).
  • Po meri – uporabljeno je potrdilo CDC (Custom Device Certificate). To vrsto potrdila lahko namestite z ročnim nalaganjem na spletno stran telefona ali z namestitvijo s strežnika SCEP (Simple Certificate Enrollment Protocol).

Ta parameter se v telefonu prikaže samo, če je omogočeno preverjanje pristnosti naprave.

Spreminjanje uporabniškega in skrbniškega gesla

Po začetni registraciji v sistemu za nadzor klicev ali po ponastavitvi na tovarniške nastavitve morate ob prvem dostopu do spletne strani za upravljanje telefona konfigurirati uporabniško in skrbniško geslo. Te poverilnice lahko kadar koli posodobite, da ohranite varnost naprave.

Veljavna pravila za geslo vključujejo naslednje:

  • Geslo mora vsebovati od 8 do 127 znakov.
  • Kombinacija (tri vrste od štirih vrst) velike črke, majhne spodnje črke, številke in posebnega znaka.
  • Prostor ni dovoljen.
1

Odprite spletno stran za skrbništvo telefona.

2

Izberite Voice > System.

3

(Neobvezno) V razdelku Konfiguracija sistema nastavite parameter Prikaži opozorila gesla na Da in nato kliknite Pošlji vse spremembe.

Parametre lahko omogočite tudi v konfiguracijski datoteki telefona (cfg.XML).

<Display_Password_Warnings ua="na">Da</Display_Password_Warnings>

Privzeto: Da

Možnosti: Da |Ne

Če je parameter nastavljen na Ne, se opozorilo o geslu ne prikaže na zaslonu telefona.

4

Poiščite parameter Uporabniško geslo ali Skrbniško geslo in poleg parametra kliknite Spremeni geslo .

5

V polje Staro geslo vnesite trenutno uporabniško geslo .

6

V polje Novo geslo vnesite novo geslo .

Če novo geslo ne ustreza veljavnim pravilom za geslo, bo nastavitev zavrnjena.

7

Kliknite Submit (Pošlji).

Na spletni strani se prikaže sporočilo Geslo je uspešno spremenjeno. Spletna stran se bo osvežila v nekaj sekundah.

Ko nastavite uporabniško geslo, ta parameter v datoteki konfiguracije telefona XML (cfg.XML) prikaže naslednje:

<!-- <Admin_Password UA="Na">*************</Admin_Password> <User_Password UA="rw">*************</User_Password> -->

Nastavitev najmanjše različice TLS za odjemalca in strežnika

Privzeto je najmanjša različica TLS za odjemalca in strežnika 1.2. To pomeni, da odjemalec in strežnik sprejmeta vzpostavitev povezav z TLS 1.2 ali novejšim. Podprta maksimalna različica TLS za odjemalca in strežnika je 1.3. Ko bo konfigurirana, bo minimalna različica TLS uporabljena za pogajanja med odjemalcem TLS in strežnikom TLS.

Nastavite lahko najmanjšo različico TLS za odjemalca in strežnika, na primer 1.1, 1.2 ali 1.3.

Preden začnete

Prepričajte se, da strežnik TLS podpira konfigurirano minimalno različico TLS. Lahko se posvetujete s skrbnikom sistema za nadzor klicev.

1

Odprite spletno stran za skrbništvo telefona.

2

Izberite Voice > System.

3

V razdelku Varnostne nastavitve konfigurirajte parameter TLS Client Min Version.

  • TLS 1.1: Odjemalec TLS podpira različice TLS od 1.1 do 1.3.

    Če je različica TLS v strežniku nižja od 1,1, povezave ni mogoče vzpostaviti.

  • TLS 1.2 (privzeto): Odjemalec TLS podpira TLS 1.2 in 1.3.

    Če je različica TLS v strežniku nižja od 1,2, na primer 1,1, povezave ni mogoče vzpostaviti.

  • TLS 1.3: Odjemalec TLS podpira samo TLS 1.3.

    Če je različica TLS v strežniku nižja od 1,3, na primer 1.2 ali 1.1, povezave ni mogoče vzpostaviti.

    Če želite parameter "TLS Client Min Version" nastaviti na "TLS 1.3", se prepričajte, da strežniška stran podpira TLS 1.3. Če strežniška stran ne podpira TLS 1.3, lahko to povzroči kritične težave. Omogočanja uporabe na primer ni mogoče izvesti v telefonih.

Ta parameter lahko konfigurirate tudi v konfiguracijski datoteki (cfg.XML):

<TLS_Client_Min_Version UA="na">TLS 1.2</TLS_Client_Min_Version>

Dovoljene vrednosti: TLS 1.1, TLS1.2 in TLS 1.3.

Privzeto: TLS 1.2

4

V razdelku Varnostne nastavitve konfigurirajte parameter TLS Server Min Version.

Webex Calling ne podpira TLS 1.1.

  • TLS 1.1: Strežnik TLS podpira različice TLS od 1.1 do 1.3.

    Če je različica TLS v odjemalcu nižja od 1,1, povezave ni mogoče vzpostaviti.

  • TLS 1.2 (privzeto): Strežnik TLS podpira TLS 1.2 in 1.3.

    Če je različica TLS v odjemalcu nižja od 1,2, na primer 1,1, povezave ni mogoče vzpostaviti.

  • TLS 1.3: Strežnik TLS podpira samo TLS 1.3.

    Če je različica TLS v odjemalcu nižja od 1,3, na primer 1,2 ali 1,1, povezave ni mogoče vzpostaviti.

Ta parameter lahko konfigurirate tudi v konfiguracijski datoteki (cfg.XML):

<TLS_Server_Min_Version UA="na">TLS 1.2</TLS_Server_Min_Version>

Dovoljene vrednosti: TLS 1.1, TLS1.2 in TLS 1.3.

Privzeto: TLS 1.2

5

Kliknite Submit All Changes.

Omogočanje načina, ki ga je sprožil odjemalec, za pogajanja o varnosti medijskega letala

Če želite zaščititi predstavnostne seje, lahko telefon konfigurirate tako, da s strežnikom začne pogajanja o varnosti medijskega letala. Varnostni mehanizem sledi standardom, navedenim v RFC 3329 in njegovem razširitvenem osnutku imen varnostnih mehanizmov za medije (glej https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Prenos pogajanj med telefonom in strežnikom lahko uporablja protokol SIP nad UDP, TCP, in TLS. Omejite lahko, da se pogajanja o varnosti medijskega letala uporabijo le, če je signalizacijski transportni protokol TLS.

Preglednica 2. Parametri za pogajanja o varnosti medijskega letala
ParameterOpis

Zahteva MediaSec

Določa, ali telefon s strežnikom začne pogajanja o varnosti medijskega letala.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <MediaSec_Request_1_ ua="na">Da</MediaSec_Request_1_>
  • V spletnem vmesniku telefona po potrebi nastavite to polje na Da ali Ne .

Dovoljeni vrednosti: Da|Ne

  • Da – način, ki ga je sprožil odjemalec. Telefon sproži pogajanja o varnosti medijskega letala.
  • Ne—strežniški način. Strežnik sproži pogajanja o varnosti medijskega letala. Telefon ne sproži pogajanj, vendar lahko obravnava zahteve za pogajanja iz strežnika za vzpostavljanje varnih klicev.

Privzeto: Ne

MediaSec samo nad TLS

Določa signalizacijski transportni protokol, prek katerega se uporabljajo pogajanja o varnosti medijskega letala.

Preden nastavite to polje na Da, se prepričajte, da je protokol prenosa signalizacije TLS.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <MediaSec_Over_TLS_Only_1_ ua="na">Ne</MediaSec_Over_TLS_Only_1_>

  • V spletnem vmesniku telefona po potrebi nastavite to polje na Da ali Ne .

Dovoljeni vrednosti: Da|Ne

  • Da – telefon sproži ali obravnava varnostna pogajanja medijskega letala le, če je signalizacijski transportni protokol TLS.
  • Ne—Telefon sproži in vodi pogajanja o varnosti medijskega letala ne glede na protokol prenosa signalizacije.

Privzeto: Ne

1

Odprite spletno stran za skrbništvo telefona.

2

Izberite Glas> ext (n).

3

V razdelku SIP Settings nastavite polji MediaSec Request in MediaSec Over TLS Only , kot je določeno v zgornji tabeli.

4

Kliknite Submit All Changes.

Ali je bil ta članek koristen?
Ali je bil ta članek koristen?