Mukautettu laitevarmenne (CDC) 802.1X

Asenna mukautettu laitevarmenne manuaalisesti

Voit asentaa puhelimen mukautettuun laitevarmenteeseen (CDC) manuaalisesti lataamalla varmenteen puhelimen hallinnan Web-sivulta.

Ennen aloittamista

Ennen kuin voit asentaa puhelimelle mukautetun laitevarmenteen, sinulla on oltava:

  • Tietokoneeseen tallennettu varmennetiedosto (.p12 tai .pfx). Tiedosto sisältää varmenteen ja yksityisen avaimen.
  • Varmenteen salasanan purku. Salasanaa käytetään varmennetiedoston salauksen purkamiseen.
1

Siirry puhelimen hallintaverkkosivulle.

2

Valitse varmenne.

3

Valitse Lisää varmenne - osassa Selaa...

4

Siirry tietokoneen varmenteeseen.

5

Anna varmenneuutteen salasana Pura salasana -kenttään.

6

Napsauta Lataa.

Jos varmennetiedosto ja salasana ovat oikein, saat viestin "Varmenne lisätty". Muussa tapauksessa lataaminen epäonnistuu, ja näyttöön tulee virheilmoitus, joka osoittaa, ettei varmennetta voi ladata.
7

Tarkista asennetun varmenteen tiedot valitsemalla Olemassa olevat varmenteet -osasta Näytä .

8

Poista asennettu varmenne puhelimesta valitsemalla Olemassa olevat varmenteet -osasta Poista .

Kun napsautat painiketta, poistotoiminto käynnistyy heti ilman vahvistusta.

Jos varmenne poistetaan, näyttöön tulee sanoma "Varmenne poistettu".

SCEP asentaa mukautetun laitevarmenteen automaattisesti

Voit määrittää SCEP (Simple Certificate Enrollment Protocol) -parametrit asentamaan mukautetun laitevarmenteen (CDC) automaattisesti, jos et halua ladata varmennetiedostoa manuaalisesti tai sinulla ei ole varmennetiedostoa valmiina.

Kun SCEP-parametrit on määritetty oikein, puhelin lähettää pyyntöjä SCEP-palvelimeen ja varmenteiden myöntäjän varmenne tarkistetaan laitteen määrittämällä sormenjäljellä.

Ennen aloittamista

Ennen kuin voit asentaa puhelimelle mukautetun laitevarmenteen automaattisesti, sinulla on oltava:

  • SCEP-palvelimen osoite
  • SCEP-palvelimen varmenteen päävarmenteen SHA-1 tai SHA-256-sormenjälki
1

Siirry puhelimen hallintaverkkosivulle.

2

Valitse varmenne.

3

Määritä SCEP-määritykset 1 -osassa parametrit seuraavassa taulukossa ScEP-kokoonpanon parametrit kuvatulla tavalla.

4

Valitse Submit All Changes.

SCEP-kokoonpanon parametrit

Seuraavassa taulukossa määritetään SCEP-määritysparametrien toiminta ja käyttö SCEP-kokoonpanon 1 osassa Puhelimen Web-käyttöliittymän Varmenne-välilehdessä . Se määrittää myös puhelimen määritystiedostoon (cfg.xml) lisätyn merkkijonon syntaksin parametrin määrittämiseksi.

Taulukko 1. SCEP-kokoonpanon parametrit
ParametriKuvaus
Palvelin

SCEP-palvelimen osoite. Tämä parametri on pakollinen.

Tee jokin seuraavista:

  • Syötä merkkijono seuraavassa muodossa XML-koodin (cfg.xml) sisältävään puhelimen kokoonpanotiedostoon:

    <CDC_Server_1_ ua="na">ääritä://10.79.57.91</CDC_Server_1_>

  • Anna puhelimen Web-sivulla SCEP-palvelimen osoite.

Kelvolliset arvot: URL- tai IP-osoite. HTTPS-mallia ei tueta.

Oletus: tyhjä

Varmenteiden päämyöntäjän tunniste

VARmenteen päämyöntäjän SHA256- tai SHA1-sormenjälki scep-prosessin aikana. Tämä parametri on pakollinen.

Tee jokin seuraavista:

  • Syötä merkkijono seuraavassa muodossa XML-koodin (cfg.xml) sisältävään puhelimen kokoonpanotiedostoon:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • Anna kelvollinen sormenjälki puhelimen Web-sivulla.

Oletus: tyhjä

Haasteen salasana

Ca-varmenteen myöntäjän puhelinta vastaan antaman salasanan haastesalasana SCEP:n kautta rekisteröitymisen aikana. Tämä parametri on valinnainen.

Varsinaisen SCEP-ympäristön mukaan haastesalasanan toiminta vaihtelee.

  • Jos puhelin saa CA:n kanssa yhteydessä olevan Cisco RA:n varmenteen, myöntäjä ei tue haasteen salasanaa. Tässä tapauksessa Cisco RA käyttää puhelimen MIC/SUDI-todennusta ca-yhteyden käyttämiseen. Puhelin käyttää MIC/SUDI:a sekä ensimmäiseen ilmoittautumiseen että varmenteen uusimiseen.
  • Jos puhelin saa varmenteen viestimällä suoraan myöntäjän kanssa, haasteen salasana on tuettu myöntäjän sertifikaatissa. Jos se on määritetty, sitä käytetään vain alkurekisteröintiin. Varmenteen uusimisessa käytetään sen sijaan asennettua varmennetta.

Tee jokin seuraavista:

  • Syötä merkkijono seuraavassa muodossa XML-koodin (cfg.xml) sisältävään puhelimen kokoonpanotiedostoon:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Salasana on peitetty määritystiedostossa.

  • Anna puhelimen Web-sivulla haasteen salasana.

Oletus: tyhjä

SCEP-parametrien määritys DHCP-vaihtoehdon 43 kautta

Puhelimen Web-sivun manuaalisten määritysten SCEP-varmennerekisteröinnin lisäksi voit käyttää DHCP-asetusta 43 myös DHCP-palvelimen parametrien täyttämiseen. DHCP-asetus 43 on esimääritetty SCEP-parametreilla. Myöhemmin puhelin voi noutaa parametrit DHCP-palvelimesta SCEP-varmennerekisteröintiä varten.

  • SCEP-parametrien määritykset DHCP-asetuksen 43 kautta ovat käytettävissä vain puhelimessa, jossa tehdasasetukset palautetaan.
  • Puhelimia ei saa sijoittaa verkkoon, joka tukee sekä asetuksen 43 että etävalmistelya (esimerkiksi asetukset 66,160,159,150 tai pilvivalmistely). Muussa tapauksessa puhelimet eivät välttämättä saa Option 43 -määrityksiä.

Jos haluat rekisteröidä SCEP-varmenteen määrittämällä SCEP-parametrit DHCP-vaihtoehtoon 43, tee seuraavaa:

  1. Valmistele SCEP-ympäristö.

    Lisätietoja SCEP-ympäristön määrittämisestä on SCEP-palvelimen käyttöoppaissa.

  2. Määritä DHCP-asetus 43 (määritetty kohdassa 8.4 Toimittajan erityistiedot, RFC 2132).

    Subominans (10–15) on varattu menetelmälle:

    Puhelimen Web-sivun parametritSubsummaniTyyppiPituus (tavu)Pakollinen
    FIPS-tila10Boolean1Ei*
    Palvelin11merkkijono208 - pituus (Challenge Password)Kyllä
    Varmenteiden päämyöntäjän tunniste12binääri20 tai 32Kyllä
    Haasteen salasana13merkkijono208 - pituus (palvelin)Ei*
    Ota 802.1X-todennus käyttöön14Boolean1Ei
    Varmenteen valitseminen158-bittinen allekirjoittamaton1Ei

    Kun käytät DHCP-asetusta 43, huomaa seuraavat menetelmän ominaisuudet:

    • Subominans (10–15) on varattu CDC-varmennetta varten.
    • Asetuksen 43 DHCP enimmäispituus on 255 tavua.
    • Server + Challenge Password -salasanan enimmäispituus on oltava alle 208 tavua.
    • FIPS-tilan arvon on oltava yhtenäinen laivallaolon valmistelun määritysten kanssa. Muussa tapauksessa puhelin ei pysty noutamaan aiemmin asennettua varmennetta lautaan asentamisen jälkeen. Erityisesti
      • Jos puhelin rekisteröidään ympäristöön, jossa FIPS-tila on poistettu käytöstä, sinun ei tarvitse määrittää FIPS-tila-parametria DHCP vaihtoehdossa 43. FIPS-tila on oletusarvoisesti poistettu käytöstä.
      • Jos puhelin rekisteröidään ympäristöön, jossa FIPS-tila on käytössä, sinun on otettava FIPS-tila käyttöön DHCP vaihtoehto 43. Lisätietoja on FIPS-tilan käyttöönotossa.
    • Vaihtoehdon 43 salasana on tekstinä cleartext.

      Jos haasteen salasana on tyhjä, puhelin käyttää MIC/SUDI:a ensimmäiseen ilmoittautumiseen ja varmenteen uusimiseen. Jos haasteen salasana on määritetty, sitä käytetään vain alkurekisteröintiin ja asennettua varmennetta käytetään varmenteen uusimiseen.

    • Enable 802.1X -todennus ja varmennevalinta ovat käytössä vain langallisen verkon puhelimissa.
    • DHCP laitemallin tunnistamiseen käytetään valintaa 60 (toimittajaluokan tunnus).

    Seuraavassa taulukossa on esimerkki DHCP vaihtoehdosta 43 (sublevyns 10–15):

    Subliittymän desimaali/heksaArvon pituus (tavu) desimaali/heksaArvoHeksa-arvo
    10/0a pistettä1/011 (0: Ei käytössä; 1: Käytössä)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0d16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0: Ei; 1: Kyllä)01
    15/0f1/011 (0: Valmistus asennettu; 1: Mukautettu asennettu) 01

    Parametrien yhteenveto:

    • FIPS-tila = käytössä

    • Palvelin = http://10.79.57.91

    • Varmenteiden päämyöntäjän sormenjälki = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Haasteen salasana = D233CCF9B9952A15

    • Ota 802.1X-todennus käyttöön = Kyllä

    • Varmennevalinta = Mukautettu asennettu

    Lopullisen heksa-arvon syntaksi on: {<subleveyn><pituus><arvo>}...

    Edellä olevien parametrien mukaan lopullinen heksa-arvo on seuraava:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Määritä DHCP asetus 43 DHCP palvelimesta.

    Tässä vaiheessa on esimerkki Cisco Network Registerin DHCP asetuksen 43 kokoonpanosta.

    1. Lisää DHCP asetusmäärityssarja.

      Toimittajan asetusmerkkijono on IP puhelimen mallinimi. Kelvollinen arvo on: DP-9841, DP-9851, DP-9861, DP-9871 tai CP-8875.

    2. Lisää DHCP -asetus 43 ja alimallit DHCP-asetusjoukkoon.

      Esimerkki:

      Näyttökuva cisco network registerin DHCP option 43 määrit.

    3. Lisää DHCP-käytäntöön asetuksia 43 ja määritä arvo seuraavasti:

      Esimerkki:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Tarkista asetukset. Wiresharkilla voit tallentaa jäljet puhelimen ja palvelun välisestä verkkoliikenteestä.
  4. Tee puhelimen tehdasasetusten palautus.

    Kun puhelin on palautettu, parametrit Palvelin , Varmenteiden päämyöntäjän sormenjälkitunnus ja Haastesalasana tulevat automaattisesti täytetyksi. Nämä parametrit sijaitsevat Puhelimen hallinnan Web-sivun SCEP-kokoonpanon 1 osassa Certificate > Custom .

    Tarkista asennetun varmenteen tiedot valitsemalla Olemassa olevat varmenteet -osasta Näytä .

    Tarkista varmenteen asennustila valitsemalla Varmenne > Todennuksen varmenteen tila. Latauksen tila 1 näyttää viimeisimmän tuloksen. Jos varmenteen ilmoittautumisen aikana ilmenee ongelmia, latauksen tila voi näyttää vianmäärityksen ongelman syyn.

    Jos haasteen salasanan todennus epäonnistuu, käyttäjiä pyydetään antamaan salasana puhelimen näyttöön.
  5. (Valinnainen): Poista asennettu varmenne puhelimesta valitsemalla Olemassa olevat varmenteet -osasta Poista .
    Kun napsautat painiketta, poistotoiminto käynnistyy heti ilman vahvistusta.

SCEP:n uusima varmenne

SCEP-prosessi voi päivittää laitevarmenteen automaattisesti.

  • Puhelin tarkistaa, vanheneeko varmenne 15 päivän kuluttua 4 tunnin välein. Jos näin on, puhelin aloittaa varmenteen uusimisprosessin automaattisesti.
  • Jos haasteen salasana on tyhjä, puhelin käyttää MIC/SUDI-sertifikaattia sekä alkurekisteröinnissä että varmenteen uusimisessa. Jos haasteen salasana on määritetty ja sitä käytetään vain alkurekisteröintiin, olemassa olevaa/asennettua varmennetta käytetään varmenteen uusimiseen.
  • Puhelin ei poista vanhaa laitevarmennetta ennen kuin se noutaa uuden.
  • Jos varmenteen uusiminen epäonnistuu laitevarmenteen tai myöntäjän vanhentumisen vuoksi, puhelin käynnistää ensimmäisen ilmoittautumisen automaattisesti. Jos haasteen salasanan todennus epäonnistuu, puhelimen näyttöön avautuu salasanan syötenäyttö ja käyttäjiä kehotetaan antamaan puhelimen haastesalasana.

Määritä asiakkaan ja palvelimen TLS vähimmäisversio

Asiakkaan ja palvelimen TLS-versio on oletusarvoisesti 1,2. Tämä tarkoittaa, että asiakas ja palvelin voivat muodostaa yhteyden TLS 1.2 tai uudempiin. Asiakkaan ja palvelimen TLS tuettu enimmäisversio on 1,3. Kun TLS-versio on määritetty, sitä käytetään TLS- ja TLS-palvelimen väliissä neuvotteluissa.

Voit määrittää asiakkaalle ja palvelimelle TLS vähimmäisversion, esimerkiksi 1.1, 1.2 tai 1.3.

Ennen aloittamista

Varmista, että TLS-palvelin tukee määritettyä TLS vähimmäisversiota. Voit neuvotella puhelunhallintajärjestelmän järjestelmänvalvojan kanssa.
1

Siirry puhelimen hallintaverkkosivulle.

2

Valitse Puheposti > järjestelmä.

3

Määritä parametri Suojausasetukset-osassa TLS Asiakkaan minimiversio .

  • TLS 1.1: TLS-asiakas tukee TLS versioita 1.1-1.3.

    Jos palvelimen TLS-versio on pienempi kuin 1,1, yhteyttä ei voi muodostaa.

  • TLS 1.2 (oletusarvo): TLS-asiakas tukee TLS 1.2 ja 1.3.

    Jos palvelimen TLS-versio on pienempi kuin 1.2, esimerkiksi 1.1, yhteyttä ei voi muodostaa.

  • TLS 1.3: TLS-asiakas tukee vain TLS 1.3.

    Jos palvelimen TLS-versio on pienempi kuin 1.3, esimerkiksi 1.2 tai 1.1, yhteyttä ei voida muodostaa.

    Jos haluat määrittää parametrin "TLS Client Min Version" arvoon "TLS 1.3", varmista, että palvelinpuoli tukee TLS 1.3. Jos palvelinpuoli ei tue TLS 1.3, tämä voi aiheuttaa vakavia ongelmia. Esimerkiksi valmistelutoimintoja ei voida suorittaa puhelimissa.

Voit määrittää tämän parametrin myös määritystiedostossa (cfg.xml):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Sallitut arvot: TLS 1.1, TLS1.2 ja TLS 1.3.

Oletus: TLS 1.2

4

Määritä kohdassa Suojausasetukset parametri TLS-palvelimen vähimmäisversio.

Webex-puhelut eivät tue TLS 1.1 -salausta.
  • TLS 1.1: TLS-palvelin tukee TLS-versioita 1.1–1.3.

    Jos asiakasohjelman TLS-versio on vanhempi kuin 1.1, yhteyttä ei voida muodostaa.

  • TLS 1.2 (oletus): TLS-palvelin tukee TLS 1.2- ja 1.3-salauksia.

    Jos asiakkaan TLS-versio on vanhempi kuin 1.2, esimerkiksi 1.1, yhteyttä ei voida muodostaa.

  • TLS 1.3: TLS-palvelin tukee vain TLS 1.3:a.

    Jos asiakkaan TLS-versio on vanhempi kuin 1.3, esimerkiksi 1.2 tai 1.1, yhteyttä ei voida muodostaa.

Voit määrittää tämän parametrin myös asetustiedostossa (cfg.xml):

<tls_server_min_version>TLS 1.2</tls_server_min_version>

Sallitut arvot: TLS 1.1, TLS1.2 ja TLS 1.3.

Oletusarvo: TLS 1.2

5

Valitse Submit All Changes.

Ota FIPS-tila käyttöön

Voit tehdä puhelimestasi FIPS-yhteensopivan (Federal Information Processing Standards).

FIPS on joukko standardeja, jotka kuvaavat asiakirjojen käsittelyä, salausalgoritmeja ja muita tietotekniikkastandardeja käytettäväksi ei-sotilaallisissa hallinnon palveluissa sekä valtion urakoitsijoiden ja virastojen kanssa työskentelevien toimittajien toimesta. CiscoSSL FOM (FIPS Object Module) on huolellisesti määritelty ohjelmistokomponentti, joka on suunniteltu yhteensopivaksi CiscoSSL-kirjaston kanssa, joten CiscoSSL-kirjastoa ja API:a käyttävät tuotteet voidaan muuntaa käyttämään FIPS 140-2 -validoitua salausta minimaalisella vaivalla.

1

Siirry puhelimen hallintaverkkosivulle.

2

Valitse Ääni > Järjestelmä.

3

Valitse Suojausasetukset -osiossa Kyllä tai Ei parametrista FIPS-tila .

4

Valitse Submit All Changes.

Kun otat FIPSin käyttöön, seuraavat ominaisuudet toimivat saumattomasti puhelimessa:
  • Kuvan todennus
  • Turvallinen säilytys
  • Konfigurointitiedoston salaus
  • TLS:
    • HTTP-yhteydet
    • PRT-lataus
    • Laiteohjelmistopäivitys
    • Profiilin uudelleensynkronointi
    • Palvelu junassa
    • Webex-perehdytys
    • Suojattu SIP over TLS -protokolla
    • 802.1x (langallinen)
  • SIP-tiivistelmä (RFC 8760)
  • SRTP
  • Webex-puhelulokit ja Webex-hakemisto
  • Yhden painikkeen painallus (OBTP)

Suojaussertifikaatin poistaminen manuaalisesti

Voit poistaa suojaussertifikaatin puhelimesta manuaalisesti, jos Simple Certificate Enrollment Protocol (SCEP) ei ole käytettävissä.

1

Valitse puhelimen hallinnan verkkosivulta Varmenteet.

2

Etsi varmenne Varmenteet -sivulta.

3

Valitse Poista.

4

Käynnistä puhelin uudelleen poistoprosessin päätyttyä.

Aseta käyttäjän ja järjestelmänvalvojan salasanat

Kun puhelin on rekisteröity puhelujenhallintajärjestelmään ensimmäisen kerran tai olet tehnyt puhelimen tehdasasetusten palautuksen, sinun on asetettava käyttäjän ja järjestelmänvalvojan salasanat puhelimen turvallisuuden parantamiseksi. Kun salasanat on asetettu, voit käyttää puhelimen verkkokäyttöliittymää.

Oletusarvoisesti käyttäjän ja järjestelmänvalvojan salasanat ovat tyhjät. Siksi löydät "Salasanoja ei annettu" -ongelman puhelimen näytöltä kohdasta Asetukset >> Ongelmat ja diagnostiikka > Ongelmat .

1

Siirry puhelimen hallintasivulle

2

Valitse Ääni > Järjestelmä.

3

(Valinnainen) Aseta Järjestelmän kokoonpano -osiossa Näytä salasanavaroitukset -parametrin arvoksi Kyllä ja napsauta sitten Lähetä kaikki muutokset.

Voit myös ottaa parametrit käyttöön puhelimen määritystiedostossa (cfg.xml).

Kyllä

Oletusarvo: Kyllä

Vaihtoehdot: Kyllä|Ei

Jos parametrin arvoksi on asetettu Ei, salasanavaroitusta ei näy puhelimen näytöllä.

4

Etsi parametri Käyttäjän salasana tai Järjestelmänvalvojan salasana ja napsauta parametrin vieressä olevaa Vaihda salasana -painiketta.

5

Kirjoita nykyinen käyttäjän salasana ``Vanha salasana``-kenttään.

Jos sinulla ei ole salasanaa, pidä kenttä tyhjänä. Oletusarvo on tyhjä.
6

Kirjoita uusi salasana kenttään ``Uusi salasana``.

Kelvolliset salasanasäännöt:

  • Salasanan on oltava vähintään 8–127 merkkiä pitkä.
  • Yhdiste (3/4) isosta kirjaimesta, pienestä kirjaimesta, numerosta ja erikoismerkistä.
  • Tilaa ei sallita.
Jos uusi salasana ei täytä vaatimuksia, asetus hylätään.
7

Valitse Submit.

Verkkosivulle ilmestyy viesti Salasanasi on vaihdettu. Verkkosivu päivittyy muutaman sekunnin kuluttua.

Kun olet asettanut käyttäjän salasanan, tämä parametri näyttää seuraavan puhelimen määritysten XML-tiedostossa (cfg.xml):

802.1X Todennus

Cisco IP -puhelimet tukevat 802.1X-todennusta.

Cisco IP -puhelimet ja Cisco Catalyst -kytkimet käyttävät perinteisesti Cisco Discovery Protocol (CDP) -protokollaa tunnistaakseen toisensa ja määrittääkseen parametrit, kuten VLAN-allokoinnin ja linjan sisäiset virrankulutusvaatimukset. CDP ei tunnista paikallisesti kytkettyjä työasemia. Cisco IP -puhelimissa on EAPOL-läpikulkumekanismi. Tämän mekanismin avulla Cisco IP -puhelimeen liitetty työasema voi välittää EAPOL-viestejä lähiverkkokytkimen 802.1X-todentajalle. Läpikulkumekanismi varmistaa, että IP-puhelin ei toimi lähiverkon kytkimenä datapäätepisteen todentamiseksi ennen verkkoon pääsyä.

Cisco IP -puhelimissa on myös välityspalvelimen EAPOL-uloskirjautumismekanismi. Jos paikallisesti liitetty tietokone katkaisee yhteyden IP-puhelimeen, lähiverkkokytkin ei näe fyysisen yhteyden katkeamista, koska lähiverkkokytkimen ja IP-puhelimen välinen yhteys säilyy. Verkon eheyden vaarantumisen välttämiseksi IP-puhelin lähettää kytkimelle EAPOL-Logoff-viestin alavirran tietokoneen puolesta, mikä käynnistää lähiverkon kytkimen tyhjentämään alavirran tietokoneen todennusmerkinnän.

802.1X-todennuksen tuki vaatii useita komponentteja:

  • Cisco IP -puhelin: Puhelin aloittaa verkon käyttöpyynnön. Cisco IP -puhelimissa on 802.1X-antaja. Tämä pyyntö antaa verkonvalvojille mahdollisuuden hallita IP-puhelinten liitettävyyttä lähiverkkokytkimen portteihin. Puhelimen 802.1X-todennuksen nykyinen versio käyttää EAP-FAST- ja EAP-TLS-asetuksia verkon todennukseen.

  • Todennuspalvelin: Sekä todennuspalvelimen että kytkimen on oltava määritettynä jaetulla salaisuudella, joka todentaa puhelimen.

  • Kytkin: Kytkimen on tuettava 802.1X:ää, jotta se voi toimia todentajana ja välittää viestejä puhelimen ja todennuspalvelimen välillä. Vaihdon päätyttyä kytkin myöntää tai estää puhelimen pääsyn verkkoon.

Sinun on suoritettava seuraavat toimenpiteet 802.1X:n määrittämiseksi.

  • Määritä muut komponentit ennen kuin otat 802.1X-todennuksen käyttöön puhelimessa.

  • Tietokoneen portin konfigurointi: 802.1X-standardi ei ota huomioon VLAN-verkkoja ja suosittelee siksi, että vain yksi laite tulisi todentaa tiettyyn kytkimen porttiin. Jotkin kytkimet kuitenkin tukevat usean verkkotunnuksen todennusta. Kytkimen kokoonpano määrittää, voitko liittää tietokoneen puhelimen PC-porttiin.

    • Käytössä: Jos käytät kytkintä, joka tukee usean verkkotunnuksen todennusta, voit ottaa käyttöön PC-portin ja liittää tietokoneen siihen. Tässä tapauksessa Cisco IP -puhelimet tukevat EAPOL-Logoff-välityspalvelinta kytkimen ja liitetyn tietokoneen välisten todennustietojen vaihdon valvomiseksi.

      Lisätietoja Cisco Catalyst -kytkimien IEEE 802.1X -tuesta on Cisco Catalyst -kytkimen määritysoppaissa osoitteessa:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Pois käytöstä: Jos kytkin ei tue useita 802.1X-yhteensopivia laitteita samassa portissa, sinun on poistettava PC-portti käytöstä, kun 802.1X-todennus on käytössä. Jos et poista tätä porttia käytöstä ja yrität liittää siihen tietokoneen, kytkin estää verkkoyhteyden sekä puhelimeen että tietokoneeseen.

  • Määritä puhe-VLAN: Koska 802.1X-standardi ei vastaa VLAN-standardista, määritä tämä asetus kytkintuen perusteella.
    • Käytössä: Jos käytät monitoimista todennusta tukevaa kytkintä, voit käyttää puhe-VLAN-protokollaa edelleen.
    • Ei käytössä: Jos kytkin ei tue monitoimipaikan todennusta, poista puhe-VLAN käytöstä ja harkitse portin määrittämistä alkuperäiselle VLAN-protokollalle.
  • (Vain Cisco Desk Phone 9800 -sarjalle)

    Cisco Desk Phone 9800 -sarjassa on eri etuliite kuin muissa Cisco-puhelimissa. Määritä säde, jotta puhelin läpäisee 802.1X-todennuksen . Käyttäjänimiparametri , joka sisältää Cisco Desk Phone 9800 -sarjan.

    Esimerkiksi puhelimen 9841 PID on DP-9841; voit asettaa säteellä olevan aset. Käyttäjänimi , joka aloitetaan DP: stä tai sisältää DP:n. Voit määrittää sen molempiin seuraaviin kohtiin:

    • Käytäntö > Ehdot > Eibrary-ehdot

    • Käytäntö > Politiikkasarjat > Valtuutuskäytäntö > Valtuutussääntö 1

Ota 802.1X-todennus käyttöön

Kun 802.1X-todennus on käytössä, puhelin käyttää 802.1X-todennusta verkkoyhteyden pyytämiseen. Kun 802.1X-todennus on poistettu käytöstä, puhelin käyttää Cisco Discovery Protocol (CDP) VLAN- ja verkkoyhteyden hankkimiseen. Voit myös tarkastella tapahtuman tilaa ja muuttaa puhelimen näyttövalikossa.

Kun 802.1X-todennus on käytössä, voit myös valita laitevarmenteen (MIC/SUDI tai mukautettu) ensimmäistä ilmoittautumista ja varmenteen uusimista varten. Tyypillisesti MIC on Cisco Video Phone 8875 -puhelimelle, SUDI on Cisco Desk Phone 9800 -sarjalle. CDC:tä voidaan käyttää todennukseen vain kohdassa 802.1x.

1

Ota 802.1X-todennus käyttöön jollakin seuraavista toimista:

  • Valitse puhelimen WEB-käyttöliittymästä Puheposti>Järjestelmä ja määritä 802.1X-todennusparametriksi Kyllä . Valitse Lähetä kaikki muutokset.
  • Anna määritystiedostoon (cfg.xml) merkkijono, joka on seuraavassa muodossa:

    <Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>

    Kelvollisia arvoja: Kyllä|Ei

    Oletus: Ei

  • Paina puhelimessa Asetukset the Settings hard keyja siirry Verkko- ja palvelu > Suojaus-asetuksiin > 802.1X-todennukseen. Vaihda Laitteen todennuskentän arvoksi Käytössä ja valitse Käytä.

    Lisätietoja parametreista on HTTP-välityspalvelimen asetusten parametreissa .

2

Valitse puhelimen Web-sivulla varmenne (MIC tai mukautettu) 802.1X-todennukselle.

  • Valitse langallisen verkon Osalta Puheposti > Järjestelmä, valitse varmennetyyppi avattavasta Varmenteiden valinta -luettelosta kohdassa 802.1X Todennus.

    Voit määrittää tämän parametrin myös määritystiedostossa (cfg.xml):

    <Certificate_Select ua="rw">Custom asennettu</Certificate_Select>

    Kelvollisia arvoja: Valmistajan asentama|Mukautettu asennettu

    Oletus: Valmistajan asentama

  • Valitse langattomassa verkossa Puheposti>Järjestelmä, valitse osan Avattavasta Varmennevalinta-luettelosta varmennetyyppi Wi-Fi Profiili 1.

    Voit määrittää tämän parametrin myös määritystiedostossa (cfg.xml):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Custom asennettu</Wi-Fi_Certificate_Select_1_>

    Kelvollisia arvoja: Valmistajan asentama|Mukautettu asennettu

    Oletus: Valmistajan asentama

Lisätietoja varmennetyypin valitsemisesta puhelimen näytöstä on kohdassa Puhelimen liittäminen Wi-Fi verkkoon.

Parametrit 802.1X-todennukseen

Parametrit

Asetukset

Oletus

Kuvaus

Laitteen todennus

Milloin:

Ei käytössä

Ei käytössä

Ota 802.1X-todennus käyttöön tai poista se käytöstä puhelimessa.

Parametriasetus voidaan säilyttää puhelimen OOB-rekisteröinnin jälkeen.

Tapahtuman tila

Poissa käytöstä

Näyttää 802.1X-todennuksen tilan. Tila voi olla (ei rajoitu):

  • Todennus: Osoittaa, että todennusprosessi on käynnissä.
  • Todennettu: Osoittaa, että puhelin on todennettu.
  • Ei käytössä: Ilmaisee, että 802.1x-todennus on poistettu käytöstä puhelimessa.

Protokolla

Ei mitään

Näyttää EAP menetelmän, jota käytetään 802.1X-todennukseen. Protokolla voi olla EAP-FAST tai EAP-TLS.

Käyttäjävarmenne

Valmistajan asentama

Mukautettu asennettu

Valmistajan asentama

Valitse varmenne 802.1X-todennusta varten ensimmäisen ilmoittautumisen ja varmenteen uusimisen aikana.

  • Valmistajan asentama – Käytetään Manufacturing Installed Certificate (MIC) ja Secure Unique Device Identifier (SUDI) -varmennetta.
  • Mukautettu asennettu – Mukautettu laitevarmenne (CDC) on käytössä. Tämä varmenne voidaan asentaa joko lataamalla se manuaalisesti puhelimen Web-sivulle tai asentamalla se SCEP-palvelimesta.

Tämä parametri näkyy puhelimessa vain, kun laitteen todennus on käytössä.

Näytä puhelimen suojausasetusten tiedot

Taulukko 2. Suojausasetusten parametrit

Parametrit

Kuvaus

802.1X-todennusOttaa IEEE 802.1X -todennuksen käyttöön tai poistaa sen käytöstä.

Lisätietoja on kohdassa 802.1X-todennus käyttöön.

Taaksepäin yhteensopiva WPA

Määrittää, onko Wi-Fi Protected Accessin (WPA) vanhin versio yhteensopiva langattomaan verkkoon tai tukiasemaan yhteyden muodostamiseksi.

  • Jos asetus on käytössä, puhelin voi etsiä langattomia verkkoja ja muodostaa yhteyden kaikkiin tuettujen WPA versioihin, kuten WPA, WPA2:een ja WPA3:een. Lisäksi puhelin voi etsiä ja muodostaa yhteyden AP-protokollaan, joka tukee vain WPA vanhinta versiota.
  • Jos puhelin ei ole käytössä (oletusarvo), se voi etsiä ja muodostaa yhteyden vain WPA2- ja WPA3-tukiin osallistuviin langattomiin verkkoihin ja APS-verkoihin.

Tämä toiminto on käytettävissä vain 9861/9871/8875-puhelimissa.

Ennen aloittamista

Voit tarkastella suojausasetusten tietoja puhelinvalikossa. Tietojen saatavuus määräytyy organisaation verkkoasetusten mukaan.

1

Valitse Asetukset.the Settings key.

2

Siirry verkko- ja palveluasetuksiin > Suojauksen asetuksiin.

3

Näytä suojausasetukset.

Välityspalvelimen määrittäminen

Voit määrittää puhelimen käyttämään välityspalvelinta suojauksen parantamiseksi. Yleensä HTTP-välityspalvelin voi tarjota seuraavia palveluita:

  • Reititysliikenne sisäisten ja ulkoisten verkkojen välillä
  • Liikennettä suodatetaan, seurataan tai kirjataan
  • Vastausten säilytys tehokkuuden parantamiseksi

HTTP-välityspalvelin voi myös toimia palomuurina puhelimen ja Internetin välillä. Onnistuneen kokoonpanon jälkeen puhelin muodostaa yhteyden Internetiin välityspalvelimen kautta, joka suojaa puhelinta kyberhyökkäykseltä.

Kun HTTP-välityspalvelin on määritetty, se koskee kaikkia sovelluksia, jotka käyttävät HTTP-protokollaa. Esimerkki:

  • GDS (aktivointikoodi onboarding)
  • EDOS-laitteen aktivointi
  • Webex Cloudiin (EDOS:n tai GDS:n kautta)
  • Mukautettu myöntäjä
  • Valmistelu
  • Laiteohjelmiston päivitys
  • Puhelimen tilaraportti
  • PRT-lataus
  • XSI-palvelut
  • Webex-palvelut

  • Tällä hetkellä toiminto tukee vain IPv4:ä.
  • HTTP-välityspalvelimen asetukset voidaan säilyttää puhelimen OOB-rekisteröinnin jälkeen.

1

Siirry puhelimen hallintaverkkosivulle.

2

Valitse Puheposti > järjestelmä.

3

Valitse HTTP-välityspalvelimen asetukset - osassavälityspalvelintila avattavasta välityspalvelintilasta ja määritä niihin liittyvät parametrit.

Lisätietoja kunkin välityspalvelimen tilan parametreista ja pakollisista parametreista on kohdassa HTTP-välityspalvelinasetusten parametrit.

4

Valitse Submit All Changes.

HTTP-välityspalvelimen asetusten parametrit

Seuraavassa taulukossa määritetään HTTP-välityspalvelinparametrien toiminta ja käyttö PUHELIMEN WEB-käyttöliittymän Ääni > Järjestelmä-välilehden HTTP-välityspalvelinasetukset - osassa . Se määrittää myös puhelimen määritystiedostoon (cfg.xml) lisätyn merkkijonon syntaksin XML-koodilla parametrin määrittämiseksi.

ParametriKuvaus
Välityspalvelimen tilaMäärittää puhelimen käyttämän HTTP-välityspalvelimen tilan, tai poistaa HTTP-välityspalvelintoiminnon käytöstä.
  • Automaattinen

    Puhelin noutaa välityspalvelimen automaattisen määritystiedoston (PAC) automaattisesti välityspalvelimen valitsemista varten. Tässä tilassa voit määrittää, käytetäänkö WPAD (Web Proxy Auto Discovery) -protokollaa PAC-tiedoston noutamiseen vai annatko pac-tiedoston kelvollisen URL-osoitteen manuaalisesti.

    Lisätietoja parametreista on tämän taulukon parametreissa "Web Proxy Auto discovery" ja "PAC URL".

  • Manuaalinen

    Sinun on määritettävä manuaalisesti palvelin (isäntänimi tai IP-osoite) ja välityspalvelimen portti.

    Lisätietoja parametreista on välityspalvelimen isännän ja välityspalvelimen portissa.

  • Ei käytössä

    Poista puhelimen HTTP-välityspalvelin käytöstä.

Tee jokin seuraavista:

  • Syötä merkkijono seuraavassa muodossa XML-koodin (cfg.xml) sisältävään puhelimen kokoonpanotiedostoon:

    <Proxy_Mode ua="rw">Off</Proxy_Mode>

  • Valitse puhelimen Web-käyttöliittymässä välityspalvelintila tai poista toiminto käytöstä.

Sallitut arvot: Autom. manuaalinen ja Ei käytössä

Oletus: ei käytössä

Automaattinen Web-välityspalvelimen löytäminenMäärittää, käyttääkö puhelin PAC-tiedoston noutamiseen Web Proxy Auto Discovery (WPAD) -protokollaa.

WPAD-protokolla käyttää DHCP- tai DNS-protokollaa tai molempia verkkoprotokollia etsiäkseen välityspalvelimen automaattisen kokoonpanon tiedoston automaattisesti. PAC-tiedostoa käytetään tietyn URL-osoitteen välityspalvelimen valitsemiseen. Tiedostoa voidaan isännöidä paikallisesti tai verkossa.

  • Parametrin määritykset tulevat voimaan, kun välityspalvelintilaksi on valittu Autom.
  • Jos määrität parametriksi Ei, sinun on määritettävä PAC URL.

    Lisätietoja parametrista on tämän taulukon PAC URL -parametrissa.

Tee jokin seuraavista:

  • Syötä merkkijono seuraavassa muodossa XML-koodin (cfg.xml) sisältävään puhelimen kokoonpanotiedostoon:

    <Web_Proxy_Auto_Discovery ua="rw">Yes</Web_Proxy_Auto_Discovery>

  • Valitse puhelimen WEB-käyttöliittymästä Kyllä tai Ei tarpeen mukaan.

Sallitut arvot: Kyllä ja Ei

Oletusarvo: Kyllä

PAC-osoitePAC-tiedoston URL-osoite.

Esimerkiksi http://proxy.department.branch.example.com

TFTP-, HTTP- ja HTTPS-tukia tuetaan.

Jos määrität välityspalvelimen tilaksi Automaattisen ja Web-välityspalvelimen automaattisen löytämisen arvoksi Ei, sinun on määritettävä tämä parametri.

Tee jokin seuraavista:

  • Syötä merkkijono seuraavassa muodossa XML-koodin (cfg.xml) sisältävään puhelimen kokoonpanotiedostoon:

    <PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL>

  • Anna puhelimen Web-käyttöliittymään kelvollinen URL-osoite, joka sijaitsee PAC-tiedostossa.

Oletus: tyhjä

Välityspalvelimen isäntäPuhelimen käytettävän välityspalvelimen IP-osoite tai isäntänimi. Esimerkki:

proxy.example.com

Mallia (http:// or https://) ei tarvita.

Jos määrität välityspalvelintilaksi manuaalisen , sinun on määritettävä tämä parametri.

Tee jokin seuraavista:

  • Syötä merkkijono seuraavassa muodossa XML-koodin (cfg.xml) sisältävään puhelimen kokoonpanotiedostoon:

    <Proxy_Host ua="rw">proxy.example.com</Proxy_Host>

  • Anna puhelimen Web-käyttöliittymässä välityspalvelimen IP-osoite tai isäntänimi.

Oletus: tyhjä

Välityspalvelimen porttiVälityspalvelimen portin numero.

Jos määrität välityspalvelintilaksi manuaalisen , sinun on määritettävä tämä parametri.

Tee jokin seuraavista:

  • Syötä merkkijono seuraavassa muodossa XML-koodin (cfg.xml) sisältävään puhelimen kokoonpanotiedostoon:

    <Proxy_Port ua="rw">3128</Proxy_Port>

  • Anna puhelimen WEB-käyttöliittymässä palvelinportti.

Oletus: 3128

Välityspalvelimen todennusMäärittää, onko käyttäjän annettava välityspalvelimen tarvitsemat todennustunnistetiedot (käyttäjänimi ja salasana). Tämä parametri on määritetty välityspalvelimen varsinaisen toiminnan mukaan.

Jos parametriksi on valittu Kyllä, sinun on määritettävä käyttäjänimi ja salasana.

Lisätietoja parametreista on tämän taulukon parametreissa "Käyttäjänimi" ja "Salasana".

Parametrin määritykset tulevat voimaan, kun välityspalvelintilaksi on määritetty Manuaalinen .

Tee jokin seuraavista:

  • Syötä merkkijono seuraavassa muodossa XML-koodin (cfg.xml) sisältävään puhelimen kokoonpanotiedostoon:

    <Proxy_Authentication ua="rw">Ei</Proxy_Authentication>

  • Määritä puhelimen Web-käyttöliittymässä tämä kenttä Kyllä tai Ei tarpeen mukaan.

Sallitut arvot: Kyllä ja Ei

Oletus: Ei

KäyttäjänimiVälityspalvelimen tunnistetietokäyttäjän käyttäjänimi.

Jos välityspalvelintilaksi on määritetty Manuaalinen ja Välityspalvelimen todennus -asetukseksi on valittu Kyllä, sinun on määritettävä parametri.

Tee jokin seuraavista:

  • Syötä merkkijono seuraavassa muodossa XML-koodin (cfg.xml) sisältävään puhelimen kokoonpanotiedostoon:

    <Proxy_Username ua="rw">Esimerkki</Proxy_Username>

  • Anna käyttäjän nimi puhelimen WEB-käyttöliittymässä.

Oletus: tyhjä

SalasanaMääritetyn käyttäjänimen salasana välityspalvelimen todennustarkoitusta varten.

Jos välityspalvelintilaksi on määritetty Manuaalinen ja Välityspalvelimen todennus -asetukseksi on valittu Kyllä, sinun on määritettävä parametri.

Tee jokin seuraavista:

  • Syötä merkkijono seuraavassa muodossa XML-koodin (cfg.xml) sisältävään puhelimen kokoonpanotiedostoon:

    <Proxy_Password ua="rw">Esitä</Proxy_Password>

  • Anna puhelimen Web-käyttöliittymässä kelvollinen salasana käyttäjän välityspalvelimen todennusta varten.

Oletus: tyhjä

Taulukko 3. Pakolliset parametrit kullekin välityspalvelintilalle
Välityspalvelimen tilaPakolliset parametritKuvaus
Ei käytössäEi kelpaaHTTP-välityspalvelin ei ole käytössä puhelimessa.
ManuaalinenVälityspalvelimen isäntä

Välityspalvelimen portti

Välityspalvelimen todennus: Kyllä

Käyttäjänimi

Salasana

Välityspalvelimen (isäntänimi tai IP osoite) ja välityspalvelimen portin määrittäminen manuaalisesti. Jos välityspalvelin edellyttää todennusta, sinun on annettava käyttäjänimi ja salasana.
Välityspalvelimen isäntä

Välityspalvelimen portti

Välityspalvelimen todennus: Ei

Välityspalvelimen määrittäminen manuaalisesti. Välityspalvelin ei vaadi todennustunnisteita.
AutomaattinenAutomaattinen Web-välityspalvelimen löytäminen: Ei

PAC-osoite

Nouda PAC-tiedosto antamalla kelvollinen PAC URL-osoite.
Automaattinen Web-välityspalvelimen löytäminen: Kyllä

Käyttää WPAD-protokollaa PAC-tiedoston automaattiseen noutamiseen.

Ota asiakkaan aloittama tila käyttöön mediatason turvaneuvotteluja varten

Voit suojella mediaistuntoja määrittämällä puhelimen aloittamaan mediatason turvallisuusneuvottelut palvelimen kanssa. Suojausmekanismi noudattaa RFC 3329 -standardissa ja alanumeroluonnoksessa mediaa varten määritettyjä standardeja (katso https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Puhelinten ja palvelimen välisten neuvottelujen siirto voi käyttää SIP-protokollaa UDP, TCP ja TLS. Voit rajoittaa sitä, että mediatason turvaneuvottelua käytetään vain, kun viestittävä siirtoprotokolla on TLS.

Taulukko 4. Mediatasosuojausneuvottelun parametrit
ParametriKuvaus

MediaSec-pyyntö

Määrittää, aloittaako puhelin mediatason turvaneuvottelut palvelimen kanssa.

Tee jokin seuraavista:

  • Syötä merkkijono seuraavassa muodossa XML-koodin (cfg.xml) sisältävään puhelimen kokoonpanotiedostoon:

    <MediaSec_Request_1_ ua="na">Yes</MediaSec_Request_1_>
  • Määritä puhelimen WEB-käyttöliittymässä tälle kentälle Kyllä tai Ei tarpeen mukaan.

Sallitut arvot: Kyllä | Ei

  • Kyllä – asiakkaan aloittama tila. Puhelin aloittaa mediakoneiden turvallisuusneuvottelut.
  • Ei – palvelimen aloittama tila. Palvelin aloittaa mediakoneiden turvaneuvottelut. Puhelin ei aloita neuvotteluja, mutta pystyy käsittelemään palvelimen neuvottelupyyntöjä suojattujen puheluiden määrittämiseksi.

Oletus: Ei

Vain MediaSec over TLS

Määrittää viestittävän siirtoprotokollan, jonka kautta mediatason turvaneuvottelua käytetään.

Varmista, että signalointisiirtoprotokolla on TLS ennen kuin määrität tälle kentälle Kyllä.

Tee jokin seuraavista:

  • Syötä merkkijono seuraavassa muodossa XML-koodin (cfg.xml) sisältävään puhelimen kokoonpanotiedostoon:

    <MediaSec_Over_TLS_Only_1_ ua="na">Ei</MediaSec_Over_TLS_Only_1_>

  • Määritä puhelimen WEB-käyttöliittymässä tälle kentälle Kyllä tai Ei tarpeen mukaan.

Sallitut arvot: Kyllä | Ei

  • Kyllä – Puhelin aloittaa tai käsittelee mediatason turvallisuusneuvottelut vain, kun viestittävä siirtoprotokolla on TLS.
  • Ei – Puhelin aloittaa ja käsittelee mediatason turvallisuusneuvottelut signaloivasta siirtoprotokollasta riippumatta.

Oletus: Ei

1

Siirry puhelimen hallintaverkkosivulle.

2

Valitse Puheposti > Odota (n).

3

Määritä SIP-asetukset-osassa MediaSec-pyyntö ja MediaSec over TLS - kentät siten, että ne on määritetty yllä olevassa taulukossa.

4

Valitse Submit All Changes.

WLAN-suojaus

Koska kaikki kantaman WLAN laitteet voivat vastaanottaa kaiken muun WLAN-liikennettä, ääniviestintä on WLAN-laitteissa kriittinen. Cisco SAFE Security -arkkitehtuuri tukee puhelinta sen varmistamiseksi, etteivät tunkeilijat manipuloi ääniliikennettä eivätkä kaappaa sitä. Lisätietoja verkkojen suojauksen toiminnoista on kohdassa http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Cisco Langaton IP -puhelinratkaisu tarjoaa langattoman verkon suojauksen, joka estää luvattomia sisään- ja vaarannusta käyttämällä seuraavia puhelimen tukemia todennusmenetelmiä:

  • Avaa todennus: Kaikki langattomat laitteet voivat pyytää todennusta avoimessa järjestelmässä. Pyynnön vastaanottava käyttöasema voi myöntää todennuksen kenelle tahansa pyynnön esittäjälle tai vain pyynnön esittäjille, jotka ovat käyttäjäluettelossa. Langattoman laitteen ja TUKIASEMAn välistä viestintää ei ehkä salata.

  • Laaja todennusprotokollan joustava todennus suojatun tunnelointitoiminnon (EAP-FAST) todennuksen avulla: Tämä asiakas-palvelinsuojausarkkitehtuuli salata EAP siirtotason suojaustunnelin (TLS) tapahtumia AP:n ja RADIUS-palvelimen välillä, kuten Identity Services Engine (ISE).

    TLS-tunneli käyttää suojatun käytön tunnistetietoja (PAC) todennukseen asiakkaan (puhelimen) ja RADIUS-palvelimen välillä. Palvelin lähettää asiakkaalle (puhelimella) viranomaisen tunnuksen (AID), joka puolestaan valitsee asianmukaisen PAC-yhteyden. Asiakas (puhelin) palauttaa PAC-kvaque-palvelimen RADIUS-palvelimeen. Palvelin poistaa PAC:n salauksen ensisijaisella näppäimellä. Molemmissa päätepisteissä on nyt PAC-avain ja TLS tunneli luodaan. EAP-FAST tukee automaattista PAC-valmistelua, mutta sinun on otettava se käyttöön RADIUS-palvelimessa.

    ISE:ssa PAC vanhenee oletusarvoisesti viikon kuluttua. Jos puhelimen pac on vanhentunut, todennus RADIUS-palvelimella kestää kauemmin, kun puhelin saa uuden PAC:n. Voit välttää PAC-valmistelun viiveet asettamalla PAC-vanhenemisajaksi 90 päivää tai pidempään ISE- tai RADIUS-palvelimessa.

  • Laaja todennusprotokollan ja siirtokerrossuojauksen (EAP-TLS) todennus: EAP-TLS edellyttää todennusta ja verkkoyhteyttä varten asiakasvarmennetta. Langattomien EAP-TLS asiakasvarmenne voi olla MIC, LSC tai käyttäjän asentama varmenne.

  • Suojattu laaj.todennusprotokolla (PEAP): Ciscon oma salasanapohjainen molemminpuolinen todennusmalli asiakkaan (puhelimen) ja RADIUS-palvelimen välillä. Puhelin voi käyttää PEAP langattoman verkon todennukseen. Sekä PEAP-MSCHAPV2- että PEAP-GTC-todennusmenetelmiä tuetaan.

  • Esijaettu avain (PSK): Puhelin tukee ASCII muotoa. Tätä muotoa on käytettävä määritettäessä WPA/WPA2/SAE Esijaettua avainta:

    ASCII: ASCII-merkkinen merkkijono, jossa on 8-63 merkkiä pitkä (0-9 merkkiä, pieni ja iso kirjaiminen A-Z sekä erikoismerkit)

    Esimerkki: GREG123567@9ZX&W

Seuraavat todennusmallit käyttävät RADIUS-palvelinta todennusavainten hallintaan:

  • WPA/WPA2/WPA3: Luo yksilöllisiä avaimia todennusta varten RADIUS-palvelimen tietojen avulla. Koska nämä avaimet luodaan keskitetylle RADIUS-palvelimelle, WPA2/WPA3 tarjoaa enemmän suojausta kuin WPA esivalmistetut avaimet, jotka on tallennettu käyttöp. ja puhelimeen.

  • Fast Secure Roaming: Käyttää RADIUS-palvelinta ja WDS -tietoja avainten hallintaan ja todennukseen. WDS luo suojaustunnisteiden välimuistin FT-yhteensopiville asiakaslaitteille, jotta ne voidaan toistaa nopeasti ja turvallisesti. Cisco Desk -puhelin 9861 ja 9871 sekä Cisco Video Phone 8875 tukevat 802.11r (FT). Sekä ilmassa että DS:n yllä tuetaan, jotta verkkovierailu on nopea suojattu. Suosittelemme kuitenkin vahvasti, että käytät 802.11r (FT) ilmamenetelmää.

Kun käytössä on WPA/WPA2/WPA3, salausavaimia ei syötetä puhelimeen, vaan ne johdetaan automaattisesti apin ja puhelimen välillä. Todennukseen käytettävä EAP käyttäjänimi ja salasana on kuitenkin annettava kullekin puhelimelle.

Jotta ääniliikenne on turvallista, puhelin tukee TKIPiä ja AES salausta. Kun näitä salausohjeita käytetään, sekä viestittävät SIP-paketit että reaaliaikainen äänisiirtoprotokolla (RTP) -paketit salataan ap:n ja puhelimen välillä.

TKIP

WPA käyttää TKIP-salausta, jossa on useita parannusta WEP. TKIP tarjoaa per-paketti-avainsalakirjoitusta ja pidempiä alustusvektoreita (IVs), jotka vahvistavat salausta. Lisäksi viestin eheystarkistus (MIC) varmistaa, ettei salattuja pakkauksia muuteta. TKIP poistaa WEP ennustettavuuden, joka auttaa tunkeilimia tulkitsemaan WEP-avaimen.

AES

WPA2/WPA3-todennuksessa käytettävä salausmenetelmä. Tämä kansallinen salausnormi käyttää symmetristä algoritmia, jolla on sama avain salaukseen ja salauksen purkamiseen. AES käyttää kooltaan 128 bitin salausta (Cipher Blocking Chain) -salausta, joka tukee vähintään 128 bitin, 192 bitin ja 256 bitin avainkokoja. Puhelin tukee 256 bitin näppäinkokoa.

Cisco Desk -puhelin 9861 ja 9871 sekä Cisco Video Phone 8875 eivät tue Cisco Key Integrity Protocol (CKIP) -protokollaa CMIC:n kanssa.

Todennus- ja salausjärjestelmät on määritetty langattomaan lähiverkkoon. VLAN-numerot on määritetty verkossa ja APS:ssä, ja ne määrittävät eri todennus- ja salausyhdistelmiä. SSID yhdistää VLAN-yhteyden ja tietyn todennus- ja salausmallin. Jotta langattomat asiakaslaitteet todennetaan oikein, samat SSID-protokollat on määritettävä todennus- ja salausmalleille APS-laitteissa ja puhelimessa.

Jotkin todennusjärjestelmät edellyttävät tietyntyyppistä salausta.

  • Kun käytät WPA-esijaettua avainta, WPA2-esijaettua avainta tai SAE-näppäintä, esijaetun avaimen on oltava staattisesti määritetty puhelimessa. Näiden avainten on vastattava apissa olevia avaimia.

  • Puhelin tukee automaattista EAP-neuvottelua FAST- tai PEAP-peleille, mutta ei TLS:lle. Määritä EAP-TLS-tilassa.

Seuraavassa taulukossa on lueteltu tukiasemamäärityksiä vastaavat puhelimen verkkomääritykset.

Taulukko 5. Todennus- ja salausjärjestelmät
FSR-tyyppiTodennusAvaintenhallintaSalausSuojattu hallintakehys (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESEi
802.11r (FT)WPA3

SAE

FT-SAE

AESKyllä
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESEi
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESKyllä
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESEi
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESKyllä
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESEi
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESKyllä

Wi-Fi-profiilin määrittäminen

Voit määrittää Wi-Fi-profiilin puhelimen verkkosivulla tai synkronoimalla etälaitteen profiilin uudelleen ja liittämällä sen sitten käytettävissä olevaan Wi-Fi-verkkoon. Määritetyn profiilin avulla voit muodostaa Wi-Fi-verkkoyhteyden. Tällä hetkellä voidaan määrittää vain yksi Wi-Fi-profiili.

Profiili sisältää parametrit, joita puhelin tarvitsee puhelinpalvelinyhteyden muodostamiseen Wi-Fi-verkon kautta. Kun luot Wi-Fi-profiilin ja käytät sitä, sinun tai käyttäjien ei tarvitse määrittää langatonta verkkoa yksittäisille puhelimille.

Wi-Fi-profiilin käytön avulla voit estää käyttäjiä tekemästä muutoksia Wi-Fi-kokoonpanon puhelimella tai rajoittaa parametreja, joita käyttäjät voivat muuttaa.

Suosittelemme, että käytät suojattua profiilia salausprotokollalla avainten ja salasanojen suojaamiseksi, kun käytät Wi-Fi-profiilia.

Kun määrität puhelimet käyttämään EAP-FAST-todennusmenetelmää suojaustilassa, käyttäjät tarvitsevat yksittäisiä tunnistetietoja muodostaakseen yhteyden käyttöpisteeseen.

1

Avaa puhelimen Web-sivu.

2

Valitse Puheposti > järjestelmä.

3

Määritä Wi-Fi-profiili (n) -osassaparametrit seuraavassa taulukossa Wi-Fi-profiilin parametrit.

Wi-Fi-profiilin määritykset ovat myös käyttäjän saatavilla.
4

Valitse Submit All Changes.

Wi-Fi-profiilin parametrit

Seuraavassa taulukossa on kaikki puhelimen verkkosivulla olevan Järjestelmä-välilehden Wi-Fi-profiili(n)-osion toiminnot ja käyttökuvaukset. Se määrittää myös puhelimen määritystiedostoon (cfg.xml) lisätyn merkkijonon syntaksin parametrin määrittämiseksi.

ParametriKuvaus
Verkon nimiVoit antaa puhelimessa näytettävän SSID-tunnuksen nimen. Usealla profiililla voi olla sama nimi, kun niiden suojaustilat ovat erilaiset.

Tee jokin seuraavista:

  • Syötä merkkijono seuraavassa muodossa XML-koodin (cfg.xml) sisältävään puhelimen kokoonpanotiedostoon:

    <Verkon_nimi_1_ua="rw">cisco</Verkon_nimi_1_>

  • Anna puhelimen Web-sivulla SSID-nimi.

Oletus: tyhjä

SuojaustilaVoit valita Wi-Fi-verkkoyhteyksien suojaamiseen käytettävän todennusmenetelmän. Valitsemasi menetelmän mukaan näyttöön tulee salasanakenttä, joka mahdollistaa wi-fi-verkkoon liittymisen edellyttämien tunnistetietojen käyttämisen.

Tee jokin seuraavista:

  • Syötä merkkijono seuraavassa muodossa XML-koodin (cfg.xml) sisältävään puhelimen kokoonpanotiedostoon:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- saatavilla olevia vaihtoehtoja: Autom. |EAP-FAST|||PSK||Ei mitään|EAP-PEAP|EAP-TLS -->

  • Valitse jokin seuraavista tavoista puhelimen Web-sivulla:
    • Automaattinen
    • EAP-FAST
    • PSK
    • Ei mitään
    • EAP-PEAP
    • EAP-TLS

Oletusarvo: Automaattinen

Wi-Fi-käyttäjätunnusVoit syöttää tähän verkkoprofiilin käyttäjätunnuksen.

Tämä kenttä on käytettävissä, kun määrität suojaustilaksi Autom. EAP-FAST tai EAP-PEAP. Tämä on pakollinen kenttä, jonka arvon enimmäispituus on 32 aakkosnumeerista merkkiä.

Tee jokin seuraavista:

  • Syötä merkkijono seuraavassa muodossa XML-koodin (cfg.xml) sisältävään puhelimen kokoonpanotiedostoon:

    <Wi-Fi-käyttäjätunnus_1_ua="rw"></Wi-Fi-käyttäjätunnus_1_>

  • Anna puhelimen Web-sivulla verkkoprofiilin käyttäjätunnus.

Oletus: tyhjä

Wi-Fi-salasanaVoit tähän syöttää määritetyn Wi-Fi-käyttäjätunnuksen salasanan.

Tee jokin seuraavista:

  • Syötä merkkijono seuraavassa muodossa XML-koodin (cfg.xml) sisältävään puhelimen kokoonpanotiedostoon:

    <Wi-Fi-salasana_1_ ua="rw"></Wi-Fi-salasana_1_>

  • Anna puhelimen Web-sivulla lisäämäsi käyttäjätunnuksen salasana.

Oletus: tyhjä

TaajuusalueVoit valita tästä WLAN-verkon käyttämän langattoman signaalin taajuusalueen.

Tee jokin seuraavista:

  • Syötä merkkijono seuraavassa muodossa XML-koodin (cfg.xml) sisältävään puhelimen kokoonpanotiedostoon:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Valitse puhelimen Web-sivulta jokin seuraavista asetuksista:
    • Automaattinen
    • 2,4 GHz
    • 5 GHz

Oletusarvo: Automaattinen

Varmenteen valitseminenVoit valita varmennetyypin varmenteen alkurekisteröintiä ja varmenteen uusimista varten langattomassa verkossa. Tämä prosessi on käytettävissä vain 802.1X-todennusta varten.

Tee jokin seuraavista:

  • Syötä merkkijono seuraavassa muodossa XML-koodin (cfg.xml) sisältävään puhelimen kokoonpanotiedostoon:

    <Certificate_Select_1_ ua="rw">Manufacturing asennettu</Certificate_Select_1_>

  • Valitse puhelimen Web-sivulta jokin seuraavista asetuksista:
    • Valmistajan asentama
    • Mukautettu asennettu

Oletus: Valmistajan asentama

Tarkista puhelimen laitteen suojaustila

Puhelin tarkistaa laitteen suojaustilan automaattisesti. Jos se havaitsee puhelimen mahdolliset turvallisuusuhat, Ongelmat ja diagnostiikka -valikko voi näyttää ongelmien tiedot. Ilmoitettujen ongelmien perusteella järjestelmänvalvoja voi tehdä toimintoja puhelimen suojaamiseksi ja kovettumiseksi.

Laitteen suojaustila on käytettävissä, ennen kuin puhelin rekisteröidään puhelunhallintajärjestelmään (Webex Calling tai BroadWorks).

Jos haluat tarkastella puhelimen suojausongelmien tietoja, tee seuraavaa:

1

Valitse Asetukset.Settings button

2

Valitse Ongelmat ja diagnostiikka > Asiat.

Tällä hetkellä laitteen suojausraportti sisältää seuraavat ongelmat:

  • Laitteen luottamus
    • Laitteen todennus epäonnistui
    • Laitteistoa muutettu
  • Haavoittuvia määrityksiä
    • Salasanaa ei annettu
    • SSH käytössä
    • Telnet käytössä
  • Verkkopoikkeama havaittiin
    • Liiallista kirjautumisyritystä
  • Varmenteen myöntäminen
    • CDC-varmenne vanhenee pian

3

Kysy järjestelmänvalvojalta tukea suojausongelmien ratkaisemiseksi.