Konfigurišite DHCP opcije

Možete podesiti redosled kojim vaš telefon koristi opcije DHCP. Za pomoć sa DHCP opcijama, pogledajte DHCP podrška za opcije.

1

Pristupite administracionoj veb stranici telefona.

2

Izaberite Glas > Obezbeđivanje.

3

U odeljku Configuration Profile , podesite DHCP Option To Use i DHCPv6 Option To Use parametre kao što je opisano u nastavku:

  • DHCP Opcija za korišćenje: DHCP opcije, razdvojene zarezima, koje se koriste za preuzimanje firmvera i profila.

    Takođe možete konfigurisati ovaj parametar u konfiguracionom fajlu (cfg.XML):

    <DHCP_Option_To_Use ua="na">66,160,159,150</DHCP_Option_To_Use>

    Podrazumevano: 66,160,159,150 ili 66,160,159,150,60,43,125, u zavisnosti od modela telefona

  • DHCPv6 Opcija za korišćenje: DHCPv6 opcije, razdvojena zarezima, koristi se za preuzimanje firmvare i profila.

    Takođe možete konfigurisati ovaj parametar u konfiguracionom fajlu (cfg.XML):

    <DHCPv6_Option_To_Use ua="na">17,160,159</DHCPv6_Option_To_Use>

    Podrazumevano: 17,160,159

4

Kliknite na Pošalji sve promene.

DHCP podrška za opцije

Sledeća tabela navodi DHCP opcije koje su podržane na PhoneOS telefonima.

Mrežni standardOpis
DHCP opcija 1Podmrežna maska
DHCP opcija 2Vremenski ofset
DHCP opcija 3Usmjerivač
DHCP opcija 6Ime domena servera
DHCP opcija 15Ime i prezime
DHCP opcija 17Informacije specifične za prodavca
DHCP opcija 41Vreme zakupa IP adrese
DHCP opcija 42NTP server
DHCP opcija 43Informacije specifične za prodavca

Može se koristiti za obezbeđivanje SCEP konfiguracije.

DHCP opcija 56NTP server

NTP konfiguracija servera sa IPv6

DHCP opcija 60Identifikator klase prodavca
DHCP opcija 66TFTP ime servera
DHCP opcija 125Informacije specifične za prodavca
DHCP opcija 150TFTP server
DHCP opcija 159Rezervisanje IP servera
DHCP opcija 160URL za obezbeđivanje

Podesite minimalnu TLS verziju za klijenta i server

Podrazumevano, minimalna TLS verzija za klijenta i server je 1.2. To znači da klijent i server prihvataju da uspostave veze sa TLS 1.2 ili iznad. Podržana maksimalna verzija TLS za klijenta i server je 1.3. Kada je konfigurisana, minimalna TLS verzija će se koristiti za pregovaranje između TLS klijenta i TLS servera.

Možete podesiti minimalnu verziju TLS za klijenta i server, respektivno, kao što je 1.1, 1.2 ili 1.3.

Pre nego što počnete

Uverite se da TLS server podržava minimalnu TLS verziju konfigurisanu. Možete se konsultovati sa administratorom sistema za kontrolu poziva.
1

Pristupite administracionoj veb stranici telefona.

2

Izaberite Glas > Sistem.

3

U odeljku Bezbednosna podešavanja, konfigurišite parametar TLS Klijent Minimalna verzija.

  • TLS 1.1: TLS klijent podržava verzije TLS od 1.1 do 1.3.

    Ako je TLS verzija na serveru niža od 1.1, onda veza ne može biti uspostavljena.

  • TLS 1.2 (podrazumevano): TLS klijent podržava TLS 1.2 i 1.3.

    Ako je verzija TLS na serveru niža od 1.2, na primer, 1.1, onda se veza ne može uspostaviti.

  • TLS 1.3: TLS klijent podržava samo TLS 1.3.

    Ako je verzija TLS na serveru niža od 1.3, na primer, 1.2 ili 1.1, onda veza ne može biti uspostavljena.

    Ako želite da podesite parametar "TLS Klijent Minimalna verzija" na "TLS 1.3", uverite se da server strana podržava TLS 1.3. Ako server strana ne podržava TLS 1.3, to može izazvati kritične probleme. Na primer, operacije obezbeđivanja ne mogu se izvršiti na telefonima.

Takođe možete konfigurisati ovaj parametar u konfiguracionoj datoteci (cfg.XML):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Dozvoljene vrednosti: TLS 1.1, TLS1.2 i TLS 1.3.

Podrazumevano: TLS 1.2

4

U odeljku Bezbednosna podešavanja, konfigurišite parametar TLS Minimalna verzija servera.

Webex Calling ne podržava TLS 1.1.

  • TLS 1.1: TLS server podržava verzije TLS od 1.1 do 1.3.

    Ako je verzija TLS u klijentu niža od 1.1, onda veza ne može biti uspostavljena.

  • TLS 1.2 (podrazumevano): TLS server podržava TLS 1.2 i 1.3.

    Ako je verzija TLS u klijentu niža od 1.2, na primer, 1.1, onda veza ne može biti uspostavljena.

  • TLS 1.3: TLS server podržava samo TLS 1.3.

    Ako je verzija TLS u klijentu niža od 1.3, na primer, 1.2 ili 1.1, onda veza ne može biti uspostavljena.

Takođe možete konfigurisati ovaj parametar u konfiguracionom fajlu (cfg.XML):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Dozvoljene vrednosti: TLS 1.1, TLS1.2 i TLS 1.3.

Podrazumevano: TLS 1.2

5

Kliknite na Pošalji sve promene.

Omogući FIPS režim

Možete napraviti telefon Federalni standardi za obradu informacija (FIPS) usaglašen.

FIPS je skup standarda koji opisuju obradu dokumenata, algoritme za šifrovanje i druge standarde informacionih tehnologija za upotrebu u nevojnoj vladi i od strane vladinih izvođača i dobavljača koji rade sa agencijama. CiscoSSL FOM (FIPS Object Module) je pažljivo definisana softverska komponenta i dizajnirana za kompatibilnost sa CiscoSSL bibliotekom, tako da se proizvodi koji koriste CiscoSSL biblioteku i API mogu konvertovati da koriste FIPS 140-2 potvrđenu kriptografiju uz minimalan napor.

1

Pristupite administracionoj veb stranici telefona.

2

Izaberite Glas > Sistem.

3

U odeljku Bezbednosna podešavanja izaberite Da ili Ne iz parametra FIPS Mode .

4

Kliknite na Pošalji sve promene.

Kada omogućite FIPS, sledeće funkcije rade besprekorno na telefonu:
  • Autentifikacija slike
  • Bezbedno skladištenje
  • Config fajl enkripcija
  • TLS:
    • HTTP SAJTOVI
    • PRT otpremanje
    • Nadogradnja firmvera
    • Resinhronizacija profila
    • Servis na brodu
    • Webex uključivanje
    • SIP preko TLS
    • 802.1k (Žičani)
  • SIP digest (RFC 8760)
  • SRTP
  • Webex evidencije poziva i Webex direktorijum
  • Jedno dugme za guranje (OBTP)

Podesite korisničke i administratorske lozinke

Nakon što je telefon prvi put registrovan u sistemu za kontrolu poziva ili izvršite fabrička podešavanja na telefonu, morate podesiti korisničke i administratorske lozinke kako biste poboljšali sigurnost telefona. Nakon što su lozinke postavljene, možete pristupiti veb interfejsu telefona.

Po defaultu, korisničke i administratorske lozinke su prazne. Zbog toga možete pronaći problem "Bez lozinke" na ekranu telefona Settings > Issues and diagnostics > Issues .

1

Pristupite na veb stranicu za administraciju telefona.

2

Izaberite Glas > Sistem.

3

(Opciono) U odeljku Konfiguracija sistema, podesite parametar Display Passvord Warnings na Da, a zatim kliknite na dugme Pošalji sve izmene.

Takođe možete da omogućite parametre u datoteci za konfiguraciju telefona (cfg.XML).

<Display_Password_Warnings ua="na">Da</Display_Password_Warnings>

Podrazumevano: Da

Opcije: Da|Ne

Ako je parametar postavljen na Ne, upozorenje o lozinki se ne pojavljuje na ekranu telefona.

4

Pronađite parametar Korisnička lozinka ili Admin lozinka, i kliknite Promeni lozinku pored parametra.

5

Unesite trenutnu korisničku lozinku u polje Stara lozinka .

Ako nemate lozinku, držite polje prazno. Podrazumevana vrednost je prazno.
6

Unesite novu lozinku u polje Nova lozinka .

Važeća pravila lozinke:

  • Lozinka mora da sadrži najmanje 8 do 127 znakova.
  • Kombinacija (3/4) velikog slova, malog donjeg slova, broja i posebnog karaktera.
  • Prostor nije dozvoljen.

Ako nova lozinka ne ispunjava uslove, podešavanje će biti odbijeno.

7

Kliknite na Pošalji.

Poruka Lozinka je uspešno promenjena. će se prikazati na veb stranici. Veb stranica će se osvežiti za nekoliko sekundi.

Nakon što podesite korisničku lozinku, ovaj parametar prikazuje sledeće u konfiguraciji telefona XML fajl (cfg.XML):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

802.1X autentifikacija

Cisco IP telefoni podržavaju 802.1X autentifikaciju.

Cisco IP telefoni i Cisco Catalyst svičevi tradicionalno koriste Cisco Discovery Protocol (CDP) za međusobnu identifikaciju i određivanje parametara kao što je VLAN alokacija i zahtevi za dovodno napajanje. CDP ne identifikuje lokalno priključene radne stanice. Cisco IP telefoni obezbeđuju EAPOL prolazni mehanizam. Ovaj mehanizam omogućava da radna stanica zakačena na Cisco IP telefon prosledi EAPOL poruke na 802.1X autentifikator na LAN sviču. Prolazni mehanizam osigurava da IP telefon ne deluje kao LAN svič za autentifikaciju podataka na krajnjoj tački pre pristupa mreži.

Cisco IP telefoni takođe obezbeđuju proksi za EAPOL mehanizam za odjavu. Ako se lokalno priključen računar isključi sa IP telefona, LAN svič ne vidi neispravnost fizičke veze jer se veza između LAN sviča i IP telefona održava. Da biste izbegli ugrožavanje integriteta mreže, IP telefon šalje EAPOL poruku za odjavu na svič u ime računara u donjem toku, što aktivira LAN svič da ukloni unos za autentifikaciju za računar u donjem toku.

Podrška za 802.1X autentifikaciju zahteva nekoliko komponenti:

  • Cisco IP telefon: Telefon pokreće zahtev za pristup na mrežu. Cisco IP telefoni sadrže 802.1X dodatak. Ovaj dodatak omogućava administratoru mreže da kontroliše konektivnost IP telefona na LAN portove sviča. Trenutno izdanje za dodatak za telefon 802.1X koristi EAP-FAST i EAP-TLS opcije za autentifikaciju mreže.

  • Server za autentifikaciju: Server za autentifikaciju i prekidač moraju biti konfigurisani sa zajedničkom tajnom koja potvrđuje autentičnost telefona.

  • Svič: Svič mora da podržava 802.1X, tako da može da deluje kao autentifikator i prosledi poruke između telefona i servera za autentifikaciju. Nakon završetka razmene, svič odobrava ili odbija pristup telefona na mrežu.

Morate da obavite sledeće postupke da biste podesili 802.1X.

  • Podesite druge komponente pre nego što omogućite 802.1X autentifikaciju na telefonu.

  • Podešavanje porta računara: Standard 802.1X ne razmatra VLAN-ove i zbog toga je preporučeno da samo jedan uređaj treba da se potvrdi za određeni port sviča. Ipak, neki svičevi podržavaju autentifikaciju za više domena. Konfiguracija sviča određuje da li možete da povežete računar na port za računar na telefonu.

    • Omogućeno: Ako koristite svič koji podržava autentifikaciju preko više domena, možete da omogućite port za računar i da povežete računar na njega. U ovom slučaju, Cisco IP telefoni podržavaju proksi EAPOL odjavu za nadzor razmena za autentifikaciju između sviča i priključenog računara.

      Za više informacija o IEEE 802.1X podršci na Cisco Catalyst svičevima, pogledajte vodič za konfiguraciju Cisco Catalyst sviča na:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Onemogućeno: Ako svič ne podržava više uređaja usklađenih sa 802.1X na istom portu, treba da onemogućite port računara kada je omogućena 802.1X autentifikacija. Ako ne onemogućite ovaj port i zatim pokušate da priključite računar na njega, svič odbija pristup na mrežu za telefon i računar.

  • Podešavanje govornog VLAN: Pošto se 802.1X standard ne računa za VLAN-ove, potrebno je da podesite ovu postavku na osnovu podrške za svič.
    • Omogućeno: Ako koristite svič koji podržava autentifikaciju preko više domena, možete da nastavite da koristite govorni VLAN.
    • Onemogućeno: Ako svič ne podržava autentifikaciju za više uređaja, onemogućite govorni VLAN i razmislite da dodelite port na prirodni VLAN.
  • (Samo za Cisco Desk Phone 9800 serija)

    Cisco Desk Phone 9800 Series ima drugačiji prefiks u PID-u od onog za druge Cisco telefone. Da biste omogućili svom telefonu da prođe 802.1X autentifikaciju, podesite Radius· Parametar korisničkog imena koji uključuje vaš Cisco Desk Phone 9800 Series.

    Na primer, PID telefona 9841 je DP-9841; možete podesiti Radius· Korisničko ime za početak sa DP ili sadrži DP. Možete ga podesiti u oba sledeća odeljka:

    • Politika > uslovi > Uslovi biblioteke

    • Politika > Skupovi politika > Politika ovlašćenja> Pravilo ovlašćenja 1

Omogućite 802.1Ks autentifikaciju na veb stranici telefona

Kada je omogućena 802.1Ks autentifikacija, telefon koristi 802.1Ks autentifikaciju da zatraži pristup mreži. Kada je 802.1X autentifikacija onemogućena, telefon koristi Cisco Discovery Protocol (CDP) za sticanje VLAN i pristup mreži.

Možete da izaberete sertifikat (MIC / SUDI ili CDC) koji se koristi za 802.1Ks autentifikaciju. Za više informacija o CDC-u, pogledajte Custom Device Certificate na 9800/8875.

Možete da vidite status transakcije i bezbednosne postavke na meniju ekrana telefona. Za više informacija, pogledajte meni bezbednosnih podešavanja na telefonu.

1

Omogućite 802.1Ks autentifikaciju.

Izaberite Voice > Sistem i podesite parametar Enable 802.1X Authentication na Da.

Takođe možete konfigurisati ovaj parametar u konfiguracionom fajlu (cfg.XML):

<Enable_802.1Ks_Authentication ua = "rv" >Da< / Enable_802.1Ks_Authentication>

Validne vrednosti: Da|Ne

Podrazumevano: Ne

2

Izaberite jedan od sledećih instaliranih sertifikata koji se koriste za 802.1Ks autentifikaciju.

Opcije vrednosti:

  • Proizvodnja instalirana: MIC / SUDI.
  • Prilagođeno instalirano: Sertifikat prilagođenog uređaja (CDC).

Konfiguracija varira u zavisnosti od mreže:

  • Za žičanu mrežu, izaberite Voice > Sistem, izaberite tip sertifikata sa padajuće liste Sertifikat Izaberite u odeljku 802.1Ks Authentication.

    Takođe možete konfigurisati ovaj parametar u konfiguracionoj datoteci (cfg.XML):

    <Certificate_Select ua = "rv">Custom instaliran< / Certificate_Select>

    Važeće vrednosti: Proizvodnja instalirana|Prilagođeni instaliran

    Podrazumevano: Proizvodnja instalirana

  • Za bežičnu mrežu izaberite Voice>System, izaberite tip sertifikata sa padajuće liste Certificate Select u odeljku Wi-Fi Profil 1.

    Takođe možete konfigurisati ovaj parametar u konfiguracionom fajlu (cfg.XML):

    <Vi-Fi_Certificate_Select_1_ ua = "rv" >Custom instaliran< / Vi-Fi_Certificate_Select_1_>

    Važeće vrednosti: Proizvodnja instalirana|Prilagođeni instaliran

    Podrazumevano: Proizvodnja instalirana

3

Konfigurišite parametar User ID koji će se koristiti kao identitet za 802.1Ks autentifikaciju u žičanoj mreži.

Konfiguracija parametara stupa na snagu samo kada se CDC koristi za žičanu 802.1Ks autentifikaciju (Certificate Select je postavljen na Custom installed).

Po defaultu, ovaj parametar je prazan. Identitet za žičani 802.1Ks varira u zavisnosti od izabranog sertifikata:

  • Ako je izabran MIC/SUDI, žičani 802.1X identitet je predstavljen kao što sledi:

    <Naziv proizvoda> + SEP<MAC adresa>.

    Primeri: DP-98xx-SEP<MAC adresa>, CP-8875-SEP<MAC adresa>.

  • Ako je izabran CDC, Zajedničko ime u CDC se koristi kao identitet za žičane 802.1Ks.

Ako je User ID prazan i zajedničko ime u CDC je konfigurisan, onda žičani 802.1Ks će koristiti CDC Common Name kao identitet.

Takođe možete konfigurisati ovaj parametar u konfiguracionoj datoteci (cfg.XML):

<Wired_User_ID ua="na"></Wired_User_ID>

Važeće vrednosti: Maksimalno 127 znakova

Podrazumevano: Prazno

Ovaj parametar takođe podržava makro promenljive proširenja, pogledajte Makro promenljive proširenja za detalje .

Ako želite da koristite DHCP opcije za obezbeđivanje korisničkog ID-a, pogledajte Obezbeđivanje zajedničkog imena ili korisničkog ID-a preko DHCP opcije 15.

4

Kliknite na Pošalji sve promene.

Meni bezbednosnih podešavanja na telefonu

Informacije o bezbednosnim podešavanjima možete pogledati u meniju telefona. Navigaciona putanja je:Podešavanja > Mreža i servis> Bezbednosna podešavanja. Dostupnost informacija zavisi od mrežnih postavki u vašoj organizaciji.

Parametri

Opcije

Podrazumevano

Opis

Autentifikacija uređaja

Uključeno

Off

Off

Omogućava ili onemogućava 802.1Ks autentifikaciju na telefonu.

Podešavanje parametara može se zadržati nakon registracije telefona Out-Of-Bok (OOB).

Status transakcije

Onemogućeno

Prikazuje stanje 802.1Ks autentifikacije. Država može biti (ne ograničavajući se na):

  • Autentifikacija: Označava da je proces autentifikacije u toku.
  • Autentifikovano: Označava da je telefon autentifikovan.
  • Disabled: Označava da je 802.1k autentifikacija onemogućena na telefonu.

Protokol

Nijedno

Prikazuje EAP metod koji se koristi za 802.1X autentifikaciju. Protokol može biti EAP-FAST ili EAP-TLS.

Tip korisničkog sertifikata

Proizvodnja instalirana

Prilagođeni instaliran

Proizvodnja instalirana

Bira sertifikat za 802.1Ks autentifikaciju tokom početnog upisa i obnove sertifikata.

  • Proizvodnja instalirana — Koristi se Manufacturing Installed Certificate (MIC) i Secure Unique Device Identifier (SUDI).
  • Prilagođeno instalirano—Koristi se sertifikat prilagođenog uređaja (CDC). Ova vrsta sertifikata može se instalirati ili ručnim učitavanjem na veb stranicu telefona ili instalacijom sa servera Simple Certificate Enrollment Protocol (SCEP).

Ovaj parametar se pojavljuje na telefonu samo kada je omogućena autentifikacija uređaja.

Kompatibilnost unazad sa WPA

Uključeno

Off

Off

Utvrđuje da li je najstarija verzija Wi-Fi zaštićenog pristupa (WPA) kompatibilna sa telefonom za povezivanje sa bežičnom mrežom ili pristupnom tačkom (AP).

  • Ako je omogućeno, telefon može pretraživati i povezati se sa bežičnim mrežama sa svim podržanim verzijama WPA, uključujući WPA, VPA2 i VPA3. Pored toga, telefon može pretraživati i povezati se sa AP-ovima koji podržavaju samo najstariju verziju WPA.
  • Ako je onemogućeno (podrazumevano), telefon može da pretražuje i povezuje se samo sa bežičnim mrežama i AP-ovima koji podržavaju VPAKSNUMKS i VPAKSNUMKS.

Ova funkcija je dostupna samo na 9861/9871/8875 telefonima.

Podesite proksi server

Možete podesiti telefon da koristi proki server za poboljšanje bezbednosti. Tipično, HTTP proki server može da pruži sledeće usluge:

  • Usmeravanje saobraćaja između internih i eksternih mreža
  • Filtriranje, praćenje ili evidentiranje saobraćaja
  • Keširanje odgovora za poboljšanje performansi

Takođe, HTTP proki server može da deluje kao zaštitni zid između između telefona i Interneta. Nakon uspešne konfiguracije, telefon se povezuje na Internet preko proki servera koji štiti telefon od sajber napada.

Kada je konfigurisana, funkcija HTTP proksi se odnosi na sve aplikacije koje koriste HTTP protokol. Na primer:

  • GDS (uključivanje aktivacionog koda)
  • Aktivacija EDOS uređaja
  • Uključivanje u Webex Cloud (preko EDOS-a ili GDS-a)
  • Prilagođeni CA
  • Obezbeđivanje
  • Nadogradnja firmvera
  • Izveštaj o statusu telefona
  • PRT otpremanje
  • KSSI Usluge
  • Webex Usluge

  • Trenutno, funkcija podržava samo IPv4.
  • Podešavanja HTTP proki mogu se zadržati nakon registracije telefona Out-Of-Bok (OOB).

1

Pristupite administracionoj veb stranici telefona.

2

Izaberite Glas > Sistem.

3

U odeljku HTTP Proki Settings, izaberite režim proki iz padajuće liste Proki Mode i podesite srodne parametre.

Za više informacija o parametrima i potrebnim parametrima za svaki režim proki, pogledajte Parametri za HTTP podešavanja proki.

4

Kliknite na Pošalji sve promene.

Parametri za HTTP podešavanja proksi

Sledeća tabela definiše funkciju i upotrebu HTTP proki parametara u odeljku HTTP Proxy Settings pod Voice > Sistem Tab u veb interfejsu telefona. On takođe definiše sintaksu niza koji je dodat u datoteku za konfiguraciju telefona sa (cfg.xml) sa XML kodom za podešavanje parametra.

ParametarOpis
Proksi režimOdređuje HTTP proki režim koji telefon koristi, ili onemogućava HTTP proki funkciju.
  • Automatski

    Telefon automatski preuzima Proki Auto-Configuration (PAC) fajl da biste izabrali proki server. U ovom režimu, možete odrediti da li da koristite Veb Proki Auto Discoveri (VPAD) protokol za preuzimanje PAC datoteku ili ručno unesite važeću URL PAC datoteku.

    Za detalje o parametrima, pogledajte parametre "Veb Proki Auto Discoveri" i "PAC URL" u ovoj tabeli.

  • Ručno

    Morate ručno navesti server (ime domaćina ili IP adresu) i port proki servera.

    Za detalje o parametrima, pogledajte Proki Host i Proki Port.

  • Off

    Isključite funkciju HTTP proki na telefonu.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <Proxy_Mode ua="rw">Off</Proxy_Mode>

  • Na veb interfejsu telefona izaberite režim proki ili onemogućite funkciju.

Dozvoljene vrednosti: Auto, Ručno i Isključeno

Podrazumevano: isključeno

Veb Proksi automatsko otkrićeUtvrđuje da li telefon koristi Veb Proki Auto Discoveri (VPAD) protokol za preuzimanje PAC datoteke.

WPAD protokol koristi DHCP ili DNS, ili oba mrežna protokola da automatski pronađe Proki Auto Configuration (PAC) datoteku. PAC datoteka se koristi za odabir proki servera za datu URL adresu. Ovaj fajl može biti hostovan lokalno ili na mreži.

  • Konfiguracija parametara stupa na snagu kada je Proki Mode podešen na Auto.
  • Ako podesite parametar na Ne, morate navesti URL PAC-a.

    Za detalje o parametru, pogledajte parametar "PAC URL" u ovoj tabeli.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <Web_Proxy_Auto_Discovery ua="rw">Da</Web_Proxy_Auto_Discovery>

  • Na veb interfejsu telefona izaberite Da ili Ne po potrebi.

Dozvoljene vrednosti: Da i Ne

Podrazumevano: Da

PAC URLURL PAC datoteke.

Na primer, http://proxy.department.branch.example.com

TFTP, HTTP i HTTPS su podržani.

Ako podesite Proki Mode na Auto i Veb Proki Auto Discoveri na Ne, morate podesiti ovaj parametar.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL>

  • Na veb interfejsu telefona unesite važeću URL adresu koja se nalazi u PAC datoteku.

Podrazumevano: Prazno

Proksi domaćinIP adresa ili ime domaćina proki host servera za pristup telefonu. Na primer:

proxy.example.com

Šema (http:// ili https://) nije potrebna.

Ako podesite Proki Mode na Manual, morate podesiti ovaj parametar.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <Proxy_Host ua="rw">proxy.example.com</Proxy_Host>

  • Na veb interfejsu telefona unesite IP adresu ili ime hosta proki servera.

Podrazumevano: Prazno

Proksi portBroj porta proki host servera.

Ako podesite Proki Mode na Manual, morate podesiti ovaj parametar.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <Proxy_Port ua="rw">3128</Proxy_Port>

  • Na veb interfejsu telefona unesite port servera.

Podrazumevano: 3128

Proksi AutentifikacijaOdređuje da li korisnik treba da obezbedi autentifikaciju akreditive (korisničko ime i lozinka) da proki server zahteva. Ovaj parametar je konfigurisan u skladu sa stvarnim ponašanjem proki servera.

Ako podesite parametar na Da, morate konfigurisati korisničko ime i lozinku.

Za detalje o parametrima, pogledajte parametar "Korisničko ime" i "Lozinka" u ovoj tabeli.

Konfiguracija parametara stupa na snagu kada je Proki Mode podešen na Manual .

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <Proxy_Authentication ua="rw">Ne</Proxy_Authentication>

  • Na veb interfejsu telefona podesite ovo polje Da ili Ne po potrebi.

Dozvoljene vrednosti: Da i Ne

Podrazumevano: Ne

Korisničko imeKorisničko ime za korisnika akreditiva na proki serveru.

Ako je Proki Mode podešen na Ručno i Proksi Autentifikacija je podešena na Da, morate podesiti parametar.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <Proxy_Username ua="rw">primer</Proxy_Username>

  • Na veb interfejsu telefona unesite korisničko ime.

Podrazumevano: Prazno

LozinkaLozinka navedenog korisničkog imena za proksi autentifikaciju svrhe.

Ako je Proki Mode podešen na Ručno i Proksi Autentifikacija je podešena na Da, morate podesiti parametar.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <Proxy_Password ua="rw">primer</Proxy_Password>

  • Na veb interfejsu telefona unesite važeću lozinku za proksi autentifikaciju korisnika.

Podrazumevano: Prazno

Tabela 1. Potrebni parametri za svaki režim proki
Proksi režimPotrebni parametriOpis
OffNAHTTP proksi je onemogućen na telefonu.
RučnoProksi domaćin

Proksi port

Proksi Autentifikacija: Da

Korisničko ime

Lozinka

Ručno navedite proki server (ime domaćina ili IP adresu) i proki port. Ako proki server zahteva proveru identiteta, morate dalje da unesete korisničko ime i lozinku.
Proksi domaćin

Proksi port

Proksi Autentifikacija: Ne

Ručno navedite proki server. Proki server ne zahteva autentifikaciju akreditive.
AutomatskiVeb Proksi automatsko otkrivanje: Ne

PAC URL

Unesite važeću URL adresu PAC-a da biste preuzeli datoteku PAC.
Veb Proksi automatsko otkrivanje: da

Koristi VPAD protokol za automatsko preuzimanje PAC datoteke.

Omogućite režim koji je pokrenuo klijent za pregovore o bezbednosti medijske ravni

Da biste zaštitili medijske sesije, možete podesiti telefon da pokrene pregovore o bezbednosti medija aviona sa serverom. Sigurnosni mehanizam prati standarde navedene u RFC 3329 i njegovom proširenju nacrt Imena sigurnosnih mehanizama za medije (vidi https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Prenos pregovora između telefona i servera može koristiti SIP protokol preko UDP, TCP, i TLS. Možete ograničiti da se pregovaranje o bezbednosti medijskog aviona primenjuje samo kada je protokol transporta signalizacije TLS.

Tabela 2. Parametri za pregovore o bezbednosti medija aviona
ParametarOpis

MediaSec Zahtev

Određuje da li telefon pokreće pregovore o bezbednosti medijskog aviona sa serverom.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <MediaSec_Request_1_ ua="na">Da</MediaSec_Request_1_>
  • U veb interfejsu telefona, podesite ovo polje na Da ili Ne po potrebi.

Dozvoljene vrednosti: Da|Ne

  • Da - režim koji pokreće klijent. Telefon pokreće pregovore o bezbednosti medijskog aviona.
  • Ne—Režim koji je pokrenuo server. Server pokreće pregovore o bezbednosti medijskog aviona. Telefon ne pokreće pregovore, ali može da podnese zahteve za pregovore sa servera kako bi se uspostavili bezbedni pozivi.

Podrazumevano: Ne

MediaSec samo preko TLS

Određuje signalni transportni protokol preko kojeg se primenjuju pregovori o bezbednosti medijske ravni.

Pre nego što podesite ovo polje na Da, uverite se da je protokol signalizacije transporta TLS.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <MediaSec_Over_TLS_Only_1_ ua="na">Ne</MediaSec_Over_TLS_Only_1_>

  • U veb interfejsu telefona, podesite ovo polje na Da ili Ne po potrebi.

Dozvoljene vrednosti: Da|Ne

  • Da—Telefon inicira ili upravlja pregovorima o bezbednosti medijskog aviona samo kada je protokol za prenos signalizacije TLS.
  • Ne – telefon inicira i upravlja pregovorima o bezbednosti medijskog aviona bez obzira na protokol signalizacije transporta.

Podrazumevano: Ne

1

Pristupite administracionoj veb stranici telefona.

2

Izaberite opciju Glas > Lok.(n).

3

U odeljku SIP Settings podesite polja MediaSec Request i MediaSec Over TLS Only kao što je definisano u gornjoj tabeli.

4

Kliknite na Pošalji sve promene.

WLAN bezbednost

Pošto svi WLAN uređaji koji su u okviru opsega mogu da primaju drugi WLAN saobraćaj, osiguravanje glasovne komunikacije je od presudnog značaja za WLAN-ove. Da bi se osiguralo da uljezi ne manipulišu niti presreću glasovni saobraćaj, arhitektura Cisco SAFE Securiti podržava telefon. Za više informacija o bezbednosti na mrežama, pogledajte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Rešenje za bežičnu IP telefoniju Cisco pruža sigurnost bežične mreže koja sprečava neovlašćene prijave i kompromitovane komunikacije koristeći sledeće metode autentifikacije koje telefon podržava:

  • Otvorena autentifikacija: Bilo koji bežični uređaj može da zahteva autentifikaciju u otvorenom sistemu. AP koji dobija zahtev može da odobri autentifikaciju za bilo kog podnosioca zahteva ili samo za podnosioce zahteva koji se nalaze na listi korisnika. Komunikacija između bežičnog uređaja i pristupne tačke (AP) može biti nešifrovana.

  • Ektensible Authentication Protocol-Fleksibilna autentifikacija putem sigurnog tuneliranja (EAP-FAST) Autentifikacija: Ova sigurnosna arhitektura klijent-server šifrira EAP transakcije unutar tunela Transport Level Securiti (TLS) između AP i RADIUS servera, kao što je Identiti Services Engine (ISE).

    TLS tunel koristi akreditive za zaštićeni pristup (PAC-ovi) za autentifikaciju između klijenta (telefon) i RADIUS servera. Server šalje ID autoriteta (AID) za klijenta (telefon) koji zauzvrat bira odgovarajući PAC. Klijent (telefon) donosi PAC-Opaque na RADIUS server. Server dešifruje PAC uz primarni ključ. Obe krajnje tačke sada sadrže PAC ključ i kreira se TLS tunel. EAP-FAST podrža automatsko obezbeđivanje PAC, ali to morate da omogućite na RADIUS server.

    U ISE-u, po defaultu, PAC ističe za nedelju dana. Ako telefon ima istekli PAC, autentifikacija preko RADIUS servera traje duže dok telefon dobije novi PAC. Da biste izbegli kašnjenja za dobijanje PAC, podesite period za istek PAC-a na 90 dana ili duže na ISE ili RADIUS serveru.

  • Protokol za autentifikaciju lokala-Autentifikacija transportnog sloja bezbednosti (EAP-TLS): EAP-TLS zahteva sertifikat klijenta za autentifikaciju i mrežni pristup. Za bežični EAP-TLS, sertifikat klijenta može biti MIC, LSC, ili sertifikat koji je instalirao korisnik.

  • Zaštićeni protokol autntifikacije lokala (PEAP): Cisco šema za zajedničku autentifikaciju zasnovana na lozinci između klijenta (telefon) i RADIUS servera. Telefon može koristiti PEAP za autentifikaciju sa bežičnom mrežom. Oba metoda autentifikacije, PEAP-MSCHAPV2 i PEAP-GTC, su podržani.

  • Pre-Shared Kei (PSK): Telefon podržava ASCII format. Morate koristiti ovaj format prilikom postavljanja WPA/VPA2/SAE unapred deljeni ključ:

    ASCII: niz ASCII karaktera sa 8 do 63 karaktera dužine (0-9, mala i velika slova A-Z i specijalni znaci)

    Primer : GREG123567@9ZX&V

Sledeće šeme za autentifikaciju koriste RADIUS server za upravljanje autentifikacionim ključevima:

  • WPA/VPA2/VPA3: Koristi informacije o RADIUS serveru za generisanje jedinstvenih ključeva za autentifikaciju. Pošto se ovi ključevi generišu na centralizovanom RADIUS serveru, WPA2/WPA3 pruža više bezbednosti od WPA unapred podeljenih ključeva koji su sačuvani na AP i telefonu.

  • Brzi bezbedni roming: Koristi informacije za RADIUS server i server bežičnog domena (WDS) za upravljanje i autentifikaciji ključeva. VDS stvara keš bezbednosnih akreditiva za FT-omogućene klijentske uređaje za brzu i sigurnu ponovnu autentifikaciju. Cisco Stoni telefon 9861 i 9871 i Cisco Video telefon 8875 podrška 802.11r (FT). I preko vazduha i preko DS-a su podržani kako bi se omogućilo brzo i sigurno roming. Ali snažno preporučujemo korišćenje 802.11r (FT) metode za emitovanje.

Sa WPA / VPA2 / VPA3, ključevi za šifrovanje se ne unose na telefonu, već se automatski izvode između AP i telefona. Ali EAP korisničko ime i lozinka koji se koriste za autentifikaciju moraju da se unesu na svaki telefon.

Da bi se osiguralo da je glasovni saobraćaj siguran, telefon podržava TKIP i AES za enkripciju. Kada se ovi mehanizmi koriste za enkripciju, i signalni SIP paketi i glasovni Real-Time Transport Protocol (RTP) paketi su šifrovani između AP-a i telefona.

TKIP

WPA koristi TKIP enkripciju koja ima nekoliko poboljšanja u odnosu na WEP. TKIP pruža šifrovanje ključa po paketu i dužu inicijalizaciju vektora (IV-ovi) koji ojačavaju šifrovanje. Pored toga, provera integriteta poruke (MIC) osigurava da šifrovani paketi nisu izmenjeni. TKIP uklanja prediktabilnost za WEP koja omaže uljezima da dešifruju WEP ključ.

AES

Metod šifrovanja koji se koristi za VPA2 / VPA3 autentifikaciju. Nacionalni standardi za šifrovanje koriste simetrični algoritam koji ima isti ključ zta šifrovanje i dešifrovanje. AES koristi šifrovanje lanca za blok šifrovanje (CBC) veličine od 128 bitova, koji podržavaju veličine ključa od 128 bitova, 192 bita i 256 bitova, kao minimum. Telefon podržava veličinu ključa od 256 bita.

Cisco Desk Phone 9861 i 9871 i Cisco Video Phone 8875 ne podržavaju Cisco Key Integrity Protocol (CKIP) sa CMIC-om.

Šeme za autentifikaciju i šifrovanje podešavaju se u okviru bežičnog LAN. VLAN-ovi se podešavaju na mreži i na AP-ovima i navode različite kombinacije za autentifikaciju i šifrovanje. SSID se pridružuje sa VLAN i određenoj autentifikaciji i šemi šifrovanja. Da bi se bežični klijentski uređaji uspešno autentifikovali, morate konfigurisati iste SSID-ove sa njihovim šemama autentifikacije i šifrovanja na AP-ovima i na telefonu.

Iste šeme za autentifikaciju zahtevaju specifične tipove šifrovanja.

  • Kada koristite WPA unapred deljeni ključ, VPA2 unapred deljeni ključ ili SAE, unapred deljeni ključ mora biti statički podešen na telefonu. Ovi ključevi moraju da odgovaraju ključevima koji su na AP.

  • Telefon podržava automatsko EAP pregovaranje za FAST ili PEAP, ali ne i za TLS. Za EAP-TLS režim, morate ga odrediti.

Šeme za autentifikaciju i šifrovanje u sledećoj tabeli prikazuju opcije konfiguracije mreže za telefon koji odgovara AP konfiguraciji.

Tabela 3. Šeme za autentifikaciju i šifrovanje
FSR TipPotvrdu identitetaMenadžment ključevaŠifrovanjeZaštićeni okvir za upravljanje (PMF)
802.11r (FT)PSK

Srpskohrvatski / srpskohrvatski

WPA-PSK-SHA256

Srpskohrvatski / srpskohrvatski

AESNe
802.11r (FT)WPA3

SAE

Srpskohrvatski / srpskohrvatski

AESDa
802.11r (FT)EAP-TLS

WPA-EAP

Srpskohrvatski / srpskohrvatski

AESNe
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

Srpskohrvatski / srpskohrvatski

AESDa
802.11r (FT)EAP-FAST

WPA-EAP

Srpskohrvatski / srpskohrvatski

AESNe
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

Srpskohrvatski / srpskohrvatski

AESDa
802.11r (FT)EAP-PEAP

WPA-EAP

Srpskohrvatski / srpskohrvatski

AESNe
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

Srpskohrvatski / srpskohrvatski

AESDa

Podesite Wi-Fi profil

Možete konfigurisati Wi-Fi profil sa veb stranice telefona ili sa udaljenog profila uređaja ponovne sinhronizacije, a zatim povezati profil sa dostupnim Wi-Fi mrežama. Možete koristiti ovaj Wi-Fi profil da biste se povezali sa Wi-Fi. Trenutno se može konfigurisati samo jedan Wi-Fi profil.

Profil sadrži parametre potrebne za povezivanje telefona sa telefonskim serverom sa Wi-Fi. Kada kreirate i koristite Wi-Fi profil, vi ili vaši korisnici ne morate da konfigurišete bežičnu mrežu za pojedinačne telefone.

Profil Wi-Fi vam omogućava da sprečite ili ograničite promene u konfiguraciji Wi-Fi na telefonu od strane korisnika.

Preporučujemo da koristite siguran profil sa protokolima koji su omogućeni za šifrovanje kako biste zaštitili ključeve i lozinke kada koristite Wi-Fi profil.

Kada podesite telefone da koriste EAP-FAST metod autentifikacije u bezbednosnom režimu, vašim korisnicima su potrebni pojedinačni akreditivi za povezivanje sa pristupnom tačkom.

1

Pristupite veb stranici telefona.

2

Izaberite Glas > Sistem.

3

U odeljku Wi-Fi Profil (n), podesite parametre kao što je opisano u sledećoj tabeli Parametri za Wi-Fi profil.

Konfiguracija Wi-Fi profila je takođe dostupna za prijavu korisnika.
4

Kliknite na Pošalji sve promene.

Parametri za Wi-Fi profil

Sledeća tabela definiše funkciju i upotrebu svakog parametra u Wi-Fi Profil(n) sekcija pod Sistem Tab na veb stranici telefona. Takođe definiše sintaksu stringa koji je dodat u konfiguracioni fajl telefona (cfg.XML) za konfigurisanje parametra.

ParametarOpis
Ime mrežeOmogućava vam da unesete ime za SSID koji će se prikazati na telefonu. Višestruki profili mogu imati isto ime mreže sa različitim bezbednosnim režimom.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <Network_Name_1_ ua="rw">Cisco</Network_Name_1_>

  • Na veb stranici telefona, unesite ime za SSID.

Podrazumevano: Prazno

Režim bezbednostiOmogućava vam da izaberete metod autentifikacije koji se koristi za obezbeđivanje pristupa Wi-Fi mreži. U zavisnosti od metode koju izaberete, pojavljuje se polje za lozinku tako da možete da navedete akreditive koji su potrebni da biste se pridružili ovoj Wi-Fi mreži.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- dostupne opcije: Auto|EAP-FAST|||PSK||Nijedan|EAP-PEAP|EAP-TLS -->

  • Na veb stranici telefona izaberite jednu od metoda:
    • Automatski
    • EAP-FAST
    • PSK
    • Nijedno
    • EAP-PEAP
    • EAP-TLS

Podrazumevano: Automatski

Wi-Fi Korisničko imeOmogućava vam da unesete korisnički ID za mrežni profil.

Ovo polje je dostupno kada podesite bezbednosni režim na Auto, EAP-FAST ili EAP-PEAP. Ovo je obavezno polje i omogućava maksimalnu dužinu od 32 alfanumeričkih znakova.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Na veb stranici telefona unesite korisnički ID za mrežni profil.

Podrazumevano: Prazno

Wi-Fi LozinkaOmogućava vam da unesete lozinku za navedeni Wi-Fi User ID.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Na veb stranici telefona unesite lozinku za korisnički ID koji ste dodali.

Podrazumevano: Prazno

Frekvencijski opsegOmogućava vam da izaberete frekvencijski opseg bežičnog signala koji je WLAN koristi.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Na veb stranici telefona izaberite jednu od opcija:
    • Automatski
    • 2.4 GHz
    • 5 GHz

Podrazumevano: Automatski

Sertifikat IzaberiteOmogućava vam da izaberete tip sertifikata za početni upis sertifikata i obnovu sertifikata u bežičnoj mreži. Ovaj proces je dostupan samo za 802.1Ks autentifikaciju.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <Certificate_Select_1_ ua="rw">Proizvodnja instalirana</Certificate_Select_1_>

  • Na veb stranici telefona izaberite jednu od opcija:
    • Proizvodnja instalirana
    • Prilagođeni instaliran

Podrazumevano: Proizvodnja instalirana

Proverite bezbednosni status uređaja na telefonu

Vaš telefon automatski proverava bezbednosni status uređaja. Ako otkrije potencijalne bezbednosne pretnje na telefonu, meni Problemi i dijagnostika može da prikaže detalje problema. Na osnovu prijavljenih problema, vaš administrator može da preduzme operacije kako bi osigurao i ojačao vaš telefon.

Bezbednosni status uređaja je dostupan pre nego što je telefon registrovan u sistemu kontrole poziva (Webex Calling ili BroadVorks).

Da biste videli detalje o bezbednosnim problemima na ekranu telefona, uradite sledeće:

1

Podešavanja štampe Settings button

2

Izaberite Problemi i dijagnostika> Problemi .

Trenutno, izveštaj o bezbednosti uređaja sadrži sledeća pitanja:

  • Poverenje uređaja
    • Autentifikacija uređaja nije uspela
    • SoC neovlašćeno otkriveno
  • Ranjiva konfiguracija
    • SSH omogućen
    • Telnet omogućen
  • Otkriven događaj anomalije mreže
    • Preterani pokušaji prijavljivanja na internet
    • Otkriven je visok UDP saobraćaj
    • Sumnjivi ICMP timpstamp zahtevi
  • Izdavanje sertifikata
    • Istek sertifikata prilagođenog uređaja

3

Obratite se svom administratoru za podršku za rešavanje bezbednosnih problema.