- 首頁
- /
- 文章
感謝您的意見回饋。
Cisco IP 電話安全性
在此文章中
意見回饋?此說明文章適用於已向Cisco BroadWorks 註冊的Cisco桌面電話 9800 系列和Cisco視訊電話 8875。
手動安裝自訂裝置憑證
您可以透過從電話管理網頁上傳憑證,在電話上手動安裝自訂裝置憑證 (CDC)。
準備工作
在您可以為電話安裝自訂裝置憑證之前,您必須具有:
- 儲存在PC上的憑證檔案(.p12 或 .pfx)。 該檔案包含憑證和私密金鑰。
- 憑證的擷取密碼。 密碼用於解密憑證檔案。
| 1 |
存取電話管理網頁。 |
| 2 |
選取憑證 |
| 3 |
在新增憑證區段,按一下瀏覽... 。 |
| 4 |
瀏覽到您的PC上的憑證。 |
| 5 |
在提取密碼欄位,輸入憑證擷取密碼。 |
| 6 |
按一下上傳。 如果憑證檔案和密碼正確,您將收到「已新增憑證。 」 。 否則,上傳失敗,並出現錯誤訊息,指出無法上傳憑證。
|
| 7 |
若要檢查已安裝憑證的詳細資訊,請按一下檢視在現有的憑證區段。 |
| 8 |
若要從電話中移除已安裝的憑證,請按一下刪除在現有的憑證區段。 一旦您按一下按鈕,移除操作會立即開始,無需確認。
如果已成功移除憑證,您將收到「憑證已刪除。 」 。 |
透過 SCEP 自動安裝自訂裝置憑證
如果您不想手動上傳憑證檔案或沒有憑證檔案,則可以"安裝;設定"簡單憑證註冊通訊協定 (SCEP) 參數設定為自動安裝自訂裝置憑證 (CDC)。
當 SCEP 參數設定正確後,電話會傳送請求至 SCEP 伺服器,並且裝置會使用定義的指紋驗證CA 憑證。
準備工作
在您可以為電話執行自動安裝自訂裝置憑證之前,您必須具有:
- TFTP 伺服器位址
- SCEP 伺服器的根CA 憑證的 SHA-1 或 SHA-256 指紋
| 1 |
存取電話管理網頁。 |
| 2 |
選取憑證 |
| 3 |
在SCEP 設定 1部分,請如下表中所述設定參數SCEP 組態的參數。 |
| 4 |
按一下 Submit Changes。 |
SCEP 組態的參數
下表定義了 SCEP 組態參數在SCEP 設定 1區段下的憑證電話Web 介面中的標籤。 它還定義了為配置參數而新增至電話組態檔 (cfg.xml) 的字串的語法。
| 參數 | 說明 |
|---|---|
| 伺服器 |
TFTP 伺服器位址 此參數為必填參數。 執行下列其中一項:
有效值: URL或IP 位址。 不支援 HTTPS 方案。 預設 空 |
| 根 CA 指紋 |
根 CA 的 SHA256 或 SHA1 指紋,用於在 SCEP 程序期間進行驗證。 此參數為必填參數。 執行下列其中一項:
預設 空 |
| 變更密碼 |
在透過 SCEP 註冊憑證期間,針對電話進行憑證授權單位(CA) 授權的質詢密碼。 這是選用引數。 根據實際的 SCEP 環境,質詢密碼的行為可能會有所不同。
執行下列其中一項:
預設 空 |
透過DHCP選項 43 配置 SCEP 參數
除了在電話網頁上透過手動設定進行 SCEP 憑證註冊之外,您還可以使用DHCP選項 43 來從DHCP 伺服器中填入參數。 DHCP選項 43 會預先設定 SCEP 參數,稍後電話可以從DHCP 伺服器中擷取參數,以執行 SCEP 憑證註冊。
- 透過DHCP選項 43 進行 SCEP 參數組態僅適用於執行恢復重設成出廠預設值的電話。
- 電話不應放置在同時支援選項 43 和遠端佈建(例如選項 66,160,159,150 或云端佈建)的網路中。 否則,電話可能無法取得選項 43 設定。
若要透過在DHCP選項 43 中設定 SCEP 參數來註冊 SCEP 憑證,請執行以下操作:
- 準備 SCEP 環境。
有關 SCEP 環境設定的資訊,請參閱您的 SCEP 伺服器說明文件。
- 設定DHCP選項 43(在8.4 供應商特定資訊, RFC 2132 )。
子選項 (10–15) 保留用於以下方法:
電話網頁的參數 子選項 類型 長度(位元) 強制 FIPS 模式 10 布林值 1 無* 伺服器 11 字串 208 - 長度(挑戰密碼) 是 根 CA 指紋 12 二進制 20 或 32 是 變更密碼 13 字串 208 - 長度(伺服器) 無* 啟用 LDAP 驗證 14 布林值 1 否 選取的憑證: 15 無符號 8 位元 1 否 當您使用DHCP選項 43 時,請注意此方法的下列特徵:
- 子選項 (10-15) 保留給自訂裝置憑證 (CDC) 使用。
- DHCP選項 43 的長度上限為 255 位元組。
- 的長度上限伺服器+挑戰密碼應小於 208 位元。
- 的值FIPS 模式應與上線佈建設定一致。 否則,電話在上線後無法擷取先前安裝的憑證。 具體地說:
- 如果電話要在停用 FIPS 模式的環境中註冊,則您不需要設定參數FIPS 模式在DHCP選項 43 中。 預設情況下,會停用 FIPS 模式。
- 如果要在啟用 FIPS 模式的環境中註冊電話,您必須在DHCP選項 43 中啟用 FIPS 模式。 請參閱啟用 FIPS 模式以取得詳細資料。
- 選項 43 中的密碼為明文密碼。
如果質詢密碼為空,電話會使用MIC/SUDI 進行初始註冊和憑證續訂。 如果設定了質詢密碼,該密碼僅適用於初始註冊,並且安裝的憑證將用於憑證續訂。
- 啟用 802.1X 驗證和憑證選取僅適用於有線網路中的電話。
- DHCP選項 60(廠商類別識別碼)用於識別裝置機型。
下表提供DHCP選項 43(子選項 10–15)的範例:
子選項 十進制/六角 值長度(字節) 值 新值 10 月 0 日a 1101 1 (0: 已停用; 1: 啟用 01 11 月 0 日 b 2012 年 18 月 18 日 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12 月 0 日 2014 年 2 月 20 日 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 每天 13 日 2010 年 16 月 16 日 D233CCF9B9952A15 4432333434346394239393532413135 14 月 0 日 1101 1 (0: 不; 1: 是: 01 15/0f 1101 1 (0: 製造安裝; 1: 自訂安裝) 01 參數值摘要:
-
FIPS 模式 =已啟用
-
伺服器 =
http://10.79.57.91 -
根 CA 指紋 =
12040870625C5B755D73F5925285F8F5FF5D55AF -
挑戰密碼 = D233CCF9B9952A15
-
啟用 802.1X 驗證 =是
-
憑證選取 =自訂安裝
最終的 16 進制值的語法為:
{<suboption><length><value> }...根據上述參數值,最終的 16 進制值如下:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5925285F8F5D55AF0d10443233334343343423939310350 - 在DHCP 伺服器上設定DHCP選項 43。此步驟提供Cisco網路註冊上的DHCP選項 43 設定的範例。
- 新增DHCP選項定義集。
的供應商選項字串是IP電話的機型名稱。 有效值: DP-9841、DP-9851、DP-9861、DP-9871 或 CP-8875。
- 將DHCP選項 43 及子選項新增至DHCP選項定義集中。
範例:
- 將選項 43 新增至DHCP原則,並如下"安裝;設定"值:
範例:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - 驗證設定。 您可以使用 Wireshark 來擷取電話與服務之間網路流量的追踪。
- 新增DHCP選項定義集。
- 將電話執行恢復重設成出廠預設值值。
電話重設後,參數伺服器,根 CA 指紋,以及挑戰密碼將自動填入。 這些參數位於區段中SCEP 設定 1從在電話管理網頁。
若要檢查已安裝憑證的詳細資訊,請按一下檢視在現有的憑證區段。
若要檢查憑證安裝狀態,請選取。 的下載狀態 1顯示最新結果。 如果在憑證註冊期間發生任何問題,下載狀態可以顯示問題原因,以用於疑難排解。
如果質詢密碼驗證失敗,系統將提示使用者在電話螢幕上輸入密碼。 - (可不填) 若要從電話中移除已安裝的憑證,請按一下刪除在現有的憑證區段。一旦您按一下按鈕,移除操作會立即開始,無需確認。
透過 SCEP 續訂憑證
SCEP 程序可以自動重新整理裝置憑證。
- 電話會每 4 小時檢查一次憑證是否會在 15 天后過期。 如果是,電話會自動開始憑證續訂程序。
- 如果質詢密碼為空,電話會使用MIC/SUDI 進行初始註冊和憑證續訂。 如果設定了質詢密碼,則該密碼僅適用於初始註冊,現有/安裝的憑證適用於憑證續訂。
- 電話在擷取新裝置憑證之前不會移除舊裝置憑證。
- 如果憑證續訂由於裝置憑證或 CA 過期而失敗,電話會自動觸發初始註冊。 同時,如果質詢密碼驗證失敗,電話螢幕輸入質詢密碼。
啟用 FIPS 模式
您可以使電話符合聯邦資訊處理標準 (FIPS) 。
FIPS 是一組標準,描述了文件處理、加密算法和其他資訊技術標準,適用於非軍事政府部門以及與機構合作的政府承包商和供應商。 CiscoSSL FOM(FIPS 物件模組)是一款精心定義的軟體元件,專為與 CiscoSSL 資料庫相容,因此使用 CiscoSSL 資料庫和API的產品可輕鬆轉換為使用 FIPS 140-2 驗證的密碼技術。
| 1 |
存取電話管理網頁。 |
| 2 |
選取。 |
| 3 |
在安全性設定區段,選擇是或無來自FIPS 模式參數。 |
| 4 |
按一下 Submit Changes。 啟用 FIPS 後,以下功能在電話上無縫運作:
|
手動移除安全憑證
如果簡單憑證註冊通訊協定 (SCEP) 不可用,您可以手動從電話中移除安全憑證。
| 1 |
從電話管理網頁,選取憑證。 |
| 2 |
在 上找到憑證憑證頁面。 |
| 3 |
按一下刪除。 |
| 4 |
刪除程序完成後,請重新啟動電話。 |
設定使用者和管理員密碼
電話首次註冊至通話控制系統或您在電話上執行恢復重設成出廠預設值後,您必須設定使用者和管理員密碼以增強電話的安全性。 只有設定了密碼時,您才能從電話網頁提交變更。
預設情況下,電話會啟用無密碼警告。 當電話沒有任何使用者或管理員密碼時,會顯示以下警告:
- 電話網頁會顯示「未提供管理員密碼。 Web 處於唯讀模式,您無法提交變更。 請變更密碼。” (左上角)。
的使用者密碼和管理員密碼如果欄位為空,則欄位會分別顯示警告「未提供密碼」。
- 電話螢幕問題和診斷顯示「未提供密碼」問題。
| 1 |
存取電話管理網頁 |
| 2 |
選取。 |
| 3 |
(可選)在系統設定區段中,設定顯示密碼警告參數為是,然後按一下提交所有變更。 您還可以啟用電話組態檔案 (cfg.xml) 中的參數。
預設 是 選項: 是|否 當參數設定為無,密碼警告不會出現在網頁或電話螢幕。 另外,即使密碼為空,也不會啟動 Web 頁面的純就緒模式。 |
| 4 |
找到參數使用者密碼或管理員密碼,然後按一下變更密碼參數旁。 |
| 5 |
在中輸入目前使用者密碼舊密碼欄位。 如果您沒有密碼,請將此欄位保留空白。 預設值為 0。
|
| 6 |
在密碼欄位中輸入新密碼。 |
| 7 |
按一下提交。 訊息已成功變更密碼。將顯示在網頁中。 網頁將在幾秒後重新整理。 該參數旁的警告將消失。 當您設定使用者密碼後,此參數會在電話組態XML 檔案(cfg.xml) 中顯示以下內容:
如果當您嘗試存取電話網頁時收到 403錯誤碼,您必須透過在電話組態檔 (cfg.xml) 中佈建來設定使用者或管理員密碼。 例如,以下格式輸入字串:
|
802.1X 驗證
Cisco IP電話支援 802.1X 驗證。
Cisco IP電話和Cisco Catalyst 交換器傳統上使用Cisco Discovery Protocol(CDP) 來識別彼此並確定VLAN分配和接線電源需求等參數。 CDP無法識別本地連接的工作站。 Cisco IP電話提供 EAPOL 傳遞機制。 此機制可讓連接至Cisco IP 電話的工作站將 EAPOL 訊息傳遞至 LAN 交換器上的 802.1X 驗證工具。 傳遞機制可確保IP 電話在存取網路之前不會充當 LAN 交換器來驗證資料端點。
Cisco IP電話還提供了 Proxy EAPOL 登出機制。 如果本地連接的PC與IP 電話中斷連線,則 LAN 交換器不會看到實體鏈結髮生故障,因為 LAN 交換器與IP 電話之間的鏈結會保留。 為了避免影響網路的完整性, IP 電話會代表下游PC向交換器傳送 EAPOL 登出訊息,這會觸發 LAN 交換器清除下游PC的驗證項目。
支援802.1X 驗證需要多個元件:
-
Cisco IP Phone 電話會起始存取網路的請求。 Cisco IP電話包含 802.1X 請求者。 此要求允許網路管理員控制IP電話與 LAN 交換器連接埠的連接。 目前版本的電話 802.1X 要求使用EAP-FAST和EAP-TLS選項進行網路驗證。
-
驗證等級 驗證伺服器和交換器必須同時使用驗證電話的共用密碼配置。
-
切換。 交換器必須支援 802.1X,才能充當驗證工具並在電話與驗證伺服器之間傳遞訊息。 交換完成後,交換器會授予或拒絕電話存取網路的權限。
您必須執行下列動作來設定 802.1X。
-
在電話上啟用 802.1X 驗證之前,請設定其他元件。
-
設定PC埠: 802.1X 標準不考慮 VLAN,因此建議針對特定交換器連接埠只應驗證單一裝置。 但是,有些交換器支援多網域驗證。 交換器組態決定您是否可將PC連接到電話的PC 連接埠。
-
啟用: 如果您使用的交換器支援多網域驗證,您可以啟用PC 連接埠並將PC連接到它。 在此情況下, Cisco IP電話支援 Proxy EAPOL 登出,以監控交換器與連線的PC之間的驗證交換。
如需Cisco Catalyst 交換器上 IEEE 802.1X 支援的相關資訊,請參閱Cisco Catalyst 交換器組態指南,網址為:
http://www.cisco.com/en/US/products/ps10627/tsd_products_support_series_home.html
-
停用: 若交換器在同一個連接埠上不支援多個 802.1X 相容裝置,您應該在啟用802.1X 驗證時停用PC連接埠。 如果您不停用此連接埠然後嘗試將PC連接到它,交換器會拒絕對電話和PC進行網路存取。
-
- 設定語音VLAN: 因為 802.1X 標準不考慮 VLAN,所以您應根據交換器的支援來配置此設定。
- 啟用: 如果您使用的交換器支援多網域驗證,則可讓它繼續使用語音 VLAN。
- 停用: 如果交換器不支援多網域驗證,請停用語音VLAN並考慮將連接埠指定給原生VLAN。
- (僅適用於Cisco Desk Phone 9800 系列)
Cisco Desk Phone 9800 系列的 PID 字首與其他Cisco電話的字首不同。 若要讓您的電話能夠通過802.1X 驗證,請設定半徑·使用者名稱參數以包括您的Cisco Desk Phone 9800 系列。
例如,電話 9841 的 PID 為 DP-9841;您可以設定半徑·使用者名稱至從 DP 開始或包含 DP 。 可以選取以下選項之一:
-
啟用 LDAP 驗證
當啟用802.1X 驗證時,電話會使用802.1X 驗證來請求網路存取。 當802.1X 驗證被停用時,電話會使用Cisco Discovery Protocol(CDP) 來獲取VLAN和網路存取權。 您也可以檢視交易狀態,並在電話螢幕目錄上變更。
當啟用802.1X 驗證時,您還可以為初始註冊和憑證續訂選取裝置憑證(MIC/SUDI 或自訂)。 一般而言, MIC適用於Cisco視訊電話 8875,SUDI 適用於Cisco Desk Phone 9800 系列。 CDC 只能在 802.1x 中用於驗證。
| 1 |
執行下列其中一個動作以啟用802.1X 驗證:
| ||||||||||||||||||||
| 2 |
在電話網頁選擇802.1X 驗證的憑證( MIC或自訂)。
有關如何在電話螢幕上選擇憑證類型的資訊,請參閱將您的電話連線至Wi-Fi 網路。
|
為媒體平面安全協商啟用用戶端起始模式
若要保護媒體階段作業,您可以將電話設定為起始與伺服器的媒體平面安全協商。 安全性機制遵循 RFC 3329 及其擴充草稿「媒體的安全性機制名稱」(請參閱https://tools。 )。 電話與伺服器之間的交涉傳輸可以使用SIP通訊協定(基於UDP、 TCP和TLS)。 您可以限制僅當訊號傳輸協議為TLS時,才套用媒體平面安全協商。
| 1 |
存取電話管理網頁。 | ||||||
| 2 |
選取 。 | ||||||
| 3 |
在SIP設定區段中,設定MediaSec 請求和僅適用於TLS的 MediaSec下表中定義的欄位:
| ||||||
| 4 |
按一下 Submit Changes。 |
WLAN安全性
因為範圍內的所有WLAN裝置都可以接收所有其他WLAN流量,所以在無線局域網中保護語音通訊至關重要。 為了確保入侵者不會操控或攔截語音流量, Cisco SAFE 安全性架構支援電話。 如需有關網路安全性的更多資訊,請參閱http://www.cisco.com/en/US/netsol/ns744/網路解決方案_程式_home.html。
Cisco無線IP 電話技術解決方案使用電話支援的下列驗證方法來提供無線網路安全性,可防止未經授權的登入和通訊遭破壞:
-
無驗證 任何無線裝置都可以在開放系統中請求驗證。 接收到請求的 AP 可以將驗證授予任何請求者,或僅授予在使用者清單中找到的請求者。 無線裝置與存取點 (AP) 之間的通訊可能未加密。
-
可擴展驗證通訊協定 - 透過安全通道 (EAP-FAST) 驗證進行靈活驗證: 此用戶端-伺服器安全性架構會加密 AP 與 RADIUS 伺服器之間的傳輸層安全性 ( TLS ) 通道內的EAP交易,例如身分服務引擎 (ISE) 。
TLS通道使用受保護的存取認證 (PAC) 在用戶端(電話)與 RADIUS 伺服器之間進行驗證。 伺服器將授權ID (AID) 傳送至用戶端(電話),然後選擇適當的 PAC。 用戶端(電話)向 RADIUS 伺服器返回 PAC 不透明。 伺服器會使用主金鑰解密 PAC。 兩個端點現在都包含 PAC 金鑰,且建立TLS通道。 EAP-FAST支援自動 PAC 佈建,但您必須在 RADIUS 伺服器上啟用它。
在 ISE 中,預設情況下,PAC 會在一周後過期。 如果電話的 PAC 過期,則在電話獲取新的 PAC 時,使用 RADIUS 伺服器進行驗證需要更長的時間。 若要避免 PAC 佈建延遲,請在 ISE 或 RADIUS 伺服器上將 PAC 到期期間設定為 90 天或更長。
-
可擴展驗證通訊協定 -傳輸層安全性性 (EAP-TLS) 驗證: EAP-TLS需要用戶用戶端憑證進行驗證和網路存取。 對於無線EAP-TLS,用戶用戶端憑證可以是MIC、 LSC或使用者安裝的憑證。
-
受保護的可擴展驗證通訊協定 (PEAP) : 用戶端(電話)和 RADIUS 伺服器之間的Cisco專有的基於密碼的相互驗證方案。 電話可以使用PEAP透過無線網路進行驗證。 支援PEAP-MSCHAPV2 和PEAP-GTC 驗證方法。
-
預共用金鑰 (PSK) : 電話支援ASCII格式。 設定WPA/WPA2/SAE 預共用金鑰時,您必須使用此格式:
ASCII : 長度為 8 到 63 個字元(0-9、小寫和大寫 AZ 以及特殊字元)的ASCII字串
範例: Greg123567@9ZX&W
下列驗證方案使用 RADIUS 伺服器來管理驗證金鑰:
-
WPA/WPA2/WPA3: 使用 RADIUS 伺服器資訊來產生唯一金鑰以用於驗證。 因為這些金鑰是在集中式 RADIUS 伺服器上產生,所以 WPA2/WPA3 可提供比儲存在 AP 和電話上的WPA預共用金鑰更高的安全性。
-
快速安全漫遊: 使用 RADIUS 伺服器和無線網域伺服器 (WDS) 資訊來管理和驗證金鑰。 WDS 會為啟用 FT 的用戶端裝置建立安全憑證緩存,以實現快速、安全的重新驗證。 Cisco桌面電話 9861 和 9871 與Cisco視訊電話 8875 支援 802.11r (FT)。 支援透過空氣和透過 DS ,以實現快速安全漫遊。 但我們強烈建議使用 802.11 r (FT) 的無線方式。
使用WPA/WPA2/WPA3,不會在電話上輸入加密金鑰,而是在 AP 與電話之間自動派生加密金鑰。 但是必須在每部電話上輸入用於驗證的EAP使用者名稱和密碼。
為了確保語音流量安全,電話支援 TKIP 和AES進行加密。 當這些機制用於加密時,訊號SIP封包和語音即時傳輸協議 (RTP) 封包都會在 AP 與電話之間加密。
- TKIP
-
WPA使用的 TKIP 加密,與WEP相比有幾處改進。 TKIP 提供了每個封包的金鑰加密以及更長的初始化向量 (IV) 來加強加密。 此外,訊息完整性檢查 (MIC) 可確保加密的封包不被變更。 TKIP 移除了WEP的可預測性,該可協助入侵者解密WEP 金鑰。
- AES
-
用於 WPA2/WPA3 驗證的加密方法。 這個國家加密標準使用對稱算法,該算法具有相同的加密和解密金鑰。 AES使用 128 位元大小的密碼區塊鏈 (CBC) 加密,它至少支援 128 位元、192 位元和 256 位元的金鑰大小。 電話支援的金鑰大小為 256 位元。
Cisco桌面電話 9861 和 9871 與Cisco視訊電話 8875 不支援使用 CMIC 的Cisco密鑰完整性通訊協定 (CKIP)。
驗證和加密方案在無線 LAN中"安裝;設定"。 VLAN 會在網路中和 AP 上配置,並指定驗證和加密的不同組合。 SSID與VLAN及特定的驗證和加密方案相關聯。 要成功驗證的無線用戶端裝置,您必須在 AP 和電話上為驗證和加密方案設定相同的 SSID。
某些驗證方案需要特定類型的加密。
- 當您使用WPA預共用金鑰、WPA2 預共用金鑰或 SAE 時,必須在電話上靜態設定預共用金鑰。 這些金鑰必須與 AP 上的金鑰相符。
-
電話支援 FAST 或PEAP的自動EAP協商,但不支援TLS的自動 EAP 協商。 對於EAP-TLS模式,您必須指定它。
下表中的驗證和加密方案顯示了與 AP 組態相對應的電話的網路組態選項。
| FSR 類型 | 驗證 | 使用者管理 | 加密 | 受保護的管理機架 (PMF) |
|---|---|---|---|---|
| 802.11r(FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | 否 |
| 802.11r(FT) | WPAD |
SAE FT-SAE | AES | 是 |
| 802.11r(FT) | EAP-TLS |
WPA- EAP FT- EAP | AES | 否 |
| 802.11r(FT) | EAP-TLS (WPA3) |
WPA- EAP-SHA256 FT- EAP | AES | 是 |
| 802.11r(FT) | EAP-FAST |
WPA- EAP FT- EAP | AES | 否 |
| 802.11r(FT) | EAP-FAST (WPA3) |
WPA- EAP-SHA256 FT- EAP | AES | 是 |
| 802.11r(FT) | EAP- PEAP |
WPA- EAP FT- EAP | AES | 否 |
| 802.11r(FT) | EAP- PEAP (WPA3) |
WPA- EAP-SHA256 FT- EAP | AES | 是 |
設定Wi-Fi設定檔
您可以從電話網頁或遠端裝置設定檔重新同步來設定 Wi- Wi-Fi設定檔,然後將設定檔與可用的Wi-Fi網路建立關聯。 您可以使用此Wi-Fi檔來連線至Wi-Fi。 目前,只能設定一個Wi-Fi檔。
設定檔包含電話透過Wi-Fi連線至電話伺服器所需的參數。 當您建立和使用Wi-Fi設定檔時,您或您的使用者不需要為個別電話設定無線網路。
Wi-Fi設定檔可讓您阻止或限制使用者變更電話上的Wi-Fi設定。
我們建議您使用帶有啟用加密的協議的安全設定檔,以在使用Wi-Fi檔時保護金鑰和密碼。
當您"安裝;設定"電話設定為在安全模式中使用EAP-FAST驗證方法時,您的使用者需要個人憑證才能連線至存取點。
| 1 |
存取電話網頁。 |
| 2 |
選取。 |
| 3 |
在 區段中Wi-Fi檔 (n) ,請如下表所述設定參數Wi-Fi檔的參數。 使用者登入也可使用Wi-Fi設定檔組態。
|
| 4 |
按一下 Submit Changes。 |
Wi-Fi檔的參數
下表定義了Wi-Fi檔 (n)區段下的系統電話網頁中的標籤。 它還定義了為配置參數而新增至電話組態檔 (cfg.xml) 的字串的語法。
| 參數 | 說明 |
|---|---|
| 網路名稱 | 讓您輸入將在電話上顯示的SSID名稱。 多個設定檔可以具有相同的網路名稱,但具有不同的安全性模式。 執行下列其中一項:
預設 空 |
| 安全模式 | 允許您選取用於安全存取Wi-Fi 網路的驗證方法。 根據您選擇的方法,系統會出現密碼欄位,使您可以提供加入此Wi-Fi 網路所需的憑證。 執行下列其中一項:
預設 自動 |
| Wi-Fi使用者ID | 可讓您為網路設定檔輸入使用者 ID。 當您將安全性模式設定為自動、 EAP-FAST或EAP- PEAP時,可以使用此欄位。 這是必填項位,它允許的長度上限為 32 個字母數字字元。 執行下列其中一項:
預設 空 |
| Wi-Fi密碼 | 讓您輸入指定Wi-Fi使用者ID的密碼。 執行下列其中一項:
預設 空 |
| 頻段 | 讓您選取WLAN使用的無線訊號頻段。 執行下列其中一項:
預設 自動 |
| 選取的憑證: | 可讓您為無線網路中的憑證初始註冊和憑證續訂選取憑證類型。 此過程僅適用於802.1X 驗證。 執行下列其中一項:
預設 製造安裝 |
