- 主页
- /
- 文章
本帮助文章适用于注册到 Webex Calling 的 Cisco 无线电话 9821。
配置 DHCP 选项
您可以设置您的电话使用 DHCP 选项的顺序。 有关 DHCP 选项的帮助,请参阅 DHCP 选项支持。
| 1 |
访问电话管理网页。
|
| 2 |
选择 。 |
| 3 |
在配置文件 部分,设置 DHCP 选项使用 参数。 此参数由一系列以逗号分隔的 DHCP 选项组成,用于检索固件和配置文件。 执行下列操作之一:
默认值: |
| 4 |
单击 Submit All Changes。 |
DHCP 选项支持
下表列出了 Cisco 无线电话 9821 支持的 DHCP 选项。
| 网络标准 | 说明 |
|---|---|
| DHCP 选项 1 | 子网掩码 |
| DHCP 选项 2 | 时间偏移量 |
| DHCP 选项 3 | 路由器 |
| DHCP 选项 6 | 域名服务器 |
| DHCP 选项 15 | 域名 |
| DHCP 选项 17 | 根路径 |
| DHCP 选项 41 | IP 地址租用时间 |
| DHCP 选项 42 | NTP 服务器 |
| DHCP 选项 43 | 供应商特定信息 可用于提供 SCEP 配置。 |
| DHCP 选项 56 | NTP 服务器 |
| DHCP 选项 60 | 供应商类别标识符 |
| DHCP 选项 66 | TFTP 服务器名称 |
| DHCP 选项 125 | 供应商识别供应商特定信息 |
| DHCP 选项 150 | TFTP 服务器 |
| DHCP 选项 159 | 设置服务器 IP |
| DHCP 选项 160 | 设置 URL |
无线局域网安全
由于范围内的所有 WLAN 设备均可接收所有其他 WLAN 流量,因此安全语音通信在 WLAN 中至关重要。 为了确保入侵者不会操纵或拦截语音流量,Cisco SAFE 安全体系结构支持电话。 有关网络安全性的更多信息,请参阅 http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html。
Cisco 无线 IP 电话解决方案提供无线网络安全性,通过使用电话支持的以下身份验证方法防止未经授权的登录和通信受损。
-
开放式验证:任何无线设备均可在开放式系统中请求验证。 收到请求的 AP 可允许任何请求方或仅允许用户列表中找到的请求方进行验证。 无线设备和接入点(AP)之间的通信可能未加密。
-
可扩展身份验证协议 - 通过安全隧道(EAP-FAST)身份验证进行灵活身份验证:此客户端 - 服务器安全体系结构加密 AP 和 RADIUS 服务器(如身份服务引擎(ISE))之间的传输级别安全性(TLS)隧道内的 EAP 事务。
TLS 隧道使用受保护的访问凭证 (PAC) 进行客户端(电话)与 RADIUS 服务器之间的验证。 服务器将授权 ID (AID) 发送给客户端(电话),后者会选择适当的 PAC。 客户端(电话)将返回 PAC - 对 RADIUS 服务器不透明。 服务器通过主密钥解密 PAC。 现在,两个终端均包含 PAC 密钥,且 TLS 隧道已创建。 EAP-FAST 支持自动 PAC 部署,但您必须在 RADIUS 服务器上启用该功能。
在 ISE 中,默认情况下,PAC 将在一周后过期。 如果电话有过期的 PAC,则电话获取新 PAC 时,与 RADIUS 服务器的验证要花较长的时间。 为避免 PAC 部署延迟,在 ISE 或 RADIUS 服务器上,将 PAC 过期期限设置为 90 天或更长时间。
-
可扩展身份验证协议-传输层安全 (EAP-TLS) 验证:EAP-TLS 需要客户端证书用于身份验证和网络访问。 对于无线 EAP-TLS,客户端证书可以是 MIC 或用户安装的证书。
-
受保护的可扩展验证协议 (PEAP):客户端(电话)与 RADIUS 服务器之间 Cisco 专有的、基于密码的相互验证方案。 电话可以使用 PEAP 进行无线网络身份验证。 支持 PEAP-MSCHAPV2 和 PEAP-GTC 验证方法。
要支持 Cisco 无线电话 9821 的 PEAP-GTC 身份验证,请在 Cisco ISE 策略集中配置必要的策略。
-
预共享密钥(PSK):电话支持 ASCII 和十六进制(HEX)格式。 设置 WPA2/SAE 预共享密钥时,必须使用这些格式。
ASCII:长度为 8 到 63 个字符(0-9、小写 a-z、大写 A-Z 和特殊字符)的 ASCII 字符串。 例如,
GREG123567@9ZX&W。HEX:长度为 64 个十六进制数字(0-9、a-f 或 A-F)的十六进制字符串。
以下验证方案使用 RADIUS 服务器管理验证密钥:
-
WPA2/WPA3:使用 RADIUS 服务器信息生成唯一的密钥进行验证。 由于这些密钥在中央 RADIUS 服务器生成,因此 WPA2/WPA3 提供比存储在 AP 和电话上的 WPA 预共享密钥更高的安全性。
-
快速安全漫游:使用 RADIUS 服务器和无线域服务器 (WDS) 信息管理和验证密钥。 WDS 为启用 FT 的客户端设备创建安全凭据缓存,以便快速安全地重新进行身份验证。
使用 WPA2/WPA3,加密密钥不会在电话上输入,而是在 AP 和电话之间自动派生。 但必须在每部电话上输入用于验证的 EAP 用户名和密码。
为了帮助保护无线链路上的语音流量,电话支持基于 AES 的加密进行 WPA2/WPA3 身份验证。 AES 是由 NIST 标准化的对称分组密码。 AES 使用固定的 128 位块大小,并支持 128 位、192 位和 256 位的密钥大小。 在 Wi-Fi 网络中,AES 由 CCMP 或 GCMP 等密码套件使用,而身份验证由 PSK、SAE 或 802.1X/EAP 单独提供,具体取决于配置的 WLAN 安全模式。 支持的密码套件和密钥大小取决于电话型号和 WLAN 配置。
验证和加密方案在无线 LAN 内设置。 VLAN 在网络和 AP 中配置,指定验证和加密的不同组合。 SSID 与 VLAN 以及特定验证和加密方案关联。 要使无线客户端设备成功进行身份验证,您必须在 AP 和电话上配置相同的 SSID 及其身份验证和加密方案。
某些验证方案需要特定类型的加密。
使用 WPA2 预共享密钥或 SAE 时,必须在电话上静态设置预共享密钥。 这些密钥必须与 AP 上的密钥匹配。
下表中的身份验证和加密方案显示了对应于 AP 配置的 Cisco 无线电话 9821 的网络配置选项。
| FSR 类型 | 验证 | 密钥管理 | 加密 | 受保护的管理帧(PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | 否 |
| 802.11r (FT) | WPA3 |
Sae 傅立方报 -SAE | AES | 是 |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | 否 |
| 802.11r (FT) | EAP-TLS(WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 是 |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | 否 |
| 802.11r (FT) | EAP-FAST(WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 是 |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | 否 |
| 802.11r (FT) | EAP-PEAP(WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 是 |
| 非金融时分 | 套房 -B | WPA-EAP-SUITE-B | GCMP | 是 |
| 非金融时分 | 套房 -B-192 | WPA-EAP-SUITE-B-192 | GCMP | 是 |
设置 Wi-Fi 配置文件
您可以从电话管理网页或通过远程设备配置文件重新同步配置 Wi-Fi 配置文件。 配置完成后,您可以将这些配置式与有空无线网络相关联以建立连接。 Cisco 无线电话 9821 最多支持四个配置的 Wi-Fi 配置文件。
配置文件包含电话通过 Wi-Fi 连接到电话服务器所需的参数。 创建和使用 Wi-Fi 档案时,您或您的用户无需为单个电话配置无线网络。
Wi-Fi 配置文件可防止或限制用户在电话上更改 Wi-Fi 配置。
我们建议您在使用 Wi-Fi 配置文件时使用具有启用加密协议的安全配置文件来保护密钥和密码。
当您将电话设置为在安全模式下使用 EAP-FAST 身份验证方法时,您的用户需要单个凭证才能连接到接入点。
| 1 |
访问电话网页。 |
| 2 |
选择 。 |
| 3 |
在 Wi-Fi 配置文件(n) 部分中,按照下表 Wi-Fi 配置文件的参数中所述设置参数。 Wi-Fi 配置文件配置也会与用户登录有空。
|
| 4 |
单击 Submit All Changes。 |
Wi-Fi 配置文件的参数
下表定义了电话网页上 System Tab 下的 Wi-Fi Profile(n) 部分中每个参数 的功能和用法。 它还定义在电话配置文件(cfg.xml)中添加以配置参数的字符串的语法。
| 参数 | 说明 |
|---|---|
| 网络名称 | 用于输入将在电话上显示的 SSID 的名称。 多个配置文件可以有相同的网络名称和不同的安全模式。 执行下列操作之一:
默认值:空 |
| 安全模式 | 可选择用来保护 Wi-Fi 网络访问的验证方法。 根据您选择的方法,将显示密码字段,以便您可以提供加入此 Wi-Fi 网络所需的凭据。 执行下列操作之一:
默认值:无 |
| Wi-Fi 用户 ID | 允许您为网络配置文件输入用户 ID。 将安全模式设置为自动、EAP-FAST 或 EAP-PEAP 时,此字段将有空。 这是必填字段,最多可包含 32 个字母数字字符。 执行下列操作之一:
默认值:空 |
| Wi-Fi 密码 | 用于输入指定 Wi-Fi 用户 ID 的密码。 执行下列操作之一:
默认值:空 |
| 频段 | 用于选择 WLAN 使用的无线信号频带。 执行下列操作之一:
默认值:Auto |
| 证书选择 | 允许您为无线网络中的证书初始注册和证书续订选择证书类型。 此过程仅对 802.1X 身份验证有空。 执行下列操作之一:
默认值:制造已安装 |
| 控制模式 | 控制是否允许用户配置 Wi-Fi 配置文件。 执行下列操作之一:
默认值:允许 |
| 启用 | 控制是否启用 Wi-Fi 配置文件。 执行下列操作之一:
默认值:Yes |
| 配置文件名称 | 允许您输入将显示在电话上的档案名称。 执行下列操作之一:
默认值:配置文件 1 |
| PSK 密码短语 | 允许您在安全模式设置为 PSK 时输入 PSK 密码。 执行下列操作之一:
默认值:允许 |
有线网络的 802.1X 身份验证
Cisco 无线电话 9821 支持有线网络的 802.1X 身份验证。 这通常在自动配置 期间 使用,当电话通过支持的 USB 转以太网适配器连接到桌面充电器时。
在有线网络上支持 802.1X 身份验证需要以下几个组件:
-
Cisco IP 电话:电话会发起访问网络的请求。 Cisco IP 电话包含 802.1X 请求方。 网络管理员可以通过此请求方控制 IP 电话至 LAN 交换机端口的连接。 电话 802.1X 请求方的最新版本使用 EAP-FAST 和 EAP-TLS 选项进行网络验证。
-
身份验证服务器:身份验证服务器和交换机都必须配置 RADIUS 共享密钥。
-
交换机:交换机必须支持 802.1X,因此它可以充当身份验证器并在电话和身份验证服务器之间中继 EAP 消息。 在交换完成后,交换机会授予或拒绝电话访问网络的权限。
Cisco IP 电话和 Cisco Catalyst 交换机过去使用 Cisco Discovery Protocol (CDP) 来识别彼此并确定 VLAN 分配和线内电源要求等参数。
您必须执行以下操作来配置 802.1X。
-
配置 CDP/LLDP 语音 VLAN 绕过。
-
在为电话上的有线网络启用 802.1X 身份验证之前,请先配置身份验证服务器和交换机。
-
配置语音 VLAN:由于 802.1X 标准不考虑 VLAN,应根据交换机支持来配置此设置。
- 已启用:如果您使用的是支持多域身份验证的交换机,则可以将其配置为使用语音 VLAN。
- 禁用:如果交换机不支持多域验证,则禁用语音 VLAN 并考虑将此端口分配给本机 VLAN。
-
Cisco 无线电话 9821 在 PID 中的前缀与其他 Cisco 电话的前缀不同。 要使您的电话通过 802.1X 身份验证,请设置 Radius·用户名 参数,用于包含您的 Cisco 无线电话 9821。
例如,Cisco 无线电话 9821 的 PID 是 WP-9821。 您可以设置 半径·用户名以 WP 开头
或包含WP 在以下两个部分中: -
为电话上的有线网络启用 802.1X 身份验证
请按照以下步骤为电话上的有线网络启用 802.1X 身份验证。 请注意,默认情况下启用 Wi-Fi 的 802.1X 身份验证,不需要手动配置。
| 1 |
访问设置 |
| 2 |
如果出现提示,输入密码以访问“ 设置 ”菜单。 您可以从管理员处获取密码。 |
| 3 |
选择 。 |
| 4 |
突出显示设备 身份验证 并按 开。 |
在电话网页上为有线网络启用 802.1X 身份验证
启用有线网络的 802.1X 身份验证后,电话将使用 802.1X 身份验证从以太网 LAN 端口请求网络访问。 禁用有线网络的 802.1X 身份验证时,电话将使用 Cisco Discovery Protocol(CDP)获取 VLAN 和网络访问权限。 请注意,默认情况下启用 Wi-Fi 的 802.1X 身份验证,不需要手动配置。
您可以选择用于 802.1X 身份验证的证书(MIC/SUDI 或 CDC)。 有关 CDC 的详细信息,请参阅 Cisco 无线电话 9821 上的自定义设备证书。
您可以在电话屏幕菜单上查看交易状态和安全设置。 有关详细信息,请参阅 电话上的安全设置菜单。
| 1 |
启用 802.1X 身份验证。 选择 。 在“802.1X 身份验证” 部分中,将“启用 802.1X 身份验证 ”参数设置为 “是”。 您还可以在配置文件 (cfg.xml) 中配置此参数:
有效值:Yes|No 默认值:No |
| 2 |
在“ 802.1X 身份验证 ”部分,从 “证书选择” 下拉列表中选择以下用于 802.1X 身份验证的已安装证书之一。 值选项:
您还可以在配置文件 (cfg.xml) 中配置此参数:
有效值:制造已安装|自定义安装 默认值:制造已安装 |
| 3 |
配置 User ID 参数,该参数将用作有线网络中 802.1X 身份验证的标识。 此配置仅适用于使用自定义设备证书(CDC)进行有线 802.1X 身份验证,并且 “证书选择” 设置为 “自定义安装”的情况。 您还可以在配置文件 (cfg.xml) 中配置此参数:
有效值:最多 127 个字符 默认值:空 该参数还支持宏展开变量,详见 宏展开变量 。 如果要使用具有 DHCP 选项的组合来预配置用户 ID,请参阅 通过 DHCP 选项 15 预配置用户 ID。 |
| 4 |
单击 Submit All Changes。 |
电话上的安全设置菜单
要从电话菜单查看有关安全设置的信息,请访问 设置
应用程序并选择 。 信息的可用性取决于您组织中的网络设置。
|
参数 |
选项 |
默认值 |
说明 |
|---|---|---|---|
|
设备验证 |
开 关 |
关 |
在电话上启用或禁用 802.1X 身份验证。 参数设置可在电话的全新(OOB)注册后保留。 |
|
事务状态 | 已禁用 |
显示 802.1X 身份验证的状态。 状态可以是(不限于):
| |
|
协议 | 无 |
显示用于 802.1X 身份验证的 EAP 方法。 协议可以是 EAP-FAST 或 EAP-TLS。 | |
|
用户证书类型 |
厂商预装 自定义安装 |
厂商预装 |
在初始注册和证书续订期间选择 802.1X 身份验证的证书。
仅当启用设备身份验证时,电话上才会显示此参数。 |
更改用户密码和管理员密码
在呼叫控制系统中首次注册或恢复出厂设置后,您必须在首次访问电话管理网页时同时配置用户密码和管理员密码。 您可以随时更新这些凭据以维护设备安全性。
有效的密码规则包括:
- 密码必须至少包含 8 到 127 个字符。
- 大写字母、小写字母、数字和特殊字符的组合(四种类型中的三种)。
- 不允许有空格。
| 1 |
访问电话管理网页。 |
| 2 |
选择 。 |
| 3 |
(可选)在“系统配置” 部分,将显示密码警告 参数设置为 “是 ”,然后单击“提交所有更改 ”。 您还可以在电话配置文件 (cfg.xml) 中启用参数。
默认值:Yes 选项:是|否 如果参数设置为 否,密码警告不会显示在电话屏幕上。 |
| 4 |
找到参数 用户密码 或 管理员密码,然后单击 参数旁边的更改密码 。 |
| 5 |
在旧密码字段中输入当前用户密码。 |
| 6 |
在新密码字段中输入新密码。 如果新密码不符合有效的密码规则,设置将被拒绝。 |
| 7 |
单击提交。 消息 设置用户密码后,此参数将在电话配置 XML 文件 (cfg.xml) 中显示以下内容:
|
设置客户端和服务器的最低 TLS 版本
默认情况下,客户端和服务器的最低 TLS 版本为 1.2。 这意味着客户端和服务器接受与 TLS 1.2 或更高版本建立连接。 客户端和服务器 TLS 支持的最大版本为 1.3。 配置后,最低 TLS 版本将用于 TLS 客户端和 TLS 服务器之间的协商。
您可以分别为客户端和服务器设置 TLS 的最低版本,例如 1.1、1.2 或 1.3。
开始之前
确保 TLS 服务器支持配置的最低 TLS 版本。 您可以咨询呼叫控制系统的管理员。
| 1 |
访问电话管理网页。 |
| 2 |
选择 。 |
| 3 |
在安全设置 部分,配置参数 TLS 客户端最低版本。
您还可以在配置文件 (cfg.xml) 中配置此参数: <TLS_Client_Min_Version ua=“na”>TLS 1.2</TLS_Client_Min_Version>
允许的值:TLS 1.1、TLS1.2 和 TLS 1.3。 默认值:TLS 1.2 |
| 4 |
在安全设置部分 ,配置参数TLS 服务器最低版本 。 Webex Calling 不支持 TLS 1.1。
您还可以在配置文件 (cfg.xml) 中配置此参数: <TLS_Server_Min_Version ua=“na”>TLS 1.2</TLS_Server_Min_Version>
允许的值:TLS 1.1、TLS1.2 和 TLS 1.3。 默认值:TLS 1.2 |
| 5 |
单击 Submit All Changes。 |
为媒体平面安全协商启用客户端启动的模式
要保护媒体会话,您可以配置电话以发起与服务器的媒体平面安全协商。 安全机制遵循 RFC 3329 及其扩展草案媒体安全机制名称(请参阅 https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2)中所述的标准。 电话与服务器之间的协商传输可以通过 UDP、TCP 和 TLS 使用 SIP 协议。 您可以限制为,仅当信令传输协议为 TLS 时,才应用媒体平面安全协商。
| 参数 | 说明 |
|---|---|
|
MediaSec Request |
指定电话是否向服务器发起媒体平面安全协商。 执行下列操作之一:
允许的值:是|否
默认值:No |
|
MediaSec Over TLS Only |
指定通过其应用媒体平面安全协商的信令传输协议。 在将此字段设置为 Yes 之前,请确保信令传输协议为 TLS。 执行下列操作之一:
允许的值:是|否
默认值:No |
| 1 |
访问电话管理网页。 |
| 2 |
选择 。 |
| 3 |
在 SIP 设置 部分中,设置 上表中定义的“MediaSec 请求 ”和 “仅限 TLS 上的 MediaSec”字段。 |
| 4 |
单击 Submit All Changes。 |