Cisco Cisco IP Phone 8841 Betriebsanweisung

•受保護的可延伸驗證通訊協定 (PEAP)：用戶端（電話）與 RADIUS 伺服器之間的 Cisco 專屬密

碼型相互驗證架構。Cisco IP Phone 可以使用 PEAP 與無線網路進行驗證。同時支援
PEAP-MSCHAPV2 和 PEAP-GTC 驗證方法。

下列驗證架構使用 RADIUS 伺服器管理驗證金鑰：

•WPA/WPA2：使用 RADIUS 伺服器資訊產生用於驗證的唯一金鑰。由於在集中式 RADIUS 伺

服器產生這些金鑰，WPA/WPA2 提供了比儲存在 AP 和電話上的 WPA 預先共用金鑰更多的安
全性。

•Cisco Centralized Key Management (CCKM)：使用 RADIUS 伺服器和無線網域伺服器 (WDS) 資

訊管理和驗證金鑰。WDS 可為啟用 CCKM 的用戶端裝置建立安全性認證快取，以快速、安全
地重新驗證。Cisco IP Phone 8800 系列支援 802.11r (FT)。

使用 WPA/WPA2 和 CCKM，加密金鑰不會輸入在電話上，但會自動在 AP 與電話之間衍生。但是，
必須在每部電話上輸入用於驗證的 EAP 使用者名稱和密碼。

為確保語音流量是安全的，Cisco IP Phone 支援 WEP、TKIP 及進階加密標準 (AES) 用於加密。這些
機制用於加密時，會在 AP 與 Cisco IP Phone 之間同時對訊號 SIP 封包和語音即時傳輸通訊協定 (RTP)
封包加密。

在無線網路中使用 WEP 時，使用開放或共用金鑰驗證在 AP 上進行驗證。在電話上設定的
WEP 金鑰必須與在 AP 上設定的 WEP 金鑰相符，才能成功連線。Cisco IP Phone 支援 WEP 金
鑰，可使用 40 位元加密或 128 位元加密，並在電話和 AP 上保留靜態。

EAP 和 CCKM 驗證可以將 WEP 金鑰用於加密。RADIUS 伺服器可管理 WEP 金鑰，並在驗證
之後將唯一金鑰傳送至 AP 以加密所有語音封包；因此，這些 WEP 金鑰可以隨每個驗證而變
更。

WPA 和 CCKM 使用 TKIP 加密，此加密相對於 WEP 有數項改善。TKIP 提供了可加強加密的
基於封包的金鑰加密和更長的初始化向量 (IV)。此外，訊息完整性檢查 (MIC) 可確保不會變更
加密的封包。TKIP 可移除有助於入侵者破解 WEP 金鑰的 WEP 之預測性。

用於 WPA2 驗證的加密方法。此國家加密標準使用的對稱演算法具有相同的加密和解密金鑰。
AES 使用大小為 128 位元（作為最低要求）的加密封鎖鏈 (CBC) 加密，此加密支援 128 位元、
192 位元和 256 位元的金鑰。Cisco IP Phone 支援 256 位元的金鑰。

Cisco IP Phone 不支援 Cisco Key Integrity Protocol (CKIP) 與 CMIC。

附註

在無線 LAN 內設定驗證和加密架構。在網路中和 AP 上設定 VLAN，並指定不同的驗證和加密的組
合。SSID 與 VLAN 和特定驗證及加密架構關聯。為使無線用戶端裝置成功驗證，您必須在 AP 和
Cisco IP Phone 上使用驗證和加密架構設定相同的 SSID。

   Cisco IP Phone 8800 系列管理指南

支援的安全性功能