Ak chcete povoliť model riadenia prístupu autentifikácie, autorizácie a účtovania (AAA), použite aaa novy-model príkaz v režime globálnej konfigurácie. Ak chcete zakázať model riadenia prístupu AAA, použite č forma tohto príkazu.

aaa novy-model

č aaa novy-model

Tento príkaz nemá žiadne argumenty ani kľúčové slová.

Predvolený príkaz: AAA nie je povolená.

Príkazový režim: Globálna konfigurácia (config)

Pokyny na použitie: Tento príkaz aktivuje systém kontroly prístupu AAA.

Ak chcete nastaviť autentifikáciu, autorizáciu a účtovnú (AAA) autentifikáciu pri prihlásení, použite aaa autentifikačné prihlásenie príkaz v režime globálnej konfigurácie. Ak chcete zakázať autentifikáciu AAA, použite č forma tohto príkazu.

aaa autentifikačné prihlásenie {predvolená | názov-zoznamu } metóda1 [metóda 2...]

č aaa autentifikačné prihlásenie {predvolená | názov-zoznamu } metóda1 [metóda 2...]

Predvolený príkaz: Overenie AAA pri prihlásení je vypnuté.

Príkazový režim: Globálna konfigurácia (config)

Pokyny na použitie: Ak predvolená kľúčové slovo nie je nastavené, kontroluje sa len lokálna databáza užívateľov. Má to rovnaký účinok ako nasledujúci príkaz:

aaa authentication login default local

Na konzole bude prihlásenie úspešné bez akýchkoľvek overovacích kontrol predvolená kľúčové slovo nie je nastavené.

Predvolené a voliteľné názvy zoznamov, ktoré vytvoríte pomocou aaa autentifikačné prihlásenie príkazy sa používajú s overenie prihlásenia príkaz.

Vytvorte zoznam zadaním aaa autentifikačné prihlásenie príkaz metódy list-name pre konkrétny protokol. Argument názvu zoznamu je reťazec znakov, ktorý sa používa na pomenovanie zoznamu metód autentifikácie aktivovaných pri prihlásení používateľa. Argument metódy identifikuje zoznam metód, ktoré autentizačný algoritmus skúša v danom poradí. Sekcia “Metódy autentifikácie, ktoré nemožno použiť pre argument názvu zoznamu” uvádza metódy autentifikácie, ktoré nemožno použiť pre argument názvu zoznamu, a v tabuľke nižšie sú popísané kľúčové slová metódy.

Ak chcete vytvoriť predvolený zoznam, ktorý sa použije, ak k riadku nie je priradený žiadny zoznam, použite príkaz overenie prihlásenia príkaz s predvoleným argumentom, za ktorým nasledujú metódy, ktoré chcete použiť v predvolených situáciách.

Heslo je vyzvané iba raz na overenie poverení používateľa a v prípade chýb v dôsledku problémov s pripojením je možné viacnásobné opakovanie pomocou dodatočných metód overenia. K prepnutiu na nasledujúcu metódu autentifikácie však dôjde iba vtedy, ak predchádzajúca metóda vráti chybu, nie ak zlyhá. Ak chcete zabezpečiť, aby bola autentifikácia úspešná, aj keď všetky metódy vrátia chybu, zadajte žiadny ako posledná metóda v príkazovom riadku.

Ak nie je pre linku špecificky nastavená autentifikácia, štandardne je prístup odmietnutý a nevykonáva sa žiadna autentifikácia. Použi viac system:running-config príkaz na zobrazenie aktuálne nakonfigurovaných zoznamov metód autentifikácie.

Metódy overovania, ktoré nemožno použiť pre argument názvu zoznamu

Metódy autentifikácie, ktoré nemožno použiť pre argument názvu zoznamu, sú nasledovné:

• auth-hosť

• povoliť

• hosť

• ak je overený

• V prípade potreby

• krb5

• krb-inštancia

• krb-telnet

• riadok

• miestne

• žiadny

• polomer

• rcmd

• tacacs

• tacacsplus

V tabuľke nižšie sa metódy skupinového rádiusu, skupinových tacacs +, skupinového ldap a skupinového názvu skupiny vzťahujú na množinu predtým definovaných serverov RADIUS alebo TACACS+. Na konfiguráciu hostiteľských serverov použite príkazy radius-server host a tacacs-server host. Na vytvorenie pomenovanej skupiny serverov použite príkazy aaa group server radius, aaa group server ldap a aaa group server tacacs+.

Nižšie uvedená tabuľka popisuje kľúčové slová metódy.

Kľúčové slovo	Popis
cache názov skupiny	Na autentifikáciu používa skupinu vyrovnávacích serverov.
povoliť	Na overenie používa aktivačné heslo. Toto kľúčové slovo nie je možné použiť.
skupina názov skupiny	Používa podmnožinu serverov RADIUS alebo TACACS+ na autentifikáciu podľa definície v aaa polomer skupinového servera alebo aaa skupinový server tacacs+ príkaz.
skupina ldap	Na overenie používa zoznam všetkých serverov LDAP (Lightweight Directory Access Protocol).
skupina polomer	Na overenie používa zoznam všetkých serverov RADIUS.
skupina tacacs+	Na overenie používa zoznam všetkých serverov TACACS+.
krb5	Na autentifikáciu používa Kerberos 5.
krb5-telnet	Používa overovací protokol Kerberos 5 Telnet pri používaní Telnetu na pripojenie k smerovaču.
riadok	Na overenie používa heslo linky.
miestne	Používa lokálnu databázu používateľských mien na autentifikáciu.
miestny prípad	Používa autentizáciu lokálneho používateľského mena, pričom sa rozlišujú malé a veľké písmená.
žiadny	Nepoužíva žiadne overenie.
passwd-expiry	Povolí starnutie hesiel na lokálnom autentifikačnom zozname.   The Radius-server vsa autentifikácia odosielania príkaz je potrebný na vytvorenie passwd-expiry práca s kľúčovými slovami.

Ak chcete nastaviť parametre, ktoré obmedzujú prístup používateľa k sieti, použite aaa autorizácia príkaz v režime globálnej konfigurácie. Na odstránenie parametrov použite č forma tohto príkazu.

aaa autorizáciu { auth-proxy | cache | príkazyúrovni | config-príkazy | konfigurácia | konzoly | exec | ipmobile | multicast | siete | politika-ak | predplatené | rádius-proxy | spätný prístup | predplatiteľská služba | šablóna} {predvolená | názov-zoznamu } [metóda1 [metóda 2... ]]

č aaa autorizáciu { auth-proxy | cache | príkazyúrovni | config-príkazy | konfigurácia | konzoly | exec | ipmobile | multicast | siete | politika-ak | predplatené | rádius-proxy | spätný prístup | predplatiteľská služba | šablóna} {predvolená | názov-zoznamu } [metóda1 [metóda 2... ]]

Predvolený príkaz: Autorizácia je zakázaná pre všetky akcie (ekvivalent kľúčového slova metóda žiadny ).

Príkazový režim: Globálna konfigurácia (config)

Pokyny na použitie: Príkaz autorizácie aaa použite na povolenie autorizácie a na vytvorenie zoznamov pomenovaných metód, ktoré definujú metódy autorizácie, ktoré možno použiť, keď užívateľ pristupuje k zadanej funkcii. Zoznamy metód pre autorizáciu definujú spôsoby, akými sa bude autorizácia vykonávať a poradie, v akom sa tieto metódy budú vykonávať. Zoznam metód je pomenovaný zoznam, ktorý popisuje autorizačné metódy (napríklad RADIUS alebo TACACS+), ktoré sa musia postupne použiť. Zoznamy metód vám umožňujú určiť jeden alebo viac bezpečnostných protokolov, ktoré sa majú použiť na autorizáciu, čím sa zabezpečí záložný systém v prípade zlyhania počiatočnej metódy. Softvér Cisco IOS používa prvú uvedenú metódu na autorizáciu používateľov pre špecifické sieťové služby; ak táto metóda nereaguje, softvér Cisco IOS vyberie nasledujúcu metódu uvedenú v zozname metód. Tento proces pokračuje, kým nedôjde k úspešnej komunikácii s uvedenou metódou autorizácie alebo kým sa nevyčerpajú všetky definované metódy.

Softvér Cisco IOS sa pokúsi o autorizáciu nasledujúcou uvedenou metódou len vtedy, ak z predchádzajúcej metódy nepríde žiadna odpoveď. Ak autorizácia zlyhá v ktoromkoľvek bode tohto cyklu – čo znamená, že bezpečnostný server alebo lokálna databáza mien používateľov odpovie odmietnutím služieb používateľa – proces autorizácie sa zastaví a nepokúsite sa o žiadne iné metódy autorizácie.

Ak je autorizačný príkaz aaa pre konkrétny typ autorizácie zadaný bez zadaného zoznamu pomenovaných metód, predvolený zoznam metód sa automaticky použije na všetky rozhrania alebo linky (kde platí tento typ autorizácie) okrem tých, ktoré majú explicitne definovaný zoznam pomenovaných metód. (Definovaný zoznam metód prepíše predvolený zoznam metód.) Ak nie je definovaný žiadny predvolený zoznam metód, neprebehne žiadna autorizácia. Predvolený zoznam metód autorizácie sa musí použiť na vykonanie odchádzajúcej autorizácie, ako je autorizácia sťahovania oblastí IP zo servera RADIUS.

Pomocou príkazu aaa authorisation vytvorte zoznam zadaním hodnôt pre list-name a argumenty metódy, kde list-name je ľubovoľný reťazec znakov použitý na pomenovanie tohto zoznamu (okrem všetkých názvov metód) a metóda identifikuje zoznam metód autorizácie. vyskúšané v danom poradí.

Autorizačný príkaz aaa podporuje 13 samostatných zoznamov metód. Napríklad:

aaa konfigurácia autorizácie methodlist1 okruh skupiny

aaa konfigurácia autorizácie methodlist2 okruh skupiny

...

aaa zoznam metód konfigurácie autorizácie13 okruh skupiny

Metódy group name-name, group ldap, group radius a group tacacs + v tabuľke nižšie odkazujú na množinu predtým definovaných serverov RADIUS alebo TACACS+. Na konfiguráciu hostiteľských serverov použite príkazy radius-server host a tacacs-server host. Na vytvorenie pomenovanej skupiny serverov použite príkazy aaa group server radius , aaa group server ldap a aaa group server tacacs+.

Softvér Cisco IOS podporuje nasledujúce metódy autorizácie:

• Skupiny vyrovnávacích serverov – smerovač konzultuje svoje skupiny vyrovnávacích serverov, aby autorizoval špecifické práva pre používateľov.

• If-Authenticated -- Používateľ má povolený prístup k požadovanej funkcii za predpokladu, že používateľ bol úspešne overený.

• Local --Smerovač alebo prístupový server konzultuje svoju lokálnu databázu, ako je definovaná príkazom username, aby autorizoval špecifické práva pre používateľov. Prostredníctvom lokálnej databázy je možné ovládať iba obmedzený súbor funkcií.

• Žiadne -- Server pre prístup k sieti nepožaduje autorizačné informácie; autorizácia sa cez túto linku alebo rozhranie nevykonáva.

• RADIUS --Sieťový prístupový server požaduje autorizačné informácie od skupiny bezpečnostných serverov RADIUS. Autorizácia RADIUS definuje špecifické práva pre užívateľov priradením atribútov, ktoré sú uložené v databáze na serveri RADIUS, s príslušným užívateľom.

• TACACS+ --Sieťový prístupový server si vymieňa autorizačné informácie s bezpečnostným démonom TACACS+. Autorizácia TACACS+ definuje špecifické práva pre užívateľov priradením párov atribút-hodnota (AV), ktoré sú uložené v databáze na bezpečnostnom serveri TACACS+, s príslušným užívateľom.

Ak chcete povoliť pripojenia medzi špecifickými typmi koncových bodov v sieti VoIP, použite povoliť spojenia v režime konfigurácie hlasovej služby. Ak chcete odmietnuť konkrétne typy pripojení, použite č forma tohto príkazu.

povoliť spojenia od-typu do písať

č povoliť spojenia od-typu do písať

Predvolený príkaz: Pripojenie SIP-to-SIP je predvolene vypnuté.

Príkazový režim: Konfigurácia hlasovej služby (config-voi-serv)

Pokyny na použitie: Tento príkaz sa používa na umožnenie pripojení medzi špecifickými typmi koncových bodov v Cisco multiservice IP-to-IP bráne. Príkaz je predvolene povolený a nemožno ho zmeniť.

Ak chcete povoliť vloženie znaku „#“ na ľubovoľné miesto v hlasovom registri dn, použite tlačidlo allow-hash-in-dn príkaz v globálnom režime hlasového registra. Ak to chcete zakázať, použite č forma tohto príkazu.

allow-hash-in-dn

no allow-hash-in-dn

Predvolený príkaz: Príkaz je predvolene vypnutý.

Príkazový režim: globálna konfigurácia hlasového registra (config-register-global)

Pokyny na použitie: Pred zavedením tohto príkazu boli podporované znaky v hlasovom registri dn 0-9, + a *. Nový príkaz je povolený vždy, keď užívateľ požaduje vloženie # do hlasového registra dn. Príkaz je predvolene vypnutý. Tento príkaz môžete nakonfigurovať iba v režimoch Cisco Unified SRST a Cisco Unified E-SRST. Znak # je možné vložiť na ľubovoľné miesto v hlasovom registri dn. Keď je tento príkaz povolený, používatelia sú povinní zmeniť predvolený ukončovací znak (#) na iný platný znak pomocou dial-peer terminátor príkaz v konfiguračnom režime.

Ak chcete vstúpiť do režimu konfigurácie redundantnej aplikácie, použite redundancia aplikácie príkaz v režime konfigurácie redundancie.

aplikácie nadbytok

Tento príkaz nemá žiadne argumenty ani kľúčové slová.

Predvolený príkaz: žiadne

Príkazový režim: Konfigurácia redundancie (config-red)

Pokyny na použitie: Použi toto redundancia aplikácie príkaz na konfiguráciu redundancie aplikácie pre vysokú dostupnosť.

Ak chcete nastaviť predvolenú bránu pre aplikáciu, použite app-default-gateway príkaz v režime konfigurácie hostenia aplikácie. Ak chcete odstrániť predvolenú bránu, použite č forma tohto príkazu.

app-default-gateway [IP adresa hosťovské rozhranie číslo-sieťového-rozhrania]

č app-default-gateway [IP adresa hosťovské rozhranie číslo-sieťového-rozhrania]

Predvolený príkaz: Predvolená brána nie je nakonfigurovaná.

Príkazový režim: Konfigurácia hostenia aplikácie (config-app-hosting)

Pokyny na použitie: Použi app-default-gateway príkaz na nastavenie predvolenej brány pre aplikáciu. Konektory brány sú aplikácie nainštalované v kontajneri Cisco IOS XE GuestShell.

Ak chcete nakonfigurovať aplikáciu a vstúpiť do konfiguračného režimu hosťovania aplikácie, použite app-hosting app príkaz v režime globálnej konfigurácie. Ak chcete aplikáciu odstrániť, použite č forma tohto príkazu.

app-hosting app názov-aplikácie

Predvolený príkaz: Nie je nakonfigurovaná žiadna aplikácia.

Príkazový režim: Globálna konfigurácia (config)

Pokyny na použitie:Argument názvu aplikácie môže mať až 32 alfanumerických znakov.

Po nakonfigurovaní tohto príkazu môžete aktualizovať konfiguráciu hosťovania aplikácie.

Ak chcete prepísať profil prostriedku poskytovaný aplikáciou, použite profil zdrojov aplikácie príkaz v režime konfigurácie hostenia aplikácie. Ak sa chcete vrátiť k profilu prostriedkov špecifikovanému aplikáciou, použite č forma tohto príkazu.

profil zdrojov aplikácie názov-profilu

č profil zdrojov aplikácie názov-profilu

Predvolený príkaz: Profil prostriedkov je nakonfigurovaný.

Príkazový režim: Konfigurácia hostenia aplikácie (config-app-hosting)

Pokyny na použitie: Vyhradené prostriedky špecifikované v balíku aplikácie možno zmeniť nastavením vlastného profilu prostriedkov. Zmeniť možno iba prostriedky CPU, pamäte a virtuálneho CPU (vCPU). Aby sa zmeny prostriedkov prejavili, zastavte a deaktivujte aplikáciu, potom ju aktivujte a znova spustite.

Podporovaný je iba vlastný profil.

Príkaz nakonfiguruje vlastný profil prostriedku aplikácie a vstúpi do konfiguračného režimu vlastného profilu prostriedku aplikácie.

Ak chcete nakonfigurovať bránu virtuálneho sieťového rozhrania pre aplikáciu, použite brána app-vnic príkaz v režime konfigurácie hostenia aplikácie. Ak chcete konfiguráciu odstrániť, použite č forma tohto príkazu.

Tento príkaz je podporovaný iba na smerovacích platformách. Nie je podporovaná na prepínaní platforiem.

brána app-vnic skupina virtuálnych portov číslo hosťovské rozhranie číslo-sieťového-rozhrania

č brána app-vnic skupina virtuálnych portov číslo hosťovské rozhranie číslo-sieťového-rozhrania

Predvolený príkaz: Brána virtuálnej siete nie je nakonfigurovaná.

Príkazový režim: Konfigurácia hostenia aplikácie (config-app-hosting)

Pokyny na použitie: Po nakonfigurovaní brány virtuálneho sieťového rozhrania pre aplikáciu sa príkazový režim zmení na režim konfigurácie brány hosťovania aplikácie. V tomto režime môžete nakonfigurovať IP adresu hosťovského rozhrania.

Ak chcete povoliť podporu pre hlavičku potvrdeného ID v prichádzajúcich požiadavkách alebo správach SIP (Session Initiation Protocol) a odoslať informácie o súkromí potvrdeného ID v odchádzajúcich žiadostiach alebo správach SIP, použite tvrdené-id príkaz v režime konfigurácie hlasovej služby VoIP-SIP alebo v režime konfigurácie nájomníka hlasovej triedy. Ak chcete zakázať podporu pre hlavičku tvrdeného ID, použite príkaz č forma tohto príkazu.

tvrdené-id { pai | ppi } systém

č tvrdené-id { pai | ppi } systém

Predvolený príkaz: Informácie o súkromí sa odosielajú pomocou hlavičky Remote-Party-ID (RPID) alebo hlavičky FROM.

Príkazový režim: Konfigurácia hlasovej služby VoIP-SIP (conf-serv-sip) a konfigurácia nájomníka triedy hlasu (trieda config)

Pokyny na použitie: Ak si vyberiete pai kľúčové slovo alebo ppi brána zabuduje hlavičku PAI alebo hlavičku PPI do spoločného zásobníka SIP. The pai kľúčové slovo alebo ppi Kľúčové slovo má prioritu pred hlavičkou Remote-Party-ID (RPID) a odstraňuje hlavičku RPID z odchádzajúcej správy, aj keď je smerovač nakonfigurovaný na používanie hlavičky RPID na globálnej úrovni.

Ak chcete nakonfigurovať podporu asymetrického užitočného zaťaženia protokolu SIP (Session Initiation Protocol), použite asymetrické užitočné zaťaženie príkaz v režime konfigurácie SIP alebo v režime konfigurácie nájomníka hlasovej triedy. Ak chcete zakázať podporu asymetrického užitočného zaťaženia, použite č forma tohto príkazu.

asymetrické užitočné zaťaženie { dtmf | dynamické kodeky | plný | systém }

č asymetrickéužitočné zaťaženie { dtmf | dynamické kodeky | plný | systém }

Predvolený príkaz: Tento príkaz je zakázaný.

Príkazový režim: Konfigurácia SIP hlasovej služby (conf-serv-sip), konfigurácia nájomníka triedy hlasu (trieda config)

Pokyny na použitie: Vstúpte do konfiguračného režimu SIP z konfiguračného režimu hlasovej služby, ako je znázornené v príklade.

Pre Cisco UBE je podporovaný asymetrický typ užitočného zaťaženia SIP pre audio/video kodeky, DTMF a NSE. teda dtmf a dynamické kodeky kľúčové slová sú interne mapované na plný kľúčové slovo na poskytovanie podpory asymetrického typu užitočného zaťaženia pre audio/video kodeky, DTMF a NSE.

Ak chcete povoliť autentifikáciu SIP digest na individuálnom telefonickom partnerovi, použite Overenie príkaz v režime hlasovej konfigurácie vytáčania. Ak chcete zakázať autentifikáciu SIP digest, použite č forma tohto príkazu.

Overenie užívateľské meno užívateľské meno heslo { 0 | 6 | 7 } heslo [ríša ríša | výzva | všetky ]

č Overenie užívateľské meno užívateľské meno heslo { 0 | 6 | 7 } heslo [ríša ríša | výzva | všetky ]

Predvolený príkaz: Autentifikácia SIP digest je zakázaná.

Príkazový režim: Konfigurácia hlasu vytáčaného partnera (config-dial-peer)

Pokyny na použitie: Pri povolení autentifikácie súhrnu platia nasledujúce pravidlá konfigurácie:

• Pre jedného telefonického partnera možno nakonfigurovať iba jedno používateľské meno. Pred konfiguráciou iného používateľského mena je potrebné odstrániť akúkoľvek existujúcu konfiguráciu používateľského mena.

• Maximálne päť heslo alebo ríša argumenty je možné nakonfigurovať pre ľubovoľné používateľské meno.

The užívateľské meno a heslo argumenty sa používajú na autentifikáciu používateľa. Autentizačný server/proxy vydávajúci odpoveď na výzvu 407/401 zahŕňa sféru v odpovedi na výzvu a používateľ poskytuje poverenia, ktoré sú platné pre túto sféru. Pretože sa predpokladá, že maximálne päť proxy serverov v signalizačnej ceste sa môže pokúsiť overiť danú požiadavku od klienta user-agent (UAC) na server user-agent (UAS), používateľ môže nakonfigurovať až päť hesiel a kombinácie realmov pre nakonfigurované užívateľské meno.

Používateľ poskytne heslo vo forme obyčajného textu, ale je zašifrované a uložené pre odpoveď na výzvu 401. Ak heslo nie je uložené v zašifrovanej podobe, odošle sa nevyžiadané heslo a overenie zlyhá.

• Špecifikácia sféry je voliteľná. Ak sa vynechá, heslo nakonfigurované pre toto používateľské meno sa použije pre všetky sféry, ktoré sa pokúšajú o autentifikáciu.

• Pre všetky nakonfigurované sféry je možné naraz nakonfigurovať iba jedno heslo. Ak je nakonfigurované nové heslo, prepíše akékoľvek predtým nakonfigurované heslo.

To znamená, že je možné nakonfigurovať iba jedno globálne heslo (jedno bez špecifikovanej sféry). Ak nakonfigurujete nové heslo bez konfigurácie zodpovedajúcej sféry, nové heslo prepíše predchádzajúce.

• Ak je sféra nakonfigurovaná pre predtým nakonfigurované meno užívateľa a heslo, táto špecifikácia sféry sa pridá k existujúcej konfigurácii užívateľského mena a hesla. Keď sa však do konfigurácie používateľského mena a hesla pridá sféra, táto kombinácia používateľského mena a hesla je platná len pre túto sféru. Nakonfigurovanú sféru nemožno odstrániť z konfigurácie používateľského mena a hesla bez toho, aby ste najprv odstránili celú konfiguráciu pre dané používateľské meno a heslo – potom môžete túto kombináciu používateľského mena a hesla prekonfigurovať s inou oblasťou alebo bez nej.

• V zázname s heslom aj sférou môžete zmeniť buď heslo, alebo sféru.

• Použi žiadna autentifikácia všetko príkaz na odstránenie všetkých položiek autentifikácie pre užívateľa.

Pre heslo je povinné zadať typ šifrovania. Ak je heslo vo forme čistého textu (typ 0 ) je nakonfigurovaný, je šifrovaný ako typ 6 pred uložením do spustenej konfigurácie.

Ak zadáte typ šifrovania ako 6 alebo 7 , zadané heslo sa porovná s platným typom 6 alebo 7 heslo vo formáte a uložené ako typ 6 alebo 7 resp.

Heslá typu 6 sú šifrované pomocou šifry AES a používateľom definovaného primárneho kľúča. Tieto heslá sú porovnateľne bezpečnejšie. Primárny kľúč sa v konfigurácii nikdy nezobrazuje. Bez znalosti primárneho kľúča napíšte 6 heslá sú nepoužiteľné. Ak sa primárny kľúč zmení, heslo, ktoré je uložené ako typ 6, sa znova zašifruje novým primárnym kľúčom. Ak je konfigurácia primárneho kľúča odstránená, typ 6 heslá nemožno dešifrovať, čo môže viesť k zlyhaniu autentifikácie hovorov a registrácií.

Pri zálohovaní konfigurácie alebo migrácii konfigurácie na iné zariadenie sa primárny kľúč nevypíše. Primárny kľúč je preto potrebné nakonfigurovať znova manuálne.

Ak chcete nakonfigurovať šifrovaný vopred zdieľaný kľúč, pozrite si časť Konfigurácia šifrovaného predzdieľaného kľúča.

Pri type šifrovania sa zobrazí nasledujúce varovné hlásenie 7 je nakonfigurovaný. POZOR: Príkaz bol pridaný do konfigurácie pomocou hesla typu 7. Heslá typu 7 však budú čoskoro zastarané. Migrujte na podporovaný typ hesla 6.

Ak chcete naviazať zdrojovú adresu pre signalizačné a mediálne pakety na adresu IPv4 alebo IPv6 konkrétneho rozhrania, použite viazať príkaz v režime konfigurácie SIP. Ak chcete zakázať väzbu, použite č forma tohto príkazu.

viazať { ovládanie | médiá | všetky } zdrojové rozhranie ID rozhrania { ipv4-adresa ipv4-adresa | ipv6-adresa ipv6-adresa }

č viazať { ovládanie | médiá | všetky } zdrojové rozhranie ID rozhrania { ipv4-adresa ipv4-adresa | ipv6-adresa ipv6-adresa }

Predvolený príkaz: Väzba je vypnutá.

Príkazový režim: Konfigurácia SIP (conf-serv-sip) a nájomca triedy Voice.

Pokyny na použitie: Async, Ethernet, FastEthernet, Loopback a Serial (vrátane Frame Relay) sú rozhrania v rámci aplikácie SIP.

Ak viazať nie je povolený, vrstva IPv4 stále poskytuje najlepšiu lokálnu adresu.

Ak chcete povoliť základné konfigurácie pre Call-Home, použite hlásenie volania domov príkaz v režime globálnej konfigurácie.

hlásenie volania domov { anonymný | kontakt-e-mail-addr } [ http-proxy { ipv4-adresa | ipv6-adresa | názov } prístav číslo portu ]

Predvolený príkaz: Žiadne predvolené správanie alebo hodnoty

Príkazový režim: Globálna konfigurácia (config)

Pokyny na použitie: Po úspešnom povolení Call-Home buď v anonymnom režime alebo v režime úplnej registrácie pomocou hlásenie volania domov príkazom sa odošle správa o inventári. Ak je funkcia Call-Home povolená v režime plnej registrácie, odošle sa správa o úplnom inventári pre režim plnej registrácie. Ak je funkcia Call-Home zapnutá v anonymnom režime, odošle sa správa o anonymnom inventári. Ďalšie informácie o podrobnostiach správy nájdete v časti Udalosti a príkazy spustenia skupiny výstrah.

Ak chcete povoliť podporu Cisco Unified SRST a prejsť do režimu núdzovej konfigurácie správcu hovorov, použite call-manager-fallback príkaz v režime globálnej konfigurácie. Ak chcete zakázať podporu Cisco Unified SRST, použite č forma tohto príkazu.

call-manager-fallback

č call-manager-fallback

Tento príkaz nemá žiadne argumenty ani kľúčové slová.

Predvolený príkaz: Žiadne predvolené správanie alebo hodnoty.

Príkazový režim: Globálna konfigurácia

Ak chcete povoliť server, klient alebo obojsmernú validáciu identity partnerského certifikátu počas TLS handshake, použite príkaz cn-san overiť v režime konfigurácie profilu tls hlasovej triedy. Ak chcete zakázať overenie identity certifikátu, použite č forma tohto príkazu.

cn-san potvrdiť { server | zákazník | obojsmerný }

č cn-san potvrdiť { server | zákazník | obojsmerný }

Predvolený príkaz: Overenie identity je zakázané.

Príkazový režim: Konfigurácia hlasovej triedy (trieda config)

Pokyny na použitie: Overenie identity servera je spojené so zabezpečeným signalizačným pripojením cez globálne krypto signalizácia a hlasová trieda tls-profil konfigurácie.

Príkaz je vylepšený o zákazník a obojsmerný Kľúčové slová. Voľba klienta umožňuje serveru overiť identitu klienta kontrolou názvov hostiteľov CN a SAN zahrnutých v poskytnutom certifikáte v porovnaní s dôveryhodným zoznamom cn-san FQDN. Spojenie sa vytvorí iba vtedy, ak sa nájde zhoda. Tento zoznam cn-san FQDN sa teraz používa aj na overenie certifikátu servera okrem názvu hostiteľa relácie. The obojsmerný voľba overuje identitu partnera pre pripojenia klienta aj servera kombináciou oboch server a zákazník režimov. Keď nakonfigurujete cn-san overiť , identita partnerského certifikátu je overená pre každé nové pripojenie TLS.

Ak chcete nakonfigurovať zoznam názvov plne kvalifikovaných domén (FQDN) na overenie oproti partnerskému certifikátu pre prichádzajúce alebo odchádzajúce pripojenia TLS, použite cn-san príkaz v režime konfigurácie profilu tls triedy hlasu. Ak chcete odstrániť položku overenia certifikátu cn-san, použite príkaz č forma tohto príkazu.

cn-san {1-10} fqdn

č cn-san {1-10} fqdn

Predvolený príkaz: Nie sú nakonfigurované žiadne názvy cn-san.

Príkazový režim: Režim konfigurácie profilu tls triedy Voice (trieda config)

Pokyny na použitie: FQDN používané na overenie partnerského certifikátu sú priradené k profilu TLS s až desiatimi cn-san záznamy. Aspoň jedna z týchto položiek sa musí zhodovať s FQDN v niektorom z polí Common Name (CN) certifikátu alebo Subject-Alternate-Name (SAN) pred vytvorením pripojenia TLS. Ak chcete priradiť ľubovoľného hostiteľa domény použitého v poli CN alebo SAN, a cn-san položka môže byť nakonfigurovaná so zástupným znakom domény, striktne v tvare *.názov-domény (napr. *.cisco.com). Žiadne iné použitie zástupných znakov nie je povolené.

Pre prichádzajúce pripojenia sa zoznam používa na overenie polí CN a SAN v klientskom certifikáte. Pre odchádzajúce pripojenia sa zoznam používa spolu s cieľovým názvom hostiteľa relácie na overenie polí CN a SAN v certifikáte servera.

Certifikáty servera možno overiť aj priradením cieľového FQDN relácie SIP k poľu CN alebo SAN.

Ak chcete zadať zoznam preferovaných kodekov, ktoré sa majú použiť na vytáčanom zariadení, použite tlačidlo kodek preferencie príkaz v režime konfigurácie hlasovej triedy. Ak chcete túto funkciu vypnúť, použite č forma tohto príkazu.

kodek preferencie hodnotu typu kodeku

č kodek preferencie hodnotu typu kodeku

Predvolený príkaz: Ak tento príkaz nezadáte, nie sú preferované žiadne špecifické typy kodekov.

Príkazový režim: konfigurácia hlasovej triedy (trieda config)

Pokyny na použitie: Smerovače na opačných koncoch siete WAN si možno budú musieť dohodnúť výber kodeku pre účastníkov siete. The kodek preferencie príkaz určuje poradie preferencie pre výber dohodnutého kodeku pre pripojenie. Nižšie uvedená tabuľka popisuje možnosti prenosu hlasu a predvolené hodnoty pre kodeky a paketové hlasové protokoly.

Ak chcete použiť globálny port poslucháča na odosielanie požiadaviek cez UDP, použite pripojenie-opätovné použitie príkaz v režime sip-ua alebo v režime konfigurácie nájomníka hlasovej triedy. Ak chcete vypnúť, použite č forma tohto príkazu.

pripojenie-opätovné použitie { via-port | systém }

č pripojenie-opätovné použitie { via-port | systém }

Predvolený príkaz: Local Gateway používa efemérny UDP port na odosielanie požiadaviek cez UDP.

Príkazové režimy: Konfigurácia SIP UA (config-sip-ua), konfigurácia nájomníka hlasovej triedy (config-class)

Pokyny na použitie: Vykonaním tohto príkazu povolíte port na odosielanie požiadaviek cez UDP. Predvolený port poslucháča pre bežný nezabezpečený SIP je 5060 a zabezpečený SIP je 5061. Konfigurovať listen-port [nezabezpečený | zabezpečiť] prístav príkaz v hlasovej službe voip > sip konfiguračný režim na zmenu globálneho portu UDP.

Ak chcete zmeniť kvótu CPU alebo jednotku pridelenú pre aplikáciu, použite CPU príkaz v režime konfigurácie vlastného profilu prostriedkov aplikácie. Ak sa chcete vrátiť ku kvóte CPU poskytnutej aplikáciou, použite č forma tohto príkazu.

CPU jednotka

č CPU jednotka

Predvolený príkaz: Predvolený CPU závisí od platformy.

Príkazový režim: Konfigurácia vlastného profilu prostriedku aplikácie (config-app-resource-profile-custom)

Pokyny na použitie: Jednotka CPU je minimálna alokácia CPU aplikáciou. Celkový počet jednotiek CPU je založený na normalizovaných jednotkách CPU nameraných pre cieľové zariadenie.

V rámci každého balíka aplikácií je poskytnutý profil prostriedkov špecifický pre aplikáciu, ktorý definuje odporúčané zaťaženie CPU, veľkosť pamäte a počet virtuálnych CPU (vCPU) požadovaných pre aplikáciu. Tento príkaz použite na zmenu pridelenia prostriedkov pre špecifické procesy vo vlastnom profile prostriedkov.

Vyhradené prostriedky špecifikované v balíku aplikácie možno zmeniť nastavením vlastného profilu prostriedkov. Zmeniť možno iba prostriedky CPU, pamäte a vCPU. Aby sa zmeny prostriedkov prejavili, zastavte a deaktivujte aplikáciu, potom ju aktivujte a znova spustite.

Hodnoty prostriedkov sú špecifické pre aplikáciu a každá úprava týchto hodnôt musí zabezpečiť, aby aplikácia fungovala spoľahlivo so zmenami.

Ak chcete nakonfigurovať bránu Cisco IOS Session Initiation Protocol (SIP) time-division multiplexing (TDM), Cisco Unified Border Element (Cisco UBE) alebo Cisco Unified Communications Manager Express (Cisco Unified CME) na odoslanie registračnej správy SIP v UP stav, použite poverenia príkaz v režime konfigurácie SIP UA alebo v režime konfigurácie nájomníka hlasovej triedy. Ak chcete zakázať poverenia SIP digest, použite č forma tohto príkazu.

poverenia { dhcp | číslo číslo užívateľské meno užívateľské meno } heslo { 0 | 6 | 7 } heslo ríša ríša

č poverenia { dhcp | číslo číslo užívateľské meno užívateľské meno } heslo { 0 | 6 | 7 } heslo ríša ríša

Predvolený príkaz: Poverenia súhrnu SIP sú zakázané.

Príkazový režim: Konfigurácia SIP UA (config-sip-ua) a konfigurácia nájomníka triedy Voice (config-class).

Pokyny na použitie: Nasledujúce pravidlá konfigurácie platia, keď sú povolené poverenia:

• Pre všetky názvy domén je platné iba jedno heslo. Nové nakonfigurované heslo prepíše akékoľvek predtým nakonfigurované heslo.

• Heslo sa vždy zobrazí v zašifrovanom formáte poverenia príkaz je nakonfigurovaný a šou running-config používa sa príkaz.

The dhcp kľúčové slovo v príkaze znamená, že primárne číslo sa získava cez DHCP a brána Cisco IOS SIP TDM, Cisco UBE alebo Cisco Unified CME, na ktorej je príkaz povolený, používa toto číslo na registráciu alebo zrušenie registrácie prijatého primárneho čísla.

Pre heslo je povinné zadať typ šifrovania. Ak je heslo vo forme čistého textu (typ 0 ) je nakonfigurovaný, je šifrovaný ako typ 6 pred uložením do spustenej konfigurácie.

Ak zadáte typ šifrovania ako 6 alebo 7 , zadané heslo sa porovná s platným typom 6 alebo 7 heslo vo formáte a uložené ako typ 6 alebo 7 resp.

Heslá typu 6 sú šifrované pomocou šifry AES a používateľom definovaného primárneho kľúča. Tieto heslá sú porovnateľne bezpečnejšie. Primárny kľúč sa v konfigurácii nikdy nezobrazuje. Bez znalosti primárneho kľúča napíšte 6 heslá sú nepoužiteľné. Ak sa primárny kľúč zmení, heslo, ktoré je uložené ako typ 6, sa znova zašifruje novým primárnym kľúčom. Ak je konfigurácia primárneho kľúča odstránená, typ 6 heslá nemožno dešifrovať, čo môže viesť k zlyhaniu autentifikácie hovorov a registrácií.

Pri zálohovaní konfigurácie alebo migrácii konfigurácie na iné zariadenie sa primárny kľúč nevypíše. Primárny kľúč je preto potrebné nakonfigurovať znova manuálne.

Ak chcete nakonfigurovať šifrovaný vopred zdieľaný kľúč, pozrite si časť Konfigurácia šifrovaného predzdieľaného kľúča.

POZOR: Príkaz bol pridaný do konfigurácie pomocou hesla typu 7. Heslá typu 7 však budú čoskoro zastarané. Migrujte na podporovaný typ hesla 6.

V YANG nemôžete nakonfigurovať rovnaké používateľské meno v dvoch rôznych sférach.

Ak chcete zadať preferenciu pre šifrovací balík SRTP, ktorý bude ponúkať Cisco Unified Border Element (CUBE) v SDP v ponuke a odpovedi, použite kryptomeny príkaz v režime konfigurácie hlasovej triedy. Ak chcete túto funkciu vypnúť, použite č forma tohto príkazu.

kryptomeny preferencie šifrovací balík

č kryptomeny preferencie šifrovací balík

Predvolený príkaz: Ak tento príkaz nie je nakonfigurovaný, štandardným správaním je ponúkanie srtp-cipher suite v nasledujúcom poradí preferencií:

• AEAD_AES_256_GCM

• AEAD_AES_128_GCM

• AES_CM_128_HMAC_SHA1_80

• AES_CM_128_HMAC_SHA1_32

Príkazový režim: hlasová trieda srtp-crypto (trieda config)

Pokyny na použitie: Ak zmeníte preferenciu už nakonfigurovanej šifrovacej sady, preferencia sa prepíše.

Na vygenerovanie párov kľúčov Rivest, Shamir a Adelman (RSA) použite krypto kľúč generovať rsa príkaz v režime globálnej konfigurácie.

krypto kľúč generovať rsa [ { všeobecné kľúče | užívateľské kľúče | podpis | šifrovanie } ] [ štítok kľúč-štítok ] [ exportovateľné ] [ modul modul-veľkosť ] [ skladovanie Názov zariadenia : ] [ nadbytok na Názov zariadenia : ]

Predvolený príkaz: Páry kľúčov RSA neexistujú.

Príkazový režim: Globálna konfigurácia (config)

Pokyny na použitie: Použi krypto kľúč generovať rsa príkaz na vygenerovanie párov kľúčov RSA pre vaše zariadenie Cisco (napríklad smerovač).

RSA kľúče sa generujú v pároch – jeden verejný RSA kľúč a jeden súkromný RSA kľúč.

Ak váš smerovač už má kľúče RSA, keď zadáte tento príkaz, zobrazí sa upozornenie a výzva na nahradenie existujúcich kľúčov novými kľúčmi.

The krypto kľúč generovať rsa príkaz nie je uložený v konfigurácii smerovača; kľúče RSA vygenerované týmto príkazom sa však pri ďalšom zápise konfigurácie do NVRAM uložia do súkromnej konfigurácie v NVRAM (ktorá sa používateľovi nikdy nezobrazí ani sa nezálohuje do iného zariadenia).

• Kľúče na špeciálne použitie: Ak vygenerujete kľúče na špeciálne použitie, vygenerujú sa dva páry kľúčov RSA. Jeden pár sa použije s akoukoľvek politikou Internet Key Exchange (IKE), ktorá špecifikuje podpisy RSA ako metódu autentifikácie, a druhý pár sa použije s akoukoľvek politikou IKE, ktorá špecifikuje šifrované kľúče RSA ako metódu autentifikácie.

  CA sa používa iba s politikami IKE špecifikujúcimi podpisy RSA, nie s politikami IKE špecifikujúcimi nonces zašifrované RSA. (Môžete však zadať viac ako jednu politiku IKE a mať podpisy RSA špecifikované v jednej politike a nonces šifrované RSA v inej politike.)

  Ak plánujete mať vo svojich politikách IKE oba typy metód autentifikácie RSA, môžete uprednostniť vygenerovanie kľúčov na špeciálne použitie. Pri kľúčoch na špeciálne použitie nie je každý kľúč zbytočne odkrytý. (Bez kľúčov na špeciálne použitie sa jeden kľúč používa pre obe metódy autentifikácie, čím sa zvyšuje expozícia tohto kľúča).

• Univerzálne kľúče: Ak vygenerujete univerzálne kľúče, vygeneruje sa iba jeden pár kľúčov RSA. Tento pár sa použije s politikami IKE špecifikujúcimi podpisy RSA alebo šifrované kľúče RSA. Preto sa môže univerzálny pár kľúčov používať častejšie ako pár kľúčov na špeciálne použitie.

• Pomenované páry kľúčov: Ak vygenerujete pomenovaný pár kľúčov pomocou argumentu menovka kľúča, musíte zadať aj užívateľské kľúče kľúčové slovo alebo všeobecné kľúče kľúčové slovo. Pomenované páry kľúčov vám umožňujú mať viacero párov kľúčov RSA, čo umožňuje softvéru Cisco IOS udržiavať odlišný pár kľúčov pre každý certifikát identity.

• Dĺžka modulu: Keď vygenerujete kľúče RSA, budete vyzvaní na zadanie dĺžky modulu. Čím dlhší je modul, tým silnejšia je bezpečnosť. Generovanie dlhších modulov však trvá dlhšie (v tabuľke nižšie sú uvedené vzorové časy) a dlhšie sa používajú.

  Tabuľka 2 Vzorkovacie časy podľa dĺžky modulu na generovanie kľúčov RSA

  Router	360 bitov	512 bitov	1024 bitov	2048 bitov (maximum)
  Cisco 2500	11 sekúnd	20 sekúnd	4 minúty, 38 sekúnd	Viac ako 1 hodinu
  Cisco 4700	Menej ako 1 sekundu	1 sekunda	4 sekundy	50 sekúnd

  Softvér Cisco IOS nepodporuje modul väčší ako 4096 bitov. Dĺžka menšia ako 512 bitov sa zvyčajne neodporúča. V určitých situáciách nemusí kratší modul správne fungovať s IKE, preto odporúčame použiť minimálny modul 2048 bitov.

  Keď sú kľúče RSA generované kryptografickým hardvérom, môžu platiť ďalšie obmedzenia. Napríklad, keď sú kľúče RSA generované adaptérom Cisco VPN Services Port Adapter (VSPA), modul kľúča RSA musí byť minimálne 384 bitov a musí byť násobkom 64.

• Určenie umiestnenia úložiska pre kľúče RSA: Keď vydáte krypto kľúč generovať rsa príkaz s skladovanie Názov zariadenia : kľúčové slovo a argument, kľúče RSA budú uložené na zadanom zariadení. Toto umiestnenie nahradí akékoľvek úložisko kryptografických kľúčov nastavenia príkazov.

• Určenie zariadenia na generovanie kľúčov RSA: Môžete zadať zariadenie, na ktorom sa generujú kľúče RSA. Medzi podporované zariadenia patria NVRAM, lokálne disky a tokeny USB. Ak má váš smerovač nakonfigurovaný a dostupný token USB, možno ho okrem úložného zariadenia použiť aj ako kryptografické zariadenie. Použitie tokenu USB ako kryptografického zariadenia umožňuje vykonávanie operácií RSA, ako je generovanie kľúčov, podpisovanie a overovanie poverení na tokene. Súkromný kľúč nikdy neopustí token USB a nie je možné ho exportovať. Verejný kľúč je možné exportovať.

  RSA kľúče môžu byť generované na nakonfigurovanom a dostupnom USB tokene pomocou na Názov zariadenia : kľúčové slovo a argument. Kľúče, ktoré sa nachádzajú na tokene USB, sa po vygenerovaní uložia do trvalého úložiska tokenov. Počet kľúčov, ktoré je možné vygenerovať na tokene USB, je obmedzený dostupným priestorom. Ak sa pokúsite vygenerovať kľúče na tokene USB a ten je plný, zobrazí sa nasledujúca správa:

  % Error in generating keys:no available resources 

  Odstránenie kľúča okamžite odstráni kľúče uložené na tokene z trvalého úložiska. (Kľúče, ktoré sa nenachádzajú v tokene, sa uložia do úložných miest bez tokenov alebo sa z nich odstránia, keď kopírovať alebo je vydaný podobný príkaz).

• Určenie generovania redundancie kľúča RSA na zariadení: Redundanciu pre existujúce kľúče môžete určiť iba vtedy, ak sú exportovateľné.

Na autentifikáciu certifikačnej autority (CA) (získaním certifikátu CA) použite kryptomeny pki overiť príkaz v režime globálnej konfigurácie.

kryptomeny pki overiť názov

Predvolený príkaz: Žiadne predvolené správanie alebo hodnoty.

Príkazový režim: Globálna konfigurácia (config)

Pokyny na použitie: Tento príkaz sa vyžaduje pri počiatočnej konfigurácii podpory CA na smerovači.

Tento príkaz overí CA pre váš smerovač získaním certifikátu CA s vlastným podpisom, ktorý obsahuje verejný kľúč CA. Pretože CA podpisuje svoj vlastný certifikát, mali by ste pri zadávaní tohto príkazu manuálne overiť verejný kľúč CA kontaktovaním administrátora CA.

Ak používate režim Router Advertisements (RA) (pomocou zápis príkaz), keď zadáte príkaz kryptomeny pki overiť potom sa od CA a certifikát CA vrátia podpisové a šifrovacie certifikáty registračnej autority.

Tento príkaz sa neuloží do konfigurácie smerovača. Avšak. verejné kľúče vložené do prijatých certifikátov CA (a RA) sa uložia do konfigurácie ako súčasť záznamu verejného kľúča Rivest, Shamir a Adelman (RSA) (nazývaného „reťazec verejných kľúčov RSA“).

Ak CA neodpovie do časového limitu po vydaní tohto príkazu, ovládanie terminálu sa vráti, takže zostane dostupné. Ak sa tak stane, musíte príkaz zadať znova. Softvér Cisco IOS nerozpozná dátumy vypršania platnosti certifikátu CA nastavené po roku 2049. Ak je doba platnosti certifikátu CA nastavená tak, aby vypršala po roku 2049, pri pokuse o autentifikáciu na serveri CA sa zobrazí nasledujúce chybové hlásenie: chyba pri získavaní certifikátu: neúplný reťazec Ak sa zobrazí chybová správa podobná tejto, skontrolujte dátum vypršania platnosti certifikátu CA. Ak je dátum vypršania platnosti vášho certifikátu CA nastavený po roku 2049, musíte skrátiť dátum vypršania platnosti o rok alebo viac.

Ak chcete importovať certifikát manuálne cez TFTP alebo ako vystrihnúť a vložiť do terminálu, použite kryptomeny pki importovať príkaz v režime globálnej konfigurácie.

kryptomeny pki importovať názov certifikát

Predvolený príkaz: Žiadne predvolené správanie alebo hodnoty

Príkazový režim: Globálna konfigurácia (config)

Pokyny na použitie: Musíte zadať import krypto pki dvakrát, ak sa používajú kľúče na používanie (podpisový a šifrovací kľúč). Pri prvom zadaní príkazu sa jeden z certifikátov vloží do smerovača; pri druhom zadaní príkazu sa druhý certifikát vloží do smerovača. (Nezáleží na tom, ktorý certifikát sa prilepí ako prvý.)

Ak chcete deklarovať bod dôveryhodnosti, ktorý by mal váš smerovač používať, použite príkaz kryptomeny pki trustpoint príkaz v režime globálnej konfigurácie. Ak chcete vymazať všetky informácie o identite a certifikáty priradené k bodu dôvery, použite č forma tohto príkazu.

kryptomeny pki trustpoint názov nadbytok

č kryptomeny pki trustpoint názov nadbytok

Predvolený príkaz: Váš smerovač nerozpozná žiadne body dôvery, kým nedeklarujete bod dôvery pomocou tohto príkazu. Váš smerovač používa počas komunikácie so servermi OCSP (Online Certificate Status Protocol) jedinečné identifikátory, ktoré sú nakonfigurované vo vašej sieti.

Príkazový režim: Globálna konfigurácia (config)

Pokyny na použitie:

Vyhlásenie Trustpointov

Použi kryptomeny pki trustpoint príkaz na vyhlásenie dôveryhodného bodu, ktorým môže byť koreňová certifikačná autorita (CA) s vlastným podpisom alebo podriadená CA. Vydanie kryptomeny pki trustpoint príkaz vás prepne do konfiguračného režimu ca-trustpoint.

Charakteristiky pre bod dôveryhodnosti môžete zadať pomocou nasledujúcich podpríkazov:

• crl — Dotazuje sa na zoznam zrušených certifikátov (CRL), aby sa uistil, že certifikát partnera nebol zrušený.

• predvolená (ca-trustpoint) —Obnoví hodnotu čiastkových príkazov konfiguračného režimu ca-trustpoint na ich predvolené hodnoty.

• zápis —Uvádza parametre zápisu (voliteľné).

• zápis http-proxy — Pristupuje k CA cez HTTP cez proxy server.

• zápis vlastnoručne podpísaný —Špecifikuje registráciu s vlastným podpisom (voliteľné).

• zápas certifikát —Priraďuje zoznam riadenia prístupu založený na certifikáte (ACL) definovaný s kryptomeny cca certifikát mapa príkaz.

• ocsp zakázať-nonce —Špecifikuje, že váš smerovač nebude odosielať jedinečné identifikátory alebo nonces počas komunikácie OCSP.

• primárny —Priradí určený bod dôveryhodnosti ako primárny bod dôveryhodnosti smerovača.

• koreň —Definuje TFTP na získanie certifikátu CA a špecifikuje názov servera aj názov súboru, v ktorom bude uložený certifikát CA.

Určenie použitia jedinečných identifikátorov

Keď používate OCSP ako metódu zrušenia, jedinečné identifikátory alebo nonces sa štandardne odosielajú počas partnerskej komunikácie so serverom OCSP. Použitie jedinečných identifikátorov počas komunikácie so serverom OCSP umožňuje bezpečnejšiu a spoľahlivejšiu komunikáciu. Nie všetky servery OCSP však podporujú používanie jedinečných zubných protéz, ďalšie informácie nájdete v príručke OCSP. Ak chcete zakázať používanie jedinečných identifikátorov počas komunikácie OCSP, použite ocsp zakázať-nonce čiastkový príkaz.

Ak chcete manuálne importovať (stiahnuť) balík certifikátov certifikačnej autority (CA) do fondu dôveryhodnosti infraštruktúry verejných kľúčov (PKI), aby ste aktualizovali alebo nahradili existujúci balík CA, použite import crypto pki trustpool príkaz v režime globálnej konfigurácie. Ak chcete odstrániť ktorýkoľvek z nakonfigurovaných parametrov, použite č forma tohto príkazu.

kryptomeny pki trustpool importovať čisté [ terminál | url url ]

č kryptomeny pki trustpool importovať čisté [ terminál | url url ]

Predvolený príkaz: Funkcia fondu dôveryhodnosti PKI je povolená. Smerovač používa vstavaný balík certifikátov CA v fonde dôveryhodnosti PKI, ktorý sa automaticky aktualizuje od spoločnosti Cisco.

Príkazový režim: Globálna konfigurácia (config)

Bezpečnostné hrozby, ako aj kryptografické technológie, ktoré pomáhajú chrániť sa pred nimi, sa neustále menia. Ďalšie informácie o najnovších kryptografických odporúčaniach spoločnosti Cisco nájdete na stránke Šifrovanie novej generácie (NGE) biely papier.

Certifikáty fondu dôveryhodnosti PKI sa automaticky aktualizujú od spoločnosti Cisco. Keď certifikáty fondu dôveryhodnosti PKI nie sú aktuálne, použite import crypto pki trustpool príkaz na ich aktualizáciu z iného miesta.

The url argument určuje alebo mení systém súborov URL CA. V tabuľke nižšie sú uvedené dostupné systémy súborov URL.

Tabuľka 3. Systémy súborov URL

Systém súborov	Popis
archív:	Importuje z archívneho súborového systému.
cns:	Importuje sa zo súborového systému CNS (Cluster Namespace).
disk0:	Importuje zo súborového systému disc0.
disk1:	Importuje zo súborového systému disc1.
ftp:	Importuje zo súborového systému FTP.
http:	Importuje zo súborového systému HTTP. Adresa URL musí byť v nasledujúcich formátoch: http:// CAnázov:80 , kde CAname je systém názvov domén (DNS) http:// ipv4-adresa :80. Napríklad: http://10.10.10.1:80. http:// [ipv6-address]:80 . Napríklad: http://[2001:DB8:1:1::1]:80. Adresa IPv6 je v hexadecimálnom formáte a musí byť v adrese URL uzavretá v zátvorkách.
https:	Importuje zo systému súborov HTTPS. Adresa URL musí používať rovnaké formáty ako HTTP: formáty súborových systémov.
nulový:	Importuje z nulového systému súborov.
nvram:	Importy zo systému súborov NVRAM.
kočík:	Importy zo súborového systému pamäte s náhodným prístupom (PRAM).
rcp:	Importuje zo súborového systému protokolu vzdialeného kopírovania (rcp).
scp:	Importuje zo súborového systému zabezpečeného kopírovacieho protokolu (scp).
snmp:	Importy z protokolu SNMP (Simple Network Management Protocol).
systém:	Importuje sa zo systémového súborového systému.
decht:	Importuje zo systému súborov tar UNIX.
tftp:	Importuje zo súborového systému TFTP.   Adresa URL musí byť v od: tftp:// CAnázov/špecifikácia súboru .
tmpsys:	Importy zo súborového systému Cisco IOS tmpsys.
unix:	Importy zo súborového systému UNIX.
xmodem:	Importy z jednoduchého systému prenosu súborov xmodem.
ymodem:	Importy z jednoduchého systému prenosu súborov ymodem.

Na identifikáciu trustpoint trustpoint-name kľúčové slovo a argument použitý počas handshake Transport Layer Security (TLS), ktorý zodpovedá adrese vzdialeného zariadenia, použite krypto signalizácia v konfiguračnom režime SIP user agent (UA). Ak chcete obnoviť predvolené nastavenia trustpoint reťazec, použite č forma tohto príkazu.

krypto signalizácia { predvolená | vzdialená-addr IP adresa masku podsiete } [ tls-profil tag | trustpoint trustpoint-name ] [ cn-san-validácia server ] [ klient-vtp trustpoint-name ] [ ecdsa-šifra | Veľkosť krivky 384 | prísna šifra ]

č krypto signalizácia { predvolená | vzdialená-addr IP adresa masku podsiete } [ tls-profil tag | trustpoint trustpoint-name ] [ cn-san-validácia server ] [ klient-vtp trustpoint-name ] [ ecdsa-šifra | Veľkosť krivky 384 | prísna šifra ]

Predvolený príkaz: Príkaz kryptosignalizácie je zakázaný.

Príkazový režim: Konfigurácia SIP UA (sip-ua)

Pokyny na použitie: The trustpoint trustpoint-name kľúčové slovo a argument odkazuje na certifikát CUBE vygenerovaný ako súčasť procesu registrácie pomocou príkazov Cisco IOS PKI.

Keď je nakonfigurovaný jeden certifikát, používajú ho všetky vzdialené zariadenia a konfiguruje ho server predvolená kľúčové slovo.

Keď sa používa viacero certifikátov, môžu byť spojené so vzdialenými službami pomocou vzdialená-addr argument pre každý bod dôvery. The vzdialená-addr a predvolené argumenty môžu byť použité spoločne na pokrytie všetkých služieb podľa potreby.

Predvolená sada šifier je v tomto prípade nasledujúca sada, ktorá je podporovaná vrstvou SSL na CUBE: TLS_RSA_S_RC4_128_MD5 TLS_RSA_S_AES_128_CBC_SHA TLS_DHE_RSA_S_AES_128_CBC_SHA1 TLS_ECDHE_RSA_S_AES_128_GCM_SHA256 TLS_ECDHE_RSA_S_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_S_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_S_AES_256_GCM_SHA384

Kľúčové slovo cn-san-validate server umožňuje overenie identity servera prostredníctvom polí CN a SAN v certifikáte pri vytváraní spojení SIP/TLS na strane klienta. Overenie polí CN a SAN certifikátu servera zaisťuje, že doména na strane servera je platnou entitou. Pri vytváraní zabezpečeného spojenia so serverom SIP, CUBE overuje nakonfigurovaný názov cieľovej domény relácie podľa polí CN/SAN v certifikáte servera pred vytvorením relácie TLS. Keď nakonfigurujete cn-san-validate server , overenie identity servera sa uskutoční pre každé nové pripojenie TLS.

The tls-profil voľba spája konfigurácie politiky TLS uskutočnené prostredníctvom pridružených hlasová trieda tls-profil konfigurácia. Okrem možností politiky TLS dostupných priamo s krypto signalizácia príkaz, a tls-profil zahŕňa aj sni poslať možnosť.

sni poslať povoľuje Server Name Indication (SNI), rozšírenie TLS, ktoré umožňuje klientovi TLS uviesť názov servera, ku ktorému sa pokúša pripojiť počas počiatočného procesu nadviazania spojenia TLS. Klientovi sa odošle iba úplný názov hostiteľa DNS servera. SNI nepodporuje adresy IPv4 a IPv6 v klientskom rozšírení hello. Po prijatí „ahoj“ s názvom servera od klienta TLS server použije príslušný certifikát v nasledujúcom procese nadviazania spojenia TLS. SNI vyžaduje TLS verzie 1.2.

Funkcie politiky TLS budú dostupné iba prostredníctvom a hlasová trieda tls-profil konfigurácia. The krypto signalizácia príkaz naďalej podporuje predtým existujúce možnosti šifrovania TLS. Môžete použiť buď hlasová trieda tls-profil tag alebo krypto signalizácia príkaz na konfiguráciu bodu dôvery. Odporúčame vám použiť hlasová trieda tls-profil tag príkaz na vykonanie konfigurácií profilu TLS.