Comando de referencia de gateway administrado de Webex

Para habilitar el modelo de control de acceso de autenticación, autorización y contabilidad (AAA), utilice nuevo modelo aaa en el modo de configuración global. Para deshabilitar el modelo de control de acceso AAA, utilice el no forma de este comando.

nuevo modelo aaa

no nuevo modelo aaa

Este comando no tiene argumentos ni palabras clave.

Comando predeterminado: AAA no está habilitado.

Modo de comando: Configuración global (configuración)

Pautas de uso: Este comando habilita el sistema de control de acceso AAA.

Para configurar la autenticación, autorización y contabilidad (AAA) al iniciar sesión, utilice inicio de sesión con autenticación aaa en el modo de configuración global. Para deshabilitar la autenticación AAA, utilice no forma de este comando.

inicio de sesión de autenticación aaa {default |list-name } method1 [method2...]

noinicio de sesión con autenticación aaa {default |list-name } method1 [method2...]

Comando predeterminado: La autenticación AAA al iniciar sesión está deshabilitada.

Modo de comando: Configuración global (configuración)

Pautas de uso: Si el predeterminado La palabra clave de no está definida, solo se comprueba la base de datos de usuarios locales. Esto tiene el mismo efecto que el siguiente comando:

aaa authentication login default local

En la consola, el inicio de sesión tendrá éxito sin ninguna comprobación de autenticación si predeterminado La palabra clave de no está definida.

Los nombres de lista predeterminados y opcionales que crea con inicio de sesión con autenticación aaa se utilizan con el comando autenticación de inicio de sesión comando .

Cree una lista introduciendo el inicio de sesión con autenticación aaa comando list-name method (método list-name) para un protocolo concreto. El argumento de nombre de lista es la cadena de caracteres utilizada para nombrar la lista de métodos de autenticación activados cuando un usuario inicia sesión. El argumento del método identifica la lista de métodos que intenta el algoritmo de autenticación, en la secuencia dada. La sección “Métodos de autenticación que no se pueden utilizar para el argumento de nombre de lista” enumera los métodos de autenticación que no se pueden utilizar para el argumento de nombre de lista y la siguiente tabla describe las palabras clave del método.

Para crear una lista predeterminada que se utilice si no hay ninguna lista asignada a una línea, utilice el autenticación de inicio de sesión con el argumento predeterminado seguido de los métodos que desea utilizar en situaciones predeterminadas.

La contraseña solo se solicita una vez para autenticar las credenciales del usuario y, en caso de errores debidos a problemas de conectividad, es posible realizar varios reintentos a través de los métodos adicionales de autenticación. Sin embargo, el cambio al siguiente método de autenticación solo se produce si el método anterior devuelve un error, no si falla. Para garantizar que la autenticación sea correcta incluso si todos los métodos devuelven un error, especifique ninguno como método final en la línea de comandos.

Si la autenticación no está configurada específicamente para una línea, el valor predeterminado es denegar el acceso y no se realiza ninguna autenticación. Utilizar el más sistema:configuración en ejecución para mostrar las listas configuradas actualmente de métodos de autenticación.

Métodos de autenticación que no se pueden utilizar para el argumento de nombre de lista

Los métodos de autenticación que no se pueden utilizar para el argumento de nombre de lista son los siguientes:

• invitado de autenticación

• activar

• invitado

• si se autentica

• si es necesario

• krb5

• instancia de krb

• krb-telnet

• línea

• local

• ninguno

• radio

• rcmd

• tacacs

• tacásplus

En la siguiente tabla, los métodos de radio de grupo, tacacs + de grupo, ldap de grupo y nombre de grupo de grupo se refieren a un conjunto de servidores RADIUS o TACACS+ previamente definidos. Utilice los comandos host radius-server y tacacs-server host para configurar los servidores host. Utilice los comandos aaa group server radius, aaa group server ldap y aaa group server tacacs+ para crear un grupo de servidores con nombre.

En la siguiente tabla se describen las palabras clave del método.

Palabra clave	Descripción
nombre de grupo de caché	Utiliza un grupo de servidores de caché para la autenticación.
activar	Utiliza la contraseña habilitada para la autenticación. Esta palabra clave no se puede utilizar.
grupo nombre de grupo	Utiliza un subconjunto de servidores RADIUS o TACACS+ para la autenticación según la definición de radio servidor grupo aaa o Servidor grupo aaa tacacs+ comando .
grupoldap	Utiliza la lista de todos los servidores Lightweight Directory Access Protocol (LDAP) para la autenticación.
radiode grupo	Utiliza la lista de todos los servidores RADIUS para la autenticación.
grupotacacs+	Utiliza la lista de todos los servidores TACACS+ para la autenticación.
krb5	Utiliza Kerberos 5 para la autenticación.
krb5-telnet	Utiliza el protocolo de autenticación Kerberos 5 Telnet cuando utiliza Telnet para conectarse al router.
línea	Utiliza la contraseña de la línea para la autenticación.
local	Utiliza la base de datos de nombre de usuario local para la autenticación.
caso local	Utiliza autenticación de nombre de usuario local que distingue entre mayúsculas y minúsculas.
ninguno	No utiliza autenticación.
caducidad de contraseña	Habilita el vencimiento de la contraseña en una lista de autenticación local.   El autenticación de envío vsa de radius-server se requiere el comando para realizar el caducidad de contraseña trabajo con palabras clave.

Para definir los parámetros que restringen el acceso de los usuarios a una red, utilice autorización aaa en el modo de configuración global. Para eliminar los parámetros, utilice el no forma de este comando.

aaaautorización { auth-proxy|cache|comandosnivel |comandos de configuración|configuración|consola|exec|ipmobile|multicast|network|policy-if|prepaid|radius-proxy|acceso inverso|servicio de suscriptor|template} {default|list-name } [method1 [method2.… ]]

noaaaautorización { auth-proxy|cache|comandosnivel |comandos de configuración|configuración|consola|exec|ipmobile|multicast|network|policy-if|prepaid|radius-proxy|acceso inverso|subscriber-service|template} {default|list-name } [method1 [method2.… ]]

Comando predeterminado: La autorización está deshabilitada para todas las acciones (equivalente a la palabra clave del método none ).

Modo de comando: Configuración global (configuración)

Pautas de uso: Utilice el comando aaa authorization para habilitar la autorización y crear listas de métodos nombrados, que definen los métodos de autorización que se pueden utilizar cuando un usuario accede a la función especificada. Las listas de métodos para la autorización definen las formas en que se realizará la autorización y la secuencia en la que se realizarán dichos métodos. Una lista de métodos es una lista nominada que describe los métodos de autorización (como RADIUS o TACACS+) que deben utilizarse secuencialmente. Las listas de métodos le permiten designar uno o más protocolos de seguridad que se utilizarán para la autorización, garantizando así un sistema de copia de seguridad en caso de que el método inicial falle. El software de Cisco IOS utiliza el primer método listado para autorizar a los usuarios para servicios de red específicos; si ese método no responde, el software de Cisco IOS selecciona el siguiente método listado en la lista de métodos. Este proceso continúa hasta que haya una comunicación satisfactoria con un método de autorización listado, o hasta que se agoten todos los métodos definidos.

El software de Cisco IOS intenta la autorización con el siguiente método listado solo cuando no hay respuesta del método anterior. Si la autorización falla en algún momento de este ciclo (lo que significa que el servidor de seguridad o la base de datos de nombre de usuario local responde denegando los servicios del usuario), el proceso de autorización se detiene y no se intenta ningún otro método de autorización.

Si el comando de autorización aaa para un tipo de autorización particular se emite sin una lista de métodos nominados especificada, la lista de métodos predeterminada se aplica automáticamente a todas las interfaces o líneas (donde se aplica este tipo de autorización) excepto aquellas que tienen una lista de métodos nominados explícitamente definida. (Una lista de métodos definida anula la lista de métodos predeterminada). Si no se define ninguna lista de métodos predeterminada, no se realizará ninguna autorización. La lista de métodos de autorización predeterminada debe utilizarse para realizar la autorización de salida, como autorizar la descarga de grupos de IP desde el servidor RADIUS.

Utilice el comando de autorización aaa para crear una lista introduciendo los valores para el nombre de lista y los argumentos del método, donde el nombre de lista es cualquier cadena de caracteres utilizada para nombrar esta lista (excluyendo todos los nombres del método) y el método identifica la lista de métodos de autorización probados en la secuencia dada.

El comando de autorización aaa admite 13 listas de métodos independientes. Por ejemplo:

radio de grupo de configuración de autorización aaa1

radio de grupo methodlist2 de configuración de autorización aaa

...

radio de grupo de configuración de autorización aaa13

En la siguiente tabla, los métodos group group-name, group ldap, group radius y group tacacs + se refieren a un conjunto de servidores RADIUS o TACACS+ previamente definidos. Utilice los comandos host radius-server y tacacs-server host para configurar los servidores host. Utilice los comandos aaa group server radius , aaa group server ldap y aaa group server tacacs+ para crear un grupo de servidores con nombre.

El software Cisco IOS admite los siguientes métodos de autorización:

• Grupos de servidores de caché: el router consulta sus grupos de servidores de caché para autorizar derechos específicos para los usuarios.

• If-Authenticated (Si autenticado): el usuario puede acceder a la función solicitada siempre que el usuario haya sido autenticado correctamente.

• Local: el router o el servidor de acceso consulta su base de datos local, como se define en el comando username, para autorizar derechos específicos para los usuarios. Solo se puede controlar un conjunto limitado de funciones a través de la base de datos local.

• Ninguno --El servidor de acceso a la red no solicita información de autorización; la autorización no se realiza a través de esta línea o interfaz.

• RADIUS: el servidor de acceso a la red solicita información de autorización del grupo de servidores de seguridad de RADIUS. La autorización de RADIUS define derechos específicos para los usuarios asociando atributos, que se almacenan en una base de datos en el servidor de RADIUS, con el usuario adecuado.

• TACACS+ --El servidor de acceso a la red intercambia información de autorización con el daemon de seguridad TACACS+. La autorización de TACACS+ define derechos específicos para los usuarios asociando pares de atributos-valor (AV), que se almacenan en una base de datos en el servidor de seguridad de TACACS+, con el usuario adecuado.

Para permitir conexiones entre tipos específicos de terminales en una red VoIP, utilice conexiones permitidas en el modo de configuración del servicio de voz. Para rechazar tipos específicos de conexiones, utilice el no forma de este comando.

permitir conexionesde tipoatipo

nopermitir conexionesde tipoatipo

Comando predeterminado: Las conexiones SIP a SIP están deshabilitadas de manera predeterminada.

Modo de comando: Configuración del servicio de voz (config-voi-serv)

Pautas de uso: Este comando se utiliza para permitir conexiones entre tipos específicos de extremos en una puerta de enlace IP a IP multiservicio de Cisco. El comando está habilitado de forma predeterminada y no se puede cambiar.

Para permitir la inserción de '#' en cualquier lugar del dn del registro de voz, utilice permitir hash en el dn en el modo de registro de voz global. Para deshabilitarlo, utilice el no forma de este comando.

allow-hash-in-dn

no permitir hash-in-dn

Comando predeterminado: El comando está desactivado de forma predeterminada.

Modo de comando: configuración global del registro de voz (config-register-global)

Pautas de uso: Antes de introducir este comando, los caracteres admitidos en el DN del registro de voz eran 0-9, + y *. El nuevo comando se habilita siempre que el usuario requiera la inserción de # en el dn del registro de voz. El comando está desactivado de forma predeterminada. Puede configurar este comando solo en los modos SRST de Cisco Unified y E-SRST de Cisco Unified. El carácter # se puede insertar en cualquier lugar del registro de voz dn. Cuando este comando está activado, los usuarios deben cambiar el carácter de terminación predeterminado (#) a otro carácter válido utilizando terminal de par de marcado en el modo de configuración.

Para introducir el modo de configuración de aplicaciones de redundancia, utilice redundancia de aplicaciones en el modo de configuración de redundancia.

redundancia de aplicaciones

Este comando no tiene argumentos ni palabras clave.

Comando predeterminado: Ninguno

Modo de comando: Configuración de redundancia (rojo de configuración)

Pautas de uso: Utilice esta redundancia de aplicaciones para configurar la redundancia de aplicaciones para alta disponibilidad.

Para configurar la puerta de enlace predeterminada para una aplicación, utilice app-default-gateway en el modo de configuración de alojamiento de aplicaciones. Para eliminar el gatway predeterminado, utilice el no forma de este comando.

app-default-gateway [dirección IPinterfaz de invitadointerfaz de red-número]

sinapp-default-gateway [dirección IPinterfaz de invitadointerfaz de red-número]

Comando predeterminado: La puerta de enlace predeterminada no está configurada.

Modo de comando: Configuración de alojamiento de aplicaciones (config-app-hosting)

Pautas de uso: Utilizar el app-default-gateway para establecer la puerta de enlace predeterminada para una aplicación. Los conectores de la puerta de enlace son aplicaciones instaladas en el contenedor de Cisco IOS XE GuestShell.

Para configurar una aplicación e introducir el modo de configuración de alojamiento de aplicaciones, utilice appido de alojamiento de aplicaciones en el modo de configuración global. Para eliminar la aplicación, utilice el no forma de este comando.

nombre de aplicación appidde alojamiento de aplicaciones

Comando predeterminado: No hay ninguna aplicación configurada.

Modo de comando: Configuración global (configuración)

Pautas de uso:el argumento del nombre de la aplicación puede tener hasta 32 caracteres alfanuméricos.

Puede actualizar la configuración de alojamiento de aplicaciones después de configurar este comando.

Para anular el perfil de recursos proporcionado por la aplicación, utilice perfil de reconocimiento de aplicaciones en el modo de configuración de alojamiento de aplicaciones. Para volver al perfil de recursos especificado por la aplicación, utilice el no forma de este comando.

perfil de resoure appnombre de perfil

sinperfil de reconocimiento de aplicacionesnombre de perfil

Comando predeterminado: El perfil de recursos está configurado.

Modo de comando: Configuración de alojamiento de aplicaciones (config-app-hosting)

Pautas de uso: Los recursos reservados especificados en el paquete de aplicaciones se pueden cambiar mediante la configuración de un perfil de recursos personalizado. Solo se pueden cambiar los recursos de la CPU, la memoria y la CPU virtual (vCPU). Para que los cambios de recursos surtan efecto, detenga y desactive la aplicación y, a continuación, actívela y vuelva a iniciarla.

Solo se proporciona soporte para el perfil personalizado.

El comando configura el perfil de recursos de la aplicación personalizado e introduce el modo de configuración del perfil de recursos de la aplicación personalizado.

Para configurar una puerta de enlace de interfaz de red virtual para una aplicación, utilice puerta de enlace app-vnic en el modo de configuración de alojamiento de aplicaciones. Para eliminar la configuración, utilice el no forma de este comando.

Este comando solo es compatible con plataformas de enrutamiento. No es compatible con el cambio de plataformas.

puerta de enlace app-vnicgrupo virtualportgroupnúmerointerfaz de invitadonúmero de interfaz de red

sinpuerta de enlace app-vnicvirtualportgroupnúmerointerfaz de invitadonúmero de interfaz de red

Comando predeterminado: El gateway de red virtual no está configurado.

Modo de comando: Configuración de alojamiento de aplicaciones (config-app-hosting)

Pautas de uso: Después de configurar la puerta de enlace de interfaz de red virtual para una aplicación, el modo de comando cambia al modo de configuración de la puerta de enlace de alojamiento de aplicaciones. En este modo, puede configurar la dirección IP de la interfaz de invitado.

Para habilitar la compatibilidad con el encabezado de ID reivindicado en las solicitudes del Protocolo de iniciación de sesión (SIP) o los mensajes de respuesta entrantes, y para enviar la información de privacidad de ID reivindicada en las solicitudes SIP o los mensajes de respuesta salientes, utilice ID reivindicado en el modo de configuración de VoIP-SIP del servicio de voz o en el modo de configuración de inquilinos de clase de voz. Para deshabilitar el soporte para el encabezado de ID reivindicado, utilice no forma de este comando.

sistema asserted-id { pai|ppi }

sinsistema de ID { pai|ppi }

Comando predeterminado: La información de privacidad se envía mediante el encabezado Remote-Party-ID (RPID) o el encabezado FROM.

Modo de comando: Configuración de VoIP-SIP del servicio de voz (conf-serv-sip) y configuración de inquilinos de clase de voz (clase config)

Pautas de uso: Si elige el pai palabra clave de o ppi palabra clave de , la puerta de enlace crea el encabezado PAI o el encabezado PPI, respectivamente, en la pila SIP común. El pai palabra clave de o ppi La palabra clave de tiene prioridad sobre el encabezado Remote-Party-ID (RPID) y elimina el encabezado RPID del mensaje saliente, incluso si el router está configurado para utilizar el encabezado RPID a nivel global.

Para configurar el soporte de carga útil asimétrica del Protocolo de inicio de sesión (SIP), utilice el carga útil asimétrica en el modo de configuración de SIP o en el modo de configuración de inquilinos de clase de voz. Para deshabilitar el soporte de carga útil asimétrica, utilice el no forma de este comando.

asimétricocarga útil { dtmf |códecs dinámicos |sistema |completo }

sincarga útilasimétrica { dtmf |códecs dinámicos |sistema |completo }

Comando predeterminado: Este comando está desactivado.

Modo de comando: Configuración SIP del servicio de voz (conf-serv-sip), configuración del inquilino de la clase de voz (clase de configuración)

Pautas de uso: Ingrese el modo de configuración de SIP desde el modo de configuración del servicio de voz, como se muestra en el ejemplo.

Para el UBE de Cisco, el tipo de carga útil asimétrica SIP es compatible con códecs de audio/vídeo, DTMF y NSE. Por lo tanto, dtmf y códecs dinámicos Las palabras clave de se asignan internamente a completo palabra clave para proporcionar soporte asimétrico del tipo de carga útil para códecs de audio/vídeo, DTMF y NSE.

Para habilitar la autenticación de resumen de SIP en un par de marcado individual, utilice autenticación en el modo de configuración de voz del par de marcado. Para deshabilitar la autenticación de resumen de SIP, utilice no forma de este comando.

autenticaciónnombre de usuarionombre de usuariocontraseña { 0|6|7 } contraseña [dominiodominio|challenge|all ]

sinautenticaciónnombre de usuarionombre de usuariocontraseña { 0|6|7 } contraseña [dominiodominio|challenge|todos ]

Comando predeterminado: La autenticación de resumen de SIP está deshabilitada.

Modo de comando: Configuración de voz del par de marcado (par de marcado de configuración)

Pautas de uso: Las siguientes reglas de configuración son aplicables cuando se habilita la autenticación de resumen:

• Solo se puede configurar un nombre de usuario por par de marcado. Cualquier configuración de nombre de usuario existente debe eliminarse antes de configurar un nombre de usuario diferente.

• Un máximo de cinco contraseña o dominio Los argumentos de se pueden configurar para cualquier nombre de usuario.

El nombre de usuario y contraseña Los argumentos de se utilizan para autenticar un usuario. Un servidor/proxy autenticador que emite una respuesta de desafío 407/401 incluye un dominio en la respuesta de desafío y el usuario proporciona credenciales válidas para ese dominio. Dado que se supone que un máximo de cinco servidores proxy en la ruta de señalización pueden intentar autenticar una solicitud dada de un cliente usuario-agente (UAC) a un servidor usuario-agente (UAS), un usuario puede configurar hasta cinco combinaciones de contraseña y dominios para un nombre de usuario configurado.

El usuario proporciona la contraseña en texto sin formato, pero está cifrada y guardada para la respuesta de desafío 401. Si la contraseña no se guarda de forma cifrada, se envía una contraseña basura y la autenticación falla.

• La especificación del dominio es opcional. Si se omite, la contraseña configurada para ese nombre de usuario se aplica a todos los reinos que intentan autenticarse.

• Solo se puede configurar una contraseña a la vez para todos los reinos configurados. Si se configura una contraseña nueva, sobrescribe cualquier contraseña previamente configurada.

Esto significa que solo se puede configurar una contraseña global (una sin un dominio especificado). Si configura una nueva contraseña sin configurar un dominio correspondiente, la nueva contraseña sobrescribe la anterior.

• Si se configura un dominio para un nombre de usuario y una contraseña previamente configurados, esa especificación de dominio se agrega a esa configuración de nombre de usuario y contraseña existente. Sin embargo, una vez que un dominio se agrega a una configuración de nombre de usuario y contraseña, esa combinación de nombre de usuario y contraseña solo es válida para ese dominio. Un dominio configurado no se puede eliminar de una configuración de nombre de usuario y contraseña sin eliminar primero la configuración completa de ese nombre de usuario y contraseña; luego puede volver a configurar esa combinación de nombre de usuario y contraseña con o sin un dominio diferente.

• En una entrada con una contraseña y un dominio, puede cambiar la contraseña o el dominio.

• Utilizar el sin autenticación todo para eliminar todas las entradas de autenticación del usuario.

Es obligatorio especificar el tipo de cifrado de la contraseña. Si se trata de una contraseña de texto claro (escriba 0) está configurado, se cifra como tipo 6 antes de guardarlo en la configuración en ejecución.

Si especifica el tipo de cifrado como 6 o 7, la contraseña introducida se comprueba con un tipo válido 6 o 7 formato de contraseña de y guardado como tipo 6 o 7 respectivamente.

Las contraseñas de tipo 6 se cifran mediante cifrado AES y una clave principal definida por el usuario. Estas contraseñas son comparativamente más seguras. La tecla principal nunca se muestra en la configuración. Sin conocer la clave principal, escriba 6 contraseñas no se pueden utilizar. Si se modifica la clave principal, la contraseña guardada como tipo 6 se vuelve a cifrar con la nueva clave principal. Si se elimina la configuración de la clave principal, el tipo 6 Las contraseñas de no se pueden descifrar, lo que puede provocar un error de autenticación para llamadas y registros.

Al realizar una copia de seguridad de una configuración o migrar la configuración a otro dispositivo, la clave principal no se descarga. Por lo tanto, la clave principal debe configurarse de nuevo manualmente.

Para configurar una clave precompartida cifrada, consulte Configuración de una clave precompartida cifrada.

El siguiente mensaje de advertencia aparece cuando el tipo de cifrado 7 está configurado. Advertencia: Se ha agregado el comando a la configuración mediante una contraseña de tipo 7. Sin embargo, las contraseñas de tipo 7 pronto quedarán obsoletas. Migrar a un tipo de contraseña compatible 6.

Para vincular la dirección de origen de los paquetes de señalización y multimedia a la dirección IPv4 o IPv6 de una interfaz específica, utilice enlace en el modo de configuración SIP. Para deshabilitar el enlace, utilice el no forma de este comando.

bind { control|media|all } source-interfaceinterface-id { ipv4 addressipv4 address|ipv6 addressipv6 address }

nobind { control|media|all } interfaz de origeninterfaz-id { ipv4 addressipv4 address|ipv6 addressipv6 address }

Comando predeterminado: El enlace está deshabilitado.

Modo de comando: Configuración de SIP (conf-serv-sip) e inquilino de clase de voz.

Pautas de uso: Async, Ethernet, FastEthernet, Loopback y Serial (incluido Frame Relay) son interfaces dentro de la aplicación SIP.

Si el enlace El comando no está activado, la capa IPv4 sigue proporcionando la mejor dirección local.

Para habilitar las configuraciones básicas para Call-Home, utilice Informes de llamadas a domicilio en el modo de configuración global.

informes de llamadas a domicilio { anónimo |contact-email-addr } [ http-proxy { ipv4-address |ipv6-address |name } port port-number ]

Comando predeterminado: Sin comportamiento o valores predeterminados

Modo de comando: Configuración global (configuración)

Pautas de uso: Después de habilitar correctamente Call-Home en modo de registro anónimo o completo con Informes de llamadas a domicilio comando , se envía un mensaje de inventario. Si Call-Home está habilitado en el modo de registro completo, se envía un mensaje de inventario completo para el modo de registro completo. Si Call-Home está habilitado en modo anónimo, se envía un mensaje de inventario anónimo. Para obtener más información acerca de los detalles del mensaje, consulte Comandos y eventos de activación de grupos de alertas.

Para habilitar la compatibilidad con Cisco Unified SRST e introducir el modo de configuración de respaldo de administrador de llamadas, utilice el call-manager-fallback en el modo de configuración global. Para deshabilitar la compatibilidad con SRST de Cisco Unified, utilice no forma de este comando.

call-manager-fallback

sincall-manager-fallero

Este comando no tiene argumentos ni palabras clave.

Comando predeterminado: No hay comportamiento ni valores predeterminados.

Modo de comando: Configuración global

Para habilitar la validación de identidad de servidor, cliente o bidireccional de un certificado de pares durante el protocolo de enlace TLS, utilice el comando cn-san validate en el modo de configuración de perfil tls de clase de voz. Para deshabilitar la validación de identidad del certificado, utilice no forma de este comando.

cn-sanvalidar { servidor|cliente|bidireccional }

nocn-sanvalidate { servidor|cliente|bidireccional }

Comando predeterminado: La validación de identidad está deshabilitada.

Modo de comando: Configuración de la clase de voz (clase de configuración)

Pautas de uso: La validación de la identidad del servidor está asociada a una conexión de señalización segura a través de global señales criptográficas y perfil tls de clase de voz configuraciones.

El comando se ha mejorado para incluir el cliente y bidireccional palabras clave. La opción cliente permite que un servidor valide la identidad de un cliente comprobando los nombres de host CN y SAN incluidos en el certificado proporcionado comparándolos con una lista de confianza de FQDN cn-san. La conexión solo se establecerá si se encuentra una coincidencia. Esta lista de FQDN cn-san también se utiliza ahora para validar un certificado de servidor, además del nombre de organizador de destino de la sesión. El bidireccional La opción valida la identidad del par para las conexiones de cliente y servidor combinando servidor y cliente modos. Una vez que haya configurado cn-san validate, la identidad del certificado de pares se valida para cada nueva conexión TLS.

Para configurar una lista de nombres de dominio totalmente calificados (FQDN) para validar con el certificado de pares para las conexiones TLS entrantes o salientes, utilice el cn-san en el modo de configuración de perfil tls de clase de voz. Para eliminar la entrada de validación de certificados cn-san, utilice el no forma de este comando.

cn-san{1-10}fqdn

nocn-san{1-10}fqdn

Comando predeterminado: No se configuran nombres cn-san.

Modo de comando: Modo de configuración de perfil tls de clase de voz (clase de configuración)

Pautas de uso: El FQDN utilizado para la validación del certificado de pares se asigna a un perfil TLS con hasta diez cn-san entradas. Antes de establecer una conexión TLS, al menos una de estas entradas debe coincidir con un FQDN en los campos Common Name (CN) o Subject-Alternate-Name (SAN) del certificado. Para que coincida con cualquier host de dominio utilizado en un campo CN o SAN, un cn-san La entrada de puede configurarse con un comodín de dominio, estrictamente en el formato *.domain-name (p. ej. *.cisco.com). No se permite ningún otro uso de comodines.

Para las conexiones entrantes, la lista se utiliza para validar los campos CN y SAN en el certificado de cliente. Para las conexiones salientes, la lista se utiliza junto con el nombre de host de destino de la sesión para validar los campos CN y SAN en el certificado del servidor.

Los certificados del servidor también pueden verificarse haciendo coincidir el FQDN de destino de la sesión SIP con un campo CN o SAN.

Para especificar una lista de códecs preferidos que se utilizarán en un par de marcado, utilice códec preferencia en el modo de configuración de clase de voz. Para deshabilitar esta funcionalidad, utilice el no forma de este comando.

códecpreferenciavalortipo de códec

sincódecpreferenciavalortipo de códec

Comando predeterminado: Si no se introduce este comando, no se identifican tipos específicos de códecs con preferencia.

Modo de comando: configuración de la clase de voz (clase de configuración)

Pautas de uso: Es posible que los enrutadores en extremos opuestos de la WAN tengan que negociar la selección de códecs para los pares de marcado de red. El códec preferencia El comando especifica el orden de preferencia para seleccionar un códec negociado para la conexión. En la siguiente tabla se describen las opciones de carga útil de voz y los valores predeterminados para los protocolos de voz de códecs y paquetes.

Para utilizar el puerto de escucha global para enviar solicitudes a través de UDP, utilice el reutilización de la conexión en modo sip-ua o modo de configuración de inquilinos de clase de voz. Para deshabilitar, utilice no forma de este comando.

reutilización de la conexión { via port |system }

sinreutilizar la conexión { via port |system }

Comando predeterminado: La puerta de enlace local utiliza un puerto UDP efímero para enviar solicitudes a través de UDP.

Modos de comando: Configuración de UA SIP (config-sip-ua), configuración de inquilinos de clase de voz (config-class)

Pautas de uso: Al ejecutar este comando, se habilita el puerto de escucha de uso para enviar solicitudes a través de UDP. El puerto de escucha predeterminado para el SIP no seguro normal es 5060 y el SIP seguro es 5061. Configurar listen-port [non-secure | secure]port en modo de configuración voip del servicio de voz > sip para cambiar el puerto UDP global.

Para cambiar la cuota o la unidad de CPU asignada a una aplicación, utilice cpu en el modo de configuración del perfil de recursos de la aplicación personalizada. Para volver a la cuota de CPU proporcionada por la aplicación, utilice no forma de este comando.

unidad decpu

no hayunidadde CPU

Comando predeterminado: La CPU predeterminada depende de la plataforma.

Modo de comando: Configuración del perfil de recursos de la aplicación personalizada (config-app-resource-profile-custom)

Pautas de uso: Una unidad de CPU es la asignación mínima de CPU por parte de la aplicación. El total de unidades de CPU se basa en unidades de CPU normalizadas medidas para el dispositivo de destino.

Dentro de cada paquete de aplicación, se proporciona un perfil de recursos específico de la aplicación que define la carga de CPU recomendada, el tamaño de la memoria y la cantidad de CPU virtuales (vCPU) necesarias para la aplicación. Utilice este comando para cambiar la asignación de recursos para procesos específicos en el perfil de recursos personalizado.

Los recursos reservados especificados en el paquete de aplicaciones se pueden cambiar mediante la configuración de un perfil de recursos personalizado. Solo se pueden cambiar los recursos de la CPU, la memoria y la vCPU. Para que los cambios de recursos surtan efecto, detenga y desactive la aplicación, luego actívela y vuelva a iniciarla.

Los valores de los recursos son específicos de la aplicación, y cualquier ajuste a estos valores debe garantizar que la aplicación pueda ejecutarse de forma fiable con los cambios.

Para configurar una puerta de enlace de multiplexación por división de tiempo (TDM) del Protocolo de inicio de sesión (SIP) de Cisco IOS, un Cisco Unified Border Element (Cisco UBE) o Cisco Unified Communications Manager Express (Cisco Unified CME) para enviar un mensaje de registro SIP cuando esté en el estado UP, utilice credenciales en el modo de configuración de SIP UA o en el modo de configuración de inquilinos de clase de voz. Para deshabilitar las credenciales de resumen de SIP, utilice no forma de este comando.

credenciales { dhcp|numbernumberusernameusername } contraseña { 0|6|7 } contraseñadominiodominio

nocredenciales { dhcp|numbernumberusernameusername } contraseña { 0|6|7 } contraseñadominiodominio

Comando predeterminado: Las credenciales de resumen de SIP están deshabilitadas.

Modo de comando: Configuración de UA SIP (config-sip-ua) y configuración de inquilinos de clase de voz (config-class).

Pautas de uso: Las siguientes reglas de configuración son aplicables cuando las credenciales están habilitadas:

• Solo una contraseña es válida para todos los nombres de dominio. Una nueva contraseña configurada reemplaza cualquier contraseña previamente configurada.

• La contraseña siempre se mostrará en formato cifrado cuando credenciales el comando está configurado y el comando mostrar configuración en ejecución se utiliza el comando .

El dhcp palabra clave en el comando significa que el número principal se obtiene a través de DHCP y la puerta de enlace SIP TDM de Cisco IOS, Cisco UBE o Cisco Unified CME en la que está habilitado el comando utiliza este número para registrar o cancelar el registro del número principal recibido.

Es obligatorio especificar el tipo de cifrado de la contraseña. Si se trata de una contraseña de texto claro (escriba 0) está configurado, se cifra como tipo 6 antes de guardarlo en la configuración en ejecución.

Si especifica el tipo de cifrado como 6 o 7, la contraseña introducida se comprueba con un tipo válido 6 o 7 formato de contraseña de y guardado como tipo 6 o 7 respectivamente.

Las contraseñas de tipo 6 se cifran mediante cifrado AES y una clave principal definida por el usuario. Estas contraseñas son comparativamente más seguras. La tecla principal nunca se muestra en la configuración. Sin conocer la clave principal, escriba 6 contraseñas no se pueden utilizar. Si se modifica la clave principal, la contraseña guardada como tipo 6 se vuelve a cifrar con la nueva clave principal. Si se elimina la configuración de la clave principal, el tipo 6 Las contraseñas de no se pueden descifrar, lo que puede provocar un error de autenticación para llamadas y registros.

Al realizar una copia de seguridad de una configuración o migrar la configuración a otro dispositivo, la clave principal no se descarga. Por lo tanto, la clave principal debe configurarse de nuevo manualmente.

Para configurar una clave precompartida cifrada, consulte Configuración de una clave precompartida cifrada.

Advertencia: Se ha agregado el comando a la configuración mediante una contraseña de tipo 7. Sin embargo, las contraseñas de tipo 7 pronto quedarán obsoletas. Migrar a un tipo de contraseña compatible 6.

En YANG, no puede configurar el mismo nombre de usuario en dos reinos diferentes.

Para especificar la preferencia de un conjunto de cifrado SRTP que ofrecerá Cisco Unified Border Element (CUBE) en el SDP en oferta y respuesta, utilice el criptografía en el modo de configuración de clase de voz. Para deshabilitar esta funcionalidad, utilice el no forma de este comando.

conjunto de cifradopreferencia de cifrado

sinpreferencia criptográfica conjunto de cifrado

Comando predeterminado: Si este comando no está configurado, el comportamiento predeterminado es ofrecer las suites srtp-cipher en el siguiente orden de preferencia:

• AEAD_AES_256_GCM

• AEAD_AES_128_GCM

• AES_CM_128_HMAC_SHA1_80

• AES_CM_128_HMAC_SHA1_32

Modo de comando: clase de voz srtp-crypto (clase de configuración)

Pautas de uso: Si cambia la preferencia de un conjunto de cifrado ya configurado, se sobrescribirá la preferencia.

Para generar pares de claves Rivest, Shamir y Adelman (RSA), utilice la clave criptográfica generar rsa en el modo de configuración global.

la clave criptográfica genera rsa [ { general-keys |usage-keys |firma |cifrado } ] [ etiqueta etiqueta de clave ] [ exportable ] [ modulus modulus-size ] [ almacenamiento devicename : ] [ redundanciaon devicename : ]

Comando predeterminado: No existen pares de claves RSA.

Modo de comando: Configuración global (configuración)

Pautas de uso: Utilizar el clave criptográfica generar rsa para generar pares de claves RSA para su dispositivo Cisco (como un enrutador).

Las claves RSA se generan en pares: una clave RSA pública y una clave RSA privada.

Si su enrutador ya tiene claves RSA cuando emite este comando, se le advertirá y se le pedirá que reemplace las claves existentes por nuevas.

El clave criptográfica generar rsa el comando no se guarda en la configuración del router; sin embargo, las claves RSA generadas por este comando se guardan en la configuración privada en NVRAM (que nunca se muestra al usuario ni se hace una copia de seguridad en otro dispositivo) la próxima vez que la configuración se escriba en NVRAM.

• Claves de uso especial: Si genera claves de uso especial, se generarán dos pares de claves RSA. Un par se utilizará con cualquier política de intercambio de claves de Internet (IKE) que especifique firmas de RSA como método de autenticación, y el otro par se utilizará con cualquier política de IKE que especifique claves cifradas de RSA como método de autenticación.

  Una CA solo se utiliza con políticas de IKE que especifican firmas de RSA, no con políticas de IKE que especifican nonces cifradas por RSA. (Sin embargo, podría especificar más de una directiva de IKE y tener firmas de RSA especificadas en una directiva y no cifradas en RSA en otra).

  Si planea tener ambos tipos de métodos de autenticación de RSA en sus políticas de IKE, es posible que prefiera generar claves de uso especial. Con claves de uso especial, cada clave no se expone innecesariamente. (Sin claves de uso especial, se utiliza una clave para ambos métodos de autenticación, lo que aumenta la exposición de esa clave).

• Claves de uso general: Si genera claves de uso general, solo se generará un par de claves RSA. Este par se utilizará con políticas de IKE que especifiquen firmas RSA o claves cifradas RSA. Por lo tanto, un par de claves de uso general podría utilizarse con más frecuencia que un par de claves de uso especial.

• Pares de claves designados: Si genera un par de claves con nombre mediante el argumento de etiqueta de clave, también debe especificar claves de uso palabra clave de o teclas generales palabra clave. Los pares de claves con nombre le permiten tener varios pares de claves RSA, lo que permite que el software Cisco IOS mantenga un par de claves diferente para cada certificado de identidad.

• Longitud del módulo: Cuando genere claves RSA, se le pedirá que introduzca una longitud de módulo. Cuanto más largo sea el módulo, más fuerte será la seguridad. Sin embargo, los módulos más largos tardan más en generarse (véanse los tiempos de muestreo en la tabla siguiente) y tardan más en utilizarse.

  Tabla 2. Tiempos de muestra por longitud de módulo para generar claves RSA

  Enrutador	360 bits	512 bits	1024 bits	2048 bits (máximo)
  Cisco 2500	11 segundos	20 segundos	4 minutos, 38 segundos	Más de 1 hora
  Cisco 4700	Menos de 1 segundo	1 segundo	4 segundos	50 segundos

  El software Cisco IOS no admite un módulo superior a 4096 bits. Normalmente no se recomienda una longitud inferior a 512 bits. En determinadas situaciones, el módulo más corto puede no funcionar correctamente con IKE, por lo que recomendamos utilizar un módulo mínimo de 2048 bits.

  Pueden aplicarse limitaciones adicionales cuando el hardware criptográfico genera claves RSA. Por ejemplo, cuando el adaptador de puerto de servicios VPN (VSPA) de Cisco genera claves RSA, el módulo de claves RSA debe ser como mínimo 384 bits y un múltiplo de 64.

• Especificación de una ubicación de almacenamiento para claves RSA: Cuando emite el clave criptográfica generar rsa con el comando almacenamiento desvicename : palabra clave y argumento, las claves RSA se almacenarán en el dispositivo especificado. Esta ubicación reemplazará a cualquier almacenamiento de claves criptográficas configuración de comandos de .

• Especificación de un dispositivo para la generación de claves RSA: Puede especificar el dispositivo en el que se generan las claves RSA. Los dispositivos compatibles incluyen NVRAM, discos locales y tokens USB. Si su enrutador tiene un token USB configurado y disponible, el token USB puede utilizarse como dispositivo criptográfico además de un dispositivo de almacenamiento. El uso de un token USB como dispositivo criptográfico permite realizar operaciones RSA, como la generación de claves, la firma y la autenticación de credenciales, en el token. La clave privada nunca sale del token USB y no se puede exportar. La clave pública es exportable.

  Las claves RSA pueden generarse en un token USB configurado y disponible mediante el uso de el desvicename : palabra clave y argumento. Las claves que residen en un token USB se guardan en el almacenamiento persistente de tokens cuando se generan. El número de claves que se pueden generar en un token USB está limitado por el espacio disponible. Si intenta generar claves en un token USB y está lleno, recibirá el siguiente mensaje:

  % Error in generating keys:no available resources 

  La eliminación de claves eliminará inmediatamente las claves almacenadas en el token del almacenamiento persistente. (Las claves que no residen en un token se guardan o se eliminan de ubicaciones de almacenamiento que no son token cuando copia o similar).

• Especificación de la generación de redundancia de claves RSA en un dispositivo: Puede especificar la redundancia para las claves existentes solo si se pueden exportar.

Para autenticar a la autoridad de certificación (CA) (obteniendo el certificado de la CA), utilice cryptopkiauthenticate en el modo de configuración global.

criptopkinombre autenticado

Comando predeterminado: No hay comportamiento ni valores predeterminados.

Modo de comando: Configuración global (configuración)

Pautas de uso: Este comando es necesario cuando configura inicialmente el soporte de CA en su enrutador.

Este comando autentica la CA en su enrutador obteniendo el certificado de firma automática de la CA que contiene la clave pública de la CA. Dado que la CA firma su propio certificado, debe autenticar manualmente la clave pública de la CA poniéndose en contacto con el administrador de la CA cuando ingrese este comando.

Si utiliza el modo Publicidad de enrutador (RA) (utilice el inscripción) cuando emite el comando criptografía pki autenticar y, a continuación, los certificados de firma y cifrado de la autoridad de registro se devolverán de la CA y del certificado de la CA.

Este comando no se guarda en la configuración del router. Sin embargo, las claves públicas integradas en los certificados de CA (y RA) recibidos se guardan en la configuración como parte del registro de claves públicas de Rivest, Shamir y Adelman (RSA) (denominada “cadena de claves públicas RSA”).

Si la CA no responde en un período de tiempo de espera después de que se emita este comando, se devolverá el control terminal para que permanezca disponible. Si esto sucede, debe volver a ingresar el comando. El software Cisco IOS no reconocerá las fechas de vencimiento de certificados de CA establecidas para más allá del año 2049. Si se establece que el período de validez del certificado de CA expira después del año 2049, se mostrará el siguiente mensaje de error cuando se intente realizar la autenticación con el servidor de CA: error al recuperar el certificado :cadena incompleta Si recibe un mensaje de error similar a este, compruebe la fecha de caducidad de su certificado de CA. Si la fecha de caducidad de su certificado de CA se establece después del año 2049, debe reducir la fecha de caducidad en un año o más.

Para importar un certificado manualmente a través de TFTP o como cortar y pegar en el terminal, utilice Comando cryptopkiimport en el modo de configuración global.

cryptopkiimportaciónnombrecertificado

Comando predeterminado: Sin comportamiento o valores predeterminados

Modo de comando: Configuración global (configuración)

Pautas de uso: Debe introducir el importación de PKI criptográfico dos veces si se utilizan claves de uso (claves de firma y cifrado). La primera vez que se introduce el comando, uno de los certificados se pega en el enrutador; la segunda vez que se introduce el comando, el otro certificado se pega en el enrutador. (No importa qué certificado se pegue primero).

Para declarar el punto de confianza que debe utilizar su enrutador, utilice el cryptopkitrustpoint en el modo de configuración global. Para eliminar toda la información de identidad y los certificados asociados con el punto de confianza, utilice no forma de este comando.

redundancia depkipunto de confianzanombrede redundancia

sincriptografíapkipunto de confianzaredundanciade nombre

Comando predeterminado: Su enrutador no reconoce ningún punto de confianza hasta que usted lo declare mediante este comando. Su enrutador utiliza identificadores únicos durante la comunicación con servidores del Protocolo de estado de certificado en línea (OCSP), según se configuró en su red.

Modo de comando: Configuración global (configuración)

Pautas de uso:

Declarar puntos de confianza

Utilizar el criptografía pki punto de confianza para declarar un punto de confianza, que puede ser una autoridad de certificación (CA) raíz autofirmada o una CA subordinada. Emitiendo el criptografía pki punto de confianza El comando lo coloca en el modo de configuración de ca-trustpoint.

Puede especificar las características del punto de confianza mediante los siguientes subcomandos:

• crl: consulta la lista de revocación de certificados (CRL) para asegurarse de que no se haya revocado el certificado del par.

• predeterminado(ca-trustpoint): restablece el valor de los subcomandos del modo de configuración de ca-trustpoint a sus valores predeterminados.

• inscripción: especifica los parámetros de inscripción (opcional).

• inscripciónhttp-proxy: accede a la CA mediante HTTP a través del servidor proxy.

• inscripciónautofirmada: especifica la inscripción autofirmada (opcional).

• coincidenciacertificado: asocia una lista de control de acceso (ACL) basada en certificados definida con cryptocacertificatemap.

• ocspdisable-nonce: especifica que su enrutador no enviará identificadores únicos, o no, durante las comunicaciones con OCSP.

• primario: asigna un punto de confianza especificado como el punto de confianza principal del enrutador.

• root: define el TFTP para obtener el certificado de CA y especifica un nombre para el servidor y un nombre para el archivo que almacenará el certificado de CA.

Especificación del uso de identificadores únicos

Cuando se utiliza OCSP como método de revocación, los identificadores únicos, o no, se envían de manera predeterminada durante las comunicaciones entre pares con el servidor OCSP. El uso de identificadores únicos durante las comunicaciones del servidor OCSP permite comunicaciones más seguras y fiables. Sin embargo, no todos los servidores OCSP admiten el uso de dentaduras únicas, consulte el manual de OCSP para obtener más información. Para deshabilitar el uso de identificadores únicos durante las comunicaciones de OCSP, utilice ocsp desactivar-nonce subcomando de .

Para importar (descargar) manualmente el paquete de certificados de la autoridad de certificación (CA) al grupo de confianza de infraestructura de clave pública (PKI) para actualizar o reemplazar el paquete de CA existente, utilice el importación del grupo de confianza de crypto pki en el modo de configuración global. Para eliminar cualquiera de los parámetros configurados, utilice no forma de este comando.

cryptopkitrustpoolimportclean [ terminal|urlurl ]

nocryptopkitrustpoolimportclean [ terminal|urlurl ]

Comando predeterminado: La característica de grupo de confianza PKI está habilitada. El enrutador utiliza el paquete de certificados de CA integrado en el grupo de confianza de PKI, que se actualiza automáticamente desde Cisco.

Modo de comando: Configuración global (configuración)

Las amenazas a la seguridad, así como las tecnologías criptográficas que ayudan a protegerse contra ellas, cambian constantemente. Para obtener más información acerca de las últimas recomendaciones criptográficas de Cisco, consulte el informe Next Generation Encryption (NGE).

Los certificados del grupo de confianza de PKI se actualizan automáticamente desde Cisco. Cuando los certificados del grupo de confianza PKI no estén actualizados, utilice importación del grupo de confianza de crypto pki comando para actualizarlos desde otra ubicación.

El url El argumento de especifica o cambia el sistema de archivos URL de la CA. En la siguiente tabla se enumeran los sistemas de archivos URL disponibles.

Cuadro 3. Sistemas de archivos URL

Sistema de archivos	Descripción
archivo:	Importaciones desde el sistema de archivos de archivo.
snc:	Importa desde el sistema de archivos Cluster Namespace (CNS).
disco0:	Importaciones desde el sistema de archivos disc0.
disco1:	Importaciones desde el sistema de archivos disc1.
ftp:	Importa desde el sistema de archivos FTP.
http:	Importa desde el sistema de archivos HTTP. La URL debe estar en los siguientes formatos: http://CAname:80, donde CAname es el sistema de nombres de dominio (DNS) http://dirección ipv4:80. Por ejemplo: http://10.10.10.1:80. http://[ipv6 address]:80. Por ejemplo: http://[2001:DB8:1:1::1]:80. La dirección IPv6 está en notación hexadecimal y debe incluirse entre paréntesis en la URL.
https:	Importa desde el sistema de archivos HTTPS. La URL debe utilizar los mismos formatos que el HTTP: formatos del sistema de archivos.
nulo:	Se importa desde el sistema de archivos nulo.
nvram:	Importaciones del sistema de archivos NVRAM.
cochecito:	Importa desde el sistema de archivos Parameter Random-access Memory (PRAM).
rcp:	Importaciones desde el sistema de archivos de protocolo de copia remota (rcp).
scp:	Importaciones desde el sistema de archivos de protocolo de copia segura (scp).
snmp:	Importaciones desde el Simple Network Management Protocol (SNMP).
sistema:	Importaciones desde el sistema de archivos del sistema.
alquitrán:	Importa desde el sistema de archivos tar de UNIX.
tftp:	Importa desde el sistema de archivos TFTP.   La URL debe estar en el desde: tftp://CAname/filespecification.
tmpsys:	Importa desde el sistema de archivos tmpsys de Cisco IOS.
unix:	Importa desde el sistema de archivos UNIX.
xmódem:	Importa desde el sistema de protocolo de transferencia de archivos simple xmodem.
ymódem:	Importa desde el sistema de protocolo de transferencia de archivos simple ymodem.

Para identificar el punto de confianzanombre del punto de confianza palabra clave y argumento utilizados durante el protocolo de enlace Seguridad de la capa de transporte (TLS) que corresponde a la dirección del dispositivo remoto, utilice el señales criptográficas en el modo de configuración del agente de usuario (UA) SIP. Para restablecer al valor predeterminado punto de confianza cadena , utilice la no forma de este comando.

señales criptográficas { predeterminado|remote-addr dirección ip subnet-mask } [ perfil de tls etiqueta |punto de confianza nombre del punto de confianza ] [ cn-san-validation servidor ] [ cliente-vtp nombre del punto de confianza ] [ ecdsa-cipher |tamaño de curva 384 |cifrado estricto ]

sinseñales criptográficas { predeterminado|remote-addr dirección IP subnet-mask } [ perfil tls etiqueta |punto de confianza nombre de punto de confianza ] [ cn-san-validation servidor ] [ cliente-vtp nombre de punto de confianza ] [ ecdsa-cipher |tamaño de curva 384 |cifrado estricto ]

Comando predeterminado: El comando de señalización criptográfica está desactivado.

Modo de comando: Configuración de UA SIP (sip-ua)

Pautas de uso: El punto de confianzanombre de punto de confianza palabra clave y argumento se refiere al certificado CUBE generado como parte del proceso de inscripción mediante comandos de PKI de Cisco IOS.

Cuando se configura un único certificado, todos los dispositivos remotos lo utilizan y el predeterminado palabra clave.

Cuando se utilizan varios certificados, pueden asociarse a servicios remotos mediante el uso de addr remoto argumento para cada punto de confianza. El addr remoto y los argumentos predeterminados pueden utilizarse juntos para cubrir todos los servicios según sea necesario.

El conjunto de cifrado predeterminado en este caso es el siguiente conjunto compatible con la capa SSL en CUBE: TLS_RSA_CON_RC4_128_MD5 TLS_RSA_CON_AES_128_CBC_SHA TLS_DHE_RSA_CON_AES_128_CBC_SHA1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_CON_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_CON_AES_256_GCM_SHA384

La palabra clave cn-san-validate servidor permite la validación de la identidad del servidor a través de los campos CN y SAN del certificado al establecer conexiones SIP/TLS del lado del cliente. La validación de los campos CN y SAN del certificado del servidor garantiza que el dominio del servidor sea una entidad válida. Al crear una conexión segura con un servidor SIP, CUBE valida el nombre de dominio de destino de la sesión configurado con los campos CN/SAN del certificado del servidor antes de establecer una sesión TLS. Una vez que haya configurado cn-san-validate servidor, la validación de la identidad del servidor se realiza para cada nueva conexión TLS.

El perfil tls La opción asocia las configuraciones de directivas de TLS realizadas a través de la opción asociada perfil tls de clase de voz configuración de . Además de las opciones de directivas de TLS disponibles directamente con señales criptográficas comando , un perfil tls también incluye el envío sni opción.

sni send activa la Indicación de nombre de servidor (SNI), una extensión TLS que permite a un cliente TLS indicar el nombre del servidor al que intenta conectarse durante el proceso de enlace TLS inicial. Solo se envía el nombre de host DNS completamente calificado del servidor en el hello de cliente. SNI no admite direcciones IPv4 e IPv6 en la extensión client hello. Después de recibir un "hello" con el nombre de servidor del cliente TLS, el servidor utiliza el certificado apropiado en el proceso de enlace TLS posterior. SNI requiere la versión 1.2 de TLS.

Las funciones de directiva TLS solo estarán disponibles a través de un perfil tls de clase de voz configuración de . El señales criptográficas El comando sigue siendo compatible con las opciones de cifrado TLS existentes anteriormente. Puede utilizar la opción etiqueta de perfil tls de clase de voz o señales criptográficas para configurar un punto de confianza. Le recomendamos que utilice el Comando tag-profile de clase de voztag para realizar configuraciones de perfil de TLS.