Cisco IP 電話のセキュリティ

Cisco IP 電話 セキュリティの概要

セキュリティ機能は、電話機の ID やデータへの脅威など、複数の脅威を防止します。 セキュリティ機能は、電話機と Cisco Unified Communications Manager サーバ間に認証された通信ストリームを確立し、これを維持するとともに、電話機がデジタル署名されたファイルのみ使用することを確認します。

Cisco Unified Communications Manager リリース 8.5(1) 以降のはデフォルトでセキュリティ機能が搭載されており、CTL クライアントを実行しなくても、Cisco IP 電話 に次のセキュリティ機能が提供されます。

  • 電話機の設定ファイルの署名

  • 電話機の設定ファイルの暗号化

  • HTTPS with Tomcat および他の Web サービスの利用


(注)  

シグナリングおよびメディア機能を保護するには、引き続き、CTL クライアントを実行し、ハードウェア eToken を使用する必要があります。

セキュリティ機能の詳細については、ご使用の Cisco Unified Communications Manager のマニュアルを参照してください。

認証局プロキシ関数(CAPF)に関連付けられた必要なタスクの実行後、ローカルで有効な証明書(LSC)が電話機にインストールされます。 LSC は Cisco Unified Communications Manager の管理ページから設定できます。 詳細については、お使いの Cisco Unified Communications Manager リリースのマニュアルを参照してください。

WLAN 認証を使用する EAP-TLS のユーザ証明書として LSC を使用することはできません。

あるいは、電話機の [セキュリティのセットアップ(Security Setup)] メニューから LSC のインストールを開始することもできます。 このメニューでは、LSC の更新および削除も実行できます。

Cisco IP 電話 7800 シリーズは、連邦情報処理標準(FIPS)に準拠します。 正常に機能するには、FIPS モードで 2048 ビット以上の RSA キー サイズが必要です。 RSAサーバ証明書が2048ビット以上でない場合、電話機はCisco Unified Communications Managerに登録されず、[電話機を登録できませんでした。(Phone failed to register.)] [証明書のキー サイズは FIPS に準拠していません(Cert key size is not FIPS compliant)]が表示されます。

FIPS モードで秘密キー(LSC または MIC)を使用することはできません。

2048 ビットより小さい LSC がすでに電話機にある場合、FIPS を有効にする前に、LSC キー サイズを 2048 ビット以上に更新しておく必要があります。

電話ネットワークのセキュリティ強化機能

強化されたセキュリティ環境での動作は、Cisco Unified Communications Manager 11.5(1) 以降のバージョンで有効にできます。 これらの強化機能により、電話ネットワークが、一連の厳密なセキュリティ管理とリスク管理の制御下で動作するようになり、自分自身とユーザが保護されます。

強化されたセキュリティ環境には、次の機能が含まれています。

  • 連絡先検索認証。

  • リモート監査ロギングのデフォルト プロトコルとしての TCP。

  • FIPS モード。

  • クレデンシャル ポリシーの改善。

  • デジタル署名のための SHA-2 ファミリ ハッシュのサポート。

  • 512 および 4096 ビットの RSA キー サイズのサポート。


(注)  
Cisco IP 電話には、限られた数の Identity Trust List(ITL)ファイルのみ保存できます。 Cisco Unified Communications Manager が電話機に送信できるファイルの数を制限する必要があるため、電話機の ITL ファイルは最大 64K に制限されています。

SIP OAuth サポート

SIP Oauth モードでは、電話認証に OAuth 更新トークンを使用できます。

Cisco Unified Communications Manager(Unified CM)は、電話から提示されたトークンを確認し、認証された相手にのみ構成ファイルを提供します。 Unified CM クラスタおよび Cisco IP 電話で OAuth ベースの認証を有効にすると、SIP 登録中の OAuth トークン検証が完了します。

Cisco IP 電話は、プロキシ トリビアル ファイル転送プロトコル(TFTP)および Cisco Unified Survivable Remote Site Telephony(SRST)で SIP OAuth 認証をサポートします。

  • TFTP 要件での SIP OAuth:

    • Cisco Unified Communications Managerリリース 14.0(1)SU1 以降

    • Cisco IP 電話ファームウェアリリース 14.1 (1) 以降


    (注)  

    プロキシ TFTP およびプロキシ TFTP 用の OAuth は、Mobile Remote Access(MRA)ではサポートされません。

  • SRST 要件での SIP OAuth:

    • Cisco Unified Communications Manager 14.0(1)SU1 以降

    • Cisco IP 電話ファームウェアリリース 14.2 (1) 以降

    • Cisco SRST ソフトウェアリリース:IOS XE 17.8.1a 以降

    • Cisco SRST ハードウェアモデル:ISR1100、ISR43xx、ISR44xx、Catalyst 8200、または Catalyst 8300 プラットフォーム

SIP OAuth の設定方法については、Cisco Unified Communications Manager セキュリティガイド』の「SIP OAuth モードを参照してください。

電話機のセキュリティに関する詳細情報の入手先

セキュリティ設定に関するその他の情報については、以下を参考にしてください。

電話機での現在のセキュリティ機能の表示

セキュリティ機能と、Cisco Unified Communications Manager および Cisco IP 電話 セキュリティの詳細については、『Cisco Unified Communications Manager Security Guide』を参照してください。

手順

ステップ 1

[アプリケーション(Applications)] を押します。

ステップ 2

[管理者設定(Admin Settings)] > [セキュリティ設定(Security Setup)] を選択します。

ほとんどのセキュリティ機能は、電話機に証明書信頼リスト(CTL)がインストールされている場合にだけ使用できます。

セキュリティ プロファイルの表示

Cisco Unified Communications Manager をサポートしている Cisco IP 電話 は、すべてセキュリティ プロファイルを使用します。このプロファイルは、電話機がセキュリティ保護、認証、または暗号化の対象になるかどうかを定義するものです。 セキュリティ プロファイルの設定、およびプロファイルの電話機への適用については、ご使用の Cisco Unified Communications Manager リリースのマニュアルを参照してください。

手順

ステップ 1

[Cisco Unified CMの管理(Cisco Unified Communications Manager Administration)] で、[システム(System)] > [セキュリティ(Security)] > [電話セキュリティプロファイル(Phone Security Profile)] の順に選択します。

ステップ 2

[セキュリティ モード(Security Mode)] 設定を参照してください。

サポート対象のセキュリティ機能

次の表に、Cisco IP 電話 7800 シリーズでサポートされるセキュリティ機能の概要を示します。 これらの機能と、Cisco Unified Communications Manager および Cisco IP 電話セキュリティの詳細については、ご使用の Cisco Unified Communications Manager リリースのマニュアルを参照してください。

表 1. セキュリティ機能の概要

機能

説明

イメージ認証(Image authentication)

ファームウェア イメージが電話機にロードされる前に、署名付きバイナリ ファイル(拡張子 .sbn)を使用して、ファームウェア イメージに対する改ざんを防止します。 イメージが改ざんされると、電話機は認証プロセスに失敗し、新しいイメージを拒否します。

カスタマーサイト証明書のインストール(Customer-site certificate installation)

各 Cisco IP 電話は、デバイス認証に一意の証明書を必要とします。 電話機には製造元でインストールされる証明書(MIC)が含まれますが、追加のセキュリティについては、Cisco Unified Communications Manager の管理ページで、認証局プロキシ関数(CAPF)を使用して証明書をインストールするように指定できます。 あるいは、電話機の [セキュリティ設定(Security Configuration)] メニューからローカルで有効な証明書(LSC)をインストールします。

[デバイス認証(Device authentication)]

Cisco Unified Communications Manager サーバと電話機間で、一方のエンティティが他方のエンティティの証明書を受け入れるときに行われます。 電話機と Cisco Unified Communications Manager の間でセキュアな接続を確立するかどうかを判別し、必要に応じて TLS プロトコルを使用してエンティティ間にセキュアなシグナリング パスを作成します。 Cisco Unified Communications Manager で電話機を認証できない限り、Cisco Unified Communications Manager ではそれらの電話機は登録されません。

ファイル認証(File authentication)

電話機がダウンロードするデジタル署名ファイルを検証します。 ファイルの作成後にファイルの改ざんが発生していないことを確認するため、電話で署名が検証されます。 認証できないファイルは、電話機のフラッシュ メモリに書き込まれません。 電話機はこのようなファイルを拒否し、処理を続行しません。

シグナリング認証(Signaling Authentication)

TLS プロトコルを使用して、シグナリング パケットが転送中に改ざんされていないことを検証します。

Manufacturing Installed Certificate(製造元でインストールされる証明書)

各 Cisco IP 電話には、固有の製造元でインストールされる証明書(MIC)が内蔵されており、デバイス認証に使用されます。 MIC は、電話機に固有の永続的な ID 証明であり、Cisco Unified Communications Manager ではそれを利用して電話機を認証します。

セキュアな SRST リファレンス(Secure SRST reference)

セキュリティ目的で SRST リファレンスを設定してから、Cisco Unified Communications Manager Administration で従属デバイスをリセットすると、TFTP サーバーは電話機の cnf.xml ファイルに SRST 証明書を追加し、そのファイルを電話機に送信します。 その後、セキュアな電話機は TLS 接続を使用して、SRST 対応ルータと相互に対話します。

メディア暗号化

SRTP を使用して、サポートされるデバイス間のメディア ストリームがセキュアであることを証明し、意図したデバイスのみがデータを受け取り、読み取れるようにします。 デバイスのメディアプライマリキーペアの作成、デバイスへのキーの配布、キーが転送される間のキーの配布のセキュリティの確保などが含まれます。

CAPF(Certificate Authority Proxy Function)

電話機に非常に高い処理負荷がかかる、証明書生成手順の一部を実装します。また、キーの生成および証明書のインストールのために電話機と対話します。 電話機の代わりに、お客様指定の認証局に証明書を要求するよう CAPF を設定できます。または、ローカルで証明書を生成するように CAPF を設定することもできます。

セキュリティ プロファイル(Security profiles)

電話機がセキュリティ保護または暗号化の対象になるかどうかを定義します。

暗号化された設定ファイル(Encrypted configuration files)

電話機の設定ファイルのプライバシーを確保できるようにします。

電話機の Web サーバ機能の無効化(オプション)

電話機の多様な操作統計情報を表示する Web ページへのアクセスを禁止できます。

電話のセキュリティ強化(Phone hardening)

Cisco Unified Communications Manager Administration から制御する追加セキュリティオプションです。

  • PC ポートの無効化
  • PC ボイス VLAN の無効化
  • 電話機の Web ページへのアクセスを無効にする

(注)  

 

[PC ポートを無効にする(PC Port Disabled)]、[GARP を使う(GARP Enabled)]、および [ボイス VLAN を使う(Voice VLAN enabled)] の現在の設定値を表示するには、電話機の [設定(Configuration)] メニューを確認できます。

802.1X 認証

Cisco IP 電話は 802.1X 認証を使用して、ネットワークへのアクセスの要求およびネットワーク アクセスができます。

AES 256 暗号化(AES 256 Encryption)

Cisco Unified Communications Manager リリース 10.5(2)以降の 以降に接続している電話機は、シグナリングとメディア暗号化に関する TLS および SIP の AES 256 暗号化をサポートします。 これにより電話機は、SHA-2(Secure Hash Algorithm)標準および Federal Information Processing Standard(FIPS)に準拠する AES-256 ベースの暗号を使用して TLS 1.2 接続を開始し、サポートすることができます。 新しい暗号は次のとおりです。

  • TLS 接続用:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • sRTP 用:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

詳細については、Cisco Unified Communications Manager のマニュアルを参照してください。

楕円曲線デジタル署名アルゴリズム(ECDSA)証明書

コモン クライテリア(共通基準、CC)認証の一部として、バージョン 11.0 の ECDSA 証明書が Cisco Unified Communications Manager によって追加されました。 これはバージョン CUCM 11.5 およびそれ以降からのすべての Voice Operating System(VOS)製品に影響を与えます。

重要な証明書のローカルでのセットアップ

この作業は、認証文字列方式を使用した LSC の設定に適用されます。

始める前に

次の点を調べて、対象の Cisco Unified Communications Manager および認証局プロキシ関数(CAPF)のセキュリティ設定が完了していることを確認してください。

  • CTL ファイルまたは ITL ファイルに CAPF 証明書が含まれていること。

  • Cisco Unified Communications オペレーティング システムの管理ページで、CAPF 証明書がインストールされていることを確認してください。

  • CAPF が実行および設定されていること。

これらの設定の詳細については、特定の Cisco Unified Communications Manager リリースのマニュアルを参照してください。

手順

ステップ 1

CAPF の設定時に設定された CAPF 認証コードを入手します。

ステップ 2

電話機から、[アプリケーション(Applications)]を押します。

ステップ 3

[管理設定(Admin Settings)] > [セキュリティ設定(Security Setup)]を選択します。

(注)  

 

Cisco Unified Communications Manager Administration の [電話機の設定(Phone Configuration)] ウィンドウにある設定アクセスフィールドを使用すると、[設定(Settings)] メニューへのアクセスを制御できます。

ステップ 4

[LSC]を選択し、[選択(Select)]または [更新(Update)]を押します。

認証文字列を要求するプロンプトが電話機に表示されます。

ステップ 5

認証コードを入力し、[送信(Submit)]を押します。

CAPF の設定に応じて、電話機で LSC のインストール、更新、または削除が開始されます。 この作業の間、[セキュリティ設定(Security Configuration)] メニューの [LSC] オプション フィールドに一連のメッセージが表示されるので、進捗状況をモニタできます。 手順が完了すると、電話機に [インストール済み(Installed)] または [未インストール(Not Installed)] と表示されます。

LSC のインストール、更新、または削除プロセスは、完了するのに長時間かかることがあります。

電話機のインストール手順が正常に実行されると、「インストール済み(Installed )」メッセージが表示されます。 電話機に「未インストール(Not Installed)」と表示された場合は、認証文字列に誤りがあるか、電話機のアップグレードが有効になっていない可能性があります。 CAPF 操作で LSC を削除し、電話機に「未インストール(Not Installed)」と表示された場合、それは操作が成功したことを示しています。 CAPF サーバはこのエラー メッセージをログに記録します。 ログを見つけ、エラー メッセージの意味を理解するには、CAPF サーバ ドキュメントを参照してください。

FIPS モードの有効化

手順

ステップ 1

Cisco Unified Communications Manager Administration で、[デバイス(Device)] > [電話(Phone)] を選択し、電話機を見つけます。

ステップ 2

[Product Specific Configuration] 領域まで移動します。

ステップ 3

[FIPS モード(FIPS Mode)] フィールドを [有効(Enabled)] に設定します。

ステップ 4

[設定の適用(Apply Config)]を選択します。

ステップ 5

保存を選択します。

ステップ 6

電話機を再起動します。

電話コールのセキュリティ

電話機にセキュリティを実装している場合は、電話スクリーンに表示されるアイコンによって、セキュアな電話コールや暗号化された電話コールを識別できます。 また、コールの開始時にセキュリティ トーンが再生される場合は、接続された電話機がセキュアであり保護されているかどうかも判断できます。

セキュアなコールでは、すべてのコール シグナリングとメディア ストリームが暗号化されます。 セキュアなコールは高度なレベルのセキュリティを提供し、コールに整合性とプライバシーを提供します。 処理中のコールが暗号化されているときは、電話スクリーンのコール時間タイマーの右側にあるコール進捗アイコンが、次のアイコン に変化します。


(注)  

コールが PSTN などの非 IP コール レッグを経由してルーティングされる場合、コールが IP ネットワーク内で暗号化されており、鍵のアイコンが関連付けられていても、そのコールはセキュアではないことがあります。

セキュアなコールではコールの開始時にセキュリティ トーンが再生され、接続先の電話機もセキュアな音声を送受信していることを示します。 セキュアでない電話機にコールが接続されると、セキュリティ トーンは再生されません。


(注)  

セキュアなコールは、2 台の電話機の間でサポートされます。 セキュアな会議ブリッジにより、セキュアな会議、Cisco Extension Mobility、および共有回線を設定できます。

Cisco Unified Communications Manager で電話機をセキュア(暗号化および信頼された)として設定した場合、その電話機には"保護"ステータスを割り当てることができます。 その後、必要に応じて、保護された電話機は、コールの初めに通知トーンを再生するように設定できます。

  • [保護されたデバイス(Protected Device)]:セキュアな電話機のステータスを保護に変更するには、Cisco Unified Communications Manager Administration の [電話機の設定(Phone Configuration)] ウィンドウにある [保護されたデバイス(Protected Device)] チェックボックスをオンにします([デバイス(Device)] > [電話機(Phone)])。

  • [セキュア インディケーション トーンの再生(Play Secure Indication Tone)]:保護された電話機で、セキュアまたは非セキュアな通知トーンの再生を有効にするには、[セキュア インディケーション トーンの再生(Play Secure Indication Tone)] 設定を [はい(True)] に設定します。 デフォルトでは、[セキュア インディケーション トーンの再生(Play Secure Indication Tone)] は [いいえ(False)] に設定されます。 このオプションは、Cisco Unified Communications Manager Administration([システム(System)] > [サービスパラメータ(Service Parameters)])で設定します。 サーバを選択してから、Unified Communications Manager サービスを選択します。 [サービス パラメータ設定(Service Parameter Configuration)] ウィンドウで、[機能 - セキュア トーン(Feature - Secure Tone)] 領域内にあるオプションを選択します。 デフォルトは False です。

セキュアな会議コールの特定

セキュアな会議コールを開始し、参加者のセキュリティ レベルをモニタすることができます。 セキュアな電話会議は、次のプロセスに従って確立されます。

  1. ユーザがセキュアな電話機で会議を開始します。

  2. Cisco Unified Communications Manager が、コールにセキュアな会議ブリッジを割り当てます。

  3. 参加者が追加されると、Cisco Unified Communications Manager は、各電話機のセキュリティ モードを検証し、セキュアな会議のレベルを維持します。

  4. 電話機に会議コールのセキュリティ レベルが表示されます。 セキュアな会議では、電話機の画面の [会議(Conference)] の右側にセキュア アイコン が表示されます。


(注)  

セキュアなコールは、2 台の電話機の間でサポートされます。 保護された電話機では、セキュアなコールが設定されている場合、会議コール、シェアド ライン、エクステンション モビリティなどの一部の機能を使用できません。

次の表は、発信側の電話機のセキュリティ レベル、参加者のセキュリティ レベル、およびセキュアな会議ブリッジの可用性に応じた、会議のセキュリティ レベルの変更に関する情報を示しています。

表 2. 会議コールのセキュリティの制限事項

発信側の電話機のセキュリティ レベル

使用する機能

参加者のセキュリティ レベル

動作結果

非セキュア

会議

セキュア

非セキュアな会議ブリッジ

非セキュアな会議

セキュア

会議

少なくとも 1 台のメンバーが非セキュア。

セキュアな会議ブリッジ

非セキュアな会議

セキュア

会議

セキュア

セキュアな会議ブリッジ

セキュアな暗号化レベルの会議

非セキュア

ミートミー

最小限のセキュリティ レベルが暗号化。

発信側は「セキュリティ レベルを満たしていません。コールを拒否します(Does not meet Security Level, call rejected)」というメッセージを受け取る。

セキュア

ミートミー

最小限のセキュリティ レベルは非セキュア。

セキュアな会議ブリッジ

会議はすべてのコールを受け入れる。

セキュアな電話コールの識別

ユーザの電話機および相手側の電話機でセキュアなコールが設定されている場合にセキュアなコールが確立されます。 相手側の電話機は、同じ Cisco IP ネットワーク内にあっても、Cisco IP ネットワーク以外のネットワークにあってもかまいません。 セキュアなコールは 2 台の電話機間でのみ形成できます。 セキュアな会議ブリッジのセットアップ後、電話会議ではセキュアなコールがサポートされます。

セキュアなコールは、次のプロセスに従って確立されます。

  1. ユーザがセキュアな電話機(セキュリティ モードで保護された電話機)でコールを開始します。

  2. 電話スクリーンにセキュア アイコン が表示されます。 このアイコンは、この電話機がセキュアなコール用に設定されていることを示しますが、接続する他の電話機もセキュアであるという意味ではありません。

  3. そのコールが別のセキュアな電話機に接続された場合は、ユーザにセキュリティ トーンが聞こえ、通話の両端が暗号化および保護されていることを示します。 コールが非セキュアな電話機に接続された場合は、ユーザにはセキュリティ トーンが聞こえません。


(注)  

セキュアなコールは、2 台の電話機の間でサポートされます。 保護された電話機では、セキュアなコールが設定されている場合、会議コール、シェアド ライン、エクステンション モビリティなどの一部の機能を使用できません。

保護された電話機だけで、セキュアまたは非セキュアなインディケーション トーンが再生されます。 保護されていない電話機ではトーンは聞こえません。 コール中にコール全体のステータスが変化すると、それに従って通知トーンも変化し、保護された電話機は対応するトーンを再生します。

このような状況にない場合、保護された電話機はトーンを再生しません。

  • [セキュア インディケーション トーンの再生(Play Secure Indication Tone)] オプションが有効になっている場合

    • エンドツーエンドのセキュアなメディアが確立され、コール ステータスがセキュアになった場合、電話機はセキュア インディケーション トーン(間に小休止を伴う 3 回の長いビープ音)を再生します。

    • エンドツーエンドの非セキュアなメディアが確立され、コール ステータスが非セキュアになった場合、電話機は、非セキュアのインディケーション トーンを再生します(間に小休止を伴う 6 回の短いビープ音)。

[セキュア インディケーション トーンの再生(Play Secure Indication Tone)] オプションが無効になっている場合、トーンは再生されません。

802.1X 認証

Cisco IP Phones は 802.1X 認証をサポートします。

Cisco IP 電話 と Cisco Catalyst スイッチは、従来 Cisco Discovery Protocol(CDP)を使用して互いを識別し、VLAN 割り当てやインライン所要電力などのパラメータを決定します。 CDP では、ローカルに接続されたワークステーションは識別されません。 Cisco IP 電話 は、EAPOL パススルーメカニズムを提供します。 このメカニズムを使用すると、Cisco IP 電話に接続されたワークステーションは、LAN スイッチにある 802.1X オーセンティケータに EAPOL メッセージを渡すことができます。 パススルー メカニズムにより、IP フォンはネットワークにアクセスする前にデータ エンドポイントを認証する際 LAN スイッチとして動作しません。

Cisco IP 電話はまた、プロキシ EAPOL ログオフ メカニズムも提供します。 ローカルに接続された PC が IP フォンから切断された場合でも、LAN スイッチと IP フォン間のリンクは維持されるので、LAN スイッチは物理リンクの障害を認識しません。 ネットワークの完全性が脅かされるのを避けるため、IP フォンはダウンストリーム PC の代わりに EAPOL ログオフ メッセージをスイッチに送ります。これは、LAN スイッチにダウンストリーム PC の認証エントリをクリアさせます。

802.1X 認証のサポートには、次のようなコンポーネントが必要です。

  • Cisco IP 電話: 電話機は、ネットワークへのアクセス要求を開始します。 電話機には 802.1x サプリカントが含まれています。 このサプリカントを使用して、ネットワーク管理者は IP 電話と LAN スイッチ ポートの接続を制御できます。 電話機に含まれる 802.1X サプリカントの現在のリリースでは、ネットワーク認証に EAP-FAST オプションと EAP-TLS オプションが使用されています。

  • Cisco Catalyst スイッチ(またはその他のサードパーティ製スイッチ):スイッチは、オーセンティケータとして機能し、電話機と認証サーバの間でメッセージを渡すことができるように、802.1X をサポートしている必要があります。 この交換が完了した後、スイッチはネットワークへの電話機のアクセスを許可または拒否します。

802.1X を設定するには、次の手順を実行する必要があります。

  • 電話機で 802.1X 認証をイネーブルにする前に、他のコンポーネントを設定します。

  • PC ポートの設定:802.1X 標準では VLAN が考慮されないため、特定のスイッチ ポートに対してデバイスを 1 つだけ認証することを推奨します。 ただし、一部のスイッチ(Cisco Catalyst スイッチなど)はマルチドメイン認証をサポートしています。 スイッチの設定により、PC を電話機の PC ポートに接続できるかどうかが決定されます。

    • 有効:複数ドメインの認証をサポートするスイッチを使用している場合、PC ポートを有効化し、そのポートに PC を接続できます。 この場合、スイッチと接続先 PC 間の認証情報の交換をモニタするために、Cisco IP Phones はプロキシ EAPOL ログオフをサポートします。 Cisco Catalyst スイッチでの IEEE 802.1X サポートの詳細については、次の URL にある Cisco Catalyst スイッチのコンフィギュレーション ガイドを参照してください。

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • 無効:スイッチが同一ポート上の複数の 802.1X 対応デバイスをサポートしていない場合、802.1X 認証を有効化するときに PC ポートを無効にする必要があります。 このポートを無効にしないで PC を接続しようとすると、スイッチは電話機と PC の両方に対してネットワーク アクセスを拒否します。

  • ボイス VLAN の設定:802.1X 標準では VLAN が考慮されないため、ボイス VLAN の設定はスイッチのサポートに基づいて行う必要があります。

    • 有効:複数ドメインの認証をサポートするスイッチを使用している場合は、ボイス VLAN を引き続き使用できます。

    • 無効:スイッチがマルチドメイン認証をサポートしていない場合は、ボイス VLAN を無効にし、ネイティブ VLAN へのポートの割り当てを検討します。