在此文章中
dropdown icon
配置 DHCP 选项
    DHCP 选项支持
dropdown icon
无线局域网安全
    设置 Wi-Fi 档案
dropdown icon
有线网络的 802.1X 身份验证
    为电话上的有线网络启用 802.1X 身份验证
    在电话网页上为有线网络启用 802.1X 身份验证
    电话上的安全设置菜单
更改用户密码和管理员密码
设置客户端和服务器的最低 TLS 版本
为媒体平面安全协商启用客户端启动的模式
Cisco 无线电话 9821 安全性(多平台)
list-menu在此文章中
list-menu反馈?

本帮助文章适用于注册到 Webex Calling 的 Cisco 无线电话 9821。

配置 DHCP 选项

您可以设置您的电话使用 DHCP 选项的顺序。 有关 DHCP 选项的帮助,请参阅 DHCP 选项支持

1

访问电话管理网页。

http://<ip 地址>/管理员/高级

2

选择 Voice > Provisioning

3

在配置文件 部分,设置 DHCP 选项使用 参数。 此参数由一系列以逗号分隔的 DHCP 选项组成,用于检索固件和配置文件。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <DHCP_Option_To_Use ua=“na”>66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • 在电话网页上,输入一系列以逗号分隔的 DHCP 选项。

默认值: 66,160,159,150,60,43,125

4

单击 Submit All Changes

DHCP 选项支持

下表列出了 Cisco 无线电话 9821 支持的 DHCP 选项。

网络标准说明
DHCP 选项 1子网掩码
DHCP 选项 2时间偏移量
DHCP 选项 3路由器
DHCP 选项 6域名服务器
DHCP 选项 15域名
DHCP 选项 17根路径
DHCP 选项 41IP 地址租用时间
DHCP 选项 42NTP 服务器
DHCP 选项 43供应商特定信息

可用于提供 SCEP 配置。

DHCP 选项 56NTP 服务器
DHCP 选项 60供应商类别标识符
DHCP 选项 66TFTP 服务器名称
DHCP 选项 125供应商识别供应商特定信息
DHCP 选项 150TFTP 服务器
DHCP 选项 159设置服务器 IP
DHCP 选项 160设置 URL

无线局域网安全

由于范围内的所有 WLAN 设备均可接收所有其他 WLAN 流量,因此安全语音通信在 WLAN 中至关重要。 为了确保入侵者不会操纵或拦截语音流量,Cisco SAFE 安全体系结构支持电话。 有关网络安全性的更多信息,请参阅 http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html

Cisco 无线 IP 电话解决方案提供无线网络安全性,通过使用电话支持的以下身份验证方法防止未经授权的登录和通信受损。

  • 开放式验证:任何无线设备均可在开放式系统中请求验证。 收到请求的 AP 可允许任何请求方或仅允许用户列表中找到的请求方进行验证。 无线设备和接入点(AP)之间的通信可能未加密。

  • 可扩展身份验证协议 - 通过安全隧道(EAP-FAST)身份验证进行灵活身份验证:此客户端 - 服务器安全体系结构加密 AP 和 RADIUS 服务器(如身份服务引擎(ISE))之间的传输级别安全性(TLS)隧道内的 EAP 事务。

    TLS 隧道使用受保护的访问凭证 (PAC) 进行客户端(电话)与 RADIUS 服务器之间的验证。 服务器将授权 ID (AID) 发送给客户端(电话),后者会选择适当的 PAC。 客户端(电话)将返回 PAC - 对 RADIUS 服务器不透明。 服务器通过主密钥解密 PAC。 现在,两个终端均包含 PAC 密钥,且 TLS 隧道已创建。 EAP-FAST 支持自动 PAC 部署,但您必须在 RADIUS 服务器上启用该功能。

    在 ISE 中,默认情况下,PAC 将在一周后过期。 如果电话有过期的 PAC,则电话获取新 PAC 时,与 RADIUS 服务器的验证要花较长的时间。 为避免 PAC 部署延迟,在 ISE 或 RADIUS 服务器上,将 PAC 过期期限设置为 90 天或更长时间。

  • 可扩展身份验证协议-传输层安全 (EAP-TLS) 验证:EAP-TLS 需要客户端证书用于身份验证和网络访问。 对于无线 EAP-TLS,客户端证书可以是 MIC 或用户安装的证书。

  • 受保护的可扩展验证协议 (PEAP):客户端(电话)与 RADIUS 服务器之间 Cisco 专有的、基于密码的相互验证方案。 电话可以使用 PEAP 进行无线网络身份验证。 支持 PEAP-MSCHAPV2 和 PEAP-GTC 验证方法。

    要支持 Cisco 无线电话 9821 的 PEAP-GTC 身份验证,请在 Cisco ISE 策略集中配置必要的策略。

  • 预共享密钥(PSK):电话支持 ASCII 和十六进制(HEX)格式。 设置 WPA2/SAE 预共享密钥时,必须使用这些格式。

    ASCII:长度为 8 到 63 个字符(0-9、小写 a-z、大写 A-Z 和特殊字符)的 ASCII 字符串。 例如, GREG123567@9ZX&W

    HEX:长度为 64 个十六进制数字(0-9、a-f 或 A-F)的十六进制字符串。

以下验证方案使用 RADIUS 服务器管理验证密钥:

  • WPA2/WPA3:使用 RADIUS 服务器信息生成唯一的密钥进行验证。 由于这些密钥在中央 RADIUS 服务器生成,因此 WPA2/WPA3 提供比存储在 AP 和电话上的 WPA 预共享密钥更高的安全性。

  • 快速安全漫游:使用 RADIUS 服务器和无线域服务器 (WDS) 信息管理和验证密钥。 WDS 为启用 FT 的客户端设备创建安全凭据缓存,以便快速安全地重新进行身份验证。

使用 WPA2/WPA3,加密密钥不会在电话上输入,而是在 AP 和电话之间自动派生。 但必须在每部电话上输入用于验证的 EAP 用户名和密码。

为了帮助保护无线链路上的语音流量,电话支持基于 AES 的加密进行 WPA2/WPA3 身份验证。 AES 是由 NIST 标准化的对称分组密码。 AES 使用固定的 128 位块大小,并支持 128 位、192 位和 256 位的密钥大小。 在 Wi-Fi 网络中,AES 由 CCMP 或 GCMP 等密码套件使用,而身份验证由 PSK、SAE 或 802.1X/EAP 单独提供,具体取决于配置的 WLAN 安全模式。 支持的密码套件和密钥大小取决于电话型号和 WLAN 配置。

验证和加密方案在无线 LAN 内设置。 VLAN 在网络和 AP 中配置,指定验证和加密的不同组合。 SSID 与 VLAN 以及特定验证和加密方案关联。 要使无线客户端设备成功进行身份验证,您必须在 AP 和电话上配置相同的 SSID 及其身份验证和加密方案。

某些验证方案需要特定类型的加密。

使用 WPA2 预共享密钥或 SAE 时,必须在电话上静态设置预共享密钥。 这些密钥必须与 AP 上的密钥匹配。

下表中的身份验证和加密方案显示了对应于 AP 配置的 Cisco 无线电话 9821 的网络配置选项。

表格 1. 验证和加密方案
FSR 类型验证密钥管理加密受保护的管理帧(PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AES
802.11r (FT)WPA3

Sae

傅立方报 -SAE

AES
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AES
802.11r (FT)EAP-TLS(WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AES
802.11r (FT)EAP-FAST(WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AES
802.11r (FT)EAP-PEAP(WPA3)

WPA-EAP-SHA256

FT-EAP

AES
非金融时分套房 -BWPA-EAP-SUITE-BGCMP
非金融时分套房 -B-192WPA-EAP-SUITE-B-192GCMP

设置 Wi-Fi 配置文件

您可以从电话管理网页或通过远程设备配置文件重新同步配置 Wi-Fi 配置文件。 配置完成后,您可以将这些配置式与有空无线网络相关联以建立连接。 Cisco 无线电话 9821 最多支持四个配置的 Wi-Fi 配置文件。

配置文件包含电话通过 Wi-Fi 连接到电话服务器所需的参数。 创建和使用 Wi-Fi 档案时,您或您的用户无需为单个电话配置无线网络。

Wi-Fi 配置文件可防止或限制用户在电话上更改 Wi-Fi 配置。

我们建议您在使用 Wi-Fi 配置文件时使用具有启用加密协议的安全配置文件来保护密钥和密码。

当您将电话设置为在安全模式下使用 EAP-FAST 身份验证方法时,您的用户需要单个凭证才能连接到接入点。

1

访问电话网页。

2

选择 Voice > System

3

在 Wi-Fi 配置文件(n) 部分中,按照下表 Wi-Fi 配置文件的参数中所述设置参数。

Wi-Fi 配置文件配置也会与用户登录有空。
4

单击 Submit All Changes

Wi-Fi 配置文件的参数

下表定义了电话网页上 System Tab 下的 Wi-Fi Profile(n) 部分中每个参数 的功能和用法。 它还定义在电话配置文件(cfg.xml)中添加以配置参数的字符串的语法。

参数说明
网络名称用于输入将在电话上显示的 SSID 的名称。 多个配置文件可以有相同的网络名称和不同的安全模式。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Network_Name_1_ ua=“rw”>Cisco</Network_Name_1_>

  • 在电话网页上,输入 SSID 的名称。

默认值:空

安全模式可选择用来保护 Wi-Fi 网络访问的验证方法。 根据您选择的方法,将显示密码字段,以便您可以提供加入此 Wi-Fi 网络所需的凭据。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Security_Mode_1_ ua=“rw”>EAP-TLS</Security_Mode_1_> <!-- 有空选项:|EAP-FAST|||PSK||无|EAP-PEAP|EAP-TLS -->

  • 在电话网页上,选择以下方法之一:
    • EAP-FAST
    • PSK
    • EAP-PEAP
    • EAP-TLS

默认值:无

Wi-Fi 用户 ID允许您为网络配置文件输入用户 ID。

将安全模式设置为自动、EAP-FAST 或 EAP-PEAP 时,此字段将有空。 这是必填字段,最多可包含 32 个字母数字字符。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Wi-Fi_User_ID_1_ua=“rw”></Wi-Fi_User_ID_1_>

  • 在电话网页上,输入网络配置文件的用户 ID。

默认值:空

Wi-Fi 密码用于输入指定 Wi-Fi 用户 ID 的密码。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Wi-Fi_Password_1_ ua=“rw”></Wi-Fi_Password_1_>

  • 在电话网页上,输入已添加的用户 ID 的密码。

默认值:空

频段用于选择 WLAN 使用的无线信号频带。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Frequency_Band_1_ ua=“rw”>Auto</Frequency_Band_1_>

  • 在电话网页中,选择以下选项之一:
    • 自动
    • 2.4 GHz
    • 5 GHz 或 6 GHz

默认值:Auto

证书选择允许您为无线网络中的证书初始注册和证书续订选择证书类型。 此过程仅对 802.1X 身份验证有空。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Certificate_Select_1_ ua=“rw”>已安装制造</Certificate_Select_1_>

  • 在电话网页上,选择以下选项之一:
    • 厂商预装
    • 自定义安装

默认值:制造已安装

控制模式控制是否允许用户配置 Wi-Fi 配置文件。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Control_Mode_1_ ua=“rw”>Allow</Control_Mode_1_>

  • 在电话网页上,选择以下选项之一:
    • 允许
    • 禁止
    • 限制

默认值:允许

启用控制是否启用 Wi-Fi 配置文件。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Enable_1_ ua=“rw”>是的</Enable_1_>

  • 在电话网页上,选择以下选项之一:

默认值:Yes

配置文件名称允许您输入将显示在电话上的档案名称。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Profile_Name_1_ ua=“rw”>Profile 1</Profile_Name_1_>

  • 在电话网页上,输入档案的名称。

默认值:配置文件 1

PSK 密码短语允许您在安全模式设置为 PSK 时输入 PSK 密码。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <PSK_Passphrase_1_ ua=“rw”>*************</PSK_Passphrase_1_>

  • 在电话网页上,输入 PSK 密码。

默认值:允许

有线网络的 802.1X 身份验证

Cisco 无线电话 9821 支持有线网络的 802.1X 身份验证。 这通常在自动配置 期间 使用,当电话通过支持的 USB 转以太网适配器连接到桌面充电器时。

在有线网络上支持 802.1X 身份验证需要以下几个组件:

  • Cisco IP 电话:电话会发起访问网络的请求。 Cisco IP 电话包含 802.1X 请求方。 网络管理员可以通过此请求方控制 IP 电话至 LAN 交换机端口的连接。 电话 802.1X 请求方的最新版本使用 EAP-FAST 和 EAP-TLS 选项进行网络验证。

  • 身份验证服务器:身份验证服务器和交换机都必须配置 RADIUS 共享密钥。

  • 交换机:交换机必须支持 802.1X,因此它可以充当身份验证器并在电话和身份验证服务器之间中继 EAP 消息。 在交换完成后,交换机会授予或拒绝电话访问网络的权限。

Cisco IP 电话和 Cisco Catalyst 交换机过去使用 Cisco Discovery Protocol (CDP) 来识别彼此并确定 VLAN 分配和线内电源要求等参数。

您必须执行以下操作来配置 802.1X。

  • 配置 CDP/LLDP 语音 VLAN 绕过。

  • 在为电话上的有线网络启用 802.1X 身份验证之前,请先配置身份验证服务器和交换机。

  • 配置语音 VLAN:由于 802.1X 标准不考虑 VLAN,应根据交换机支持来配置此设置。

    • 已启用:如果您使用的是支持多域身份验证的交换机,则可以将其配置为使用语音 VLAN。
    • 禁用:如果交换机不支持多域验证,则禁用语音 VLAN 并考虑将此端口分配给本机 VLAN。
  • Cisco 无线电话 9821 在 PID 中的前缀与其他 Cisco 电话的前缀不同。 要使您的电话通过 802.1X 身份验证,请设置 Radius·用户名 参数,用于包含您的 Cisco 无线电话 9821。

    例如,Cisco 无线电话 9821 的 PID 是 WP-9821。 您可以设置 半径·用户名以 WP 开头 包含 WP 在以下两个 部分中:

    • 政策 > 条件 > 库条件

    • 策略 > 策略集 > 授权策略 > 授权规则 1

为电话上的有线网络启用 802.1X 身份验证

请按照以下步骤为电话上的有线网络启用 802.1X 身份验证。 请注意,默认情况下启用 Wi-Fi 的 802.1X 身份验证,不需要手动配置。

1

访问设置 9821 Settings app icon 应用程序。

2

如果出现提示,输入密码以访问“ 设置 ”菜单。 您可以从管理员处获取密码。

3

选择 管理员设置 > 安全设置 > 802.1X 身份验证

4

突出显示设备 身份验证 并按

在电话网页上为有线网络启用 802.1X 身份验证

启用有线网络的 802.1X 身份验证后,电话将使用 802.1X 身份验证从以太网 LAN 端口请求网络访问。 禁用有线网络的 802.1X 身份验证时,电话将使用 Cisco Discovery Protocol(CDP)获取 VLAN 和网络访问权限。 请注意,默认情况下启用 Wi-Fi 的 802.1X 身份验证,不需要手动配置。

您可以选择用于 802.1X 身份验证的证书(MIC/SUDI 或 CDC)。 有关 CDC 的详细信息,请参阅 Cisco 无线电话 9821 上的自定义设备证书。

您可以在电话屏幕菜单上查看交易状态和安全设置。 有关详细信息,请参阅 电话上的安全设置菜单。

1

启用 802.1X 身份验证。

选择 Voice > System。 在“802.1X 身份验证” 部分中,将“启用 802.1X 身份验证 ”参数设置为 “是”。

您还可以在配置文件 (cfg.xml) 中配置此参数:

<Enable_802.1X_Authentication ua=“rw”>Yes</Enable_802.1X_Authentication>

有效值:Yes|No

默认值:No

2

在“ 802.1X 身份验证 ”部分,从 “证书选择” 下拉列表中选择以下用于 802.1X 身份验证的已安装证书之一。

值选项:

  • 制造安装:MIC/SUDI。
  • 自定义安装:自定义设备证书(CDC)。

您还可以在配置文件 (cfg.xml) 中配置此参数:

<Certificate_Select ua=“rw”>自定义安装</Certificate_Select>

有效值:制造已安装|自定义安装

默认值:制造已安装

3

配置 User ID 参数,该参数将用作有线网络中 802.1X 身份验证的标识。

此配置仅适用于使用自定义设备证书(CDC)进行有线 802.1X 身份验证,并且 “证书选择” 设置为 “自定义安装”的情况。

您还可以在配置文件 (cfg.xml) 中配置此参数:

<Wired_User_ID ua=“na”></Wired_User_ID>

有效值:最多 127 个字符

默认值:空

该参数还支持宏展开变量,详见 宏展开变量

如果要使用具有 DHCP 选项的组合来预配置用户 ID,请参阅 通过 DHCP 选项 15 预配置用户 ID。

4

单击 Submit All Changes

电话上的安全设置菜单

要从电话菜单查看有关安全设置的信息,请访问 设置 9821 Settings app icon 应用程序并选择 管理员设置 > 安全设置 > 802.1X 身份验证。 信息的可用性取决于您组织中的网络设置。

参数

选项

默认值

说明

设备验证

在电话上启用或禁用 802.1X 身份验证。

参数设置可在电话的全新(OOB)注册后保留。

事务状态

已禁用

显示 802.1X 身份验证的状态。 状态可以是(不限于):

  • 正在进行身份验证 - 指示身份验证过程正在进行中。
  • 已验证 - 表示电话已经过身份验证。
  • 已禁用—表示在电话上禁用 802.1x 身份验证。
  • 正在连接—指示电话每 30 秒向交换机发送 EAP 开始消息。
  • 已获取—表示交换机已拒绝电话的 EAP 请求,并且电话未收到来自交换机的 EAP-TLS 或 EAP-FAST 质询。 电话正在重新尝试发送 EAP 请求。
  • 已断开连接—指示以太网电缆已断开连接。
  • Held—表示交换机已处理电话的 EAP 请求,但拒绝了 EAP-FAST 或 EAP-TLS 验证。 电话正在重新尝试发送 EAP 请求。

协议

显示用于 802.1X 身份验证的 EAP 方法。 协议可以是 EAP-FAST 或 EAP-TLS。

用户证书类型

厂商预装

自定义安装

厂商预装

在初始注册和证书续订期间选择 802.1X 身份验证的证书。

  • 已安装制造 - 使用安全唯一设备标识符(SUDI)。
  • 自定义安装 — 使用自定义设备证书 (CDC)。 这类证书可以通过在电话网页上手动上传或从简单证书注册协议 (SCEP) 服务器上安装。

仅当启用设备身份验证时,电话上才会显示此参数。

更改用户密码和管理员密码

在呼叫控制系统中首次注册或恢复出厂设置后,您必须在首次访问电话管理网页时同时配置用户密码和管理员密码。 您可以随时更新这些凭据以维护设备安全性。

有效的密码规则包括:

  • 密码必须至少包含 8 到 127 个字符。
  • 大写字母、小写字母、数字和特殊字符的组合(四种类型中的三种)。
  • 不允许有空格。
1

访问电话管理网页。

2

选择 Voice > System

3

(可选)在“系统配置” 部分,将显示密码警告 参数设置为 “是 ”,然后单击“提交所有更改 ”。

您还可以在电话配置文件 (cfg.xml) 中启用参数。

<Display_Password_Warnings ua=“na”>是的</Display_Password_Warnings>

默认值:Yes

选项:是|否

如果参数设置为 ,密码警告不会显示在电话屏幕上。

4

找到参数 用户密码管理员密码,然后单击 参数旁边的更改密码

5

旧密码字段中输入当前用户密码。

6

新密码字段中输入新密码。

如果新密码不符合有效的密码规则,设置将被拒绝。

7

单击提交

消息密码已成功更改。将显示在网页中。 网页将在几秒钟内刷新。

设置用户密码后,此参数将在电话配置 XML 文件 (cfg.xml) 中显示以下内容:

<!-- <Admin_Password ua=“na”>*************</Admin_Password> <User_Password ua=“rw”>*************</User_Password> -->

设置客户端和服务器的最低 TLS 版本

默认情况下,客户端和服务器的最低 TLS 版本为 1.2。 这意味着客户端和服务器接受与 TLS 1.2 或更高版本建立连接。 客户端和服务器 TLS 支持的最大版本为 1.3。 配置后,最低 TLS 版本将用于 TLS 客户端和 TLS 服务器之间的协商。

您可以分别为客户端和服务器设置 TLS 的最低版本,例如 1.1、1.2 或 1.3。

开始之前

确保 TLS 服务器支持配置的最低 TLS 版本。 您可以咨询呼叫控制系统的管理员。

1

访问电话管理网页。

2

选择 Voice > System

3

在安全设置 部分,配置参数 TLS 客户端最低版本

  • TLS 1.1:TLS 客户端支持从 1.1 到 1.3 的 TLS 版本。

    如果服务器中的 TLS 版本低于 1.1,则无法建立连接。

  • TLS 1.2 (缺省):TLS 客户端支持 TLS 1.2 和 1.3。

    如果服务器中的 TLS 版本低于 1.2(例如 1.1),则无法建立连接。

  • TLS 1.3:TLS 客户端仅支持 TLS 1.3。

    如果服务器中的 TLS 版本低于 1.3(例如 1.2 或 1.1),则无法建立连接。

    如果要将参数“TLS 客户端最低版本”设置为“TLS 1.3”,请确保服务端支持 TLS 1.3。 如果服务器端不支持 TLS 1.3,这可能会导致严重问题。 例如,无法在电话上执行预配置操作。

您还可以在配置文件 (cfg.xml) 中配置此参数:

<TLS_Client_Min_Version ua=“na”>TLS 1.2</TLS_Client_Min_Version>

允许的值:TLS 1.1、TLS1.2 和 TLS 1.3。

默认值:TLS 1.2

4

在安全设置部分 ,配置参数TLS 服务器最低版本

Webex Calling 不支持 TLS 1.1。

  • TLS 1.1:TLS 服务器支持从 1.1 到 1.3 的 TLS 版本。

    如果客户端中的 TLS 版本低于 1.1,则无法建立连接。

  • TLS 1.2(默认):TLS 服务器支持 TLS 1.2 和 1.3。

    如果客户端中的 TLS 版本低于 1.2(例如 1.1),则无法建立连接。

  • TLS 1.3:TLS 服务器仅支持 TLS 1.3。

    如果客户端中的 TLS 版本低于 1.3(例如 1.2 或 1.1),则无法建立连接。

您还可以在配置文件 (cfg.xml) 中配置此参数:

<TLS_Server_Min_Version ua=“na”>TLS 1.2</TLS_Server_Min_Version>

允许的值:TLS 1.1、TLS1.2 和 TLS 1.3。

默认值:TLS 1.2

5

单击 Submit All Changes

为媒体平面安全协商启用客户端启动的模式

要保护媒体会话,您可以配置电话以发起与服务器的媒体平面安全协商。 安全机制遵循 RFC 3329 及其扩展草案媒体安全机制名称(请参阅 https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2)中所述的标准。 电话与服务器之间的协商传输可以通过 UDP、TCP 和 TLS 使用 SIP 协议。 您可以限制为,仅当信令传输协议为 TLS 时,才应用媒体平面安全协商。

表 2. 媒体平面安全协商的参数
参数说明

MediaSec Request

指定电话是否向服务器发起媒体平面安全协商。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <MediaSec_Request_1_ ua=“na”>是的</MediaSec_Request_1_>
  • 在电话 Web 界面中,根据需要将此字段设置为 YesNo

允许的值:是|否

  • Yes — 客户端发起的模式。 电话发起媒体平面安全协商。
  • No — 服务器发起的模式。 服务器发起媒体平面安全协商。 电话不发起协商,但可以处理来自服务器的协商请求以建立安全呼叫。

默认值:No

MediaSec Over TLS Only

指定通过其应用媒体平面安全协商的信令传输协议。

在将此字段设置为 Yes 之前,请确保信令传输协议为 TLS。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <MediaSec_Over_TLS_Only_1_ ua=“na”>No</MediaSec_Over_TLS_Only_1_>

  • 在电话 Web 界面中,根据需要将此字段设置为 YesNo

允许的值:是|否

  • Yes — 仅当信令传输协议为 TLS 时,电话才会发起或处理媒体平面安全协商。
  • No — 无论信令传输协议如何,电话都会发起并处理媒体平面安全协商。

默认值:No

1

访问电话管理网页。

2

选择 Voice > Ext(n)

3

SIP 设置 部分中,设置 上表中定义的“MediaSec 请求 ”和 “仅限 TLS 上的 MediaSec”字段。

4

单击 Submit All Changes

这篇文章对您有帮助吗?
这篇文章对您有帮助吗?