由于范围内的所有 WLAN 设备均可接收所有其他 WLAN 流量，因此安全语音通信在 WLAN 中至关重要。为确保入侵者不会操纵或拦截语音通信，Cisco SAFE 安全体系结构支持 Cisco IP 电话和 Cisco Aironet AP。有关网络中安全性的详细信息，请参阅 http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html。

Cisco 无线 IP 电话解决方案提供无线网络安全，通过使用无线 Cisco IP 电话支持的以下验证方法，阻止未经授权的登录和有危害的通信：

• 开放式验证：任何无线设备均可在开放式系统中请求验证。收到请求的 AP 可允许任何请求方或仅允许用户列表中找到的请求方进行验证。无线设备与 AP 之间的通信可以是非加密通信，或者设备可使用有线等效加密 (WEP) 密钥来提供安全性。使用 WEP 的设备仅尝试通过使用 WEP 的 AP 进行验证。

• 通过安全隧道的可扩展验证协议灵活验证 (EAP-FAST) 验证：此客户端服务器安全体系结构在 AP 与 RADIUS 服务器（例如，Cisco 访问控制服务器 (ACS)）之间的传输层安全 (TLS) 隧道内加密 EAP 事务。

  TLS 隧道使用受保护的访问凭证 (PAC) 进行客户端（电话）与 RADIUS 服务器之间的验证。服务器将授权 ID (AID) 发送给客户端（电话），后者会选择适当的 PAC。客户端（电话）将返回 PAC - 对 RADIUS 服务器不透明。服务器通过主密钥解密 PAC。现在，两个终端均包含 PAC 密钥，且 TLS 隧道已创建。EAP-FAST 支持自动 PAC 部署，但您必须在 RADIUS 服务器上启用该功能。

  注	在 Cisco ACS 中，默认情况下，PAC 将在一周后过期。如果电话有过期的 PAC，则电话获取新 PAC 时，与 RADIUS 服务器的验证要花较长的时间。为避免 PAC 部署延迟，在 ACS 或 RADIUS 服务器上，将 PAC 过期期限设置为 90 天或更长时间。

• 可扩展身份验证协议-传输层安全 (EAP-TLS) 验证：EAP-TLS 需要客户端证书用于身份验证和网络访问。对于有线 EAP-TLS，客户端证书可以是电话的 MIC 或 LSC。LSC 是有线 EAP-TLS 的建议客户端身份验证证书。

• 受保护的可扩展验证协议 (PEAP)：客户端（电话）与 RADIUS 服务器之间 Cisco 专有的、基于密码的相互验证方案。Cisco IP 电话可以使用 PEAP 与无线网络进行验证。支持 PEAP-MSCHAPV2 和 PEAP-GTC 验证方法。

以下验证方案使用 RADIUS 服务器管理验证密钥：

• WPA/WPA2：使用 RADIUS 服务器信息生成唯一的密钥进行验证。由于这些密钥在中央 RADIUS 服务器生成，因此 WPA/WPA2 提供比存储在 AP 和电话上的 WPA 预共享密钥更高的安全性。

• 快速安全漫游：使用 RADIUS 服务器和无线域服务器 (WDS) 信息管理和验证密钥。WDS 为启用 CCKM 的客户端设备创建安全凭证缓存以快速安全地重新验证。Cisco 8800 系列 IP 电话支持 802.11r (FT)。同时支持 11r (FT) 和 CCKM 以便快速安全漫游。但思科强烈建议使用空中 802.11r (FT) 方法。

使用 WPA/WPA2 和 CCKM 时，加密密钥不在电话上输入，而是在 AP 和电话之间自动获得。但必须在每部电话上输入用于验证的 EAP 用户名和密码。

为确保语音通信安全，Cisco IP 电话支持 WEP、TKIP 和高级加密标准 (AES) 进行加密。这些机制用于加密时，信令 SIP 信息包和语音实时传输协议 (RTP) 信息包在 AP 与 Cisco IP 电话之间加密。

WEP

在无线网络中使用 WEP 时，使用开放或共享密钥验证在 AP 进行验证。电话上设置的 WEP 密钥必须与在 AP 配置的 WEP 密钥匹配，方可成功连接。Cisco IP 电话支持使用 40 位加密或 128 位加密的 WEP 密钥并在电话与 AP 之间保持静态。

EAP 和 CCKM 验证可以使用 WEP 密钥用于加密。RADIUS 服务器管理 WEP 密钥并在验证后将唯一的密钥传递给 AP 用于加密所有语音信息包；因此，这些 WEP 密钥可以通过每次验证进行更改。

TKIP

WPA 和 CCKM 使用相对于 WEP 有一些改进的 TKIP 加密。TKIP 提供每个信息包的密钥加密和更长的初始化向量 (IV) 来强化加密。此外，消息完整性检查 (MIC) 可确保加密的信息包不会被更改。TKIP 消除了有助于入侵者解密 WEP 密钥的 WEP 可预测性。

AES

用于 WPA2 验证的加密方法。此国家加密标准使用对称算法，加密和解密具有相同的密钥。AES 使用大小为 128 位最小值的密码阻止链 (CBC) 加密，其支持的密钥大小为 128、192 和 256 位。Cisco IP 电话支持 256 位密钥大小。

注	Cisco IP 电话不支持具有 CMIC 的 Cisco 密钥完整性协议 (CKIP)。

验证和加密方案在无线 LAN 内设置。VLAN 在网络和 AP 中配置，指定验证和加密的不同组合。SSID 与 VLAN 以及特定验证和加密方案关联。要使无线客户端设备成功验证，必须配置与 AP 和 Cisco IP 电话上其验证和加密方案相同的 SSID。

某些验证方案需要特定类型的加密。通过开放式验证，您可以使用静态 WEP 进行加密以实现增强的安全性。但如果您使用共享密钥验证，则必须设置静态 WEP 用于加密，且必须在电话上配置 WEP 密钥。

注	使用 WPA 预共享密钥或 WPA2 预共享密钥时，预共享密钥必须在电话上静态设置。这些密钥必须与 AP 上的密钥匹配。 Cisco IP 电话不支持自动 EAP 协商；要使用 EAP-FAST 模式，您必须指定它。

下表提供 Cisco IP 电话支持的 Cisco Aironet AP 上配置的验证和加密方案列表。该表显示对应 AP 配置的电话的网络配置选项。

有关在 AP 上配置验证和加密方案的详细信息，请参阅适用于您的型号和版本的《Cisco Aironet 配置指南》，位于以下 URL：

http://www.cisco.com/cisco/web/psa/configure.html?mode=prod&level0=278875243

如果您的无线网络使用 WEP 加密，并且您将验证模式设置为“开放式 + WEP”，则必须输入 ASCII 或十六进制 WEP 密钥。

电话的 WEP 密钥必须与分配给接入点的 WEP 密钥匹配。Cisco IP 电话和 Cisco Aironet 接入点支持 40 位和 128 位加密密钥。

从 ACS 服务器导出根 CA 证书。有关其他信息，请参阅 CA 或 RADIUS 文档。