- 홈
- /
- 문서
피드백을 보내 주셔서 감사합니다.
Cisco IP Phone 9800/8875(멀티플랫폼)
이 문서에서
피드백이 있습니까?이 도움말 문서는 Cisco BroadWorks 또는 Cisco BroadWorks 또는 Cisco Webex Calling에 등록된 # Video Phone 8875에 대한 것입니다.
DHCP 옵션 구성
전화기에서 DHCP 옵션을 사용하는 순서를 설정할 수 있습니다. DHCP 옵션에 대한 도움말은 DHCP 옵션 지원을 참조하세요.
| 1 |
전화기 관리 웹페이지 액세스. |
| 2 |
을 선택합니다. |
| 3 |
Configuration Profile(구성 프로파일) 섹션에서 아래 설명된 대로 DHCP Option To Use 및 DHCPv6 Option To Use 매개변수를 설정합니다 .
|
| 4 |
모든 변경 사항 제출을 클릭합니다. |
DHCP 옵션 지원
다음 표에는 PhoneOS 전화기에서 지원되는 DHCP 옵션이 나열되어 있습니다.
| 네트워크 표준 | 설명 |
|---|---|
| DHCP 옵션 1 | 서브넷 마스크 |
| DHCP 옵션 2 | 시간 오프셋 |
| DHCP 옵션 3 | 라우터 |
| DHCP 옵션 6 | DNS(도메인 네임 서버) |
| DHCP 옵션 15 | 도메인 이름 |
| DHCP 옵션 17 | 공급업체 식별 공급업체별 정보 |
| DHCP 옵션 41 | IP 주소 임대 시간 |
| DHCP 옵션 42 | NTP 서버 |
| DHCP 옵션 43 | 공급업체별 정보 SCEP 컨피그레이션을 제공하는 데 사용할 수 있습니다. |
| DHCP 옵션 56 | NTP 서버 IPv6으로 NTP 서버 구성 |
| DHCP 옵션 60 | 공급업체 클래스 식별자 |
| DHCP 옵션 66 | TFTP 서버 이름 |
| DHCP 옵션 125 | 공급업체 식별 공급업체별 정보 |
| DHCP 옵션 150 | TFTP 서버 |
| DHCP 옵션 159 | 프로비저닝 서버 IP |
| DHCP 옵션 160 | 프로비저닝 URL |
클라이언트 및 서버에 대한 최소 TLS 버전 설정
기본적으로 클라이언트 및 서버의 최소 TLS 버전은 1.2입니다. 이는 클라이언트와 서버가 TLS 1.2 이상과의 연결을 설정하는 것을 수락한다는 것을 의미합니다. 클라이언트 및 서버에 대해 지원되는 TLS의 최대 버전은 1.3입니다. 구성된 경우 최소 TLS 버전이 TLS 클라이언트와 TLS 서버 간의 협상에 사용됩니다.
클라이언트 및 서버에 대해 각각 1.1, 1.2 또는 1.3과 같은 최소 버전의 TLS를 설정할 수 있습니다.
시작하기 전에
| 1 |
전화기 관리 웹페이지 액세스. |
| 2 |
을 선택합니다. |
| 3 |
보안 설정 섹션에서 매개 변수 TLS 클라이언트 최소 버전을 구성합니다.
설정 파일(cfg.xml)에서 이 매개 변수를 설정할 수도 있습니다. <TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>
허용되는 값: TLS 1.1, TLS1.2 및 TLS 1.3. 기본값: TLS 1.2 |
| 4 |
보안 설정 섹션에서 매개 변수 TLS 서버 최소 버전을 구성합니다. Webex Calling는 TLS 1.1을 지원하지 않습니다.
설정 파일(cfg.xml)에서 이 매개 변수를 설정할 수도 있습니다. <TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>
허용되는 값: TLS 1.1, TLS1.2 및 TLS 1.3. 기본값: TLS 1.2 |
| 5 |
모든 변경 사항 제출을 클릭합니다. |
FIPS 모드 활성화
전화기를 FIPS(Federal Information Processing Standards)를 준수하도록 만들 수 있습니다.
FIPS는 비군사 정부 및 정부 계약자 및 기관과 협력하는 공급업체에서 사용하기 위한 문서 처리, 암호화 알고리즘 및 기타 정보 기술 표준을 설명하는 표준 집합입니다. CiscoSSL FOM(FIPS Object Module)은 신중하게 정의된 소프트웨어 구성 요소이며 CiscoSSL 라이브러리와의 호환성을 위해 설계되었으므로 CiscoSSL 라이브러리 및 API를 사용하는 제품은 최소한의 노력으로 FIPS 140-2 검증 암호화를 사용하도록 변환할 수 있습니다.
| 1 |
전화기 관리 웹페이지 액세스. |
| 2 |
을 선택합니다. |
| 3 |
보안 설정 섹션의 FIPS 모드 파라미터에서 예 또는 아니요 를 선택합니다 . |
| 4 |
모든 변경 사항 제출을 클릭합니다. FIPS를 활성화하면 전화기에서 다음 기능이 원활하게 작동합니다.
|
사용자 및 관리자 암호 설정
전화기를 통화 제어 시스템에 처음 등록하거나 전화기에서 공장 초기화를 수행한 후에는 전화기의 보안을 강화하기 위해 사용자 및 관리자 비밀번호를 설정해야 합니다. 비밀번호를 설정한 후 전화기 웹 인터페이스에 액세스할 수 있습니다.
기본적으로 사용자 및 관리자 암호는 비어 있습니다. 따라서 설정
| 1 |
전화기 관리 웹 페이지 액세스 |
| 2 |
을 선택합니다. |
| 3 |
(선택 사항) 시스템 구성 섹션에서 암호 경고 표시 매개 변수를 예 로 설정한 다음 모든 변경 내용 제출을 클릭합니다 . 전화기 설정 파일(cfg.xml)에서 이 매개 변수를 활성화할 수도 있습니다.
기본값: 예 옵션: 예|아니요 매개 변수가 아니요 로설정된 경우 전화기 화면에 암호 경고가 나타나지 않습니다. |
| 4 |
사용자 암호 또는 관리자 암호 매개 변수 를 찾아 매개 변수 옆에 있는 암호 변경을 클릭합니다 . |
| 5 |
기존 암호 필드에 현재 사용자 암호를 입력합니다. 암호가 없는 경우에는 필드를 비워 둡니다. 기본값은 비어 있습니다.
|
| 6 |
새 암호 필드에 새 암호를 입력합니다. 유효한 암호 규칙:
새 비밀번호가 요구사항을 충족하지 않으면 설정이 거부됩니다. |
| 7 |
제출을 클릭합니다.
사용자 비밀번호를 설정한 후 이 파라미터는 전화기 설정 XML 파일(cfg.xml)에 다음을 표시합니다.
|
802.1X 인증
Cisco IP 전화기는 802.1X 인증을 지원합니다.
Cisco IP 전화기와 Cisco Catalyst 스위치는 일반적으로 CDP(Cisco Discovery Protocol)를 사용해 서로를 식별하고 VLAN 할당 및 인라인 전력 요구 사항 같은 매개 변수를 결정합니다. CDP는 로컬로 연결된 워크스테이션은 식별하지 않습니다. Cisco IP 전화기는 EAPOL 패스스루 메커니즘을 제공합니다. 이 메커니즘을 통해 Cisco IP 전화기에 연결된 워크스테이션은 LAN 스위치의 802.1X 인증자에게 EAPOL 메시지를 전달합니다. 패스스루 메커니즘은 네트워크에 접속하기 전 데이터 엔드포인트를 인증하기 위해 IP 전화기가 LAN 스위치로 작동하지 않도록 합니다.
Cisco IP 전화기는 프록시 EAPOL 로그오프 메커니즘도 제공합니다. 로컬로 연결된 PC에서 IP 전화기와의 연결을 끊어도, LAN 스위치와 IP 전화기 사이의 링크는 유지되기 때문에 LAN 스위치는 물리적인 링크 문제를 발견하지 못합니다. 네트워크 무결성이 손상되지 않도록 IP 전화기는 다운스트림 PC를 대신해 스위치에 EAPOL 로그오프 메시지를 전송합니다. 그러면 LAN 스위치에서 다운스트림 PC에 대한 인증 항목을 지웁니다.
802.1X 인증을 지원하려면 다음과 같은 몇 가지 구성 요소가 필요합니다.
-
Cisco IP 전화기: 전화기에서 네트워크 액세스 요청을 시작합니다. Cisco IP 전화기에는 802.1X 인증 요청자가 있습니다. 이 인증 요청자를 통해 네트워크 관리자는 IP 전화기의 LAN 스위치 포트 연결을 제어합니다. 현재 전화기 802.1X 인증 요청자 릴리스는 네트워크 인증에 EAP-FAST 및 EAP-TLS 옵션을 사용합니다.
-
인증 서버: 인증 서버와 스위치 모두 전화기를 인증하는 공유 비밀로 구성되어야 합니다.
-
스위치: 스위치는 802.1X를 지원해야 하므로, 스위치는 인증 요청자로 작동하여 전화기와 인증 서버 사이에 메시지를 전달할 수 있습니다. 교환이 끝나면 스위치는 네트워크에 대한 전화기 액세스를 허용 또는 거부합니다.
802.1X를 구성하려면 다음과 같은 작업을 수행해야 합니다.
-
전화기에서 802.1X 인증을 활성화하기 전에, 먼저 다른 구성 요소를 구성합니다.
-
PC 포트 구성: 802.1X 표준은 VLAN을 고려하지 않기 때문에 특정 스위치 포트에서 단일 장치만 인증하도록 권장합니다. 그러나 일부 스위치는 멀티도메인 인증을 지원합니다. PC를 전화기의 PC 포트에 연결할 수 있는지 여부는 스위치 구성에서 결정합니다.
-
활성화됨: 멀티도메인 인증을 지원하는 스위치를 사용 중이면, PC 포트를 활성화하고 여기에 PC를 연결할 수 있습니다. 이 경우 Cisco IP 전화기는 스위치와 연결된 PC 간의 인증 교환을 모니터링하기 위해 프록시 EAPOL 로그오프를 지원합니다.
Cisco Catalyst 스위치의 IEEE 802.1X 지원에 관한 자세한 내용은 Cisco Catalyst 스위치 구성 설명서를 참조하십시오.
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
비활성화됨: 스위치가 같은 포트에서 여러 개의 802.1X 준수 장치를 지원하지 않는다면, 802.1X 인증이 활성화될 때 PC 포트를 비활성화해야 합니다. 이 포트를 비활성화지 않은 상태에서 나중에 PC와 연결하려고 하면, 스위치에서 전화기와 PC 모두에 대한 네트워크 액세스를 거부합니다.
-
- 음성 VLAN 구성: 802.1X 표준으로 VLAN이 설명되지 않으므로 스위치 지원을 기준으로 이 설정을 구성해야 합니다.
- 활성화됨: 멀티도메인 인증을 지원하는 스위치를 사용 중이면, 계속 음성 VLAN을 사용할 수 있습니다.
- 비활성화됨: 스위치에서 멀티도메인 인증을 지원하지 않으면, 음성 VLAN을 비활성화하고 기본 VLAN에 대한 포트 할당을 고려하십시오.
- (Cisco 유선 전화 9800 시리즈만 해당)
Cisco Desk Phone 9800 시리즈의 PID에는 다른 Cisco 전화기의 접두사와 다른 접두사가 있습니다. 전화기가 802.1X 인증을 통과할 수 있도록 하려면 Radius· Cisco 유선 전화 9800 시리즈를 포함하는 사용자 이름 매개 변수입니다.
예를 들어, 전화기 9841의 PID는 DP-9841입니다. 당신은 설정할 수 있습니다 반경· DP로 시작하는 User-Name
이거나 DP를 포함합니다.다음 두 섹션에서 설정할 수 있습니다. -
전화기 웹 페이지에서 802.1X 인증 활성화
802.1X 인증이 활성화되면 전화기는 802.1X 인증을 사용하여 네트워크 액세스를 요청합니다. 802.1X 인증이 비활성화될 때 전화기는 Cisco Discovery Protocol(CDP)를 사용하여 VLAN 및 네트워크 액세스를 획득합니다.
802.1X 인증에 사용되는 인증서(MIC/SUDI 또는 CDC)를 선택할 수 있습니다. CDC에 대한 자세한 내용은 9800/8875 의 사용자 지정 디바이스 인증서를 참조하세요.
전화기 화면 메뉴에서 트랜잭션 상태 및 보안 설정을 볼 수 있습니다. 자세한 내용은 전화기 의 보안 설정 메뉴를 참조하십시오.
| 1 |
802.1X 인증을 활성화합니다. [음성 802.1X 인증 활성화(Enable 802.1X Authentication ) 매개 변수를 [예 ]로설정합니다. 설정 파일(cfg.xml)에서 이 매개 변수를 설정할 수도 있습니다.
유효한 값: 예|아니요 기본값: 아니요 |
| 2 |
802.1X 인증에 사용되는 다음 설치된 인증서 중 하나를 선택합니다. 값 옵션:
구성은 네트워크에 따라 다릅니다.
|
| 3 |
유선 네트워크에서 802.1X 인증을 위한 ID로 사용할 매개 변수 사용자 ID 를 구성합니다. 매개 변수 구성은 CDC가 유선 802.1X 인증에 사용되는 경우에만 적용됩니다(인증서 선택이 사용자 지정 설치 됨으로설정됨). 기본적으로 이 매개 변수는 비어 있습니다. 유선 802.1X의 ID는 선택한 인증서에 따라 달라집니다.
사용자 ID 가 비어 있고 CDC의 일반 이름이 구성된 경우 유선 802.1X는 CDC 일반 이름을 ID로 사용합니다. 설정 파일(cfg.xml)에서 이 매개 변수를 설정할 수도 있습니다.
유효한 값: 최대 127자 기본값: 비어 있음 이 매개변수는 매크로 확장 변수도 지원합니다. 자세한 내용은 매크로 확장 변수를 참조하십시오 . DHCP 옵션을 사용하여 사용자 ID를 프로비저닝하려면 DHCP 옵션 15 를 통해 일반 이름 또는 사용자 ID 프로비저닝을 참조하십시오. |
| 4 |
모든 변경 사항 제출을 클릭합니다. |
전화기의 보안 설정 메뉴
전화기 메뉴에서 보안 설정에 대한 정보를 볼 수 있습니다. 탐색 경로는 . 정보의 가용성은 조직의 네트워크 설정에 따라 다릅니다.
|
매개 변수 |
옵션 |
기본값 |
설명 |
|---|---|---|---|
|
장치 인증 |
켜기 끄기 |
끄기 |
전화기에서 802.1X 인증을 활성화 또는 비활성화합니다. 이 매개 변수 설정은 전화기의 OOB(Out-Of-Box) 등록 후에도 유지될 수 있습니다. |
|
트랜잭션 상태 | 비활성화됨 |
802.1X 인증의 상태를 표시합니다. 상태는 다음과 같을 수 있습니다(이에 국한되지 않음).
| |
|
프로토콜 | 없음 |
802.1X 인증에 사용되는 EAP 메서드를 표시합니다. 프로토콜은 EAP-FAST 또는 EAP-TLS일 수 있습니다. | |
|
사용자 인증서 종류 |
제조 설치됨 사용자 지정 설치됨 |
제조 설치됨 |
초기 등록 및 인증서 갱신 중에 802.1X 인증을 위한 인증서를 선택합니다.
이 매개 변수는 장치 인증이 활성화되었을 때만 전화기에 나타납니다. |
| WPA와의 이전 버전과의 호환성 |
켜기 끄기 | 끄기 |
전화기에서 가장 오래된 버전의 Wi-Fi 보호 액세스(WPA)가 무선 네트워크 또는 AP(액세스 포인트)에 연결하기 위해 호환되는지 여부를 결정합니다.
이 기능은 9861/9871/8875 전화기에서만 사용할 수 있습니다. |
프록시 서버 설정
보안을 강화하기 위해 프록시 서버를 사용하도록 전화기를 구성할 수 있습니다. 일반적으로 HTTP 프록시 서버는 다음 서비스를 제공할 수 있습니다.
- 내부 및 외부 네트워크 간 트래픽 라우팅
- 트래픽 필터링, 모니터링 또는 로깅
- 성능 향상을 위한 응답 캐싱
또한 HTTP 프록시 서버는 전화와 인터넷 사이에서 방화벽 역할을 할 수 있습니다. 구성이 완료되면 전화기는 사이버 공격으로부터 전화기를 보호하는 프록시 서버를 통해 인터넷에 연결됩니다.
HTTP 프록시 기능을 구성하면 HTTP 프로토콜을 사용하는 모든 애플리케이션에 적용됩니다. 예:
- GDS(활성화 코드 온보딩)
- EDOS 장치 활성화
- Webex 클라우드에 온보딩(EDOS 또는 GDS를 통해)
- 맞춤형 CA
- 프로비저닝
- 펌웨어 업그레이드
- 전화기 상태 보고서
- PRT 업로드
- XSI 서비스
- Webex 서비스
- 현재 이 기능은 IPv4만 지원합니다.
- HTTP 프록시 설정은 휴대폰의 OOB(Out-Of-Box) 등록 이후에도 유지될 수 있습니다.
| 1 |
전화기 관리 웹페이지 액세스. |
| 2 |
을 선택합니다. |
| 3 |
HTTP 프록시 설정 섹션에서 드롭다운 목록 프록시 모드 에서 프록시 모드를 선택하고 관련 매개변수를 구성합니다. 각 프록시 모드의 매개변수와 필수 매개변수에 대한 자세한 내용은 HTTP 프록시 설정 매개변수를 참조하세요 . |
| 4 |
모든 변경 사항 제출을 클릭합니다. |
HTTP 프록시 설정을 위한 매개변수
다음 표는 휴대폰 웹 인터페이스의 음성 > 시스템 또한 전화기 구성 파일(cfg.xml)에 XML 코드로 추가되어 매개 변수를 구성하는 문자열 구문을 정의합니다.
| 매개변수 | 설명 |
|---|---|
| 프록시 모드 | 전화기에서 사용 하는 HTTP 프록시 모드를 지정하거나 HTTP 프록시 기능을 비활성화합니다.
다음 중 하나를 수행합니다.
허용되는 값: 자동, 수동 및 끄기 기본값: 끄기 |
| 웹 프록시 자동 검색 | 휴대폰이 WPAD(웹 프록시 자동 검색) 프로토콜을 사용하여 PAC 파일을 검색할지 여부를 결정합니다. WPAD 프로토콜은 DHCP 또는 DNS, 또는 두 네트워크 프로토콜을 모두 사용하여 자동으로 프록시 자동 구성(PAC) 파일을 찾습니다. PAC 파일은 지정된 URL에 대한 프록시 서버를 선택하는 데 사용됩니다. 이 파일은 로컬 또는 네트워크에서 호스팅할 수 있습니다.
다음 중 하나를 수행합니다.
허용되는 값: 예 및 아니요 기본값: 예 |
| PAC URL | PAC 파일의 URL입니다. 예를 들면 TFTP, HTTP, HTTPS가 지원됩니다. 프록시 모드 를 자동 으로 설정하고 웹 프록시 자동 검색 을 아니요로 설정한 경우 이 매개변수를 구성해야 합니다. 다음 중 하나를 수행합니다.
기본값: 비어 있음 |
| 프록시 호스트 | 전화기에서 액세스할 프록시 호스트 서버의 IP 주소 또는 호스트네임입니다. 예:
체계( 프록시 모드를 수동으로 설정한 경우에는 이 파라미터를 설정해야 합니다. 다음 중 하나를 수행합니다.
기본값: 비어 있음 |
| 프록시 포트 | 프록시 호스트 서버의 포트 번호입니다. 프록시 모드를 수동으로 설정한 경우에는 이 파라미터를 설정해야 합니다. 다음 중 하나를 수행합니다.
기본값: 3128 |
| 프록시 인증 | 사용자가 프록시 서버에 필요한 인증 자격 증명(사용자 이름 및 암호)을 제공해야 하는지 여부를 결정합니다. 이 파라미터는 프록시 서버의 실제 동작에 따라 설정됩니다. 파라미터를 예로 설정하는 경우 사용자 이름과 암호를 설정해야 합니다. 매개변수에 대한 자세한 내용은 이 표의 "사용자 이름" 및 "암호" 매개변수를 참조하세요. 프록시 모드가 수동으로 설정된 경우에는 파라미터 설정이 적용됩니다. 다음 중 하나를 수행합니다.
허용되는 값: 예 및 아니요 기본값: 아니요 |
| 사용자 이름 | 프록시 서버의 자격 증명 사용자에 대한 사용자 이름입니다. 프록시 모드 가 수동 으로 설정되고 프록시 인증 이 예로 설정된 경우 매개변수를 구성해야 합니다. 다음 중 하나를 수행합니다.
기본값: 비어 있음 |
| 암호 | 프록시 인증 목적으로 지정된 사용자 이름의 암호. 프록시 모드 가 수동 으로 설정되고 프록시 인증 이 예로 설정된 경우 매개변수를 구성해야 합니다. 다음 중 하나를 수행합니다.
기본값: 비어 있음 |
| 프록시 모드 | 필수 매개변수 | 설명 |
|---|---|---|
| 끄기 | 해당 없음 | 휴대폰에서 HTTP 프록시가 비활성화되어 있습니다. |
| 수동 | 프록시 호스트 프록시 포트 프록시 인증: 예 사용자 이름 비밀번호 | 프록시 서버(호스트 이름 또는 IP 주소)와 프록시 포트를 수동으로 지정합니다. 프록시 서버에 인증이 필요한 경우, 사용자 이름과 비밀번호를 추가로 입력해야 합니다. |
| 프록시 호스트 프록시 포트 프록시 인증: 아니요 | 수동으로 프록시 서버를 지정합니다. 프록시 서버는 인증 자격 증명을 필요로 하지 않습니다. | |
| 자동 | 웹 프록시 자동 검색: 아니요 PAC URL | PAC 파일을 검색하려면 유효한 PAC URL을 입력하세요. |
| 웹 프록시 자동 검색: 예 |
WPAD 프로토콜을 사용하여 자동으로 PAC 파일을 검색합니다. |
미디어 플레인 보안 협상을 위해 클라이언트 시작 모드 활성화
미디어 세션을 보호하기 위해 전화기에서 서버와 미디어 평면 보안 협상을 시작하도록 구성할 수 있습니다. 보안 메커니즘은 RFC 3329 및 미디어용 보안 메커니즘 이름 확장 초안(https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2 참조)에 명시된 표준을 따릅니다. 전화기와 서버 간의 협상 전송은 UDP, TCP 및 TLS를 통해 SIP 프로토콜을 사용할 수 있습니다. 신호 처리 전송 프로토콜이 TLS 인 경우에만 미디어 평면 보안 협상이 적용되도록 제한할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
|
MediaSec 요청 |
전화기가 서버와의 미디어 평면 보안 협상을 시작하는지 여부를 지정합니다. 다음 중 하나를 수행합니다.
허용되는 값: 예|아니요
기본값: 아니요 |
|
MediaSec Over TLS만 해당 |
미디어 평면 보안 협상이 적용되는 신호 처리 전송 프로토콜을 지정합니다. 이 필드를 예로 설정하기 전에 신호 처리 전송 프로토콜이 TLS인지 확인하십시오. 다음 중 하나를 수행합니다.
허용되는 값: 예|아니요
기본값: 아니요 |
| 1 |
전화기 관리 웹페이지 액세스. |
| 2 |
를 선택합니다. |
| 3 |
SIP 설정 섹션에서 MediaSec 요청 및 TLS를 통한 MediaSec 전용 필드를 위 표에 정의된 대로 설정합니다. |
| 4 |
모든 변경 사항 제출을 클릭합니다. |
WLAN 보안
범위 내에 있는 모든 WLAN 장치는 기타 모든 WLAN 트래픽을 수신할 수 있으므로, 음성 통신 보안이 WLAN에서 중요합니다. 침입자가 음성 트래픽을 조작하거나 가로채지 못하도록 Cisco SAFE 보안 아키텍처가 전화를 지원합니다. 네트워크의 보안에 대한 자세한 내용은 http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html을 참조하십시오.
Cisco 무선 IP 전화 솔루션은 전화기가 지원하는 다음 인증 방법을 사용하여 무단 로그인 및 손상된 통신을 방지하는 무선 네트워크 보안을 제공합니다.
-
개방형 인증: 무선 장치가 개방형 시스템에서 인증을 요청할 수 있습니다. 요청을 수신하는 AP는 요청자에게 또는 사용자 목록에 있는 요청자에게만 인증을 허가할 수 있습니다. 무선 장치와 액세스 포인트(AP) 간의 통신은 암호화되지 않을 수 있습니다.
-
확장 가능 인증 프로토콜-보안 터널링을 통한 유연한 인증(EAP-FAST) 인증: 이 클라이언트-서버 보안 아키텍처는 AP와 RADIUS 서버(예: Identity Services Engine(ISE)) 간의 전송 수준 보안(TLS) 터널 내에서 EAP 트랜잭션을 암호화합니다.
TLS 터널은 클라이언트(전화기)와 RADIUS 서버 간 인증을 위해 PAC(Protected Access Credential)를 사용합니다. 서버가 AID(Authority ID)를 클라이언트(전화기)로 보내면, 거기서 해당 PAC를 선택합니다. 클라이언트(전화기)는 PAC-Opaque를 RADIUS 서버로 반환합니다. 서버는 기본 키로 PAC를 해독합니다. 이제 두 엔드포인트에는 PAC 키가 있고 TLS 터널이 생성됩니다. EAP-FAST는 자동 PAC 구축을 지원하지만, RADIUS 서버에서 이것을 활성화해야 합니다.
ISE에서는 기본적으로 PAC가 1주일 후에 만료됩니다. 전화기에 만료된 PAC가 있는 경우, 전화기가 새 PAC를 가져오는 동안 RADIUS 서버에서 인증 시간이 더 오래 걸립니다. PAC 구축 지연을 피하기 위해 PAC 만료 기간을 ISE 또는 RADIUS 서버에서 90일 이상으로 설정하십시오.
-
확장 가능 인증 프로토콜 - 전송 계층 보안 EAP-TLS) 인증: EAP-TLS에는 인증 및 네트워크 액세스를 위한 클라이언트 인증서가 필요합니다. 무선 EAP-TLS의 경우 클라이언트 인증서는 MIC, LSC, 또는 사용자가 설치한 인증서가 될 수 있습니다.
-
PEAP(Protected Extensible Authentication Protocol): 클라이언트(전화기)와 RADIUS 간 Cisco의 독점적 암호 기반 상호 인증 체계입니다. 휴대폰은 PEAP를 사용하여 무선 네트워크 인증을 받을 수 있습니다. PEAP-MSCHAPV2 및 PEAP-GTC 인증 방법이 모두 지원됩니다.
-
사전 공유 키(PSK) : 이 휴대폰은 ASCII 형식을 지원합니다. WPA/WPA2/SAE 사전 공유 키를 설정할 때 이 형식을 사용해야 합니다.
ASCII: 8 ~ 63자 길이의 ASCII 문자 문자열(0-9, 소문자 및 대문자 A-Z 및 특수 문자)
예 : GREG123567@9ZX&W
다음 인증 체계는 RADIUS 서버를 사용하여 인증 키를 관리합니다.
-
WPA/WPA2/WPA3: RADIUS 서버 정보를 사용하여 인증을 위한 고유 키를 생성합니다. 이러한 키는 중앙 RADIUS 서버에서 생성되므로 WPA2/WPA3는 AP와 전화기에 저장된 WPA 사전 공유 키보다 더 많은 보안을 제공합니다.
-
고속 보안 로밍: RADIUS 서버와 무선 도메인 서버(WDS) 정보를 사용하여 키를 관리하고 인증합니다. WDS는 빠르고 안전한 재인증을 위해 FT 지원 클라이언트 장치에 대한 보안 자격 증명 캐시를 생성합니다. Cisco 데스크폰 9861 및 9871과 Cisco 비디오폰 8875는 802.11r(FT)을 지원합니다. 빠르고 안전한 로밍을 위해 무선 및 DS를 모두 지원합니다. 그러나 Cisco는 802.11r (FT) over air 방식을 활용할 것을 적극 권장합니다.
WPA/WPA2/WPA3를 사용하면 암호화 키가 휴대폰에 입력되지 않고 AP와 휴대폰 사이에서 자동으로 파생됩니다. 그러나 인증을 위해 사용되는 EAP 사용자 이름과 암호는 각 전화기에 입력해야 합니다.
음성 트래픽의 보안을 보장하기 위해 전화기는 TKIP와 AES 암호화를 지원합니다. 이러한 메커니즘이 암호화에 사용되면 신호 SIP 패킷과 음성 실시간 전송 프로토콜(RTP) 패킷이 모두 AP와 전화기 사이에서 암호화됩니다.
- TKIP
-
WPA는 WEP보다 여러 가지 개선 사항이 있는 TKIP 암호화를 사용합니다. TKIP는 암호화를 강화하는 패킷당 키 암호화 또는 더 긴 초기화 벡터(IV)를 제공합니다. 뿐만 아니라, MIC(Message Integrity Check)가 암호화된 패킷을 변경하고 있지 않음을 확인합니다. TKIP는 침입자가 WEP 키를 해독하는 데 도움을 주는 WEP의 예측 가능성을 제거합니다.
- AES
-
WPA2/WPA3 인증에 사용되는 암호화 방식입니다. 이 암호화 국가 표준은 암호화 및 암호 해독에 동일한 키를 가지는 대칭 알고리즘을 사용합니다. AES는 128비트 크기의 CBC(Cipher Blocking Chain) 암호화를 최소값으로 사용하는데, CBC 암호화는 128비트, 192비트 및 256비트의 키 크기를 지원합니다. 이 휴대폰은 256비트의 키 크기를 지원합니다.
Cisco 데스크폰 9861 및 9871과 Cisco 화상전화기 8875는 CMIC를 탑재한 Cisco 키 무결성 프로토콜(CKIP)을 지원하지 않습니다.
인증 및 암호화 체계는 무선 LAN 내에서 설정됩니다. VLAN은 네트워크 및 AP에서 구성되고 다른 인증과 암호화의 조합을 지정합니다. SSID는 VLAN과 특정 인증 및 암호화 체계와 연결됩니다. 무선 클라이언트 장치가 성공적으로 인증되려면 AP와 전화기에서 동일한 SSID와 인증 및 암호화 체계를 구성해야 합니다.
일부 인증 체계에서는 특정 유형의 암호화가 필요합니다.
- WPA 사전 공유 키, WPA2 사전 공유 키 또는 SAE를 사용하는 경우 사전 공유 키는 휴대폰에 정적으로 설정되어야 합니다. 이러한 키는 AP에 있는 키와 일치해야 합니다.
-
해당 휴대폰은 FAST 또는 PEAP에 대한 자동 EAP 협상을 지원하지만, TLS에 대한 협상은 지원하지 않습니다. EAP-TLS 모드의 경우 이를 지정해야 합니다.
다음 표의 인증 및 암호화 체계는 AP 구성에 해당하는 전화기의 네트워크 구성 옵션을 보여줍니다.
| FSR 유형 | 인증 | 키 관리 | 암호화 | 보호 관리 프레임(PMF) |
|---|---|---|---|---|
| 802.11r(피트니스) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | 아니요 |
| 802.11r(피트니스) | WPA3 |
미국자동차공학회(SAE) FT-SAE | AES | 예 |
| 802.11r(피트니스) | EAP-TLS |
WPA EAP FT-EAP | AES | 아니요 |
| 802.11r(피트니스) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 예 |
| 802.11r(피트니스) | EAP-FAST |
WPA EAP FT-EAP | AES | 아니요 |
| 802.11r(피트니스) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 예 |
| 802.11r(피트니스) | EAP-PEAP |
WPA EAP FT-EAP | AES | 아니요 |
| 802.11r(피트니스) | EAP-PEAP(WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 예 |
Wi-Fi 프로필 설정
전화기 웹 페이지 또는 원격 장치 프로파일 재동기화에서 Wi-Fi 프로파일을 구성한 다음 사용 가능한 Wi-Fi 네트워크에 프로파일을 연결할 수 있습니다. 이 Wi-Fi 프로파일을 사용하여 Wi-Fi에 연결할 수 있습니다. 현재는 Wi-Fi 프로필을 하나만 구성할 수 있습니다.
프로파일에는 Wi-Fi를 사용하여 전화기를 전화기 서버에 연결하는 데 필요한 매개 변수가 포함되어 있습니다. Wi-Fi 프로필을 만들고 사용하면 귀하나 사용자는 개별 전화기에 대한 무선 네트워크를 구성할 필요가 없습니다.
Wi-Fi 프로파일을 사용하면 사용자가 전화기에서 Wi-Fi 구성을 변경하는 것을 방지하거나 제한할 수 있습니다.
Wi-Fi 프로필을 사용하는 경우 키와 비밀번호를 보호하기 위해 암호화가 활성화된 프로토콜을 갖춘 보안 프로필을 사용하는 것이 좋습니다.
보안 모드에서 EAP-FAST 인증 방법을 사용하도록 휴대폰을 설정하는 경우 사용자는 액세스 포인트에 연결하기 위해 개별 자격 증명이 필요합니다.
| 1 |
전화기 웹페이지에 액세스합니다. |
| 2 |
을 선택합니다. |
| 3 |
Wi-Fi 프로필(n) 섹션에서 다음 표에 설명된 대로 매개변수를 설정합니다. Wi-Fi 프로필에 대한 매개변수. Wi-Fi 프로필 구성은 사용자 로그인에도 사용할 수 있습니다.
|
| 4 |
모든 변경 사항 제출을 클릭합니다. |
Wi-Fi 프로필에 대한 매개변수
다음 테이블은 전화기 웹페이지의 시스템 탭에 있는 Wi-Fi 프로파일(n) 섹션에서 각 파라미터의 기능과 사용법을 정의합니다. 또한 매개 변수를 구성하기 위해 전화기 구성 파일(cfg.xml)에 추가되는 문자열의 구문을 정의합니다.
| 매개변수 | 설명 |
|---|---|
| Network Name(네트워크 이름) | 전화기에 표시되는 SSID의 이름을 입력할 수 있습니다. 여러 프로파일이 서로 다른 보안 모드로 동일한 네트워크 이름을 가질 수 있습니다. 다음 중 하나를 수행합니다.
기본값: 비어 있음 |
| 보안 모드 | Wi-Fi 네트워크에 대한 액세스를 보호하는 데 사용되는 인증 방법을 선택할 수 있습니다. 선택한 방법에 따라 Wi-Fi 네트워크에 가입하는 데 필요한 자격 증명을 제공할 수 있는 비밀번호 필드가 나타납니다. 다음 중 하나를 수행합니다.
기본값: 자동 |
| Wi-Fi 사용자 ID | 네트워크 프로파일에 대한 사용자 ID를 입력할 수 있도록 해줍니다. 이 필드는 보안 모드를 자동, EAP-FAST 또는 EAP-PEAP로 설정하면 사용할 수 있습니다. 이것은 필수 필드이며 최대 32자의 영숫자 문자를 허용합니다. 다음 중 하나를 수행합니다.
기본값: 비어 있음 |
| Wi-Fi 암호 | 지정된 Wi-Fi 사용자 ID에 대한 암호를 입력할 수 있습니다. 다음 중 하나를 수행합니다.
기본값: 비어 있음 |
| 주파수 대역 | WLAN에서 사용하는 무선 신호 주파수 대역을 선택할 수 있습니다. 다음 중 하나를 수행합니다.
기본값: 자동 |
| 인증서 선택 | 무선 네트워크에서 인증서 최초 등록 및 인증서 갱신을 위한 인증서 유형을 선택할 수 있습니다. 이 프로세스는 802.1X 인증에만 사용할 수 있습니다. 다음 중 하나를 수행합니다.
기본값: 제조 설치됨 |
휴대폰에서 기기 보안 상태 확인
휴대폰이 자동으로 기기 보안 상태를 확인합니다. 휴대폰에서 잠재적인 보안 위협이 감지되면 문제 및 진단 메뉴에서 해당 문제에 대한 세부 정보가 표시됩니다. 보고된 문제를 토대로 관리자는 휴대전화의 보안을 강화하고 보안을 강화하는 작업을 수행할 수 있습니다.
전화기가 통화 제어 시스템(Webex Calling 또는 BroadWorks)에 등록되기 전에 장치 보안 상태를 확인할 수 있습니다.
휴대폰 화면에서 보안 문제에 대한 세부 정보를 보려면 다음을 수행하세요.
| 1 |
설정을 누릅니다. |
| 2 |
를 선택하세요. 현재 장치 보안 보고서에는 다음과 같은 문제가 포함되어 있습니다.
|
| 3 |
보안 문제를 해결하려면 관리자에게 지원을 요청하세요. |
