- 首頁
- /
- 文章
此説明文章適用於註冊到 Webex Calling 的 Cisco 無線電話 9821。
設定 DHCP 選項
您可以設定電話使用 DHCP 選項的順序。 有關 DHCP 選項的説明,請參閱 DHCP 選項支援。
| 1 |
存取電話管理網頁。
|
| 2 |
選擇。 |
| 3 |
在“配置檔 ” 部分中,設置 “DHCP 使用 選項”參數。 此參數由一系列 DHCP 選項組成,用逗號分隔,用於檢索固件和配置檔。 請執行下列一項操作:
預設值: |
| 4 |
按一下提交所有變更。 |
DHCP 選項支援
下表列出了 Cisco Wireless Phone 9821 支援的 DHCP 選項。
| 網路標準 | 描述 |
|---|---|
| DHCP 選項 1 | 子網路遮罩 |
| DHCP 選項 2 | 時間位移 |
| DHCP 選項 3 | 路由器 |
| DHCP 選項 6 | 網域名稱伺服器 |
| DHCP 選項 15 | 網域名稱 |
| DHCP 選項 17 | 根路徑 |
| DHCP 選項 41 | IP 位址租用時間 |
| DHCP 選項 42 | NTP 伺服器 |
| DHCP 選項 43 | 供應商特定資訊 可用於提供 SCEP 組態。 |
| DHCP 選項 56 | NTP 伺服器 |
| DHCP 選項 60 | 供應商類識別碼 |
| DHCP 選項 66 | TFTP 伺服器名稱 |
| DHCP 選項 125 | 供應商識別供應商特定資訊 |
| DHCP 選項 150 | TFTP 伺服器 |
| DHCP 選項 159 | 設定伺服器 IP |
| DHCP 選項 160 | 正在設定 URL |
無線區域網安全
由於範圍內的所有 WLAN 裝置都可以接收所有其他 WLAN 流量,因此在 WLAN 中安全的語音通訊很重要。 為確保入侵者不會操縱或攔截語音流量,Cisco SAFE 安全性架構支援電話。 有關網路安全性的詳細資訊,請參閱 http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html。
Cisco 無線 IP 電話解決方案通過使用電話支援的以下身份驗證方法提供無線網路安全性,防止未經授權的登錄和通信受損。
-
開放驗證:任何無線裝置都可以在開放系統中請求驗證。 接收請求的 AP 可以將驗證授予任何請求者或僅授予使用者清單上的請求者。 無線設備和接入點 (AP) 之間的通信可能是非加密的。
-
可擴展身份驗證協定 - 通過安全隧道 (EAP-FAST) 身份驗證的靈活身份驗證:此用戶端 - 伺服器安全體系結構對 AP 和 RADIUS 伺服器之間的傳輸級別安全性 (TLS) 隧道中的 EAP 事務進行加密,例如身份服務引擎 (ISE)。
TLS 通道使用受保護存取認證 (PAC) 在用戶端(電話)與 RADIUS 伺服器之間驗證。 伺服器將授權單位 ID (AID) 傳送至用戶端(電話),進而選取適當的 PAC。 用戶端(電話)將 PAC-Opaque 返回至 RADIUS 伺服器。 伺服器使用主密鑰解密 PAC 。 這兩個端點即包含 PAC 金鑰並建立 TLS 通道。 EAP-FAST 支援自動 PAC 佈建,但您需在 RADIUS 伺服器上啟用它。
在 ISE 中,預設情況下,PAC 將在一周後過期。 如果電話具有過期的 PAC,電話取得新的 PAC 時,向 RADIUS 伺服器驗證需要更長時間。 若要避免 PAC 佈建延遲,請在 ISE 或 RADIUS 伺服器上將 PAC 到期期間設定為 90 天或更長時間。
-
可延伸驗證通訊協定—傳輸層安全性 (EAP-TLS) 的驗證:EAP-TLS 需要用戶端憑證才能進行驗證與網路存取。 對於無線 EAP-TLS,用戶端證書可以是 MIC 或使用者安裝證書。
-
受保護的可延伸驗證通訊協定 (PEAP):用戶端 (電話) 與 RADIUS 伺服器之間的 Cisco 專屬密碼型相互驗證架構。 電話可以使用 PEAP 通過無線網路進行身份驗證。 同時支援 PEAP-MSCHAPV2 和 PEAP-GTC 驗證方法。
要支援 Cisco 無線電話 9821 的 PEAP-GTC 身份驗證,請在 Cisco ISE 策略集中配置必要的策略。
-
預共用金鑰 (PSK):電話支援 ASCII 和十六進位 (HEX) 格式。 設定 WPA2/SAE 預共用金鑰時,您必須使用這些格式。
ASCII:長度為 8 到 63 個字元 (0-9、小寫 a-z、大寫 A-Z 和特殊字元) 的 ASCII 字元字串。 例如,
GREG123567@9ZX&W。十六進位:長度為 64 個十六進位數字的十六進位字元字串 (0-9、a-f 或 A-F)。
下列驗證方案使用 RADIUS 伺服器管理驗證金鑰:
-
WPA2/WPA3:使用 RADIUS 伺服器資訊產生用於驗證的唯一金鑰。 由於這些金鑰是在集中式 RADIUS 伺服器上生成,因此 WPA2/WPA3 比儲存在 AP 和電話上的 WPA 預共用金鑰提供更高的安全性。
-
快速安全漫遊︰使用 RADIUS 伺服器和無線網域伺服器 (WDS) 資訊來管理和驗證金鑰。 WDS 為啟用了 FT 的用戶端設備創建安全憑據緩存,以實現快速安全的重新身份驗證。
使用 WPA2/WPA3,加密金鑰不會輸入在電話上,但會自動在 AP 與電話之間衍生。 但是,需在每部電話上輸入用於驗證的 EAP 使用者名稱和密碼。
為了幫助保護透過無線連結的語音流量,電話支援基於 AES 的加密以進行 WPA2/WPA3 驗證。 AES 是由 NIST 標準化的對稱分組密碼。 AES 使用固定的 128 位塊大小,並支援 128 位、192 位和 256 位的金鑰大小。 在 Wi-Fi 網络中,AES 由 CCMP 或 GCMP 等密碼套件使用,而身份驗證則由 PSK、SAE 或 802.1X/EAP 單獨提供,具體取決於配置的 WLAN 安全模式。 支援的密碼套件和金鑰大小視電話機型和 WLAN 組態而定。
在無線 LAN 內設定驗證和加密架構。 在網路中和 AP 上設定 VLAN,並指定不同的驗證和加密的組合。 SSID 與 VLAN 和特定驗證及加密架構關聯。 要使無線用戶端設備成功進行身份驗證,您必須在 AP 和電話上使用其身份驗證和加密方案配置相同的 SSID。
部分驗證架構需要特定的加密類型。
使用 WPA2 預先共用金鑰或 SAE 時,必須在電話上靜態設定預先共用金鑰。 這些金鑰需與 AP 上的金鑰相符。
下表中的身份驗證和加密方案顯示了對應於 AP 組態的 Cisco Wireless Phone 9821 的網路組態選項。
| FSR 類型 | 授權 | 金鑰管理 | 加密 | 受保護的管理框架 (PMF) |
|---|---|---|---|---|
| 802.11r (英尺) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | 否 |
| 802.11r (英尺) | WPA3 |
汽車工程學會 FT-SAE | AES | 是 |
| 802.11r (英尺) | EAP-TLS |
WPA-EAP FT-EAP | AES | 否 |
| 802.11r (英尺) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 是 |
| 802.11r (英尺) | EAP-FAST |
WPA-EAP FT-EAP | AES | 否 |
| 802.11r (英尺) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 是 |
| 802.11r (英尺) | EAP-PEAP |
WPA-EAP FT-EAP | AES | 否 |
| 802.11r (英尺) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 是 |
| 非 FT | 套房 -B | WPA-EAP-SUITE-B | GCMP | 是 |
| 非 FT | 套房 -B-192 | WPA-EAP-SUITE-B-192 | GCMP | 是 |
設定 Wi-Fi 個人資料
您可以從電話管理網頁或透過遠端裝置設定檔重新同步來設定 Wi-Fi 設定檔。 配置完成後,您可以將這些配置檔與可用的無線網路相關聯以建立連接。 Cisco Wireless Phone 9821 最多支援四個已配置的 Wi-Fi 設定檔。
此設定檔包含電話使用 Wi-Fi 連接至電話伺服器所需的參數。 創建和使用 Wi-Fi 設定檔時,您或您的使用者無需為單個電話配置無線網路。
Wi-Fi 設定檔可讓您防止或限制使用者在電話上變更 Wi-Fi 組態。
我們建議您使用具有啟用加密協定的安全配置檔,以便在使用 Wi-Fi 設定檔時保護金鑰和密碼。
設定電話以在安全性模式下使用 EAP-FAST 驗證方法時,您的使用者需要單獨的憑證才能連接到存取點。
| 1 |
存取電話網頁。 |
| 2 |
選擇。 |
| 3 |
在 Wi-Fi 配置檔 (n) 部分中,如下表 Wi-Fi 配置檔的參數中所述設置參數。 Wi-Fi 設定檔配置也可供用戶登錄使用。
|
| 4 |
按一下提交所有變更。 |
Wi-Fi 設定檔的參數
下表定義了電話網頁 System Tab 下 Wi-Fi Profile (n) 區段 中各參數 的功能與用法。 它也定義新增至電話設定檔 (cfg.XML) 中以設定參數的字串之語法。
| 參數 | 描述 |
|---|---|
| 網路名稱 | 讓您為將顯示在電話上的 SSID 輸入名稱。 多個配置檔可以具有具有相同網路名稱和不同安全模式的網路名稱。 請執行下列一項操作:
預設值:空 |
| 安全性模式 | 允許您選擇用於保護對 Wi-Fi 網路的存取的身份驗證方法。 根據您所選擇的方法,將會出現一個密碼欄位,以便您可以提供加入此 Wi-Fi 網路所需的憑證。 請執行下列一項操作:
預設:無 |
| Wi-Fi 使用者 ID | 可讓您為網路設定檔輸入使用者 ID。 當您將安全性模式設定為「自動」、EAP-FAST 或 EAP-PEAP 時,此欄位可用。 此為必填欄位,長度上限為 32 個英數字元。 請執行下列一項操作:
預設值:空 |
| Wi-Fi 密碼 | 可讓您輸入指定的 Wi-Fi 使用者 ID 的密碼。 請執行下列一項操作:
預設值:空 |
| 頻帶 | 允許您選擇 WLAN 使用的無線信號頻段。 請執行下列一項操作:
預設值:自動 |
| 憑證選擇 | 允許您為無線網路中的證書初始註冊和證書續訂選擇證書類型。 此程式僅適用於 802.1X 驗證。 請執行下列一項操作:
預設值:原廠安裝 |
| 控制模式 | 控制是否允許使用者配置 Wi-Fi 設定檔。 請執行下列一項操作:
預設值:允許 |
| 啟用 | 控制是否啟用 Wi-Fi 配置檔。 請執行下列一項操作:
預設值:是 |
| 設定檔名稱 | 讓您輸入將在電話上顯示的設定檔的名稱。 請執行下列一項操作:
預設值:設定檔 1 |
| PSK 複雜密碼 | 當安全性模式設定為 PSK 時,允許您輸入 PSK 密碼。 請執行下列一項操作:
預設值:允許 |
有線網路的 802.1X 身份驗證
Cisco 無線電話 9821 支援有線網络的 802.1X 身份驗證。 當電話透過支援的 USB 至乙太網路介面卡連接至桌上型充電器時,通常會在自動設定 期間 使用此方法。
支援有線網路上的 802.1X 身份驗證需要以下幾個元件:
-
Cisco IP 電話︰電話發起存取網路的請求。 Cisco IP 電話包含 802.1X 要求。 此要求允許網路管理員控制 IP 電話與 LAN 交換器連接埠的連接。 最新版電話 802.1X 要求使用 EAP-FAST 與 EAP-TLS 選項進行網路驗證。
-
身份驗證伺服器:身份驗證伺服器和交換機都必須使用 RADIUS 共用密鑰進行配置。
-
交換器:交換器必須支援 802.1X,以便它可以充當驗證器並在電話和驗證伺服器之間中繼 EAP 訊息。 交換完成後,交換器同意或拒絕電話存取網路。
Cisco IP 電話與 Cisco Catalyst 交換器通常使用 Cisco Discovery Protocol (CDP) 來相互識別及確定各項參數,例如 VLAN 分配與線內電源要求。
您需執行下列動作來設定 802.1X。
-
配置 CDP/LLDP 語音 VLAN 旁路。
-
在為電話上的有線網路啟用 802.1X 驗證之前,請先設定驗證伺服器和交換器。
-
設定語音 VLAN:由於 802.1X 標準不考慮 VLAN,您應根據交換器支援情況來進行此設定。
- 已啟用:如果您使用的是支援多域身份驗證的交換機,則可以將其配置為使用語音 VLAN。
- 已停用:若交換器不支援多網域驗證,則停用語音 VLAN,並考慮將通訊埠指定到原生 VLAN。
-
Cisco Wireless Phone 9821 的 PID 前綴與其他 Cisco 電話的前綴不同。 若要讓您的電話透過 802.1X 驗證,請設定 Radius· 使用者名參數以包含您的 Cisco 無線電話 9821。
例如,Cisco Wireless Phone 9821 的 PID 為 WP-9821。 您可以設定 半徑· 在以下兩個部分中,使用者名以
WP開頭或包含 WP: -
為電話上的有線網路啟用 802.1X 身份驗證
請按照以下步驟為電話上的有線網路啟用 802.1X 身份驗證。 請注意,Wi-Fi 的 802.1X 身份驗證預設處於啟用狀態,無需手動配置。
| 1 |
存取設定 |
| 2 |
如有提示,請輸入密碼以存取「 設定 」功能表。 您可以從管理員處取得密碼。 |
| 3 |
選擇 ”。 |
| 4 |
突出顯示設備 身份驗證 ,然後按 開。 |
在電話網頁上為有線網路啟用 802.1X 身份驗證
啟用有線網路的 802.1X 驗證後,電話將使用 802.1X 驗證從乙太網 LAN 連接埠請求網路存取。 停用有線網路的 802.1X 驗證時,電話將使用 Cisco Discovery Protocol (CDP) 來取得 VLAN 及網路存取權限。 請注意,Wi-Fi 的 802.1X 身份驗證預設處於啟用狀態,無需手動配置。
您可以選擇用於 802.1X 身份驗證的憑證 (MIC/SUDI 或 CDC)。 有關 CDC 的詳細資訊,請參閱 Cisco 無線電話 9821 上的自定義設備證書。
您可以在電話螢幕功能表上檢視交易狀態和安全設定。 有關詳細資訊,請參閱 手機上的安全設置功能表。
| 1 |
啟用 802.1X 身份驗證。 選擇。 在“ 802.1X 身份驗證 ”部分中,將“ 啟用 802.1X 身份驗證 ”參數 設置為“是”。 您也可以在設定檔中設定此參數 (cfg.XML):
有效值:是|否 預設值:否 |
| 2 |
在「802.1X 驗證 」區段的「 憑證選擇 」下拉清單中,選取下列其中一個用於 802.1X 驗證的已安裝憑證。 值選項:
您也可以在設定檔中設定此參數 (cfg.XML):
有效值:原廠安裝|定製安裝 預設值:原廠安裝 |
| 3 |
配置使用者 ID 參數,該參數將用作有線網路中 802.1X 身份驗證的標識。 僅當您使用自定義設備證書 (CDC) 進行有線 802.1X 身份驗證且 “證書選擇 ”設置為 “自定義安裝”時,此配置才適用。 您也可以在設定檔中設定此參數 (cfg.XML):
有效值:最多 127 個字元 預設值:空 該參數還支援巨集展開變數,詳見 宏擴展變數 。 如果要使用與 DHCP 選項的組合來預配使用者 ID,請參閱 通過 DHCP 選項 15 預配使用者 ID。 |
| 4 |
按一下提交所有變更。 |
電話上的安全性設定功能表
若要從電話功能表檢視安全性設定的相關資訊,請存取「設定」
應用,然後選擇 。 資訊的可用性取決於組織中的網路設置。
|
參數 |
選項 |
預設值 |
描述 |
|---|---|---|---|
|
裝置驗證 |
開啟 關閉 |
關閉 |
在電話上啟用或停用 802.1X 驗證。 參數設定可以在手機的現成 (OOB) 註冊後保留。 |
|
交易狀態 | 已停用 |
顯示 802.1X 驗證的狀態。 狀態可以是 (但不限於):
| |
|
通訊協定 | None |
顯示用於 802.1X 驗證的 EAP 方法。 協定可以是 EAP-FAST 或 EAP-TLS。 | |
|
使用者憑證類型 |
製造安裝 定製安裝 |
製造安裝 |
在初始註冊和證書續訂期間為 802.1X 身份驗證選擇證書。
只有當啟用了裝置驗證 時 ,此參數才會出現在電話上。 |
變更使用者與管理員密碼
初次註冊通話控制系統或恢復出廠設定後,您在首次存取電話管理網頁時,必須同時設定使用者與管理員密碼。 您可以隨時更新這些憑證以維護裝置安全性。
有效的密碼規則包括:
- 密碼至少須包含 8 到 127 個字元。
- 大寫字母、小寫字母、數字和特殊字元的組合 (四種類型中的三種)。
- 不允許空格。
| 1 |
存取電話管理網頁。 |
| 2 |
選擇。 |
| 3 |
(選用)在“ 系統配置 ”部分,將“ 顯示密碼警告 ”參數設置為 “是”,然後按兩下“提交所有更改” 。 您也可以啟用電話配置檔中的參數 (cfg.XML)。
預設值:是 選項:是|不 若參數設定為 「否」,則密碼警告不會顯示在電話螢幕上。 |
| 4 |
找到參數 用戶密碼 或 管理員密碼,然後按下 參數旁邊的更改密碼 。 |
| 5 |
在「舊密碼 」欄位中 輸入目前的使用者密碼。 |
| 6 |
在「新密碼」欄位中 輸入新密碼 。 如果新密碼不符合有效的密碼規則,則設置將被拒絕。 |
| 7 |
按一下遞交。 在您設定使用者密碼後,此參數會在電話組態 XML 檔案(cfg.XML 中顯示以下項目:
|
為客戶端和伺服器設定最低 TLS 版本
默認情況下,客戶端和伺服器的最低 TLS 版本為 1.2。 這意味著客戶端和伺服器接受與 TLS 1.2 或更高版本建立連接。 用戶端和伺服器支援的最大 TLS 版本為 1.3。 配置后,最低 TLS 版本將用於 TLS 用戶端和 TLS 伺服器之間的協商。
您可以分別為客戶端和伺服器設置 TLS 的最低版本,例如 1.1、1.2 或 1.3。
開始之前
確保 TLS 伺服器支援設定的最低 TLS 版本。 您可以洽詢通話控制系統的管理員。
| 1 |
存取電話管理網頁。 |
| 2 |
選擇。 |
| 3 |
在“安全設置”部分中 ,配置參數 TLS 用戶端最低版本 。
您也可以在設定檔中設定此參數 (cfg.XML): <TLS_Client_Min_Version ua =“na”>TLS 1.2</TLS_Client_Min_Version>
允許的值:TLS 1.1、TLS1.2 和 TLS 1.3。 預設值:TLS 1.2 |
| 4 |
在“安全設置”部分中 ,配置參數 TLS 伺服器最低版本 。 Webex Calling 不支援 TLS 1.1。
您也可以在設定檔中設定此參數 (cfg.XML): <TLS_Server_Min_Version ua =“na”>TLS 1.2</TLS_Server_Min_Version>
允許的值:TLS 1.1、TLS1.2 和 TLS 1.3。 預設值:TLS 1.2 |
| 5 |
按一下提交所有變更。 |
為媒體平面安全協商啟用客戶端啟動的模式
為了保護媒體作業階段,您可以將電話配置為啟動與伺服器的媒體平面安全協商。 安全機制遵循 RFC 3329 及其擴展草案媒體安全機制名稱 (參見 https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2) 中所述的標準。 電話與伺服器之間的協商傳輸可以使用 SIP 協定而非 UDP, TCP, 和 TLS。 您可以限制僅當信令傳輸協定為 TLS 時才應用媒體平面安全協商。
| 參數 | 描述 |
|---|---|
|
MediaSec 請求 |
指定電話是否起始與伺服器的媒體平面安全協商。 請執行下列一項操作:
允許的值:是|否
預設值:否 |
|
僅限 TLS 上的 MediaSec |
指定應用媒體平面安全協商的信令傳輸協定。 將此欄位設定為「 是」之前,請確認訊號傳輸通訊協定為 TLS。 請執行下列一項操作:
允許的值:是|否
預設值:否 |
| 1 |
存取電話管理網頁。 |
| 2 |
選擇。 |
| 3 |
在 SIP 設定 部分中,如上表中所定義,設定 “MediaSec 請求 ”和 “超過 TLS MediaSec ”欄位。 |
| 4 |
按一下提交所有變更。 |