- Start
- /
- Artikel
Den här hjälpartikeln gäller Cisco Trådlös telefon 9821 som är registrerad på Webex Calling.
Konfigurera DHCP alternativ
Du kan ställa in i vilken ordning telefonen använder DHCP-alternativen. Om du vill ha hjälp med DHCP Alternativ läser du DHCP alternativstöd.
| 1 |
Öppna webbsidan för telefonadministration.
|
| 2 |
Välj . |
| 3 |
I avsnittet Konfigurationsprofil anger du alternativet DHCP att använda parametern. Denna paramter består av en serie DHCP-alternativ, avgränsade med kommatecken, som används för att hämta firmware och profiler. Utför ett av följande:
Standard: |
| 4 |
Klicka på Submit All Changes. |
Stöd för DHCP alternativet
I följande tabell visas alternativen DHCP som stöds på Cisco Trådlös telefon 9821.
| Nätverksstandard | Beskrivning |
|---|---|
| DHCP-alternativ 1 | Nätmask |
| DHCP-alternativ 2 | Tidsförskjutning |
| DHCP-alternativ 3 | Router |
| DHCP-alternativ 6 | Domännamnserver |
| DHCP-alternativ 15 | Domännamn |
| DHCP-alternativ 17 | Rotsökväg |
| DHCP-alternativ 41 | IP-adresslånetid |
| DHCP-alternativ 42 | NTP-server |
| DHCP-alternativ 43 | Leverantörsspecifik information Kan användas för att tillhandahålla SCEP-konfigurationen. |
| DHCP-alternativ 56 | NTP-server |
| DHCP-alternativ 60 | Leverantörsklass-ID |
| DHCP-alternativ 66 | TFTP-servernamn |
| DHCP-alternativ 125 | Leverantörs identifiera leverantörsspecifika information |
| DHCP-alternativ 150 | TFTP-server |
| DHCP-alternativ 159 | Etableringsserver-IP |
| DHCP-alternativ 160 | Etablerings-URL |
Säkerhet för trådlöst LAN
Eftersom alla WLAN-enheter som finns inom räckvidd kan ta emot all övrig WLAN-trafik är det nödvändigt att säkra röstkommunikation i WLAN. För att säkerställa att inkräktare inte manipulerar eller avlyssnar rösttrafik stöder Cisco SAFE Security-arkitekturen telefonen. Mer information om säkerhet i nätverk finns ihttp://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Telefonilösningen Cisco Wireless IP tillhandahåller säkerhet för trådlösa nätverk som förhindrar obehöriga inloggningar och komprometterad kommunikation genom att använda följande autentiseringsmetoder som telefonen stöder.
-
Öppen autentisering: Alla trådlösa enheter kan begära autentisering i ett öppet system. Åtkomstpunkten som tar emot begäran kan medge autentisering för alla begäranden eller bara för de begäranden som finns med i en lista över användare. Kommunikationen mellan den trådlösa enheten och åtkomstpunkten (åtkomstpunkten) kan vara icke-krypterad.
-
Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Autentisering: Den här säkerhetsarkitekturen på klient-servern krypterar EAP-transaktioner i en TLS-tunnel (Transport Level Security) mellan åtkomstpunkten och RADIUS-servern, till exempel ISE (Identity Services Engine).
TLS-tunneln använder skyddad PAC (Protected Access Credentials) för autentisering mellan klienten (telefonen) och RADIUS-servern. Servern skickar ett utfärdar-ID till klienten (telefon), som i sin tur väljer lämpligt PAC. Klienten (telefonen) returnerar ett PAC-täckande till RADIUS-servern. Servern dekrypterar PAC med den primära nyckeln. Båda slutpunkterna har nu PAC-nyckeln och en TLS-tunnel skapas. EAP-FAST stöder automatisk PAC-etablering, men du måste aktivera den på RADIUS-servern.
I ISE upphör PAC som standard att gälla om en vecka. Om telefonen har en utgången PAC, tar autentisering med RADIUS-servern längre tid när telefonen får ett nytt PAC. För att undvika fördröjningar i PAC-etableringen kan du sätta PAC-utgångstiden till 90 dagar eller längre på ISE- eller RADIUS-servern.
-
Autentisering via EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS kräver ett klientcertifikat för autentisering och nätverksåtkomst. För trådlösa EAP-TLS kan klientcertifikatet vara MIC eller användarinstallerat certifikat.
-
Skyddat PEAP (Extensible Authentication Protocol): Ciscos tillverkarspecifika lösenordsbaserade och växelvisa autentiseringsschema mellan klient (telefon) och RADIUS-server. Telefonen kan använda PEAP för autentisering med det trådlösa nätverket. Både PEAP-MSCHAPV2 och PEAP-GTC autentiseringsmetoder stöds.
Om du vill stödja PEAP-GTC-autentisering för Cisco Wireless Phone 9821 konfigurerar du den nödvändiga principen i policyuppsättningen Cisco ISE.
-
PSK (Pre-Shared Key): Telefonen stöder formaten ASCII och hexadecimalt (HEX). Du måste använda dessa format när du konfigurerar en i förväg delad WPA2/SAE-nyckel.
ASCII: En ASCII-teckensträng med 8 till 63 tecken i längd (0-9, gemener a-z, versaler A-Z och specialtecken). Till exempel
GREG123567@9ZX&W.HEX: En HEX-teckensträng med 64 hexsiffror i längd (0-9, a-f eller A-F).
Följande autentiseringsscheman använder RADIUS-servern för att hantera autentiseringsnycklar:
-
WPA2/WPA3: Använder RADIUS serverinformation för att skapa unika nycklar för autentisering. Eftersom de här nycklarna har genererats på den centrala RADIUS-servern ger WPA2/WPA3 högre säkerhet än i förväg delade WPA-nycklar som lagras på åtkomstpunkten och telefonen.
-
Säker och snabb roaming: Används med RADIUS-server och information om trådlös domänserver vid hantering och autentisering av nycklar. WDS skapar en cache med säkerhetsuppgifter för FT-aktiverade klientenheter för snabb och säker omautentisering.
Med WPA2/WPA3 matas inga krypteringsnycklar in på telefonen, utan härleds automatiskt mellan åtkomstpunkten och telefonen. Men EAP-användarnamn och lösenord som används för autentisering måste anges på respektive telefon.
För att skydda rösttrafiken via den trådlösa länken stöder telefonen AES-baserad kryptering för WPA2/WPA3-autentisering. AES är ett symmetriskt blockchiffer standardiserat av NIST. AES använder en fast 128-bitars blockstorlek och stöder nyckelstorlekar på 128 bitar, 192 bitar och 256 bitar. I Wi-Fi-nätverk används AES av chiffersviter som CCMP eller GCMP, medan autentisering tillhandahålls separat av PSK, SAE eller 802.1X/EAP, beroende på det konfigurerade WLAN-säkerhetsläget. Vilken chiffersviten och nyckelstorleken som stöds beror på telefonmodellen och WLAN konfigurationen.
Autentiserings- och krypteringsscheman ställs in i det trådlösa nätverket. VLAN konfigureras i nätverket och på åtkomstpunkterna, och anger olika kombinationer av autentisering och kryptering. Ett SSID kan kopplas till ett VLAN och valt autentiserings- och krypteringsschema. För att trådlösa klientenheter ska kunna autentiseras måste du konfigurera samma SSID med deras autentiserings- och krypteringsscheman på åtkomstpunkterna och på telefonen.
Vissa autentiseringsscheman kräver en viss typ av kryptering.
När du använder WPA2 i förväg delad nyckel eller SAE måste den i förväg delade nyckeln ställas in statiskt på telefonen. De här nycklarna måste matcha nycklarna som finns på åtkomstpunkten.
Autentiserings- och krypteringsscheman i följande tabell visar nätverkskonfigurationsalternativen för Cisco trådlös telefon 9821 som motsvarar AP-konfigurationen.
| Typ av FSR | Autentisering | Nyckelhantering | Kryptering | PMF (Protected Management Frame) |
|---|---|---|---|---|
| 802.11r (FOT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Nej |
| 802.11r (FOT) | WPA3 |
SAE FT-SAE | AES | Ja |
| 802.11r (FOT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Nej |
| 802.11r (FOT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
| 802.11r (FOT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Nej |
| 802.11r (FOT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
| 802.11r (FOT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Nej |
| 802.11r (FOT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
| icke-FT | Svit - B | WPA-EAP-SVIT-B | GCMP | Ja |
| icke-FT | Svit B-192 | WPA-EAP-SVIT-B-192 | GCMP | Ja |
Ställ in Wi-Fi profil
Du kan konfigurera Wi-Fi-profiler från webbsidan för telefonadministration eller via en fjärrsynkronisering av enhetsprofilen. När du har konfigurerat dem kan du associera dessa profiler med tillgängliga trådlösa nätverk för att upprätta anslutning. Cisco Trådlös telefon 9821 stöder högst fyra konfigurerade Wi-Fi profiler.
Profilen innehåller de parametrar som krävs för telefoner för att ansluta till telefonservern med Wi-Fi. När du skapar och använder en Wi-Fi profil behöver du eller dina användare inte konfigurera det trådlösa nätverket för enskilda telefoner.
Med en Wi-Fi-profil kan du förhindra eller begränsa ändringar i Wi-Fi-konfigurationen på användarens telefon.
Vi rekommenderar att du använder en säker profil med krypteringsaktiverade protokoll för att skydda nycklar och lösenord när du använder en Wi-Fi profil.
När du konfigurerar telefonerna för att använda autentiseringsmetoden EAP-FAST i säkerhetsläge behöver användarna individuella inloggningsuppgifter för att ansluta till en åtkomstpunkt.
| 1 |
Åtkomst till telefonens webbsida. |
| 2 |
Välj . |
| 3 |
I avsnittet Wi-Fi Profil (n) anger du parametrarna enligt beskrivningen i följande tabell Parametrar för Wi-Fi profilen. Profilkonfigurationen Wi-Fi är också tillgänglig för användarinloggningen.
|
| 4 |
Klicka på Submit All Changes. |
Parametrar för profilen Wi-Fi
I följande tabell definieras funktionen och användningen av varje parameter i avsnittet Wi-Fi profil(n) under System Tab på telefonens webbsida. Den definierar också syntaxen för strängen som läggs till i telefonens konfigurationsfil (cfg.xml) för att konfigurera en parameter.
| Parameter | Beskrivning |
|---|---|
| Nätverksnamn | Gör att du kan ange ett namn för SSID att visa på telefonen. Flera profiler kan ha samma nätverksnamn med olika säkerhetsläge. Utför ett av följande:
Standard: tomt |
| Säkerhetsläge | Låter dig välja vilken autentiseringsmetod som används för säker åtkomst till Wi-Fi-nätverk. Beroende på vilken metod du väljer visas ett lösenordsfält så att du kan ange de autentiseringsuppgifter som krävs för att ansluta till Wi-Fi-nätverket. Utför ett av följande:
Standard: Inget |
| Wi-Fi-användar-ID | Gör att du kan ange ett användar-ID för nätverksprofilen. Det här fältet är tillgängligt när du ställer in säkerhetsläget på Auto, EAP-FAST eller EAP-PEAP. Det här är ett obligatoriskt fält och tillåter högst 32 alfanumeriska tecken. Utför ett av följande:
Standard: tomt |
| Wi-Fi-lösenord | Gör att du kan ange lösenord för angivet användar-ID för Wi-Fi. Utför ett av följande:
Standard: tomt |
| Frekvensband | Gör att du kan välja frekvensband för den trådlösa signal som WLAN-nätverket använder. Utför ett av följande:
Standard: automatiskt |
| Certifikatval | Gör att du kan välja en certifikattyp för den första registreringen av certifikatet och förnyelsen av certifikatet i det trådlösa nätverket. Den här processen är endast tillgänglig för 802.1X-autentisering. Utför ett av följande:
Standard: Tillverkning installerad |
| Kontrollläge | Styr om användaren får konfigurera Wi-Fi-profilerna. Utför ett av följande:
Standard: Tillåt |
| Aktivera | Styr om profilen Wi-Fi är aktiverad. Utför ett av följande:
Standard: Ja |
| Profilnamn | Här kan du ange ett namn på profilen som ska visas på telefonen. Utför ett av följande:
Standard: Profil 1 |
| PSK-lösenordsfras | Gör att du kan ange PSK-lösenfrasen när säkerhetsläget är inställt på PSK. Utför ett av följande:
Standard: Tillåt |
802.1X-autentisering för kabelanslutna nätverk
Cisco Trådlös telefon 9821 stöder 802.1X-autentisering för trådbundna nätverk. Detta används vanligtvis under automatisk etablering när telefonen är ansluten till skrivbordsladdaren via en USB-till-Ethernet-adapter som stöds.
Stöd för 802.1X-autentisering i kabelanslutna nätverk kräver flera komponenter enligt följande:
-
Cisco IP-telefon: Telefonen initierar begäran om att få tillgång till nätverket. Cisco IP-telefon innehåller en 802.1X-supplikant. Supplikanten tillåter att nätverksadministratörer kan styra uppkoppling av IP-telefoner till LAN-växelportar. I den aktuella versionen av telefonens 802.1X-supplikant används EAP-FAST och EAP-TLS för nätverksautentisering.
-
Autentiseringsserver: Både autentiseringsservern och växeln måste konfigureras med en delad RADIUS-hemlighet.
-
Växel: Växeln måste ha stöd för 802.1X så att den kan fungera som autentiserare och vidarebefordra EAP-meddelanden mellan telefonen och autentiseringsservern. När utväxlingen är klar beviljar eller nekar växeln åtkomst till nätverket för telefonen.
Cisco IP-telefoner och Cisco Catalyst-växlar använder traditionellt Ciscos CDP-protokoll för att identifiera varandra och fastställa parametrar som VLAN-tilldelning och interna strömbehov.
Du måste utföra följande åtgärder för att konfigurera 802.1X.
-
Konfigurera förbikoppling av CDP/LLDP röst VLAN.
-
Konfigurera autentiseringsservern och växeln innan du aktiverar 802.1X-autentisering för kabelanslutna nätverk på telefonen.
-
Konfigurera röst-VLAN: Eftersom 802.1X-standarden inte tar hänsyn till VLAN, bör du konfigurera den här inställningen baserat på växelstöd.
- Aktiverad: Om du använder en växel som stöder multidomänautentisering kan du konfigurera den för att använda rösten VLAN.
- Inaktiverat: Om växeln inte stöder multidomänautentisering inaktiverar du röst-VLAN och överväg sedan att tilldela porten till det inbyggda VLAN-nätet.
-
Cisco Trådlös telefon 9821 har ett annat prefix i PID än det för de andra Cisco telefonerna. Om du vill att telefonen ska klara 802.1X-autentisering ställer du in radien · Användarnamnsparameter för att inkludera din Cisco trådlösa telefon 9821.
Till exempel är PID för Cisco Wireless Phone 9821 WP-9821. Du kan ställa in radie· Användarnamn för att
börja med WPellerInnehåller WPi båda följande avsnitt: -
Aktivera 802.1X-autentisering för kabelanslutna nätverk på telefonen
Följ dessa steg för att aktivera 802.1X-autentisering för kabelanslutna nätverk på telefonen. Observera att 802.1X-autentisering för Wi-Fi är aktiverat som standard och inte kräver någon manuell konfiguration.
| 1 |
Gå till inställningarna |
| 2 |
Om du uppmanas till det anger du lösenordet för att komma åt menyn Inställningar . Du kan få lösenordet från din administratör. |
| 3 |
Välj . |
| 4 |
Markera Enhetsautentisering och tryck på På. |
Aktivera 802.1X-autentisering för kabelanslutna nätverk på telefonens webbsida
När 802.1X-autentisering för kabelanslutna nätverk är aktiverat använder telefonen 802.1X-autentisering för att begära nätverksåtkomst från Ethernet LAN-porten. När 802.1X-autentisering för kabelanslutna nätverk är inaktiverat använder telefonen Cisco Discovery Protocol (CDP) för att hämta VLAN och nätverksåtkomst. Observera att 802.1X-autentisering för Wi-Fi är aktiverat som standard och inte kräver någon manuell konfiguration.
Du kan välja ett certifikat (MIC/SUDI eller CDC) som används för 802.1X-autentisering. Mer information om CDC finns i Certifikat för anpassade enheter på Cisco trådlösa telefon 9821.
Du kan visa transaktionsstatus och säkerhetsinställningar på telefonskärmens meny. Mer information finns i Säkerhetsinställningsmenyn på telefonen.
| 1 |
Aktivera 802.1X-autentisering. Välj . I avsnittet 802.1X-autentisering anger du parametern Aktivera 802.1X-autentisering till Ja. Du kan även konfigurera parametern i konfigurationsfilen (cfg.xml):
Giltiga värden: Ja|Nej Standard: Nej |
| 2 |
I avsnittet 802.1X-autentisering väljer du ett av följande installerade certifikat som används för 802.1X-autentisering i listrutan Certifikatval . Värdealternativ:
Du kan även konfigurera parametern i konfigurationsfilen (cfg.xml):
Giltiga värden: Tillverkning installerad|Anpassad installerad Standard: Tillverkning installerad |
| 3 |
Konfigurera parametern Användare ID som ska användas som identitet för 802.1X-autentisering i det kabelanslutna nätverket. Den här konfigurationen gäller endast när du använder ett CDC (Custom Device Certificate) för kabelansluten 802.1X-autentisering, där Certificate Select är inställt på Custom installerat. Du kan även konfigurera parametern i konfigurationsfilen (cfg.xml):
Giltiga värden: Max 127 tecken Standard: tomt Den här parametern stöder även makroexpansionsvariabler, se Makroexpansionsvariabler för mer information. Information om hur du etablerar användaren ID med en kombination med alternativen DHCP finns i Etablering av användare ID via DHCP alternativ 15. |
| 4 |
Klicka på Submit All Changes. |
Menyn Säkerhetsinställningar på telefonen
Om du vill visa information om säkerhetsinställningarna från telefonmenyn öppnar du Inställningar
och välj Administratörsinställningar . Hur tillgänglig informationen är beror på nätverksinställningarna i organisationen.
|
Parametrar |
Alternativ |
Standard |
Beskrivning |
|---|---|---|---|
|
Enhetsautentisering |
På Av |
Av |
Aktiverar eller inaktiverar 802.1X-autentisering på telefonen. Parameterinställningen kan behållas efter telefonens OOB-registrering (Out-Of-Box). |
|
Transaktionsstatus | Inaktiverad |
Visar status för 802.1X-autentisering. Staten kan vara (inte begränsad till):
| |
|
Protokoll | Ingen |
Visar metoden EAP som används för 802.1X-autentisering. Protokollet kan vara EAP-FAST eller EAP-TLS. | |
|
Typ av användarcertifikat |
Tillverkarinstallerad Anpassad installerad |
Tillverkarinstallerad |
Väljer certifikatet för 802.1X-autentisering under den första registreringen och certifikatförnyelsen.
Den här parametern visas bara på telefonen när enhetsautentisering har aktiverats. |
Ändra användar- och administratörslösenord
Vid den första registreringen med ett samtalskontrollsystem eller efter en fabriksåterställning måste du konfigurera både användar- och administratörslösenord när du öppnar webbsidan för telefonadministration. Du kan uppdatera dessa autentiseringsuppgifter när som helst för att upprätthålla enhetens säkerhet.
Giltiga lösenordsregler är följande:
- Lösenordet måste innehålla minst 8 till 127 tecken.
- En kombination (tre av de fyra typerna) av stor bokstav, liten liten liten bokstav, siffra och specialtecken.
- Utrymme är inte tillåtet.
| 1 |
Öppna webbsidan för telefonadministration. |
| 2 |
Välj . |
| 3 |
(Valfritt) Ange parametern Visa lösenordsvarningar till Ja i avsnittet Systemkonfiguration och klicka sedan på Skicka alla ändringar. Det går även att aktivera parametrarna i telefonens konfigurationsfil (cfg.xml).
Standard: Ja Alternativ: Ja|Nej Om parametern är inställd på Nej visas inte lösenordsvarningen på telefonskärmen. |
| 4 |
Leta reda på parametern User Password (Användarlösenord ) eller Admin Password (Administratörslösenord) och klicka på Change Password (Ändra lösenord ) bredvid parametern. |
| 5 |
Ange det aktuella lösenordet i fältet Gammalt lösenord. |
| 6 |
Ange ett nytt lösenord i fältet Nytt lösenord. Om det nya lösenordet inte uppfyller de giltiga lösenordsreglerna nekas inställningen. |
| 7 |
Klicka på Skicka. Meddelandet När du har ställt in lösenordet visar parametern följande i telefonens konfigurationsfil (cfg.xml):
|
Ange lägsta TLS-version för klient och server
Som standard är den lägsta TLS-versionen för klient och server 1.2. Det innebär att klienten och servern accepterar att upprätta anslutningar med TLS 1.2 eller högre. Den maximala versionen TLS för klient och server som stöds är 1.3. När den har konfigurerats används den lägsta TLS-versionen för förhandling mellan TLS-klienten och TLS-servern.
Du kan ange den lägsta versionen av TLS för klient respektive server, till exempel 1.1, 1.2 eller 1.3.
Innan du börjar
Kontrollera att TLS-servern har stöd för den lägsta konfigurerade versionen av TLS. Du kan rådgöra med administratören för samtalskontrollsystemet.
| 1 |
Öppna webbsidan för telefonadministration. |
| 2 |
Välj . |
| 3 |
I avsnittet Säkerhetsinställningar konfigurerar du parametern TLS Min version av klient.
Du kan även konfigurera parametern i konfigurationsfilen (cfg.xml): <TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>
Tillåtna värden: TLS 1.1, TLS1.2 och TLS 1.3. Standard: TLS 1.2 |
| 4 |
I avsnittet Säkerhetsinställningar konfigurerar du parametern TLS Serverminversion. Webex Calling stöder inte TLS 1.1.
Du kan även konfigurera parametern i konfigurationsfilen (cfg.xml): <TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>
Tillåtna värden: TLS 1.1, TLS1.2 och TLS 1.3. Standard: TLS 1.2 |
| 5 |
Klicka på Submit All Changes. |
Aktivera klientinitierat läge för säkerhetsförhandlingar på medieplanet
För att skydda mediesessioner kan du konfigurera telefonen så att den initierar säkerhetsförhandlingar med medieplan med servern. Säkerhetsmekanismen följer de standarder som anges i RFC 3329 och dess tilläggsutkast Security Mechanism Names for Media (Se https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Transport av förhandlingar mellan telefonen och servern kan använda SIP-protokoll över UDP, TCP och TLS. Du kan enbart begränsa användning av säkerhetsförhandling för medieplan om signalprotokollet är TLS.
| Parameter | Beskrivning |
|---|---|
|
MediaSec-förfrågan |
Anger om telefonen initierar säkerhetsförhandlingar för medieplan med servern. Utför ett av följande:
Tillåtna värden: Ja|Nej
Standard: Nej |
|
Endast MediaSec över TLS |
Anger det signaltransportprotokoll där säkerhetsförhandling för medieplan tillämpas. Innan du ställer in det här fältet på Ja ska du kontrollera att signaltransportprotokollet är TLS. Utför ett av följande:
Tillåtna värden: Ja|Nej
Standard: Nej |
| 1 |
Öppna webbsidan för telefonadministration. |
| 2 |
Välj . |
| 3 |
I avsnittet SIP Inställningar anger du fälten MediaSec-begäran och MediaSec över endast TLS enligt definitionen i tabellen ovan. |
| 4 |
Klicka på Submit All Changes. |