Cisco IP 电话安全性

域和互联网设置

配置域受限访问域

您可以将电话配置为仅使用指定的服务器注册、设置、进行固件升级和发送报告。 不能在电话上执行不使用指定服务器的注册、设置、升级和报告。 如果您指定要使用的服务器,请确保在以下字段中输入的服务器包含在列表中:

  • 设置选项卡上的配置文件规则配置文件规则 B配置文件规则 C配置文件规则 D

  • 设置选项卡上的升级规则 Cisco 头戴式耳机升级规则

  • 设置选项卡上的报告规则

  • 设置选项卡上的自定义 CA 规则

  • 分机 (n) 选项卡上的代理出站代理

开始之前

访问电话 Web 界面.

过程


步骤 1

选择语音 > 系统

步骤 2

System Configuration 部分的 Restricted Access Domains 字段中,输入每台服务器的完全限定域名 (FQDN)。 用逗号分隔 FQDN。

示例:

voiceip.com, voiceip1.com

您可以通过输入以下格式的字符串,在电话配置 XML 文件 (cfg.xml) 中配置此参数:

<Restricted_Access_Domains ua="na">voiceip.com, voiceip1.com</Restricted_Access_Domains>

步骤 3

单击 Submit All Changes


配置 DHCP 选项

您可以设置您的电话使用 DHCP 选项的顺序。 有关 DHCP 选项的帮助,请参阅 DHCP 选项支持

开始之前

访问电话 Web 界面.

过程


步骤 1

选择语音 > 部署

步骤 2

Configuration Profile 部分,如 DHCP 选项配置参数表中所述设置 DHCP Option To UseDHCPv6 Option To Use 参数。

步骤 3

单击 Submit All Changes


DHCP 选项配置参数

下表定义了电话 Web 界面中 Voice > Provisioning 选项卡下 Configuration Profile 部分中 DHCP Options Configuration 参数的功能和用法。 它还定义了电话配置文件中添加的字符串的语法,其中包含用于配置参数的 XML(cfg.xml) 代码。

表 1. DHCP 选项配置参数

参数

说明

使用的 DHCP 选项

DHCP 选项用逗号分隔,用于检索固件和配置文件。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>
  • 在电话网页上,输入以逗号分隔的 DHCP 选项。

    示例:66,160,159,150,60,43,125

默认值:66,160,159,150,60,43,125

DHCPv6 Option To Use

DHCPv6 选项,用逗号分隔,用于检索固件和配置文件。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <DHCPv6_Option_To_Use ua="na">17,160,159</DHCPv6_Option_To_Use>
  • 在电话网页上,输入以逗号分隔的 DHCP 选项。

    示例:17,160,159

默认值:17,160,159

DHCP 选项支持

下表列出了多平台电话支持的 DHCP 选项。

网络标准

说明

DHCP 选项 1

子网掩码

DHCP 选项 2

时间偏移量

DHCP 选项 3

路由器

DHCP 选项 6

域名服务器

DHCP 选项 15

域名

DHCP 选项 41

IP 地址租用时间

DHCP 选项 42

NTP 服务器

DHCP 选项 43

供应商特定信息

可用于发现 TR.69 自动配置服务器 (ACS)。

DHCP 选项 56

NTP 服务器

使用 IPv6 的 NTP 服务器配置

DHCP 选项 60

供应商类别标识符

DHCP 选项 66

TFTP 服务器名称

DHCP 选项 125

供应商识别供应商特定信息

可用于发现 TR.69 自动配置服务器 (ACS)。

DHCP 选项 150

TFTP 服务器

DHCP 选项 159

设置服务器 IP

DHCP 选项 160

设置 URL

配置 SIP INVITE 消息质询

您可以将电话设置为在会话中质询 SIP INVITE(起始)消息。 该质询限制允许与服务提供商网络上的设备进行交互的 SIP 服务器。 这种做法可防止电话遭受恶意攻击。 启用此功能后,由 SIP 代理发来的初始 INVITE 请求需要授权。

您还可以使用 XML(cfg.xml) 代码配置电话配置文件中的参数。

开始之前

访问电话 Web 界面.

过程


步骤 1

选择语音 > 分机 (n),其中 n 是分机号码。

步骤 2

SIP 设置部分,从 Auth INVITE 列表选择以启用此功能,或者选择将其禁用。

您可以通过输入以下格式的字符串,在电话配置 XML 文件 (cfg.xml) 中配置此参数:
<Auth_INVITE_1>Yes</Auth_INVITE_1_>

默认值:No

步骤 3

单击 Submit All Changes


支持 RFC-8760

您可以替换 RFC-3261,也可以添加对 RFC-8760 指定的其他验证 digest 算法的支持。 RFC-8760 指定 Digest 算法,例如 SHA256、SHA-512/256 和 MD5。 对于 RFC-8760,电话将发送“SIP 注册”或“邀请”或 "订阅”请求(不含授权标头字段)。 SIP 服务器将响应 401/407 状态代码及 www 验证或代理验证标头字段。 SIP 服务器将响应多个 www 验证标头。 如果发送了多个标头,则每个标头必须有不同的算法,其中最常用的一种算法最先使用。 对 RFC-8760 的支持优于 RFC-3261,其他情况在下表中介绍。

步骤

SIP 请求方向

RFC-3261

RFC-8760

步骤 1

电话到 SIP 服务器

电话无需授权即可发送 SIP 请求。

电话无需授权即可发送 SIP 请求。

步骤 2

SIP 服务器到电话

SIP 服务器使用 MD5 算法响应 401 状态及一个 www 验证。

SIP 服务器使用不同的算法响应 401 状态及一个或多个 www 验证,例如 SHA-256、SHA-512-256 和 MD5。

步骤 3

电话到 SIP 服务器

电话重试发送请求,并添加采用 MD5 算法的授权标头。

电话重试发送请求,并添加带有最上面的标头字段 (SHA-256) 的授权。

步骤 4

SIP 服务器到电话

SIP 服务器验证授权。

SIP 服务器验证授权。

启用 Auth INVITE 和 Auth Resync Reboot

您可以启用 RFC 8760 的电话授权。

开始之前

  • 访问电话管理网页。 请参阅:访问电话 Web 界面

  • SIP 设置部分中,Auth Invite设置为

过程


步骤 1

选择Voice > Ext(n),其中 n 是分机号码。

步骤 2

SIP 设置部分的 Auth 支持 RFC8760 列表中选择

当您选择时,电话授权支持 RFC 8760。您可以在选择时禁用它。

您可以通过输入以下格式的字符串,在电话配置 XML 文件 (cfg.xml) 中配置此参数:

<Auth_Support_RFC8760>Yes</Auth_Support_RFC8760/>

默认值:No

步骤 3

单击 Submit All Changes


支持额外的摘要算法用于临时存储验证

电话现在支持 RFC 8760,用来暂存验证。 为支持此功能,电话中添加了 SHA-256、SHA-512 以及 SHA-256 digest 算法。 之前,电话仅支持 MD5 算法。

控制 TLS 最小值

您可以使用新的 TLS 参数控制 TLS 的电话最小值。 下表显示了 TLS 最小值结果的简要视图。

客户端 TLS 最小版本

服务器最高 TLS 版本

结果

TLS 1.0

TLS 1.0

TLS 1.0

TLS 1.1

TLS 1.1

TLS 1.2

TLS 1.2

TLS 1.1

TLS 1.0

协议警报

TLS 1.1

TLS 1.1

TLS 1.2

TLS 1.2

TLS 1.2

TLS 1.0

协议警报

TLS 1.1

协议警报

TLS 1.2

TLS 1.2

开始之前

过程


步骤 1

选择语音 > 系统

步骤 2

安全设置部分,从TLS 最低版本列表中选择TLS 1.1

您可以通过输入以下格式的字符串,在电话配置 XML 文件 (cfg.xml) 中配置此参数:

<TLS_Min_Version ua="na">TLS 1.1</TLS_Min_Version>

默认值:TLS 1.1

步骤 3

单击 Submit All Changes

 

此功能已应用于大多数通过电话启动的 TLS 客户端。 例如 TLS 上的 SIP、XMPP、E911 地理位置、Wifi。


启用 Webex 指标服务的控制

通过启用指标,启用对所有指标服务的电话控制。

开始之前

过程


步骤 1

选择 语音 > 电话

步骤 2

Webex 部分,从启用指标列表中选择

选择后,电话将控制所有指标消息的发送。 当您选择时,您可以禁用它。

您可以通过输入以下格式的字符串,在电话配置 XML 文件 (cfg.xml) 中配置此参数:

<Webex_Metrics_Enable ua="na">Yes</Webex_Metrics_Enable>

默认值:No

步骤 3

单击 Submit All Changes


在崩溃服务上启用 PRT 上传控制

您可以指示在电话崩溃时是否将 PRT 程序包自动上传到服务器。

开始之前

过程


步骤 1

选择 Voice > Provisioning

步骤 2

问题报告工具部分,从故障时 PRT 上传列表中选择

选择时,电话控制进程崩溃的自动上传。 当您选择时,您可以禁用它。

您可以通过输入以下格式的字符串,在电话配置 XML 文件 (cfg.xml) 中配置此参数:

<PRT_Upload_at_Crash ua="na">Yes</PRT_Upload_at_Crash>

默认值:No

步骤 3

单击 Submit All Changes


传输层安全

传输层安全 (TLS) 是用于确保能通过 Internet 进行安全通信并验证通信的标准协议。 基于 TLS 的 SIP 会对服务提供商 SIP 代理和最终用户之间的 SIP 信令消息进行加密。

Cisco IP 电话使用 UDP 作为 SIP 传输标准,同时还支持基于 TLS 的 SIP 以增强安全性。

下表说明了两个 TLS 层。

表 2. TLS 层

协议名称

说明

TLS 记录协议

该层建立在 SIP 或 TCH 等可靠的传输协议上,采用对称数据加密,能确保连接的私有性和可靠性。

TLS 握手协议

验证服务器和客户端,并在应用程序协议传输或接收数据之前协商加密算法和密钥。

使用基于 TLS 的 SIP 加密信令

在使用基于 TLS 的 SIP 加密信令消息时,您可以配置额外的安全功能。

开始之前

访问电话 Web 界面. 请参阅传输层安全

过程


步骤 1

选择语音 > 分机 (n),其中 n 是分机号码。

步骤 2

SIP Settings 部分,从 SIP Transport 列表框中选择 TLS

您可以通过输入以下格式的字符串,在电话配置 XML 文件 (cfg.xml) 中配置此参数:
<SIP_Transport_1_ ua="na">TLS</SIP_Transport_1_>
.

可用选项:

  • UDP

  • TCP

  • TLS

  • 自动

默认值:UDP

步骤 3

单击 Submit All Changes


配置基于 TLS 的 LDAP

您可以配置基于 TLS 的 LDAP (LDAPS) 以启用服务器与特定电话之间的安全数据传输。


注意


Cisco 建议保留验证方法的默认值。 验证字段在服务器字段旁边,使用值简单DIGEST MD5。 没有任何用于验证的 TLS 值。 软件将从服务器字符串的 LDAPS 协议确定验证方法。


您还可以使用 XML(cfg.xml) 代码配置电话配置文件中的参数。

开始之前

访问电话管理网页。 请参阅:访问电话 Web 界面

过程


步骤 1

选择语音 > 电话

步骤 2

LDAP 部分的服务器字段中输入服务器地址。

您也可以通过输入以下格式的字符串,在电话配置 XML 文件 (cfg.xml) 中配置此参数:

<LDAP_Server ua="na">ldaps://10.45.76.79</LDAP_Server>

例如,输入 ldaps://<ldaps_server>[:port]

其中:

  • ldaps://= 服务器地址字符串的开头。

  • ldaps_server = IP 地址或域名

  • port = 端口号。 默认值:636

步骤 3

单击 Submit All Changes


配置 StartTLS

您可以为电话与 LDAP 服务器之间的通信启用启动传输层安全 (StartTLS)。 它对安全和不安全的通信使用相同的网络端口(默认 389)。 如果 LDAP 服务器支持 StartTLS,TLS 将对通信进行加密。 否则,通信将为纯文本形式。

开始之前

过程


步骤 1

选择语音 > 电话

步骤 2

LDAP 部分的服务器字段中输入服务器地址。

例如,输入 ldap://<ldap_server>[:port]

其中:

  • ldap:// = 服务器地址字符串的开头,URL 的方案

  • ldap_server = IP 地址或域名

  • port = 端口号

您也可以通过输入以下格式的字符串,在电话配置 XML 文件 (cfg.xml) 中配置此参数:

<LDAP_Server ua="na">ldap://<ldap_server>[:port]</LDAP_Server>

步骤 3

StartTLS Enable 字段设置为 Yes

您也可以通过输入以下格式的字符串,在电话配置 XML 文件 (cfg.xml) 中配置此参数:

<LDAP_StartTLS_Enable ua="na">是</LDAP_StartTLS_Enable>

步骤 4

单击 Submit All Changes


HTTPS 设置

电话支持 HTTPS 用于设置,以提高管理远程部署设备的安全性。 除 Sipura CA 服务器根证书之外,每部电话携带唯一的 SLL 客户端证书(以及关联的专用密钥)。 后者可让电话识别授权的设置服务器,并拒绝未经授权的服务器。 另一方面,客户端证书可让设置服务器识别出发出请求的单个设备。

要使服务提供商使用 HTTPS 管理部署,必须为电话使用 HTTPS 重新同步的每个设置服务器生成服务器证书。 服务器证书必须由 Cisco 服务器 CA 根密钥签名,所有部署的设备都会携带其证书。 为获得签名的服务器证书,服务提供商必须将证书签名请求转发给思科,思科将签名并返回服务器证书以供在设置服务器上安装。

设置服务器证书必须包含公用名称 (CN) 字段以及在主题中运行服务器的主机的 FQDN。 主机 FQDN 后可能包含信息,以斜线 (/) 字符分隔。 以下示例为电话接受的有效 CN 条目:


CN=sprov.callme.com
CN=pv.telco.net/mailto:admin@telco.net
CN=prof.voice.com/info@voice.com

除验证服务器证书,电话将依据针对服务器证书中指定的服务器名称的 DNS 查找,测试服务器 IP 地址。

获取签名的服务器证书

OpenSSL 实用程序可以生成证书签名请求。 以下示例显示了生成 1024 位 RSA 公共/专用密钥对和证书签名请求的 openssl 命令:


openssl req –new –out provserver.csr

此命令会在 privkey.pem 中生成服务器专用密钥,并在 provserver.csr 中生成对应的证书签名请求。 服务提供商会保留 privkey.pem 密钥并将 provserver.csr 提交给思科签名。 收到 provserver.csr 文件之后,思科会生成签名的服务器证书 provserver.crt

过程


步骤 1

导航到 https://software.cisco.com/software/cda/home并使用 CCO 凭证登录。

 

电话第一次连接到网络时或恢复出厂设置后,如果没有设置 DHCP 选项,它会联系设备激活服务器以执行零接触设置。 新电话将使用 “activate.cisco.com” 而不是 “webapps.cisco.com” 进行设置。 如果固件为 11.2 (1) 之前的版本,电话将继续使用 “webapps.cisco.com”。 我们建议您允许这两个域名通过防火墙。

步骤 2

选择证书管理

签名 CSR 选项卡上,将上传之前步骤中的 CSR 供签名。

步骤 3

选择产品下拉列表框中,选择 SPA1xx 固件 1.3.3 和更高版本/SPA232D 固件 1.3.3 和更高版本/SPA5xx 固件 7.5.6 和更高版本/CP-78xx-3PCC/CP-88xx-3PCC

 

本产品包含 Cisco 6800 系列多平台 IP 电话。

步骤 4

CSR 文件字段中,单击浏览并选择 CSR 供签名。

步骤 5

选择加密方法:

  • MD5
  • SHA1
  • SHA256

思科建议您选择 SHA256 加密。

步骤 6

登录持续时间下拉列表框选择适用的持续时间(例如 1 年)。

步骤 7

单击登录证书请求

步骤 8

选择以下选项之一接收签名的证书:

  • 输入收件人的电子邮件地址—如果您想要通过电子邮件接收证书,在此字段中输入您的电子邮件地址。
  • 下载—如果想要下载签名的证书,请选择此选项。

步骤 9

单击提交

会下载签名的服务器证书,或者通过电子邮件将其发送给之前提供的电子邮件地址。


多平台电话 CA 客户端根证书

思科还为服务提供商提供多平台电话客户端根证书。 此根证书验证每部电话携带的客户端证书的可靠性。 多平台电话还支持第三方签名的证书,例如 Verisign、Cybertrust 等提供的证书。

在 HTTPS 会话期间,每个设备提供的唯一客户端证书携带嵌入到其主题字段中的标识信息。 HTTPS 服务器可将此信息提供给被调用来处理安全请求的 CGI 脚本使用。 具体而言,证书主题指示设备产品名称(OU 元素)、MAC 地址(S 元素,)和序列号(L 元素)。

以下 Cisco 7841 多平台 IP 电话客户端证书主题字段的示例显示了这些元素:

OU=CP-7841-3PCC, L=88012BA01234, S=000e08abcdef

以下 Cisco 7832 多平台 IP 会议电话客户端证书主题字段的示例显示了这些元素:

OU=CP-7832-3PCC, L=88012BA01234, S=000e08abcdef

以下 Cisco 8841 多平台 IP 电话客户端证书主题字段的示例显示了这些元素:

OU=CP-8841-3PCC, L=88012BA01234, S=000e08abcdef

以下 Cisco 6841 多平台 IP 电话客户端证书主题字段的示例显示了这些元素:

OU=CP-6841-3PCC, L=88012BA01234, S=000e08abcdef

要确定电话是否携带个性化的证书,请使用 $CCERT 设置宏变量。 视乎是否存在唯一的客户端证书而定,变量值将扩展为“已安装”或“未安装”。 如果采用通用的证书,可能要从“用户-代理”字段的 HTTP 请求标头中获取设备的序列号。

可将 HTTPS 服务器配置为从连接的客户端请求 SSL 证书。 如果启用,服务器可以使用思科提供用以验证客户端证书的多平台电话客户端根证书。 服务器然后可以向 CGI 提供证书信息以供进一步处理。

证书存储位置可能不尽相同。 例如,在 Apache 安装中,存储设置服务器签名证书的文件路径、其关联的专用密钥以及多平台电话 CA 客户端根证书如下所示:


# Server Certificate:
SSLCertificateFile /etc/httpd/conf/provserver.crt

# Server Private Key:
SSLCertificateKeyFile /etc/httpd/conf/provserver.key

# Certificate Authority (CA):
SSLCACertificateFile /etc/httpd/conf/spacroot.crt

有关详细信息,请参阅 HTTPS 服务器文档。

思科客户端证书根颁发机构会在每个唯一的证书上签名。 相应的根证书可供服务提供商用于验证客户端。

冗余设置服务器

设置服务器可以指定为 IP 地址或者为完全限定域名 (FQDN)。 使用 FQDN 可加快冗余设置服务器的部署。 通过 FQDN 确定设置服务器后,电话将尝试通过 DNS 将 FQDN 解析为 IP 地址。 仅支持将 DNS A 记录用于设置;DNS SRV 地址解析对设置不适用。 在服务器响应之前,电话将继续处理 A 记录。 如果没有与 A 记录关联的服务器响应,电话将向系统日志服务器记录一个错误。

系统日志服务器

如果使用 <Syslog Server> 参数在电话上配置系统日志服务器,执行重新同步和升级操作时会发送消息到系统日志服务器。 消息可在远程文件请求开始(配置文件或固件负载)和操作结束(指示成功或失败)时生成。

记录的消息在以下参数中配置,并宏扩展到实际的系统日志消息:

  • Log_Request_Msg

  • Log_Success_Msg

  • Log_Failure_Msg

启用防火墙

我们通过强化操作系统来增强电话的安全性。 强化可确保电话具有防火墙,可保护其免受恶意传入流量的侵害。 防火墙会跟踪传入和传出数据的端口。 它会检测来自意外来源的传入流量并阻止访问。 您的防火墙允许所有传出流量。

防火墙可能会动态取消阻止通常阻止的端口。 传出 TCP 连接或 UDP 流会取消阻止端口以返回和继续传输流量。 在流处于活动状态时,端口将保持畅通。 当流终止或超时时,端口将恢复为阻止状态。

在旧版设置中,IPv6 多播 Ping 语音 > 系统 > IPv6 设置 > Broadcast Echo 继续独立于新的防火墙设置工作。

防火墙配置更改通常不会导致电话重新启动。 电话软重启通常不会影响防火墙的运行。

防火墙默认启用。 如果其被禁用,您可以从电话网页启用。

开始之前

访问电话 Web 界面

过程


步骤 1

选择 Voice > System > Security Settings

步骤 2

Firewall 下拉列表中,选择 Enabled

您也可以通过输入以下格式的字符串,在配置文件 (cfg.xml) 中配置此参数:
<Firewall ua="na">Enabled</Firewall>

允许的值包括:Disabled|Enabled。 默认值为 Enabled。

步骤 3

单击 Submit All Changes

这样可让防火墙使用其默认的开放 UDP 和 TCP 端口。

步骤 4

如果想要您的网络恢复为其之前的行为,可选择 Disabled 以禁用防火墙。

下表说明了默认的开放 UDP 端口。

表 3. 防火墙默认的开放 UDP 端口

默认开放的 UDP 端口

说明

DHCP/DHCPv6

DHCP 客户端端口 68

DHCPv6 客户端端口 546

SIP/UDP

启用线路设置为SIP 传输设置为 UDP自动时,在语音 > 分机<n> > SIP 设置 > SIP 端口中配置端口(示例:5060)。

RTP/RTCP

UDP 端口范围为 RTP 最小端口号RTP 最大端口号+1

PFS(对等固件共享)

启用升级对等固件共享设置为时,端口 4051。

TFTP 客户端

端口 53240-53245。 如果远程服务器使用标准 TFTP 端口 69 以外的端口,则需要此端口范围。如果服务器使用标准端口 69,则可以将其关闭。请参阅 通过其他选项配置防火墙

TR-069

启用 TR-069设置为时,UDP/STUN 端口 7999。

下表说明了默认的开放 TCP 端口。

表 4. 防火墙默认的开放 TCP 端口

默认开放的 TCP 端口

说明

Web 服务器

启用 Web 服务器设置为时,通过 Web 服务器端口配置的端口(默认为 80)。

PFS(对等固件共享)

启用升级对等固件共享都设置为时,端口 4051 和 6970。

TR-069

启用 TR-069 设置为时,TR-069 连接请求 URL 中的 HTTP/SOAP 端口。

端口从 8000-9999 范围中随机选择。


通过其他选项配置防火墙

您可以在防火墙选项字段中配置其他选项。 在字段中键入每个选项的关键字,然后用逗号 (,) 分隔关键字。 有些关键字有值。 将值以冒号 (:) 隔开。

开始之前

访问电话 Web 界面

过程


步骤 1

转至 Voice > System > Security Settings

步骤 2

Firewall 字段选择 Enabled

步骤 3

Firewall Options 字段中,输入关键字。 端口列表同时适用于 IPv4 和 IPv6 协议。

当您输入关键字时,

  • 使用逗号 (,) 将关键字隔开。

  • 使用冒号 (:) 将关键字值隔开。

表 5. 防火墙可选设置

防火墙选项关键字

说明

字段为空。

防火墙使用默认的开放端口运行。

NO_ICMP_PING

防火墙会阻止传入的 ICMP/ICMPv6 Echo 请求 (Ping)。

此选项可能会中断对电话的某些类型的 traceroute 请求。 Windows tracert 是一个示例。

带选项组合的防火墙选项条目示例:

NO_ICMP_PING,TCP:12000,UDP:8000:8010

防火墙使用默认设置和以下附加选项运行:
  • 丢弃传入 ICMP/ICMPv6 Echo (Ping) 请求。

  • 为传入连接打开 TCP 端口 12000(IPv4 和 IPv6)。

  • 为传入请求打开 UDP 端口范围 8000-8010(IPv4 和 IPv6)。

NO_ICMP_UNREACHABLE

对于 UDP 端口,电话不会发送 ICMP/ICMPv6 Destination Unreachable

 

例外情况是,对于 RTP 端口范围内的端口,始终会发送 Destination Unreachable

此选项可能会中断到设备的某些类型的 traceroute 请求。 例如,Linux traceroute 可能会中断。

NO_CISCO_TFTP

  • 电话未打开 TFTP 客户端端口范围 (UDP53240:53245)。

  • 对非标准(非 69)TFTP 服务器端口的请求失败。

  • 对标准 TFTP 服务器端口 69 的请求正常。

当电话运行可处理传入请求的自定义应用程序时,以下关键字和选项适用。

UDP:<xxx>

打开 UDP 端口 <xxx>。

UDP:<xxx:yyy>

打开 UDP 端口范围,<xxx to yyy>,包括在内。

最多可以有 5 个 UDP 端口选项(单一端口和端口范围)。 例如,您可以有 3 个 UDP:<xxx> 和 2 个 UDP:<xxx:yyy>。

TCP:<xxx>

打开 TCP 端口 <xxx>。

TCP:<xxx:yyy>

打开 TCP 端口范围 <xxx to yyy>,包括在内。

最多可以有 5 个 TCP 端口选项(单一端口和端口范围)。 例如,您可以有 4 个 TCP:<xxx> 和一个 TCP:<xxx:yyy>。

您也可以通过输入以下格式的字符串,在配置文件 (cfg.xml) 中配置此参数:
<Firewall_Config ua="na">NO_ICMP_PING</Firewall_Config>

步骤 4

单击 Submit All Changes


配置密码列表

您可以指定电话 TLS 应用程序使用的密码套件。 指定的密码列表适用于使用 TLS 协议的所有应用程序。 您的电话上的 TLS 应用包括:

  • 客户 CA 设置

  • E911 地理位置

  • 固件/思科头戴式耳机升级

  • LDAPS

  • LDAP (StartTLS)

  • 图片下载

  • 徽标下载

  • 词典下载

  • 设置

  • 报告上传

  • PRT 上传

  • 通过 TLS 的 SIP

  • TR-069

  • WebSocket API

  • XML 服务

  • XSI 服务

您还可以使用 TR-069 参数 (Device.X_CISCO_SecuritySettings.TLSCipherList) 或通过配置文件 (cfg.xml) 指定加密套件。 在配置文件中输入一个以下格式的字符串:
<TLS_Cipher_List ua="na">RSA:!aNULL:!eNULL</TLS_Cipher_List>

开始之前

访问电话管理网页,请参阅访问电话 Web 界面

过程


步骤 1

选择语音 > 系统

步骤 2

Security Settings 部分的 TLS Cipher List 字段中输入密码套件或密码套件组合。

示例

RSA:!aNULL:!eNULL
支持使用 RSA 验证的密码套件,但不包括不提供加密和验证的密码套件。

 

有效密码列表必须遵循以下网址规定的格式:https://www.openssl.org/docs/man1.1.1/man1/ciphers.html。 您的电话不支持 OpenSSL 网页上所列的所有密码字符串。 有关支持的字符串,请参阅支持的密码字符串

如果 TLS Cipher List 字段的值为空或者无效,则所用的密码套件将因应用程序而异。 请参阅以下列表,以了解当此字段为空或值无效时应用程序所用的套件。

  • Web 服务器 (HTTPS) 应用程序使用以下密码套件:

    • ECDHE-RSA-AES256-GCM-SHA384

    • ECDHE-RSA-AES128-GCM-SHA256

    • AES256-SHA

    • AES128-SHA

    • DES-CBC3-SHA

  • XMPP 使用密码列表 HIGH:MEDIUM:AES:@STRENGTH

  • 使用 curl 库的 SIP、TR-069 和其他应用程序使用默认密码列表。 默认密码字符串包含电话支持的以下密码套件:

    DEFAULT Cipher Suites (28 suites):
            ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
            ECDHE_RSA_WITH_AES_256_GCM_SHA384
            DHE_RSA_WITH_AES_256_GCM_SHA384
            ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
            ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
            DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
            ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
            ECDHE_RSA_WITH_AES_128_GCM_SHA256
            DHE_RSA_WITH_AES_128_GCM_SHA256
            ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
            ECDHE_RSA_WITH_AES_256_CBC_SHA384
            DHE_RSA_WITH_AES_256_CBC_SHA256
            ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
            ECDHE_RSA_WITH_AES_128_CBC_SHA256
            DHE_RSA_WITH_AES_128_CBC_SHA256
            ECDHE_ECDSA_WITH_AES_256_CBC_SHA
            ECDHE_RSA_WITH_AES_256_CBC_SHA
            DHE_RSA_WITH_AES_256_CBC_SHA
            ECDHE_ECDSA_WITH_AES_128_CBC_SHA
            ECDHE_RSA_WITH_AES_128_CBC_SHA
            DHE_RSA_WITH_AES_128_CBC_SHA
            RSA_WITH_AES_256_GCM_SHA384
            RSA_WITH_AES_128_GCM_SHA256
            RSA_WITH_AES_256_CBC_SHA256
            RSA_WITH_AES_128_CBC_SHA256
            RSA_WITH_AES_256_CBC_SHA
            RSA_WITH_AES_128_CBC_SHA
            EMPTY_RENEGOTIATION_INFO_SCSV

步骤 3

单击 Submit All Changes


支持的密码字符串

下面列出的支持的密码字符串基于 OpenSSL 1.1.1d 标准。

表 6. 支持的密码字符串 (OpenSSL 1.1.1d)

字符串

字符串

字符串

DEFAULT

kECDHE、kEECDH

CAMELLIA128、CAMELLIA256、CAMELLIA

COMPLEMENTOFDEFAULT

ECDHE、EECDH

CHACHA20

ALL

ECDH

SEED

COMPLEMENTOFALL

AECDH

MD5

HIGH

aRSA

SHA1、SHA

MEDIUM

aDSS、DSS

SHA256、SHA384

eNULL、NULL

aECDSA、ECDSA

SUITEB128、SUITEB128ONLY、SUITEB192

aNULL

TLSv 1.2、TLSv1、SSLv3

kRSA、RSA

AES128、AES256、AES

kDHE、kEDH、DH

AESGCM

DHE、EDH

AESCCM、AESCCM8

ADH

ARIA128、ARIA256、ARIA

为基于 TLS 的 SIP 启用主机名验证

如果您使用 TLS,可以在电话线路上启用增强的电话安全性。 电话线路可以验证主机名以确定连接是否安全。

通过 TLS 连接,电话可以验证主机名以检查服务器身份。 电话可以检查主题备选名称 (SAN) 和主题通用名 (CN)。 如果有效证书上的主机名与用于同服务器通信的主机名匹配,TLS 连接即会建立。 否则,TLS 连接会失败。

电话始终验证以下应用程序的主机名:

  • LDAPS

  • LDAP (StartTLS)

  • XMPP

  • 基于 HTTPS 的映像升级

  • 基于 HTTPS 的 XSI

  • 基于 HTTPS 的文件下载

  • TR-069

当电话线路基于 TLS 传输 SIP 消息时,您可以通过分机 (n) 选项卡的 TLS 名称验证字段配置线路以启用或绕过主机名验证。

开始之前

  • 访问电话管理网页。 请参阅:访问电话 Web 界面

  • Ext(n) 选项卡上,将 SIP Transport 设置为 TLS

过程


步骤 1

转至 Voice > Ext(n)

步骤 2

Proxy and Registration 部分,将 TLS Name Validate 字段设置为 Yes 启用主机名验证,或设置为 No 绕过主机名验证。

您也可以通过输入以下格式的字符串,在配置文件 (cfg.xml) 中配置此参数:
<TLS_Name_Validate_1_ ua="na">Yes</TLS_Name_Validate_1_>

允许的值包括 Yes 和 No。默认设置为 Yes。

步骤 3

单击 Submit All Changes


为媒体平面安全协商启用客户端启动的模式

要保护媒体会话,您可以配置电话以发起与服务器的媒体平面安全协商。 安全机制遵循 RFC 3329 及其扩展草案媒体安全机制名称中所述的标准(请参阅 https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2)。 电话与服务器之间的协商传输可以通过 UDP、TCP 和 TLS 使用 SIP 协议。 您可以限制为,仅当信令传输协议为 TLS 时,才应用媒体平面安全协商。

您还可以在配置文件 (cfg.xml) 中配置参数。 要配置各个参数,请参阅媒体平面安全协商的参数中的字符串语法。

开始之前

访问电话管理网页。 请参阅:访问电话 Web 界面

过程


步骤 1

选择语音 > 分机 (n)

步骤 2

SIP Settings 部分,如媒体平面安全协商的参数中所述设置 MediaSec RequestMediaSec Over TLS Only 字段

步骤 3

单击 Submit All Changes


媒体平面安全协商的参数

下表定义了电话 Web 界面中语音 > 分机 (n) 选项卡下SIP 设置部分呼叫功能设置部分中媒体平面安全协商参数的功能和用法。 它还定义了电话配置文件 (cfg.xml) 中添加的字符串的语法,其中包含用于配置参数的 XML 代码。

表 7. 媒体平面安全协商的参数

参数

说明

MediaSec Request

指定电话是否向服务器发起媒体平面安全协商。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:
    <MediaSec_Request_1_ ua="na">Yes</MediaSec_Request_1_>
  • 在电话 Web 界面中,根据需要将此字段设置为 YesNo

允许的值:是|否

  • Yes — 客户端发起的模式。 电话发起媒体平面安全协商。

  • No — 服务器发起的模式。 服务器发起媒体平面安全协商。 电话不发起协商,但可以处理来自服务器的协商请求以建立安全呼叫。

默认值:No

MediaSec Over TLS Only

指定通过其应用媒体平面安全协商的信令传输协议。

在将此字段设置为 Yes 之前,请确保信令传输协议为 TLS。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:
    <MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>
  • 在电话 Web 界面中,根据需要将此字段设置为 YesNo

允许的值:是|否

  • Yes — 仅当信令传输协议为 TLS 时,电话才会发起或处理媒体平面安全协商。

  • No — 无论信令传输协议如何,电话都会发起并处理媒体平面安全协商。

默认值:No

802.1x 验证

Cisco IP 电话使用思科发现协议 (CDP) 来识别 LAN 交换机并确定 VLAN 分配和线内电源要求等参数。 CDP 不识别本地连接的工作站。 Cisco IP 电话提供 EAPOL 传递机制。 利用此机制,连接至 Cisco IP 电话的工作站会将 EAPOL 消息传递给 LAN 交换机处的 802.1X 验证器。 该传递机制可确保,在访问网络前 IP 电话不会充当 LAN 交换机来验证数据终端。

Cisco IP 电话还提供代理 EAPOL 注销机制。 如果本地连接的 PC 与 IP 电话断开,LAN 交换机看不到物理链路失效,因为保持了 LAN 交换机与 IP 电话之间的链路。 为了避免损害网络完整性,IP 电话会代表下游 PC 向交换机发送一则 EAPOL 注销的消息,这会触发 LAN 交换机清除下游 PC 的验证条目。

对 802.1X 验证的支持需要多个组件:

  • Cisco IP 电话:电话会发起访问网络的请求。 Cisco IP 电话包含 802.1X 请求方。 网络管理员可以通过此请求方控制 IP 电话至 LAN 交换机端口的连接。 电话 802.1X 请求方的最新版本使用 EAP-FAST 和 EAP-TLS 选项进行网络验证。

  • Cisco 安全访问控制服务器 (ACS)(或其他第三方验证服务器):验证服务器和电话必须均使用验证电话的共享密钥进行配置。

  • LAN 交换机支持 802.1X:交换机充当验证器,并在电话和验证服务器之间传递消息。 在交换完成后,交换机会授予或拒绝电话访问网络的权限。

您必须执行以下操作来配置 802.1X。

  • 在电话上启用 802.1X 验证前配置其他组件。

  • 配置 PC 端口:802.1X 标准不会考虑 VLAN,因此建议只验证连接至特定交换机端口的单个设备。 但是,某些交换机支持多域验证。 交换机配置决定是否可以将 PC 连接至电话的 PC 端口。

    • 是:如果您使用的是支持多域验证的交换机,可以启用 PC 端口并将 PC 连接至该端口。 在此情况下,Cisco IP 电话支持代理 EAPOL 注销,来监控交换机与所连 PC 之间的验证交换。

    • 否:如果交换机不支持同一端口上的多个符合 802.1X 的设备,应在启用 802.1X 验证后禁用 PC 端口。 如果不禁用此端口,后来又尝试将 PC 连接至该端口,交换机会拒绝对电话和 PC 的网络访问。

  • 配置语音 VLAN:由于 802.1X 标准不考虑 VLAN,应根据交换机支持来配置此设置。

    • 启用:如果您使用的是支持多域验证的交换机,可以继续使用语音 VLAN。

    • 禁用:如果交换机不支持多域验证,则禁用语音 VLAN 并考虑将此端口分配给本机 VLAN。

启用 802.1X 验证

您可以在电话上启用 802.1X 验证。 802.1 X 验证启用后,电话将使用 802.1 X 验证请求网络访问。802.1 X 验证关闭后,电话将使用 CDP 获取 VLAN 和网络访问。 您还可以在电话屏幕菜单中查看事务状态。

过程


步骤 1

执行以下操作之一以启用 802.1 X 验证:

  • 在电话 Web 界面中,选择 Voice > System,然后将 Enable 802.1X Authentication 字段设置为 Yes。 然后,单击 Submit All Changes
  • 在配置文件 (cfg.xml) 中,输入一个以下格式的字符串:
    <Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>
  • 在电话上,按应用程序 > 网络配置 > 以太网配置 > 802.1X 验证。 然后,使用选择按键将设备身份验证字段切换为

步骤 2

选择事务状态以查看以下各项:

  • 事务状态:显示 802.1x 验证的状态。 状态可以是:

    • 正在验证:指示验证过程正在进行中。

    • 已验证:指示电话已验证完成。

    • 禁用:指示在电话上禁用了 802.1x 验证。

  • 协议:显示用于 802.1x 验证的 EAP 方法。 协议可以是 EAP-FAST 或 EAP-TLS。

步骤 3

选择用户证书类型,然后选择用于在初始注册和证书更新期间进行 802.1X 验证的证书(如果质询密码为空)。

  • 厂商预装:使用厂商预装证书 (MIC) 和安全唯一设备标识符 (SUDI)。
  • 自定义安装:使用自定义设备证书 (CDC)。 这类证书可以通过在电话网页上手动上传或从简单证书注册协议 (SCEP) 服务器上安装。

步骤 4

提交


手动安装自定义设备证书

您可以通过从电话管理网页上传证书,在电话上手动安装自定义设备证书(CDC)。

开始之前

在为电话安装自定义设备证书之前,您必须具备:

  • 由 OPENSSL 3.0 或更高版本生成的证书文件(.p12 或 .pfx)。 此文件包含证书和私钥。 将该文件保存在您的 PC 上。

  • 证书的提取密码。 密码用于解密证书文件。 密码长度必须大于 14 个字符。

  • 访问电话管理网页。 请参阅:访问电话 Web 界面

过程


步骤 1

选择 证书 > 自定义

步骤 2

添加证书部分中,单击浏览...

步骤 3

浏览至您 PC 上的证书。

步骤 4

提取密码字段中,输入证书提取密码。

步骤 5

单击上传

如果证书文件和密码正确无误,您将收到证书已添加消息。 否则,上传会失败并出现错误消息,指明证书无法上传。

步骤 6

要查看已安装证书的详细信息,请单击现有证书部分中的查看

步骤 7

(可选) 要从电话中删除已安装的证书,请单击现有证书部分中的删除

单击该按键后,删除操作会立即开始,无需进行确认。

如果证书被成功删除,您将收到消息“证书已删除”。


通过 SCEP 自动安装自定义设备证书

如果不想手动上传证书文件或没有证书文件,可以将简单证书注册协议(SCEP)参数设置为自动安装自定义设备证书(CDC)。

正确配置 SCEP 参数后,电话会向 SCEP 服务器发送请求,设备将使用定义的指纹验证 CA 证书。

开始之前

在为电话安装自定义设备证书之前,您必须拥有:

  • SCEP 服务器地址

  • SCEP 服务器根 CA 证书的 SHA-1 或 SHA-256 指纹

  • 访问电话管理网页。 请参阅:访问电话 Web 界面

过程


步骤 1

访问电话管理网页。

步骤 2

选择证书 > 自定义

步骤 3

SCEP 配置 1 部分中,按照下表 SCEP 配置参数所述设置参数。

步骤 4

单击 Submit All Changes


SCEP 配置的参数

下表定义了电话管理 Web 界面证书 > 自定义选项卡下 SCEP 配置 1 部分中 SCEP 配置参数的功能和用法。 它还定义在电话配置文件(cfg.xml)中添加以配置参数的字符串的语法。

表 8. SCEP 配置的参数
参数 说明
服务器

SCEP 服务器地址。 这是必要参数。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • 在电话管理 Web 页面上,输入 SCEP 服务器地址。

有效值:URL 或 IP 地址。 不支持 HTTPS 方案。

默认值:空

根 CA 指纹

根 CA 的 SHA256 或 SHA1 指纹,用于在 SCEP 过程中进行验证。 这是必要参数。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • 在电话管理网页上,输入有效的指纹。

默认值:空

质询密码

在通过 SCEP 注册证书期间,用于对电话进行 Certificate Authority (CA) 授权的质询密码。 此参数是可选的。

根据实际的 SCEP 环境,质询密码的行为会有所不同。

  • 如果电话从与 CA 进行通信的 Cisco RA 获取证书,则 CA 不支持质询密码。在这种情况下,Cisco RA 使用电话的 MIC/SUDI 进行身份验证以访问 CA。电话使用 MIC/SUDI 进行初始注册和证书续订。

  • 如果电话通过直接与 CA 通信来获取证书,则 CA 支持质询密码。如果已配置,它将仅用于初始注册。 对于证书续订,将改用已安装的证书。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <CDC_Challenge_Password_1_ ua="na">B36A11A834EED055</CDC_Challenge_Password_1_>

    密码在配置文件中会被掩蔽。

  • 在电话管理网页上,输入质询密码。

默认值:空

通过 DHCP 选项 43 配置 SCEP 参数

除了通过电话网页上的手动配置注册 SCEP 证书之外,您还可以使用 DHCP 选项 43 从 DHCP 服务器填充参数。 DHCP 选项 43 预先配置了 SCEP 参数,之后电话可以从 DHCP 服务器获取参数,以便执行 SCEP 证书注册。



  • 通过 DHCP 选项 43 配置的 SCEP 参数仅适用于执行恢复出厂设置的电话。

  • 电话不得放置在同时支持选项 43 和远程配置(例如,选项 66,160,159,150 或云配置)的网络中。 否则,电话可能无法获得 Option 43 配置。


要通过在 DHCP 选项 43 中配置 SCEP 参数来注册 SCEP 证书,请执行以下操作:

  1. 准备 SCEP 环境。

    有关 SCEP 环境设置的信息,请参阅 SCEP 服务器文档。

  2. 设置 DHCP 选项 43(定义见 8.4 供应商特定信息,RFC 2132)。

    子选项 (10-15) 保留用于该方法:

    电话上的参数网页 子选项 类型 长度(字节) 必需
    FIPS 模式 10 布尔 1
    服务器 11 字符串 服务器 + 质询密码的最大长度应小于 208 字节。
    根 CA 指纹 12 二进制 20(SHA-1)或 32(SHA-256)
    质询密码 13 字符串 服务器 + 质询密码的最大长度应小于 208 字节。
    启用 802.1X 验证 14 布尔 1
    证书选择 15 无符号 8 位 1

    使用 DHCP 选项 43 时,请注意该方法的以下特征:

    • 子选项(10–15)是为自定义设备证书(CDC)保留的。

    • DHCP 选项 43 的最大长度为 255 字节。

    • FIPS 模式的值应与载入设置配置一致。 否则,电话在载入后将无法检索之前安装的证书。 具体说来

      • 如果电话将注册到禁用 FIPS 模式的环境中,则无需在 DHCP 选项 43 中配置 FIPS 模式 参数。默认情况下,FIPS 模式已被禁用。

      • 如果电话将注册到启用了 FIPS 模式的环境中,则必须在 DHCP 选项 43 中启用 FIPS 模式。有关详细信息,请参阅启用 FIPS 模式

    • 选项 43 中的密码为明文形式。

      如果质询密码为空,则电话将使用 MIC/SUDI 进行初始注册和证书续订。 如果配置了质询密码,则它仅用于初始注册,已安装的证书将用于证书续订。

    • 启用 802.1X 身份验证证书选择 仅用于有线网络中的电话。

    • DHCP 选项 60(供应商类标识符)用于标识设备型号。

    下表提供了 DHCP 选项 43(子选项 10–15)的示例:

    子选项十进制/十六进制 值长度(字节)十进制/十六进制 十六进制值
    10/0a 1/01 1(0:已禁用;1:已启用) 01
    11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931
    12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135
    14/0e 1/01 1(0:否;1:是) 01
    15/0f 1/01 1(0:厂商预装;1:自定义安装) 01

    参数值摘要:

    • FIPS 模式 = 启用

    • 服务器 = http://10.79.57.91

    • 根 CA 指纹 = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • 质询密码 = D233CCF9B9952A15

    • 启用 802.1X 身份验证 =

    • 证书选择 = 自定义安装

    最终十六进制值的语法为: {<suboption><length><value>}...

    根据上面的参数值,最终的十六进制值如下:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. 在 DHCP 服务器上配置 DHCP 选项 43。



    此步骤提供了 Cisco 网络寄存器上的 DHCP 选项 43 配置的示例。
    1. 添加 DHCP 选项定义集。

      供应商选项字符串是 IP 电话的型号名称。 例如,CP-8865-3PCC、CP-8832-3PCC 等。

    2. 将 DHCP 选项 43 和子选项添加到 DHCP 选项定义集中。

      示例

    3. 将选项 43 添加到 DHCP 策略,并按如下所示设置值:

      示例

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. 验证设置。 您可以使用 Wireshark 捕获电话和服务之间的网络流量跟踪。

  4. 为电话执行恢复出厂设置。

    重设电话后,服务器根 CA 指纹质询密码参数将自动填写。 这些参数位于电话管理网页证书 > 自定义SCEP 配置 1 部分中。

    要查看已安装证书的详细信息,请单击现有证书部分中的查看

    要查看证书安装状态,请选择证书 > 自定义证书状态下载状态 1 显示最新结果。 如果在证书注册期间出现任何问题,下载状态会显示问题原因以进行故障排除。



    如果质询密码验证失败,电话屏幕会提示用户输入密码。
  5. 可选:要从电话中删除已安装的证书,请单击现有证书部分中的删除



    单击该按键后,删除操作会立即开始,无需进行确认。

SCEP 的证书续订

SCEP 进程可以自动刷新设备证书。

  • 电话每 4 小时检查证书是否会在 15 天后过期。 如果是这样,电话会自动启动证书续订过程。

  • 如果质询密码为空,则电话将使用 MIC/SUDI 进行初始注册和证书续订。 如果配置了质询密码,则仅用于初始注册,现有/已安装的证书将用于证书续订。

  • 电话在检索新设备证书之前不会删除旧设备证书。

  • 如果证书续订因设备证书或 CA 过期而失败,电话将自动触发初始注册。 同时,如果质询密码身份验证失败,电话屏幕上会弹出密码输入屏幕,提示用户在电话上输入质询密码。

设置代理服务器

您可以将电话配置为使用代理服务器以增强安全性。 代理服务器充当电话和互联网之间的防火墙。 配置成功后,电话通过代理服务器连接到互联网,代理服务器保护电话免受网络攻击。

您可以通过使用自动配置脚本或手动配置主机服务器(主机名或 IP 地址)和代理服务器的端口来设置代理服务器。

配置后,HTTP 代理特性将应用于所有使用 HTTP 协议的应用程序。 应用程序包括以下内容:

  • GDS(激活码加入)

  • EDOS 设备激活

  • 加入 Webex 云(通过 EDOS 和 GDS)

  • 证书验证

  • 设置

  • 固件升级Cisco IP Phone 6821 多平台电话 不支持)

  • 电话状态报告

  • PRT 上传

  • XSI 服务

  • Webex 服务

开始之前

访问电话管理网页。 请参阅:访问电话 Web 界面

过程


步骤 1

选择语音 > 系统

步骤 2

HTTP 代理设置部分中,根据您的要求配置参数代理模式和其他方式。 以下步骤提供了详细的程序。

步骤 3

执行下列操作之一:

  • 代理模式自动

    • 如果使用自动发现 (WPAD),则不需要进一步的操作。 电话将通过 Web 代理自动发现协议自动检索代理自动配置 (PAC) 文件。

    • 如果使用自动发现 (WPAD),请在 PAC URL 中输入一个有效的 URL。

  • 代理模式手动

    • 如果代理服务器要求验证,则在代理主机中输入代理服务器,在代理端口中输入代理端口。

    • 如果代理服务器要求验证,则在代理主机中输入代理服务器,在代理端口中输入代理端口。 并在用户名中输入用户名,在密码中输入密码。

  • 代理模式,电话上的 HTTP 代理功能被禁用。

您还可以在电话配置文件 (cfg.xml) 中配置参数。 要配置各个参数,请参阅 HTTP 代理设置的参数 中的字符串语法。

步骤 4

单击 Submit All Changes


HTTP 代理设置的参数

下表定义了电话 Web 界面中语音 > 系统选项卡下 HTTP 代理设置部分中 HTTP 代理参数的功能和用法。 它还定义了电话配置文件 (cfg.xml) 中添加的字符串的语法,其中包含用于配置参数的 XML 代码。

表 9. HTTP 代理设置的参数

参数

描述和默认值

代理模式

指定电话使用的 HTTP 代理模式,或禁用 HTTP 代理功能。

  • 自动

    电话会自动检索代理自动配置 (PAC) 文件以选择代理服务器。 在这种模式下,您可以决定是使用 Web 代理自动发现 (WPAD) 协议来检索 PAC 文件,还是手动输入 PAC 文件的有效 URL。

    有关参数的详细信息,请参阅使用自动发现 (WPAD)PAC URL

  • 手动

    您必须手动指定服务器(主机名或 IP 地址)和代理服务器的端口。

    有关参数的详细信息,请参阅代理主机代理端口

  • 您禁用了电话上的 HTTP 代理功能。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:
    <Proxy_Mode ua="rw">Off</Proxy_Mode>
  • 在电话 Web 界面上,选择代理模式或禁用该功能。

允许的值:自动、手动和关

默认值:关

使用自动发现 (WPAD)

确定电话是否使用 Web 代理自动发现 (WPAD) 协议来检索 PAC 文件。

WPAD 协议使用 DHCP 或 DNS 或两种网络协议来自动定位代理自动配置 (PAC) 文件。 PAC 文件用于为给定的 URL 选择代理服务器。 此文件可以在本地或网络上托管。

  • 代理模式设置为自动时,参数配置生效。

  • 如果将参数设置为,则必须指定一个 PAC URL。

    有关该参数的详细信息,请参阅 PAC URL

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:
    <Use_Auto_Discovery__WPAD_ ua="rw">Yes</Use_Auto_Discovery__WPAD_>
  • 在电话 Web 界面上,根据需要选择是或否。

允许的值:Yes 和 No

默认值:Yes

PAC URL

PAC 文件的 URL。

例如,http://proxy.department.branch.example.com

支持 TFTP、HTTP 和 HTTPS。

如果将代理模式设置为自动并将使用自动发现 (WPAD) 设置为,则必须配置此参数。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:
    <PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL>
  • 在电话 Web 界面上,输入一个定位到 PAC 文件的有效 URL。

默认值:空

代理主机

电话要访问的代理主机服务器的 IP 地址或主机名。 例如:

proxy.example.com

不需要该方案 (http:// or https://)。

如果将代理模式设置为手动,则必须配置此参数。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:
    <Proxy_Host ua="rw">proxy.example.com</Proxy_Host>
  • 在电话 Web 界面上,输入代理服务器的 IP 地址或主机名。

默认值:空

代理服务器端口

代理主机服务器的端口号。

如果将代理模式设置为手动,则必须配置此参数。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:
    <Proxy_Port ua="rw">3128</Proxy_Port>
  • 在电话 Web 界面上,输入服务器端口。

缺省:3128

代理服务器需要验证

确定用户是否需要提供代理服务器所需的验证凭据(用户名和密码)。 此参数是根据代理服务器的实际行为配置的。

如果将参数设置为,则必须配置用户名密码

有关参数的详细信息,请参阅用户名密码

代理模式设置为手动时,参数配置生效。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:
    <Proxy_Server_Requires_Authentication ua="rw">No</Proxy_Server_Requires_Authentication>
  • 在电话 Web 界面上,根据需要设置此字段“是”或“否”。

允许的值:Yes 和 No

默认值:No

用户名

代理服务器上凭据用户的用户名。

如果代理模式设置为手动,并且代理服务器要求验证设置为,则必须配置该参数。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:
    <Proxy_Username ua="rw">Example</Proxy_Username>
  • 在电话 Web 界面上,输入用户名。

默认值:空

密码

用于代理验证目的的指定用户名的密码。

如果代理模式设置为手动,并且代理服务器要求验证设置为,则必须配置该参数。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:
    <Proxy_Password ua="rw">Example</Proxy_Password>
  • 在电话 Web 界面上,为用户的代理验证输入有效密码。

默认值:空

启用 FIPS 模式

您可以使电话符合联邦信息处理标准 (FIPS)。

FIPS 是一组在非军事政府中使用以及与机构合作的政府承包商和供应商使用的文档处理、加密算法和其他信息技术标准。 OpenSSL FOM(FIPS 对象模块)是一个明确定义的软件组件,设计用于与 OpenSSL 库兼容,因此使用 OpenSSL 库和 API 的产品可以轻松转换为使用 FIPS 140-2 验证的加密。

FIPS 模式具有以下限制:

  • TR069 已禁用

  • HTTP Digest 验证已禁用

开始之前

过程


步骤 1

选择语音 > 系统

步骤 2

安全设置部分中, 从 FIPS 模式参数中选择

当您无法启用 FIPS 模式时,电话上会显示一条安全性错误消息,而且电话需要重新启动。

此外,当启用 FIPS 模式失败时,电话会在状态消息屏幕上显示与 FIPS 相关的错误消息。

步骤 3

单击 Submit All Changes

启用 FIPS 时,以下功能可在电话上无缝运行:

图像验证

PRT 上传

一键加入 (OBTJ)

安全存储

固件升级

通过 TLS 的 SIP

配置文件加密

配置文件重新同步

SRTP

802.1X

自行激活服务

SIP Digest (RFC 8760)

HTTPs 服务器

Webex 自行激活、Webex 呼叫日志、Webex 目录

Http 代理


通过电话设置 VPN 连接

您可以通过电话设置并启用 VPN 连接。

Cisco IP Phone 6821 多平台电话 不支持 VPN 连接。

过程


步骤 1

应用程序

步骤 2

选择网络配置 > VPN 设置

步骤 3

VPN 服务器中输入 VPN 服务器的 IP 地址或 FQDN。

步骤 4

用户名密码中输入用户凭据。

步骤 5

(可选) 如有需要,在隧道组中输入隧道组的名称。

如果字段为空,则表示没有隧道组用于此 VPN 连接。

步骤 6

高亮显示启动时连接到 VPN,按导航群集的选择按键以选择打开

步骤 7

设置保存所做的设置。

目前,VPN 设置已经完成。 您可以手动重新启动电话触发与 VPN 服务器的自动连接。 如果要立即启用 VPN 连接,请继续进行下一步。

步骤 8

高亮显示启用 VPN 连接,选择打开启用 VPN 连接。

 

启用 VPN 连接设置为打开后,电话将立即尝试连接到 VPN 服务器。 在此过程中,电话将自动重新启动。

VPN 连接大约需要一分钟。

电话重新启动后,电话屏幕右上角的 VPN 连接图标 表示 VPN 连接已成功建立。

如果 VPN 连接失败,则启用 VPN 连接的值将保持为关闭

步骤 9

(可选) 查看 VPN 连接详细信息。 例如,当前 VPN 连接状态和 VPN IP 地址。 有关详细信息,请参阅查看 VPN 状态

步骤 10

(可选) 您可以禁用电话中的 VPN 连接。

  1. 应用程序

  2. 选择网络配置 > VPN 设置

  3. 高亮显示启动时连接到 VPN,选择关闭

  4. 高亮显示启用 VPN 连接,选择关闭以禁用 VPN 连接。 这会导致电话立即重新启动。


查看 VPN 状态

您可以查看 VPN 连接的详细信息。 例如,当前的 VPN 状态和您的电话 VPN IP 地址。

您也可以通过选择信息 > 状态 > VPN 状态来查看“电话”网页中的状态。

过程


步骤 1

应用程序

步骤 2

选择 状态 > VPN 状态

可以查看以下信息:

  • VPN 连接 —指示电话是否连接到 VPN 服务器。 状态可以为已连接已断开

  • VPN IP 地址—VPN 从 VPN 服务器分配的 IP 地址。

  • VPN 子网掩码—从 VPN 服务器分配 VPN 子网掩码。

  • 发送的字节数—电话通过 VPN 服务器发送到网络的总字节数。

  • 接收的字节数—电话通过 VPN 服务器接收的总字节数。


从“电话网页”设置 VPN 连接

您可以从“电话网页”设置 VPN 连接。

Cisco IP Phone 6821 多平台电话不支持 VPN 连接。

开始之前

访问电话管理网页。 请参阅:访问电话 Web 界面

过程


步骤 1

选择语音 > 系统

步骤 2

VPN 设置部分,如 VPN 设置参数 表中所述配置参数。

步骤 3

单击提交所有更改以保存更改。

更改不会立即生效。 您需要手动重新启动电话或从电话启用 VPN 连接以触发 VPN 连接。

您还可以使用 XML(cfg.xml) 代码配置电话配置文件中的参数。 要配置各个参数,请参阅VPN 设置参数表中的字符串语法。

步骤 4

(可选) 在电话重新启动成功后,您可以在信息 > 状态中的 VPN 状态部分下查看 VPN 连接的状态和其他详细信息。

步骤 5

(可选) 如果要禁用 VPN 连接,请将启动时连接参数设置为,然后手动重新启动电话。 有关详细信息,请参阅从电话网页重新启动电话


VPN 设置参数

下表定义了电话 Web 界面中语音 > 系统选项卡下 VPN 设置部分中 VPN 连接参数的功能和用法。 它还定义了电话配置文件 (cfg.xml) 中添加的字符串的语法,其中包含用于配置参数的 XML 代码。

表 10. VPN 设置参数

参数

描述和默认值

VPN 服务器

IP 地址或 VPN 服务器的 FQDN,供电话访问。 例如:

100.101.1.218vpn_server.example.com

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <VPN_Server ua="rw"><Server IP or FQDN></VPN_Server>
  • 在电话 Web 界面上,输入 VPN 服务器的 IP 地址或 FQDN。

默认值:空

VPN User Name

VPN 服务器上具有凭证的用户的用户名。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <VPN_User_Name ua="rw">Example</VPN_User_Name>
  • 在电话 Web 界面上,输入用户名。

默认值:空

VPN Password

指定用户名的密码访问 VPN 服务器。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <VPN_Password ua="rw">Example</VPN_Password>
  • 在电话 Web 界面上,输入密码。

默认值:空

VPN 隧道组

分配给 VPN 用户的隧道组。

隧道组用于识别 VPN 连接的组策略。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <VPN_Tunnel_Group ua="rw">Example</VPN_Tunnel_Group>
  • 在电话 Web 界面中,输入隧道组的名称。

默认值:空

启动时连接

在电话重新启动后,启用或禁用与 VPN 服务器的自动连接。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Connect_on_Bootup ua="rw">No</Connect_on_Bootup>
  • 在电话 Web 界面上,根据需要设置此字段“是”或“否”。

允许的值:Yes 和 No

默认值:No

思科产品安全概述

本产品包含加密功能,在进出口、运输和使用方面受美国和当地国家/地区法律约束。 交付思科加密产品并不表示第三方拥有进出口、分发或使用加密的权利。 进口商、出口商、分销商和用户应遵守美国和所在国家/地区法律法规。 使用本产品,即表示同意遵守适用的法律法规。 如果不能遵守美国以及当地法律,请立即退回本产品。

有关美国出口条例的详细信息,请查阅 https://www.bis.doc.gov/policiesandregulations/ear/index.htm