Cisco Cisco IP Phone 8841 用户指南
開始之前
在對電話設定 PEAP 驗證之前,確定符合下列 Cisco Secure ACS 要求︰
•必須安裝 ACS 根憑證。
•必須啟用「允許 EAP-MSCHAPv2」設定。
•必須設定使用者帳戶與密碼。
•為了驗證密碼,您可以使用本機 ACS 資料庫或外部資料庫(例如 Windows 或 LDAP)。
啟用
PEAP
驗證
程序
步驟 1 從電話組態網頁,選擇 PEAP 為驗證模式。
步驟 2 輸入使用者名稱與密碼。
802.1X 驗證
Cisco IP Phone 支援 802.1X 驗證。
Cisco IP Phone 與 Cisco Catalyst 交換器通常使用 Cisco 探索通訊協定 (CDP) 來相互識別及確定各項參
數,例如 VLAN 分配與線內電源要求。CDP 不會識別本機連接的工作站。Cisco IP Phone 提供 EAPOL
傳遞機制。此機制允許工作站連接至 Cisco IP Phone,以便將 EAPOL 訊息傳遞至 LAN 交換器上的
802.1X 驗證器。傳遞機制確保 IP 電話在存取網路之前,不會作為 LAN 交換器來驗證資料端點。
數,例如 VLAN 分配與線內電源要求。CDP 不會識別本機連接的工作站。Cisco IP Phone 提供 EAPOL
傳遞機制。此機制允許工作站連接至 Cisco IP Phone,以便將 EAPOL 訊息傳遞至 LAN 交換器上的
802.1X 驗證器。傳遞機制確保 IP 電話在存取網路之前,不會作為 LAN 交換器來驗證資料端點。
Cisco IP Phone 還提供代理 EAPOL 登出機制。若本機連接的 PC 與 IP 電話中斷連接,LAN 交換器不
會發現實體連結失敗,因為 LAN 交換器與 IP 電話之間仍保持連結。為避免影響網路完整性,IP 電
話代表下游 PC 將 EAPOL 登出訊息傳送至交換器,這會觸發 LAN 交換器清除下游 PC 的驗證項目。
會發現實體連結失敗,因為 LAN 交換器與 IP 電話之間仍保持連結。為避免影響網路完整性,IP 電
話代表下游 PC 將 EAPOL 登出訊息傳送至交換器,這會觸發 LAN 交換器清除下游 PC 的驗證項目。
支援 802.1X 驗證需要若干元件︰
•Cisco IP Phone︰電話發起存取網路的請求。Cisco IP Phone 包含 802.1X 要求。此要求允許網路
管理員控制 IP 電話與 LAN 交換器連接埠的連接。最新版電話 802.1X 要求使用 EAP-FAST 與
EAP-TLS 選項進行網路驗證。
EAP-TLS 選項進行網路驗證。
•Cisco 安全存取控制伺服器 (ACS)(或其他協力廠商驗證伺服器)︰必須為驗證伺服器及電話設
定一個可用於驗證電話的共用密碼。
•Cisco Catalyst 交換器(或其他第三方交換器)︰交換器必須支援 802.1X,以便其用作驗證器並
在電話與驗證伺服器之間傳遞訊息。交換完成後,交換器同意或拒絕電話存取網路。
您必須執行下列動作來設定 802.1X。
•設定其他元件,然後在電話上啟用 802.1X 驗證。
•設定 PC 連接埠︰802.1X 標準不考慮 VLAN,因此建議對特定交換器連接埠只驗證單一裝置。
然而,某些交換器(包括 Cisco Catalyst 交換器)支援多網域驗證。交換器組態確定是否可將
PC 連接至電話的 PC 連接埠。
PC 連接至電話的 PC 連接埠。
Cisco IP Phone 8800 系列管理指南
152
支援的安全性功能