Aby włączyć model kontroli dostępu do uwierzytelniania, autoryzacji i księgowości (AAA), należy użyć aaa nowy model polecenie w trybie konfiguracji globalnej. Aby wyłączyć model kontroli dostępu AAA, należy użyć nie forma tego polecenia.

aaa nowy model

nie aaa nowy model

To polecenie nie zawiera argumentów ani słów kluczowych.

Domyślne polecenie: AAA nie jest włączone.

Tryb poleceń: Konfiguracja globalna (konfiguracja)

Wytyczne użytkowania: To polecenie umożliwia system kontroli dostępu AAA.

Aby ustawić uwierzytelnianie, autoryzację i uwierzytelnianie księgowe (AAA) podczas logowania, użyj Logowanie do uwierzytelniania aaa polecenie w trybie konfiguracji globalnej. Aby wyłączyć uwierzytelnianie AAA, użyj nie forma tego polecenia.

logowanie do uwierzytelniania aaa {domyślna |nazwa listy } metoda1 [metoda2...]

brakloginu do uwierzytelniania aaa {domyślna |nazwa listy } metoda1 [metoda2...]

Domyślne polecenie: Uwierzytelnianie AAA podczas logowania jest wyłączone.

Tryb poleceń: Konfiguracja globalna (konfiguracja)

Wytyczne użytkowania: Jeśli domyślnie słowo kluczowe nie jest ustawione, sprawdzana jest tylko baza danych użytkowników lokalnych. Ma to taki sam skutek jak następujące polecenie:

aaa authentication login default local

Na konsoli logowanie zakończy się powodzeniem bez sprawdzania uwierzytelniania, jeśli domyślnie słowo kluczowe nie jest ustawione.

Domyślne i opcjonalne nazwy list utworzone przy użyciu Logowanie do uwierzytelniania aaa polecenie jest używane z uwierzytelnianie logowania polecenia.

Utwórz listę, wprowadzając Logowanie do uwierzytelniania aaa Polecenie metody list-name dla określonego protokołu. Argument nazwa listy to ciąg znaków używany do nazwania listy metod uwierzytelniania aktywowanych po zalogowaniu się użytkownika. Argument metody identyfikuje listę metod, które algorytm uwierzytelniania próbuje w podanej kolejności. W sekcji „Metody uwierzytelniania, których nie można użyć do argumentu nazwy listy” wymieniono metody uwierzytelniania, których nie można użyć do argumentu nazwy listy, a w poniższej tabeli opisano słowa kluczowe metody.

Aby utworzyć listę domyślną, która jest używana, jeśli żadna lista nie jest przypisana do linii, użyj uwierzytelnianie logowania polecenie z argumentem domyślnym, a następnie metody, których chcesz użyć w sytuacjach domyślnych.

Hasło jest wyświetlane tylko raz w celu uwierzytelnienia poświadczeń użytkownika, a w przypadku błędów spowodowanych problemami z łącznością możliwe jest wielokrotne ponawianie prób za pomocą dodatkowych metod uwierzytelniania. Przejście na następną metodę uwierzytelniania odbywa się jednak tylko wtedy, gdy poprzednia metoda zwraca błąd, a nie w przypadku jego niepowodzenia. Aby zapewnić powodzenie uwierzytelniania, nawet jeśli wszystkie metody zwracają błąd, określ żadnych jako ostateczna metoda w wierszu poleceń.

Jeśli uwierzytelnianie nie jest specjalnie ustawione dla linii, domyślnym rozwiązaniem jest odmowa dostępu i żadne uwierzytelnianie nie jest wykonywane. Użyj więcej systemów:konfiguracja działająca polecenie wyświetlania aktualnie skonfigurowanych list metod uwierzytelniania.

Metody uwierzytelniania, których nie można użyć dla Argumentu nazwy listy

Metody uwierzytelniania, których nie można użyć dla argumentu nazwy listy, są następujące:

• auth-guest

• włączyć

• gość

• jeśli jest uwierzytelniony

• w razie potrzeby

• krb5

• krb-instance

• krb-telnet

• linia

• lokalne

• brak

• promień

• rcmd

• tacacs

• takacsplus

W poniższej tabeli radius grupy, takty grupy +, metody grupy ldap i nazwy grupy odnoszą się do zestawu wcześniej zdefiniowanych serwerów RADIUS lub TACACS+. Aby skonfigurować serwery hosta, użyj poleceń hosta serwera radiowego i tacacs-server. Użyj promienia serwera grupy aaa, ldap serwera grupy aaa i takaców serwera grupy aaa+, aby utworzyć nazwaną grupę serwerów.

Poniższa tabela opisuje słowa kluczowe metody.

Słowo kluczowe	Opis
nazwa grupy pamięci podręcznej	Używa grupy serwerów pamięci podręcznej do uwierzytelniania.
włączyć	Używa włączonego hasła do uwierzytelniania. Nie można użyć tego słowa kluczowego.
nazwa grupy	Używa podzbioru serwerów RADIUS lub TACACS+ do uwierzytelniania określonego przez Promień serwera grupy aaa lub taktyki serwera grupy aaa+ polecenia.
grupaldap	Wykorzystuje listę wszystkich serwerów LDAP (Lightweight Directory Access Protocol) do uwierzytelniania.
promieńgrupy	Wykorzystuje listę wszystkich serwerów RADIUS do uwierzytelniania.
grupowetacacs+	Wykorzystuje listę wszystkich serwerów TACACS+ do uwierzytelniania.
krb5	Używa Kerberos 5 do uwierzytelniania.
krb5-telnet	W celu połączenia z routerem używa protokołu uwierzytelniania Telnet Kerberos 5.
linia	Używa hasła linii do uwierzytelniania.
lokalne	Używa lokalnej bazy danych nazwy użytkownika do uwierzytelniania.
lokalny przypadek	Używa uwierzytelniania lokalnej nazwy użytkownika uwzględniającego wielkość liter.
brak	Nie korzysta z uwierzytelniania.
passwd-wygasanie	Włącza starzenie się hasła na lokalnej liście uwierzytelniania.   Informacje Vsa wysyłanie uwierzytelniania przez serwer radiowy polecenie jest wymagane, aby passwd-wygaśnięcie słowo kluczowe praca.

Aby ustawić parametry ograniczające dostęp użytkownika do sieci, należy użyć ikony upoważnienie aaa polecenie w trybie konfiguracji globalnej. Aby usunąć parametry, użyj nie forma tego polecenia.

aaaupoważnienie {{{}} auth-proxy|pamięć podręczna|poleceniapoziom |polecenia konfiguracji|konfiguracja|konsola|exec|ipmobile|wieloośrodkowy|sieć|polityka – jeśli|przedpłacone|promień-proxy|dostęp wsteczny|abonent-service|szablon} {domyślnie|nazwa listy } [metoda1 [ [ [ [ ] [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ ] [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ ] [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [metoda2.… ]]

nieaaaupoważnienie {{{}} auth-proxy|pamięć podręczna|poleceniapoziom |polecenia konfiguracji|konfiguracja|konsola|exec|ipmobile|wieloośrodkowy|sieć|polityka – jeśli|przedpłacone|promień-proxy|dostęp wsteczny|abonent-service|szablon} {domyślnie|nazwa listy } [metoda1 [ [ [ [ ] [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ ] [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ ] [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [ [metoda2.… ]]

Domyślne polecenie: Upoważnienie jest wyłączone dla wszystkich działań (równoważne słowu kluczowemu metody brak ).

Tryb poleceń: Konfiguracja globalna (konfiguracja)

Wytyczne użytkowania: Użyj polecenia autoryzacji aaa, aby włączyć autoryzację i utworzyć listy nazwanych metod, które definiują metody autoryzacji, które mogą być używane, gdy użytkownik uzyskuje dostęp do określonej funkcji. Listy metod autoryzacji określają sposoby autoryzacji i sekwencję wykonywania tych metod. Lista metod jest nazwaną listą, która opisuje metody autoryzacji (takie jak RADIUS lub TACACS+), które muszą być stosowane kolejno. Listy metod umożliwiają wyznaczenie jednego lub kilku protokołów zabezpieczeń, które mają być używane do autoryzacji, zapewniając w ten sposób system zapasowy w przypadku niepowodzenia metody początkowej. Oprogramowanie Cisco IOS używa pierwszej wymienionej metody, aby autoryzować użytkowników dla określonych usług sieciowych; jeśli ta metoda nie odpowiada, oprogramowanie Cisco IOS wybiera następną metodę wymienioną na liście metod. Proces ten trwa do czasu pomyślnej komunikacji z wymienioną metodą autoryzacji lub do momentu wyczerpania wszystkich zdefiniowanych metod.

Oprogramowanie Cisco IOS próbuje autoryzować następną wymienioną metodę tylko wtedy, gdy nie ma odpowiedzi z poprzedniej metody. Jeśli autoryzacja nie powiedzie się w dowolnym momencie tego cyklu, co oznacza, że serwer zabezpieczeń lub lokalna baza danych nazwy użytkownika odpowiada, odmawiając korzystania z usług użytkownika, proces autoryzacji zostanie zatrzymany i nie zostaną podjęte żadne inne metody autoryzacji.

Jeśli polecenie autoryzacji aaa dla określonego typu autoryzacji jest wydawane bez określonej nazwanej listy metod, domyślna lista metod jest automatycznie stosowana do wszystkich interfejsów lub linii (gdzie ten typ autoryzacji ma zastosowanie) z wyjątkiem tych, które mają wyraźnie zdefiniowaną listę metod nazwanych. (zdefiniowana lista metod zastępuje domyślną listę metod). Jeśli nie zdefiniowano domyślnej listy metod, nie ma autoryzacji. Do wykonania autoryzacji wychodzącej należy użyć domyślnej listy metod autoryzacji, np. autoryzacji pobierania pul IP z serwera RADIUS.

Polecenie autoryzacji aaa umożliwia utworzenie listy poprzez wprowadzenie wartości dla nazwy listy i argumentów metody, gdzie nazwa listy jest dowolnym ciągiem znaków używanym do nazwania tej listy (z wyłączeniem wszystkich nazw metod) oraz metoda identyfikuje listę metod autoryzacji wypróbowanych w podanej kolejności.

Polecenie autoryzacji aaa obsługuje 13 oddzielnych list metod. Na przykład:

Promień grupy konfiguracji autoryzacji aaa1

Promień grupy konfiguracyjnej aaa autoryzacji2

...

aaa autoryzacja konfiguracja metodlist13 grupa radiowa

W poniższej tabeli nazwa grupy, grupa ldap, promień grupy oraz takacs + metody grupy odnoszą się do zestawu wcześniej zdefiniowanych serwerów RADIUS lub TACACS+. Aby skonfigurować serwery hosta, użyj poleceń hosta serwera radiowego i tacacs-server. Użyj promienia serwera grupy aaa, ldap serwera grupy aaa i takaców serwera grupy aaa + poleceń, aby utworzyć nazwaną grupę serwerów.

Oprogramowanie Cisco IOS obsługuje następujące metody autoryzacji:

• Grupy serwera pamięci podręcznej — router konsultuje się z grupami serwerów pamięci podręcznej w celu autoryzacji określonych praw użytkowników.

• Jeśli jest Uwierzytelniony --Użytkownik ma dostęp do żądanej funkcji pod warunkiem, że użytkownik został pomyślnie uwierzytelniony.

• Local --Serwer routera lub dostępu konsultuje się z lokalną bazą danych, zdefiniowaną w poleceniu Nazwa użytkownika, w celu autoryzacji określonych praw użytkowników. Za pośrednictwem lokalnej bazy danych można kontrolować tylko ograniczony zestaw funkcji.

• Brak -- Serwer dostępu do sieci nie żąda informacji o autoryzacji; autoryzacja nie jest wykonywana za pośrednictwem tej linii lub interfejsu.

• RADIUS --Serwer dostępu do sieci żąda informacji o autoryzacji z grupy serwerów zabezpieczeń RADIUS. Autoryzacja RADIUS definiuje określone prawa użytkowników poprzez powiązanie atrybutów, które są przechowywane w bazie danych na serwerze RADIUS, z odpowiednim użytkownikiem.

• TACACS+ --Serwer dostępu do sieci wymienia informacje o autoryzacji z demonem zabezpieczeń TACACS+. Autoryzacja TACACS+ definiuje określone prawa użytkowników poprzez powiązanie par wartości atrybutów (AV), które są przechowywane w bazie danych na serwerze zabezpieczeń TACACS+, z odpowiednim użytkownikiem.

Aby zezwolić na połączenia między określonymi typami punktów końcowych w sieci VoIP, należy użyć zezwalaj na połączenia polecenie w trybie konfiguracji usługi głosowej. Aby odmówić określonych rodzajów połączeń, należy użyć nie forma tego polecenia.

zezwalaj na połączeniaod typudotypu

brakzezwoleń na połączeniaod typudotypu

Domyślne polecenie: Połączenia SIP-to-SIP są domyślnie wyłączone.

Tryb poleceń: Konfiguracja usługi głosowej (config-voi-serv)

Wytyczne użytkowania: To polecenie służy do zezwalania na połączenia między konkretnymi typami punktów końcowych w bramie IP-to-IP Cisco multiservice. Polecenie jest domyślnie włączone i nie można go zmienić.

Aby umożliwić wstawienie „#” w dowolnym miejscu w rejestrze głosowym dn, należy użyć allow-hash-in-dn polecenie w trybie globalnym rejestracji głosowej. Aby wyłączyć tę funkcję, należy użyć nie forma tego polecenia.

allow-hash-in-dn

Brak zezwolenia-hash-in-dn

Domyślne polecenie: Polecenie jest domyślnie wyłączone.

Tryb poleceń: konfiguracja globalnego rejestru głosowego (config-register-global)

Wytyczne użytkowania: Zanim to polecenie zostało wprowadzone, znaki obsługiwane w rejestrze głosowym dn były 0-9, +, i *. Nowe polecenie jest włączone, gdy użytkownik wymaga wprowadzenia # w rejestrze głosowym dn. Polecenie jest domyślnie wyłączone. To polecenie można skonfigurować tylko w trybach Cisco Unified SRST i Cisco Unified E-SRST. Znak # można umieścić w dowolnym miejscu w rejestrze głosowym dn. Po włączeniu tego polecenia użytkownicy muszą zmienić domyślny znak zakończenia (#) na inny ważny znak za pomocą terminator równorzędny wybierania polecenie w trybie konfiguracji.

Aby wejść w tryb konfiguracji aplikacji redundancji, użyj redundancja aplikacji polecenie w trybie konfiguracji redundancji.

redundancja aplikacji

To polecenie nie zawiera argumentów ani słów kluczowych.

Domyślne polecenie: Brak

Tryb poleceń: Konfiguracja zmian (konfiguracja — czerwony)

Wytyczne użytkowania: Użyj tej opcji redundancja aplikacji polecenie konfigurowania redundancji aplikacji dla wysokiej dostępności.

Aby ustawić bramę domyślną aplikacji, należy użyć brama domyślna aplikacji polecenie w trybie konfiguracji hostingu aplikacji. Aby usunąć bramę domyślną, użyj nie forma tego polecenia.

app-default-gateway [ip-addressguest-interfacenetwork-interface-number]

brakbramy domyślnej aplikacji [IP-addressguest-interfacenetwork-interface-number]

Domyślne polecenie: Brama domyślna nie jest skonfigurowana.

Tryb poleceń: Konfiguracja hostingu aplikacji (config-app-hosting)

Wytyczne użytkowania: Użyj brama domyślna aplikacji polecenie ustawienia bramy domyślnej aplikacji. Złącza bramy to aplikacje zainstalowane na kontenerze Cisco IOS XE GuestShell.

Aby skonfigurować aplikację i wejść w tryb konfiguracji hostingu aplikacji, użyj appid hostingu aplikacji polecenie w trybie konfiguracji globalnej. Aby usunąć aplikację, należy użyć nie forma tego polecenia.

app-hosting appidnazwa aplikacji

Domyślne polecenie: Nie skonfigurowano żadnej aplikacji.

Tryb poleceń: Konfiguracja globalna (konfiguracja)

Wytyczne użycia:Argument nazwy aplikacji może zawierać maksymalnie 32 znaki alfanumeryczne.

Po skonfigurowaniu tego polecenia można zaktualizować konfigurację hostingu aplikacji.

Aby zastąpić profil zasobów dostarczony przez aplikację, należy użyć profil resoure aplikacji polecenie w trybie konfiguracji hostingu aplikacji. Aby powrócić do profilu zasobów określonego w aplikacji, użyj nie forma tego polecenia.

profil aplikacjinazwa profilu

brakprofilu aplikacjinazwa profilu

Domyślne polecenie: Skonfigurowany jest profil zasobów.

Tryb poleceń: Konfiguracja hostingu aplikacji (config-app-hosting)

Wytyczne użytkowania: Rezerwowane zasoby określone w pakiecie aplikacji można zmienić, ustawiając profil zasobów niestandardowych. Można zmienić tylko zasoby procesora, pamięci i wirtualnego procesora (vCPU). Aby zmiany zasobów zaczęły działać, zatrzymaj i dezaktywuj aplikację, a następnie aktywuj i uruchom ją ponownie.

Obsługiwany jest tylko profil niestandardowy.

Polecenie konfiguruje profil zasobu niestandardowego aplikacji i wprowadza tryb konfiguracji profilu zasobu niestandardowego aplikacji.

Aby skonfigurować wirtualną bramę interfejsu sieciowego do aplikacji, należy użyć brama aplikacji-vnic polecenie w trybie konfiguracji hostingu aplikacji. Aby usunąć konfigurację, użyj ikony nie forma tego polecenia.

To polecenie jest obsługiwane tylko na platformach trasowania. Nie jest obsługiwany na platformach przełączających.

app-vnic gatewaywirtualportgroupnumberguest-interfacenetwork-interface number

brakwirtualnej bramyaplikacjinumerinterfejsu gościanumer interfejsu sieciowego

Domyślne polecenie: Brama sieci wirtualnej nie jest skonfigurowana.

Tryb poleceń: Konfiguracja hostingu aplikacji (config-app-hosting)

Wytyczne użytkowania: Po skonfigurowaniu bramy wirtualnego interfejsu sieciowego dla aplikacji tryb poleceń zmienia się w tryb konfiguracji bramy hostingowej aplikacji. W tym trybie można skonfigurować adres IP interfejsu gościa.

Aby włączyć obsługę nagłówka potwierdzonego identyfikatora w przychodzących żądaniach protokołu inicjacji sesji (SIP) lub komunikatach odpowiedzi, a także wysyłać informacje o ochronie prywatności potwierdzonego identyfikatora w wychodzących żądaniach SIP lub komunikatach odpowiedzi, użyj asserted-id polecenie w trybie konfiguracji usługi głosowej VoIP-SIP lub trybie konfiguracji dzierżawy klasy głosowej. Aby wyłączyć obsługę nagłówka potwierdzonego identyfikatora, należy użyć nie forma tego polecenia.

potwierdzony id {{{}} pai|ppi } system

nieasserted id { pai|ppi } system

Domyślne polecenie: Informacje o ochronie prywatności są wysyłane przy użyciu nagłówka Remote-Party-ID (RPID) lub nagłówka FROM.

Tryb poleceń: Konfiguracja usługi głosowej VoIP-SIP (conf-serv-sip) i konfiguracja dzierżawy klasy głosowej (config-class)

Wytyczne użytkowania: Jeśli wybierzesz Pai słowo kluczowe lub ppi słowo kluczowe, brama buduje odpowiednio nagłówek PAI lub nagłówek PPI do wspólnego stosu SIP. Informacje Pai słowo kluczowe lub ppi Słowo kluczowe ma priorytet nad nagłówkiem Remote-Party-ID (RPID) i usuwa nagłówek RPID z komunikatu wychodzącego, nawet jeśli router jest skonfigurowany do używania nagłówka RPID na poziomie globalnym.

Aby skonfigurować asymetryczną obsługę obciążenia w protokole inicjacji sesji (SIP), użyj asymetryczna ładowność polecenie w trybie konfiguracji SIP lub trybie konfiguracji dzierżawy klasy głosowej. Aby wyłączyć asymetryczne podparcie ładunku, użyj nie forma tego polecenia.

asymetrycznyładowność { dtmf |kodeki dynamiczne |pełny |system }

brakasymetrycznegoobciążenia { dtmf |kodeki dynamiczne |pełny |system }

Domyślne polecenie: To polecenie jest wyłączone.

Tryb poleceń: Konfiguracja SIP usługi głosowej (conf-serv-sip), konfiguracja dzierżawy klasy głosowej (config-class)

Wytyczne użytkowania: Wprowadź tryb konfiguracji SIP z trybu konfiguracji usługi głosowej, jak pokazano na przykładzie.

W przypadku Cisco UBE dla kodeków audio/wideo, DTMF i NSE obsługiwany jest asymetryczny typ obciążenia SIP. Dlatego też, dtmf i kodeki dynamiczne Słowa kluczowe są wewnętrznie przypisane do pełny słowo kluczowe do zapewnienia asymetrycznej obsługi typu ładunku dla kodeków audio/wideo, DTMF i NSE.

Aby włączyć uwierzytelnianie trawienia SIP na poszczególnych równorzędnych numerach wybierania, należy użyć uwierzytelnianie polecenie w trybie konfiguracji dźwięku równorzędnego wybierania. Aby wyłączyć uwierzytelnianie trawienia SIP, użyj nie forma tego polecenia.

uwierzytelnianienazwa użytkownikanazwa użytkownikahasło { 0|6|7 } hasło [realmrealm|challenge|all]

brakuwierzytelnianianazwy użytkownikanazwy użytkownikahasła { 0|6|7 } hasła [realmrealm|wyzwanie|all]

Domyślne polecenie: Uwierzytelnianie szyfrowania SIP jest wyłączone.

Tryb poleceń: Konfiguracja dźwięku równorzędnego wybierania numerów (config-dial-peer)

Wytyczne użytkowania: Podczas włączania uwierzytelniania trawienia obowiązują następujące reguły konfiguracji:

• Dla równorzędnego wybierania można skonfigurować tylko jedną nazwę użytkownika. Przed skonfigurowaniem innej nazwy użytkownika należy usunąć każdą istniejącą konfigurację nazwy użytkownika.

• Maksymalnie pięć hasło lub obszar argumenty można skonfigurować dla dowolnej nazwy użytkownika.

Informacje nazwa użytkownika i hasło argumenty są używane do uwierzytelniania użytkownika. Serwer uwierzytelniający/serwer proxy, który emituje odpowiedź 407/401, zawiera domenę w odpowiedzi na wyzwanie, a użytkownik dostarcza dane uwierzytelniające, które są ważne dla tej domeny. Ponieważ zakłada się, że maksymalnie pięć serwerów proxy w ścieżce sygnalizacji może próbować uwierzytelnić dane żądanie klienta agenta użytkownika (UAC) na serwer agenta użytkownika (UAS), użytkownik może skonfigurować maksymalnie pięć kombinacji haseł i domen dla skonfigurowanej nazwy użytkownika.

Użytkownik udostępnia hasło w postaci zwykłego tekstu, ale jest ono szyfrowane i zapisywane w odpowiedzi na wyzwanie 401. Jeśli hasło nie jest zapisywane w postaci zaszyfrowanej, wysyłane jest hasło śmieciowe, a uwierzytelnianie nie powiedzie się.

• Specyfikacja domeny jest opcjonalna. Jeśli zostanie pominięte, hasło skonfigurowane dla tej nazwy użytkownika ma zastosowanie do wszystkich domen, które próbują uwierzytelnić.

• Dla wszystkich skonfigurowanych domen można jednocześnie skonfigurować tylko jedno hasło. Jeśli skonfigurowano nowe hasło, zastąpi ono dowolne wcześniej skonfigurowane hasło.

Oznacza to, że można skonfigurować tylko jedno globalne hasło (jedno bez określonego obszaru). Jeśli skonfigurujesz nowe hasło bez konfigurowania odpowiedniej domeny, nowe hasło zastąpi poprzednie.

• Jeśli domena jest skonfigurowana dla wcześniej skonfigurowanej nazwy użytkownika i hasła, ta specyfikacja domeny zostanie dodana do istniejącej konfiguracji nazwy użytkownika i hasła. Jednak po dodaniu domeny do konfiguracji nazwy użytkownika i hasła ta kombinacja nazwy użytkownika i hasła jest ważna tylko dla tej domeny. Skonfigurowana domena nie może zostać usunięta z konfiguracji nazwy użytkownika i hasła bez uprzedniego usunięcia całej konfiguracji dla tej nazwy użytkownika i hasła – można następnie ponownie skonfigurować tę kombinację nazwy użytkownika i hasła z inną domeną lub bez niej.

• We wpisie zawierającym zarówno hasło, jak i domenę można zmienić hasło lub domenę.

• Użyj brak wszystkich uwierzytelnień polecenie usunięcia wszystkich wpisów uwierzytelniania użytkownika.

Należy określić typ szyfrowania hasła. Jeśli hasło tekstowe jest czyste (wpisz 0) jest skonfigurowane, jest zaszyfrowane jako typ 6 przed zapisaniem w uruchomionej konfiguracji.

Jeśli określisz typ szyfrowania jako 6 lub 7, wprowadzone hasło jest sprawdzane pod kątem prawidłowego typu 6 lub 7 format hasła i zapisany jako typ 6 lub 7 odpowiednio.

Hasła typu 6 są szyfrowane za pomocą szyfru AES i zdefiniowanego przez użytkownika klucza głównego. Te hasła są względnie bezpieczniejsze. Klucz główny nigdy nie jest wyświetlany w konfiguracji. Bez wiedzy o kluczu podstawowym, wpisz 6 hasła są bezużyteczne. Jeśli klucz główny zostanie zmodyfikowany, hasło zapisane jako typ 6 zostanie ponownie zaszyfrowane nowym kluczem głównym. Jeśli konfiguracja klucza głównego zostanie usunięta, typ 6 haseł nie można odszyfrować, co może spowodować niepowodzenie uwierzytelniania połączeń i rejestracji.

Podczas tworzenia kopii zapasowej konfiguracji lub migracji konfiguracji do innego urządzenia klucz główny nie jest odrzucany. Dlatego klucz główny należy skonfigurować ponownie ręcznie.

Aby skonfigurować zaszyfrowany klucz wstępny, zobacz Konfigurowanie Zaszyfrowanego klucza wstępnego.

Po wpisaniu typu szyfrowania wyświetlany jest komunikat ostrzegawczy 7 jest skonfigurowana. Ostrzeżenie: Polecenie zostało dodane do konfiguracji przy użyciu hasła typu 7. Hasła typu 7 zostaną jednak wkrótce usunięte. Migracja do obsługiwanego hasła typu 6.

Aby powiązać adres źródłowy pakietów sygnalizacyjnych i multimedialnych z adresem IPv4 lub IPv6 określonego interfejsu, użyj wiązać polecenie w trybie konfiguracji SIP. Aby wyłączyć wiązanie, użyj przycisku nie forma tego polecenia.

bind { control|media|all } source-interfaceinterface id { ipv4-addressipv4-address|ipv6-addressipv6-address }

brakpowiązania { control|media|all } source-interfaceinterface id { ipv4-addressipv4-address|ipv6-addressipv6-address }

Domyślne polecenie: Wiązanie jest wyłączone.

Tryb poleceń: Konfiguracja SIP (conf-serv-sip) i dzierżawa klasy Voice.

Wytyczne użytkowania: Async, Ethernet, FastEthernet, Loopback i Serial (w tym Frame Relay) to interfejsy w aplikacji SIP.

Jeśli wiązać polecenie nie jest włączone, warstwa IPv4 nadal zapewnia najlepszy adres lokalny.

Aby włączyć podstawowe konfiguracje usługi Call-Home, użyj ikony zgłaszanie połączeń w domu polecenie w trybie konfiguracji globalnej.

zgłoszenia telefoniczne { anonim |contact-email-addr } [ http-proxy { ipv4-address |ipv6-address |name } port port number ]

Domyślne polecenie: Brak domyślnego zachowania lub wartości

Tryb poleceń: Konfiguracja globalna (konfiguracja)

Wytyczne użytkowania: Po pomyślnym włączeniu funkcji Call-Home w trybie anonimowej lub pełnej rejestracji za pomocą zgłaszanie połączeń w domu polecenie, wysyłany jest komunikat inwentaryzacyjny. Jeśli funkcja Call-Home jest włączona w trybie pełnej rejestracji, wysyłany jest pełny komunikat o stanie zapasów dla trybu pełnej rejestracji. Jeśli funkcja Call-Home jest włączona w trybie anonimowym, wysyłany jest anonimowy komunikat inwentaryzacji. Aby uzyskać więcej informacji na temat szczegółów wiadomości, zobacz Alert Group Trigger Events and Commands.

Aby włączyć obsługę Cisco Unified SRST i wprowadzić tryb konfiguracji oddzwaniania z menedżerem połączeń, użyj oddzwonienie do menedżera-powrót polecenie w trybie konfiguracji globalnej. Aby wyłączyć obsługę Cisco Unified SRST, użyj nie forma tego polecenia.

połączenie-manager-fallback

brakoddzwaniania od menedżera

To polecenie nie zawiera argumentów ani słów kluczowych.

Domyślne polecenie: Brak domyślnych zachowań lub wartości.

Tryb poleceń: Konfiguracja globalna

Aby włączyć weryfikację tożsamości serwera, klienta lub dwukierunkowej certyfikatu równorzędnego podczas uścisku dłoni TLS, użyj polecenia Cn-san walidacja w trybie konfiguracji profilu tls klasy głosowej. Aby wyłączyć sprawdzanie tożsamości certyfikatu, użyj nie forma tego polecenia.

cn-sanzweryfikuj dwukierunkowy klient serwera|| }

niecn-sanweryfikuje dwukierunkowego klienta serwera|| }

Domyślne polecenie: Walidacja tożsamości jest wyłączona.

Tryb poleceń: Konfiguracja klasy głosowej (klasa konfiguracyjna)

Wytyczne użytkowania: Walidacja tożsamości serwera jest powiązana z bezpiecznym połączeniem sygnalizacyjnym poprzez globalny sygnalizacja kryptowaluta i profil tls klasy głosowej konfiguracji.

Polecenie zostanie rozszerzone, aby uwzględnić klient i dwukierunkowe słowa kluczowe. Opcja klienta umożliwia serwerowi sprawdzanie tożsamości klienta poprzez sprawdzanie nazw hostów CN i SAN zawartych w dostarczonym certyfikacie na zaufanej liście QD cn-san. Połączenie zostanie nawiązane tylko wtedy, gdy zostanie znalezione dopasowanie. Ta lista cn-san FQDN jest również teraz używana do walidacji certyfikatu serwera, oprócz nazwy docelowego hosta sesji. Informacje dwukierunkowe opcja sprawdza tożsamość równorzędną zarówno dla połączeń klienta, jak i serwera, łącząc oba serwer i klient trybów. Po skonfigurowaniu Cn-san walidacja, tożsamość certyfikatu równorzędnego jest weryfikowana dla każdego nowego połączenia TLS.

Aby skonfigurować listę w pełni kwalifikowanej nazwy domeny (FQDN) do sprawdzania poprawności certyfikatu równorzędnego dla połączeń przychodzących lub wychodzących TLS, należy użyć cn-san polecenie w trybie konfiguracji profilu tls klasy głosowej. Aby usunąć wpis sprawdzania poprawności certyfikatu cn-san, użyj nie forma tego polecenia.

cn-san{1-10}fqdn

nocn-san{1-10}fqdn

Domyślne polecenie: Nie skonfigurowano nazw cn-san.

Tryb poleceń: Tryb konfiguracji profilu tls klasy głosowej (klasa konfiguracyjna)

Wytyczne użytkowania: Do profilu TLS przypisane są nazwy FQDN używane do walidacji certyfikatu równorzędnego z maksymalnie dziesięciu cn-san wpisy. Przed nawiązaniem połączenia TLS co najmniej jeden z tych wpisów musi być dopasowany do nazwy FQDN w polach Common Name (CN) certyfikatu lub Subject-Alternate-Name (SAN). Aby dopasować dowolnego prowadzącego domeny używanego w polu CN lub SAN, a cn-san wpis można skonfigurować za pomocą karty domeny, ściśle w formie *.domain-name (np. *.cisco.com). Żadne inne użycie dzikich kart nie jest dozwolone.

W przypadku połączeń przychodzących lista służy do sprawdzania poprawności pól CN i SAN w certyfikacie klienta. W przypadku połączeń wychodzących lista jest używana wraz z nazwą hosta docelowego sesji do sprawdzania poprawności pól CN i SAN w certyfikacie serwera.

Certyfikaty serwera mogą być również weryfikowane poprzez dopasowanie docelowej nazwy FQDN sesji SIP do pola CN lub SAN.

Aby określić listę preferowanych kodeków, których należy używać w równorzędnym wybieraniu numerów, należy użyć kodek preferencje polecenie w trybie konfiguracji klasy głosowej. Aby wyłączyć tę funkcję, użyj nie forma tego polecenia.

kodekpreferencyjnywartośćkodek typu

brakkodekawartościkodeka

Domyślne polecenie: Jeśli to polecenie nie zostanie wprowadzone, nie zostaną zidentyfikowane żadne określone typy kodeków z preferencjami.

Tryb poleceń: konfiguracja klasy głosowej (klasa konfiguracyjna)

Wytyczne użytkowania: Routery po przeciwnych końcach sieci WAN mogą być zmuszone do negocjowania wyboru kodeka dla równorzędnych numerów sieciowych. Informacje kodek preferencje polecenie określa kolejność preferencji wyboru wynegocjowanego kodeka połączenia. W poniższej tabeli opisano opcje obciążenia głosowego i wartości domyślne kodeków i protokołów głosowych pakietów.

Aby użyć globalnego portu słuchacza do wysyłania żądań przez UDP, użyj ponowne użycie połączenia polecenie w trybie sip-ua lub w trybie konfiguracji dzierżawy klasy głosowej. Aby wyłączyć, użyj nie forma tego polecenia.

ponowne użycie połączenia { via-port |system }

brakponownego użycia połączenia { via-port |system }

Domyślne polecenie: Brama lokalna używa efemerycznego portu UDP do wysyłania żądań przez UDP.

Tryby poleceń: Konfiguracja SIP UA (config-sip-ua), konfiguracja dzierżawy klasy głosowej (config-class)

Wytyczne użytkowania: Wykonanie tego polecenia umożliwia użycie portu słuchacza do wysyłania żądań przez UDP. Domyślny port słuchacza dla zwykłego niezabezpieczonego SIP to 5060, a zabezpieczony SIP to 5061. Skonfiguruj listen-port [non-secure | secure]port polecenie w głosowym voip usługi > tryb konfiguracji sip, aby zmienić globalny port UDP.

Aby zmienić kwotę CPU lub jednostkę przypisaną do aplikacji, użyj cpu polecenie w trybie konfiguracji profilu zasobów niestandardowych aplikacji. Aby powrócić do kwoty procesora dostarczonej przez aplikację, użyj nie forma tego polecenia.

Jednostkacpu

brakjednostkicpu

Domyślne polecenie: Domyślny procesor zależy od platformy.

Tryb poleceń: Konfiguracja profilu zasobu aplikacji niestandardowej (konfiguracja-app-resource-profile-custom)

Wytyczne użytkowania: Jednostka procesora jest minimalnym przydziałem procesora przez aplikację. Całkowita liczba jednostek CPU jest oparta na znormalizowanych jednostkach CPU mierzonych dla urządzenia docelowego.

W ramach każdego pakietu aplikacji dostarczany jest profil zasobów specyficznych dla danej aplikacji, który określa zalecane obciążenie procesora, rozmiar pamięci i liczbę wirtualnych procesorów (vCUs) wymaganych dla aplikacji. Użyj tego polecenia, aby zmienić alokację zasobów dla określonych procesów w profilu zasobów niestandardowych.

Rezerwowane zasoby określone w pakiecie aplikacji można zmienić, ustawiając profil zasobów niestandardowych. Można zmienić tylko zasoby procesora, pamięci i vCPU. Aby zmiany zasobów zaczęły działać, zatrzymaj i dezaktywuj aplikację, a następnie aktywuj ją i uruchom ponownie.

Wartości zasobów są specyficzne dla danej aplikacji, a wszelkie dostosowania do tych wartości muszą zapewnić, że aplikacja może działać niezawodnie wraz ze zmianami.

Aby skonfigurować bramę multipleksu działu czasowego (TDM) Cisco IOS Session Initiation Protocol (SIP), element Cisco Unified Border Element (Cisco UBE) lub Cisco Unified Communications Manager Express (Cisco Unified CME) do wysyłania komunikatu rejestracyjnego SIP w stanie UP, użyj poświadczenia polecenie w trybie konfiguracji SIP UA lub trybie konfiguracji dzierżawy klasy głosowej. Aby wyłączyć poświadczenia szyfrowania SIP, użyj nie forma tego polecenia.

poświadczenia { dhcp|numbernumberusernameusername } password { 0|6|7 } passwordrealmrealm

brakpoświadczeń { dhcp|numernumernazwa użytkownikanazwa użytkownika } hasło { 0|6|7 } hasłorealmrealm

Domyślne polecenie: Poświadczenia o trawieniu SIP są wyłączone.

Tryb poleceń: Konfiguracja SIP UA (config-sip-ua) i konfiguracja dzierżawy klasy głosowej (config-class).

Wytyczne użytkowania: Po włączeniu poświadczeń obowiązują następujące reguły konfiguracji:

• Dla wszystkich nazw domen ważne jest tylko jedno hasło. Nowe skonfigurowane hasło zastępuje dowolne wcześniej skonfigurowane hasło.

• Hasło będzie zawsze wyświetlane w postaci zaszyfrowanej, gdy poświadczenia skonfigurowano polecenie, a pokaż konfiguracja biegu używane jest polecenie.

Informacje dhcp Słowo kluczowe w poleceniu oznacza, że numer główny jest uzyskiwany za pośrednictwem protokołu DHCP, a brama Cisco IOS SIP TDM, Cisco UBE lub Cisco Unified CME, na której to polecenie jest włączone, używa tego numeru do rejestracji lub dezaktywacji otrzymanego numeru głównego.

Należy określić typ szyfrowania hasła. Jeśli hasło tekstowe jest czyste (wpisz 0) jest skonfigurowane, jest zaszyfrowane jako typ 6 przed zapisaniem w uruchomionej konfiguracji.

Jeśli określisz typ szyfrowania jako 6 lub 7, wprowadzone hasło jest sprawdzane pod kątem prawidłowego typu 6 lub 7 format hasła i zapisany jako typ 6 lub 7 odpowiednio.

Hasła typu 6 są szyfrowane za pomocą szyfru AES i zdefiniowanego przez użytkownika klucza głównego. Te hasła są względnie bezpieczniejsze. Klucz główny nigdy nie jest wyświetlany w konfiguracji. Bez wiedzy o kluczu podstawowym, wpisz 6 hasła są bezużyteczne. Jeśli klucz główny zostanie zmodyfikowany, hasło zapisane jako typ 6 zostanie ponownie zaszyfrowane nowym kluczem głównym. Jeśli konfiguracja klucza głównego zostanie usunięta, typ 6 haseł nie można odszyfrować, co może spowodować niepowodzenie uwierzytelniania połączeń i rejestracji.

Podczas tworzenia kopii zapasowej konfiguracji lub migracji konfiguracji do innego urządzenia klucz główny nie jest odrzucany. Dlatego klucz główny należy skonfigurować ponownie ręcznie.

Aby skonfigurować zaszyfrowany klucz wstępny, zobacz Konfigurowanie Zaszyfrowanego klucza wstępnego.

Ostrzeżenie: Polecenie zostało dodane do konfiguracji przy użyciu hasła typu 7. Hasła typu 7 zostaną jednak wkrótce usunięte. Migracja do obsługiwanego hasła typu 6.

W YANG nie można skonfigurować tej samej nazwy użytkownika w dwóch różnych domenach.

Aby określić preferencje pakietu szyfrów SRTP, który będzie oferowany przez Cisco Unified Border Element (CUBE) w SDP w ofercie i odpowiedzi, użyj krypto polecenie w trybie konfiguracji klasy głosowej. Aby wyłączyć tę funkcję, użyj nie forma tego polecenia.

cryptopreferencje szyfr-suite

nocryptopreferencje szyfr-suite

Domyślne polecenie: Jeśli to polecenie nie jest skonfigurowane, domyślnym zachowaniem jest zaoferowanie pakietów srtp-cipher w następującej kolejności preferencji:

• AEAD_AES_256_GCM

• AEAD_AES_128_GCM

• AES_CM_128_HMAC_SHA1_80

• AES_CM_128_HMAC_SHA1_32

Tryb poleceń: srtp-crypto klasy głosowej (klasa konfiguracyjna)

Wytyczne użytkowania: Jeśli zmienisz preferencje skonfigurowanego już pakietu szyfrowania, preferencje zostaną nadpisane.

Aby wygenerować pary kluczowe Rivest, Shamir i Adelman (RSA), należy użyć klucz kryptograficzny generuje rsa polecenie w trybie konfiguracji globalnej.

crypto klucz wygenerować rsa [ { klawisze ogólne |klucze użycia |podpis |szyfrowanie ] [ etykieta etykieta kluczowa ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ ] [ [ ] [ [ ] [ przenośny ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ ] [ [ ] [ [ ] [ modulator rozmiar modułu ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ ] [ [ ] [ [ ] [ przechowywanie devicename : ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ ] [ [ ] [ [ ] [ zwolnieniana dzień devicename : ] ]

Domyślne polecenie: Para kluczy RSA nie istnieje.

Tryb poleceń: Konfiguracja globalna (konfiguracja)

Wytyczne użytkowania: Użyj klucz kryptograficzny generuje rsa polecenie wygenerowania par kluczy RSA dla urządzenia Cisco (np. routera).

Klucze RSA są generowane w parach – jeden publiczny klucz RSA i jeden prywatny klucz RSA.

Jeśli router ma już klucze RSA podczas wydawania tego polecenia, zostanie ostrzeżony i wyświetlony monit o zastąpienie istniejących klawiszy nowymi.

Informacje klucz kryptograficzny generuje rsa polecenie nie jest zapisywane w konfiguracji routera; jednak klucze RSA generowane przez to polecenie są zapisywane w prywatnej konfiguracji w NVRAM (która nigdy nie jest wyświetlana użytkownikowi ani nie jest kopiowana na inne urządzenie) przy następnym zapisaniu konfiguracji na NVRAM.

• Klucze specjalnego użycia: Jeśli wygenerujesz klucze specjalne, wygenerowane zostaną dwie pary klawiszy RSA. Jedna para będzie używana z dowolną polityką wymiany kluczy internetowych (IKE), która określa podpisy RSA jako metodę uwierzytelniania, a druga para będzie używana z dowolną polityką IKE, która określa klucze szyfrowane RSA jako metodę uwierzytelniania.

  Urząd certyfikacji jest używany tylko z politykami IKE określającymi podpisy RSA, a nie z politykami IKE określającymi niezaszyfrowane RSA. (Można jednak określić więcej niż jedną politykę IKE i mieć podpisy RSA określone w jednej polityce i niezaszyfrowane RSA w innej polityce).

  Jeśli w swoich politykach IKE planujesz zastosowanie obu rodzajów metod uwierzytelniania RSA, możesz chcieć wygenerować klawisze specjalnego użycia. W przypadku klawiszy specjalnego użycia każdy z nich nie jest niepotrzebnie eksponowany. (Bez klawiszy specjalnego użycia jeden klucz jest używany w obu metodach uwierzytelniania, zwiększając narażenie tego klucza).

• Klucze ogólnego celu: Jeśli wygenerujesz klucze ogólnego przeznaczenia, wygenerowana zostanie tylko jedna para klawiszy RSA. Ta para będzie używana z zasadami IKE określającymi podpisy RSA lub klucze szyfrowane RSA. Dlatego para kluczy ogólnego przeznaczenia może być używana częściej niż para kluczy specjalnego użytku.

• Określone kluczowe pary: W przypadku wygenerowania nazwanej pary klawiszy za pomocą argumentu z etykietą klawiszy należy również określić klucze użycia słowo kluczowe lub klawisze ogólne słowo kluczowe. Nazwane pary kluczy umożliwiają posiadanie wielu par kluczy RSA, umożliwiając oprogramowaniu Cisco IOS utrzymanie innej pary kluczy dla każdego certyfikatu tożsamości.

• Długość modułu: Po wygenerowaniu klawiszy RSA zostanie wyświetlony monit o wprowadzenie długości modułu. Im dłuższy moduł, tym większe bezpieczeństwo. Wygenerowanie dłuższych modułów trwa jednak dłużej (w poniższej tabeli podano przykładowe godziny), a ich użycie trwa dłużej.

  Tabela 2. Przykładowe czasy według długości modułu do generowania kluczy RSA

  Router	360 bitów	512 bitów	1024 bity	2048 bitów (maksymalnie)
  Cisco 2500	11 sekund	20 s	4 minuty, 38 sekund	Powyżej 1 godziny
  Cisco 4700	Mniej niż 1 sekunda	1 s	4 sekundy	50 sekund

  Oprogramowanie Cisco IOS nie obsługuje modułu większego niż 4096 bitów. Zazwyczaj nie zaleca się długości mniejszej niż 512 bitów. W niektórych sytuacjach krótszy moduł może nie działać prawidłowo z IKE, dlatego zalecamy stosowanie minimalnego modułu 2048 bitów.

  Dodatkowe ograniczenia mogą mieć zastosowanie, gdy klucze RSA są generowane przez sprzęt kryptograficzny. Na przykład, gdy klucze RSA są generowane przez adapter portu usług VPN Cisco (VSPA), moduł klucza RSA musi być co najmniej 384 bity i musi być wielokrotnością 64.

• Określanie lokalizacji przechowywania kluczy RSA: Podczas wydawania klucz kryptograficzny generuje rsa polecenie z przechowywanie nazwa devicename : słowo kluczowe i argument, klawisze RSA będą przechowywane na określonym urządzeniu. Ta lokalizacja zastąpi dowolną przechowywanie klucza szyfrowania ustawienia poleceń.

• Określanie urządzenia do generowania klucza RSA: Można określić urządzenie, w którym wygenerowane są klucze RSA. Obsługiwane urządzenia to NVRAM, dyski lokalne i tokeny USB. Jeśli router ma skonfigurowany i dostępny token USB, token USB może być używany jako urządzenie kryptograficzne oprócz urządzenia pamięci masowej. Korzystanie z tokena USB jako urządzenia kryptograficznego umożliwia wykonywanie operacji RSA, takich jak generowanie kluczy, podpisywanie i uwierzytelnianie poświadczeń na tokenie. Klucz prywatny nigdy nie opuszcza tokena USB i nie jest eksportowany. Klucz publiczny jest eksportowany.

  Klawisze RSA mogą być generowane za pomocą skonfigurowanego i dostępnego tokena USB w dniu nazwa devicename : słowo kluczowe i argument. Klawisze znajdujące się na tokenie USB są zapisywane w trwałym miejscu do przechowywania tokenów po ich wygenerowaniu. Liczba klawiszy, które mogą być generowane na tokenie USB, jest ograniczona przez dostępną przestrzeń. Jeśli spróbujesz wygenerować klawisze na tokenie USB i jest on pełny, otrzymasz następujący komunikat:

  % Error in generating keys:no available resources 

  Usunięcie klawisza spowoduje natychmiastowe usunięcie kluczy przechowywanych na tokenie z trwałego miejsca do przechowywania. (Klawisze, które nie mieszkają na tokenie, są zapisywane lub usuwane z nietokenowych miejsc przechowywania, gdy skopiuj lub wydano podobne polecenie).

• Określanie generowania przekierowywania klawiszy RSA na urządzeniu: Zwolnienie istniejących kluczy można określić tylko wtedy, gdy są one eksportowane.

Aby uwierzytelnić urząd certyfikacji (CA) (otrzymując certyfikat urzędu certyfikacji), należy użyć cryptopkiuwierzytelnia polecenie w trybie konfiguracji globalnej.

kryptopkiuwierzytelnianienazwy

Domyślne polecenie: Brak domyślnych zachowań lub wartości.

Tryb poleceń: Konfiguracja globalna (konfiguracja)

Wytyczne użytkowania: To polecenie jest wymagane po wstępnym skonfigurowaniu obsługi urzędu certyfikacji w routerze.

To polecenie uwierzytelnia urząd certyfikacji w routerze, uzyskując samodzielnie podpisany certyfikat urzędu certyfikacji zawierający klucz publiczny urzędu certyfikacji. Ponieważ urząd certyfikacji podpisuje własny certyfikat, należy ręcznie uwierzytelnić klucz publiczny urzędu certyfikacji, kontaktując się z administratorem urzędu certyfikacji po wprowadzeniu tego polecenia.

Jeśli używasz trybu Reklamy routera (RA) (używając rejestracja polecenie) podczas wydawania krypto pki uwierzytelnianie polecenie, a następnie certyfikat podpisania i szyfrowania urzędu rejestracji zostanie zwrócony z urzędu certyfikacji i certyfikatu urzędu certyfikacji.

To polecenie nie jest zapisywane w konfiguracji routera. Jednak. klucze publiczne osadzone w otrzymanych certyfikatach CA (i RA) są zapisywane w konfiguracji w ramach rekordu kluczy publicznych Rivest, Shamir i Adelman (RSA) (zwanego „łańcuchem kluczy publicznych RSA”).

Jeśli urząd certyfikacji nie odpowie w terminie po wydaniu tego polecenia, kontrola terminala zostanie zwrócona w taki sposób, aby pozostała dostępna. Jeśli tak się stanie, należy ponownie wprowadzić polecenie. Oprogramowanie Cisco IOS nie rozpozna dat wygaśnięcia certyfikatów urzędu certyfikacji ustalonych na okres dłuższy niż rok 2049. Jeśli okres ważności certyfikatu urzędu certyfikacji wygasa po roku 2049, po próbie uwierzytelnienia na serwerze urzędu certyfikacji zostanie wyświetlony następujący komunikat o błędzie: Błąd pobierania certyfikatu:niekompletny łańcuch Jeśli otrzymasz komunikat o błędzie podobny do tego, sprawdź datę wygaśnięcia certyfikatu urzędu certyfikacji. Jeśli data wygaśnięcia certyfikatu urzędu certyfikacji jest ustawiona po roku 2049, należy zmniejszyć datę wygaśnięcia o rok lub więcej.

Aby ręcznie zaimportować certyfikat za pomocą protokołu TFTP lub jako element do cięcia i wklejania w terminalu, należy użyć cryptopkiimportuje polecenie w trybie konfiguracji globalnej.

cryptopkiimportnazwacertyfikat

Domyślne polecenie: Brak domyślnego zachowania lub wartości

Tryb poleceń: Konfiguracja globalna (konfiguracja)

Wytyczne użytkowania: Należy wprowadzić import crypto pki polecenie dwa razy, jeśli używane są klucze użytkowania (podpis i klucze szyfrowania). Po pierwszym wprowadzeniu polecenia jeden z certyfikatów jest wklejany do routera; po drugim wprowadzaniu polecenia drugi certyfikat jest wklejany do routera. (Nie ma znaczenia, który certyfikat jest najpierw wklejony.)

Aby zadeklarować punkt zaufania, z którego powinien korzystać router, należy użyć Polecenie cryptopkitrustpoint w trybie konfiguracji globalnej. Aby usunąć wszystkie informacje o tożsamości i certyfikaty związane z punktem zaufanym, użyj nie forma tego polecenia.

cryptopkitrustpointnameredundancja

nocryptopkitrustpointnameredundancja

Domyślne polecenie: Router nie rozpoznaje żadnych punktów powierniczych, dopóki nie zadeklarujesz punktu powierniczego przy użyciu tego polecenia. Router używa unikatowych identyfikatorów podczas komunikacji z serwerami protokołu OCSP (Online Certificate Status Protocol) skonfigurowanymi w sieci.

Tryb poleceń: Konfiguracja globalna (konfiguracja)

Wytyczne użytkowania:

Deklaracja Trustpoints

Użyj krypto pki trustpoint polecenie zadeklarowania punktu powierniczego, który może być samozwańczym organem certyfikatu głównego (CA) lub podległym CA. Wydanie krypto pki trustpoint polecenie stawia Cię w trybie konfiguracji ca-trustpoint.

Charakterystykę punktu zaufanego można określić za pomocą następujących podpoleceń:

• crl — zapytuje listę odwołań certyfikatu (CRL), aby upewnić się, że certyfikat równorzędnego użytkownika nie został cofnięty.

• domyślnie(ca-trustpoint) — Resetuje wartość podpoleceń trybu konfiguracji ca-trustpoint do ich wartości domyślnych.

• rejestracja— określa parametry rejestracji (opcjonalnie).

• rejestracjahttp-proxy— uzyskuje dostęp do urzędu certyfikacji przez HTTP za pośrednictwem serwera proxy.

• rejestracjawłasnoręcznie podpisana — określa rejestrację podpisaną samodzielnie (opcjonalnie).

• matchcertificate — powiązuje listę kontroli dostępu opartą na certyfikatach (ACL) zdefiniowaną z cryptocacertyfikatmap polecenie.

• ocspdisable-nonce— określa, że router nie będzie wysyłał unikalnych identyfikatorów ani nie będzie wysyłał żadnych innych elementów podczas komunikacji OCSP.

• primary— Przypisuje określony punkt zaufania jako główny punkt zaufania routera.

• root — określa protokół TFTP umożliwiający uzyskanie certyfikatu urzędu certyfikacji i określa zarówno nazwę serwera, jak i nazwę pliku, w którym będzie przechowywany certyfikat urzędu certyfikacji.

Określanie Wykorzystania Unikalnych Identyfikatorów

Podczas korzystania z protokołu OCSP jako metody odwołania, unikatowe identyfikatory lub niezgodności są domyślnie wysyłane podczas komunikacji równorzędnej z serwerem OCSP. Użycie unikalnych identyfikatorów podczas komunikacji z serwerem OCSP umożliwia bezpieczniejszą i bardziej niezawodną komunikację. Jednak nie wszystkie serwery OCSP obsługują stosowanie unikalnych protez dentystycznych, więcej informacji można znaleźć w podręczniku OCSP. Aby wyłączyć korzystanie z unikalnych identyfikatorów podczas komunikacji OCSP, należy użyć ocsp wyłącz nonce podkomendę.

Aby ręcznie zaimportować (pobrać) pakiet certyfikatów instytucji certyfikacji (CA) do puli powierniczej infrastruktury klucza publicznego (PKI) w celu aktualizacji lub zastąpienia istniejącego pakietu CA, należy użyć importowanie crypto pki trustpool polecenie w trybie konfiguracji globalnej. Aby usunąć dowolny ze skonfigurowanych parametrów, należy użyć nie forma tego polecenia.

cryptopkitrustpoolimportczysty [ terminal|urlurl ]

nocryptopkitrustpoolimportclean [ terminal|urlurl]

Domyślne polecenie: Funkcja powiernicza PKI jest włączona. Router korzysta z wbudowanego pakietu certyfikatów CA w puli powierniczej PKI, który jest automatycznie aktualizowany przez firmę Cisco.

Tryb poleceń: Konfiguracja globalna (konfiguracja)

Zagrożenia bezpieczeństwa, a także technologie kryptograficzne pomagające chronić przed nimi, nieustannie się zmieniają. Aby uzyskać więcej informacji na temat najnowszych zaleceń kryptograficznych firmy Cisco, zobacz białą księgę Next Generation Encryption (NGE).

Certyfikaty PKI trustpool są automatycznie aktualizowane z Cisco. Jeśli certyfikaty powiernicze PKI nie są aktualne, użyj importowanie crypto pki trustpool polecenie aktualizacji z innej lokalizacji.

Informacje URL argument określa lub zmienia system plików URL urzędu certyfikacji. Poniższa tabela zawiera listę dostępnych systemów plików URL.

Tabela 3. Systemy plików URL

System plików	Opis
archiwum:	Importowanie z systemu plików archiwalnych.
cns:	Import z systemu plików klastra Namespace (CNS).
dysk0:	Importowanie z systemu plików dysków0.
dysk1:	Import z systemu plików dysku1.
ftp:	Importowanie z systemu plików FTP.
http:	Importowanie z systemu plików HTTP. Adres URL musi mieć następujące formaty: http://CAname:80, gdzie CAname to system nazw domen (DNS) http://Adres ipv4:80. Na przykład: http://10.10.10.1:80. http://[ipv6-address]:80. Na przykład: http://[2001:DB8:1:1::1]:80. Adres IPv6 znajduje się w adnotacji szesnastkowej i musi być umieszczony w nawiasach w adresie URL.
https:	Importowanie z systemu plików HTTPS. Adres URL musi używać tych samych formatów co HTTP: formaty systemów plików.
null:	Importuje z systemu plików null.
nvram:	Importowanie z systemu plików NVRAM.
Pram:	Importowanie z systemu plików PRAM (Parameter Random-Access Memory).
rcp:	Importuje z systemu plików protokołu zdalnego kopiowania (rcp).
scp:	Importowanie z systemu plików protokołu kopii zabezpieczonej (scp).
snmp:	Import z protokołu SNMP (Simple Network Management Protocol).
w systemie:	Importowanie z systemu plików systemowych.
smoła:	Import z systemu plików tar UNIX.
tftp:	Importowanie z systemu plików TFTP.   Adres URL musi być z: tftp://CAname/specyfikacja pliku.
tmpsys:	Importowanie z systemu plików Cisco IOS tmpsys.
unix:	Importowanie z systemu plików UNIX.
xmodem:	Importuje z systemu protokołu przesyłania plików xmodem.
ymodem:	Importuje z systemu protokołu przesyłania plików z protokołu ymodem.

Aby zidentyfikować słowo kluczowe trustpointtrustpoint-name i argument używany podczas uścisk dłoni Transport Layer Security (TLS) odpowiadający adresowi zdalnego urządzenia, użyj sygnalizacja kryptowaluta polecenie w trybie konfiguracji agenta użytkownika SIP (UA). Aby zresetować do wartości domyślnej trustpoint ciąg, użyj nie forma tego polecenia.

sygnalizacja kryptowaluta {{{}} domyślnie|zdalnie sterowany adres IP podmaska } [ tls-profile znacznik |powiernik nazwa punktu powierniczego ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ ] [ [ ] [ [ ] [ Cn-san-walidacja serwer ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ ] [ [ ] [ [ ] [ klient-vtp nazwa punktu powierniczego ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ ] [ [ ] [ [ ] [ ecdsa-szyfr |rozmiar krzywej 384 |szyfr ścisły ] ]

niesygnalizacja kryptowaluta {{{}} domyślnie|zdalnie sterowany adres IP podmaska } [ tls-profile znacznik |powiernik nazwa punktu powierniczego ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ ] [ [ ] [ [ ] [ Cn-san-walidacja serwer ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ ] [ [ ] [ [ ] [ klient-vtp nazwa punktu powierniczego ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ [ ] [ [ ] [ ] [ [ ] [ ] [ [ ] [ [ ] [ ecdsa-szyfr |rozmiar krzywej 384 |szyfr ścisły ] ]

Domyślne polecenie: Polecenie sygnalizacji krypto jest wyłączone.

Tryb poleceń: Konfiguracja SIP UA (sip-ua)

Wytyczne użytkowania: Informacje Słowo kluczowe i argument trustpointtrustpoint-name odnosi się do certyfikatu CUBE wygenerowanego w ramach procesu rejestracji przy użyciu poleceń Cisco IOS PKI.

Po skonfigurowaniu pojedynczego certyfikatu jest on używany przez wszystkie urządzenia zdalne i jest konfigurowany przez domyślnie słowo kluczowe.

W przypadku korzystania z wielu certyfikatów mogą być one powiązane z usługami zdalnymi przy użyciu pilot zdalnego sterowania argument dla każdego punktu zaufania. Informacje pilot zdalnego sterowania i argumenty domyślne mogą być stosowane razem, aby objąć wszystkie usługi zgodnie z wymaganiami.

Domyślnym pakietem szyfrów w tym przypadku jest następujący zestaw obsługiwany przez warstwę SSL na CUBE: TLS_RSA_Z_RC4_128_MD5 TLS_RSA_Z_AES_128_CBC_SHA TLS_DHE_RSA_Z_AES_128_CBC_SHA1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_Z_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_Z_AES_256_GCM_SHA384

Słowo kluczowe cn-san-walidacja serwer umożliwia weryfikację tożsamości serwera za pomocą pól CN i SAN w certyfikacie podczas nawiązywania połączeń SIP/TLS po stronie klienta. Weryfikacja pól CN i SAN certyfikatu serwera zapewnia, że domena po stronie serwera jest prawidłową jednostką. Podczas tworzenia bezpiecznego połączenia z serwerem SIP CUBE weryfikuje skonfigurowaną nazwę domeny docelowej sesji na polach CN/SAN w certyfikacie serwera przed utworzeniem sesji TLS. Po skonfigurowaniu cn-san-walidacja serwer, sprawdzanie tożsamości serwera odbywa się dla każdego nowego połączenia TLS.

Informacje tls-profile opcja kojarzy konfiguracje polityki TLS dokonane za pomocą powiązanej profil tls klasy głosowej konfiguracji. Oprócz opcji polityki TLS dostępnych bezpośrednio z sygnalizacja kryptowaluta polecenie, a tls-profile zawiera również sni send opcjonalnie.

sni send umożliwia wskazanie nazwy serwera (SNI), rozszerzenie TLS, które umożliwia klientowi TLS wskazanie nazwy serwera, z którym próbuje się połączyć podczas początkowego procesu ręcznego TLS. Tylko w pełni kwalifikowana nazwa hosta DNS serwera jest wysyłana na powitanie klienta. SNI nie obsługuje adresów IPv4 i IPv6 w rozszerzeniu hello klienta. Po odebraniu "hello" z nazwą serwera od klienta TLS serwer używa odpowiedniego certyfikatu w kolejnym procesie obsługi TLS. SNI wymaga TLS w wersji 1.2.

Funkcje polityki TLS będą dostępne tylko za pośrednictwem profil tls klasy głosowej konfiguracji. Informacje sygnalizacja kryptowaluta polecenie nadal obsługuje wcześniej istniejące opcje szyfrowania TLS. Możesz użyć dowolnej z nichznacznik profilutls lub klasy głosowej sygnalizacja kryptowaluta polecenie skonfigurowania punktu powierniczego. Zalecamy korzystanie z Polecenie tls-profiletls klasy głosowej do wykonywania konfiguracji profili TLS.