- 首頁
- /
- 文章
感謝您的意見回饋。
Cisco IP Phone 安全性
在此文章中
意見回饋?本説明文章適用於註冊到 Cisco BroadWorks 或 Webex Calling 的 Cisco 桌面電話 9800 系列和 Cisco 視訊電話 8875。
設定 DHCP 選項
您可以設定電話使用 DHCP 選項的順序。 有關 DHCP 選項的説明,請參閱 DHCP 選項支援。
| 1 |
存取電話管理網頁。 |
| 2 |
選擇。 |
| 3 |
在「配置檔 」部分中,設置 DHCP 選項 使用和 DHCPv6 選項使用 參數,如下所述:
|
| 4 |
按一下提交所有變更。 |
DHCP 選項支援
下表列出 PhoneOS 電話支援的 DHCP 選項。
| 網路標準 | 描述 |
|---|---|
| DHCP 選項 1 | 子網路遮罩 |
| DHCP 選項 2 | 時間位移 |
| DHCP 選項 3 | 路由器 |
| DHCP 選項 6 | 網域名稱伺服器 |
| DHCP 選項 15 | 網域名稱 |
| DHCP 選項 17 | 供應商識別供應商特定資訊 |
| DHCP 選項 41 | IP 位址租用時間 |
| DHCP 選項 42 | NTP 伺服器 |
| DHCP 選項 43 | 供應商特定資訊 可用於提供 SCEP 組態。 |
| DHCP 選項 56 | NTP 伺服器 NTP 含有 IPv6 的伺服器組態 |
| DHCP 選項 60 | 供應商類識別碼 |
| DHCP 選項 66 | TFTP 伺服器名稱 |
| DHCP 選項 125 | 供應商識別供應商特定資訊 |
| DHCP 選項 150 | TFTP 伺服器 |
| DHCP 選項 159 | 設定伺服器 IP |
| DHCP 選項 160 | 正在設定 URL |
為客戶端和伺服器設定最低 TLS 版本
默認情況下,客戶端和伺服器的最低 TLS 版本為 1.2。 這意味著客戶端和伺服器接受與 TLS 1.2 或更高版本建立連接。 用戶端和伺服器支援的 TLS 最大版本為 1.3。 配置后,最低 TLS 版本將用於 TLS 用戶端和 TLS 伺服器之間的協商。
您可以分別為客戶端和伺服器設置 TLS 的最低版本,例如 1.1、1.2 或 1.3。
開始之前
| 1 |
存取電話管理網頁。 |
| 2 |
選擇。 |
| 3 |
在“安全設置”部分中 ,配置參數 TLS 用戶端最低版本 。
您也可以在設定檔中設定此參數(cfg.XML: <TLS_Client_Min_Version ua =“na”>TLS 1.2</TLS_Client_Min_Version>
允許的值:TLS 1.1、TLS1.2 和 TLS 1.3。 預設值:TLS 1.2 |
| 4 |
在“安全設置”部分中 ,配置參數 TLS 伺服器最低版本 。 Webex Calling 不支援 TLS 1.1。
您也可以在設定檔中設定此參數 (cfg.XML): <TLS_Server_Min_Version ua =“na”>TLS 1.2</TLS_Server_Min_Version>
允許的值:TLS 1.1、TLS1.2 和 TLS 1.3。 預設值:TLS 1.2 |
| 5 |
按一下提交所有變更。 |
啟用 FIPS 模式
您可以使電話符合聯邦資訊處理標準 (FIPS)。
FIPS 是一組標準,用於描述文檔處理、加密演演演算法和其他資訊技術標準,供非軍事政府以及與機構合作的政府承包商和供應商使用。 CiscoSSL FOM (FIPS 物件模組) 是經過精心定義的軟體元件,其設計與 CiscoSSL 程式庫相容,因此使用 CiscoSSL 程式庫和 API 的產品可以毫不費力地轉換為使用 FIPS 140-2 驗證的加密技術。
| 1 |
存取電話管理網頁。 |
| 2 |
選擇。 |
| 3 |
在“ 安全性設置 ”部分中,從 “FIPS 模式” 參數中選擇 “是 ”或 “否 ”。 |
| 4 |
按一下提交所有變更。 當您啟用 FIPS 時,以下功能將在電話上無縫運作:
|
設定使用者與管理員密碼
首次將電話註冊到呼叫控制系統或在電話上恢復出廠設置后,必須設置使用者和管理員密碼以增強電話的安全性。 設定密碼後,即可存取電話 Web 介面。
默認情況下,使用者和管理員密碼為空。 因此,您可以在“設置 。
| 1 |
存取電話管理網頁 |
| 2 |
選擇。 |
| 3 |
(選用)在“ 系統配置 ”部分,將“ 顯示密碼警告 ”參數設置為 “是”,然後按兩下“提交所有更改” 。 您也可以啟用電話配置檔中的參數 (cfg.XML)。
預設值:是 選項:是|不 若參數設定為 「否」,則密碼警告不會顯示在電話螢幕上。 |
| 4 |
找到參數 用戶密碼 或 管理員密碼,然後按下 參數旁邊的更改密碼 。 |
| 5 |
在「舊密碼 」欄位中 輸入目前的使用者密碼。 如果您沒有密碼,請將該欄位留空。 預設值為空白。
|
| 6 |
在「新密碼」欄位中 輸入新密碼 。 有效的密碼規則:
如果新密碼不符合要求,該設置將被拒絕。 |
| 7 |
按一下遞交。 在您設定使用者密碼後,此參數會在電話組態 XML 檔案 (cfg.XML) 中顯示以下項目:
|
802.1X 驗證
Cisco IP 電話支援 802.1X 驗證。
Cisco IP 電話與 Cisco Catalyst 交換器通常使用 Cisco Discovery Protocol (CDP) 來相互識別及確定各項參數,例如 VLAN 分配與線內電源要求。 CDP 不會識別本機連接的工作站。 Cisco IP 電話提供 EAPOL 傳遞機制。 此機制允許工作站連接至 Cisco IP 電話,以便將 EAPOL 訊息傳遞至 LAN 交換器上的 802.1X 驗證器。 傳遞機制確保 IP 電話在存取網路之前,不會作為 LAN 交換器來驗證資料端點。
Cisco IP 電話還提供代理 EAPOL 登出機制。 如本機連接的 PC 與 IP 電話中斷連接,LAN 交換器不會發現實體連結失敗,因為 LAN 交換器與 IP 電話之間仍保持連結。 為避免影響網路完整性,IP 電話代表下游 PC 將 EAPOL 登出訊息傳送至交換器,這會觸發 LAN 交換器清除下游 PC 的驗證項目。
支援 802.1X 驗證需要若干元件︰
-
Cisco IP 電話︰電話發起存取網路的請求。 Cisco IP 電話包含 802.1X 要求。 此要求允許網路管理員控制 IP 電話與 LAN 交換器連接埠的連接。 最新版電話 802.1X 要求使用 EAP-FAST 與 EAP-TLS 選項進行網路驗證。
-
驗證伺服器:必須為驗證伺服器和交換器設定一個可用於驗證電話的共用密碼。
-
交換器:交換器必須支援 802.1X,以便其用作驗證器並在電話與驗證伺服器之間傳遞訊息。 交換完成後,交換器同意或拒絕電話存取網路。
您需執行下列動作來設定 802.1X。
-
設定其他元件,然後在電話上啟用 802.1X 驗證。
-
設定 PC 連接埠:802.1X 標準不考慮 VLAN,因此建議對特定交換器通訊埠只驗證單一裝置。 不過,部份交換器支援多網域驗證。 交換器組態確定是否可將 PC 連線至電話的 PC 通訊埠。
-
已啟用:如果使用支援多網域驗證的交換器,您可以啟用 PC 連接埠並將 PC 連接至該連接埠。 在此情況下,Cisco IP 電話支援 proxy EAPOL 登出,以監控交換器與連接的 PC 之間的驗證交換。
如需關於 Cisco Catalyst 交換器支援 IEEE 802.1X 的詳細資訊,請參閱《Cisco Catalyst 交換器組態指南》,網址︰
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
已停用:若交換器不在同一連接埠上支援多部 802.1X 相容裝置,則應在啟用 802.1X 驗證時停用 PC 連接埠。 若不停用此連接埠,且隨後嘗試連接 PC 與該連接埠,交換器會拒絕在電話與 PC 上進行網路存取。
-
- 設定語音 VLAN:由於 802.1X 標準不考慮 VLAN,您應根據交換器支援情況來進行此設定。
- 已啟用:如果是使用支援多網域驗證的交換器,您可以繼續使用語音 VLAN。
- 已停用:若交換器不支援多網域驗證,則停用語音 VLAN,並考慮將通訊埠指定到原生 VLAN。
- (僅適用於 Cisco 桌上型電話 9800 系列)
Cisco 桌上型電話 9800 系列在 PID 中的前綴與其他 Cisco 電話的前綴不同。 若要讓您的電話透過 802.1X 驗證,請設定 Radius·使用者名稱 參數以包含您的 Cisco 桌上型電話 9800 系列。
例如,電話 9841 的 PID 為 DP-9841;您可以設定 半徑· 使用者名以
DP開頭或包含 DP。您可以在以下兩個部分中進行設定: -
在電話網頁上啟用 802.1X 身份驗證
啟用 802.1X 驗證後,電話將使用 802.1X 驗證來請求網路存取。 停用 802.1X 驗證時,電話將使用 Cisco Discovery Protocol (CDP) 來取得 VLAN 和網路存取權限。
您可以選擇用於 802.1X 身份驗證的憑證 (MIC/SUDI 或 CDC)。 有關 CDC 的詳細資訊,請參閱 9800/8875 上的自定義設備證書。
您可以在電話螢幕功能表上檢視交易狀態和安全設定。 有關詳細資訊,請參閱 手機上的安全設置功能表。
| 1 |
啟用 802.1X 身份驗證。 選擇 ,然後將啟用 802.1X 身份驗證 參數 設置為是。 您也可以在設定檔中設定此參數 (cfg.XML):
有效值:是|否 預設值:否 |
| 2 |
選取下列其中一個用於 802.1X 驗證的已安裝憑證。 值選項:
設定因網路而異:
|
| 3 |
配置將用作有線網路中 802.1X 身份驗證的標識的參數 使用者 ID 。 僅當使用 CDC 進行有線 802.1X 身份驗證 (“證書選擇” 設置為“自定義安裝 ”) 時,參數配置才會生效。 默認情況下,此參數為空。 有線 802.1X 的標識因所選證書而異:
如果 使用者 ID 為空且配置了 CDC 中的公用名,則有線 802.1X 將使用 CDC 公用名作為標識。 您也可以在設定檔中設定此參數 (cfg.XML):
有效值:最多 127 個字元 預設值:空 該參數還支援巨集展開變數,詳見 宏擴展變數 。 如果您想利用 DHCP 選項來設定使用者 ID,請參閱 透過 DHCP 選項 15 設定通用名稱或使用者 ID。 |
| 4 |
按一下提交所有變更。 |
手機上的安全設定選單
您可以在電話選單上查看有關安全設定的資訊。 導航路徑為: 。 資訊的可用性取決於您組織的網路設定。
|
參數 |
選項 |
預設值 |
描述 |
|---|---|---|---|
|
裝置驗證 |
開啟 關閉 |
關閉 |
在電話上啟用或停用 802.1X 身份驗證。 手機開箱即用 (OOB) 註冊後,參數設定仍可保留。 |
|
交易狀態 | 已停用 |
顯示 802.1X 認證的狀態。 狀態可以是 (但不限於):
| |
|
通訊協定 | None |
顯示用於 802.1X 驗證的 EAP 方法。 該協定可以是 EAP-FAST 或 EAP-TLS。 | |
|
使用者憑證類型 |
製造安裝 客製化安裝 |
製造安裝 |
在初始註冊和憑證更新期間選擇 802.1X 驗證的憑證。
只有在啟用 裝置驗證 時,此參數才會出現在手機上。 |
| 與 WPA 向後相容 |
開啟 關閉 | 關閉 |
確定最舊版本的 Wi-Fi 受保護存取 (WPA) 是否相容於手機連接到無線網路或存取點 (AP)。
此功能僅適用於 9861/9871/8875 手機。 |
設定代理伺服器
您可以設定電話使用代理伺服器來增強安全性。 通常,HTTP 代理伺服器可以提供以下服務:
- 內部和外部網路之間的路由流量
- 過濾、監控或記錄流量
- 快取響應以提高效能
此外,HTTP 代理伺服器可以充當手機和網路之間的防火牆。 配置成功後,手機透過代理伺服器連接到互聯網,從而保護手機免受網路攻擊。
配置後,HTTP 代理功能適用於所有使用 HTTP 協定的應用程式。 例如:
- GDS (啟動碼入職)
- EDOS 設備激活
- 加入 Webex 雲端 (透過 EDOS 或 GDS)
- 自訂 CA
- 佈建
- 韌體升級
- 電話狀態報告
- PRT 上傳
- XSI 服務
- Webex 服務
- 目前該功能僅支援 IPv4。
- 手機開箱即用 (OOB) 註冊後,可以保留 HTTP 代理設定。
| 1 |
存取電話管理網頁。 |
| 2 |
選擇。 |
| 3 |
在 HTTP 代理設定部分中,從下拉清單 代理模式 中選擇代理模式,並設定相關參數。 有關每種代理模式的參數和必需參數的更多信息,請參閱 HTTP 代理設定的參數 。 |
| 4 |
按一下提交所有變更。 |
HTTP 代理設定的參數
下表定義了電話 Web 介面中 語音 > HTTP 代理設定 244672476724,代理程式設定的參數。 表格還界定了電話組態檔 (cfg.xml) 中所新增的字串語法,其中包含用於配置參數的 XML (cfg.xml) 代碼。
參數 描述 代理模式 指定電話使用的 HTTP 代理模式,或停用 HTTP 代理功能。- 自動
電話自動檢索代理自動設定 (PAC) 檔案來選擇代理伺服器。 在此模式下,您可以確定是否使用 Web 代理程式自動發現 (WPAD) 協定來檢索 PAC 檔案或手動輸入 PAC 檔案的有效 URL。
具體參數說明請參閱本表中的「Web 代理自動發現」和「PAC URL」參數。
- 手動
您必須手動指定伺服器 (主機名稱或 IP 位址) 和代理伺服器的連接埠。
有關參數的詳細信息,請參閱代理主機和代理端口。
- 關閉
您停用了手機上的 HTTP 代理功能。
請執行下列一項操作:
- 在包含 XML (cfg.xml) 的電話組態檔中,請輸入以下格式的字串:
<Proxy_Mode ua="rw">關閉</Proxy_Mode>
- 在電話網路介面上,選擇代理模式或停用該功能。
允許的值:自動、手動和關閉
預設值:關閉
Web 代理自動發現 決定電話是否使用 Web 代理自動發現 (WPAD) 協定來檢索 PAC 檔案。WPAD 協定使用 DHCP 或 DNS,或兩種網路協定來自動定位代理自動配置 (PAC) 檔案。 PAC 檔案用於為給定的 URL 選擇代理伺服器。 該文件可以託管在本機或網路上。
- 參數配置生效時間 代理模式 設定為 汽車。
- 如果將參數設定為 不,則必須指定 PAC URL。
此參數的具體說明請參閱本表中的參數「PAC URL」。
請執行下列一項操作:
- 在包含 XML (cfg.xml) 的電話組態檔中,請輸入以下格式的字串:
<Web_Proxy_Auto_Discovery ua="rw">是</Web_Proxy_Auto_Discovery>
- 在電話 Web 介面上,選擇 是的 或者 不 根據需要。
允許的值:是和否
預設值:是
PAC 網址 PAC 檔案的 URL。例如, http://proxy.department.branch.example.com
TFTP、HTTP 和 HTTPS 皆支援。
如果您設定 代理模式 到 汽車 和 Web 代理自動發現 到 不,則必須配置此參數。
請執行下列一項操作:
- 在包含 XML (cfg.xml) 的電話組態檔中,請輸入以下格式的字串:
<PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL>
- 在電話 Web 介面上,輸入指向 PAC 檔案的有效 URL。
預設值:空
代理主機 IP 手機存取的代理主機伺服器的位址或主機名稱。 例如:proxy.example.com
該計劃( http:// 或者 https://) 不是必需的。
如果您設定 代理模式 到 手動的,則必須配置此參數。
請執行下列一項操作:
- 在包含 XML (cfg.xml) 的電話組態檔中,請輸入以下格式的字串:
<Proxy_Host ua="rw">proxy.example.com</Proxy_Host>
- 在電話網路介面上,輸入代理伺服器的 IP 位址或主機名稱。
預設值:空
代理端口 代理主機伺服器的連接埠號碼。如果您設定 代理模式 到 手動的,則必須配置此參數。
請執行下列一項操作:
- 在包含 XML (cfg.xml) 的電話組態檔中,請輸入以下格式的字串:
<Proxy_Port ua="rw">3128</Proxy_Port>
- 在電話 Web 介面上,輸入伺服器連接埠。
預設值:3128
代理身份驗證 確定使用者是否需要提供代理伺服器所需的身份驗證憑證 (使用者名稱和密碼)。 此參數根據代理伺服器的實際行為進行配置。如果將參數設定為 是的,您必須配置 使用者名稱 和 密碼。
具體參數說明請參閱本表中的「使用者名稱」和「密碼」參數。
此參數配置在 代理模式 設定為 手動時生效 。
請執行下列一項操作:
- 在包含 XML (cfg.xml) 的電話組態檔中,請輸入以下格式的字串:
<Proxy_Authentication ua="rw">否</Proxy_Authentication>
- 在電話網頁介面,根據需要設定此欄位 是 或 否 。
允許的值:是和否
預設值:否
使用者名稱 代理伺服器上憑證使用者的使用者名稱。如果 代理模式 設定為 手動 且 代理身份驗證 設定為 是。
請執行下列一項操作:
- 在包含 XML (cfg.xml) 的電話組態檔中,請輸入以下格式的字串:
<Proxy_Username ua="rw">範例</Proxy_Username>
- 在電話 Web 介面上,輸入使用者名稱。
預設值:空
密碼 用於代理身份驗證的指定使用者名稱的密碼。如果 代理模式 設定為 手動 且 代理身份驗證 設定為 是
請執行下列一項操作:
- 在包含 XML (cfg.xml) 的電話組態檔中,請輸入以下格式的字串:
<Proxy_Password ua="rw">範例</Proxy_Password>
- 在電話 Web 介面上,輸入使用者代理程式驗證的有效密碼。
預設值:空
表 1. 每種代理模式所需的參數 代理模式 必需參數 描述 關閉 不適用 手機上的 HTTP 代理程式已停用。 手動 代理主機代理端口
代理身份驗證:是
使用者名稱
密碼
手動指定代理伺服器 (主機名稱或 IP 位址) 和代理連接埠。 如果代理伺服器需要身份驗證,則必須進一步輸入使用者名稱和密碼。 代理主機代理端口
代理身份驗證:否
手動指定代理伺服器。 代理伺服器不需要身份驗證憑證。 自動 Web 代理程式自動發現:否PAC 網址
輸入有效的 PAC URL 來檢索 PAC 檔案。 Web 代理程式自動發現:是
使用 WPAD 協定自動檢索 PAC 檔案。
啟用客戶端發起模式進行媒體平面安全協商
為了保護媒體會話,您可以設定手機以啟動與伺服器的媒體平面安全協商。 此安全機制遵循 RFC 3329 及其擴充草案《媒體安全機制名稱》中規定的標準 (參見 https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2)。 手機和伺服器之間的協商傳輸可以使用 UDP, TCP, 和 TLS 上的 SIP 協定。 您可以限制僅當訊號傳輸協定為 TLS 時才套用媒體平面安全協商。
表 2. 媒體平面安全協商參數 參數 描述
MediaSec 請求
指定手機是否啟動與伺服器的媒體平面安全協商。
請執行下列一項操作:
在包含 XML (cfg.xml) 的電話組態檔中,請輸入以下格式的字串:
<MediaSec_Request_1_ ua="na">是</MediaSec_Request_1_>- 在電話 Web 介面中,根據需要將此欄位設定為 是 或 否 。
允許的值:是|否
- 是-客戶端發起模式。 電話啟動媒體平面安全談判。
- 否——伺服器發起模式。 伺服器發起媒體平面安全協商。 手機不會發起協商,但可以處理來自伺服器的協商請求以建立安全通話。
預設值:否
僅透過 TLS 進行 MediaSec
指定應用媒體平面安全協商的信令傳輸協定。
在將此欄位設為 是之前,請確保訊號傳輸協定為 TLS。
請執行下列一項操作:
- 在包含 XML (cfg.xml) 的電話組態檔中,請輸入以下格式的字串:
<MediaSec_Over_TLS_Only_1_ ua="na">否</MediaSec_Over_TLS_Only_1_>
- 在電話 Web 介面中,根據需要將此欄位設定為 是 或 否 。
允許的值:是|否
- 是—僅當訊號傳輸協定為 TLS 時,電話才會啟動或處理媒體平面安全協商。
- 否-無論訊號傳輸協定為何,手機都會啟動並處理媒體平面安全協商。
預設值:否
1
存取電話管理網頁。
2
選擇。
3
在 SIP 設定 部分,依照上表定義設定 MediaSec 要求 和 僅限 #dntr_dcicic 上的欄位。
4
按一下提交所有變更。
WLAN 安全
由於範圍內的所有 WLAN 裝置都可以接收所有其他 WLAN 流量,因此在 WLAN 中安全的語音通訊很重要。 為了確保入侵者不會操縱或攔截語音通信,Cisco SAFE 安全架構支援電話。 如需網路中安全性的詳細資訊,請參閱 http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html。
Cisco 無線 IP 電話解決方案提供無線網路安全,透過使用電話支援的以下身分驗證方法來防止未經授權的登入和受損的通訊:
-
開放驗證:任何無線裝置都可以在開放系統中請求驗證。 接收請求的 AP 可以將驗證授予任何請求者或僅授予使用者清單上的請求者。 無線設備和存取點 (AP) 之間的通訊可能不會加密。
-
可擴展身份驗證協定 - 透過安全性隧道進行靈活驗證 (EAP) 身份驗證:此用戶端 - 伺服器安全架構在 AP 和 RADIUS 伺服器 (例如身分服務引擎 (ISE)) 之間的傳輸級安全性 (TLS) 隧道內加密 #dns。
TLS 通道使用受保護存取認證 (PAC) 在用戶端(電話)與 RADIUS 伺服器之間驗證。 伺服器將授權單位 ID (AID) 傳送至用戶端(電話),進而選取適當的 PAC。 用戶端(電話)將 PAC-Opaque 返回至 RADIUS 伺服器。 伺服器使用主密鑰解密 PAC 。 這兩個端點即包含 PAC 金鑰並建立 TLS 通道。 EAP-FAST 支援自動 PAC 佈建,但您需在 RADIUS 伺服器上啟用它。
在 ISE 中,預設情況下,PAC 將在一周後過期。 如果電話具有過期的 PAC,電話取得新的 PAC 時,向 RADIUS 伺服器驗證需要更長時間。 若要避免 PAC 佈建延遲,請在 ISE 或 RADIUS 伺服器上將 PAC 到期期間設定為 90 天或更長時間。
-
可延伸驗證通訊協定—傳輸層安全性 (EAP-TLS) 的驗證:EAP-TLS 需要用戶端憑證才能進行驗證與網路存取。 對於無線 TLS,用戶端憑證可以是 MIC, LSC, 或使用者安裝的憑證。
-
受保護的可延伸驗證通訊協定 (PEAP):用戶端 (電話) 與 RADIUS 伺服器之間的 Cisco 專屬密碼型相互驗證架構。 手機可以使用 PEAP 與無線網路進行身份驗證。 同時支援 PEAP-MSCHAPV2 和 PEAP-GTC 驗證方法。
-
預共享金鑰 (PSK):該電話支援 ASCII 格式。 設定 WPA/WPA2/SAE 預共用金鑰時必須使用此格式:
ASCII:長度為 8 至 63 個字元的 ASCII 字元字串 (0-9、小寫和大寫 A-Z 以及特殊字元)
例子: GREG123567@9ZX&W
下列驗證方案使用 RADIUS 伺服器管理驗證金鑰:
-
WPA/WPA2/WPA3:使用 RADIUS 伺服器資訊產生用於驗證的唯一金鑰。 由於這些金鑰是在集中式 RADIUS 伺服器上產生的,因此 WPA2/WPA3 比儲存在 AP 和手機上的 WPA 預先共用金鑰更安全。
-
快速安全漫遊︰使用 RADIUS 伺服器和無線網域伺服器 (WDS) 資訊來管理和驗證金鑰。 WDS 為啟用 FT 的用戶端裝置建立安全憑證緩存,以便快速且安全地重新進行身份驗證。 Cisco 桌上型電話 9861 和 9871 以及 Cisco 視訊電話 8875 支援 802.11r (FT)。 支援無線和 DS 兩種方式,以實現快速安全的漫遊。 但是,我們極力建議利用無線 802.11r (FT)。
使用 WPA/WPA2/WPA3,加密金鑰無需在手機上輸入,而是在 AP 和手機之間自動得出。 但是,需在每部電話上輸入用於驗證的 EAP 使用者名稱和密碼。
為了確保語音通訊的安全,電話支援 TKIP 和 AES 加密。 當這些機制用於加密時,AP 和電話之間的訊號 SIP 封包和語音即時傳輸協定 (RTP) 封包都會被加密。
- TKIP
-
WPA 使用 TKIP 加密,與 WEP 相比有幾項改進。 TKIP 提供了封包性的可加強加密的金鑰加密及較長的初始向量 (IV)。 此外,訊息完整性檢查 (MIC) 可確保不會變更加密的封包。 TKIP 可移除有助於入侵者破解 WEP 金鑰的 WEP 之預測性。
- AES
-
用於 WPA2/WPA3 驗證的加密方法。 此國家加密標準使用的對稱演算法具有相同的加密和解密金鑰。 AES 使用大小為 128 位元 (作為最低要求) 的加密封鎖鏈 (CBC) 加密,此加密支援 128 位元、192 位元和 256 位元的金鑰。 手機支援 256 位元密鑰大小。
Cisco 桌上型電話 9861 和 9871 以及 Cisco 視訊電話 8875 不支援帶有 CMIC 的 Cisco 金鑰完整性協定 (CKIP)。
在無線 LAN 內設定驗證和加密架構。 在網路中和 AP 上設定 VLAN,並指定不同的驗證和加密的組合。 SSID 與 VLAN 和特定驗證及加密架構關聯。 為了讓無線用戶端裝置成功進行身份驗證,您必須在 AP 和手機上設定相同的 SSID 及其身份驗證和加密方案。
部分驗證架構需要特定的加密類型。
- 當您使用 WPA 預先共用金鑰、WPA2 預共用金鑰或 SAE 時,必須在手機上靜態設定預共用金鑰。 這些金鑰需與 AP 上的金鑰相符。
-
手機支援 FAST 或 PEAP 的自動 EAP 協商,但不支援 TLS。 對於 EAP-TLS 模式,您必須指定它。
下表中的認證和加密方案顯示了與 AP 配置對應的手機網路配置選項。
表 3. 驗證和加密方案 FSR 類型 授權 金鑰管理 加密 受保護的管理幀 (PMF) 802.11r (光纖) PSK
WPA-PSK
WPA-PSK-SHA256
傅立葉變換相移鍵控
AES 否 802.11r (光纖) WPA3
美國汽車工程師學會
金融時報 -SAE
AES 是 802.11r (光纖) EAP-TLS
WPA-EAP
全職 EAP
AES 否 802.11r (光纖) EAP-TLS (WPA3)
WPA-EAP-SHA256
全職 EAP
AES 是 802.11r (光纖) EAP-FAST
WPA-EAP
全職 EAP
AES 否 802.11r (光纖) EAP-TLS (WPA3)
WPA-EAP-SHA256
全職 EAP
AES 是 802.11r (光纖) EAP-PEAP
WPA-EAP
全職 EAP
AES 否 802.11r (光纖) EAP-PEAP (WPA3)
WPA-EAP-SHA256
全職 EAP
AES 是
設定 Wi-Fi 個人資料
您可以從電話網頁或遠端裝置設定檔重新同步設定 Wi-Fi 設定文件,然後將該設定檔關聯到可用的 Wi-Fi 網路。 您可以使用此 Wi-Fi 設定檔連接到 Wi-Fi。 目前僅可設定一個 Wi-Fi 設定檔。
此設定檔包含電話使用 Wi-Fi 連接到電話伺服器所需的參數。 當您建立並使用 Wi-Fi 設定檔時,您或您的使用者不需要為單一電話設定無線網路。
Wi-Fi 設定檔可讓您防止或限制使用者在電話上變更 Wi-Fi 組態。
當您使用 Wi-Fi 設定檔時,我們建議您使用啟用加密協定的安全設定檔來保護金鑰和密碼。
當您設定電話在安全模式下使用 EAP-FAST 驗證方法時,您的使用者需要單獨的憑證才能連接到存取點。
1
造訪電話網頁。
2
選擇。
3
在 Wi-Fi 設定檔 (n)部分中,依照下表 Wi-Fi 設定檔參數中所述設定參數。
Wi-Fi 設定檔配置也可供使用者登入使用。
4
按一下提交所有變更。
Wi-Fi 設定檔的參數
下表定義了電話網頁中 系統 Tab 下的 Wi-Fi 設定檔(n) 部分各參數的功能和用法。 它還定義了在電話設定檔 (cfg.XML) 中新增的用於設定參數的字串的語法。
參數 描述 網路名稱 允許您輸入將在電話上顯示的 SSID 的名稱。 多個設定檔可以具有相同的網路名稱但具有不同的安全模式。請執行下列一項操作:
- 在包含 XML (cfg.xml) 的電話組態檔中,請輸入以下格式的字串:
<網名_1_ ua="rw">Cisco</網路名稱_1_>
- 在電話網頁中,輸入 SSID 的名稱。
預設值:空
安全性模式 允許您選擇用於安全存取 Wi-Fi 網路的身份驗證方法。 根據您選擇的方法,會出現一個密碼字段,以便您提供加入此 Wi-Fi 網路所需的憑證。請執行下列一項操作:
- 在包含 XML (cfg.xml) 的電話組態檔中,請輸入以下格式的字串:
<Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_><!-- 可用選項:自動|EAP-FAST|||PSK||無|EAP-PEAP|EAP-TLS -->
- 在電話網頁上,選擇以下方法之一:
- 自動
- EAP-FAST
- PSK
- None
- EAP-PEAP
- EAP-TLS
預設值:自動
Wi-Fi 使用者 ID 可讓您輸入網路設定檔的使用者 ID。當您將安全模式設定為自動、EAP-FAST 或 EAP-PEAP 時,此欄位可用。 這是必填字段,最大長度為 32 個字母數字字元。
請執行下列一項操作:
- 在包含 XML (cfg.xml) 的電話組態檔中,請輸入以下格式的字串:
<Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>
- 在電話網頁中,輸入網路設定檔的使用者 ID。
預設值:空
Wi-Fi 密碼 允許您輸入指定 Wi-Fi 使用者 ID 的密碼。請執行下列一項操作:
- 在包含 XML (cfg.xml) 的電話組態檔中,請輸入以下格式的字串:
<Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>
- 在電話網頁上,輸入您已新增的使用者 ID 的密碼。
預設值:空
頻帶 允許您選擇 WLAN 使用的無線訊號頻帶。請執行下列一項操作:
- 在包含 XML (cfg.xml) 的電話組態檔中,請輸入以下格式的字串:
<Frequency_Band_1_ ua="rw">自動</Frequency_Band_1_>
- 在電話網頁上,選擇以下選項之一:
- 自動
- 2.4 GHz
- 5 GHz
預設值:自動
證書選擇 允許您選擇無線網路中憑證初始註冊和憑證更新的憑證類型。 此過程僅適用於 802.1X 身份驗證。請執行下列一項操作:
- 在包含 XML (cfg.xml) 的電話組態檔中,請輸入以下格式的字串:
<Certificate_Select_1_ ua="rw">製造安裝</Certificate_Select_1_>
- 在電話網頁上,選擇以下選項之一:
- 製造安裝
- 客製化安裝
預設:製造安裝
在手機上檢查設備安全狀態
您的手機會自動檢查設備安全狀態。 如果它偵測到手機上有潛在的安全威脅, 問題與診斷 選單可以顯示問題的詳細資訊。 根據報告的問題,您的管理員可以採取措施來保護和強化您的手機。
在電話註冊到呼叫控制系統 (Webex Calling 或 BroadWorks) 之前,設備安全狀態可用。
要在電話螢幕上查看安全問題的詳細信息,請執行以下操作:
1
按 設定 
2
選擇 。
目前,設備安全報告包含以下問題:
- 裝置信任
- 設備身份驗證失敗
- 偵測到 SoC 篡改
- 易受攻擊的配置
- SSH 已啟用
- 已啟用 Telnet
- 偵測到網路異常事件
- 過多的網頁登入嘗試
- 偵測到高 UDP 流量
- 可疑的 ICMP 時間戳請求
- 證書頒發
- 自訂設備證書到期
3
聯絡您的管理員尋求支援來解決安全問題。
