- ホーム
- /
- 投稿記事
このヘルプ記事は、Cisco ワイヤレスフォン 9821(Webex Calling に登録されている)に関するものです。
DHCP オプションを設定する
電話機が DHCP オプションを使用する順序を設定することができます。 DHCP オプションに関する助けは DHCP オプションサポートをご覧ください。
| 1 |
電話機の管理ウェブページにアクセスしてください。
|
| 2 |
を選択します。 |
| 3 |
Configuration Profile セクションで、 DHCP Option To Use parameter(使用オプション)を設定してください。 このパラムタは、カンマで区切られた一連の DHCP オプションで構成されており、ファームウェアやプロファイルを取得するために使用されます。 以下のいずれかの操作を実行してください。
デフォルト: |
| 4 |
[すべての変更の送信(Submit All Changes)] をクリックします。 |
DHCP オプションサポート
以下の表は、Cisco Wireless Phone 9821 でサポートされている DHCP オプションを示しています。
| ネットワーク標準規格 | 説明 |
|---|---|
| DHCP オプション 1 | サブネット マスク(Subnet mask) |
| DHCP オプション 2 | タイム オフセット |
| DHCP オプション 3 | ルーター |
| DHCP オプション 6 | ドメイン ネーム サーバ |
| DHCP オプション 15 | ドメイン名 |
| DHCP オプション 17 | ルートパス |
| DHCP オプション 41 | IP アドレスのリース期間 |
| DHCP オプション 42 | NTP サーバ |
| DHCP オプション 43 | ベンダー固有の情報 SCEP 構成を提供するために使用できます。 |
| DHCP オプション 56 | NTP サーバ |
| DHCP オプション 60 | ベンダー クラス ID |
| DHCP オプション 66 | TFTP サーバ名 |
| DHCP オプション 125 | ベンダー識別ベンダー固有の情報 |
| DHCP オプション 150 | TFTP サーバ |
| DHCP オプション 159 | プロビジョニング サーバ IP |
| DHCP オプション 160 | プロビジョニング URL |
無線 LAN セキュリティ
通信圏内にあるすべての WLAN デバイスは他の WLAN トラフィックをすべて受信できるため、WLAN 内の音声通信の保護は重要です。 侵入者が音声トラフィックを操作したり傍受したりしないようにするため、Cisco SAFE Security アーキテクチャは電話機をサポートしています。 ネットワークにおけるセキュリティに関する詳細は http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.htmlを参照してください。
Cisco Wireless IP 電話ソリューションは、電話がサポートする以下の認証方法を用いて、不正サインインや通信の侵害を防ぐワイヤレスネットワークセキュリティを提供します。
-
オープン認証:オープン システムでは、任意のワイヤレス デバイスが認証を要求できます。 要求を受けた AP は、任意のリクエスタまたはユーザのリスト上にあるリクエスタだけに認証を与える場合があります。 無線機器とアクセスポイント(AP)間の通信は暗号化されていない可能性がある。
-
拡張可能な認証プロトコル - セキュアトンネリングによる柔軟な認証 (EAP-FAST) 認証このクライアント/サーバセキュリティアーキテクチャは、アクセスポイントと、Identity Services Engine (ISE) などの RADIUS サーバ間のトランスポートレベルセキュリティ (TLS) トンネル内で EAP トランザクションを暗号化します。
TLS トンネルでは、クライアント(電話機)と RADIUS サーバの間の認証に Protected Access Credential(PAC)が使用されます。 サーバは Authority ID(AID)をクライアント(電話機)に送信します。それを受けてクライアントは適切な PAC を選択します。 クライアント(電話機)は PAC-Opaque を RADIUS サーバに返します。 サーバは、プライマリキーで PAC を復号します。 これで両方のエンドポイントに同じ PAC キーが含まれ、TLS トンネルが構築されます。 EAP-FAST では、自動 PAC プロビジョニングがサポートされていますが、RADIUS サーバ上で有効にする必要があります。
ISE では、デフォルトでは PAC は 1 週間後に期限切れになります。 電話機に期限切れの PAC が存在する場合、電話機が新しい PAC を取得するまでの間は、RADIUS サーバでの認証に比較的長い時間がかかります。 PAC のプロビジョニング遅延を回避するには、ISE または RADIUS サーバで PAC の有効期限を 90 日以上に設定してください。
-
拡張認証プロトコル - トランスポート層セキュリティ(EAP-TLS)認証:EAP-TLS では、認証とネットワークアクセスにクライアント証明書が必要です。 無線 EAP-TLS の場合、クライアント証明書は MIC またはユーザインストール証明書である場合があります。
-
Protected Extensible Authentication Protocol(PEAP):クライアント(電話機)と RADIUS サーバ間の、シスコ独自のパスワードベースの相互認証方式です。 電話機は、無線ネットワークとの認証に PEAP を使用できます。 PEAP-MSCHAPV2 と PEAP-GTC の両方の認証メカニズムがサポートされます。
Cisco ワイヤレス電話 9821 の PEAP-GTC 認証をサポートするには、Cisco ISE ポリシーセット内で必要なポリシーを設定してください。
-
事前共有キー(PSK):電話は ASCII および 16 進数(HEX)フォーマットをサポートしています。 WPA2/SAE 事前共有キーを設定する際は、これらのフォーマットを使用しなければなりません。
ASCII:8〜63 文字(0-9、小文字 a-z、大文字 A-Z、特殊文字)を持つ ASCII 文字列。 例えば、
GREG123567@9ZX&W。HEX:長さ 64 桁(0-9、a-f、A-F)を持つ HEX 文字の文字列です。
次の認証方式では、RADIUS サーバを使用して認証キーを管理します。
-
WPA2/WPA3: 一意の認証キーを生成するために RADIUS サーバの情報を使用します。 これらのキーは中央の RADIUS サーバで生成されるため、WPA2/WPA3 は、AP と電話に保存されている事前共有キーよりも高いセキュリティを提供します。
-
高速安全ローミング: RADIUS サーバとワイヤレス ドメイン サーバ(WDS)上の情報を使用してキーを管理および認証します。 WDS は、FT 対応クライアントデバイス向けにセキュリティ認証情報のキャッシュを作成し、高速かつ安全な再認証を実現します。
WPA2/WPA3 では、暗号化鍵は電話側に入力されるのではなく、AP と電話間で自動的に派生されます。 ただし認証で使用する EAP ユーザ名とパスワードは、各電話機に入力する必要があります。
無線リンク上の音声通信を保護するため、電話機は WPA2/WPA3 認証のための AES ベースの暗号化をサポートしています。 AES は NIST によって標準化された対称ブロック暗号です。 AES は固定された 128 ビットのブロックサイズを使用し、128 ビット、192 ビット、256 ビットの鍵サイズをサポートしています。 Wi-Fi ネットワークでは、AES は CCMP や GCMP などの暗号スイートで使用され、認証は設定された WLAN セキュリティモードに応じて PSK、SAE、または 802.1X/EAP によって別途提供されます。 対応する暗号スイートや鍵のサイズは、電話機のモデルや WLAN 構成によって異なります。
認証方式と暗号化方式は、ワイヤレス LAN 内で設定されます。 VLAN は、ネットワーク内および AP 上で設定され、認証と暗号化の異なる組み合わせを指定します。 SSID は、VLAN と VLAN の特定の認証および暗号化方式に関連付けられます。 無線クライアントデバイスが正常に認証されるためには、アクセスポイントと電話機の両方で、同じ SSID、認証方式、暗号化方式を設定する必要があります。
一部の認証方式では、特定のタイプの暗号化が必要です。
WPA2 の事前共有キー(SAE)を使う場合、事前共有キーは電話機上で静的に設定されている必要があります。 これらのキーは、AP に存在するキーと一致している必要があります。
以下の表の認証および暗号化方式は、Cisco Wireless Phone 9821 のネットワーク構成オプションを示しており、これは AP 構成に対応しています。
| FSR タイプ | 認証 | Key Management | 暗号化(Encryption) | 保護管理フレーム(PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | 不可 |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | 可 |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | 不可 |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 可 |
| 802.11r (FT) | [EAP-FAST] |
WPA-EAP FT-EAP | AES | 不可 |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 可 |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | 不可 |
| 802.11r (FT) | EAP-PEAP(WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 可 |
| 非 FT | スイート B | WPA-EAP-SUITE-B | GCMP | 可 |
| 非 FT | スイート B-192 | WPA-EAP-スイート B-192 | GCMP | 可 |
Wi-Fi プロフィールを作成する
Wi-Fi プロファイルは電話管理のウェブページから設定するか、リモートデバイスプロファイルの再同期を通じて可能です。 設定が完了すると、これらのプロファイルを利用可能な無線ネットワークと関連付けて接続を確立できます。 Cisco ワイヤレス電話 9821 は最大 4 つの設定済み Wi-Fi プロファイルをサポートします。
プロファイルには、電話機が Wi-Fi で電話サーバーに接続するために必要なパラメータが含まれています。 Wi-Fi プロファイルを作成して使用すれば、あなたやユーザが個々の電話ごとに無線ネットワークを設定する必要はありません。
Wi-Fi プロファイルによって、ユーザが電話機の Wi-Fi 設定を変更できないようにしたり、制限したりすることができます。
Wi-Fi プロファイルを使用する場合は、鍵とパスワードを保護するために暗号化対応プロトコルを備えた安全なプロファイルを使用することを推奨します。
セキュリティモードで EAP-FAST 認証方式を使うように電話を設定すると、ユーザはアクセスポイントに接続するために個別の認証情報が必要です。
| 1 |
電話機のウェブページにアクセス |
| 2 |
を選択します。 |
| 3 |
セクション Wi-Fi プロファイル(n)では、以下の表に示されているパラメータを設定してください Wi-Fi プロファイルのパラメータ。 Wi-Fi プロファイルの設定もユーザログイン時に利用可能です。
|
| 4 |
[すべての変更の送信(Submit All Changes)] をクリックします。 |
Wi-Fi プロファイルのパラメータ
以下の表は、電話ウェブページの System Tab の Wi-Fi Profile(n) セクションで各パラメータの機能と使用を定義しています。 また、パラメータを設定するために電話設定ファイル (cfg.xml) に追加される文字列の構文も定義します。
| パラメータ | 説明 |
|---|---|
| ネットワーク名 | 電話機に表示される SSID の名前を入力できます。 複数のプロファイルが、異なるセキュリティモードで同じネットワーク名を持つことができます。 以下のいずれかの操作を実行してください。
デフォルト:空 |
| セキュリティモード | Wi-Fi ネットワークへのアクセスをセキュリティ保護するために使用する認証方法を選択できます。 選択した方法によって、パスワード欄が表示され、この Wi-Fi ネットワークに参加するために必要な認証情報を入力できます。 以下のいずれかの操作を実行してください。
デフォルト:なし |
| Wi-Fi ユーザー ID | ネットワーク プロファイルのユーザー ID を入力できます。 このフィールドは、セキュリティモードを Auto、EAP-FAST、または EAP-PEAP に設定したときに利用可能です。 これは必須フィールドであり、最大 32 文字の英数字を使用できます。 以下のいずれかの操作を実行してください。
デフォルト:空 |
| Wi-Fi パスワード | 指定された Wi-Fi ユーザー ID のパスワードを入力できます。 以下のいずれかの操作を実行してください。
デフォルト:空 |
| 周波数帯域 | WLAN で使用されているワイヤレス信号周波帯を選択できます。 以下のいずれかの操作を実行してください。
デフォルト:[自動(Auto)] |
| 証明書の選択 | 無線ネットワークでの証明書の初期登録および更新のために証明書の種類を選択できます。 このプロセスは 802.1X 認証にのみ利用可能です。 以下のいずれかの操作を実行してください。
デフォルト: 製造時にインストール |
| 制御モード | ユーザが Wi-Fi プロファイルを設定できるかどうかを制御します。 以下のいずれかの操作を実行してください。
デフォルト:許可 |
| 有効(Enable) | Wi-Fi プロファイルが有効かどうかを制御します。 以下のいずれかの操作を実行してください。
デフォルト: はい |
| プロファイル名(Profile Name) | プロフィール名を入力でき、それが電話に表示されます。 以下のいずれかの操作を実行してください。
デフォルト:プロファイル 1 |
| PSK パスフレーズ | セキュリティモードが PSK に設定されているときに PSK パスフレーズを入力できます。 以下のいずれかの操作を実行してください。
デフォルト:許可 |
有線ネットワーク向けの 802.1X 認証
Cisco ワイヤレス電話 9821 は有線ネットワーク用の 802.1X 認証をサポートしています。 これは通常、対応する USB からイーサネットアダプターを介して電話をデスクトップ充電器に接続する 自動プロビジョ ニングの際に使われます。
有線ネットワークでの 802.1X 認証のサポートには、以下のいくつかのコンポーネントが必要です。
-
Cisco IP 電話: 電話機は、ネットワークへのアクセス要求を開始します。 Cisco IP Phones には、802.1x サプリカントが含まれています。 このサプリカントを使用して、ネットワーク管理者は IP 電話と LAN スイッチ ポートの接続を制御できます。 電話機に含まれる 802.1X サプリカントの現在のリリースでは、ネットワーク認証に EAP-FAST オプションと EAP-TLS オプションが使用されています。
-
認証サーバ:認証サーバとスイッチの両方が RADIUS 共有シークレットで設定されている必要があります。
-
スイッチ:スイッチは 802.1X をサポートしている必要があり、認証機能として機能し、電話と認証サーバ間で EAP メッセージを中継できます。 この交換が完了した後、スイッチはネットワークへの電話機のアクセスを許可または拒否します。
Cisco IP Phones と Cisco Catalyst スイッチは、従来 Cisco Discovery Protocol(CDP)を使用して互いを識別し、VLAN 割り当てやインライン所要電力などのパラメータを決定します。
802.1X を設定するには、次の手順を実行する必要があります。
-
CDP/LLDP 音声 VLAN バイパスを設定してください。
-
電話の有線ネットワークで 802.1X 認証を有効にする前に、認証サーバとスイッチを設定してください。
-
ボイス VLAN の設定:802.1X 標準では VLAN が考慮されないため、この設定をスイッチのサポートに基づいて行うようにしてください。
- 有効:マルチドメイン認証をサポートするスイッチを使っている場合、音声 VLAN を使うように設定できます。
- 無効:スイッチで複数ドメインの認証がサポートされていない場合は、ボイス VLAN を無効にし、ポートをネイティブ VLAN に割り当てることを検討してください。
-
Cisco ワイヤレスフォン 9821 は、他の Cisco 電話とは異なるプリフィックスが PID に記載されています。 802.1X 認証に通すには、 Radius·ユーザ名 パラメータを Cisco ワイヤレスフォン 9821 を含めてください。
例えば、Cisco Wireless Phone 9821 の PID は WP-9821 です。 Radius·User-Name to
以下両方のセクションで WPまたはContains WPで始めます: -
携帯電話の有線ネットワークで 802.1X 認証を有効にしてください
以下の手順に従って、携帯電話の有線ネットワークで 802.1X 認証を有効にしてください。 Wi-Fi の 802.1X 認証はデフォルトで有効で、手動設定は不要です。
| 1 |
設定へのアクセス |
| 2 |
パスワードを求められた場合は、パスワードを入力してアクセスします。 設定 メニュー。 パスワードは管理者から取得できます。 |
| 3 |
Select 。 |
| 4 |
デバイス認証をハイライト ONを押してください。 |
電話ウェブページで有線ネットワークの 802.1X 認証を有効にする
有線ネットワークの 802.1X 認証が有効になると、電話は 802.1X 認証を使ってイーサネット LAN ポートからネットワークアクセスを要求します。 有線ネットワークの 802.1X 認証が無効になると、電話は Cisco Discovery Protocol(CDP)を使って VLAN とネットワークアクセスを取得します。 Wi-Fi の 802.1X 認証はデフォルトで有効で、手動設定は不要です。
802.1X 認証に使われる証明書(MIC/SUDI または CDC)を選択できます。 CDC の詳細については、Cisco ワイヤレスフォン 9821 カスタムデバイス証明書をご覧ください。
取引状況やセキュリティ設定は電話の画面メニューで確認できます。 詳細は スマホのセキュリティ設定メニューをご覧ください。
| 1 |
802.1X 認証を有効にしてください。 を選択します。 802.1X Authentication セクションで、 Enable 802.1X Authentication parameter を Yesに設定してください。 このパラメータは、設定ファイル(cfg.xml)でも設定できます。
有効値: [はい(Yes)] | [いいえ(No)] デフォルト:[いいえ(No)] |
| 2 |
802.1X 認証 セクションでは、 Certificate Select ドロップダウンリストから 802.1X 認証に使用される以下のインストール済み証明書のいずれかを選択してください。 バリューオプション:
このパラメータは、設定ファイル(cfg.xml)でも設定できます。
有効な数値:製造設備の設置数|カスタムインストール デフォルト: 製造時にインストール |
| 3 |
有線ネットワークの 802.1X 認証の ID として使う User ID parameter を設定します。 この構成は、カスタムデバイス証明書(CDC)を使って有線 802.1X 認証を行い、 Certificate Select set to Custom installedで行う場合にのみ適用されます。 このパラメータは、設定ファイル(cfg.xml)でも設定できます。
有効な値: 最大 127 文字 デフォルト:空 このパラメータはマクロ展開変数もサポートしており、詳細は Macro expansion variables を参照してください。 DHCP オプションの組み合わせを使ってユーザ ID をプロビジョニングしたい場合は、 Provisioning of User ID by DHCP オプション 15を参照してください。 |
| 4 |
[すべての変更の送信(Submit All Changes)] をクリックします。 |
電話のセキュリティ設定メニュー
電話メニューからセキュリティ設定の情報を確認するには、 Settings にアクセスしてください
アプリを選んで を選びます。 情報の入手可能性は、組織のネットワーク設定によって異なります。
|
パラメータ |
オプション(Options) |
デフォルト |
説明 |
|---|---|---|---|
|
デバイス認証 |
オン Off |
Off |
電話での 802.1X 認証の有効または無効化。 パラメータ設定は電話の Out-Of-Box(OOB)登録後も保持できます。 |
|
取引状況 | 無効 |
802.1X 認証の状態を表示します。 州は以下のようになり得ます(これに限定されません):
| |
|
プロトコル | なし |
802.1X 認証に使用される EAP 方式を表示します。 このプロトコルは、EAP-FAST または EAP-TLS にすることができます。 | |
|
ユーザー証明書タイプ |
製造元でインストール カスタムインストール |
製造元でインストール |
初回登録および証明書更新時に 802.1X 認証用の証明書を選択します。
このパラメータは [デバイス認証(Device authentication)] が有効な場合にのみ電話機に表示されます。 |
ユーザと管理者のパスワードを変更する
通話制御システムでの初回登録時または工場出荷時リセット後、電話管理ウェブページに初めてアクセスする際には、ユーザパスワードと管理者パスワードの両方を設定しなければなりません。 デバイスのセキュリティを維持するために、これらの認証情報はいつでも更新できます。
有効なパスワードルールには以下が含まれます:
- パスワードには少なくとも 8 文字から 127 文字が必要です。
- 4 種類のうち 3 種類の組み合わせで、大文字、小文字、数字、特殊文字が使われています。
- スペースは許可されていません。
| 1 |
電話機の管理ウェブページにアクセスしてください。 |
| 2 |
を選択します。 |
| 3 |
(任意) システム構成 セクションで Display Password Warnings parameter を Yesに設定し、次に Submit All Changesをクリックします。 このパラメータは、電話機の設定ファイル(cfg.xml)のパラメータでも有効にできます。
デフォルト: はい オプション:はい|いいえ パラメータが Noに設定されている場合、パスワード警告は電話画面に表示されません。 |
| 4 |
パラメータ User Password or Admin Passwordを見つけ、パラメータの隣にある Change Password をクリックします。 |
| 5 |
[古いパスワード(Old Password)] フィールドに、現在のユーザーパスワードを入力します。 |
| 6 |
[新しいパスワード(New Password)] フィールドに、新しいパスワードを入力します。 新しいパスワードが有効なパスワードルールを満たさない場合、その設定は拒否されます。 |
| 7 |
[送信(Submit)] をクリックします。 「 ユーザーパスワードを設定した後、このパラメータは、電話機の設定 XML ファイル(cfg.xml)で次のように表示されます。
|
クライアントとサーバの最低 TLS バージョンを設定してください
デフォルトでは、クライアントとサーバの最低 TLS バージョンは 1.2 です。 これはクライアントとサーバが TLS 1.2 以上の接続を確立することを受け入れることを意味します。 クライアントとサーバの両方でサポートされている TLS の最大バージョンは 1.3 です。 設定すると、TLS クライアントと TLS サーバ間のネゴシエーションに最小 TLS バージョンが使用されます。
クライアントとサーバの TLS の最小バージョン(例:1.1、1.2、1.3)を設定できます。
はじめる前に
TLS サーバが設定されている最小 TLS バージョンをサポートしていることを確認します。 通話制御システムの管理者に相談することができます。
| 1 |
電話機の管理ウェブページにアクセスしてください。 |
| 2 |
を選択します。 |
| 3 |
Security Settingsセクションでパラメータ TLS クライアント最小バージョンを設定してください。
このパラメータは、設定ファイル(cfg.xml)でも設定できます。 <TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>
許可されている値:TLS 1.1、TLS1.2、TLS 1.3。 デフォルト:TLS 1.2 |
| 4 |
Security Settingsセクションでパラメータ TLS Server Min Versionを設定してください。 Webex Calling は TLS 1.1 をサポートしていません。
このパラメータは、設定ファイル(cfg.xml)でも設定できます。 <TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>
許可されている値:TLS 1.1、TLS1.2、TLS 1.3。 デフォルト:TLS 1.2 |
| 5 |
[すべての変更の送信(Submit All Changes)] をクリックします。 |
メディアプレーンのセキュリティ交渉のためにクライアント開始モードを有効にする
メディアセッションを保護するには、サーバーとのメディアプレーンセキュリティネゴシエーションを開始するように電話機を設定できます。 このセキュリティ機構は、RFC 3329 およびその拡張ドラフトであるメディアのセキュリティメカニズム名(参照 https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2)で定められた標準に従っています。 電話機とサーバ間でのネゴシエーションの転送では、UDP、TCP、および TLS を介した SIP プロトコルを使用できます。 シグナリングトランスポートプロトコルが TLS の場合にのみ メディアプレーンセキュリティネゴシエーションが適用されるように制限することができます。
| パラメータ | 説明 |
|---|---|
|
MediaSec リクエスト |
電話機がサーバとのメディア平面セキュリティネゴシエーションを開始するかどうかを指定します。 以下のいずれかの操作を実行してください。
有効値:はい(Yes)|いいえ(No)
デフォルト:[いいえ(No)] |
|
MediaSec Over TLS のみ |
メディア平面セキュリティネゴシエーションが適用されるシグナリングトランスポートプロトコルを指定します。 このフィールドで [はい(Yes)] に設定する前に、シグナリングプロトコルが TLS であることを確認してください。 以下のいずれかの操作を実行してください。
有効値:はい(Yes)|いいえ(No)
デフォルト:[いいえ(No)] |
| 1 |
電話機の管理ウェブページにアクセスしてください。 |
| 2 |
を選択します。 |
| 3 |
SIP 設定 セクションで、上記の表で定義された通り、TLS のみ フィールドに対して MediaSec Request and MediaSec を設定します。 |
| 4 |
[すべての変更の送信(Submit All Changes)] をクリックします。 |