Chcete-li povolit model řízení přístupu ověřování, autorizace a účtování (AAA), použijte aaa nový model příkaz v globálním režimu konfigurace. K zakázání modelu řízení přístupu AAA použijte ne forma tohoto příkazu.

aaa nový model

žádné aaa nový model

Tento příkaz nemá žádné argumenty ani klíčová slova.

Výchozí příkaz: Funkce AAA není povolena.

Režim příkazů: Globální konfigurace (konfigurace)

Pokyny k používání: Tento příkaz povolí přístupový systém AAA.

Chcete-li při přihlášení nastavit ověřování, autorizace a účetní ověřování (AAA), použijte autentizační přihlášení aaa příkaz v globálním režimu konfigurace. Chcete-li zakázat ověřování AAA, použijte ne forma tohoto příkazu.

aaa autentizační přihlášení {výchozí |list-name } method1 [method2...]

Ne.autentizační přihlášení aaa {{{{}{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{výchozí |název seznamu anglickém jazyce metoda1 […]metoda2...]

Výchozí příkaz: Ověřování AAA při přihlášení je zakázáno.

Režim příkazů: Globální konfigurace (konfigurace)

Pokyny k používání: Pokud výchozí klíčové slovo není nastaveno, je zaškrtnuta pouze místní uživatelská databáze. To má stejný efekt jako následující příkaz:

aaa authentication login default local

V konzoli bude přihlášení úspěšné bez jakýchkoliv kontrol ověření, zda výchozí klíčové slovo není nastaveno.

Výchozí a volitelné názvy seznamu, které vytvoříte pomocí autentizační přihlášení aaa příkaz se používá s ověření přihlášení příkaz.

Seznam vytvořte zadáním autentizační přihlášení aaa příkaz metody list-name pro konkrétní protokol. Argument názvu seznamu je řetězec znaků používaný k pojmenování seznamu metod ověřování aktivovaných při přihlášení uživatele. Argument metody identifikuje seznam metod, které ověřovací algoritmus zkouší, v dané sekvenci. V části „Metody ověřování, které nelze použít pro Argument názvu seznamu“ jsou uvedeny metody ověřování, které nelze použít pro argument názvu seznamu a níže uvedená tabulka popisuje klíčová slova metody.

Chcete-li vytvořit výchozí seznam, který se používá, pokud k lince není přiřazen žádný seznam, použijte ověření přihlášení příkaz s výchozím argumentem následovaným metodami, které chcete použít ve výchozích situacích.

Heslo je vyzváno pouze jednou k ověření přihlašovacích údajů uživatele a v případě chyb způsobených problémy s připojením je možné provést více pokusů pomocí dalších metod ověřování. Přechod na další ověřovací metodu však nastane pouze v případě, že předchozí metoda vrátí chybu, nikoli pokud selže. Chcete-li zajistit, že ověření proběhne úspěšně, i když všechny metody vrátí chybu, zadejte žádná jako konečná metoda v příkazovém řádku.

Pokud ověřování není specificky nastaveno pro linku, je výchozím nastavením odepření přístupu a není provedeno žádné ověřování. Použít více systému:running-config příkaz k zobrazení aktuálně nakonfigurovaných seznamů metod ověřování.

Metody ověřování, které nelze použít pro název seznamu Argument

Autentizační metody, které nelze použít pro argument názvu seznamu, jsou následující:

• Auth (návštěvník)

• povolit

• hostující

• bylo-li ověřeno

• v případě potřeby

• krb5

• Instance krb

• Krbová síť

• Linka

• místní

• žádné

• poloměr

• rtuť

• Taktovka

• Kategorie: Souhvězdí Ploutve

V níže uvedené tabulce se metody skupinového poloměru, skupiny tacacs +, skupiny ldap a skupiny názvů skupin vztahují na sadu dříve definovaných serverů RADIUS nebo TACACS+. Ke konfiguraci hostitelských serverů použijte příkazy radius-server host a tacacs-server host. K vytvoření pojmenované skupiny serverů použijte příkazy serveru aaa group, serveru ldap aaa group a serveru tacacs+.

Níže uvedená tabulka popisuje klíčová slova metody.

Klíčové slovo	Popis
název skupiny mezipaměti	Používá skupinu cache serveru pro ověření.
povolit	Používá aktivované heslo pro ověření. Toto klíčové slovo nelze použít.
název skupiny	Používá podmnožinu serverů RADIUS nebo TACACS+ k ověření podle definice poloměr serveru skupiny aaa nebo takacky serveru skupiny aaa+ příkaz.
skupinaldap	Používá seznam všech serverů protokolu LDAP (Lightweight Directory Access Protocol) pro ověření.
skupinovýpoloměr	Použije seznam všech serverů RADIUS pro ověření.
skupinatacacs+	Použije seznam všech serverů TACACS+ pro ověření.
krb5	Používá Kerberos 5 pro ověření.
krb5-telnet	Při použití Telnetu pro připojení k routeru používá ověřovací protokol Kerberos 5 Telnet.
Linka	Používá heslo linky pro ověření.
místní	Používá místní databázi uživatelských jmen k ověření.
Místní případ	Používá ověření místního uživatelského jména rozlišující malá a velká písmena.
žádné	Nepoužívá žádné ověřování.
Vypršení platnosti passwd	Povolí stárnutí hesla v místním ověřovacím seznamu.   Čl. ověření odesílání radius-server vsa je nutný příkaz k provedení vypršení platnosti passwd Klíčová slova práce.

Chcete-li nastavit parametry, které omezují přístup uživatele k síti, použijte oprávnění AAA příkaz v globálním režimu konfigurace. K odebrání parametrů použijte ne forma tohoto příkazu.

Aaa (rozcestník)autorizační {{{{}{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{ ověřovací proxy server|vyrovnávací paměť|příkazůúrovňové úrovně |konfigurační příkazy|konfigurace|Konzola (počítač)|expresivní|Mobilní telefon|vícesměrové vysílání|síťové sítě|zásada-if|předplacené|Proxy radius|Zpětný přístup|předplatitelská služba|Šablona: Šablona: Wikipedie{\displaystyle } {\displaystyle } {\displaystyle }} {\displaystyle } {\displaystyle } {\displaystyle }} {\displaystyle } {\displaystyle }} {\displaystyle } {\displaystyle }} {\displaystyle } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle }výchozí|název seznamu [ ]metoda1 […]metoda2... ]]

Ne.Aaa (rozcestník)autorizační {{{{}{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{ ověřovací proxy server|vyrovnávací paměť|příkazůúrovňové úrovně |konfigurační příkazy|konfigurace|Konzola (počítač)|expresivní|Mobilní telefon|vícesměrové vysílání|síťové sítě|zásada-if|předplacené|Proxy radius|Zpětný přístup|předplatitelská služba|Šablona: Šablona: Wikipedie{\displaystyle } {\displaystyle } {\displaystyle }} {\displaystyle } {\displaystyle } {\displaystyle }} {\displaystyle } {\displaystyle }} {\displaystyle } {\displaystyle }} {\displaystyle } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle } } {\displaystyle }výchozí|název seznamu [ ]metoda1 […]metoda2... ]]

Výchozí příkaz: Autorizace je zakázána pro všechny akce (ekvivalentní klíčovému slovu metody none ).

Režim příkazů: Globální konfigurace (konfigurace)

Pokyny k používání: Pomocí příkazu aaa autorizace povolte autorizaci a vytvořte seznamy pojmenovaných metod, které definují autorizační metody, které lze použít, když uživatel přistupuje k zadané funkci. Seznamy metod pro autorizaci definují způsoby, kterými bude autorizace prováděna, a pořadí, ve kterém budou tyto metody prováděny. Seznam metod je pojmenovaný seznam, který popisuje autorizační metody (jako je RADIUS nebo TACACS+), které musí být použity postupně. Seznamy metod umožňují určit jeden nebo více bezpečnostních protokolů, které mají být použity pro autorizaci, a tím zajistit zálohovací systém v případě selhání počáteční metody. Software Cisco IOS používá první uvedenou metodu k autorizaci uživatelů pro konkrétní síťové služby. Pokud tato metoda neodpovídá, software Cisco IOS vybere další metodu uvedenou v seznamu metod. Tento proces pokračuje až do úspěšné komunikace s uvedenou autorizační metodou, nebo až do vyčerpání všech definovaných metod.

Software Cisco IOS se pokusí o autorizaci pomocí následující uvedené metody pouze v případě, že předchozí metoda neodpovídá. Pokud autorizace v kterémkoli bodě tohoto cyklu selže - což znamená, že bezpečnostní server nebo místní databáze uživatelských jmen odpoví odepřením uživatelských služeb - proces autorizace se zastaví a nejsou vyzkoušeny žádné další autorizační metody.

Pokud je příkaz aaa autorizace pro určitý typ autorizace vydán bez zadaného seznamu pojmenovaných metod, výchozí seznam metod se automaticky použije na všechna rozhraní nebo linky (kde se tento typ autorizace používá) s výjimkou těch, které mají explicitně definovaný seznam pojmenovaných metod. (Definovaný seznam metod přepíše výchozí seznam metod.) Není-li definován žádný seznam výchozích metod, pak nedochází k žádnému autorizaci. K provedení odchozí autorizace musí být použit výchozí seznam metod autorizace, jako je autorizace stahování IP fondů ze serveru RADIUS.

Pomocí příkazu aaa autorizace vytvořte seznam zadáním hodnot pro název seznamu a argumenty metody, kde jméno seznamu je libovolný řetězec znaků použitý k názvu tohoto seznamu (vyjma všech názvů metod) a metoda identifikuje seznam metod autorizace vyzkoušených v dané sekvenci.

Autorizační příkaz aaa podporuje 13 samostatných seznamů metod. Příklad:

aaa autorizační konfigurace methodlist1 poloměr skupiny

aaa autorizační konfigurace methodlist2 poloměr skupiny

...

aaa autorizační konfigurace methodlist13 poloměr skupiny

V níže uvedené tabulce odkazují metody Group-name, Group ldap, group radius a group tacacs + na sadu dříve definovaných serverů RADIUS nebo TACACS+. Ke konfiguraci hostitelských serverů použijte příkazy radius-server host a tacacs-server host. Pomocí příkazu aaa group server radius , aaa group server ldap a aaa group server tacacs+ můžete vytvořit pojmenovanou skupinu serverů.

Software Cisco IOS podporuje následující metody autorizace:

• Cache Server Groups -- Směrovač konzultuje skupiny svých cache serverů s cílem autorizovat konkrétní práva pro uživatele.

• If-Authenticated --Uživatel má povolen přístup k požadované funkci za předpokladu, že byl úspěšně ověřen.

• Local --Router nebo přístupový server konzultuje svou místní databázi, jak je definováno příkazem uživatelského jména, aby autorizoval konkrétní práva pro uživatele. Prostřednictvím lokální databáze lze ovládat pouze omezenou sadu funkcí.

• None -- Server pro přístup k síti nevyžaduje informace o autorizaci; autorizace se neprovádí přes tuto linku nebo rozhraní.

• RADIUS --Server pro přístup k síti požaduje autorizační informace od skupiny bezpečnostních serverů RADIUS. Autorizace RADIUS definuje konkrétní práva uživatelů spojením atributů uložených v databázi na serveru RADIUS s příslušným uživatelem.

• TACACS+ --Server pro přístup k síti si vyměňuje autorizační informace s bezpečnostním démonem TACACS+. Autorizace TACACS+ definuje konkrétní práva pro uživatele přidružením párů atributu-hodnota (AV), které jsou uloženy v databázi na bezpečnostním serveru TACACS+, s příslušným uživatelem.

Chcete-li povolit připojení mezi konkrétními typy koncových bodů v síti VoIP, použijte povolit připojení příkaz v režimu konfigurace hlasové služby. Chcete-li odmítnout konkrétní typy spojů, použijte ne forma tohoto příkazu.

povolit připojeníz typudodo typu

žádnépovolené připojeníod typudodo typu

Výchozí příkaz: Připojení SIP-to-SIP jsou ve výchozím nastavení zakázána.

Režim příkazů: Konfigurace hlasové služby (config-voi-serv)

Pokyny k používání: Tento příkaz se používá k povolení spojení mezi konkrétními typy koncových bodů v bráně Cisco IP-to-IP. Příkaz je ve výchozím nastavení povolen a nelze jej změnit.

Chcete-li povolit vkládání „#“ na jakémkoli místě v adresáři hlasového rejstříku, použijte povolení hash v dn příkaz v globálním režimu hlasové registrace. Chcete-li tuto funkci zakázat, použijte ne forma tohoto příkazu.

povolit hash-in-dn

nepovolená hash-in-dn

Výchozí příkaz: Příkaz je ve výchozím nastavení zakázán.

Režim příkazů: globální konfigurace hlasového registru (config-register-global)

Pokyny k používání: Před zavedením tohoto příkazu byly v adresáři hlasového rejstříku podporovány znaky 0–9, + a *. Nový příkaz je povolen vždy, když uživatel požaduje vložení # do adresáře hlasového rejstříku. Příkaz je ve výchozím nastavení zakázán. Tento příkaz můžete nakonfigurovat pouze v režimech Cisco Unified SRST a Cisco Unified E-SRST. Znak # lze vložit na libovolné místo v adresáři hlasového rejstříku. Je-li tento příkaz povolený, uživatelé musí změnit výchozí znak (#) na jiný platný znak pomocí terminátor vytáčeného protějšku příkaz v režimu konfigurace.

Chcete-li přejít do režimu konfigurace aplikace redundance, použijte redundance aplikace příkaz v režimu konfigurace redundance.

redundance aplikace

Tento příkaz nemá žádné argumenty ani klíčová slova.

Výchozí příkaz: Žádné

Režim příkazů: Konfigurace redundance (konfigurace-červená)

Pokyny k používání: Použít toto redundance aplikace příkaz ke konfiguraci redundance aplikace pro vysokou dostupnost.

K nastavení výchozí brány pro aplikaci použijte výchozí brána aplikace příkaz v režimu konfigurace hostingu aplikací. Chcete-li odstranit výchozí gatway, použijte ne forma tohoto příkazu.

výchozí brána aplikace [ip-adresahost-interfacenetwork-interface-number]

žádnávýchozí brána aplikace [ip-adresahost-interfacenetwork-interface-number]

Výchozí příkaz: Výchozí brána není nakonfigurována.

Režim příkazů: Konfigurace hostingu aplikací (config-app-hosting)

Pokyny k používání: Použít výchozí brána aplikace příkaz k nastavení výchozí brány pro aplikaci. Konektory brány jsou aplikace nainstalované v kontejneru Cisco IOS XE Shell.

Ke konfiguraci aplikace a ke vstupu do režimu konfigurace hostování aplikace použijte appid hosting aplikací příkaz v globálním režimu konfigurace. Chcete-li odstranit aplikaci, použijte ne forma tohoto příkazu.

appidnázev aplikace

Výchozí příkaz: Není nakonfigurována žádná aplikace.

Režim příkazů: Globální konfigurace (konfigurace)

Pokyny k použití:Argument názvu aplikace může obsahovat až 32 alfanumerických znaků.

Po konfiguraci tohoto příkazu můžete konfiguraci hostingu aplikace aktualizovat.

Chcete-li přepsat profil prostředků poskytnutý aplikací, použijte profil aplikace příkaz v režimu konfigurace hostingu aplikací. Chcete-li se vrátit k profilu prostředků zadanému aplikací, použijte ne forma tohoto příkazu.

název profiluaplikace app resoure

žádnýnázev profiluresoure aplikace

Výchozí příkaz: Profil prostředku je nakonfigurován.

Režim příkazů: Konfigurace hostingu aplikací (config-app-hosting)

Pokyny k používání: Vyhrazené zdroje zadané v balíčku aplikace lze změnit nastavením vlastního profilu prostředků. Lze měnit pouze zdroje procesoru, paměti a virtuálního procesoru (vCPU). Aby se změny prostředků projevily, aplikaci zastavte a deaktivujte, poté ji aktivujte a znovu spusťte.

Je podporován pouze vlastní profil.

Příkaz nakonfiguruje vlastní profil prostředku aplikace a přejde do režimu konfigurace profilu vlastního prostředku aplikace.

Ke konfiguraci brány virtuálního síťového rozhraní pro aplikaci použijte brána VNIC aplikace příkaz v režimu konfigurace hostingu aplikací. K odebrání konfigurace použijte ne forma tohoto příkazu.

Tento příkaz je podporován pouze na směrovacích platformách. Není podporován na přepínacích platformách.

app-vnic bránavirtualportskupinačíslohost-interfacenetwork-interface-number

žádnábrána aplikace-vnicvirtualportskupinačísloguest-interfacenetwork-interface-number

Výchozí příkaz: Brána virtuální sítě není nakonfigurována.

Režim příkazů: Konfigurace hostingu aplikací (config-app-hosting)

Pokyny k používání: Po konfiguraci brány virtuálního síťového rozhraní pro aplikaci se režim příkazů změní na konfigurační režim brány hosting aplikace. V tomto režimu můžete nakonfigurovat adresu IP rozhraní hosta.

Chcete-li povolit podporu pro hlavičku deklarovaného ID v příchozích žádostech o protokol SIP (Session Initiation Protocol) nebo zprávách s odpovědí a odeslat informace o ochraně osobních údajů deklarovaného ID v odchozích žádostech SIP nebo zprávách s odpovědí, použijte potvrzené ID příkaz v režimu konfigurace hlasové služby VoIP-SIP nebo v režimu konfigurace klienta hlasové třídy. Chcete-li zakázat podporu pro hlavičku tvrzeného ID, použijte ne forma tohoto příkazu.

systém asserted-id { pai|ppi }

bez výrazového id { pai|ppi }systém

Výchozí příkaz: Informace o ochraně osobních údajů jsou odesílány pomocí záhlaví RPID (Remote-Party-ID) nebo záhlaví FROM.

Režim příkazů: Konfigurace hlasové služby VoIP-SIP (conf-serv-sip) a konfigurace klienta hlasové třídy (třída config)

Pokyny k používání: Pokud zvolíte papoušek klíčové slovo nebo PPI klíčové slovo, brána vytvoří záhlaví PAI nebo záhlaví PPI do společného zásobníku SIP. Čl. papoušek klíčové slovo nebo PPI klíčové slovo má přednost před hlavičkou Remote-Party-ID (RPID) a odstraní hlavičku RPID z odchozí zprávy, i když je směrovač nakonfigurován tak, aby používal hlavičku RPID na globální úrovni.

Ke konfiguraci podpory asymetrické datové zátěže protokolu SIP (Session Initiation Protocol) použijte asymetrická datová část příkaz v režimu konfigurace SIP nebo v režimu konfigurace klienta hlasové třídy. Chcete-li zakázat podporu asymetrické datové zátěže, použijte ne forma tohoto příkazu.

asymetrické kryptografiepayload { dtmf |dynamické kodeky |full |systém }

žádnéasymetrickédatové zatížení { dtmf |dynamické kodeky |plný |systém }

Výchozí příkaz: Tento příkaz je zakázán.

Režim příkazů: Konfigurace SIP hlasové služby (conf-serv-sip), konfigurace klienta hlasové třídy (třída config)

Pokyny k používání: Zadejte režim konfigurace SIP z režimu konfigurace hlasové služby, jak je ukázáno v příkladu.

U Cisco UBE je u audio/video kodeků, DTMF a NSE podporován asymetrický typ datové části SIP. Proto, dtmf a dynamické kodeky klíčová slova jsou interně mapována na plná klíčové slovo poskytující asymetrickou podporu typu payload pro audio/video kodeky, DTMF a NSE.

Chcete-li povolit ověřování pomocí protokolu SIP digest na individuálním vytáčecím partnerovi, použijte ověření příkaz v režimu konfigurace hlasu partnerského vytáčení. Chcete-li zakázat ověřování pomocí protokolu SIP digest, použijte ne forma tohoto příkazu.

autentizačníuživatelské jménouživatelské jménoheslo { 0|6|7 } heslo [doménadoména|challenge|all ]

žádnéověřeníuživatelské jménouživatelské jménoheslo { 0|6|7 } heslo [realmrealm|challenge|all ]

Výchozí příkaz: Ověřování pomocí digest SIP je zakázáno.

Režim příkazů: Hlasová konfigurace partnerského zařízení pro vytáčení (config-dial-peer)

Pokyny k používání: Při povolování ověřování digest platí následující pravidla konfigurace:

• Pro každého vytáčecího partnera lze nakonfigurovat pouze jedno uživatelské jméno. Před konfigurací jiného uživatelského jména je nutné odstranit jakoukoli stávající konfiguraci uživatelského jména.

• Maximálně pět heslo nebo Království argumenty lze nakonfigurovat pro libovolné uživatelské jméno.

Čl. uživatelské jméno a heslo argumenty se používají k ověření uživatele. Ověřující server/proxy vydávající odpověď na výzvu 407/401 obsahuje doménu v odpovědi na výzvu a uživatel poskytuje pověření, která jsou pro tuto doménu platná. Protože se předpokládá, že maximálně pět proxy serverů v signalizační cestě se může pokusit ověřit daný požadavek od klienta user-agent (UAC) na server user-agent (UAS), může uživatel nakonfigurovat až pět kombinací hesla a sféry pro nakonfigurované uživatelské jméno.

Uživatel poskytuje heslo v prostém textu, ale je zašifrováno a uloženo pro odpověď na výzvu 401. Pokud se heslo neukládá v zašifrované podobě, odešle se nevyžádané heslo a ověření se nezdaří.

• Specifikace domény je volitelná. Pokud je vynecháno, heslo nakonfigurované pro toto uživatelské jméno bude platit pro všechny sféry, které se pokusí ověřit.

• Pro všechny nakonfigurované sféry lze současně nakonfigurovat pouze jedno heslo. Pokud je nakonfigurováno nové heslo, přepíše se jakékoli dříve nakonfigurované heslo.

To znamená, že lze nakonfigurovat pouze jedno globální heslo (jedno bez zadané sféry). Pokud nakonfigurujete nové heslo bez konfigurace odpovídající sféry, nové heslo přepíše předchozí.

• Pokud je doména nakonfigurována pro dříve nakonfigurované uživatelské jméno a heslo, je tato specifikace domény přidána k existující konfiguraci uživatelského jména a hesla. Jakmile je však doména přidána do konfigurace uživatelského jména a hesla, je tato kombinace uživatelského jména a hesla platná pouze pro tuto doménu. Nakonfigurovanou sféru nelze odebrat z konfigurace uživatelského jména a hesla, aniž by se nejprve odstranila celá konfigurace pro toto uživatelské jméno a heslo. Poté můžete tuto kombinaci uživatelského jména a hesla znovu nakonfigurovat s jinou sférou nebo bez ní.

• V položce s heslem i doménou můžete změnit heslo nebo doménu.

• Použít žádné ověřování vše příkaz k odebrání všech položek ověření pro uživatele.

Je povinné zadat typ šifrování pro heslo. Pokud je heslo vymazáno textem (zadejte 0) je nakonfigurován, je zašifrován jako typ 6 před uložením do běžící konfigurace.

Pokud zadáte typ šifrování jako 6 nebo 7, zadané heslo je zaškrtnuto proti platnému typu 6 nebo 7 formát hesla a uložen jako typ 6 nebo 7 v uvedeném pořadí.

Hesla typu 6 jsou šifrována pomocí šifry AES a uživatelem definovaného primárního klíče. Tato hesla jsou relativně bezpečnější. Primární klíč se v konfiguraci nikdy nezobrazuje. Bez znalosti primárního klíče zadejte 6 hesla jsou nepoužitelná. Pokud je primární klíč změněn, heslo uložené jako typ 6 je znovu zašifrováno novým primárním klíčem. Pokud je konfigurace primárního klíče odebrána, typ 6 hesla nelze dešifrovat, což může vést k selhání ověřování hovorů a registrací.

Při zálohování konfigurace nebo migraci konfigurace na jiné zařízení se primární klíč nevymaže. Proto musí být primární klíč znovu nakonfigurován ručně.

Informace o konfiguraci zašifrovaného předsdíleného klíče najdete v tématu Konfigurace zašifrovaného předsdíleného klíče.

Při typu šifrování se zobrazí následující zpráva upozornění 7 je nakonfigurována. Upozornění: Příkaz byl přidán do konfigurace pomocí hesla typu 7. Hesla typu 7 však budou brzy zastaralá. Migrovat na podporovaný typ hesla 6.

Chcete-li navázat zdrojovou adresu pro signalizační a mediální pakety na adresu IPv4 nebo IPv6 konkrétního rozhraní, použijte svázání příkaz v konfiguračním režimu SIP. Chcete-li zakázat vazbu, použijte ne forma tohoto příkazu.

vázat { control|media|all } zdrojové rozhraníid rozhraní { ipv4-adresaipv4-adresa|ipv6-adresaipv6-adresa }

nobind { control|media|all } zdrojové rozhraníid rozhraní { ipv4-adresaipv4-adresa|ipv6-adresaipv6-adresa }

Výchozí příkaz: Vazba je zakázána.

Režim příkazů: Konfigurace SIP (conf-serv-sip) a klient hlasové třídy.

Pokyny k používání: Async, Ethernet, Fastethernet, Loopback a Serial (včetně Frame Relay) jsou rozhraní v aplikaci SIP.

Pokud svázání příkaz není povolen, vrstva IPv4 stále poskytuje nejlepší místní adresu.

Chcete-li povolit základní konfigurace pro službu Call-Home, použijte hlášení domácího hovoru příkaz v globálním režimu konfigurace.

hlášení domů { anonymous |contact-email-addr } [ http-proxy { ipv4-address |ipv6-address |name } port číslo portu ]

Výchozí příkaz: Žádné výchozí chování nebo hodnoty

Režim příkazů: Globální konfigurace (konfigurace)

Pokyny k používání: Po úspěšném povolení funkce Call-Home v režimu anonymní nebo úplné registrace pomocí hlášení domácího hovoru příkaz, je odeslána zpráva inventáře. Pokud je funkce Call-Home povolena v režimu plné registrace, bude odeslána úplná zpráva inventáře pro režim plné registrace. Pokud je funkce Call-Home povolena v anonymním režimu, odešle se anonymní zpráva inventáře. Další informace o podrobnostech zprávy naleznete v tématu Události a příkazy spuštění skupiny upozornění.

Chcete-li povolit podporu systému Cisco Unified SRST a zadat režim konfigurace záložního správce hovorů, použijte nouzové zpětné volání správce hovorů příkaz v globálním režimu konfigurace. Chcete-li zakázat podporu Cisco Unified SRST, použijte ne forma tohoto příkazu.

záložní správce hovorů

žádnýnouzový provoz správce hovorů

Tento příkaz nemá žádné argumenty ani klíčová slova.

Výchozí příkaz: Žádné výchozí chování nebo hodnoty.

Režim příkazů: Globální konfigurace

Chcete-li povolit ověření identity serveru, klienta nebo obousměrné ověření identity certifikátu protějšku během handshake TLS, použijte příkaz ověření cn-san v režimu konfigurace profilu tls hlasové třídy. Chcete-li zakázat ověřování identity certifikátu, použijte ne forma tohoto příkazu.

cn-sanověřit { server|klient|obousměrný }

necn-sanvalidate { server|client|obousměrný }

Výchozí příkaz: Ověřování identity je zakázáno.

Režim příkazů: Konfigurace hlasové třídy (třída konfigurace)

Pokyny k používání: Ověření identity serveru je spojeno s zabezpečeným signalizačním připojením prostřednictvím globálního šifrovací signalizace a profil TLS hlasové třídy konfigurace.

Příkaz byl vylepšen tak, aby zahrnoval klient a obousměrný klíčová slova. Možnost klienta umožňuje serveru ověřit identitu klienta kontrolou názvů hostitelů CN a SAN zahrnutých v poskytnutém certifikátu proti důvěryhodnému seznamu FQ<UNK> cn-san. Spojení bude navázáno pouze v případě, že bude nalezena shoda. Tento seznam cn-san FQ<UNK> se nyní kromě názvu hostitele relace používá také k ověření certifikátu serveru. Čl. obousměrný možnost ověří identitu protějšku pro připojení klienta i serveru kombinací obou server a klient režimy. Jakmile nakonfigurujete ověření cn-san, pro každé nové připojení TLS je ověřena identita certifikátu protějšku.

Chcete-li nakonfigurovat seznam plně kvalifikovaných názvů domény (FQDN) k ověření proti certifikátu protějšku pro příchozí nebo odchozí připojení TLS, použijte Čínské lidové republiky příkaz v režimu konfigurace profilu hlasové třídy tls. Chcete-li odstranit položku ověření certifikátu cn-san, použijte ne forma tohoto příkazu.

cn-san{1-10}fqdn

žádnácn-san{1-10}fqdn

Výchozí příkaz: Nejsou nakonfigurovány žádné názvy cn- san.

Režim příkazů: Režim konfigurace profilu TLS hlasové třídy (třída konfigurace)

Pokyny k používání: FQDN používaný pro validaci certifikátu protějšku je přiřazen profilu TLS až do deseti Čínské lidové republiky záznamy. Před navázáním připojení TLS musí být alespoň jedna z těchto položek přiřazena k FQDN v poli Common Name (CN) nebo Subject-Alternate-Name (SAN). Chcete-li shodovat s libovolným hostitelem domény použitým v poli CN nebo SAN, Čínské lidové republiky položka může být nakonfigurována se zástupným znakem domény, striktně ve tvaru *.domain-name (např. *.cisco.com). Žádné další použití zástupných znaků není povoleno.

Pro příchozí připojení se seznam používá k ověření polí CN a SAN v klientském certifikátu. Pro odchozí připojení se seznam používá spolu s názvem cílového hostitele relace k ověření polí CN a SAN v certifikátu serveru.

Certifikáty serveru lze také ověřit přiřazením FQDN cíle relace SIP k poli CN nebo SAN.

Chcete-li zadat seznam preferovaných kodeků, které se mají používat na vytáčecím zařízení, použijte kodek předvolba příkaz v režimu konfigurace hlasové třídy. Chcete-li tuto funkci zakázat, použijte ne forma tohoto příkazu.

Kodek (rozcestník)preferencehodnotaTyp kodeku

žádnáhodnotapředvolebkodekutyp kodeku

Výchozí příkaz: Pokud tento příkaz není zadán, nejsou s předvolbou identifikovány žádné konkrétní typy kodeků.

Režim příkazů: konfigurace hlasové třídy (konfigurační třída)

Pokyny k používání: Směrovače na opačných koncích sítě WAN budou muset vyjednat výběr kodeku pro protějšky síťového vytáčení. Čl. kodek předvolba příkaz určuje pořadí preferencí pro výběr sjednaného kodeku pro připojení. Níže uvedená tabulka popisuje možnosti hlasové zátěže a výchozí hodnoty pro kodeky a hlasové protokoly paketů.

Chcete-li k odesílání požadavků přes UDP použít port globálního posluchače, použijte opětovné použití připojení příkaz v režimu sip-ua nebo v režimu konfigurace klienta hlasové třídy. Chcete-li zakázat, použijte ne forma tohoto příkazu.

opětovné použití připojení { via-port |systém }

bezopětovného použití připojení { via-port |systém }

Výchozí příkaz: Místní brána používá k odesílání požadavků přes UDP efemérní port UDP.

Režimy příkazů: Konfigurace SIP UA (config-sip-ua), konfigurace klienta hlasové třídy (config-class)

Pokyny k používání: Spuštěním tohoto příkazu povolíte použití portu pro posluchače pro odesílání požadavků přes UDP. Výchozí port pro posluchače pro běžný nezabezpečený SIP je 5060 a zabezpečený SIP 5061. Konfigurovat příkaz listen-port [non-secure | secure]port v hlasové službě voip > konfigurační režim sip ke změně globálního portu UDP.

Chcete-li změnit kvótu nebo jednotku CPU přidělenou pro aplikaci, použijte procesorů příkaz v režimu konfigurace profilu vlastních prostředků aplikace. Chcete-li se vrátit k kvótě procesoru poskytnutého aplikací, použijte ne forma tohoto příkazu.

jednotka procesoru

žádná jednotka cpu

Výchozí příkaz: Výchozí procesor závisí na platformě.

Režim příkazů: Vlastní konfigurace profilu prostředků aplikace (config-app-resource-profile-custom)

Pokyny k používání: Jednotka CPU je minimální přidělení CPU aplikací. Celkové jednotky CPU jsou založeny na normalizovaných jednotkách CPU měřených pro cílové zařízení.

V rámci každého balíku aplikace je k dispozici profil zdroje specifický pro aplikaci, který definuje doporučenou zátěž procesoru, velikost paměti a počet virtuálních CPUpotřebných pro aplikaci. Tento příkaz použijte ke změně přidělování zdrojů pro konkrétní procesy ve vlastním profilu prostředků.

Vyhrazené zdroje zadané v balíčku aplikace lze změnit nastavením vlastního profilu prostředků. Lze měnit pouze zdroje procesoru, paměti a vCPU. Aby se změny prostředků projevily, aplikaci zastavte a deaktivujte, poté ji aktivujte a znovu spusťte.

Hodnoty prostředků jsou specifické pro aplikaci a každá úprava těchto hodnot musí zajistit, aby aplikace mohla pracovat se změnami spolehlivě.

Chcete-li nakonfigurovat bránu TDM (Cisco IOS Session Initiation Protocol) protokolu SIP (Time-division multiplexing), prvek Cisco Unified Border Element (Cisco UBE) nebo Cisco Unified Communications Manager Express (Cisco Unified CME) k odeslání registrační zprávy SIP ve stavu UP, použijte přihlašovací údaje příkaz v konfiguračním režimu SIP UA nebo v režimu konfigurace klienta hlasové třídy. Chcete-li zakázat přihlašovací údaje SIP digest, použijte ne forma tohoto příkazu.

přihlašovací údaje { dhcp|čísločíslouživatelské jménouživatelské jméno } heslo { 0|6|7 } heslosférasféra

žádnépřihlašovací údaje { dhcp|čísločíslouživatelské jménouživatelské jméno } heslo { 0|6|7 } heslosférasféra

Výchozí příkaz: Přihlašovací údaje SIP digest jsou zakázány.

Režim příkazů: Konfigurace UA SIP (config-sip-ua) a konfigurace klienta hlasové třídy (config-class).

Pokyny k používání: Pokud jsou pověření povolena, platí následující pravidla konfigurace:

• Pro všechna jména domén platí pouze jedno heslo. Nové nakonfigurované heslo přepíše všechna dříve nakonfigurovaná hesla.

• Heslo se při přihlašovací údaje je nakonfigurován příkaz a ukázat spuštěná konfigurace je použit příkaz.

Čl. dhcp (programovací jazyk) klíčové slovo v příkazu znamená, že primární číslo je získáno prostřednictvím protokolu DHCP a brána Cisco IOS SIP TDM, Cisco UBE nebo Cisco Unified CME, na které je příkaz povolen, používá toto číslo k registraci nebo zrušení registrace přijatého primárního čísla.

Je povinné zadat typ šifrování pro heslo. Pokud je heslo vymazáno textem (zadejte 0) je nakonfigurován, je zašifrován jako typ 6 před uložením do běžící konfigurace.

Pokud zadáte typ šifrování jako 6 nebo 7, zadané heslo je zaškrtnuto proti platnému typu 6 nebo 7 formát hesla a uložen jako typ 6 nebo 7 v uvedeném pořadí.

Hesla typu 6 jsou šifrována pomocí šifry AES a uživatelem definovaného primárního klíče. Tato hesla jsou relativně bezpečnější. Primární klíč se v konfiguraci nikdy nezobrazuje. Bez znalosti primárního klíče zadejte 6 hesla jsou nepoužitelná. Pokud je primární klíč změněn, heslo uložené jako typ 6 je znovu zašifrováno novým primárním klíčem. Pokud je konfigurace primárního klíče odebrána, typ 6 hesla nelze dešifrovat, což může vést k selhání ověřování hovorů a registrací.

Při zálohování konfigurace nebo migraci konfigurace na jiné zařízení se primární klíč nevymaže. Proto musí být primární klíč znovu nakonfigurován ručně.

Informace o konfiguraci zašifrovaného předsdíleného klíče najdete v tématu Konfigurace zašifrovaného předsdíleného klíče.

Upozornění: Příkaz byl přidán do konfigurace pomocí hesla typu 7. Hesla typu 7 však budou brzy zastaralá. Migrovat na podporovaný typ hesla 6.

V YANG nemůžete nakonfigurovat stejné uživatelské jméno ve dvou různých sférách.

Chcete-li zadat předvolbu pro šifrovací sadu SRTP, kterou bude v nabídce a odpovědi nabízet prvek Cisco Unified Border Element (CUBE), použijte šifrování příkaz v režimu konfigurace hlasové třídy. Chcete-li tuto funkci zakázat, použijte ne forma tohoto příkazu.

šifrovacípředvolby šifrovací sady

žádnášifrovacípředvolba šifrování-suite

Výchozí příkaz: Pokud tento příkaz není nakonfigurován, je výchozí chování nabízet sady srtp-cipher v následujícím pořadí předvoleb:

• AEAD_AAD_256 _GCM

• AEAD_AAD_128_GCM

• AES_CM_128_HMAC_SHA1_80

• AES_CM_128_HMAC_SHA1_32

Režim příkazů: hlasová třída srtp-crypto (třída config)

Pokyny k používání: Pokud změníte předvolbu již nakonfigurované šifrovací sady, bude předvolba přepsána.

Chcete-li generovat páry klíčů Rivest, Shamir a Adelman (RSA), použijte generování RSA šifrovacího klíče příkaz v globálním režimu konfigurace.

šifrovací klíč generovat rsa [ {{ Obecná klávesa |Klíč použití |podepsání smlouvy |šifrování ] [ štítek štítek klíčů [ ] [ exportovat [ ] [ Modulární souřadnice Modulární velikost [ ] [ úložiště Deviantní množina Čl. [ ] [ redundancespuštěno Deviantní množina Čl. ]

Výchozí příkaz: Páry klíčů RSA neexistují.

Režim příkazů: Globální konfigurace (konfigurace)

Pokyny k používání: Použít generování RSA šifrovacího klíče příkaz pro generování párů klíčů RSA pro zařízení Cisco (například směrovač).

RSA klíče jsou generovány ve dvojicích - jeden veřejný RSA klíč a jeden soukromý RSA klíč.

Pokud váš router již má při vydání tohoto příkazu RSA klíče, budete upozorněni a vyzváni k nahrazení stávajících klíčů novými.

Čl. generování RSA šifrovacího klíče příkaz není uložen v konfiguraci směrovače; RSA klíče vygenerované tímto příkazem se však při příštím zápisu konfigurace do NVRAM ukládají do privátní konfigurace (která se uživateli nikdy nezobrazí nebo se zálohuje na jiné zařízení).

• Klíče pro speciální použití: Pokud vygenerujete klíče pro speciální použití, budou vygenerovány dva páry RSA klíčů. Jedna dvojice bude použita s jakoukoli zásadou Internet Key Exchange (IKE), která určuje podpisy RSA jako metodu ověřování, a druhá dvojice bude použita s jakoukoli zásadou IKE, která určuje šifrované klíče RSA jako metodu ověřování.

  Certifikační autorita se používá pouze se zásadami IKE, které specifikují podpisy RSA, nikoli se zásadami IKE, které specifikují nonces šifrované RSA. (Můžete však zadat více než jednu politiku IKE a mít podpisy RSA zadané v jedné politice a RSA šifrované nonces v jiné politice.)

  Pokud plánujete mít v zásadách IKE oba typy metod ověřování RSA, můžete upřednostnit generování speciálních klíčů. Při použití speciálních klíčů není každý klíč zbytečně odhalen. (Bez speciálních klíčů se pro obě metody ověřování používá jeden klíč, což zvyšuje expozici tohoto klíče).

• Univerzální klíče: Pokud vygenerujete obecné klíče, bude vygenerován pouze jeden pár RSA klíčů. Tento pár bude použit se zásadami IKE, které určují podpisy RSA nebo RSA šifrované klíče. Proto může být pár klíčů pro všeobecné účely používán častěji než pár klíčů pro speciální použití.

• Pojmenované páry klíčů: Pokud vygenerujete pojmenovaný pár klíčů pomocí argumentu pro popisek klíče, musíte také zadat klíče použití klíčové slovo nebo obecná klávesa klíčové slovo. Pojmenované páry klíčů umožňují mít více párů klíčů RSA, takže software Cisco IOS umožňuje udržovat pro každý certifikát identity jiný pár klíčů.

• Délka modulu: Když vygenerujete RSA klíče, budete vyzváni k zadání délky modulu. Čím delší modul, tím silnější je bezpečnost. Generování delších modulů však trvá déle (ukázkové časy viz tabulka níže) a jejich použití trvá déle.

  Tabulka 2. Vzorkovací časy podle délky modulu pro generování RSA klíčů

  Směrovač	360 bitů	512 bitů	1024 bitů	2048 bitů (maximálně)
  Zařízení Cisco 2500	11 vteřin	20 sekund	4 minuty, 38 sekund	Více než 1 hodina
  Zařízení Cisco 4700	Méně než 1 sekunda	1 sekunda	4 vteřiny	50 vteřin

  Software Cisco IOS nepodporuje modul větší než 4096 bitů. Délka menší než 512 bitů se obvykle nedoporučuje. V určitých situacích nemusí kratší modul správně fungovat s IKE, proto doporučujeme použít minimální modul 2048 bitů.

  Další omezení mohou platit, když jsou RSA klíče generovány kryptografickým hardwarem. Pokud jsou například klíče RSA generovány adaptérem portu služby Cisco VPN (VSPA), modul klíče RSA musí být minimálně 384 bitů a násobkem 64.

• Určení umístění úložiště pro klíče RSA: Když vydáváte generování RSA šifrovacího klíče příkaz pomocí úložiště devizové pole : klíčové slovo a argument, RSA klíče budou uloženy na zadaném zařízení. Tato pobočka nahradí jakoukoli úložiště šifrovacích klíčů nastavení příkazů.

• Určení zařízení pro generování klíčů RSA: Můžete zadat zařízení, kde jsou generovány RSA klíče. Podporovaná zařízení zahrnují NVRAM, místní disky a tokeny USB. Pokud má router nakonfigurovaný a dostupný token USB, lze token USB použít jako kryptografické zařízení kromě úložného zařízení. Použití tokenu USB jako kryptografického zařízení umožňuje na tokenu provádět operace RSA, jako je generování klíčů, podepisování a ověřování přihlašovacích údajů. Soukromý klíč nikdy neopouští token USB a nelze jej exportovat. Veřejný klíč je exportovatelný.

  RSA klíče mohou být generovány na nakonfigurovaném a dostupném USB tokenu pomocí zapnuto devizové pole : klíčové slovo a argument. Klíče uložené na tokenu USB se při generování ukládají do trvalého úložiště tokenů. Počet klíčů, které lze vygenerovat na tokenu USB, je omezen dostupným prostorem. Pokud se pokusíte generovat klíče na tokenu USB a je plný, obdržíte následující zprávu:

  % Error in generating keys:no available resources 

  Odstranění klíčů okamžitě odstraní klíče uložené na tokenu z trvalého úložiště. (Klíče, které se nenacházejí na tokenu, se ukládají do míst úložiště, která nejsou na tokenu, nebo z nich smažou, když kopírovat nebo je vydán podobný příkaz).

• Určení redundance klíče RSA na zařízení: Redundanci pro existující klíče můžete zadat pouze v případě, že jsou exportovatelné.

Pro ověření certifikační autority (CA) (získáním certifikátu CA) použijte šifrovacípkiověření příkazu v globálním režimu konfigurace.

ověřovacínázevpkišifrování

Výchozí příkaz: Žádné výchozí chování nebo hodnoty.

Režim příkazů: Globální konfigurace (konfigurace)

Pokyny k používání: Tento příkaz je vyžadován při zahájení konfigurace podpory certifikační autority na routeru.

Tento příkaz ověří certifikační autoritu vašemu routeru získáním certifikátu certifikační autority podepsaného svým držitelem, který obsahuje veřejný klíč certifikační autority. Protože certifikační autorita podepisuje vlastní certifikát, měli byste ručně ověřit veřejný klíč certifikační autority tím, že při zadání tohoto příkazu kontaktujete správce certifikační autority.

Pokud používáte režim Router Advertisements (RA) (pomocí zápis příkaz), když vystavíte šifrování veřejné telefonní sítě ověřit příkaz, poté budou z certifikační autority a certifikátu certifikační autority vráceny certifikáty podepisování a šifrování registrační autority.

Tento příkaz není uložen do konfigurace směrovače. Veřejné klíče vložené do přijatých certifikátů CA (a RA) se však ukládají do konfigurace jako součást záznamu veřejného klíče Rivest, Shamir a Adelman (RSA) (označovaného jako „řetězec veřejných klíčů RSA“).

Pokud certifikační autorita neodpoví do časového limitu po vydání tohoto příkazu, bude terminál vrácen tak, aby byl dostupný. Pokud k tomu dojde, musíte příkaz znovu zadat. Software Cisco IOS nerozpozná data vypršení platnosti certifikátů certifikační autority stanovená na dobu delší než rok 2049. Pokud je doba platnosti certifikátu CA nastavena na konec roku 2049, zobrazí se při pokusu o ověření se serverem CA následující chybová zpráva: chyba při načítání certifikátu: neúplný řetězec Pokud se zobrazí chybová zpráva podobná této, zkontrolujte datum vypršení platnosti certifikátu certifikační autority. Pokud je datum vypršení platnosti certifikátu CA nastaveno po roce 2049, musíte datum vypršení zkrátit o rok nebo více.

Chcete-li importovat certifikát ručně přes protokol TFTP nebo jako vyjmutý certifikát na terminálu, použijte příkazimportupki v globálním režimu konfigurace

certifikátpkiimportunázvu

Výchozí příkaz: Žádné výchozí chování nebo hodnoty

Režim příkazů: Globální konfigurace (konfigurace)

Pokyny k používání: Musíte zadat import šifrovacích pki dvakrát příkaz, pokud jsou použity klíče použití (podpis a šifrovací klíče). Při prvním zadání příkazu je jeden z certifikátů vložen do směrovače; při druhém zadání příkazu je do směrovače vložen druhý certifikát. (Nezáleží na tom, který certifikát je vložen jako první.)

Chcete-li deklarovat důvěryhodný bod, který by měl váš směrovač používat, použijte příkazpkitrustpoint v globálním režimu konfigurace. Chcete-li odstranit všechny informace o identitě a certifikáty spojené s bodem důvěryhodnosti, použijte ne forma tohoto příkazu.

redundancepkidůvěryhodného bodudůvěryhodnosti

žádnáredundancepkidůvěryhodného bodudůvěryhodnostipki

Výchozí příkaz: Směrovač nerozpozná žádné body důvěryhodnosti, dokud tento příkaz nevyhlásíte důvěryhodný bod. Váš router používá při komunikaci se servery OCSP (Online Certificate Status Protocol) jedinečné identifikátory, které jsou nakonfigurovány ve vaší síti.

Režim příkazů: Globální konfigurace (konfigurace)

Pokyny k používání:

Deklarace bodů důvěryhodnosti

Použít šifrování veřejné telefonní sítě důvěryhodný bod příkaz deklarovat důvěryhodný bod, což může být kořenová certifikační autorita (CA) podepsaná svým držitelem nebo podřízená certifikační autorita. Vydávání šifrování veřejné telefonní sítě důvěryhodný bod příkaz přepne do konfiguračního režimu ca-trustpoint.

Charakteristiky pro důvěryhodný bod můžete zadat pomocí následujících podpříkazů:

• crl– Dotáže se na seznam odvolaných certifikátů (CRL), aby se ujistil, že nebyl odvolán certifikát protějšku.

• default(ca-trustpoint)– Obnoví výchozí hodnoty podpříkazů režimu konfigurace ca-trustpoint.

• registrace – Určuje parametry registrace (volitelné).

• registracehttp-proxy– přistupuje k certifikační autoritě prostřednictvím protokolu HTTP prostřednictvím proxy serveru.

• registraceselfsigned– Určuje registraci podepsanou svým držitelem (volitelné).

• matchcertificate – přidruží seznam řízení přístupu na základě certifikátu (ACL) definovaný pomocí šifrováníKategorie: ŠpanělštinaosvědčeníMapa stránek příkaz.

• ocspdisable-nonce– Určuje, že směrovač nebude během komunikace OCSP odesílat jedinečné identifikátory ani nonces.

• primary– Přiřazuje zadaný bod důvěryhodnosti jako primární bod důvěryhodnosti směrovače.

• root– Definuje protokol TFTP pro získání certifikátu CA a určuje název serveru i název souboru, do kterého se certifikát CA uloží.

Určení použití jedinečných identifikátorů

Při použití OCSP jako metody odvolání jsou jedinečné identifikátory nebo nonces odesílány ve výchozím nastavení během vzájemné komunikace se serverem OCSP. Použití jedinečných identifikátorů při komunikaci se serverem OCSP umožňuje bezpečnější a spolehlivější komunikaci. Ne všechny servery OCSP však podporují použití unikátních protéz. Více informací naleznete v příručce OCSP. Chcete-li zakázat používání jedinečných identifikátorů během komunikace OCSP, použijte ocasní plochy zakázat nonce podpříkaz.

Chcete-li ručně importovat (stáhnout) balíček certifikátů certifikační autority do důvěryhodného fondu infrastruktury veřejného klíče (PKI) a aktualizovat nebo nahradit stávající balíček certifikační autority, použijte import důvěryhodného fondu pki příkaz v globálním režimu konfigurace. Chcete-li odebrat některý z nakonfigurovaných parametrů, použijte ne forma tohoto příkazu.

kryptografiepkidůvěryhodnýimportclean [ terminál|urlurl ]

žádný šifrovacípkidůvěryhodnýimportclean [ terminál|urlurl ]

Výchozí příkaz: Funkce důvěryhodnosti PKI je povolena. Směrovač používá vestavěný balíček certifikátů certifikační autority ve fondu důvěryhodnosti PKI, který se automaticky aktualizuje ze společnosti Cisco.

Režim příkazů: Globální konfigurace (konfigurace)

Bezpečnostní hrozby a kryptografické technologie, které jim pomáhají chránit se před nimi, se neustále mění. Další informace o nejnovějších doporučeních pro šifrování Cisco naleznete v bílé knize Next Generation Encryption (NGE).

Certifikáty důvěryhodnosti PKI se automaticky aktualizují ze společnosti Cisco. Pokud certifikáty důvěryhodnosti PKI nejsou aktuální, použijte import důvěryhodného fondu pki příkaz k jejich aktualizaci z jiného umístění.

Čl. adresa URL argument určuje nebo mění souborový systém URL certifikační autority. Níže uvedená tabulka uvádí dostupné souborové systémy URL.

Tabulka 3. Souborové systémy URL

Souborový systém	Popis
archív:	Importuje ze souborového systému archivů.
cns:	Importuje ze systému souborů CNS (Cluster Namespace).
disk0:	Importuje ze souborového systému disc0.
disk1:	Importuje ze souborového systému disc1.
FTP:	Importuje ze systému souborů FTP.
http://www.http:/:	Importuje ze systému souborů HTTP. Adresa URL musí být v následujících formátech: http://Název případu:80kde Příjmení je systém doménových jmen (DNS) http://adresa ipv4:80. Příklad: http://10.10.10.1:80. http://[adresa ipv6]:80. Příklad: http://[2001:DB8:1:1::1]:80. Adresa IPv6 je v hexadecimálním zápisu a musí být v URL uvedena v závorkách.
https:/:	Importuje ze souborového systému HTTPS. Adresa URL musí používat stejné formáty jako adresa HTTP: formáty souborového systému.
nulová:	Importuje ze souborového systému null.
nvram:	Importuje ze systému souborů NVRAM.
kočárek:	Importuje ze souborového systému paměti s náhodným přístupem (PRAM).
rcp:	Importuje ze souborového systému protokolu vzdálené kopie (rcp).
scvrkávání:	Importuje ze souborového systému zabezpečeného kopírování protokolu (scp).
snack:	Import z Simple Network Management Protocol (SNMP).
systém:	Importuje ze systému souborů.
dehtové	Importuje ze souborového systému UNIX tar.
TFTP:	Importuje ze souborového systému TFTP.   Adresa URL musí být v adresáři: tftp://CAnázev/specifikace souboru.
tmpsys:	Importuje ze souborového systému tmpsys Cisco IOS.
unixové:	Importuje ze souborového systému UNIX.
xmodem:	Importuje z xmodem jednoduchý protokol pro přenos souborů.
ymodem:	Importuje ze systému jednoduchého protokolu pro přenos souborů ymodem.

Pro identifikaci trustpointnázev důvěryhodného bodu klíčové slovo a argument použité během handshake TLS (Transport Layer Security), který odpovídá adrese vzdáleného zařízení, použijte šifrovací signalizace příkaz v režimu konfigurace uživatelského agenta SIP (UA). Obnovení výchozího nastavení důvěryhodný bod řetězec, použijte ne forma tohoto příkazu.

šifrování { default|remote-addr ip-adresa podsítě-mask } [ tls-profile tag |trustpoint název trustbodu ] [ cn-san-validation server ] [ client-vtp název trustbodu ] [ ecdsa-cipher |velikost křivky 384 |strict-cipher ]

nocrypto signalizace { default|remote-addr ip-adresa maska podsítě } [ tls-profile tag |trustpoint název trustbodu ] [ cn-san-validation server ] [ client-vtp název trustbodu ] [ ecdsa-cifra |velikost křivky 384 |strict-cifra ]

Výchozí příkaz: Příkaz pro signalizaci šifrování je zakázán.

Režim příkazů: Konfigurace SIP UA (sip-ua)

Pokyny k používání: Čl. trustpointtrustpoint-name klíčové slovo a argument odkazuje na certifikát CUBE vygenerovaný jako součást procesu registrace pomocí příkazů PKI Cisco IOS.

Pokud je nakonfigurován jeden certifikát, je používán všemi vzdálenými zařízeními a je nakonfigurován výchozí klíčové slovo.

Používá-li se více certifikátů, mohou být spojeny se vzdálenými službami pomocí vzdálená správce argument pro každý bod důvěryhodnosti. Čl. vzdálená správce a výchozí argumenty mohou být použity společně k pokrytí všech požadovaných služeb.

Výchozí šifrovací sada je v tomto případě následující sada podporovaná vrstvou SSL na CUBE: TLS_RSA_S_RC4_128_MD5 TLS_RSA_S_AES_128_CBC_SHA TLS (rozcestník)_DHE (rozcestník)_Jihoafrická republika_S_AES (rozcestník)_128 (číslo)_Krevní obraz_ŠA1 TLS_ECDHE_RSA_S ŠIFROVÁNÍM_AES_128_GCM_SHA256 TLS_ECDHE_RSA_S_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_S ŠIFROVÁNÍM_AES_128_GCM_SHA256 TLS (rozcestník)_ECDHE (měsíc)_Evropská kosmická agentura_S_AES (rozcestník)_256 (číslo)_GCM (rozcestník)_MANŽELKA384

Klíčové slovo Validace CN server umožňuje ověření identity serveru pomocí polí CN a SAN v certifikátu při vytváření připojení SIP/TLS na straně klienta. Validace polí CN a SAN certifikátu serveru zajišťuje, že doména na straně serveru je platnou entitou. Při vytváření zabezpečeného připojení se serverem SIP CUBE před vytvořením relace TLS ověří nakonfigurovaný název domény cílové relace na pole CN/SAN v certifikátu serveru. Jakmile nakonfigurujete Validace CN server, ověření identity serveru probíhá pro každé nové připojení TLS.

Čl. profil TLS možnost sdružuje konfigurace zásad TLS provedené prostřednictvím přidružených profil TLS hlasové třídy konfigurace. Kromě možností politiky TLS, které jsou k dispozici přímo u šifrovací signalizace příkaz, a profil TLS zahrnuje také sni odeslat možnost.

sni send umožňuje indikaci názvu serveru (SNI), což je rozšíření TLS, které umožňuje klientovi TLS uvést název serveru, ke kterému se pokouší připojit během počátečního procesu handshake TLS. V klientovi hello je odeslán pouze plně kvalifikovaný název hostitele DNS serveru. SNI nepodporuje adresy IPv4 a IPv6 v klientském rozšíření hello. Po obdržení "hello" s názvem serveru od klienta TLS použije server příslušný certifikát v následném procesu handshake TLS. SNI vyžaduje TLS verze 1.2.

Funkce zásad TLS budou k dispozici pouze prostřednictvím profil TLS hlasové třídy konfigurace. Čl. šifrovací signalizace příkaz nadále podporuje dříve existující možnosti šifrování TLS. Můžete použít buď značka profilutls nebo šifrovací signalizace příkaz ke konfiguraci bodu důvěryhodnosti. Doporučujeme používat příkaz značky tls-profiletag hlasové třídy k provedení konfigurací profilu TLS.