Cisco IP 电话安全性

电话网络安全增强功能

您可以启用 Cisco Unified Communications Manager 11.5(1) 或更高版本以在增强的安全环境下运行。 这些增强功能可以使您的电话网络在严格的安全和风险管理控制下运行,以保障您和用户的安全。

增强的安全环境包括以下功能:

  • 联系人搜索身份验证。

  • 使用 TCP 作为远程审计日志记录的默认协议。

  • FIPS 模式。

  • 经过改进的凭证策略。

  • 支持数字签名使用 SHA-2 系列哈希值。

  • 支持 512 和 4096 位的 RSA 密钥大小。
Cisco IP 电话只能存储有限数量的身份信任列表 (ITL) 文件。 ITL 文件在电话上不能超出 64K 限制,因此应限制 Cisco Unified Communications Manager 发送到电话的文件数。

SIP OAuth 支持

SIP OAuth 模式允许您使用 OAuth 刷新令牌进行电话验证。

Cisco Unified Communications Manager (Unified CM) 验证端点提供的令牌,并将配置文件仅提供给授权的令牌。 在 Unified CM 群集和 Cisco IP 电话上启用基于 OAuth 的授权时,SIP 注册期间的 OAuth 令牌验证将完成。

Cisco IP 电话支持在代理简单文件传输协议 (TFTP) 和 Cisco Unified 远程电话应急呼叫 (SRST) 上进行 SIP OAuth 验证。

  • TFTP 上的 SIP OAuth 要求:

    • Cisco Unified Communications Manager 14.0(1)SU1 或更高版本

    • Cisco IP 电话固件 14.1 (1) 或更高版本

    Mobile Remote Access (MRA) 不支持代理 TFTP 以及适用于代理 TFTP 的 OAuth。

  • SRST 上的 SIP OAuth 要求:

    • Cisco Unified Communications Manager 14.0(1)SU1 或更高版本

    • Cisco IP 电话固件 14.2 (1) 或更高版本

    • Cisco SRST 软件版本:IOS XE 17.8.1a 或更高版本

    • Cisco SRST 硬件型号:ISR1100、ISR43xx、ISR44xx、Catalyst 8200 或 Catalyst 8300 平台

有关如何配置 SIP OAuth 的信息,请参阅 Cisco Unified Communications Manager 安全指南中的 SIP OAuth 模式

在哪里可以找到有关电话安全的更多信息

有关安全的其他信息,请参阅以下文档:

支持的安全功能

安全功能可防范多种威胁,包括对电话身份或数据造成的威胁。 这些功能会建立和维持电话与 Cisco Unified Communications Manager 服务器之间经验证的通讯流,并确保电话只使用数字签名的文件。

默认情况下,Cisco Unified Communications Manager 8.5(1) 版及更高版本包括安全性,这可为 Cisco IP 电话提供以下安全功能(无需运行 CTL 客户端):

  • 电话配置文件签名

  • 电话配置文件加密

  • Tomcat 和其他 Web 服务的 HTTPS


安全信令和媒体功能仍需您运行 CTL 客户端和使用硬件电子令牌。

在 Cisco Unified Communications Manager 系统中实施安全性,防止电话和 Cisco Unified Communications Manager 服务器的身份被窃、防止数据被篡改以及防止呼叫信令和媒体流被篡改。

要减轻这些威胁,Cisco IP 电话网络在电话与服务器之间建立和维护安全(加密的)通信流,以数字方式签名这些文件,然后将其传输到电话,并加密 Cisco IP 电话媒体流和呼叫信令。

本地有效证书 (LSC) 会在您执行与证书权限代理功能 (CAPF) 关联的必要任务后安装在电话上。 您可使用 Cisco Unified Communications Manager Administration 来配置 LSC,如《Cisco Unified Communications Manager 安全指南》中所述。 或者,您可在电话上从“安全设置”菜单启动 LSC 的安装。 此菜单还可用于更新或移除 LSC。

LSC 无法用作使用 WLAN 验证的 EAP-TLS 的用户证书。

电话使用电话安全性配置文件,该文件定义设备为不安全还是安全。 有关将安全性配置文件应用到电话的信息,请参阅特定 Cisco Unified Communications Manager 版本的文档。

如果您在 Cisco Unified Communications Manager Administration 中配置了安全相关的设置,电话配置文件将包含敏感信息。 为确保配置文件的私密性,您必须将其配置为加密。 有关详细信息,请参阅特定 Cisco Unified Communications Manager 版本的文档。

Cisco 8800 系列 IP 电话符合联邦信息处理标准 (FIPS) 的规定。 在 FIPS 模式下,需要使用 2048 位或更大的密钥电话才可以正常工作。 如果证书大小未达到 2048 位或更高,则电话将无法在 Cisco Unified Communications Manager 上注册,并且电话上会显示电话注册失败。 在电话上显示的证书密钥大小不符合 FIPS 标准。

如果电话有 LSC,您需要在启用 FIPS 之前将 LSC 密钥长度更新为 2048 位或更大。

下表列出了电话支持的安全功能。 有关详细信息,请参阅特定 Cisco Unified Communications Manager 版本的文档。

要查看电话的当前安全设置,包括安全模式、信任列表和 802.1X 验证,请按下应用程序并选择管理设置 > 安全性设置

表 1. 安全功能概述

功能

说明

图像验证

签名的二进制文件(带扩展名 .sbn)可以防止固件映像在映像加载到电话上之前被篡改。

篡改映像会导致电话验证过程失败并拒绝新的映像。

映像加密

加密的二进制文件(带扩展名 .sebn)可以防止固件映像在加载到电话上之前被篡改。

篡改映像会导致电话验证过程失败并拒绝新的映像。

客户现场证书安装

每部 Cisco IP 电话都需要具有唯一的证书才能进行设备验证。 电话包含厂商预装证书 (MIC),但为了提高安全性,您可以使用证书权限代理功能 (CAPF) 在 Cisco Unified Communications Manager Administration 中指定证书安装。 您也可以从电话的“安全配置”菜单中安装本地有效证书 (LSC)。

设备验证

当每个实体都接受了其他实体的证书时,在 Cisco Unified Communications Manager 服务器和电话之间进行。 确定电话和 Cisco Unified Communications Manager 之间是否进行了安全的连接;如有必要,请使用 TLS 协议在实体之间创建一个安全信令路径。 Cisco Unified Communications Manager 不会注册电话,除非其能够进行验证。

文件身份验证

验证电话下载的数字签名文件。 电话验证该签名以确保文件在创建之后未经篡改。 验证失败的文件不会写入电话的闪存。 电话会拒绝此类文件,并且不会再进行进一步的处理。

文件加密

加密可阻止敏感信息在文件传输到电话时泄露。 此外,电话验证该签名以确保文件在创建之后未经篡改。 验证失败的文件不会写入电话的闪存。 电话会拒绝此类文件,并且不会再进行进一步的处理。

信令验证

使用 TLS 协议验证传输期间信令信息包未发生篡改。

厂商预装证书

每部 Cisco IP 电话都包含唯一的厂商预装证书 (MIC) 用于进行设备验证。 MIC 为电话提供永久且唯一的身份证明,它允许 Cisco Unified Communications Manager 对电话进行验证。

媒体加密

使用 SRTP 确保支持的设备之间的媒体流以证明安全性,并且只有预期设备会收到并读取数据。 包括为设备创建媒体主密钥对、交付密钥给设备以及传输密钥期间确保安全交付密钥。

CAPF(证书权限代理功能)

实施对于电话而言处理太密集的证书生成程序,并与电话交互以生成密钥和安装证书。 可以将 CAPF 配置为代表电话向客户指定的证书颁发机构要求证书,或将其配置为本地生成证书。

安全性配置文件

定义电话是不安全、已验证、已加密还是受保护。 该表中的其他条目介绍安全功能。

加密配置文件

让您确保电话配置文件的隐私性。

(可选)禁用电话的 Web 服务器

出于安全性的考虑,您可以阻止访问电话的网页(其中显示电话的各种运行统计信息)和 Self Care 门户网站。

电话强化

额外的安全性选项,您可以从 Cisco Unified Communications Manager Administration 控制这些选项:

  • 禁用 PC 端口
  • 禁用免费 ARP (GARP)
  • 禁用 PC 语音 VLAN 接入
  • 禁止访问“设置”菜单;或提供受限的访问权限,只允许访问“首选项”菜单和保存音量变化
  • 禁止访问电话网页
  • 禁用蓝牙配件端口

  • 限制 TLS 密码

802.1x 验证

Cisco IP 电话可以使用 802.1X 验证要求并获取网络访问权限。 有关详细信息,请参阅802.1x 验证

用于 SRST 的安全 SIP 故障转移

当您配置用于保证安全性的 Survivable Remote Site Telephony (SRST) 参考并在 Cisco Unified Communications Manager Administration 中重置相关设备后,TFTP 服务器会在 phone cnf.xml 文件中添加 SRST 证书,然后将该文件发送至电话。 然后,安全电话使用 TLS 连接与启用了 SRST 的路由器交互。

信令加密

确保设备和 Cisco Unified Communications Manager 服务器之间发送的所有 SIP 和信令消息均已加密。

信任列表更新警报

信任列表在电话上更新时,Cisco Unified Communications Manager 会收到警报,表明更新成功或失败。 详细信息请参阅下表。

AES 256 加密

连接至 Cisco Unified Communications Manager 版本 10.5(2) 及更高版本时,电话支持用于 TLS 的 AES 256 加密支持以及用于信令和媒体加密的 SIP。 这样,电话就可以使用符合 SHA-2(安全的哈希算法)标准以及联邦信息处理标准 (FIPS) 的基于 AES-256 的密码,发起并支持 TLS 1.2 连接。 密码包括:

  • 对于 TLS 连接:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • 对于 sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

有关详细信息,请参阅 Cisco Unified Communications Manager 文档。

椭圆曲线数字签名算法 (ECDSA) 证书

作为通用标准 (CC) 认证的一部分,Cisco Unified Communications Manager 在版本 11.0 中增加了 ECDSA 证书。 这将影响 CUCM 11.5 及更高版本的所有语音操作系统 (VOS) 产品。

下表包含信任列表更新警报消息和含义。 有关详细信息,请参阅 Cisco Unified Communications Manager 文档

表 2. 信任列表更新警报消息
代码和消息 说明

1 - TL_SUCCESS

接收新的 CTL 和/或 ITL

2 - CTL_INITIAL_SUCCESS

接收新的 CTL,不存在 TL

3 - ITL_INITIAL_SUCCESS

接收新的 ITL,不存在 TL

4 - TL_INITIAL_SUCCESS

接收新的 CTL 和 ITL,不存在 TL

5 - TL_FAILED_OLD_CTL

更新为新 CTL 失败,但有以前的 TL

6 - TL_FAILED_NO_TL

更新为新 TL 失败,并且没有旧 TL

7 - TL_FAILED

一般失败

8 - TL_FAILED_OLD_ITL

更新为新 ITL 失败,但有以前的 TL

9 - TL_FAILED_OLD_TL

更新为新 TL 失败,但有以前的 TL

“安全设置”菜单提供有关各种安全设置的信息。 该菜单还可用于访问“信任列表”菜单并指示是否在电话上安装 CTL 或 ITL 文件。

下表介绍“安全设置”菜单中的选项。

表 3. “安全设置”菜单

选项

说明

要更改

安全模式

显示为电话设置的安全模式。

在 Cisco Unified Communications Manager Administration 中,选择设备 > 电话。 设置将在“电话配置”窗口的“协议特定信息”部分中显示。

LSC

指示用于安全功能的本地有效证书在电话上已安装(是)还是未在电话上安装(否)。

有关如何管理电话的 LSC 的信息,请参阅特定 Cisco Unified Communications Manager 版本的文档。

信任列表

“信任列表”提供 CTL、ITL 和签名配置文件的子菜单。

“CTL 文件”子菜单显示 CTL 文件的内容。 “ITL 文件”子菜单显示 ITL 文件的内容。

“信任列表”菜单还会显示以下信息:

  • CTL 签名:CTL 文件的 SHA1 哈希

  • Unified CM/TFTP 服务器:电话所使用的 Cisco Unified Communications Manager 和 TFTP 服务器的名称。 如果此服务器已安装证书,显示证书图标。

  • CAPF 服务器:电话所使用的 CAPF 服务器的名称。 如果此服务器已安装证书,显示证书图标。

  • SRST 路由器:电话能够使用的受信任 SRST 路由器的 IP 地址。 如果此服务器已安装证书,显示证书图标。

有关详细信息,请参阅:设置本地有效证书

802.1x 验证

允许您为此电话启用 802.1X 验证。

请参阅:802.1x 验证

向后兼容 WPA

确定最旧版本的 Wi-Fi 保护访问(WPA)是否与电话兼容以连接到无线网络(SSID)。

  • 如果设置为 ,电话可以搜索并连接到由所有 WPA(WPA、WPA2 和 WPA3)加密的无线网络。 特别是,支持最旧版本的 WPA。

     

    如果在建立 WPA(最旧版本)连接后禁用该功能,电话将自动断开与无线网络的连接。

  • 如果设置为 ,电话只能搜索并连接到由较新版本的 WPA 加密的无线网络,即 WPA2 和 WPA3。

默认值:关

应用程序 > 管理员设置 > 安全设置 >

设置本地有效证书

此任务适用于使用验证字串方法设置 LSC。

开始之前

确保相应的 Cisco Unified Communications Manager 和证书权限代理功能 (CAPF) 安全性配置都已完成:

  • CTL 或 ITL 文件具有 CAPF 证书。

  • 在 Cisco Unified Communications 操作系统管理中,确认已安装 CAPF 证书。

  • CAPF 正在运行且已配置。

有关这些设置的详细信息,请参阅特定 Cisco Unified Communications Manager 版本的文档。

过程

步骤 1

获取在配置 CAPF 时设置的 CAPF 验证代码。

步骤 2

在电话上,按应用程序

步骤 3

选择管理设置 > 安全设置

 

您可通过使用 Cisco Unified Communications Manager Administration“电话配置”窗口中的“设置访问权限”字段,控制对“设置”菜单的访问权限。

步骤 4

选择 LSC 并按选择更新

电话会提示输入验证字符串。

步骤 5

输入验证代码并按提交

电话会开始安装、更新或移除 LSC,具体取决于配置 CAPF 的方式。 在此程序期间,“安全性配置”菜单中的 LSC 选项字段中会出现一系列消息,因此您可监视进度。 当此程序完成后,电话上会显示“已安装”或“未安装”。

LSC 安装、更新或移除过程需要较长时间才能完成。

如果电话安装过程成功,则会显示已安装的消息。 如果电话显示未安装,则可能是授权字符串不正确,也可能是电话升级未启用。 如果 CAPF 操作删除了 LSC,电话会显示未安装来标识该操作已成功。 CAPF 服务器会记录错误消息。 请参阅 CAPF 服务器文档,以查找日志并理解错误消息的含义。

启用 FIPS 模式

过程

步骤 1

在 Cisco Unified Communications Manager Administration 中,依次选择设备 > 电话,然后找到相应电话。

步骤 2

导航至“产品特定配置”区域。

步骤 3

FIPS 模式字段设置为启用。

步骤 4

选择应用配置

步骤 5

选择保存

步骤 6

重新启动电话。

电话呼叫安全性

当为电话实施安全性时,可通过电话屏幕上的图标来识别安全电话呼叫。 如果在呼叫开始时播放安全音,则也可确定连接的电话是否安全并获得保护。

在安全呼叫中,所有呼叫信令和媒体流都会加密。 安全呼叫提供高级安全性,确保呼叫的完整性和私密性。 如果进行中呼叫已加密,则电话屏幕中的呼叫持续时间计时器右侧的呼叫进度图标会变为以下图标:

如果呼叫通过非 IP 呼叫分支(例如 PSTN)路由,则呼叫可能不安全,即使其已在 IP 网络内加密并且具有与之关联的锁定图标也不例外。

在安全的呼叫中,呼叫开始时会播放安全音,表示其他连接的电话也会接收和传输安全音。 如果您的呼叫连接到不安全的电话,则不会播放安全音。


只有两个电话之间的连接支持安全呼叫。 在配置安全呼叫后,某些功能(例如电话会议和共享线路)不可用。

电话在 Cisco Unified Communications Manager 中配置为安全(加密和信任)时,可以指定为“受保护”状态。 然后,如需要,受保护电话可以配置为在呼叫的开头播放提示音:

  • 受保护设备:要将安全电话的状态更改为受保护,请在 Cisco Unified Communications Manager 管理(设备 > 电话)中的“电话配置”窗口中选中“受保护设备”复选框。

  • 播放安全提示音:要使受保护电话播放安全或不安全提示音,请将“播放安全提示音”设置设为“真”。 默认情况下,“播放安全提示音”设置为“假”。 您可在 Cisco Unified Communications Manager 管理中设置此选项(系统 > 服务参数)。 选择此服务器,然后选择 Unified Communications Manager 服务。 在“服务参数配置”窗口中,选择“功能 - 安全音”区域中的选项。 默认值为“假”。

安全会议呼叫标识

您可启动安全电话会议并监控参加者的安全性级别。 使用此过程建立安全电话会议:

  1. 用户从安全电话启动会议。

  2. Cisco Unified Communications Manager 将安全会议桥分配给呼叫。

  3. 在添加参加者后,Cisco Unified Communications Manager 会验证每个电话的安全模式,并为会议维持安全级别。

  4. 电话会显示电话会议的安全性级别。 安全会议会在电话屏幕上的会议右侧显示安全图标


支持两个电话之间的安全呼叫。 对于受保护的电话,在配置安全呼叫后,部分功能(例如电话会议、共享线路和分机移动)将不可用。

下表提供有关根据发起者电话安全性级别、参加者的安全性级别以及安全会议桥的可用性更改会议安全性级别的信息。

表 4. 电话会议的安全性限制

发起者电话安全性级别

使用的功能

参与者的安全性级别

行动结果

不安全

会议

安全

不安全的会议桥

不安全的会议

安全

会议

至少一个成员不安全。

安全会议桥

不安全的会议

安全

会议

安全

安全会议桥

安全加密级别的会议

不安全

Meet Me

最低安全性级别已加密。

发起者接收消息“不满足安全级别,呼叫受拒”。

安全

Meet Me

最低安全性级别为不安全。

安全会议桥

会议接受所有呼叫。

安全电话呼叫标识

当您的电话与另一端的电话已配置为安全呼叫时,才可建立安全呼叫。 另一个电话可以位于相同的 Cisco IP 网络中或位于 IP 网络以外的网络。 安全呼叫只可以在两个电话之间进行。 在建立会议桥后,电话会议应支持安全呼叫。

遵照以下过程建立安全呼叫:

  1. 用户从安全电话(受保护的安全模式)启动呼叫。

  2. 电话会在电话屏幕上显示安全图标 。 此图标表示电话已配置为安全呼叫,但这不表示其他连接的电话也会受保护。

  3. 如果呼叫连接至另一个安全电话,用户会听到一声安全音,表示对话两端已加密并受保护。 如果呼叫连接至不安全的电话,用户不会听到安全音。


支持两个电话之间的安全呼叫。 对于受保护的电话,在配置安全呼叫后,部分功能(例如电话会议、共享线路和分机移动)将不可用。

只有受保护的电话才会播放这些安全或不安全的提示音。 不受保护的电话从不会播放提示音。 如果在呼叫过程中整个呼叫状态发生了变化,则提示音会改变并且受保护的电话会播放相应的提示音。

在以下情况下,受保护电话会播放提示音,但也可能不会播放:

  • 当“播放安全提示音”选项启用后:

    • 建立端到端安全媒体并且呼叫状态为安全时,电话会播放安全提示音(三声较长的哔声,中间停顿)。

    • 建立端到端非安全媒体并且呼叫状态为不安全时,电话将播放不安全提示音(六声短哔声并简短暂停)。

如果“播放安全提示音”选项禁用,不会播放任何提示音。

提供插入加密

Cisco Unified Communications Manager 在建立会议时检查电话安全状态,然后更改会议的安全指示或阻止呼叫完成以保持系统中的完整性和安全性。

如果用于插入的电话没有配置为加密,则用户无法插入到加密的呼叫中。 在此情况下插入失败时,将在发起插入的电话上播放重拨提示音(急促的忙音)。

如果发起方电话配置为加密,则插入发起方可以从加密的电话插入到不安全的呼叫中。 进行插入后,Cisco Unified Communications Manager 将呼叫归类为不安全。

如果发起方电话配置为加密,则插入发起方可以插入到加密的呼叫中,并且电话指示呼叫已加密。

WLAN 安全

由于范围内的所有 WLAN 设备均可接收所有其他 WLAN 流量,因此安全语音通信在 WLAN 中至关重要。 为确保入侵者不会操纵或拦截语音通信,Cisco SAFE 安全体系结构支持 Cisco IP 电话和 Cisco Aironet AP。 有关网络中安全性的详细信息,请参阅 http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html

Cisco 无线 IP 电话解决方案提供无线网络安全,通过使用无线 Cisco IP 电话支持的以下验证方法,阻止未经授权的登录和有危害的通信:

  • 开放式验证:任何无线设备均可在开放式系统中请求验证。 收到请求的 AP 可允许任何请求方或仅允许用户列表中找到的请求方进行验证。 无线设备与 AP 之间的通信可以是非加密通信,或者设备可使用有线等效加密 (WEP) 密钥来提供安全性。 使用 WEP 的设备仅尝试通过使用 WEP 的 AP 进行验证。

  • 通过安全隧道的可扩展验证协议灵活验证 (EAP-FAST) 验证:此客户端服务器安全体系结构在 AP 与 RADIUS 服务器(例如,Cisco 访问控制服务器 (ACS))之间的传输层安全 (TLS) 隧道内加密 EAP 事务。

    TLS 隧道使用受保护的访问凭证 (PAC) 进行客户端(电话)与 RADIUS 服务器之间的验证。 服务器将授权 ID (AID) 发送给客户端(电话),后者会选择适当的 PAC。 客户端(电话)将返回 PAC - 对 RADIUS 服务器不透明。 服务器通过主密钥解密 PAC。 现在,两个终端均包含 PAC 密钥,且 TLS 隧道已创建。 EAP-FAST 支持自动 PAC 部署,但您必须在 RADIUS 服务器上启用该功能。


    在 Cisco ACS 中,默认情况下,PAC 将在一周后过期。 如果电话有过期的 PAC,则电话获取新 PAC 时,与 RADIUS 服务器的验证要花较长的时间。 为避免 PAC 部署延迟,在 ACS 或 RADIUS 服务器上,将 PAC 过期期限设置为 90 天或更长时间。

  • 可扩展身份验证协议-传输层安全 (EAP-TLS) 验证:EAP-TLS 需要客户端证书用于身份验证和网络访问。 对于有线 EAP-TLS,客户端证书可以是电话的 MIC 或 LSC。 LSC 是有线 EAP-TLS 的建议客户端身份验证证书。

  • 受保护的可扩展验证协议 (PEAP):客户端(电话)与 RADIUS 服务器之间 Cisco 专有的、基于密码的相互验证方案。 Cisco IP 电话可以使用 PEAP 与无线网络进行验证。 支持 PEAP-MSCHAPV2 和 PEAP-GTC 验证方法。

以下验证方案使用 RADIUS 服务器管理验证密钥:

  • WPA/WPA2:使用 RADIUS 服务器信息生成唯一的密钥进行验证。 由于这些密钥在中央 RADIUS 服务器生成,因此 WPA/WPA2 提供比存储在 AP 和电话上的 WPA 预共享密钥更高的安全性。

  • 快速安全漫游:使用 RADIUS 服务器和无线域服务器 (WDS) 信息管理和验证密钥。 WDS 为启用 CCKM 的客户端设备创建安全凭证缓存以快速安全地重新验证。 Cisco 8800 系列 IP 电话支持 802.11r (FT)。 同时支持 11r (FT) 和 CCKM 以便快速安全漫游。 但思科强烈建议使用空中 802.11r (FT) 方法。

使用 WPA/WPA2 和 CCKM 时,加密密钥不在电话上输入,而是在 AP 和电话之间自动获得。 但必须在每部电话上输入用于验证的 EAP 用户名和密码。

为确保语音通信安全,Cisco IP 电话支持 WEP、TKIP 和高级加密标准 (AES) 进行加密。 这些机制用于加密时,信令 SIP 信息包和语音实时传输协议 (RTP) 信息包在 AP 与 Cisco IP 电话之间加密。

WEP

在无线网络中使用 WEP 时,使用开放或共享密钥验证在 AP 进行验证。 电话上设置的 WEP 密钥必须与在 AP 配置的 WEP 密钥匹配,方可成功连接。 Cisco IP 电话支持使用 40 位加密或 128 位加密的 WEP 密钥并在电话与 AP 之间保持静态。

EAP 和 CCKM 验证可以使用 WEP 密钥用于加密。 RADIUS 服务器管理 WEP 密钥并在验证后将唯一的密钥传递给 AP 用于加密所有语音信息包;因此,这些 WEP 密钥可以通过每次验证进行更改。

TKIP

WPA 和 CCKM 使用相对于 WEP 有一些改进的 TKIP 加密。 TKIP 提供每个信息包的密钥加密和更长的初始化向量 (IV) 来强化加密。 此外,消息完整性检查 (MIC) 可确保加密的信息包不会被更改。 TKIP 消除了有助于入侵者解密 WEP 密钥的 WEP 可预测性。

AES

用于 WPA2 验证的加密方法。 此国家加密标准使用对称算法,加密和解密具有相同的密钥。 AES 使用大小为 128 位最小值的密码阻止链 (CBC) 加密,其支持的密钥大小为 128、192 和 256 位。 Cisco IP 电话支持 256 位密钥大小。


Cisco IP 电话不支持具有 CMIC 的 Cisco 密钥完整性协议 (CKIP)。

验证和加密方案在无线 LAN 内设置。 VLAN 在网络和 AP 中配置,指定验证和加密的不同组合。 SSID 与 VLAN 以及特定验证和加密方案关联。 要使无线客户端设备成功验证,必须配置与 AP 和 Cisco IP 电话上其验证和加密方案相同的 SSID。

某些验证方案需要特定类型的加密。 通过开放式验证,您可以使用静态 WEP 进行加密以实现增强的安全性。 但如果您使用共享密钥验证,则必须设置静态 WEP 用于加密,且必须在电话上配置 WEP 密钥。


  • 使用 WPA 预共享密钥或 WPA2 预共享密钥时,预共享密钥必须在电话上静态设置。 这些密钥必须与 AP 上的密钥匹配。

  • Cisco IP 电话不支持自动 EAP 协商;要使用 EAP-FAST 模式,您必须指定它。

下表提供 Cisco IP 电话支持的 Cisco Aironet AP 上配置的验证和加密方案列表。 该表显示对应 AP 配置的电话的网络配置选项。

表 5. 验证和加密方案

Cisco IP 电话配置

AP 配置

安全模式

安全

密钥管理

加密

快速漫游

不适用

WEP

静态 WEP

静态

WEP

不适用

PSK

PSK

WPA

TKIP

WPA2

AES

FT

EAP-FAST

EAP-FAST

802.1X

WEP

CCKM

WPA

TKIP

CCKM

WPA2

AES

FT、CCKM

EAP-TLS

EAP-TLS

802.1X

WEP

CCKM

WPA

TKIP

CCKM

WPA2

AES

FT、CCKM

PEAP-MSCHAPV2

PEAP-MSCHAPV2

802.1X

WEP

CCKM

WPA

TKIP

CCKM

WPA2

AES

FT、CCKM

PEAP-GTC

PEAP-GTC

802.1X

WEP

CCKM

WPA

TKIP

CCKM

WPA2

AES

FT、CCKM

有关在 AP 上配置验证和加密方案的详细信息,请参阅适用于您的型号和版本的《Cisco Aironet 配置指南》,位于以下 URL:

http://www.cisco.com/cisco/web/psa/configure.html?mode=prod&level0=278875243

设置验证模式

要为此配置文件选择验证模式,请执行以下步骤:

过程

步骤 1

选择您要配置的网络配置文件。

步骤 2

选择验证模式。

 

根据您选择的内容,您必须配置“无线安全”或“无线加密”中的其他选项。 有关详细信息,请参阅WLAN 安全

步骤 3

单击保存进行更改。

无线安全凭证

当您的网络使用 EAP-FAST 和 PEAP 进行用户验证时,如果远程身份验证拨入用户服务 (RADIUS) 和电话需要,您必须配置用户名和密码。


如果在网络内使用域,则必须输入用户名及域名,格式为:domain\username
以下操作可能会导致现有 Wi-Fi 密码被清除:

  • 输入无效的用户 ID 或密码

  • 当 EAP 类型设为 PEAP-MSCHAPV2 或 PEAP-GTC 时安装无效或过期的根 CA

  • 在将电话更改为新的 EAP 类型之前,禁用电话所用 RADIUS 服务器上的 EAP 类型

要更改 EAP 类型,请按所列的顺序执行以下步骤:

  • 启用 RADIUS 上的新 EAP 类型。

  • 将电话上的 EAP 类型更改为新 EAP 类型。

在 RADIUS 服务器上启用了新 EAP 类型之前,保留电话上当前配置的 EAP 类型。 一旦 RADIUS 服务器上启用了新的 EP 类型,您便可以更改电话的 EAP 类型。 一旦所有电话都已更改为新的 EAP 类型,您便可以根据需要禁用以前的 EAP 类型。

设置用户名和密码

要输入或更改网络配置文件的用户名或密码,您必须使用与在 RADIUS 服务器中配置的相同用户名和相同密码字符串。 用户名或密码的最大长度为 64 个字符。

要在“无线安全凭证”区域中设置用户名和密码,请执行以下步骤:

过程

步骤 1

选择网络配置文件。

步骤 2

在“用户名”字段中,输入此配置文件的网络用户名。

步骤 3

在“密码”字段中,输入此配置文件的网络密码字符串。

步骤 4

单击保存进行更改。

预共享密钥设置

设置预共享密钥时,使用以下各部分作为指导。

预共享密钥格式

Cisco IP 电话支持 ASCII 和十六进制格式。 设置 WPA 预共享密钥时,必须使用以下格式之一:

十六进制

对于十六进制密钥,您输入 64 个十六进制数字(0-9 和 A-F);例如,AB123456789CD01234567890EFAB123456789CD01234567890EF3456789C

ASCII

对于 ASCII 密钥,您输入使用 0-9、A-Z(大写和小写)、包括符号并且长度为 8 到 63 个字符的字符串;例如,GREG12356789ZXYW

设置 PSK

要在“无线凭证”区域中设置 PSK,请执行以下步骤:

过程

步骤 1

选择启用 WPA 预共享密钥或 WPA2 预共享密钥的网络配置文件。

步骤 2

在“密钥类型”区域中,输入相应的密钥。

步骤 3

在“密码短语/预共享密钥”字段中,输入 ASCII 字符串或十六进制数字。

步骤 4

单击保存进行更改。

无线加密

如果您的无线网络使用 WEP 加密,并且您将验证模式设置为“开放式 + WEP”,则必须输入 ASCII 或十六进制 WEP 密钥。

电话的 WEP 密钥必须与分配给接入点的 WEP 密钥匹配。 Cisco IP 电话和 Cisco Aironet 接入点支持 40 位和 128 位加密密钥。

WEP 密钥格式

设置 WEP 密钥时,必须使用以下格式之一:

十六进制

对于十六进制密钥,您可使用以下密钥大小之一:

40 位

您输入使用十六进制数字(0-9 和 A-F)的 10 位加密密钥字符串;例如,ABCD123456。

128 位

您输入使用十六进制数字(0-9 和 A-F)的 26 位加密密钥字符串;例如,AB123456789CD01234567890EF。

ASCII

对于 ASCII 密钥,您输入使用 0-9、A-Z(大写和小写)以及所有符号的字符串,采用以下密钥大小之一:

40 位

您输入 5 个字符的字符串;例如,GREG5。

128 位

您输入 13 个字符的字符串;例如,GREGSSECRET13。

设置 WEP 密钥

要设置 WEP 密钥,请执行以下步骤。

过程

步骤 1

选择使用“开放+WEP”或“共享+WEP”的网络配置文件。

步骤 2

在“密钥类型”区域中,输入相应的密钥。

步骤 3

在“密钥大小”区域中,选择以下字符串长度之一:

  • 40

  • 128

步骤 4

在“加密密钥”字段中,基于所选的“密钥类型”和“密钥大小”输入适当的密钥字符串。 请参阅:WEP 密钥格式

步骤 5

单击保存进行更改。

使用 Microsoft Certificate Services 从 ACS 导出 CA 证书

从 ACS 服务器导出根 CA 证书。 有关其他信息,请参阅 CA 或 RADIUS 文档。

厂商预装证书

Cisco 在电话出厂时随附厂商预装证书 (MIC)。

EAP-TLS 验证期间,ACS 服务器需要验证电话的信任,并且电话需要验证 ACS 服务器的信任。

要验证 MIC,必须从 Cisco IP 电话导出厂商根证书和厂商证书颁发机构 (CA) 证书并安装到 Cisco ACS 服务器上。 这两种证书是受信任的证书链的组成部分,用来通过 Cisco ACS 服务器验证 MIC。

要验证 Cisco ACS 证书,必须导出 Cisco ACS 服务器上受信任的次级证书(如果有)和根证书(从 CA 创建)并安装到电话上。 这些证书是受信任的证书链的组成部分,用来验证 ACS 服务器证书的信任。

用户安装证书

要使用用户安装证书,请生成证书签名请求 (CSR),然后发送给 CA 进行批准。 还可以通过 CA 在没有 CSR 的情况下生成用户证书。

EAP-TLS 验证期间,ACS 服务器将验证电话的信任,并且电话将验证 ACS 服务器的信任。

要验证用户安装证书的真实性,您必须安装来自批准 Cisco ACS 服务器上用户证书的 CA 的受信任次级证书(如果有)和根证书。 这些证书是受信任的证书链的组成部分,用来验证用户安装证书的信任。

要验证 Cisco ACS 证书,您可导出 Cisco ACS 服务器上受信任的次级证书(如果有)和根证书(从 CA 创建),然后将导出的证书安装到电话上。 这些证书是受信任的证书链的组成部分,用来验证 ACS 服务器证书的信任。

安装 EAP-TLS 验证证书

要安装 EAP-TLS 的验证证书,请执行以下步骤。

过程

步骤 1

从电话网页,设置电话上的 Cisco Unified Communications Manager 日期和时间。

步骤 2

如果使用厂商预装证书 (MIC):

  1. 从电话网页,导出 CA 根证书和厂商 CA 证书。

  2. 从 Internet Explorer,安装 Cisco ACS 服务器上的证书并编辑信任列表。

  3. 将根 CA 导入到电话。

    有关详情,请参阅:

步骤 3

使用 ACS 配置工具,设置用户帐户。

有关详情,请参阅:

设置日期和时间

EAP-TLS 使用基于证书的验证,需要正确设置 Cisco IP 电话上的内部时钟。 电话注册到 Cisco Unified Communications Manager 时,其上的日期和时间可能会更改。


如果请求新服务器验证证书并且本地时间在格林威治标准时间 (GMT) 之后,则验证证书的验证可能会失败。 Cisco 建议您使用 GMT 之前的本地日期和时间。

要将电话设置为正确的本地日期和时间,请执行以下步骤。

过程

步骤 1

从左侧导航窗格中选择日期和时间

步骤 2

如果“当前电话日期和时间”字段中的设置与“本地日期和时间”字段不同,单击将电话设置为本地日期和时间

步骤 3

单击电话重新启动,然后单击确定
在 ACS 上导出和安装证书

要使用 MIC,请导出“厂商根证书”和“厂商 CA 证书”,然后将其安装到 Cisco ACS 服务器上。

要将厂商根证书和厂商 CA 证书导出到 ACS 服务器,请执行以下步骤。

过程

步骤 1

从电话网页中,选择证书

步骤 2

单击“厂商根证书”旁边的导出

步骤 3

保存该证书并将其复制到 ACS 服务器。

步骤 4

对厂商 CA 证书重复步骤 1 和 2。

步骤 5

从“ACS 服务器系统配置”页面,输入每个证书的文件路径,然后安装证书。

 

有关使用 ACS 配置工具的详细信息,请参阅 ACS 联机帮助或《适用于 Windows 的 Cisco 安全 ACS 用户指南》(http://www.cisco.com/c/en/us/support/security/secure-access-control-system/products-user-guide-list.html)。

步骤 6

使用“编辑证书信任列表 (CTL)”页面添加 ACS 信任的证书。

使用 Microsoft Certificate Services 从 ISE 导出 CA 证书

使用此方法可将 CA 证书从签名用户安装证书或 ISE 证书的 ISE 服务器导出。

要使用 Microsoft Certificate Services 网页导出 CA 证书,请执行以下步骤。

过程

步骤 1

从 Microsoft Certificate Services 网页,选择下载 CA 证书、证书链或 CRL

步骤 2

在下一页,突出显示文本框中的当前 CA 证书,在“编码方法”下选择 DER,然后单击下载 CA 证书

步骤 3

保存 CA 证书。

使用 Internet Explorer 从 ACS 导出 CA 证书

使用此方法可将 CA 证书从使用自签名证书的 ACS 服务器导出。

要使用 Internet Explorer 从 ACS 服务器导出证书,请执行以下步骤。

过程

步骤 1

从 Internet Explorer 中,选择工具 > Internet 选项,然后单击“内容”选项卡。

步骤 2

在“证书”下,单击证书,然后单击“受信任的根证书颁发机构”选项卡。

步骤 3

突出显示根证书,然后单击导出。 此时将显示“证书导出向导”。

步骤 4

单击下一步

步骤 5

在下一个窗口中,选择 DER 编码二进制 X.509 (.CER),然后单击下一步

步骤 6

指定证书的名称,然后单击下一步

步骤 7

保存要在电话上安装的 CA 证书。

请求和导入用户安装的证书

要在电话上请求和安装证书,请执行以下步骤。

过程

步骤 1

从电话网页,使用 EAP-TLS 选择网络配置文件,然后在“EAP-TLS 证书”字段中选择用户安装。

步骤 2

单击证书

在“用户证书安装”页面中,“通用名称”字段应该与 ACS 服务器中的用户名匹配。

 

如果需要,可以编辑“通用名称”字段。 确保其匹配 ACS 服务器中的用户名。 请参阅:设置 ACS 用户帐户和安装证书

步骤 3

输入要在证书中显示的信息,然后单击提交生成证书签名请求 (CSR)。

安装验证服务器根证书

要在电话上安装验证服务器根证书,请执行以下步骤。

过程

步骤 1

从 ACS 导出验证服务器根证书。 请参阅:ACS 证书导出方法

步骤 2

转至电话网页,选择证书

步骤 3

单击“验证服务器根证书”旁边的导入

步骤 4

重新启动电话。

设置 ACS 用户帐户和安装证书

要在 ACS 上为电话设置用户帐户名和安装 MIC 根证书,请执行以下步骤。

有关使用 ACS 配置工具的详细信息,请参阅 ACS 联机帮助或《适用于 Windows 的 Cisco 安全 ACS 用户指南》
过程

步骤 1

从 ACS 配置工具的“用户设置”页面,创建电话用户帐户名(如果尚未设置)。

通常,用户名末尾包含电话 MAC 地址。 EAP-TLS 无需密码。

 

确保用户名匹配“用户证书安装”页面中的“通用名称”字段。 请参阅:请求和导入用户安装的证书

步骤 2

在“系统配置”页面的 EAP-TLS 部分中,启用以下字段:

  • 允许 EAP-TLS

  • 证书 CN 比较

步骤 3

在“ACS 证书颁发机构设置”页面中,将“厂商根证书”和“厂商 CA 证书”添加到 ACS 服务器。

步骤 4

在“ACS 证书信任列表”中启用“厂商根证书”和“厂商 CA 证书”。

PEAP 设置

受保护的可扩展验证协议 (PEAP) 通过在客户端与验证服务器之间创建加密的 SSL/TLS 隧道,使用服务器端公钥证书验证客户端。

Cisco 8865 IP 电话仅支持一个服务器证书,可以通过 SCEP 或手动安装方法安装,但不能同时使用两者。 电话不支持证书安装的 TFTP 方法。

导入验证服务器证书可启用验证服务器验证。
开始之前

配置电话的 PEAP 验证之前,确保满足以下 Cisco 安全 ACS 要求:

  • 必须安装 ACS 根证书。

  • 也可安装证书以启用 PEAP 的服务器验证。 但如果服务器证书已安装,则服务器验证已启用。

  • 必须启用“允许 EAP-MSCHAPv2”设置。

  • 必须配置用户帐户和密码。

  • 对于密码验证,您可以使用本地 ACS 数据库或外部数据库(例如 Windows 或 LDAP)。

启用 PEAP 验证
过程

步骤 1

从电话配置网页,选择 PEAP 作为验证模式。

步骤 2

输入用户名和密码。

无线 LAN 的安全性

支持的 Wi-Fi 的 Cisco 电话有更多安全性要求,并且需要进行额外配置。 这些额外的步骤包括在电话和 Cisco Unified Communications Manager 上安装证书以及设置安全性。

有关详细信息,请参阅《Cisco Unified Communications Manager 安全指南》

Cisco IP 电话管理页面

支持 Wi-Fi 的 Cisco 电话拥有与其他电话页面不同的特殊网页。 简单证书注册协议 (SCEP) 不可用时,您可使用这些特殊网页进行电话安全配置。 使用这些页面可在电话上手动安装安全证书、下载安全证书或手动配置电话日期和时间。

这些网页还显示与其他电话网页上显示相同的信息,包括设备信息、网络设置、日志和统计信息。

配置电话的管理页面

管理网页在电话出厂时为启用状态,且密码设置为 Cisco。 但如果电话要在 Cisco Unified Communications Manager 上进行注册,则必须启用管理网页,并配置新的密码。

在注册电话后第一次使用网页之前,必须先启用该网页,并设置登录凭证。

启用网页后,可通过 HTTPS 端口 8443 访问管理网页(https://x.x.x.x:8443,其中 x.x.x.x 是电话的 IP 地址)。

开始之前

先确定密码,然后再启用管理网页。 密码可以是字母或数字的任意组合,但长度必须介于 8 到 127 个字符之间。

您的用户名设置为 admin,且永久有效。

过程

步骤 1

在 Cisco Unified Communications Manager Administration 中,选择设备 > 电话

步骤 2

找到您的电话。

步骤 3

产品特定配置布局中,将 Web 管理参数设为启用

步骤 4

管理员密码字段中输入密码。

步骤 5

选择保存,然后单击确定

步骤 6

选择应用配置,然后单击确定

步骤 7

重新启动电话。
访问电话管理网页

当您想要访问管理网页时,您需要指定管理端口。

过程

步骤 1

获取电话的 IP 地址:

  • 在 Cisco Unified Communications Manager Administration 中,依次选择设备 > 电话,然后找到相应电话。 在 Cisco Unified Communications Manager 中注册的电话会在查找和列出电话窗口中以及电话配置窗口的顶部显示 IP 地址。
  • 在电话上,按应用程序,选择电话信息,然后向下滚动至“IPv4 地址”字段。

步骤 2

打开 Web 浏览器并输入以下 URL,其中 IP_address 为 Cisco IP 电话的 IP 地址:

https://<IP_address>:8443

步骤 3

在“密码”字段中输入密码。

步骤 4

单击提交
从电话管理网页安装用户证书

如果简单证书注册协议 (SCEP) 不可用,您可以在电话上手动安装用户证书。

厂商预装证书 (MIC) 可用作 EAP-TLS 用户证书。

用户证书安装完毕后,您需要将其添加到 RADIUS 服务器信任列表。

开始之前
在为电话安装用户证书之前,您必须拥有:

  • 保存到您 PC 上的用户证书。 证书必须是 PKCS #12 格式。

  • 证书的提取密码。

过程

步骤 1

在电话管理网页中选择证书

步骤 2

找到“用户安装”字段,然后单击安装

步骤 3

浏览至您 PC 上的证书。

步骤 4

提取密码字段中,输入证书提取密码。

步骤 5

单击上传

步骤 6

上传完毕后需重新启动电话。
从电话管理网页安装验证服务器证书

如果简单证书注册协议 (SCEP) 不可用,您可以在电话上手动安装验证服务器证书。

必须为 EAP-TLS 安装用于颁发 RADIUS 服务器证书的根 CA 证书。

开始之前

在电话上安装证书之前,您必须将验证服务器证书保存到您的 PC 上。 证书必须采用 PEM (Base 64) 或 DER 编码格式。

过程

步骤 1

在电话管理网页中选择证书

步骤 2

找到验证服务器 CA(管理网页)字段,然后单击安装

步骤 3

浏览至您 PC 上的证书。

步骤 4

单击上传

步骤 5

上传完毕后需重新启动电话。

如果您要安装多个证书,则您需在所有证书都安装完成后再重新启动电话。
从电话管理网页手动删除安全证书

如果简单证书注册协议 (SCEP) 不可用,您可以从电话中手动删除安全证书。

过程

步骤 1

在电话管理网页中选择证书

步骤 2

证书页面找到证书。

步骤 3

单击删除

步骤 4

在删除过程完成后,重新启动电话。
手动设置电话日期和时间

如果使用基于证书的验证,则电话必须显示正确的日期和时间。 验证服务器会对照证书有效期检查电话的日期和时间。 如果电话和服务器的日期和时间不匹配,电话将停止工作。

如果电话无法从您的网络接收正确的信息,则使用此程序手动设置电话上的日期和时间。

过程

步骤 1

在电话管理网页中,滚动至日期和时间

步骤 2

执行下列选项之一:

  • 单击将电话设为本地日期和时间以使电话与本地服务器同步。
  • 指定日期和时间字段中,通过菜单选择月、日、年、小时、分钟和秒,然后单击将电话设为指定日期和时间

SCEP 设置

简单证书注册协议 (SCEP) 是用于自动配置和续订证书的一种标准。 它无需在您的电话上手动安装证书。

配置 SCEP 产品的特定配置参数

您需要在电话网页上配置以下 SCEP 参数

  • RA IP 地址

  • SCEP 服务器根 CA 证书的 SHA-1 或 SHA-256 指纹

Cisco IOS 注册颁发机构 (RA) 可充当 SCEP 服务器的代理。 电话上的 SCEP 客户端使用从 Cisco Unified Communication Manager 下载的参数。 配置完这些参数后,电话会向 RA 发送 SCEP getcs 请求,然后设备使用定义的指纹验证根 CA 证书。

过程

步骤 1

在 Cisco Unified Communications Manager Administration 中,选择设备 > 电话

步骤 2

找到此电话。

步骤 3

滚动至 Product Specific Configuration Layout(产品特定配置布局)区域。

步骤 4

选中 WLAN SCEP 服务器复选框以激活 SCEP 参数。

步骤 5

选中 WLAN 根 CA 指纹(SHA256 或 SHA1)复选框以激活 SCEP QED 参数。

支持简单证书注册协议服务器

如果您使用简单证书注册协议 (SCEP) 服务器,服务器会自动可以保持您的用户和服务器证书。 在 SCEP 服务器上,将 SCEP 注册座席 (RA) 配置为:

  • 充当 PKI 信任点

  • 充当 PKI RA

  • 通过 RADIUS 服务器执行设备验证

有关详细信息,请参阅您的 SCEP 服务器文档。

802.1x 验证

Cisco IP 电话支持 802.1X 验证。

Cisco IP 电话和 Cisco Catalyst 交换机过去使用 Cisco Discovery Protocol (CDP) 来识别彼此并确定 VLAN 分配和线内电源要求等参数。 CDP 不识别本地连接的工作站。 Cisco IP 电话提供 EAPOL 传递机制。 利用此机制,连接至 Cisco IP 电话的工作站会将 EAPOL 消息传递给 LAN 交换机处的 802.1X 验证器。 该传递机制可确保,在访问网络前 IP 电话不会充当 LAN 交换机来验证数据终端。

Cisco IP 电话还提供代理 EAPOL 注销机制。 如果本地连接的 PC 与 IP 电话断开,LAN 交换机看不到物理链路失效,因为保持了 LAN 交换机与 IP 电话之间的链路。 为了避免损害网络完整性,IP 电话会代表下游 PC 向交换机发送一则 EAPOL 注销的消息,这会触发 LAN 交换机清除下游 PC 的验证条目。

对 802.1X 验证的支持需要多个组件:

  • Cisco IP 电话:电话会发起访问网络的请求。 Cisco IP 电话包含 802.1X 请求方。 网络管理员可以通过此请求方控制 IP 电话至 LAN 交换机端口的连接。 电话 802.1X 请求方的最新版本使用 EAP-FAST 和 EAP-TLS 选项进行网络验证。

  • Cisco 安全访问控制服务器 (ACS)(或其他第三方验证服务器):验证服务器和电话必须均使用验证电话的共享密钥进行配置。

  • Cisco Catalyst 交换机(或其他第三方交换机):交换机必须支持 802.1X,因此可以充当验证器,并在电话和验证服务器之间传递消息。 在交换完成后,交换机会授予或拒绝电话访问网络的权限。

您必须执行以下操作来配置 802.1X。

  • 在电话上启用 802.1X 验证前配置其他组件。

  • 配置 PC 端口:802.1X 标准不会考虑 VLAN,因此建议只验证连接至特定交换机端口的单个设备。 但是,某些交换机(包括 Cisco Catalyst 交换机)支持多域验证。 交换机配置决定是否可以将 PC 连接至电话的 PC 端口。

    • 启用:如果您使用的是支持多域验证的交换机,可以启用 PC 端口并将 PC 连接至该端口。 在此情况下,Cisco IP 电话支持代理 EAPOL 注销,来监控交换机与所连 PC 之间的验证交换。 有关 Cisco Catalyst 交换机上支持 IEEE 802.1X 的详细信息,请参阅位于以下网址的 Cisco Catalyst 交换机配置指南:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • 禁用:如果交换机不支持同一端口上的多个符合 802.1X 的设备,应在启用 802.1X 验证后禁用 PC 端口。 如果不禁用此端口,后来又尝试将 PC 连接至该端口,交换机会拒绝对电话和 PC 的网络访问。

  • 配置语音 VLAN:由于 802.1X 标准不考虑 VLAN,应根据交换机支持来配置此设置。
    • 启用:如果您使用的是支持多域验证的交换机,可以继续使用语音 VLAN。
    • 禁用:如果交换机不支持多域验证,则禁用语音 VLAN 并考虑将此端口分配给本机 VLAN。

访问 802.1X 验证

您可通过以下步骤访问 802.1X 验证设置:

过程

步骤 1

应用程序

步骤 2

选择管理设置 > 安全设置 > 802.1X 验证

步骤 3

802.1X 验证选项所述配置选项。

步骤 4

要退出此菜单,请按退出
802.1X 验证选项

下表介绍 802.1X 验证选项。

表 6. 802.1X 验证设置

选项

说明

要更改

设备验证

确定是否已启用 802.1X 验证:

  • 启用:电话使用 802.1X 验证请求网络访问权限。
  • 禁用:默认设置。 电话使用 CDP 获取 VLAN 和网络访问权限。

请参阅:设置“设备验证”字段

事务状态

状态:显示 802.1x 验证的状态:

  • 已断开:指示未在电话上配置 802.1x 验证。

  • 已验证:指示电话已验证。

  • 已保留:指示验证过程正在进行中。

协议:显示用于 802.1x 验证的 EAP 方法(可以是 EAP-FAST 或 EAP-TLS)。

仅用于显示。 无法配置。

设置“设备验证”字段

过程

步骤 1

应用程序

步骤 2

选择管理设置 > 安全设置 > 802.1X 验证

步骤 3

设置“设备验证”选项:

步骤 4

应用