Чтобы включить модель контроля доступа для аутентификации, авторизации и учета (AAA), используйте новая модель AAA в режиме глобальной конфигурации. Чтобы отключить модель управления доступом AAA, используйте нет форма этой команды.

новая модель AAA

нет новая модель AAA

У этой команды нет аргументов или ключевых слов.

Значение команды по умолчанию: AAA не включена.

Командный режим: Глобальная конфигурация (конфигурация)

Рекомендации по использованию: Эта команда включает систему управления доступом AAA.

Чтобы установить аутентификацию, авторизацию и учетную аутентификацию (AAA) при входе в систему, используйте вход в систему аутентификации aaa в режиме глобальной конфигурации. Чтобы отключить аутентификацию AAA, используйте нет форма этой команды.

Вход с аутентификацией aaa {default |list-name } method1 [method2...]

нетвход в систему с аутентификацией aaa {{по умолчанию |имя списка } метод 1 [метод2...]]

Значение команды по умолчанию: Аутентификация AAA при входе отключена.

Командный режим: Глобальная конфигурация (конфигурация)

Рекомендации по использованию: Если по умолчанию ключевое слово не задано, проверяется только база данных локального пользователя. Это имеет тот же эффект, что и следующая команда:

aaa authentication login default local

На консоли вход будет успешным без проверки подлинности, если по умолчанию ключевое слово не задано.

Имена списков по умолчанию и необязательные, созданные с помощью вход в систему аутентификации aaa используется с аутентификация при входе команда.

Создайте список, введя вход в систему аутентификации aaa команда метода list-name для определенного протокола. Аргумент list-name — это строка символа, используемая для названия списка методов аутентификации, активируемых при входе пользователя в систему. Аргумент метода определяет список методов, которые алгоритм аутентификации пытается использовать в заданной последовательности. В разделе «Методы аутентификации, которые не могут быть использованы для аргумента имени списка» перечислены методы аутентификации, которые не могут быть использованы для аргумента имени списка, а в приведенной ниже таблице описаны ключевые слова метода.

Чтобы создать список по умолчанию, который используется, если строке не назначен список, используйте аутентификация при входе с аргументом по умолчанию, за которым следуют методы, которые необходимо использовать в ситуациях по умолчанию.

Пароль запрашивается только один раз для аутентификации учетных данных пользователя, а в случае ошибок из-за проблем с подключением можно повторить несколько попыток с помощью дополнительных методов аутентификации. Однако переключение на следующий метод аутентификации происходит только в том случае, если предыдущий метод возвращает ошибку, а не в случае сбоя. Чтобы убедиться в успешности аутентификации, даже если все методы возвращают ошибку, укажите нет как окончательный метод в командной строке.

Если аутентификация не задана специально для линии, по умолчанию будет отказать в доступе и аутентификация не выполняется. Используйте больше системы:running-config для отображения настроенных в данный момент списков методов аутентификации.

Методы аутентификации, которые нельзя использовать для Аргумента имени списка

Методы аутентификации, которые нельзя использовать для аргумента имени списка, приведены ниже.

• аутентифицированный гость

• включить

• гость

• если аутентификация

• при необходимости

• krb5

• экземпляр krb

• krb-telnet

• линия

• местный

• ни один из вариантов

• радиус

• rcmd

• tacacs

• tacacplus

В таблице ниже методы group radius, group tacacs +, group ldap и group-name относятся к ранее определенному серверу RADIUS или TACACS+. Используйте команды хоста radius-server и tacacs-server для настройки серверов хостов. Используйте команды aaa group server radius, aaa group server ldap и aaa group server tacacs+ для создания именованной группы серверов.

В таблице ниже описаны ключевые слова метода.

Ключевое слово	Описание
имя группы кэша	Использует группу серверов кэша для аутентификации.
включить	Использует пароль включения для аутентификации. Это ключевое слово нельзя использовать.
имя группы	Использует подмножество серверов RADIUS или TACACS+ для аутентификации в соответствии с определением радиус сервера группы AAA или aaa group server tacacs+ команда.
группаldap	Использует список всех серверов LDAP для аутентификации.
радиус группы	Использует список всех серверов RADIUS для аутентификации.
grouptacacs+	Использует список всех серверов TACACS+ для аутентификации.
krb5	Использует Kerberos 5 для аутентификации.
krb5-telnet	Использует протокол аутентификации Kerberos 5 Telnet при использовании Telnet для подключения к маршрутизатору.
линия	Использует пароль линии для аутентификации.
местный	Использует локальную базу данных имен пользователей для аутентификации.
локальный случай	Используется аутентификация локального имени пользователя с учетом регистра.
ни один из вариантов	Не использует аутентификацию.
passwd-истечение	Включение срока действия пароля в локальном списке аутентификации.   radius-server vsa отправить аутентификацию требуется, чтобы сделать срок действия пароля работа по ключевым словам.

Чтобы задать параметры, ограничивающие доступ пользователей к сети, используйте авторизация AAA в режиме глобальной конфигурации. Чтобы удалить параметры, используйте нет форма этой команды.

aaaавторизация {{ аутентичный прокси|кэш|командыуровень |команды конфигурации|конфигурация|консоль|exec|ipmobile|многоадресная|сеть|policy – если|предоплата|радиус-прокси|обратный доступ|служба подписчика|шаблон} {по умолчанию|имя списка } [метод 1 [method2... ]]]

нетaaaавторизация {{ аутентичный прокси|кэш|командыуровень |команды конфигурации|конфигурация|консоль|exec|ipmobile|многоадресная|сеть|policy – если|предоплата|радиус-прокси|обратный доступ|служба подписчика|шаблон} {по умолчанию|имя списка } [метод 1 [method2... ]]]

Значение команды по умолчанию: Авторизация отключена для всех действий (эквивалентно ключевому слову метода none ).

Командный режим: Глобальная конфигурация (конфигурация)

Рекомендации по использованию: Используйте команду aaa authorization для включения авторизации и создания списков именованных методов, которые определяют методы авторизации, которые могут использоваться при доступе пользователя к указанной функции. Списки методов авторизации определяют способы авторизации и последовательность, в которой будут выполняться эти методы. Список методов — это именованный список, описывающий методы авторизации (такие как RADIUS или TACACS+), которые должны использоваться последовательно. Списки методов позволяют назначить один или несколько протоколов безопасности, которые будут использоваться для авторизации, обеспечивая резервную систему в случае сбоя первоначального метода. Программное обеспечение Cisco IOS использует первый из перечисленных способов для авторизации пользователей для определенных сетевых служб. Если этот метод не отвечает, программное обеспечение Cisco IOS выбирает следующий метод, указанный в списке методов. Этот процесс продолжается до тех пор, пока не будет обеспечена успешная связь с указанным методом авторизации или пока не будут исчерпаны все определенные методы.

Программное обеспечение Cisco IOS пытается авторизоваться следующим способом, указанным в списке, только если нет ответа от предыдущего метода. Если авторизация не выполняется в любой момент этого цикла - то есть сервер безопасности или локальная база данных имен пользователей отвечает отказом пользовательских служб - процесс авторизации прекращается, и никакие другие методы авторизации не предпринимаются.

Если команда aaa authorization для определенного типа авторизации выдается без указанного именованного списка методов, то список методов по умолчанию автоматически применяется ко всем интерфейсам или линиям (где применяется этот тип авторизации), кроме тех, для которых явно определен список именованных методов. (Определенный список методов переопределяет список методов по умолчанию.) Если список методов по умолчанию не определен, авторизация не выполняется. Для выполнения исходящей авторизации должен использоваться список способов авторизации по умолчанию, например авторизация загрузки пулов IP с сервера RADIUS.

Используйте команду aaa authorization для создания списка, введя значения для list-name и аргументов метода, где list-name — это любая строка символов, используемая для имени этого списка (исключая все имена методов), и метод определяет список методов авторизации, опробованных в данной последовательности.

Команда aaa authorization поддерживает 13 отдельных списков методов. Пример.

радиус группы AAA конфигурации методологии авторизации 1

радиус группы AAA конфигурации методоlist2

...

радиус группы AAA конфигурации конфигурации

В приведенной ниже таблице группы-name, group ldap, group radius и group tacacs + методы относятся к набору ранее определенных серверов RADIUS или TACACS+. Используйте команды хоста radius-server и tacacs-server для настройки серверов хостов. Используйте команды aaa group server radius , aaa group server ldap и aaa group server tacacs+ для создания именованной группы серверов.

Программное обеспечение Cisco IOS поддерживает следующие методы авторизации:

• Группы серверов кэша – маршрутизатор консультирует свои группы серверов кэша для авторизации определенных прав пользователей.

• Если-аутентифицирован - пользователю разрешен доступ к запрашиваемой функции при условии успешной аутентификации пользователя.

• Локально - маршрутизатор или сервер доступа консультирует свою локальную базу данных, как определено командой username, для авторизации определенных прав пользователей. С помощью локальной базы данных можно управлять только ограниченным набором функций.

• Нет --сервер сетевого доступа не запрашивает информацию о авторизации; авторизация не выполняется по этой линии или интерфейсу.

• RADIUS --сервер сетевого доступа запрашивает информацию о авторизации из группы серверов безопасности RADIUS. Авторизация RADIUS определяет определенные права пользователей путем связывания атрибутов, хранящихся в базе данных на сервере RADIUS, с соответствующим пользователем.

• TACACS+ --Сервер сетевого доступа обменивается информацией о авторизации с демоном безопасности TACACS+. Авторизация TACACS+ определяет определенные права пользователей, связывая пары атрибут-значение (AV), которые хранятся в базе данных сервера безопасности TACACS+, с соответствующим пользователем.

Чтобы разрешить соединения между определенными типами оконечных устройств в сети передачи голоса по IP, используйте разрешить-соединения в режиме конфигурации голосовой службы. Чтобы отказаться от определенных типов соединений, используйте нет форма этой команды.

allow-connectionsfrom-typetoto-type

noallow-connectionsfrom-typetoto-type

Значение команды по умолчанию: Соединения SIP-SIP по умолчанию отключены.

Командный режим: Конфигурация голосовой службы (config-voi-serv)

Рекомендации по использованию: Эта команда используется для разрешения соединений между определенными типами оконечных устройств в многосервисном шлюзе IP-to-IP Cisco. Команда включена по умолчанию и не может быть изменена.

Чтобы разрешить вставку '#' в любом месте в dn голосового регистра, используйте allow-hash-in-dn в режиме глобальной голосовой регистрации. Чтобы отключить эту функцию, используйте нет форма этой команды.

allow-hash-in-dn

нет allow-hash-in-dn

Значение команды по умолчанию: По умолчанию команда отключена.

Командный режим: глобальная конфигурация голосовой регистрации (config-register-global)

Рекомендации по использованию: До введения этой команды символы, поддерживаемые в регистре голосовых вызовов dn, составляли 0–9, + и *. Новая команда включается всякий раз, когда пользователю требуется вставка # в голосовой регистр dn. По умолчанию команда отключена. Эту команду можно настроить только в режимах Cisco Unified SRST и Cisco Unified E-SRST. Символ # может быть вставлен в любое место в голосовом регистре dn. Если эта команда включена, пользователи должны изменить символ завершения по умолчанию (#) на другой действительный символ, используя терминатор точки вызова в режиме конфигурации.

Чтобы перейти в режим конфигурации приложения избыточности, используйте избыточность приложения в режиме конфигурации избыточности.

избыточность приложения

У этой команды нет аргументов или ключевых слов.

Значение команды по умолчанию: Нет

Командный режим: Конфигурация избыточности (конфигурация красного цвета)

Рекомендации по использованию: Используйте этот избыточность приложения для настройки избыточности приложения для высокой доступности.

Чтобы настроить шлюз по умолчанию для приложения, используйте приложение-шлюз по умолчанию в режиме конфигурации хостинга приложения. Чтобы удалить шлюз по умолчанию, используйте нет форма этой команды.

app-default-gateway [ip-адресguest-interfacenetwork-interface-number]

noapp-default-gateway [ip-адресguest-interfacenetwork-interface-number]

Значение команды по умолчанию: Шлюз по умолчанию не настроен.

Командный режим: Конфигурация хостинга приложений (config-app-hosting)

Рекомендации по использованию: Используйте приложение-шлюз по умолчанию для установки шлюза по умолчанию для приложения. Соединители шлюзов – это приложения, установленные в контейнере Cisco IOS XE GuestShell.

Чтобы настроить приложение и войти в режим конфигурации хостинга приложения, используйте приложение-хостинг appid в режиме глобальной конфигурации. Чтобы удалить приложение, используйте нет форма этой команды.

имя приложениядля хостинга приложений

Значение команды по умолчанию: Приложение не настроено.

Командный режим: Глобальная конфигурация (конфигурация)

Руководство по использованию:Аргумент имени приложения может содержать до 32 буквенно-цифровых символов.

После настройки этой команды можно обновить конфигурацию хостинга приложения.

Чтобы переопределить профиль ресурса, предоставленный приложением, используйте профиль приложения-ресурса в режиме конфигурации хостинга приложения. Чтобы вернуться к профилю ресурса, указанному в приложении, используйте нет форма этой команды.

профиль приложения-ресурсаимя профиля

нетпрофиля приложения-ресурса-имя профиля

Значение команды по умолчанию: Профиль ресурса настроен.

Командный режим: Конфигурация хостинга приложений (config-app-hosting)

Рекомендации по использованию: Зарезервированные ресурсы, указанные в пакете приложений, можно изменить, установив пользовательский профиль ресурса. Можно изменять только ресурсы ЦП, памяти и виртуального ЦП (vCPU). Чтобы изменения ресурса вступили в силу, остановите и деактивируйте приложение, затем активируйте и запустите его снова.

Поддерживается только пользовательский профиль.

Команда настраивает пользовательский профиль ресурсов приложения и переходит в режим конфигурации пользовательского профиля ресурсов приложения.

Чтобы настроить шлюз виртуального сетевого интерфейса для приложения, используйте шлюз приложения-vnic в режиме конфигурации хостинга приложения. Чтобы удалить конфигурацию, используйте нет форма этой команды.

Эта команда поддерживается только на платформах маршрутизации. Он не поддерживается на коммутационных платформах.

шлюз приложения-vnicvirtualportgroupномергостевой интерфейссетевой интерфейс-номер

нетшлюз приложения-vnicvirtualportgroupномергостевой интерфейссетевой интерфейс-номер

Значение команды по умолчанию: Виртуальный сетевой шлюз не настроен.

Командный режим: Конфигурация хостинга приложений (config-app-hosting)

Рекомендации по использованию: После настройки шлюза виртуального сетевого интерфейса для приложения командный режим изменится на режим конфигурации шлюза хостинга приложений. В этом режиме можно настроить IP-адрес гостевого интерфейса.

Чтобы включить поддержку заголовок утвержденного идентификатора в входящих запросах или ответных сообщениях протокола установления сеанса (SIP), а также отправить информацию о конфиденциальности утвержденного идентификатора в исходящих запросах SIP или ответных сообщениях, используйте утвержденный-идентификатор в режиме конфигурации голосовой службы VoIP-SIP или в режиме конфигурации клиента класса голосовых вызовов. Чтобы отключить поддержку заголовок утвержденного идентификатора, используйте нет форма этой команды.

система asserted-id { pai|ppi }

системаid { pai|ppi }

Значение команды по умолчанию: Информация о конфиденциальности отправляется с помощью заголовка Remote-Party-ID (RPID) или заголовка FROM.

Командный режим: Конфигурация VoIP-SIP службы голосовой связи (conf-serv-sip) и конфигурация клиента класса голосовой связи (config-class)

Рекомендации по использованию: При выборе пай ключевое слово или ppi ключевое слово, шлюз создает заголовок PAI или PPI соответственно в общий стек SIP. пай ключевое слово или ppi ключевое слово имеет приоритет над заголовком Remote-Party-ID (RPID) и удаляет заголовок RPID из исходящего сообщения, даже если маршрутизатор настроен на использование заголовка RPID на глобальном уровне.

Для настройки поддержки асимметричной полезной нагрузки протокола установления сеанса (SIP) используйте асимметричная полезная нагрузка в режиме конфигурации SIP или в режиме конфигурации клиента голосового класса. Чтобы отключить поддержку асимметричной полезной нагрузки, используйте нет форма этой команды.

асимметричныйполезная нагрузка {{ dtmf |динамические кодеки |полный |система }

нетасимметрияполезная нагрузка {{ dtmf |динамические кодеки |полный |система }

Значение команды по умолчанию: Эта команда отключена.

Командный режим: Конфигурация SIP службы голосовой связи (conf-serv-sip), конфигурация клиента класса голосовых вызовов (config-class)

Рекомендации по использованию: Введите режим конфигурации SIP из режима конфигурации голосовой службы, как показано в примере.

Для Cisco UBE асимметричный тип полезной нагрузки SIP поддерживается для аудио- и видеокодеков, DTMF и NSE. Следовательно, dtmf и динамические кодеки ключевые слова сопоставлены с полный ключевое слово для обеспечения поддержки асимметричного типа полезной нагрузки для аудио- и видеокодеков, DTMF и NSE.

Чтобы включить дайджест-аутентификацию SIP на отдельной адресуемой точке вызова, используйте аутентификация в режиме конфигурации голосовой точки вызова. Чтобы отключить дайджест-аутентификацию SIP, используйте нет форма этой команды.

аутентификацияимя пользователяимя пользователяпароль {{ 0|6|7 } пароль [областьобласть|вызов|все ]]

нетаутентификацияимя пользователяимя пользователяпароль {{ 0|6|7 } пароль [областьобласть|вызов|все ]]

Значение команды по умолчанию: Аутентификация SIP-дайджест отключена.

Командный режим: Конфигурация адресуемой точки вызова (config-dial-peer)

Рекомендации по использованию: При включении дайджест-аутентификации применяются следующие правила конфигурации:

• Для каждой адресуемой точки вызова можно настроить только одно имя пользователя. Любая существующая конфигурация имени пользователя должна быть удалена перед настройкой другого имени пользователя.

• Максимум пять пароль или область параметры можно настроить для любого имени пользователя.

имя пользователя и пароль аргументы используются для аутентификации пользователя. Аутентифицирующий сервер/прокси, выдающий ответ на вызов 407/401, включает область в ответ на вызов, и пользователь предоставляет учетные данные, действительные для этой области. Поскольку предполагается, что не более пяти прокси-серверов в сигнальном пути могут попытаться аутентифицировать заданный запрос от клиента user-agent (UAC) к серверу user-agent (UAS), пользователь может настроить до пяти комбинаций паролей и областей для настроенного имени пользователя.

Пользователь предоставляет пароль в виде обычного текста, но он зашифрован и сохранен для ответа на вызов 401. Если пароль не сохранен в зашифрованном виде, отправляется нежелательный пароль, и аутентификация не выполняется.

• Спецификация области необязательна. Если этот пароль не указан, то пароль, настроенный для этого имени пользователя, применяется ко всем сферам, которые пытаются аутентифицироваться.

• Для всех настроенных сфер одновременно можно настроить только один пароль. Если настроен новый пароль, он перезаписывает любой ранее настроенный пароль.

Это означает, что можно настроить только один глобальный пароль (без определенной области). При настройке нового пароля без настройки соответствующей области новый пароль перезаписывает предыдущий.

• Если для области настроены ранее настроенные имя пользователя и пароль, спецификация этой области добавляется к существующей конфигурации имени пользователя и пароля. Однако после добавления области в конфигурацию имени пользователя и пароля эта комбинация имени пользователя и пароля действительна только для этой области. Настроенную область невозможно удалить из конфигурации имени пользователя и пароля без предварительного удаления всей конфигурации для этого имени пользователя и пароля. Затем можно перенастроить эту комбинацию имени пользователя и пароля с другой областью или без нее.

• В записи с паролем и сферой можно изменить пароль или мир.

• Используйте нет аутентификации все для удаления всех записей аутентификации пользователя.

Для пароля необходимо указать тип шифрования. Если пароль без текста (введите 0) настроен, зашифрован как тип 6 перед сохранением в запущенной конфигурации.

Если тип шифрования указан как 6 или 7, введенный пароль проверяется по допустимому типу 6 или 7 формат пароля и сохраненный тип 6 или 7 соответственно.

Пароли 6-го типа шифруются с помощью шифра AES и определяемого пользователем основного ключа. Эти пароли относительно более безопасны. Основной ключ никогда не отображается в конфигурации. Без ведома первичного ключа введите 6 пароли недоступны. Если основной ключ изменен, пароль, сохраненный как тип 6, будет повторно зашифрован новым основным ключом. Если конфигурация основного ключа удалена, введите 6 пароли невозможно расшифровать, что может привести к срыву аутентификации для вызовов и регистрации.

При резервном копировании конфигурации или переносе конфигурации на другое устройство основной ключ не будет сброшен. Следовательно, основной ключ должен быть снова настроен вручную.

Сведения о настройке зашифрованного предварительно ключа см. в разделе Настройка зашифрованного предварительно ключа.

При типе шифрования отображается следующее предупреждение 7 настроено. Внимание! Команда добавлена в конфигурацию с помощью пароля типа 7. Однако пароли 7-го типа скоро будут прекращены. Перейдите к поддерживаемому паролю типа 6.

Чтобы связать адрес источника для пакетов сигналов и мультимедиа с адресом IPv4 или IPv6 определенного интерфейса, используйте связывание в режиме конфигурации SIP. Чтобы отключить привязку, используйте нет форма этой команды.

связывание {{ управление|СМИ|все } исходный интерфейсидентификатор интерфейса {{ ipv4-адресipv4-адрес|ipv6-адресipv6-адрес }

нетсвязывание {{ управление|СМИ|все } исходный интерфейсидентификатор интерфейса {{ ipv4-адресipv4-адрес|ipv6-адресipv6-адрес }

Значение команды по умолчанию: Привязка отключена.

Командный режим: конфигурация SIP (conf-serv-sip) и клиент класса голосовых вызовов.

Рекомендации по использованию: Async, Ethernet, FastEthernet, Loopback и Serial (включая реле кадров) являются интерфейсами в приложении SIP.

Если связывание команда не включена, слой IPv4 по-прежнему предоставляет лучший локальный адрес.

Чтобы включить базовые конфигурации для Call-Home, используйте отчет о вызове на дом в режиме глобальной конфигурации.

отчетность о вызове на дом {{ анонимный |contact-email-addr } [ http-прокси {{ ipv4-адрес |ipv6-адрес |имя } порт номер порта ]]

Значение команды по умолчанию: Нет поведения или значений по умолчанию

Командный режим: Глобальная конфигурация (конфигурация)

Рекомендации по использованию: После успешного включения Call-Home в режиме анонимной или полной регистрации с помощью отчет о вызове на дом , отправляется сообщение об инвентаризации. Если функция Call-Home включена в режиме полной регистрации, отправляется сообщение с полным перечнем для режима полной регистрации. Если функция Call-Home включена в анонимном режиме, отправляется анонимное инвентарное сообщение. Дополнительные сведения о сообщениях см. в разделе События и команды триггера группы предупреждений.

Чтобы включить поддержку Cisco Unified SRST и войти в режим конфигурации call-manager-fallback, используйте диспетчер вызовов — резервный в режиме глобальной конфигурации. Чтобы отключить поддержку Cisco Unified SRST, используйте нет форма этой команды.

диспетчер вызовов — резервный

отсутствиедиспетчера вызовов – резервный

У этой команды нет аргументов или ключевых слов.

Значение команды по умолчанию: Нет поведения или значений по умолчанию.

Командный режим: Глобальная конфигурация

Чтобы включить проверку удостоверения однорангового сертификата сервера, клиента или в двух направлениях во время рукопожатия TLS, используйте команду проверка cn-san в режиме конфигурации профиля tls класса голосовых вызовов. Чтобы отключить проверку удостоверения сертификата, используйте нет форма этой команды.

cn-sanпроверка {{ сервер|клиент|двунаправленная }

нетcn-sanпроверка {{ сервер|клиент|двунаправленная }

Значение команды по умолчанию: Проверка удостоверений отключена.

Командный режим: Конфигурация класса голосовых вызовов (config-class)

Рекомендации по использованию: Проверка удостоверения сервера связана с безопасным сигнальным соединением через глобальную криптосигналы и tls-профиль класса голосовых вызовов конфигураций.

Команда усовершенствована, чтобы включить клиент и двунаправленная ключевые слова. Параметр клиента позволяет серверу проверить личность клиента путем проверки имен узлов CN и SAN, включенных в предоставленный сертификат, на основе доверенного списка FQDN cn-san. Соединение будет установлено только в том случае, если найдено совпадение. Этот список FQDN cn-san теперь также используется для проверки сертификата сервера в дополнение к имени целевого хоста сеанса. двунаправленная параметр проверяет идентификацию однорангового узла для соединений клиента и сервера путем объединения обоих сервер и клиент режимов. После настройки проверка cn-san, удостоверение однорангового сертификата проверяется для каждого нового соединения TLS.

Чтобы настроить список полного доменного имени (FQDN) для проверки по сертификату узла для входящих или исходящих соединений TLS, используйте cn-san в режиме конфигурации профиля voice class tls. Чтобы удалить запись проверки сертификата cn-san, используйте нет форма этой команды.

cn-san{1-10}fqdn

нетcn-san{1-10}fqdn

Значение команды по умолчанию: Имена cn-san не настроены.

Командный режим: Режим конфигурации tls-профиля класса голосовых вызовов (config-class)

Рекомендации по использованию: Полное доменное имя, используемое для проверки однорангового сертификата, назначается профилю TLS с количеством до десяти cn-san записи. Как минимум одна из этих записей должна быть сопоставлена с FQDN в полях Common Name (CN) или Subject-Alternate-Name (SAN) до установления соединения TLS. Чтобы соответствовать любому узлу домена, используемому в поле CN или SAN, cn-san запись может быть настроена с помощью подстановки домена строго в виде *.domain-name (например, *.cisco.com). Использование подстановочных знаков запрещено.

Для входящих соединений список используется для проверки полей CN и SAN в сертификате клиента. Для исходящих соединений список используется вместе с именем хоста целевого сеанса для проверки полей CN и SAN в сертификате сервера.

Сертификаты сервера также могут быть проверены путем сопоставления целевого FQDN сеанса SIP с полем CN или SAN.

Чтобы указать список предпочтительных кодеков, которые будут использоваться на адресуемой точке вызова, используйте кодек предпочтительные параметры в режиме конфигурации класса голосовых вызовов. Чтобы отключить эту функцию, используйте нет форма этой команды.

кодекпредпочтительные параметрызначениетип кодека

неткодекпредпочтительные параметрызначениетип кодека

Значение команды по умолчанию: Если эта команда не введена, то определенные типы кодеков не идентифицируются с предпочтительными параметрами.

Командный режим: конфигурация класса голосовых вызовов (config-class)

Рекомендации по использованию: Маршрутизаторам на противоположных концах WAN, возможно, придется согласовывать выбор кодека для адресуемых точек вызова сети. кодек предпочтительные параметры указывает порядок выбора согласованного кодека для соединения. В таблице ниже описаны параметры полезной нагрузки голосовой связи и значения по умолчанию для кодеков и пакетных голосовых протоколов.

Чтобы использовать глобальный порт приёмника для отправки запросов по протоколу UDP, используйте повторное использование подключения в режиме sip-ua или в режиме конфигурации клиента класса голосовых вызовов. Чтобы отключить, используйте нет форма этой команды.

повторное использование { via-port |system }

нетповторное использование подключения {{ via-порт |система }

Значение команды по умолчанию: Локальный шлюз использует эфемерный порт UDP для отправки запросов через UDP.

Режимы команд: Конфигурация SIP UA (config-sip-ua), конфигурация клиента класса голосовой связи (config-class)

Рекомендации по использованию: Выполнение этой команды позволяет использовать порт приёмника для отправки запросов по протоколу UDP. Порт прослушивателя по умолчанию для обычного небезопасного SIP — 5060, а для безопасного SIP — 5061. Настройка listen-port [non-secure | secure]port в режиме конфигурации голосовой службы voip > sip для изменения глобального порта UDP.

Чтобы изменить квоту ЦП или единицу, выделенную для приложения, используйте цп в режиме конфигурации профиля ресурсов пользовательского приложения. Чтобы вернуться к квоте ЦП, предоставленной приложением, используйте нет форма этой команды.

блок цп

нетблока ЦП

Значение команды по умолчанию: Процессор по умолчанию зависит от платформы.

Командный режим: Пользовательская конфигурация профиля ресурсов приложения (config-app-resource-profile-custom)

Рекомендации по использованию: Блок ЦП — это минимальное выделение ЦП приложением. Общее количество единиц ЦП основано на нормализованных единицах ЦП, измеренных для целевого устройства.

В каждом пакете приложения предоставляется профиль ресурса, который определяет рекомендуемую загрузку ЦП, размер памяти и количество виртуальных процессоров (vCPU), необходимых приложению. Используйте эту команду для изменения распределения ресурсов для определенных процессов в пользовательском профиле ресурсов.

Зарезервированные ресурсы, указанные в пакете приложений, можно изменить, установив пользовательский профиль ресурса. Можно изменять только ресурсы ЦП, памяти и vCPU. Чтобы изменения ресурса вступили в силу, остановите и деактивируйте приложение, затем активируйте его и запустите его снова.

Значения ресурсов зависят от конкретного приложения, и любая корректировка этих значений должна гарантировать надежную работу приложения с внесенными изменениями.

Чтобы настроить шлюз мультиплексирования (TDM) протокола установления сеанса Cisco IOS (SIP), Cisco Unified Border Element (Cisco UBE) или Cisco Unified Communications Manager Express (Cisco Unified CME) для отправки сообщения о регистрации SIP в состоянии UP, используйте учетные данные в режиме конфигурации SIP UA или в режиме конфигурации клиента голосового класса. Чтобы отключить учетные данные дайджест SIP, используйте нет форма этой команды.

учетные данные {{ dhcp|номерномеримя пользователяимя пользователя } пароль {{ 0|6|7 } парольобластьобласть

нетучетные данные {{ dhcp|номерномеримя пользователяимя пользователя } пароль {{ 0|6|7 } парольобластьобласть

Значение команды по умолчанию: Учетные данные дайджест-аутентификации SIP отключены.

Командный режим: Конфигурация SIP UA (config-sip-ua) и конфигурация клиента класса голосовых вызовов (config-class).

Рекомендации по использованию: При включенных учетных данных применяются следующие правила конфигурации.

• Для всех доменных имен действителен только один пароль. Новый настроенный пароль перезаписывает любой ранее настроенный пароль.

• Пароль всегда будет отображаться в зашифрованном формате, когда учетные данные настроена команда и показать запущенная конфигурация используется команда.

dhcp ключевое слово в команде означает, что основной номер получен через DHCP, а шлюз TDM SIP Cisco IOS, UBE или Cisco Unified CME, на котором включена команда, использует этот номер для регистрации или отмены регистрации полученного основного номера.

Для пароля необходимо указать тип шифрования. Если пароль без текста (введите 0) настроен, зашифрован как тип 6 перед сохранением в запущенной конфигурации.

Если тип шифрования указан как 6 или 7, введенный пароль проверяется по допустимому типу 6 или 7 формат пароля и сохраненный тип 6 или 7 соответственно.

Пароли 6-го типа шифруются с помощью шифра AES и определяемого пользователем основного ключа. Эти пароли относительно более безопасны. Основной ключ никогда не отображается в конфигурации. Без ведома первичного ключа введите 6 пароли недоступны. Если основной ключ изменен, пароль, сохраненный как тип 6, будет повторно зашифрован новым основным ключом. Если конфигурация основного ключа удалена, введите 6 пароли невозможно расшифровать, что может привести к срыву аутентификации для вызовов и регистрации.

При резервном копировании конфигурации или переносе конфигурации на другое устройство основной ключ не будет сброшен. Следовательно, основной ключ должен быть снова настроен вручную.

Сведения о настройке зашифрованного предварительно ключа см. в разделе Настройка зашифрованного предварительно ключа.

Внимание! Команда добавлена в конфигурацию с помощью пароля типа 7. Однако пароли 7-го типа скоро будут прекращены. Перейдите к поддерживаемому паролю типа 6.

В YANG невозможно настроить одно и то же имя пользователя в двух разных сферах.

Чтобы указать предпочтительные параметры пакета шифров SRTP, который будет предлагаться Cisco Unified Border Element (CUBE) в SDP в предложении и ответе, используйте криптография в режиме конфигурации класса голосовых вызовов. Чтобы отключить эту функцию, используйте нет форма этой команды.

пакет шифровпредпочтительных параметров шифрования

безшифрапредпочтительных шифров

Значение команды по умолчанию: Если эта команда не настроена, по умолчанию предлагается набор srtp-шифров в следующем порядке предпочтений:

• AEAD_AES_256_GCM

• AEAD_AES_128_GCM

• AES_CM_128_HMAC_SHA1_80

• AES_CM_128_HMAC_SHA1_32

Командный режим: srtp-crypto класса голосовых вызовов (config-class)

Рекомендации по использованию: Если изменить предпочтительные параметры уже настроенного пакета шифров, они будут перезаписаны.

Чтобы сгенерировать пары ключей Rivest, Shamir и Adelman (RSA), используйте криптоключ генерирует rsa в режиме глобальной конфигурации.

генерировать криптоключ rsa [ { общие клавиши |ключи от использования |подпись |шифрование } ] [ метка метка ключа ] [ [ ] ] экспортируемый ] [ [ ] ] модуль размер модуля ] [ [ ] ] хранилище devicename :: ] [ [ ] ] избыточностьon devicename :: ]]

Значение команды по умолчанию: Пары ключей RSA не существуют.

Командный режим: Глобальная конфигурация (конфигурация)

Рекомендации по использованию: Используйте криптоключ генерирует rsa для создания пар ключей RSA для устройства Cisco (например, маршрутизатора).

Ключи RSA генерируются парами - один открытый ключ RSA и один закрытый ключ RSA.

Если при выпуске этой команды у маршрутизатора уже есть ключи RSA, вам будет предложено заменить существующие ключи новыми.

криптоключ генерирует rsa команда не сохраняется в конфигурации маршрутизатора; однако ключи RSA, созданные этой командой, сохраняются в частной конфигурации в NVRAM (которая никогда не отображается пользователю или не поддерживается на другом устройстве) при следующем написании конфигурации в NVRAM.

• Специальные ключи: При создании ключей специального использования будут созданы две пары ключей RSA. Одна пара будет использоваться с любой политикой Internet Key Exchange (IKE), которая определяет подписи RSA в качестве метода аутентификации, а другая пара будет использоваться с любой политикой IKE, которая определяет шифрованные ключи RSA в качестве метода аутентификации.

  ЦС используется только с политиками IKE, указывающими подписи RSA, а не с политиками IKE, указывающими неточности, зашифрованные RSA. (Тем не менее, вы можете указать более одной политики IKE и иметь подписи RSA, указанные в одной политике, и RSA-шифрованные объекты в другой политике.)

  Если вы планируете использовать оба типа методов аутентификации RSA в своих политиках IKE, вы можете предпочесть создание ключей специального использования. При использовании специальных ключей каждый ключ не является необязательным. (Без ключей специального использования один ключ используется для обоих методов аутентификации, что увеличивает воздействие этого ключа).

• Ключи общего назначения: При создании ключей общего назначения будет создана только одна пара ключей RSA. Эта пара будет использоваться с политиками IKE, указывающими либо подписи RSA, либо зашифрованные ключи RSA. Поэтому пара ключей общего назначения может использоваться чаще, чем пара ключей специального назначения.

• Пары именованных ключей: При создании пары именованных ключей с помощью аргумента метки ключей необходимо также указать ключи использования ключевое слово или общие ключи ключевое слово. Пары именованных ключей позволяют иметь несколько пар ключей RSA, что позволяет программному обеспечению Cisco IOS поддерживать разные пары ключей для каждого сертификата удостоверений.

• Длина модуля: При создании ключей RSA вам будет предложено ввести длину модуля. Чем длиннее модуль, тем сильнее безопасность. Однако создание более длинных модулей занимает больше времени (время выборки см. в таблице ниже) и занимает больше времени в использовании.

  Таблица 2. Время выборки по длине модуля для создания ключей RSA

  Маршрутизатор	360 бит	512 бит	1024 бита	2048 бит (максимум)
  Cisco 2500	11 секунд	20 секунд	4 минуты 38 секунд	Более 1 часа
  Cisco 4700	Менее 1 секунды	1 сек	4 сек	50 секунд

  Программное обеспечение Cisco IOS не поддерживает модуль, превышающий 4096 бит. Длина менее 512 бит, как правило, не рекомендуется. В некоторых ситуациях, более короткий модуль может не функционировать должным образом с IKE, поэтому мы рекомендуем использовать минимальный модуль 2048 бит.

  При создании ключей RSA с помощью криптографического оборудования могут применяться дополнительные ограничения. Например, когда ключи RSA генерируются адаптером портов служб Cisco VPN (VSPA), модуль ключа RSA должен быть не менее 384 бит, а кратным 64.

• Определение местоположения хранилища для ключей RSA. При выпуске криптоключ генерирует rsa с помощью хранилище devicename ключевое слово и аргумент, ключи RSA будут храниться на указанном устройстве. Это местоположение заменяет любое хранилище криптоключей настройки команды.

• Указание устройства для генерации ключей RSA. Можно указать устройство, на котором генерируются ключи RSA. Поддерживаемые устройства включают NVRAM, локальные диски и USB-токены. Если в маршрутизаторе настроен и доступен токен USB, он может использоваться в качестве криптографического устройства в дополнение к устройству хранения данных. Использование USB-маркера в качестве криптографического устройства позволяет выполнять операции RSA, такие как генерация ключей, подпись и аутентификация учетных данных. Закрытый ключ никогда не покидает USB-маркер и не подлежит экспорту. Открытый ключ экспортируется.

  Ключи RSA могут быть созданы на настроенном и доступном токене USB с помощью вкл. devicename ключевое слово и аргумент. Ключи, находящиеся на USB-токене, сохраняются в постоянном хранилище токенов при их создании. Количество ключей, которые могут быть созданы на USB-токене, ограничено доступным пространством. Если вы попытаетесь создать ключи на токене USB, и он заполнен, вы получите следующее сообщение:

  % Error in generating keys:no available resources 

  Удаление ключей приведет к немедленному удалению ключей, хранящихся в токене, из постоянного хранилища. (Ключи, которые не находятся на токене, сохраняются в местах хранения без токена или удаляются из них, когда копировать или аналогичная команда).

• Задание создания избыточности ключей RSA на устройстве. Можно указать избыточность существующих ключей, только если они экспортируются.

Чтобы аутентифицировать центр сертификации (ЦС) (получив сертификат ЦС), используйте cryptopkiauthenticate в режиме глобальной конфигурации.

имяcryptoPKIаутентификации

Значение команды по умолчанию: Нет поведения или значений по умолчанию.

Командный режим: Глобальная конфигурация (конфигурация)

Рекомендации по использованию: Эта команда требуется при первоначальной настройке поддержки ЦС на маршрутизаторе.

Эта команда аутентифицирует ЦС вашего маршрутизатора, получив самозаверяющий сертификат ЦС, содержащий открытый ключ ЦС. Поскольку ЦС подписывает собственный сертификат, необходимо вручную аутентифицировать открытый ключ ЦС, обратившись к администратору ЦС при вводе этой команды.

Если вы используете режим рекламы маршрутизатора (RA) (используя регистрация ) при выпуске криптовалюта pki аутентификация , а затем из ЦС и сертификата центра сертификации будут возвращены сертификаты подписи и шифрования регистрационного центра.

Эта команда не сохраняется в конфигурации маршрутизатора. Однако. открытые ключи, встроенные в полученные сертификаты CA (и RA), сохраняются в конфигурации как часть записи открытого ключа Rivest, Shamir и Adelman (RSA) (называемой «цепочкой открытых ключей RSA»).

Если ЦС не отвечает по истечении периода времени ожидания после выдачи этой команды, будет возвращено управление терминалом, чтобы оно оставалось доступным. В этом случае необходимо повторно ввести команду. Программное обеспечение Cisco IOS не будет распознавать даты истечения срока действия сертификата ЦС, установленные после 2049 года. Если установлено, что срок действия сертификата ЦС истекает после 2049 года, при попытке аутентификации с помощью сервера ЦС будет отображаться следующее сообщение об ошибке: error retrieving certificate :incomplete chain Если вы получили сообщение об ошибке, аналогичное этому, проверьте дату истечения срока действия сертификата ЦС. Если срок действия сертификата ЦС установлен после 2049 года, необходимо сократить срок действия на год или более.

Чтобы импортировать сертификат вручную через TFTP или в качестве вставки на терминале, используйте cryptopkiimport в режиме глобальной конфигурации.

сертификатимпортаимени crypto pki

Значение команды по умолчанию: Нет поведения или значений по умолчанию

Командный режим: Глобальная конфигурация (конфигурация)

Рекомендации по использованию: Необходимо ввести импорт криптопки дважды при использовании ключей использования (ключей подписи и шифрования). При первом вводе команды один из сертификатов вставляется в маршрутизатор; при втором вводе команды другой сертификат вставляется в маршрутизатор. (Не имеет значения, какой сертификат вставлен первым.)

Чтобы объявить точку доверия, которую должен использовать маршрутизатор, используйте cryptopkitrustpoint в режиме глобальной конфигурации. Чтобы удалить всю информацию о удостоверениях и сертификаты, связанные с точкой доверия, используйте нет форма этой команды.

избыточность имениcryptotrustpointcryptopki

nocryptopkitrustpointnameизбыточность

Значение команды по умолчанию: Маршрутизатор не распознает точки доверия, пока вы не объявите точку доверия с помощью этой команды. Маршрутизатор использует уникальные идентификаторы во время связи с серверами OCSP (Online Certificate Status Protocol, OCSP), как настроено в сети.

Командный режим: Глобальная конфигурация (конфигурация)

Рекомендации по использованию:

Объявление точек доверия

Используйте криптовалюта pki точка доверия для объявления точки доверия, которая может быть самоподписанным корневым центром сертификации (ЦС) или подчиненным ЦС. Выдача криптовалюта pki точка доверия позволяет перейти в режим конфигурации ca-trustpoint.

Вы можете указать характеристики для точки доверия с помощью следующих подкоманд:

• crl — запрашивает список отзыва сертификатов (CRL), чтобы убедиться, что сертификат одноранговой организации не был отозван.

• default(ca-trustpoint) — сбрасывает значение подкоманд режима конфигурации ca-trustpoint до значений по умолчанию.

• регистрация: задает параметры регистрации (необязательно).

• регистрацияhttp-proxy — доступ к ЦС по HTTP через прокси-сервер.

• регистрацияс самостоятельной подписью: в этом поле указывается самоподписанная подпись (необязательно).

• matchcertificate — связывает список контроля доступа на основе сертификатов (ACL), определенный с команда cryptocacertificatemap .

• ocspdisable-nonce: это значение указывает на то, что маршрутизатор не будет отправлять уникальные идентификаторы или идентификаторы во время связи OCSP.

• primary— назначает указанную точку доверия в качестве основной точки доверия маршрутизатора.

• root — определяет TFTP для получения сертификата ЦС и указывает имя сервера и имя файла, в котором будет храниться сертификат ЦС.

Указание использования уникальных идентификаторов

При использовании OCSP в качестве метода отзыва уникальные идентификаторы или идентификаторы отправляются по умолчанию во время одноранговой связи с сервером OCSP. Использование уникальных идентификаторов во время связи с сервером OCSP обеспечивает более безопасную и надежную связь. Однако не все серверы OCSP поддерживают использование уникальных протезов. Дополнительную информацию см. в руководстве по OCSP. Чтобы отключить использование уникальных идентификаторов во время связи OCSP, используйте ocsp отключить-nonce подкоманда.

Чтобы вручную импортировать (скачать) пакет сертификатов центра сертификации (ЦС) в пул доверия инфраструктуры открытого ключа (PKI) для обновления или замены существующего пакета ЦС, используйте импорт пула доверия криптопки в режиме глобальной конфигурации. Чтобы удалить любой из настроенных параметров, используйте нет форма этой команды.

криптовалютапкипул доверияимпорточистительный [ терминал|urlurl ]]

неткриптовалютапкипул доверияимпорточистительный [ терминал|urlurl ]]

Значение команды по умолчанию: Функция пула доверия PKI включена. Маршрутизатор использует встроенный пакет сертификатов ЦС в пуле доверия PKI, который обновляется автоматически из Cisco.

Командный режим: Глобальная конфигурация (конфигурация)

Угрозы безопасности, а также криптографические технологии для защиты от них постоянно меняются. Дополнительную информацию о последних криптографических рекомендациях Cisco см. в документе Шифрование нового поколения (NGE).

Сертификаты пула доверия PKI автоматически обновляются из Cisco. Если сертификаты пула доверия PKI не являются текущими, используйте импорт пула доверия криптопки , чтобы обновить их из другого местоположения.

url-адрес параметр указывает или изменяет файловую систему URL центра сертификации. В таблице ниже перечислены доступные файловые системы URL.

Таблица 3. Файловые системы URL

Файловая система	Описание
архив:	Импорт из архивной файловой системы.
cо:	Импорт из файловой системы пространства имен кластера (CNS).
disk0:	Импорт из файловой системы disc0.
диск1:	Импорт из файловой системы disc1.
ftp:	Импорт из файловой системы FTP.
http:	Импорт из файловой системы HTTP. URL должен быть в следующих форматах: http://Имя пользователя:80, где CAname — система доменных имен (DNS) http://ipv4-адрес:80. Пример. http://10.10.10.1:80. http://[ipv6-address]:80. Пример. http://[2001:DB8:1:1::1]:80. Адрес IPv6 имеет шестнадцатеричную обозначение и должен быть заключен в скобки в URL-адрес.
https:	Импорт из файловой системы HTTPS. URL-адрес должен использовать те же форматы, что и HTTP: форматов файловой системы.
null:	Импорт из нулевой файловой системы.
nvram:	Импорт из файловой системы NVRAM.
коляска:	Импорт из файловой системы PRAM (Parameter Random-access Memory).
rcp:	Импорт из файловой системы протокола удаленного копирования (rcp).
scp:	Импорт из файловой системы протокола безопасного копирования (scp).
snmp:	Импорт из протокола Simple Network Management Protocol (SNMP).
система:	Импорт из системной файловой системы.
смола:	Импорт из файловой системы UNIX tar.
tftp:	Импорт из файловой системы TFTP.   URL-адрес должен быть в поле от: tftp://CAname/filespecification.
tmpsys:	Импорт из файловой системы tmpsys Cisco IOS.
unix:	Импорт из файловой системы UNIX.
xmodem:	Импорт из простой системы протокола передачи файлов xmodem.
ymodem:	Импорт из простой системы протокола передачи файлов ymodem.

Для идентификации trustpointtrustpoint-name и аргумент, используемые во время рукопожатия Transport Layer Security (TLS), соответствующего адресу удаленного устройства, используйте криптосигналы в режиме настройки SIP user agent (UA). Чтобы сбросить значение по умолчанию точка доверия строка, использовать нет форма этой команды.

криптосигналы {{ по умолчанию|remote-addr ip-адрес маска подсети } [ tls-профиль тег |точка доверия имя точки доверия ] [ [ ] ] cn-san-validation сервер ] [ [ ] ] клиент-vtp имя точки доверия ] [ [ ] ] экдса-шифр |размер кривой 384 |строгий шифр ]]

неткриптосигналы {{ по умолчанию|remote-addr ip-адрес маска подсети } [ tls-профиль тег |точка доверия имя точки доверия ] [ [ ] ] cn-san-validation сервер ] [ [ ] ] клиент-vtp имя точки доверия ] [ [ ] ] экдса-шифр |размер кривой 384 |строгий шифр ]]

Значение команды по умолчанию: Команда криптосигналов отключена.

Командный режим: Конфигурация SIP UA (sip-ua)

Рекомендации по использованию: Ключевое слово trustpointtrustpoint-name и аргумент относится к сертификату CUBE, созданному в рамках процесса регистрации с помощью команд Cisco IOS PKI.

При настройке одного сертификата он используется всеми удаленными устройствами и настраивается по умолчанию ключевое слово.

При использовании нескольких сертификатов они могут быть связаны с удаленными службами с помощью remote-addr аргумент для каждой точки доверия. remote-addr и аргументы по умолчанию могут использоваться вместе для покрытия всех служб по мере необходимости.

Набором шифров по умолчанию в этом случае является следующий набор, поддерживаемый слоем SSL в CUBE: TLS_RSA_WITH_RC4_128_MD5 TLS_RSA_WITH_AES_128_CBC_SHA TLS_DHE_RSA_WITH_AES_128_CBC_SHA1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Ключевое слово cn-san-validate сервер обеспечивает проверку удостоверения сервера с помощью полей CN и SAN в сертификате при установлении соединений SIP/TLS на стороне клиента. Проверка полей CN и SAN сертификата сервера гарантирует, что домен сервера является действительным объектом. При создании безопасного соединения с сервером SIP CUBE проверяет настроенное доменное имя целевого сеанса по полям CN/SAN в сертификате сервера, прежде чем устанавливать сеанс TLS. После настройки cn-san-validate сервер, проверка удостоверения сервера выполняется для каждого нового соединения TLS.

tls-профиль параметр связывает конфигурации политики TLS, выполненные через связанный tls-профиль класса голосовых вызовов конфигурации. В дополнение к параметрам политики TLS, доступным непосредственно с криптосигналы команда, tls-профиль также включает в себя отправить SNI опция.

Отправка SNI включает указание имени сервера (SNI), расширение TLS, которое позволяет клиенту TLS указывать имя сервера, к которому он пытается подключиться во время начального процесса рукопожатия TLS. Только полное имя хоста DNS сервера отправляется в клиент hello. SNI не поддерживает адреса IPv4 и IPv6 в добавочном номере клиента hello. После получения приветствия с именем сервера от клиента TLS сервер использует соответствующий сертификат в последующем процессе рукопожатия TLS. Для SNI требуется TLS версии 1.2.

Функции политики TLS будут доступны только через tls-профиль класса голосовых вызовов конфигурации. криптосигналы команда продолжает поддерживать ранее существующие параметры шифрования TLS. Вы можете использовать либо тег с профилем tls или криптосигналы для настройки точки доверия. Рекомендуется использовать voice class tls-profiletag для выполнения конфигураций профиля TLS.