У цій статті
dropdown icon
Налаштуйте параметри DHCP
    DHCP підтримка опцій
dropdown icon
Безпека бездротової локальної мережі
    Налаштуйте профіль Wi-Fi
dropdown icon
Автентифікація 802.1X для дротових мереж
    Увімкніть автентифікацію 802.1X для дротових мереж на вашому телефоні
    Увімкнути автентифікацію 802.1X для дротових мереж на веб-сторінці телефону
    Меню налаштувань безпеки на телефоні
Змініть пароль користувача та адміністратора
Встановіть мінімальну версію TLS для клієнта і сервера
Увімкнути режим клієнтом для переговорів з безпекою медіаплощини
Cisco Безпека бездротового телефону 9821 (мультиплатформенний)
list-menuУ цій статті
list-menuНадіслати відгук?

Ця довідкова стаття стосується Cisco бездротового телефону 9821, зареєстрованого на Webex Calling.

Налаштуйте DHCP опції

Ви можете встановити порядок використання опцій DHCP на вашому телефоні. Для допомоги з опціями DHCP дивіться службу підтримки опційDHCP.

1

Відкрийте веб-сторінку адміністрування телефона.

http://<ip адреса>/admin/advanced

2

Виберіть вкладку "Голосовий зв’язок" > "Підготовка".

3

У розділі «Профіль конфігурації» встановіть параметр DHCP «Використати ». Цей параметр складається з серії опцій DHCP, обмежених комами, які використовуються для отримання прошивки та профілів.

Виконайте одну з таких дій:

  • У файлі конфігурації телефона XML (cfg.xml) введіть рядок у такому форматі:

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • На веб-сторінці телефону введіть серію опцій DHCP, обмежених комами.

За замовчуванням: 66,160,159,150,60,43,125

4

Натисніть "Надіслати всі зміни".

DHCP підтримка опцій

У наступній таблиці наведено опції DHCP, які підтримуються на Cisco Wireless Phone 9821.

Мережевий стандартОпис
DHCP варіант 1Маска підмережі
DHCP варіант 2Часове зсув
DHCP варіант 3Маршрутизатор
DHCP варіант 6Сервер доменних імен
DHCP варіант 15Доменне ім'я
DHCP варіант 17Кореневий шлях
DHCP варіант 41IP термін оренди адреси
DHCP варіант 42NTP сервер
DHCP варіант 43Інформація, специфічна для виробника

Може використовуватися для створення конфігурації SCEP.

DHCP варіант 56NTP сервер
DHCP варіант 60Ідентифікатор класу постачальника
DHCP варіант 66TFTP ім'я сервера
DHCP варіант 125Інформація, що ідентифікує постачальника, специфічна для постачальника
DHCP варіант 150TFTP сервер
DHCP варіант 159Provisioning server IP
DHCP варіант 160Пропозиція URL

Безпека бездротової локальної мережі

Оскільки всі пристрої WLAN у межах досяжності можуть приймати будь-який інший трафік WLAN, захист голосового зв’язку у WLAN має вирішальне значення. Щоб гарантувати, що зловмисники не маніпулюють і не перехоплюють голосовий трафік, архітектура Cisco SAFE Security підтримує цей телефон. Для отримання додаткової інформації про безпеку в мережах див. http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Телефонне рішення Cisco Wireless IP забезпечує безпеку бездротової мережі, яка запобігає несанкціонованим входам і скомпрометованим комунікаціям, використовуючи такі методи автентифікації, які підтримує телефон.

  • Відкрита автентифікація. Будь-який бездротовий пристрій може подати запит на автентифікацію у відкритій системі. Точка доступу, яка отримує запит, може надавати автентифікацію будь-якому запитувачу або тільки запитувачам зі списку користувачів. Зв'язок між бездротовим пристроєм і точкою доступу (AP) міг бути незашифрованим.

  • Розширений протокол автентифікації — гнучка автентифікація через безпечне тунелювання (EAP-FAST): Ця клієнт-серверна архітектура безпеки шифрує EAP транзакції в тунелі безпеки транспортного рівня (TLS) між точкою доступу та сервером RADIUS, наприклад, Identity Services Engine (ISE).

    Тунель TLS використовує захищені облікові дані доступу (PAC) для автентифікації між клієнтом (телефоном) і сервером RADIUS. Сервер надсилає клієнту (телефону) ідентифікатор центру сертифікації (AID), який у свою чергу вибирає відповідні облікові дані PAC. Клієнт (телефон) повертає на сервер RADIUS повідомлення PAC-Opaque. Сервер розшифровує PAC за допомогою головного ключа. Обидва кінцеві пристрої тепер містять ключ PAC. Також створюється тунель TLS. EAP-FAST підтримує автоматичне надсилання PAC, але цю функцію потрібно ввімкнути на сервері RADIUS.

    У ISE за замовчуванням PAC закінчується через тиждень. Якщо на телефоні закінчився термін дії PAC, автентифікація на сервері RADIUS займатиме більше часу, доки телефон не отримає нові облікові дані PAC. Щоб уникнути затримок у надсиланні даних PAC, установіть на сервері ISE або RADIUS термін дії PAC принаймні 90 днів.

  • Розширюваний протокол автентифікації з протоколом безпеки транспортного рівня (EAP-TLS). Для автентифікації та доступу до мережі за допомогою EAP-TLS потрібен сертифікат клієнта. Для бездротового EAP-TLS клієнтський сертифікат може бути MIC або сертифікат, встановлений користувачем.

  • Захищений розширюваний протокол автентифікації (PEAP). Розроблена Cisco схема взаємної автентифікації на основі пароля між клієнтом (телефоном) і сервером RADIUS. Телефон може використовувати PEAP для автентифікації через бездротову мережу. Підтримуються обидва методи автентифікації – PEAP-MSCHAPV2 й PEAP-GTC.

    Для підтримки автентифікації PEAP-GTC для бездротового телефону Cisco 9821 налаштуйте необхідну політику в наборі політик Cisco ISE.

  • Попередній спільний ключ (PSK): Телефон підтримує формати ASCII та шістнадцятковий (HEX). Ви повинні використовувати ці формати при налаштуванні WPA2/SAE Pre-shared ключа.

    ASCII: рядок ASCII-символів довжиною від 8 до 63 символів (0-9, малі a-z, великі A-Z та спеціальні символи). Наприклад, GREG123567@9ZX&W.

    HEX: Шестигранний рядок символів довжиною 64 шістнадцятка (0-9, a-f або A-F).

Нижче наведено схеми автентифікації, які використовують керування ключами автентифікації сервер RADIUS.

  • WPA2/WPA3 – використовує інформацію про сервер RADIUS для створення унікальних ключів автентифікації. Ці ключі створюються на централізованому сервері RADIUS, тому WPA2/WPA3 забезпечує кращий захист, ніж заздалегідь установлені ключі WPA, які зберігаються в AP й на телефоні.

  • Швидкий безпечний роумінг – використовує інформацію про сервер RADIUS і сервер бездротового домену (WDS) для контролю та автентифікації ключів. WDS створює кеш облікових даних безпеки для клієнтських пристроїв з підтримкою FT для швидкої та безпечної повторної автентифікації.

У WPA2/WPA3 ключі шифрування не вводяться на телефоні, а автоматично отримуються між точкою доступу та телефоном. Однак ім’я користувача й пароль EAP, які використовуються для автентифікації, потрібно ввести на кожному з телефонів.

Для захисту голосового трафіку через бездротове з'єднання телефон підтримує шифрування на основі AES для автентифікації WPA2/WPA3. AES — це симетричний блочний шифр, стандартизований NIST. AES використовує фіксований 128-бітний розмір блоку і підтримує розміри ключів 128, 192 біти та 256 біт. У мережах Wi-Fi AES використовується наборами шифрів, такими як CCMP або GCMP, а автентифікація надається окремо PSK, SAE або 802.1X/EAP, залежно від налаштованого режиму безпеки WLAN. Підтримуваний набор шифрів і розмір ключа залежать від моделі телефону та конфігурації WLAN.

Схеми автентифікації та шифрування налаштовуються в межах бездротової локальної мережі. Мережі VLAN налаштовуються в мережі й точках доступу, задаючи різні комбінації автентифікації та шифрування. SSID прив’язується до VLAN й особливої схеми автентифікації та шифрування. Для успішної автентифікації бездротових клієнтських пристроїв необхідно налаштувати ті ж SSID з їхніми схемами автентифікації та шифрування на точках доступу та телефоні.

Деякі схеми автентифікації вимагають конкретних типів шифрування.

Коли ви використовуєте WPA2 попередній спільний ключ або SAE, передрозділений ключ має бути статично встановлений на телефоні. Ці ключі мають відповідати ключам в AP.

Схеми автентифікації та шифрування у наступній таблиці показують налаштування мережі для Cisco Wireless Phone 9821, що відповідає конфігурації точки доступу.

Таблиця 1. Схеми автентифікації та шифрування
FSR ТипАвтентифікаціяКерування ключамиШифруванняЗахищена рамка управління (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESНі
802.11r (FT)WPA3

SAE

FT-SAE

AESТак
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESНі
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESТак
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESНі
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESТак
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESНі
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESТак
не-FTSuite-BWPA-EAP-SUITE-BGCMPТак
не-FTЛюкс-B-192WPA-EAP-SUITE-B-192GCMPТак

Налаштуйте профіль Wi-Fi

Ви можете налаштувати Wi-Fi профілі з веб-сторінки адміністрування телефону або через віддалений профіль пристрою для повторної синхронізації. Після налаштування ви можете пов'язати ці профілі з доступними бездротовими мережами для встановлення зв'язку. Cisco Бездротовий телефон 9821 підтримує максимум чотири налаштовані профілі Wi-Fi.

Профіль містить параметри, необхідні для підключення телефонів до телефонного сервера за допомогою Wi-Fi. Коли ви створюєте та використовуєте профіль Wi-Fi, вам або вашим користувачам не потрібно налаштовувати бездротову мережу для окремих телефонів.

Профіль Wi-Fi дає змогу заборонити або обмежити внесення змін у налаштування Wi-Fi на телефоні користувачем.

Рекомендуємо використовувати захищений профіль із протоколами шифрування для захисту ключів і паролів при використанні профілю Wi-Fi.

Коли ви налаштовуєте телефони на використання методу автентифікації EAP-FAST у режимі безпеки, користувачам потрібні індивідуальні облікові дані для підключення до точки доступу.

1

Перейдіть на веб-сторінку телефону.

2

Виберіть "Голосовий зв’язок" > "Система".

3

У розділі Wi-Fi Профіль (n) встановіть параметри, як описано в наступній таблиці Параметри для профілю Wi-Fi.

Конфігурація профілю Wi-Fi також доступна для входу користувача.
4

Натисніть "Надіслати всі зміни".

Параметри для профілю Wi-Fi

Наступна таблиця визначає функцію та використання кожного параметра в розділі Profile(n )Wi-Fi під System Tab на веб-сторінці телефону. Він також визначає синтаксис рядка, який додається у конфігураційному файлі телефону (cfg.XML) для налаштування параметра.

ПараметрОпис
Ім’я мережіТут можна ввести ім’я для SSID, яке відображатиметься на телефоні. У кількох профілях може бути те саме ім’я мережі з різними режимами захисту.

Виконайте одну з таких дій:

  • У файлі конфігурації телефона XML (cfg.xml) введіть рядок у такому форматі:

    <Network_Name_1_ ua="RW">Cisco</Network_Name_1_>

  • На сторінці телефону введіть назву SSID.

За замовчуванням: пусто

Режим безпекиУ цьому режимі можна вибрати спосіб аутентифікації для захисту доступу до мережі Wi-Fi. Залежно від обраного способу з'являється поле пароля, щоб надати необхідні облікові дані для приєднання до цієї мережі Wi-Fi.

Виконайте одну з таких дій:

  • У файлі конфігурації телефона XML (cfg.xml) введіть рядок у такому форматі:

    <Security_Mode_1_ ua="RW">EAP-TLS</Security_Mode_1_> <!-- доступні варіанти: |EAP-FAST||PSK||Немає|EAP-PEAP|EAP-TLS -->

  • На телефонній сторінці оберіть один із способів:
    • EAP-FAST
    • PSK
    • Немає
    • EAP-PEAP
    • EAP-TLS

За замовчуванням: None (Немає)

Ідентифікатор користувача Wi-FiМожна ввести ідентифікатор користувача для профілю мережі.

Це поле доступне, коли ви встановите режим безпеки на Auto, EAP-FAST або EAP-PEAP. Це обов’язкове поле, у яке можна ввести до 32 букв і цифр.

Виконайте одну з таких дій:

  • У файлі конфігурації телефона XML (cfg.xml) введіть рядок у такому форматі:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • На веб-сторінці телефону введіть користувач ID для мережевого профілю.

За замовчуванням: пусто

Пароль Wi-FiУ це поле можна ввести пароль для зазначеного ідентифікатора користувача Wi-Fi.

Виконайте одну з таких дій:

  • У файлі конфігурації телефона XML (cfg.xml) введіть рядок у такому форматі:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • На веб-сторінці телефону введіть пароль для користувача ID, якого ви додали.

За замовчуванням: пусто

Частотний діапазонМожна вибрати частотний діапазон для сигналу бездротової мережі, що використовується у WLAN.

Виконайте одну з таких дій:

  • У файлі конфігурації телефона XML (cfg.xml) введіть рядок у такому форматі:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • На веб-сторінці телефону виберіть одну з опцій:
    • Авто
    • 2,4 ГГц
    • 5 ГГц або 6 ГГц

За замовчуванням: Auto (Авто)

Вибір сертифікатаДозволяє обрати тип сертифіката для початкової реєстрації та поновлення сертифіката у бездротовій мережі. Цей процес доступний лише для автентифікації 802.1X.

Виконайте одну з таких дій:

  • У файлі конфігурації телефона XML (cfg.xml) введіть рядок у такому форматі:

    <Certificate_Select_1_ ua="RW">Встановлено виробництво</Certificate_Select_1_>

  • На веб-сторінці телефону оберіть одну з опцій:
    • Встановлено виробництво
    • Індивідуальна установка

За замовчуванням: встановлено виробництво

Режим керуванняКонтролює, чи має користувач право налаштовувати профілі Wi-Fi.

Виконайте одну з таких дій:

  • У файлі конфігурації телефона XML (cfg.xml) введіть рядок у такому форматі:

    <Control_Mode_1_ ua="RW">Дозволити</Control_Mode_1_>

  • На веб-сторінці телефону оберіть одну з опцій:
    • Дозволь
    • Заборонено
    • Обмежені

За замовчуванням: Дозволити

УвімкнутиКонтролює, чи увімкнено профіль Wi-Fi.

Виконайте одну з таких дій:

  • У файлі конфігурації телефона XML (cfg.xml) введіть рядок у такому форматі:

    <Enable_1_ ua="RW">Так</Enable_1_>

  • На веб-сторінці телефону оберіть одну з опцій:
    • Так
    • Ні

За замовчуванням: Так

Назва профілюДозволяє ввести ім'я профілю, яке відображатиметься на телефоні.

Виконайте одну з таких дій:

  • У файлі конфігурації телефона XML (cfg.xml) введіть рядок у такому форматі:

    <Profile_Name_1_ ua="rw">Профіль 1</Profile_Name_1_>

  • На телефонній сторінці введіть ім'я профілю.

За замовчуванням: Профіль 1

Парольна фраза PSKДозволяє вводити пароль PSK, коли режим безпеки встановлений на PSK.

Виконайте одну з таких дій:

  • У файлі конфігурації телефона XML (cfg.xml) введіть рядок у такому форматі:

    <PSK_Passphrase_1_ ua="RW">*************</PSK_Passphrase_1_>

  • На сторінці телефону введіть пароль PSK.

За замовчуванням: Дозволити

Автентифікація 802.1X для дротових мереж

Cisco Бездротовий телефон 9821 підтримує автентифікацію 802.1X для дротових мереж. Зазвичай це використовується під час автоматичного налаштування , коли телефон підключений до зарядного пристрою через підтримуваний USB-to-Ethernet адаптер.

Підтримка автентифікації 802.1X у дротових мережах вимагає кількох компонентів, а саме:

  • IP-телефон Cisco. Телефон ініціює запит на доступ до мережі. IP-телефони Cisco обладнано запитувачем 802.1X. За його допомогою адміністратори мережі можуть контролювати підключення IP-телефонів до портів комутатора LAN. Поточний випуск запитувача 802.1X телефона використовує для автентифікації в мережі параметри EAP-FAST та EAP-TLS.

  • Сервер автентифікації: Сервер автентифікації та комутатор мають бути налаштовані з спільним секретом RADIUS.

  • Комутатор: Комутатор повинен підтримувати 802.1X, щоб виконувати роль автентифікатора та передавати повідомлення EAP між телефоном і сервером автентифікації. Після завершення обміну комутатор надає або блокує телефону доступ до мережі.

Як правило, IP-телефони Cisco й комутатори Cisco Catalyst використовують протокол Cisco Discovery Protocol (CDP) для взаємної ідентифікації та визначення таких параметрів, як розподіл VLAN і вимоги до живлення через лінію.

Щоб налаштувати 802.1X:

  • Налаштуйте CDP/LLDP голос VLAN обхід.

  • Налаштуйте сервер автентифікації та комутатор перед тим, як увімкнути автентифікацію 802.1X для дротових мереж на телефоні.

  • Налаштуйте голосову VLAN. Стандарт 802.1X не враховує VLAN, а тому вам потрібно налаштовувати цей параметр залежно від підтримки комутатора.

    • Увімкнено: Якщо ви використовуєте комутатор, який підтримує багатодоменну автентифікацію, ви можете налаштувати його на використання голосу VLAN.
    • Не підтримується. Якщо ваш комутатор не підтримує багатодоменну автентифікацію, вимкніть голосову VLAN і призначте порт нативній мережі VLAN.
  • Cisco Бездротовий телефон 9821 має інший префікс у PID, ніж у інших телефонів Cisco. Щоб дозволити телефону пройти автентифікацію 802.1X, встановіть радіус· Параметр ім'я користувача , щоб включити ваш Cisco Wireless Phone 9821.

    Наприклад, PID бездротового телефону Cisco 9821 — це WP-9821. Ви можете встановити радіус· Ім'я користувача починається з WP або містить WP у обох наступних розділах:

    • Політика > Умови > Умови бібліотеки

    • Політики > Набори політик> Політика авторизації> Правило авторизації 1

Увімкніть автентифікацію 802.1X для дротових мереж на вашому телефоні

Дотримуйтесь цих кроків, щоб увімкнути автентифікацію 802.1X для дротових мереж на вашому телефоні. Зверніть увагу, що автентифікація 802.1X для Wi-Fi увімкнена за замовчуванням і не потребує ручного налаштування.

1

Доступ до налаштувань 9821 Settings app icon Додаток.

2

Якщо запитають, введіть пароль, щоб перейти до меню Налаштувань . Пароль можна отримати у свого адміністратора.

3

Виберіть налаштування адміністратора > Налаштування безпеки> 802.1X Автентифікація.

4

Виділіть автентифікацію пристрою і натисніть On.

Увімкнути автентифікацію 802.1X для дротових мереж на веб-сторінці телефону

Коли аутентифікація 802.1X для дротових мереж увімкнена, телефон використовує автентифікацію 802.1X для запиту доступу до мережі через Ethernet-LAN-порт. Коли автентифікація 802.1X для дротових мереж вимкнена, телефон використовує Cisco Discovery Protocol (CDP) для отримання VLAN та доступу до мережі. Зверніть увагу, що автентифікація 802.1X для Wi-Fi увімкнена за замовчуванням і не потребує ручного налаштування.

Ви можете обрати сертифікат (MIC/SUDI або CDC), який використовується для автентифікації 802.1X. Для отримання додаткової інформації про CDC дивіться Сертифікат індивідуального пристрою на Cisco Wireless Phone 9821.

Ви можете переглянути статус транзакції та налаштування безпеки у меню екрану телефону. Для отримання додаткової інформації дивіться у меню налаштувань безпеки на телефоні.

1

Увімкніть автентифікацію 802.1X.

Виберіть "Голосовий зв’язок" > "Система". У розділі автентифікації 802.1X встановіть параметр Увімкнути автентифікацію 802.1X на так.

Цей параметр також можна налаштувати у конфігураційному файлі (cfg.XML):

<Enable_802.1X_Автентифікація ua="rw">Так</Enable_802.1X_Автентифікація>

Допустимі значення: Так|Ні

За замовчуванням: No (Ні)

2

У розділі автентифікації 802.1X виберіть один із наступних встановлених сертифікатів, які використовуються для автентифікації 802.1X, зі списку випадаючого списку Вибір сертифіката.

Варіанти вартості:

  • Встановлено виробництво: MIC/SUDI.
  • Індивідуальна встановлена: Сертифікат власного пристрою (CDC).

Цей параметр також можна налаштувати у конфігураційному файлі (cfg.XML):

<Certificate_Select ua="RW">Індивідуально встановлено</Certificate_Select>

Дійсні значення: встановлено виробництво|Індивідуальна установка

За замовчуванням: встановлено виробництво

3

Налаштуйте параметр користувача ID , який буде використовуватися як ідентичність для автентифікації 802.1X у дротовій мережі.

Ця конфігурація застосовується лише тоді, коли ви використовуєте Сертифікат Власного Пристрою (CDC) для дротової автентифікації 802.1X, при цьому Вибір Сертифіката встановлений як Користуваць.

Ви також можете налаштувати цей параметр у конфігураційному файлі (cfg.XML):

<Wired_User_ID ua="na"></Wired_User_ID>

Допустимі значення: максимум 127 символи

За замовчуванням: пусто

Цей параметр також підтримує змінні розширення макро, див. Macro expansion variables для деталей.

Якщо ви хочете налаштувати користувача ID використовуючи комбінацію з опціями DHCP, дивіться Provisioning of User ID через DHCP опцію 15.

4

Натисніть "Надіслати всі зміни".

Меню налаштувань безпеки на телефоні

Щоб переглянути інформацію про налаштування безпеки з меню телефону, перейдіть до розділу Налаштування 9821 Settings app icon і виберіть налаштування адміністратора > налаштування безпеки > 802.1X автентифікації. Доступність інформації залежить від мережевих налаштувань у вашій організації.

параметри;

Варіанти

За замовчуванням

Опис

Автентифікація пристрою

Увімк.

Вимк.

Вимк.

Вмикає або вимикає автентифікацію 802.1X на телефоні.

Параметри можна зберігати після реєстрації телефону Out-Of-Box (OOB).

Стан транзакції

Вимкнуто

Відображає стан автентифікації 802.1X. Штат може бути (не обмежуючись):

  • Автентифікація — Означає, що процес автентифікації триває.
  • Автентифіковано — Означає, що телефон автентифікований.
  • Вимкнено — Означає, що автентифікація 802.1x вимкнена на телефоні.
  • Підключення — Означає, що телефон надсилає повідомлення EAP start комутатору кожні 30 секунд.
  • Отримано — Означає, що комутатор відхилив запит EAP телефону, і телефон не отримує виклику EAP-TLS або EAP-FAST від комутатора. Телефон знову намагається надіслати запити EAP.
  • Відключено — Означає, що кабель Ethernet від'єднаний.
  • Утримано — Означає, що комутатор обробив запит EAP телефону, але відхилив автентифікацію EAP-FAST або EAP-TLS. Телефон знову намагається надіслати запити EAP.

Протокол

Немає

Відображає метод EAP, який використовується для автентифікації 802.1X. Протокол може бути EAP-FAST або EAP-TLS.

Тип сертифіката користувача

Встановлено виробництво

Індивідуальна установка

Встановлено виробництво

Вибирає сертифікат для автентифікації 802.1X під час початкової реєстрації та поновлення сертифіката.

  • Встановлено виробництво — використовується Secure Unique Device Identifier (SUDI).
  • Індивідуальна установка — використовується сертифікат Custom Device Certificate (CDC). Такий тип сертифіката можна встановити або вручну завантажуючи на веб-сторінку телефону, або встановлюючи з сервера Simple Certificate Enrollment Protocol (SCEP).

Цей параметр з'являється на телефоні лише тоді, коли аутентифікація пристрою увімкнена.

Змініть пароль користувача та адміністратора

Після початкової реєстрації в системі керування дзвінками або після скидання до заводських налаштувань потрібно налаштувати паролі користувача та адміністратора при першому заході на веб-сторінку адміністрування телефону. Ви можете оновлювати ці облікові дані у будь-який час для підтримки безпеки пристрою.

Правила дійсних паролів включають наступне:

  • Пароль повинен містити від 8 до 127 символів.
  • Комбінація (три з чотирьох типів) великої літери, маленької нижньої літери, числа та спеціального символу.
  • Місце не дозволено.
1

Відкрийте веб-сторінку адміністрування телефона.

2

Виберіть "Голосовий зв’язок" > "Система".

3

(За бажанням) У розділі «Налаштування системи» встановіть параметр «Попередження про відображення пароля» на «Так», а потім натисніть «Надіслати всі зміни».

Ви також можете увімкнути параметри у файлі конфігурації телефону (cfg.XML).

<Display_Password_Warnings ua="na">Так</Display_Password_Warnings>

За замовчуванням: Так

Варіанти: Так|Ні

Якщо параметр встановлений на No, попередження про пароль не з'являється на екрані телефону.

4

Знайдіть параметр User Password або Admin Password і натисніть Change Password поруч із параметром.

5

Введіть поточний пароль користувача у поле «Старий пароль ».

6

Введіть новий пароль у поле «Новий пароль ».

Якщо новий пароль не відповідає дійсним правилам пароля, налаштування буде відхилено.

7

Натисніть Submit (Надіслати).

На вебсторінці відобразиться повідомлення Пароль успішно змінено. Веб-сторінка оновиться за кілька секунд.

Після встановлення пароля користувача цей параметр відображає наступне у файлі XML конфігурації телефону (див. ffg.XML):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="RW">*************</User_Password> -->

Встановіть мінімальну версію TLS для клієнта і сервера

За замовчуванням мінімальна версія TLS для клієнта і сервера — 1.2. Це означає, що клієнт і сервер погоджуються встановлювати з'єднання з TLS 1.2 або вище. Підтримувана максимальна версія TLS для клієнта і сервера — 1.3. Після налаштування мінімальна версія TLS буде використовуватися для переговорів між клієнтом TLS та сервером TLS.

Ви можете встановити мінімальну версію TLS для клієнта та сервера відповідно, наприклад 1.1, 1.2 або 1.3.

Перш ніж почати

Переконайтеся, що сервер TLS підтримує мінімальну налаштовану версію TLS. Ви можете проконсультуватися з адміністратором системи керування дзвінками.

1

Відкрийте веб-сторінку адміністрування телефона.

2

Виберіть "Голосовий зв’язок" > "Система".

3

У розділі Налаштування безпеки налаштуйте параметр TLS Client min Version.

  • TLS 1.1: Клієнт TLS підтримує версії TLS з 1.1 по 1.3.

    Якщо версія TLS на сервері нижча за 1.1, то з'єднання не можна встановити.

  • TLS 1.2 (за замовчуванням): Клієнт TLS підтримує TLS 1.2 та 1.3.

    Якщо версія TLS на сервері нижча за 1.2, наприклад, 1.1, то з'єднання не можна встановити.

  • TLS 1.3: Клієнт TLS підтримує лише TLS 1.3.

    Якщо версія TLS на сервері нижча за 1.3, наприклад, 1.2 або 1.1, то з'єднання не можна встановити.

    Якщо хочете встановити параметр "TLS Client Min Version" на "TLS 1.3", переконайтеся, що серверна сторона підтримує TLS 1.3. Якщо серверна сторона не підтримує TLS 1.3, це може спричинити критичні проблеми. Наприклад, операції провізування не можуть бути виконані на телефонах.

Ви також можете налаштувати цей параметр у конфігураційному файлі (cfg.XML):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Дозволені значення: TLS 1.1, TLS1.2 та TLS 1.3.

За замовчуванням: TLS 1.2

4

У розділі «Налаштування безпеки» налаштуйте параметр TLS Server min Version.

Webex Calling не підтримує TLS 1.1.

  • TLS 1.1: Сервер TLS підтримує версії TLS з 1.1 по 1.3.

    Якщо версія TLS у клієнті нижча за 1.1, то з'єднання не можна встановити.

  • TLS 1.2 (за замовчуванням): Сервер TLS підтримує TLS 1.2 та 1.3.

    Якщо версія TLS у клієнті нижча за 1.2, наприклад, 1.1, то з'єднання не можна встановити.

  • TLS 1.3: Сервер TLS підтримує лише TLS 1.3.

    Якщо версія TLS у клієнті нижча за 1.3, наприклад, 1.2 або 1.1, то з'єднання не можна встановити.

Ви також можете налаштувати цей параметр у конфігураційному файлі (cfg.XML):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Дозволені значення: TLS 1.1, TLS1.2 та TLS 1.3.

За замовчуванням: TLS 1.2

5

Натисніть "Надіслати всі зміни".

Увімкнути режим клієнтом для переговорів з безпекою медіаплощини

Щоб захистити медіасесії, ви можете налаштувати телефон так, щоб він ініціював переговори про безпеку медіаплощини з сервером. Механізм безпеки відповідає стандартам, викладеним у RFC 3329 та його проєкті розширення «Назви механізмів безпеки для медіа» (див . https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Передача переговорів між телефоном і сервером може використовувати протокол SIP над UDP, TCP, і TLS. Можна обмежити, що узгодження безпеки медіаплощини застосовується лише тоді, коли протокол транспорту сигналізації — TLS.

Таблиця 2. Параметри для переговорів щодо безпеки медіаплощини
ПараметрОпис

Запит MediaSec

Вказує, чи ініціює телефон переговори про безпеку медіаплощини з сервером.

Виконайте одну з таких дій:

  • У файлі конфігурації телефона XML (cfg.xml) введіть рядок у такому форматі:

    <MediaSec_Request_1_ ua="na">Так</MediaSec_Request_1_>
  • У веб-інтерфейсі телефону встановіть це поле на Так або Ні за потреби.

Дозволені значення: Так|Ні

  • Так — Клієнт-ініційований режим. Телефон ініціює переговори з безпекою медіа-літака.
  • Ні — Режим, ініційований сервером. Сервер ініціює переговори з безпеки медіаплощини. Телефон не ініціює переговори, але може обробляти запити на переговори від сервера для встановлення безпечних дзвінків.

За замовчуванням: No (Ні)

MediaSec над TLS

Визначає протокол транспортування сигналізації, над яким застосовується узгодження безпеки медіаплощини.

Перед тим, як встановити це поле на Так, переконайтеся, що протокол транспорту сигналізації має значення TLS.

Виконайте одну з таких дій:

  • У файлі конфігурації телефона XML (cfg.xml) введіть рядок у такому форматі:

    <MediaSec_Over_TLS_Only_1_ ua="na">Ні</MediaSec_Over_TLS_Only_1_>

  • У веб-інтерфейсі телефону встановіть це поле на Так або Ні за потреби.

Дозволені значення: Так|Ні

  • Так — телефон ініціює або веде переговори щодо безпеки медіа-літака лише тоді, коли сигнальний транспортний протокол — TLS.
  • Ні — Телефон ініціює та веде переговори з безпеки медіа-літака незалежно від протоколу передачі сигналу.

За замовчуванням: No (Ні)

1

Відкрийте веб-сторінку адміністрування телефона.

2

Виберіть "Голосовий зв’язок" > "Внутрішній номер (n)".

3

У розділі SIP Settings встановіть поля MediaSec Request і MediaSec Over TLS Only , як визначено у наведеній вище таблиці.

4

Натисніть "Надіслати всі зміни".

Чи була ця стаття корисною?
Чи була ця стаття корисною?