이 문서에서
dropdown icon
DHCP 옵션 구성
    DHCP 옵션 지원
dropdown icon
무선 LAN 보안
    Wi-Fi 프로필 설정
dropdown icon
유선 네트워크에 대한 802.1X 인증
    전화기에서 유선 네트워크에 대해 802.1X 인증 활성화
    전화기 웹 페이지에서 유선 네트워크에 대한 802.1X 인증 활성화
    전화기의 보안 설정 메뉴
사용자 및 관리자 암호 변경
클라이언트 및 서버에 대한 최소 TLS 버전 설정
미디어 부 보안 협상을 위해 클라이언트 시작 모드 사용
Cisco Wireless Phone 9821 보안(멀티플랫폼)
list-menu이 문서에서
list-menu피드백이 있습니까?

이 도움말 문서는 Webex Calling에 등록된 Cisco Wireless Phone 9821에 관한 것입니다.

DHCP 옵션 구성

전화기에서 DHCP 옵션을 사용하는 순서를 설정할 수 있습니다. DHCP 옵션에 대한 도움말은 DHCP 옵션 지원을 참조하세요.

1

전화기 관리 웹페이지 액세스.

http://<ip 주소>/admin/advanced

2

음성 > 프로비저닝을 선택합니다.

3

구성 프로필 섹션에서 사용할 DHCP 옵션 매개 변수를 설정합니다 . 이 매개변수는 쉼표로 구분된 일련의 DHCP 옵션으로 구성되며 펌웨어 및 프로파일을 검색하는 데 사용됩니다.

다음 중 하나를 수행합니다.

  • XML(cfg.xml)이 있는 전화 구성 파일에서, 다음 형식으로 문자열을 입력합니다.

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • 전화기 웹 페이지에서 쉼표로 구분된 일련의 DHCP 옵션을 입력합니다.

기본값: 66,160,159,150,60,43,125

4

모든 변경 사항 제출을 클릭합니다.

DHCP 옵션 지원

다음 표에는 Cisco Wireless Phone 9821에서 지원되는 DHCP 옵션이 나열되어 있습니다.

네트워크 표준설명
DHCP 옵션 1서브넷 마스크
DHCP 옵션 2시간 오프셋
DHCP 옵션 3라우터
DHCP 옵션 6DNS(도메인 네임 서버)
DHCP 옵션 15도메인 이름
DHCP 옵션 17루트 경로
DHCP 옵션 41IP 주소 임대 시간
DHCP 옵션 42NTP 서버
DHCP 옵션 43공급업체별 정보

SCEP 구성을 제공하는 데 사용할 수 있습니다.

DHCP 옵션 56NTP 서버
DHCP 옵션 60공급업체 클래스 식별자
DHCP 옵션 66TFTP 서버 이름
DHCP 옵션 125공급업체 식별 공급업체별 정보
DHCP 옵션 150TFTP 서버
DHCP 옵션 159프로비저닝 서버 IP
DHCP 옵션 160프로비저닝 URL

무선 LAN 보안

범위 내에 있는 모든 WLAN 장치는 기타 모든 WLAN 트래픽을 수신할 수 있으므로, 음성 통신 보안이 WLAN에서 중요합니다. 침입자가 음성 트래픽을 조작하거나 가로채지 않도록 Cisco SAFE 보안 아키텍처가 전화기를 지원합니다. 네트워크 보안에 대한 자세한 내용은 http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html 을 참조하십시오.

Cisco Wireless IP 텔레포니 솔루션은 전화기가 지원하는 다음 인증 방법을 사용하여 인증되지 않은 로그인 및 통신 저하를 방지하는 무선 네트워크 보안을 제공합니다.

  • 개방형 인증: 무선 장치가 개방형 시스템에서 인증을 요청할 수 있습니다. 요청을 수신하는 AP는 요청자에게 또는 사용자 목록에 있는 요청자에게만 인증을 허가할 수 있습니다. 무선 장치와 액세스 포인트(AP) 간의 통신이 암호화되지 않을 수 있습니다.

  • EAP-FAST(Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling) 인증: 이 클라이언트-서버 보안 아키텍처는 AP와 ISE(Identity Services Engine)와 같은 RADIUS 서버 간의 TLS(Transport Level Security) 터널 내에서 EAP 트랜잭션을 암호화합니다.

    TLS 터널은 클라이언트(전화기)와 RADIUS 서버 간 인증을 위해 PAC(Protected Access Credential)를 사용합니다. 서버가 AID(Authority ID)를 클라이언트(전화기)로 보내면, 거기서 해당 PAC를 선택합니다. 클라이언트(전화기)는 PAC-Opaque를 RADIUS 서버로 반환합니다. 서버는 기본 키로 PAC를 해독합니다. 이제 두 엔드포인트에는 PAC 키가 있고 TLS 터널이 생성됩니다. EAP-FAST는 자동 PAC 구축을 지원하지만, RADIUS 서버에서 이것을 활성화해야 합니다.

    ISE에서는 기본적으로 PAC가 1주일 후에 만료됩니다. 전화기에 만료된 PAC가 있는 경우, 전화기가 새 PAC를 가져오는 동안 RADIUS 서버에서 인증 시간이 더 오래 걸립니다. PAC 구축 지연을 피하기 위해 PAC 만료 기간을 ISE 또는 RADIUS 서버에서 90일 이상으로 설정하십시오.

  • 확장 가능 인증 프로토콜 - 전송 계층 보안 EAP-TLS) 인증: EAP-TLS에는 인증 및 네트워크 액세스를 위한 클라이언트 인증서가 필요합니다. 무선 EAP-TLS의 경우 클라이언트 인증서는 MIC 또는 사용자 설치 인증서일 수 있습니다.

  • PEAP(Protected Extensible Authentication Protocol): 클라이언트(전화기)와 RADIUS 간 Cisco의 독점적 암호 기반 상호 인증 체계입니다. 전화기는 무선 네트워크에서 인증을 위해 PEAP를 사용할 수 있습니다. PEAP-MSCHAPV2 및 PEAP-GTC 인증 방법이 모두 지원됩니다.

    Cisco Wireless Phone 9821에 대한 PEAP-GTC 인증을 지원하려면 Cisco ISE 정책 집합 내에서 필요한 정책을 구성합니다.

  • PSK(사전 공유 키): 전화기는 ASCII 및 16진수(HEX) 형식을 지원합니다. WPA2/SAE 사전 공유 키를 설정할 때 이러한 형식을 사용해야 합니다.

    ASCII: 길이가 8-63자인 ASCII 문자열입니다(0-9, 소문자 a-z, 대문자 A-Z 및 특수 문자). 예: GREG123567@9ZX&W.

    HEX: 길이가 64자리인 16진수 문자열(0-9, a-f 또는 A-F)입니다.

다음 인증 체계는 RADIUS 서버를 사용하여 인증 키를 관리합니다.

  • WPA2/WPA3: RADIUS 서버 정보를 사용하여 인증을 위한 고유 키를 생성합니다. 이러한 키는 중앙 집중식 RADIUS 서버에서 생성되므로, WPA2/WPA3는 AP 및 전화기에 저장된 WPA 사전 공유 키보다 더 강화된 보안을 제공합니다.

  • 고속 보안 로밍: RADIUS 서버와 무선 도메인 서버(WDS) 정보를 사용하여 키를 관리하고 인증합니다. WDS는 빠르고 안전한 재인증을 위해 FT 지원 클라이언트 디바이스에 대한 보안 자격 증명 캐시를 만듭니다.

WPA2/WPA3를 사용하면 암호화 키가 전화기에 입력되지 않지만 AP와 전화기 간에 자동으로 파생됩니다. 그러나 인증을 위해 사용되는 EAP 사용자 이름과 암호는 각 전화기에 입력해야 합니다.

무선 링크를 통한 음성 트래픽을 보호하기 위해 전화기는 WPA2/WPA3 인증에 AES 기반 암호화를 지원합니다. AES는 NIST에서 표준화한 대칭 블록 암호입니다. AES 고정 128비트 블록 크기를 사용하고 128비트, 192비트 및 256비트의 키 크기를 지원합니다. Wi-Fi 네트워크에서는 CCMP 또는 GCMP와 같은 암호 그룹에 의해 AES가 사용되는 반면, 인증은 구성된 WLAN 보안 모드에 따라 PSK, SAE 또는 802.1X/EAP에 의해 별도로 제공됩니다. 지원되는 암호 그룹 및 키 크기는 전화기 모델 및 WLAN 구성에 따라 다릅니다.

인증 및 암호화 체계는 무선 LAN 내에서 설정됩니다. VLAN은 네트워크 및 AP에서 구성되고 다른 인증과 암호화의 조합을 지정합니다. SSID는 VLAN과 특정 인증 및 암호화 체계와 연결됩니다. 무선 클라이언트 장치를 성공적으로 인증하려면 AP 및 전화기의 인증 및 암호화 체계와 동일한 SSID를 구성해야 합니다.

일부 인증 체계에서는 특정 유형의 암호화가 필요합니다.

WPA2 사전 공유 키 또는 SAE를 사용할 때 사전 공유 키가 정적으로 전화기에 설정되어야 합니다. 이러한 키는 AP에 있는 키와 일치해야 합니다.

다음 표의 인증 및 암호화 체계는 AP 구성에 해당하는 Cisco Wireless Phone 9821의 네트워크 구성 옵션을 보여줍니다.

표 1. 인증 및 암호화 체계
FSR 유형인증키 관리암호화PMF(Protected Management Frame)
802.11r(피트)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AES아니요
802.11r(피트)WPA3

Sae

FT-SAE (영어)

AES
802.11r(피트)EAP-TLS

WPA-EAP

FT-EAP

AES아니요
802.11r(피트)EAP-TLS(WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r(피트)EAP-FAST

WPA-EAP

FT-EAP

AES아니요
802.11r(피트)EAP-FAST(WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r(피트)EAP-PEAP

WPA-EAP

FT-EAP

AES아니요
802.11r(피트)EAP-PEAP(WPA3)

WPA-EAP-SHA256

FT-EAP

AES
비 FT스위트-B (Suite-B)WPA-EAP-스위트-B증권 시세 표시기
비 FT스위트-B-192 (Suite-B-192)WPA-EAP-스위트-B-192증권 시세 표시기

Wi-Fi 프로필 설정

Wi-Fi 프로파일은 전화기 관리 웹 페이지에서 구성하거나 원격 장치 프로파일 다시 동기화를 통해 구성할 수 있습니다. 구성되면 이러한 프로파일을 사용 가능한 무선 네트워크와 연결하여 연결을 설정할 수 있습니다. Cisco Wireless Phone 9821은 최대 4개의 구성된 Wi-Fi 프로파일을 지원합니다.

프로파일에는 Wi-Fi를 사용하여 전화기를 전화기 서버에 연결하는 데 필요한 매개 변수가 포함되어 있습니다. Wi-Fi 프로파일을 만들고 사용하는 경우 관리자 또는 사용자가 개별 전화기에 대한 무선 네트워크를 구성할 필요가 없습니다.

Wi-Fi 프로파일을 사용하면 사용자가 전화기에서 Wi-Fi 구성을 변경하는 것을 방지하거나 제한할 수 있습니다.

Wi-Fi 프로파일을 사용할 때 암호화 사용 프로토콜이 있는 보안 프로파일을 사용하여 키와 암호를 보호하는 것이 좋습니다.

보안 모드에서 EAP-FAST 인증 방법을 사용하도록 전화기를 설정할 때 사용자가 액세스 지점에 연결하려면 개별 자격 증명이 필요합니다.

1

전화기 웹페이지에 액세스합니다.

2

음성 > 시스템을 선택합니다.

3

Wi-Fi 프로필(n) 섹션에서 Wi-Fi 프로필에 대한 다음 매개 변수 표에 설명된 대로 매개 변수를 설정합니다.

Wi-Fi 프로파일 구성은 사용자 로그인에도 사용할 수 있습니다.
4

모든 변경 사항 제출을 클릭합니다.

Wi-Fi 프로파일의 매개 변수

다음 표는 전화기 웹 페이지의 System Tab 아래에 있는 Wi-Fi Profile(n) 섹션에 있는 각 매개 변수의 기능과 사용법을 정의합니다. 또한 매개 변수를 구성하기 위해 전화기 구성 파일(cfg.xml)에 추가되는 문자열의 구문을 정의합니다.

매개변수설명
Network Name(네트워크 이름)전화기에 표시되는 SSID의 이름을 입력할 수 있습니다. 여러 프로파일이 서로 다른 보안 모드로 동일한 네트워크 이름을 가질 수 있습니다.

다음 중 하나를 수행합니다.

  • XML(cfg.xml)이 있는 전화 구성 파일에서, 다음 형식으로 문자열을 입력합니다.

    <Network_Name_1_ ua="rw">Cisco</Network_Name_1_>

  • 전화기 웹 페이지에서 SSID 이름을 입력합니다.

기본값: 비어 있음

보안 모드Wi-Fi 네트워크에 대한 액세스를 보호하는 데 사용되는 인증 방법을 선택할 수 있습니다. 선택한 방법에 따라 이 Wi-Fi 네트워크에 참가하는 데 필요한 자격 증명을 제공할 수 있도록 암호 필드가 나타납니다.

다음 중 하나를 수행합니다.

  • XML(cfg.xml)이 있는 전화 구성 파일에서, 다음 형식으로 문자열을 입력합니다.

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- 사용 가능한 옵션: |EAP-FAST|||PSK||없음|EAP-PEAP|EAP-TLS -->

  • 전화기 웹 페이지에서 다음 방법 중 하나를 선택합니다.
    • EAP-FAST
    • PSK
    • 없음
    • EAP-PEAP
    • EAP-TLS

기본값: 없음

Wi-Fi 사용자 ID네트워크 프로파일에 대한 사용자 ID를 입력할 수 있도록 해줍니다.

이 필드는 보안 모드를 [자동], [EAP-FAST] 또는 [EAP-PEAP]로 설정한 경우에 사용할 수 있습니다. 이것은 필수 필드이며 최대 32자의 영숫자 문자를 허용합니다.

다음 중 하나를 수행합니다.

  • XML(cfg.xml)이 있는 전화 구성 파일에서, 다음 형식으로 문자열을 입력합니다.

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • 전화기 웹 페이지에서 네트워크 프로파일의 사용자 ID를 입력합니다.

기본값: 비어 있음

Wi-Fi 암호지정된 Wi-Fi 사용자 ID에 대한 암호를 입력할 수 있습니다.

다음 중 하나를 수행합니다.

  • XML(cfg.xml)이 있는 전화 구성 파일에서, 다음 형식으로 문자열을 입력합니다.

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • 전화기 웹 페이지에서 추가한 사용자 ID의 암호를 입력합니다.

기본값: 비어 있음

주파수 대역WLAN에서 사용하는 무선 신호 주파수 대역을 선택할 수 있습니다.

다음 중 하나를 수행합니다.

  • XML(cfg.xml)이 있는 전화 구성 파일에서, 다음 형식으로 문자열을 입력합니다.

    <Frequency_Band_1_ ua="rw">자동</Frequency_Band_1_>

  • 전화기 웹 페이지에서 다음 옵션 중 하나를 선택합니다.
    • 자동
    • 2.4GHz
    • 5 GHz 또는 6 GHz

기본값: 자동

인증서 선택무선 네트워크에서 인증서 초기 등록 및 인증서 갱신을 위한 인증서 유형을 선택할 수 있습니다. 이 프로세스는 802.1X 인증에만 사용할 수 있습니다.

다음 중 하나를 수행합니다.

  • XML(cfg.xml)이 있는 전화 구성 파일에서, 다음 형식으로 문자열을 입력합니다.

    <Certificate_Select_1_ ua="rw">제조 설치됨</Certificate_Select_1_>

  • 전화기 웹 페이지에서 다음 옵션 중 하나를 선택합니다.
    • 제조 설치됨
    • 사용자 지정 설치됨

기본값: Manufacturing 설치됨

제어 모드사용자가 Wi-Fi 프로파일을 구성할 수 있는지 여부를 제어합니다.

다음 중 하나를 수행합니다.

  • XML(cfg.xml)이 있는 전화 구성 파일에서, 다음 형식으로 문자열을 입력합니다.

    <Control_Mode_1_ ua="rw">허용</Control_Mode_1_>

  • 전화기 웹 페이지에서 다음 옵션 중 하나를 선택합니다.
    • 허용
    • 허용 안 됨
    • 제한됨

기본값: 허용

활성화Wi-Fi 프로파일의 사용 여부를 제어합니다.

다음 중 하나를 수행합니다.

  • XML(cfg.xml)이 있는 전화 구성 파일에서, 다음 형식으로 문자열을 입력합니다.

    <Enable_1_ ua="rw">예</Enable_1_>

  • 전화기 웹 페이지에서 다음 옵션 중 하나를 선택합니다.
    • 아니요

기본값: 예

프로필 이름전화기에 표시될 프로파일의 이름을 입력할 수 있습니다.

다음 중 하나를 수행합니다.

  • XML(cfg.xml)이 있는 전화 구성 파일에서, 다음 형식으로 문자열을 입력합니다.

    <Profile_Name_1_ ua="rw">프로필 1</Profile_Name_1_>

  • 전화기 웹 페이지에서 프로파일 이름을 입력합니다.

기본값: 프로파일 1

PSK 암호[보안 모드]가 [PSK]로 설정되어 있으면 PSK 암호를 입력할 수 있습니다.

다음 중 하나를 수행합니다.

  • XML(cfg.xml)이 있는 전화 구성 파일에서, 다음 형식으로 문자열을 입력합니다.

    <PSK_Passphrase_1_ ua="rw">*************</PSK_Passphrase_1_>

  • 전화기 웹 페이지에서 PSK 암호를 입력합니다.

기본값: 허용

유선 네트워크에 대한 802.1X 인증

Cisco Wireless Phone 9821은 유선 네트워크에 대해 802.1X 인증을 지원합니다. 일반적으로 전화기가 지원되는 USB-이더넷 어댑터를 통해 데스크톱 충전기에 연결되었을 때 자동 프로비저닝 중에 사용됩니다.

유선 네트워크에서 802.1X 인증을 지원하려면 다음과 같은 몇 가지 구성 요소가 필요합니다.

  • Cisco IP 전화기: 전화기에서 네트워크 액세스 요청을 시작합니다. Cisco IP 전화기에는 802.1X 인증 요청자가 있습니다. 이 인증 요청자를 통해 네트워크 관리자는 IP 전화기의 LAN 스위치 포트 연결을 제어합니다. 현재 전화기 802.1X 인증 요청자 릴리스는 네트워크 인증에 EAP-FAST 및 EAP-TLS 옵션을 사용합니다.

  • 인증 서버: 인증 서버와 스위치 모두 RADIUS 공유 비밀로 구성해야 합니다.

  • 스위치: 스위치는 802.1X를 지원해야 인증자 역할을 하고 전화기와 인증 서버 간에 EAP 메시지를 릴레이할 수 있습니다. 교환이 끝나면 스위치는 네트워크에 대한 전화기 액세스를 허용 또는 거부합니다.

Cisco IP 전화기와 Cisco Catalyst 스위치는 일반적으로 CDP(Cisco Discovery Protocol)를 사용해 서로를 식별하고 VLAN 할당 및 인라인 전력 요구 사항 같은 매개변수를 결정합니다.

802.1X를 구성하려면 다음과 같은 작업을 수행해야 합니다.

  • CDP/LLDP 음성 VLAN 바이패스를 구성합니다.

  • 전화기에서 유선 네트워크에 대한 802.1X 인증을 활성화하기 전에 먼저 인증 서버 및 스위치를 구성합니다.

  • 음성 VLAN 구성: 802.1X 표준으로 VLAN이 설명되지 않으므로 스위치 지원을 기준으로 이 설정을 구성해야 합니다.

    • 사용: 다중 도메인 인증을 지원하는 스위치를 사용하는 경우 음성 VLAN를 사용하도록 구성할 수 있습니다.
    • 비활성화됨: 스위치에서 멀티도메인 인증을 지원하지 않으면, 음성 VLAN을 비활성화하고 기본 VLAN에 대한 포트 할당을 고려하십시오.
  • Cisco Wireless Phone 9821의 PID에는 다른 Cisco 전화기의 접두사와 다른 접두사가 있습니다. 전화기가 802.1X 인증을 통과할 수 있도록 하려면 Radius· 사용자 이름 매개 변수에 Cisco Wireless Phone 9821을 포함합니다.

    예를 들어, Cisco Wireless Phone 9821의 PID는 WP-9821입니다. 당신은 설정할 수 있습니다 반경· User-Name : WP 로 시작하거나 다음 두 섹션 모두에서 WP 를 포함합니다.

    • 정책 >조건 > 라이브러리 조건

    • 정책 > 정책 집합 > 권한 부여 정책 > 권한 부여 규칙 1

전화기에서 유선 네트워크에 대해 802.1X 인증 활성화

전화기에서 유선 네트워크에 대해 802.1X 인증을 활성화하려면 다음 단계를 수행합니다. Wi-Fi에 대한 802.1X 인증은 기본적으로 활성화되어 있으므로 수동으로 구성할 필요가 없습니다.

1

설정 액세스 9821 Settings app icon 앱.

2

메시지가 표시되면 암호를 입력하여 설정 메뉴에 액세스합니다 . 관리자로부터 암호를 받을 수 있습니다.

3

관리 설정 >보안 설정 > 802.1X 인증을 선택합니다.

4

장치 인증을 강조 표시하고 켜기 를 누릅니다.

전화기 웹 페이지에서 유선 네트워크에 대한 802.1X 인증 활성화

유선 네트워크에 대한 802.1X 인증이 활성화된 경우 전화기는 802.1X 인증을 사용하여 이더넷 LAN 포트에서 네트워크 액세스를 요청합니다. 유선 네트워크에 대한 802.1X 인증이 비활성화되면 전화기는 Cisco Discovery Protocol(CDP)를 사용하여 VLAN 및 네트워크 액세스를 획득합니다. Wi-Fi에 대한 802.1X 인증은 기본적으로 활성화되어 있으므로 수동으로 구성할 필요가 없습니다.

802.1X 인증에 사용되는 인증서(MIC/SUDI 또는 CDC)를 선택할 수 있습니다. CDC에 대한 자세한 내용은 Cisco Wireless Phone 9821 의 사용자 지정 장치 인증서를 참조하세요.

전화기 화면 메뉴에서 트랜잭션 상태 및 보안 설정을 볼 수 있습니다. 자세한 내용은 전화기 의 보안 설정 메뉴를 참조하십시오.

1

802.1X 인증을 활성화합니다.

음성 > 시스템을 선택합니다. 802.1X 인증 섹션에서 802.1X 인증 활성화 매개 변수를 [예 ]로 설정합니다.

설정 파일(cfg.xml)에서 이 매개 변수를 설정할 수도 있습니다.

<Enable_802.1X_인증 ua="rw">예</Enable_802.1X_인증>

유효한 값: 예|아니요

기본값: 아니요

2

802.1X 인증 섹션의 인증서 선택 드롭다운 목록에서 802.1X 인증 에 사용되는 다음 설치된 인증서 중 하나를 선택합니다.

값 옵션:

  • 제공된 제조: MIC/SUDI.
  • 사용자 지정 설치됨: CDC(사용자 지정 장치 인증서).

설정 파일(cfg.xml)에서 이 매개 변수를 설정할 수도 있습니다.

<Certificate_Select ua="rw">사용자 지정 설치됨</Certificate_Select>

유효한 값: Manufacturing installed|사용자 지정 설치됨

기본값: Manufacturing 설치됨

3

유선 네트워크에서 802.1X 인증을 위한 ID로 사용할 사용자 ID 매개 변수를 구성합니다.

이 구성은 인증서 선택이 사용자 지정으로 설정된 유선 802.1X 인증 에 CDC(사용자 지정 장치 인증서)를 사용하는 경우에만 적용됩니다.

설정 파일(cfg.xml)에서 이 매개 변수를 설정할 수도 있습니다.

<Wired_User_ID ua="na"></Wired_User_ID>

유효한 값: 최대 127자

기본값: 비어 있음

이 매개변수는 매크로 확장 변수도 지원합니다. 자세한 내용은 매크로 확장 변수를 참조하십시오 .

DHCP 옵션과의 조합을 사용하여 사용자 ID를 프로비저닝하려면 DHCP 옵션 15 를 통해 사용자 ID 프로비저닝을 참조하십시오.

4

모든 변경 사항 제출을 클릭합니다.

전화기의 보안 설정 메뉴

전화기 메뉴에서 보안 설정에 대한 정보를 보려면 설정 9821 Settings app icon 앱을 열고 관리 설정 >보안 설정 > 802.1X 인증을 선택합니다. 정보의 가용성은 조직의 네트워크 설정에 따라 다릅니다.

매개 변수

옵션

기본값

설명

장치 인증

켜기

끄기

끄기

전화기에서 802.1X 인증을 활성화 또는 비활성화합니다.

이 매개 변수 설정은 전화기의 OOB(Out-Of-Box) 등록 후에도 유지될 수 있습니다.

트랜잭션 상태

비활성화됨

802.1X 인증의 상태를 표시합니다. 상태는 다음과 같을 수 있습니다(이에 국한되지 않음).

  • 인증 중 - 인증 프로세스가 진행 중임을 나타냅니다.
  • 인증됨 - 전화기가 인증되었음을 나타냅니다.
  • 비활성화됨 - 전화기에서 802.1x 인증이 비활성화되었음을 나타냅니다.
  • 연결 중 - 전화기에서 30초마다 EAP 시작 메시지를 스위치에 전송하고 있음을 나타냅니다.
  • 획득됨 - 스위치에서 전화기의 EAP 요청을 거부했으며 스위치에서 EAP-TLS 또는 EAP-FAST 인증을 받지 않았음을 나타냅니다. 전화기에서 EAP 요청을 다시 보내려고 합니다.
  • 연결 끊김 - 이더넷 케이블이 분리되었음을 나타냅니다.
  • 보류 - 스위치에서 전화기의 EAP 요청을 처리했지만 EAP-FAST 또는 EAP-TLS 인증을 거부했음을 나타냅니다. 전화기에서 EAP 요청을 다시 보내려고 합니다.

프로토콜

없음

802.1X 인증에 사용되는 EAP 메서드를 표시합니다. 프로토콜은 EAP-FAST 또는 EAP-TLS일 수 있습니다.

사용자 인증서 종류

제조 설치됨

사용자 지정 설치됨

제조 설치됨

초기 등록 및 인증서 갱신 중에 802.1X 인증을 위한 인증서를 선택합니다.

  • MIC(Manufacturing installed) - SUDI(Secure Unique Device Identifier)가 사용됩니다.
  • 사용자 지정 설치됨 - CDC(사용자 지정 장치 인증서)가 사용됩니다. 이 유형의 인증서는 전화기 웹 페이지에 수동으로 업로드하거나 SCEP(Simple Certificate Enrollment Protocol) 서버에서 설치할 수 있습니다.

이 매개 변수는 장치 인증이 활성화되었을 때만 전화기에 나타납니다.

사용자 및 관리자 암호 변경

통화 제어 시스템에 처음 등록하거나 초기 설정값으로 재설정한 후, 전화기 관리 웹 페이지에 처음 액세스할 때 사용자 및 관리자 암호를 모두 구성해야 합니다. 장치 보안을 유지하기 위해 언제든지 이러한 자격 증명을 업데이트할 수 있습니다.

유효한 암호 규칙은 다음과 같습니다.

  • 암호는 8~127자 이상을 포함해야 합니다.
  • 대문자, 소문자, 숫자 및 특수 문자의 조합(네 가지 유형 중 세 가지)입니다.
  • 공백은 허용되지 않습니다.
1

전화기 관리 웹페이지 액세스.

2

음성 > 시스템을 선택합니다.

3

(선택 사항) 시스템 구성 섹션에서 암호 경고 표시 매개 변수를 예 설정한 다음 모든 변경 내용 제출을 클릭합니다 .

전화기 설정 파일(cfg.xml)에서 이 매개 변수를 활성화할 수도 있습니다.

<Display_Password_Warnings ua="na">예</Display_Password_Warnings>

기본값: 예

옵션: 예|아니요

매개 변수를 아니요 설정하면 전화기 화면에 암호 경고가 나타나지 않습니다.

4

사용자 암호(User Password ) 또는 관리자 암호(Admin Password ) 매개 변수를찾고 매개 변수 옆에 있는 암호 변경(Change Password )을 클릭합니다 .

5

기존 암호 필드에 현재 사용자 암호를 입력합니다.

6

새 암호 필드에 새 암호를 입력합니다.

새 암호가 유효한 암호 규칙을 충족하지 않으면 설정이 거부됩니다.

7

제출을 클릭합니다.

암호가 변경되었습니다. 메시지가 웹페이지에 표시됩니다. 웹페이지는 몇 초 후에 새로 고쳐집니다.

사용자 비밀번호를 설정한 후 이 파라미터는 전화기 설정 XML 파일(cfg.xml)에 다음을 표시합니다.

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

클라이언트 및 서버에 대한 최소 TLS 버전 설정

기본적으로 클라이언트 및 서버의 최소 TLS 버전은 1.2입니다. 이는 클라이언트와 서버가 TLS 1.2 이상과의 연결 설정을 수락함을 의미합니다. 클라이언트 및 서버에 대해 지원되는 TLS의 최대 버전은 1.3입니다. 구성된 경우 TLS 클라이언트와 TLS 서버 간의 협상에 최소 TLS 버전이 사용됩니다.

클라이언트 및 서버에 대해 각각 TLS의 최소 버전(예: 1.1, 1.2 또는 1.3)을 설정할 수 있습니다.

시작하기 전에

TLS 서버가 구성된 최소 TLS 버전을 지원하는지 확인합니다. 통화 제어 시스템의 관리자에게 문의할 수 있습니다.

1

전화기 관리 웹페이지 액세스.

2

음성 > 시스템을 선택합니다.

3

보안 설정 섹션에서매개 변수 TLS Client Min Version을 구성합니다.

  • TLS 1.1: TLS 클라이언트는 1.1에서 1.3까지의 TLS 버전을 지원합니다.

    서버의 TLS 버전이 1.1보다 낮으면 연결을 설정할 수 없습니다.

  • TLS 1.2 (기본값): TLS 클라이언트는 TLS 1.2 및 1.3을 지원합니다.

    서버의 TLS 버전이 1.2보다 낮으면(예: 1.1) 연결을 설정할 수 없습니다.

  • TLS 1.3: TLS 클라이언트는 TLS 1.3만 지원합니다.

    서버의 TLS 버전이 1.3보다 낮으면(예: 1.2 또는 1.1) 연결을 설정할 수 없습니다.

    "TLS Client Min Version" 매개 변수를 "TLS 1.3"으로 설정하려면 서버 측에서 TLS 1.3을 지원해야 합니다. 서버 쪽에서 TLS 1.3을 지원하지 않으면 심각한 문제가 발생할 수 있습니다. 예를 들어 전화기에서 프로비저닝 작업을 수행할 수 없습니다.

설정 파일(cfg.xml)에서 이 매개 변수를 설정할 수도 있습니다.

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

허용되는 값: TLS 1.1, TLS1.2 및 TLS 1.3.

기본값: TLS 1.2

4

보안 설정 섹션에서매개 변수 TLS 서버 최소 버전을 구성합니다.

Webex Calling은 TLS 1.1을 지원하지 않습니다.

  • TLS 1.1: TLS 서버는 1.1에서 1.3까지의 TLS 버전을 지원합니다.

    클라이언트의 TLS 버전이 1.1보다 낮으면 연결을 설정할 수 없습니다.

  • TLS 1.2 (기본값): TLS 서버는 TLS 1.2 및 1.3을 지원합니다.

    클라이언트의 TLS 버전이 1.2보다 낮으면(예: 1.1) 연결을 설정할 수 없습니다.

  • TLS 1.3: TLS 서버는 TLS 1.3만 지원합니다.

    클라이언트의 TLS 버전이 1.3보다 낮으면(예: 1.2 또는 1.1) 연결을 설정할 수 없습니다.

설정 파일(cfg.xml)에서 이 매개 변수를 설정할 수도 있습니다.

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

허용되는 값: TLS 1.1, TLS1.2 및 TLS 1.3.

기본값: TLS 1.2

5

모든 변경 사항 제출을 클릭합니다.

미디어 부 보안 협상을 위해 클라이언트 시작 모드 사용

미디어 세션을 보호하기 위해 전화기에서 서버와 미디어 평면 보안 협상을 시작하도록 구성할 수 있습니다. 보안 메커니즘은 RFC 3329 및 해당 확장 초안 미디어용 보안 메커니즘 이름(https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2 참조)에 명시된 표준을 따릅니다. 전화기와 서버 간의 협상 전송은 UDP, TCP 및 TLS를 통해 SIP 프로토콜을 사용할 수 있습니다. 신호 처리 전송 프로토콜이 TLS 인 경우에만 미디어 평면 보안 협상이 적용되도록 제한할 수 있습니다.

표 2. 미디어 플레인 보안 협상 매개 변수
매개변수설명

MediaSec 요청

전화기가 서버와의 미디어 평면 보안 협상을 시작하는지 여부를 지정합니다.

다음 중 하나를 수행합니다.

  • XML(cfg.xml)이 있는 전화 구성 파일에서, 다음 형식으로 문자열을 입력합니다.

    <MediaSec_Request_1_ ua="na">예</MediaSec_Request_1_>
  • 전화기 웹 인터페이스에서 이 필드를 Yes 또는 No로 설정합니다.

허용되는 값: 예|아니요

  • - 클라이언트 시작 모드입니다. 전화기가 미디어 평면 보안 협상을 시작합니다.
  • 아니요 - 서버 시작 모드입니다. 서버가 미디어 평면 보안 협상을 시작합니다. 전화기에서 협상을 시작하지는 않지만 서버에서 협상 요청을 처리하여 보안 통화를 설정할 수 있습니다.

기본값: 아니요

MediaSec Over TLS만 해당

미디어 평면 보안 협상이 적용되는 신호 처리 전송 프로토콜을 지정합니다.

이 필드를 로 설정하기 전에 신호 처리 전송 프로토콜이 TLS인지 확인하십시오.

다음 중 하나를 수행합니다.

  • XML(cfg.xml)이 있는 전화 구성 파일에서, 다음 형식으로 문자열을 입력합니다.

    <MediaSec_Over_TLS_Only_1_ ua="na">아니요</MediaSec_Over_TLS_Only_1_>

  • 전화기 웹 인터페이스에서 이 필드를 Yes 또는 No로 설정합니다.

허용되는 값: 예|아니요

  • - 신호 처리 전송 프로토콜이 TLS인 경우에만 전화기에서 미디어 평면 보안 협상을 시작하거나 처리합니다.
  • 아니요 - 신호 처리 전송 프로토콜에 관계없이 전화기에서 미디어 평면 보안 협상을 시작하고 처리합니다.

기본값: 아니요

1

전화기 관리 웹페이지 액세스.

2

음성 > 내선 번호(n)를 선택합니다.

3

SIP 설정 섹션에서 위의 표에 정의된 대로 MediaSec 요청 TLS 이상의 MediaSec 전용 필드를 설정합니다 .

4

모든 변경 사항 제출을 클릭합니다.

이 문서가 도움이 되었습니까?
이 문서가 도움이 되었습니까?