Referenčni ukaz za Webex Managed Gateway

Če želite omogočiti model nadzora dostopa za preverjanje pristnosti, avtorizacijo in obračunavanje (AAA), uporabite aaa nov model ukaz v načinu globalne konfiguracije. Če želite onemogočiti model nadzora dostopa AAA, uporabite št obliko tega ukaza.

aaa nov model

št aaa nov model

Ta ukaz nima argumentov ali ključnih besed.

Privzeti ukaz: AAA ni omogočen.

Ukazni način: Globalna konfiguracija (config)

Navodila za uporabo: Ta ukaz omogoči sistem za nadzor dostopa AAA.

Če želite nastaviti preverjanje pristnosti, avtorizacije in obračunavanja (AAA) ob prijavi, uporabite aaa avtentikacijska prijava ukaz v načinu globalne konfiguracije. Če želite onemogočiti preverjanje pristnosti AAA, uporabite št obliko tega ukaza.

aaa avtentikacijska prijava {privzeto | seznam-ime } metoda1 [metoda2...]

št aaa avtentikacijska prijava {privzeto | seznam-ime } metoda1 [metoda2...]

Privzeti ukaz: Preverjanje pristnosti AAA ob prijavi je onemogočeno.

Ukazni način: Globalna konfiguracija (config)

Navodila za uporabo: Če je privzeto ključna beseda ni nastavljena, preverja se le lokalna podatkovna baza uporabnikov. To ima enak učinek kot naslednji ukaz:

aaa authentication login default local

Na konzoli bo prijava uspela brez kakršnih koli preverjanj pristnosti, če privzeto ključna beseda ni nastavljena.

Privzeta in neobvezna imena seznamov, ki jih ustvarite z aaa avtentikacijska prijava ukaz se uporablja z prijavna avtentikacija ukaz.

Ustvarite seznam tako, da vnesete aaa avtentikacijska prijava ukaz metode ime seznama za določen protokol. Argument imena seznama je niz znakov, ki se uporablja za poimenovanje seznama metod preverjanja pristnosti, ki se aktivirajo, ko se uporabnik prijavi. Argument metode identificira seznam metod, ki jih preizkusi algoritem za preverjanje pristnosti v danem zaporedju. V razdelku »Metode avtentikacije, ki jih ni mogoče uporabiti za argument imena seznama« so navedene metode avtentikacije, ki jih ni mogoče uporabiti za argument imena seznama, spodnja tabela pa opisuje ključne besede metode.

Če želite ustvariti privzeti seznam, ki se uporabi, če vrstici ni dodeljen noben seznam, uporabite prijavna avtentikacija ukaz s privzetim argumentom, ki mu sledijo metode, ki jih želite uporabiti v privzetih situacijah.

Geslo je pozvano samo enkrat za preverjanje pristnosti uporabniških poverilnic, v primeru napak zaradi težav s povezljivostjo pa so možni večkratni poskusi z dodatnimi metodami preverjanja pristnosti. Vendar se preklop na naslednjo metodo preverjanja pristnosti zgodi samo, če prejšnja metoda vrne napako, ne pa, če ne uspe. Če želite zagotoviti, da je preverjanje pristnosti uspešno, tudi če vse metode vrnejo napako, podajte nič kot zadnja metoda v ukazni vrstici.

Če preverjanje pristnosti ni posebej nastavljeno za linijo, je privzeto zavrnjen dostop in preverjanje pristnosti se ne izvede. Uporabi več system:running-config ukaz za prikaz trenutno konfiguriranih seznamov metod preverjanja pristnosti.

Metode preverjanja pristnosti, ki jih ni mogoče uporabiti za argument imena seznama

Metode preverjanja pristnosti, ki jih ni mogoče uporabiti za argument imena seznama, so naslednje:

• avtor-gost

• omogočiti

• gost

• če je overjeno

• če je potrebno

• krb5

• primerek krb

• krb-telnet

• linija

• lokalni

• nič

• polmer

• rcmd

• tacacs

• tacacsplus

V spodnji tabeli se metode radij skupine, skupina tacac +, skupina ldap in skupina ime skupine nanašajo na nabor predhodno definiranih strežnikov RADIUS ali TACACS+. Za konfiguracijo gostiteljskih strežnikov uporabite ukaza radius-server host in tacac-server host. Uporabite ukaze aaa group server radius, aaa group server ldap in aaa group server tacacs+, da ustvarite imenovano skupino strežnikov.

Spodnja tabela opisuje ključne besede metode.

Ključna beseda	Opis
predpomnilnik ime skupine	Za preverjanje pristnosti uporablja skupino predpomnilniškega strežnika.
omogočiti	Za preverjanje pristnosti uporablja geslo za omogočanje. Te ključne besede ni mogoče uporabiti.
skupina ime skupine	Uporablja podnabor strežnikov RADIUS ali TACACS+ za preverjanje pristnosti, kot je opredeljeno v radij strežnika skupine aaa oz aaa skupinski strežnik tacacs+ ukaz.
skupina ldap	Za preverjanje pristnosti uporablja seznam vseh strežnikov LDAP (Lightweight Directory Access Protocol).
skupina polmer	Za preverjanje pristnosti uporablja seznam vseh strežnikov RADIUS.
skupina tacacs+	Za preverjanje pristnosti uporablja seznam vseh strežnikov TACACS+.
krb5	Za preverjanje pristnosti uporablja Kerberos 5.
krb5-telnet	Uporablja protokol za preverjanje pristnosti Kerberos 5 Telnet, ko uporablja Telnet za povezavo z usmerjevalnikom.
linija	Za preverjanje pristnosti uporablja geslo linije.
lokalni	Za preverjanje pristnosti uporablja lokalno bazo uporabniških imen.
krajevni primer	Uporablja lokalno preverjanje pristnosti uporabniškega imena, ki razlikuje med velikimi in malimi črkami.
nič	Ne uporablja avtentikacije.
passwd-iztek	Omogoča staranje gesla na lokalnem seznamu za preverjanje pristnosti.   The radius-server vsa pošiljanje avtentikacije ukaz je potreben za izdelavo passwd-iztek delo s ključnimi besedami.

Če želite nastaviti parametre, ki uporabniku omejujejo dostop do omrežja, uporabite aaa pooblastilo ukaz v načinu globalne konfiguracije. Če želite odstraniti parametre, uporabite št obliko tega ukaza.

aaa pooblastilo { auth-proxy | predpomnilnik | ukaziraven | config-ukazi | konfiguracijo | konzola | izv | ipmobile | multicast | omrežje | politika-če | predplačniško | radius-proxy | vzvratni dostop | naročniški servis | predlogo} {privzeto | seznam-ime } [metoda1 [metoda 2.… ]]

št aaa pooblastilo { auth-proxy | predpomnilnik | ukaziraven | config-ukazi | konfiguracijo | konzola | izv | ipmobile | multicast | omrežje | politika-če | predplačniško | radius-proxy | vzvratni dostop | naročniški servis | predlogo} {privzeto | seznam-ime } [metoda1 [metoda 2.… ]]

Privzeti ukaz: Avtorizacija je onemogočena za vsa dejanja (enakovredno ključni besedi method nič ).

Ukazni način: Globalna konfiguracija (config)

Navodila za uporabo: Uporabite ukaz za avtorizacijo aaa, da omogočite avtorizacijo in ustvarite sezname imenovanih metod, ki definirajo avtorizacijske metode, ki jih je mogoče uporabiti, ko uporabnik dostopa do podane funkcije. Seznami metod za avtorizacijo določajo načine izvajanja avtorizacije in zaporedje izvajanja teh metod. Seznam metod je poimenovan seznam, ki opisuje avtorizacijske metode (kot sta RADIUS ali TACACS+), ki jih je treba uporabiti v zaporedju. Seznami metod vam omogočajo, da določite enega ali več varnostnih protokolov, ki se bodo uporabljali za avtorizacijo, s čimer zagotovite rezervni sistem v primeru, da začetna metoda ne uspe. Programska oprema Cisco IOS uporablja prvo navedeno metodo za avtorizacijo uporabnikov za določene omrežne storitve; če se ta metoda ne odzove, programska oprema Cisco IOS izbere naslednjo metodo, navedeno na seznamu metod. Ta postopek se nadaljuje, dokler ni uspešna komunikacija z navedeno avtorizacijsko metodo ali dokler niso izčrpane vse definirane metode.

Programska oprema Cisco IOS poskusi avtorizacijo z naslednjo navedeno metodo le, če ni odziva prejšnje metode. Če avtorizacija ne uspe na kateri koli točki v tem ciklu – kar pomeni, da se varnostni strežnik ali lokalna baza uporabniških imen odzove z zavrnitvijo uporabniških storitev – se postopek avtorizacije ustavi in nobena druga metoda avtorizacije ni poskusena.

Če je avtorizacijski ukaz aaa za določen tip avtorizacije izdan brez podanega seznama imenovanih metod, se privzeti seznam metod samodejno uporabi za vse vmesnike ali linije (kjer velja ta tip avtorizacije), razen tistih, ki imajo eksplicitno definiran seznam imenovanih metod. (Določen seznam metod preglasi privzeti seznam metod.) Če seznam privzetih metod ni definiran, avtorizacija ne pride v poštev. Privzeti seznam avtorizacijskih metod je treba uporabiti za izvajanje izhodne avtorizacije, kot je avtorizacija prenosa skupin IP s strežnika RADIUS.

Uporabite ukaz za avtorizacijo aaa, da ustvarite seznam tako, da vnesete vrednosti za ime seznama in argumente metode, kjer je ime seznama poljuben niz znakov, ki se uporablja za poimenovanje tega seznama (razen vseh imen metod), metoda pa identificira seznam metod avtorizacije poskusili v danem zaporedju.

Ukaz za avtorizacijo aaa podpira 13 ločenih seznamov metod. Na primer:

aaa avtorizacijska konfiguracija methodlist1 polmer skupine

aaa avtorizacijska konfiguracija methodlist2 polmer skupine

...

aaa avtorizacijska konfiguracija methodlist13 polmer skupine

V spodnji tabeli se metode skupine ime skupine, skupina ldap, skupina radius in skupina tacac + nanašajo na nabor predhodno definiranih strežnikov RADIUS ali TACACS+. Za konfiguracijo gostiteljskih strežnikov uporabite ukaza radius-server host in tacac-server host. Uporabite ukaze aaa group server radius, aaa group server ldap in aaa group server tacacs+, da ustvarite imenovano skupino strežnikov.

Programska oprema Cisco IOS podpira naslednje metode avtorizacije:

• Skupine predpomnilniških strežnikov – Usmerjevalnik se posvetuje s svojimi skupinami predpomnilniških strežnikov, da uporabnikom odobri določene pravice.

• If-Authenticated --Uporabniku je dovoljen dostop do zahtevane funkcije, če je bila pristnost uporabnika uspešno overjena.

• Lokalno --usmerjevalnik ali dostopovni strežnik se obrne na svojo lokalno bazo podatkov, kot je določeno z ukazom uporabniškega imena, da uporabnikom odobri posebne pravice. Samo omejen nabor funkcij je mogoče nadzorovati prek lokalne baze podatkov.

• Brez --Strežnik za dostop do omrežja ne zahteva avtorizacijskih informacij; avtorizacija se ne izvaja prek te linije ali vmesnika.

• RADIUS --Strežnik za omrežni dostop zahteva avtorizacijske informacije od skupine varnostnih strežnikov RADIUS. Avtorizacija RADIUS definira posebne pravice za uporabnike tako, da ustreznemu uporabniku poveže atribute, ki so shranjeni v bazi podatkov na strežniku RADIUS.

• TACACS+ --Strežnik za omrežni dostop izmenjuje avtorizacijske informacije z varnostnim demonom TACACS+. Avtorizacija TACACS+ določa posebne pravice za uporabnike tako, da pare atribut-vrednost (AV), ki so shranjeni v bazi podatkov na varnostnem strežniku TACACS+, poveže z ustreznim uporabnikom.

Če želite omogočiti povezave med določenimi tipi končnih točk v omrežju VoIP, uporabite dovoljene povezave ukaz v načinu konfiguracije glasovne storitve. Če želite zavrniti določene vrste povezav, uporabite št obliko tega ukaza.

dovoljene povezave iz vrste do tipkati

št dovoljene povezave iz vrste do tipkati

Privzeti ukaz: Povezave SIP-to-SIP so privzeto onemogočene.

Ukazni način: Konfiguracija glasovne storitve (config-voi-serv)

Navodila za uporabo: Ta ukaz se uporablja za omogočanje povezav med določenimi tipi končnih točk v Ciscovem večstoritvenem prehodu IP-IP. Ukaz je privzeto omogočen in ga ni mogoče spremeniti.

Če želite omogočiti vstavljanje '#' na katerem koli mestu v glasovnem registru dn, uporabite dovoli-hash-in-dn ukaz v globalnem načinu glasovnega registra. Če želite to onemogočiti, uporabite št obliko tega ukaza.

dovoli-hash-in-dn

ni dovoli-hash-in-dn

Privzeti ukaz: Ukaz je privzeto onemogočen.

Ukazni način: globalna konfiguracija glasovnega registra (config-register-global)

Navodila za uporabo: Pred uvedbo tega ukaza so bili v glasovnem registru dn podprti znaki 0–9, + in *. Nov ukaz je omogočen vedno, ko uporabnik zahteva vnos # v glasovni register dn. Ukaz je privzeto onemogočen. Ta ukaz lahko konfigurirate samo v načinih Cisco Unified SRST in Cisco Unified E-SRST. Znak # lahko vstavite na poljubno mesto v glasovnem registru dn. Ko je ta ukaz omogočen, morajo uporabniki spremeniti privzeti zaključni znak (#) v drug veljaven znak z uporabo dial-peer terminator ukaz v konfiguracijskem načinu.

Za vstop v način konfiguracije redundantne aplikacije uporabite redundanca aplikacije ukaz v načinu konfiguracije redundance.

aplikacija odvečnost

Ta ukaz nima argumentov ali ključnih besed.

Privzeti ukaz: Noben

Ukazni način: Konfiguracija redundance (config-rdeča)

Navodila za uporabo: Uporabi to redundanca aplikacije ukaz za konfiguracijo redundance aplikacije za visoko razpoložljivost.

Če želite nastaviti privzeti prehod za aplikacijo, uporabite app-default-gateway ukaz v načinu konfiguracije gostovanja aplikacije. Če želite odstraniti privzeti prehod, uporabite št obliko tega ukaza.

app-default-gateway [IP naslov vmesnik za goste številka-omrežnega-vmesnika]

št app-default-gateway [IP naslov vmesnik za goste številka-omrežnega-vmesnika]

Privzeti ukaz: Privzeti prehod ni konfiguriran.

Ukazni način: Konfiguracija gostovanja aplikacij (config-app-hosting)

Navodila za uporabo: Uporabi app-default-gateway ukaz za nastavitev privzetega prehoda za aplikacijo. Priključki prehoda so aplikacije, nameščene v vsebniku Cisco IOS XE GuestShell.

Če želite konfigurirati aplikacijo in vstopiti v konfiguracijski način gostovanja aplikacije, uporabite aplikacija za gostovanje aplikacij ukaz v načinu globalne konfiguracije. Če želite odstraniti aplikacijo, uporabite št obliko tega ukaza.

aplikacija za gostovanje aplikacij ime-aplikacije

Privzeti ukaz: Nobena aplikacija ni konfigurirana.

Ukazni način: Globalna konfiguracija (config)

Navodila za uporabo:Argument imena aplikacije je lahko sestavljen iz največ 32 alfanumeričnih znakov.

Po konfiguraciji tega ukaza lahko posodobite konfiguracijo gostovanja aplikacije.

Če želite preglasiti profil vira, ki ga ponuja aplikacija, uporabite profil app-resoure ukaz v načinu konfiguracije gostovanja aplikacije. Če se želite vrniti na profil vira, ki ga določa aplikacija, uporabite št obliko tega ukaza.

profil app-resoure ime profila

št profil app-resoure ime profila

Privzeti ukaz: Profil vira je konfiguriran.

Ukazni način: Konfiguracija gostovanja aplikacij (config-app-hosting)

Navodila za uporabo: Rezervirane vire, določene v paketu aplikacije, je mogoče spremeniti z nastavitvijo profila vira po meri. Spremenite lahko samo vire CPE, pomnilnik in virtualni CPE (vCPU). Če želite, da spremembe vira začnejo veljati, zaustavite in deaktivirajte aplikacijo, nato jo aktivirajte in znova zaženite.

Podprt je samo profil po meri.

Ukaz konfigurira profil vira aplikacije po meri in vstopi v način konfiguracije profila vira aplikacije po meri.

Če želite konfigurirati prehod navideznega omrežnega vmesnika za aplikacijo, uporabite app-vnic prehod ukaz v načinu konfiguracije gostovanja aplikacije. Če želite odstraniti konfiguracijo, uporabite št obliko tega ukaza.

Ta ukaz je podprt samo na platformah za usmerjanje. Ni podprt na preklopnih platformah.

app-vnic prehod virtualportgroup število vmesnik za goste številka-omrežnega-vmesnika

št app-vnic prehod virtualportgroup število vmesnik za goste številka-omrežnega-vmesnika

Privzeti ukaz: Prehod navideznega omrežja ni konfiguriran.

Ukazni način: Konfiguracija gostovanja aplikacij (config-app-hosting)

Navodila za uporabo: Ko konfigurirate prehod navideznega omrežnega vmesnika za aplikacijo, se ukazni način spremeni v konfiguracijski način prehoda, ki gosti aplikacijo. V tem načinu lahko konfigurirate naslov IP vmesnika za goste.

Če želite omogočiti podporo za uveljavljeno glavo ID-ja v dohodnih zahtevah SIP (Session Initiation Protocol) ali odzivnih sporočilih in poslati informacije o zasebnosti uveljavljenega ID-ja v odhodnih zahtevah SIP ali odzivnih sporočilih, uporabite asserted-id ukaz v načinu konfiguracije glasovne storitve VoIP-SIP ali načinu konfiguracije najemnika glasovnega razreda. Če želite onemogočiti podporo za uveljavljeno glavo ID-ja, uporabite št obliko tega ukaza.

asserted-id { pai | ppi } sistem

št asserted-id { pai | ppi } sistem

Privzeti ukaz: Informacije o zasebnosti se pošljejo z glavo Remote-Party-ID (RPID) ali glavo FROM.

Ukazni način: Konfiguracija glasovne storitve VoIP-SIP (conf-serv-sip) in konfiguracija najemnika glasovnega razreda (config-class)

Navodila za uporabo: Če izberete pai ključno besedo ali ppi ključno besedo, prehod zgradi glavo PAI oziroma glavo PPI v skupni sklad SIP. The pai ključno besedo ali ppi ključna beseda ima prednost pred glavo Remote-Party-ID (RPID) in odstrani glavo RPID iz odhodnega sporočila, tudi če je usmerjevalnik konfiguriran za uporabo glave RPID na globalni ravni.

Če želite konfigurirati podporo za asimetrično koristno obremenitev protokola za začetek seje (SIP), uporabite asimetrična nosilnost ukaz v načinu konfiguracije SIP ali načinu konfiguracije najemnika glasovnega razreda. Če želite onemogočiti podporo za asimetrično obremenitev, uporabite št obliko tega ukaza.

asimetrična tovor { dtmf | dinamični kodeki | poln | sistem }

št asimetričnatovor { dtmf | dinamični kodeki | poln | sistem }

Privzeti ukaz: Ta ukaz je onemogočen.

Ukazni način: Konfiguracija SIP glasovne storitve (conf-serv-sip), konfiguracija najemnika glasovnega razreda (config-class)

Navodila za uporabo: Vstopite v način konfiguracije SIP iz načina konfiguracije glasovne storitve, kot je prikazano v primeru.

Za Cisco UBE je vrsta asimetrične obremenitve SIP podprta za avdio/video kodeke, DTMF in NSE. torej dtmf in dinamični kodeki ključne besede so interno preslikane v poln ključna beseda za zagotavljanje asimetrične podpore za avdio/video kodeke, DTMF in NSE.

Če želite omogočiti preverjanje pristnosti SIP digest na posameznem klicnem priključku, uporabite avtentikacija ukaz v načinu glasovne konfiguracije enakovrednega klicanja. Če želite onemogočiti preverjanje pristnosti SIP digest, uporabite št obliko tega ukaza.

avtentikacija uporabniško ime uporabniško ime geslo { 0 | 6 | 7 } geslo [kraljestvo kraljestvo | izziv | vse ]

št avtentikacija uporabniško ime uporabniško ime geslo { 0 | 6 | 7 } geslo [kraljestvo kraljestvo | izziv | vse ]

Privzeti ukaz: Pregled pristnosti SIP je onemogočen.

Ukazni način: Glasovna konfiguracija enakovrednega klica (config-dial-peer)

Navodila za uporabo: Pri omogočanju preverjanja pristnosti izvlečka veljajo naslednja konfiguracijska pravila:

• Na klicno enoto je mogoče konfigurirati samo eno uporabniško ime. Vse obstoječe konfiguracije uporabniškega imena morate odstraniti, preden konfigurirate drugo uporabniško ime.

• Največ pet geslo oz kraljestvo argumente je mogoče konfigurirati za katero koli uporabniško ime.

The uporabniško ime in geslo argumenti se uporabljajo za avtentikacijo uporabnika. Strežnik/posrednik za preverjanje pristnosti, ki izda odgovor na izziv 407/401, vključuje področje v odgovor na izziv in uporabnik zagotovi poverilnice, ki so veljavne za to področje. Ker se predpostavlja, da lahko največ pet strežnikov proxy na signalni poti poskuša overiti dano zahtevo od odjemalca uporabniškega posrednika (UAC) do strežnika uporabniškega posrednika (UAS), lahko uporabnik konfigurira do pet gesel in kombinacije področij za konfigurirano uporabniško ime.

Uporabnik vnese geslo v navadnem besedilu, vendar je šifrirano in shranjeno za odgovor na izziv 401. Če geslo ni shranjeno v šifrirani obliki, se pošlje neželeno geslo in preverjanje pristnosti ne uspe.

• Specifikacija področja ni obvezna. Če je izpuščeno, geslo, konfigurirano za to uporabniško ime, velja za vsa področja, ki poskušajo preveriti pristnost.

• Naenkrat je mogoče konfigurirati samo eno geslo za vsa konfigurirana področja. Če je konfigurirano novo geslo, prepiše vsa predhodno konfigurirana gesla.

To pomeni, da je mogoče konfigurirati samo eno globalno geslo (eno brez določenega področja). Če konfigurirate novo geslo, ne da bi konfigurirali ustrezno področje, novo geslo prepiše prejšnjega.

• Če je področje konfigurirano za predhodno konfigurirano uporabniško ime in geslo, se ta specifikacija področja doda tej obstoječi konfiguraciji uporabniškega imena in gesla. Ko pa je področje dodano konfiguraciji uporabniškega imena in gesla, je ta kombinacija uporabniškega imena in gesla veljavna samo za to področje. Konfiguriranega področja ni mogoče odstraniti iz konfiguracije uporabniškega imena in gesla, ne da bi prej odstranili celotno konfiguracijo za to uporabniško ime in geslo – nato lahko znova konfigurirate to kombinacijo uporabniškega imena in gesla z ali brez drugega področja.

• V vnosu z geslom in področjem lahko spremenite bodisi geslo ali področje.

• Uporabi brez avtentikacije vse ukaz za odstranitev vseh vnosov za preverjanje pristnosti za uporabnika.

Za geslo je obvezno treba določiti vrsto šifriranja. Če je geslo z jasnim besedilom (vnesite 0 ) je konfiguriran, je šifriran kot vrsta 6 preden ga shranite v tekočo konfiguracijo.

Če določite vrsto šifriranja kot 6 oz 7 , se vneseno geslo preveri glede na veljavno vrsto 6 oz 7 geslo in shranjeno kot vrsta 6 oz 7 oz.

Gesla tipa 6 so šifrirana s šifro AES in primarnim ključem, ki ga določi uporabnik. Ta gesla so sorazmerno bolj varna. Primarni ključ ni nikoli prikazan v konfiguraciji. Brez poznavanja primarnega ključa vnesite 6 gesla so neuporabna. Če je primarni ključ spremenjen, se geslo, ki je shranjeno kot tip 6, znova šifrira z novim primarnim ključem. Če je konfiguracija primarnega ključa odstranjena, tip 6 gesel ni mogoče dešifrirati, kar lahko povzroči napako pri preverjanju pristnosti za klice in registracije.

Pri varnostnem kopiranju konfiguracije ali selitvi konfiguracije v drugo napravo se primarni ključ ne izpiše. Zato je treba primarni ključ znova konfigurirati ročno.

Če želite konfigurirati šifriran ključ v vnaprejšnji skupni rabi, glejte Konfiguriranje šifriranega ključa v vnaprejšnji skupni rabi.

Pri vrsti šifriranja se prikaže naslednje opozorilo 7 je konfiguriran. Opozorilo: Ukaz je bil dodan konfiguraciji z uporabo gesla tipa 7. Vendar bodo gesla tipa 7 kmalu opuščena. Preselite na podprto vrsto gesla 6.

Če želite izvorni naslov za signalizacijo in medijske pakete povezati z naslovom IPv4 ali IPv6 določenega vmesnika, uporabite vezati ukaz v konfiguracijskem načinu SIP. Če želite onemogočiti vezavo, uporabite št obliko tega ukaza.

vezati { nadzor | mediji | vse } izvorni vmesnik vmesnik-id { ipv4-naslov ipv4-naslov | ipv6-naslov ipv6-naslov }

št vezati { nadzor | mediji | vse } izvorni vmesnik vmesnik-id { ipv4-naslov ipv4-naslov | ipv6-naslov ipv6-naslov }

Privzeti ukaz: Vezava je onemogočena.

Ukazni način: Konfiguracija SIP (conf-serv-sip) in najemnik glasovnega razreda.

Navodila za uporabo: Async, Ethernet, FastEthernet, Loopback in Serial (vključno s Frame Relay) so vmesniki znotraj aplikacije SIP.

Če je vezati ukaz ni omogočen, sloj IPv4 še vedno zagotavlja najboljši lokalni naslov.

Če želite omogočiti osnovne konfiguracije za Call-Home, uporabite poročanje klicev domov ukaz v načinu globalne konfiguracije.

poročanje klicev domov { anonimen | kontaktni-e-naslov-naslov } [ http-proxy { ipv4-naslov | ipv6-naslov | ime } pristanišče številka vrat ]

Privzeti ukaz: Ni privzetega vedenja ali vrednosti

Ukazni način: Globalna konfiguracija (config)

Navodila za uporabo: Po uspešnem omogočanju Call-Home v anonimnem ali polnem načinu registracije z uporabo poročanje klicev domov ukaz, se pošlje sporočilo o inventarju. Če je Call-Home omogočen v načinu polne registracije, se pošlje sporočilo o celotnem inventarju za način polne registracije. Če je Call-Home omogočen v anonimnem načinu, se pošlje anonimno sporočilo o inventarju. Za več informacij o podrobnostih sporočila glejte Dogodki in ukazi za sprožitev skupine opozoril.

Če želite omogočiti podporo za Cisco Unified SRST in vstopiti v način konfiguracije nadomestnega upravitelja klicev, uporabite nadomestni upravitelj klicev ukaz v načinu globalne konfiguracije. Če želite onemogočiti podporo za Cisco Unified SRST, uporabite št obliko tega ukaza.

nadomestni upravitelj klicev

št nadomestni upravitelj klicev

Ta ukaz nima argumentov ali ključnih besed.

Privzeti ukaz: Ni privzetega vedenja ali vrednosti.

Ukazni način: Globalna konfiguracija

Če želite med rokovanjem TLS omogočiti strežnik, odjemalec ali dvosmerno preverjanje identitete enakovrednega potrdila, uporabite ukaz cn-san potrdi v načinu konfiguracije tls-profila glasovnega razreda. Če želite onemogočiti preverjanje identitete potrdila, uporabite št obliko tega ukaza.

cn-san potrditi { strežnik | stranka | dvosmerno }

št cn-san potrditi { strežnik | stranka | dvosmerno }

Privzeti ukaz: Preverjanje identitete je onemogočeno.

Ukazni način: Konfiguracija glasovnega razreda (config-class)

Navodila za uporabo: Preverjanje identitete strežnika je povezano z varno signalno povezavo prek globalne kripto signalizacijo in glasovni razred tls-profil konfiguracije.

Ukaz je izboljšan, da vključuje stranka in dvosmerno ključne besede. Možnost odjemalca omogoča strežniku, da potrdi identiteto odjemalca tako, da preveri imena gostiteljev CN in SAN, vključena v predloženo potrdilo, glede na zaupanja vreden seznam FQDN-jev cn-san. Povezava bo vzpostavljena le, če bo najdeno ujemanje. Ta seznam FQDN-jev cn-san se poleg imena ciljnega gostitelja seje zdaj uporablja tudi za preverjanje potrdila strežnika. The dvosmerno možnost potrdi istovetnost enakovrednih za povezave odjemalca in strežnika s kombinacijo obeh strežnik in stranka načini. Ko konfigurirate cn-san potrdi , se identiteta enakovrednega potrdila preveri za vsako novo povezavo TLS.

Če želite konfigurirati seznam imen polno kvalificiranega imena domene (FQDN) za preverjanje veljavnosti glede na enakovredno potrdilo za vhodne ali odhodne povezave TLS, uporabite cn-san ukaz v načinu konfiguracije tls-profila glasovnega razreda. Če želite izbrisati vnos potrditve potrdila cn-san, uporabite št obliko tega ukaza.

cn-san {1-10} fqdn

št cn-san {1-10} fqdn

Privzeti ukaz: Nobeno ime cn-san ni konfigurirano.

Ukazni način: Konfiguracijski način tls-profila glasovnega razreda (config-class)

Navodila za uporabo: FQDN, ki se uporablja za preverjanje enakovrednega potrdila, je dodeljen profilu TLS z največ desetimi cn-san vnosi. Vsaj eden od teh vnosov se mora ujemati s FQDN v enem od polj potrdila Common Name (CN) ali Subject-Alternate-Name (SAN), preden se vzpostavi povezava TLS. Za ujemanje s katerim koli gostiteljem domene, uporabljenim v polju CN ali SAN, a cn-san vnos je lahko konfiguriran z nadomestnim znakom domene, strogo v obliki *.ime-domene (npr. *.cisco.com). Nobena druga uporaba nadomestnih znakov ni dovoljena.

Za vhodne povezave se seznam uporablja za preverjanje polj CN in SAN v potrdilu odjemalca. Za odhodne povezave se seznam uporablja skupaj z imenom ciljnega gostitelja seje za preverjanje polj CN in SAN v potrdilu strežnika.

Potrdila strežnika je mogoče preveriti tudi tako, da cilj FQDN seje SIP povežete s poljem CN ali SAN.

Če želite določiti seznam prednostnih kodekov za uporabo na enakovrednem klicu, uporabite kodek prednost ukaz v načinu konfiguracije glasovnega razreda. Če želite onemogočiti to funkcijo, uporabite št obliko tega ukaza.

kodek prednost vrednost vrsta kodeka

št kodek prednost vrednost vrsta kodeka

Privzeti ukaz: Če tega ukaza ne vnesete, nobena posebna vrsta kodekov ni identificirana s prednostjo.

Ukazni način: konfiguracija glasovnega razreda (config-class)

Navodila za uporabo: Usmerjevalniki na nasprotnih koncih WAN se bodo morda morali pogajati o izbiri kodeka za omrežne klicne enote. The kodek prednost ukaz določa prednostni vrstni red za izbiro dogovorjenega kodeka za povezavo. Spodnja tabela opisuje možnosti glasovne obremenitve in privzete vrednosti za kodeke in paketne govorne protokole.

Če želite uporabiti vrata globalnega poslušalca za pošiljanje zahtev prek UDP, uporabite povezava-ponovna uporaba ukaz v načinu sip-ua ali načinu konfiguracije najemnika glasovnega razreda. Če želite onemogočiti, uporabite št obliko tega ukaza.

povezava-ponovna uporaba { via-port | sistem }

št povezava-ponovna uporaba { via-port | sistem }

Privzeti ukaz: Lokalni prehod uporablja efemerna vrata UDP za pošiljanje zahtev prek UDP.

Ukazni načini: Konfiguracija SIP UA (config-sip-ua), konfiguracija najemnika glasovnega razreda (config-class)

Navodila za uporabo: Izvedba tega ukaza omogoči uporabo vrat poslušalca za pošiljanje zahtev prek UDP. Privzeta vrata poslušalca za navaden nezaščiten SIP so 5060, varen SIP pa 5061. Konfiguriraj vrata za poslušanje [ni varno | varno] pristanišče ukaz v načinu konfiguracije glasovne storitve voip > sip, da spremenite globalna vrata UDP.

Če želite spremeniti kvoto CPE ali enoto, dodeljeno aplikaciji, uporabite procesor ukaz v načinu konfiguracije profila sredstev aplikacije po meri. Če se želite vrniti na kvoto procesorja, ki jo zagotovi aplikacija, uporabite št obliko tega ukaza.

procesor enota

št procesor enota

Privzeti ukaz: Privzeti procesor je odvisen od platforme.

Ukazni način: Konfiguracija profila vira aplikacije po meri (config-app-resource-profile-custom)

Navodila za uporabo: Enota CPE je minimalna dodelitev CPE s strani aplikacije. Skupno število enot CPE temelji na normaliziranih enotah CPE, izmerjenih za ciljno napravo.

Znotraj vsakega aplikacijskega paketa je na voljo profil vira, specifičen za aplikacijo, ki določa priporočeno obremenitev CPE, velikost pomnilnika in število navideznih CPE (vCPE), potrebnih za aplikacijo. S tem ukazom spremenite dodelitev virov za določene procese v profilu vira po meri.

Rezervirane vire, določene v paketu aplikacije, je mogoče spremeniti z nastavitvijo profila vira po meri. Spremenite lahko samo vire CPE, pomnilnik in vCPE. Če želite, da spremembe vira začnejo veljati, zaustavite in deaktivirajte aplikacijo, nato jo aktivirajte in znova zaženite.

Vrednosti virov so specifične za aplikacijo in vsaka prilagoditev teh vrednosti mora zagotoviti, da lahko aplikacija zanesljivo deluje s spremembami.

Če želite konfigurirati prehod Cisco IOS Session Initiation Protocol (SIP) s časovnim multipleksiranjem (TDM), Cisco Unified Border Element (Cisco UBE) ali Cisco Unified Communications Manager Express (Cisco Unified CME) za pošiljanje registracijskega sporočila SIP, ko ste v UP stanje, uporabite poverilnice ukaz v načinu konfiguracije SIP UA ali načinu konfiguracije najemnika glasovnega razreda. Če želite onemogočiti poverilnice izvlečka SIP, uporabite št obliko tega ukaza.

poverilnice { dhcp | število število uporabniško ime uporabniško ime } geslo { 0 | 6 | 7 } geslo kraljestvo kraljestvo

št poverilnice { dhcp | število število uporabniško ime uporabniško ime } geslo { 0 | 6 | 7 } geslo kraljestvo kraljestvo

Privzeti ukaz: Poverilnice povzetka SIP so onemogočene.

Ukazni način: Konfiguracija SIP UA (config-sip-ua) in konfiguracija najemnika glasovnega razreda (config-class).

Navodila za uporabo: Ko so poverilnice omogočene, veljajo naslednja konfiguracijska pravila:

• Za vsa imena domen je veljavno samo eno geslo. Novo konfigurirano geslo prepiše vsa predhodno konfigurirana gesla.

• Geslo bo vedno prikazano v šifrirani obliki, ko poverilnice ukaz je konfiguriran in pokazati run-config ukaz se uporablja.

The dhcp ključna beseda v ukazu pomeni, da je primarna številka pridobljena prek DHCP in prehod Cisco IOS SIP TDM, Cisco UBE ali Cisco Unified CME, na katerem je ukaz omogočen, uporablja to številko za registracijo ali odjavo prejete primarne številke.

Za geslo je obvezno treba določiti vrsto šifriranja. Če je geslo z jasnim besedilom (vnesite 0 ) je konfiguriran, je šifriran kot vrsta 6 preden ga shranite v tekočo konfiguracijo.

Če določite vrsto šifriranja kot 6 oz 7 , se vneseno geslo preveri glede na veljavno vrsto 6 oz 7 geslo in shranjeno kot vrsta 6 oz 7 oz.

Gesla tipa 6 so šifrirana s šifro AES in primarnim ključem, ki ga določi uporabnik. Ta gesla so sorazmerno bolj varna. Primarni ključ ni nikoli prikazan v konfiguraciji. Brez poznavanja primarnega ključa vnesite 6 gesla so neuporabna. Če je primarni ključ spremenjen, se geslo, ki je shranjeno kot tip 6, znova šifrira z novim primarnim ključem. Če je konfiguracija primarnega ključa odstranjena, tip 6 gesel ni mogoče dešifrirati, kar lahko povzroči napako pri preverjanju pristnosti za klice in registracije.

Pri varnostnem kopiranju konfiguracije ali selitvi konfiguracije v drugo napravo se primarni ključ ne izpiše. Zato je treba primarni ključ znova konfigurirati ročno.

Če želite konfigurirati šifriran ključ v vnaprejšnji skupni rabi, glejte Konfiguriranje šifriranega ključa v vnaprejšnji skupni rabi.

Opozorilo: Ukaz je bil dodan konfiguraciji z uporabo gesla tipa 7. Vendar bodo gesla tipa 7 kmalu opuščena. Preselite na podprto vrsto gesla 6.

V YANG ne morete konfigurirati istega uporabniškega imena v dveh različnih področjih.

Če želite določiti preference za šifrirno zbirko SRTP, ki jo bo ponudil Cisco Unified Border Element (CUBE) v SDP v ponudbi in odgovoru, uporabite kripto ukaz v načinu konfiguracije glasovnega razreda. Če želite onemogočiti to funkcijo, uporabite št obliko tega ukaza.

kripto prednost cipher-suite

št kripto prednost cipher-suite

Privzeti ukaz: Če ta ukaz ni konfiguriran, je privzeto vedenje, da se paketi šifre srtp ponudijo v naslednjem vrstnem redu:

• AEAD_AES_256_GCM

• AEAD_AES_128_GCM

• AES_CM_128_HMAC_SHA1_80

• AES_CM_128_HMAC_SHA1_32

Ukazni način: glasovni razred srtp-crypto (config-class)

Navodila za uporabo: Če spremenite nastavitev že konfigurirane šifrirne zbirke, se nastavitev prepiše.

Če želite ustvariti pare ključev Rivest, Shamir in Adelman (RSA), uporabite kripto ključ ustvari RSA ukaz v načinu globalne konfiguracije.

kripto ključ ustvari RSA [ { splošni ključi | uporabniški ključi | podpis | šifriranje } ] [ oznaka ključna oznaka ] [ izvozno ] [ modul modul-velikost ] [ shranjevanje Ime naprave : ] [ odvečnost na Ime naprave : ]

Privzeti ukaz: Pari ključev RSA ne obstajajo.

Ukazni način: Globalna konfiguracija (config)

Navodila za uporabo: Uporabi kripto ključ ustvari RSA ukaz za generiranje parov ključev RSA za vašo napravo Cisco (kot je usmerjevalnik).

Ključi RSA so ustvarjeni v parih – en javni ključ RSA in en zasebni ključ RSA.

Če vaš usmerjevalnik že ima ključe RSA, ko izdate ta ukaz, boste opozorjeni in pozvani, da zamenjate obstoječe ključe z novimi ključi.

The kripto ključ ustvari RSA ukaz ni shranjen v konfiguraciji usmerjevalnika; vendar se ključi RSA, ki jih ustvari ta ukaz, shranijo v zasebno konfiguracijo v NVRAM (ki ni nikoli prikazana uporabniku ali varnostno kopirana v drugo napravo), ko se konfiguracija naslednjič zapiše v NVRAM.

• Ključi za posebno uporabo: Če ustvarite ključe za posebno uporabo, bosta ustvarjena dva para ključev RSA. En par bo uporabljen s katerim koli pravilnikom Internet Key Exchange (IKE), ki določa podpise RSA kot metodo preverjanja pristnosti, drugi par pa bo uporabljen s katerim koli pravilnikom IKE, ki določa šifrirane ključe RSA kot metodo preverjanja pristnosti.

  CA se uporablja samo s pravilniki IKE, ki določajo podpise RSA, ne pa s pravilniki IKE, ki določajo nonce, šifrirane z RSA. (Vendar lahko podate več kot en pravilnik IKE in imate podpise RSA, podane v enem pravilniku, in šifrirane z RSA nonce v drugem pravilniku.)

  Če nameravate v svojih pravilnikih IKE imeti obe vrsti metod preverjanja pristnosti RSA, boste morda raje ustvarili ključe za posebno uporabo. Pri tipkah za posebno uporabo nobena tipka ni po nepotrebnem izpostavljena. (Brez ključev za posebno uporabo se en ključ uporablja za oba načina preverjanja pristnosti, kar poveča izpostavljenost tega ključa).

• Ključi za splošno uporabo: Če ustvarite ključe za splošne namene, bo ustvarjen samo en par ključev RSA. Ta par bo uporabljen s pravilniki IKE, ki določajo podpise RSA ali šifrirane ključe RSA. Zato se lahko par ključev za splošno uporabo uporablja pogosteje kot par ključev za posebno uporabo.

• Poimenovani pari ključev: Če ustvarite imenovani par ključev z uporabo argumenta oznaka ključa, morate podati tudi uporabniški ključi ključno besedo ali splošni ključi ključna beseda. Poimenovani pari ključev vam omogočajo, da imate več parov ključev RSA, kar omogoča, da programska oprema Cisco IOS vzdržuje drug par ključev za vsako potrdilo identitete.

• Dolžina modula: Ko ustvarite ključe RSA, boste pozvani, da vnesete dolžino modula. Daljši kot je modul, večja je varnost. Vendar daljši moduli potrebujejo več časa za ustvarjanje (glejte spodnjo tabelo za vzorčne čase) in za uporabo.

  Tabela 2. Vzorčni časi glede na dolžino modula za generiranje ključev RSA

  Usmerjevalnik	360 bitov	512 bitov	1024 bitov	2048 bitov (največ)
  Cisco 2500	11 sekund	20 sekund	4 minute, 38 sekund	Več kot 1 uro
  Cisco 4700	Manj kot 1 sekunda	1 sekundo	4 sekunde	50 sekund

  Programska oprema Cisco IOS ne podpira modula, večjega od 4096 bitov. Dolžina, krajša od 512 bitov, običajno ni priporočljiva. V določenih situacijah krajši modul morda ne bo pravilno deloval z IKE, zato priporočamo uporabo najmanjšega modula 2048 bitov.

  Dodatne omejitve lahko veljajo, če ključe RSA ustvari kriptografska strojna oprema. Na primer, ko ključe RSA generira Cisco VPN Services Port Adapter (VSPA), mora biti modul ključa RSA najmanj 384 bitov in mora biti večkratnik 64.

• Določanje mesta shranjevanja za ključe RSA: Ko izdate kripto ključ ustvari RSA ukaz z shranjevanje Ime naprave : ključno besedo in argument, bodo ključi RSA shranjeni v navedeni napravi. Ta lokacija bo nadomestila vse shranjevanje kripto ključev nastavitve ukaza.

• Določanje naprave za generiranje ključa RSA: Določite lahko napravo, v kateri se generirajo ključi RSA. Podprte naprave vključujejo NVRAM, lokalne diske in žetone USB. Če ima vaš usmerjevalnik konfiguriran in na voljo žeton USB, lahko žeton USB uporabite kot kriptografsko napravo poleg naprave za shranjevanje. Uporaba žetona USB kot kriptografske naprave omogoča, da se na žetonu izvajajo operacije RSA, kot so generiranje ključev, podpisovanje in preverjanje pristnosti poverilnic. Zasebni ključ nikoli ne zapusti žetona USB in ga ni mogoče izvoziti. Javni ključ je mogoče izvoziti.

  Ključe RSA je mogoče generirati na konfiguriranem in razpoložljivem žetonu USB z uporabo na Ime naprave : ključno besedo in argument. Ključi, ki so na žetonu USB, se shranijo v trajno shrambo žetonov, ko so ustvarjeni. Število ključev, ki jih je mogoče ustvariti na žetonu USB, je omejeno z razpoložljivim prostorom. Če poskusite ustvariti ključe na žetonu USB in je ta poln, boste prejeli naslednje sporočilo:

  % Error in generating keys:no available resources 

  Brisanje ključa bo takoj odstranilo ključe, shranjene na žetonu, iz trajnega pomnilnika. (Ključi, ki niso na žetonu, se shranijo ali izbrišejo na lokacijah za shranjevanje brez žetonov, ko kopirati ali podoben ukaz).

• Določanje generiranja redundantnega ključa RSA v napravi: Odvečnost lahko določite za obstoječe ključe le, če jih je mogoče izvoziti.

Za avtentikacijo overitelja potrdil (CA) (s pridobitvijo potrdila CA) uporabite kripto pki overiti ukaz v načinu globalne konfiguracije.

kripto pki overiti ime

Privzeti ukaz: Ni privzetega vedenja ali vrednosti.

Ukazni način: Globalna konfiguracija (config)

Navodila za uporabo: Ta ukaz je potreben, ko prvotno konfigurirate podporo CA na vašem usmerjevalniku.

Ta ukaz overi CA za vaš usmerjevalnik tako, da pridobi samopodpisano potrdilo CA, ki vsebuje javni ključ CA. Ker služba za potrdila podpiše lastno potrdilo, morate ročno overiti javni ključ službe za potrdila tako, da se ob vnosu tega ukaza obrnete na skrbnika službe za potrdila.

Če uporabljate način Router Advertisements (RA) (z uporabo vpis ukaz), ko izdate kripto pki overiti ukaza, bodo potrdila za podpisovanje in šifriranje organa za registracijo vrnjena iz CA in potrdila CA.

Ta ukaz ni shranjen v konfiguraciji usmerjevalnika. Vendar. javni ključi, vdelani v prejeta potrdila CA (in RA), se shranijo v konfiguracijo kot del zapisa javnih ključev Rivesta, Shamirja in Adelmana (RSA) (imenovanega »veriga javnih ključev RSA«).

Če se CA ne odzove v časovni omejitvi po izdaji tega ukaza, bo nadzor terminala vrnjen, tako da ostane na voljo. Če se to zgodi, morate znova vnesti ukaz. Programska oprema Cisco IOS ne bo prepoznala datumov poteka veljavnosti potrdil CA, ki so nastavljeni po letu 2049. Če je obdobje veljavnosti potrdila CA nastavljeno tako, da poteče po letu 2049, bo ob poskusu preverjanja pristnosti s strežnikom CA prikazano naslednje sporočilo o napaki: error retrieving certificate :incomplete chain Če prejmete sporočilo o napaki, podobno temu, preverite datum poteka veljavnosti vašega potrdila CA. Če je datum poteka veljavnosti vašega potrdila CA nastavljen po letu 2049, morate datum poteka skrajšati za eno leto ali več.

Če želite uvoziti potrdilo ročno prek TFTP ali kot izreži in prilepi na terminalu, uporabite kripto pki uvoz ukaz v načinu globalne konfiguracije.

kripto pki uvoz ime potrdilo

Privzeti ukaz: Ni privzetega vedenja ali vrednosti

Ukazni način: Globalna konfiguracija (config)

Navodila za uporabo: Vnesti morate uvoz kripto pki ukaz dvakrat, če so uporabljeni uporabniški ključi (ključi za podpis in šifriranje). Ob prvem vnosu ukaza se eno od potrdil prilepi v usmerjevalnik; ob drugem vnosu ukaza se drugo potrdilo prilepi v usmerjevalnik. (Ni pomembno, katero potrdilo je prvo prilepljeno.)

Če želite navesti točko zaupanja, ki bi jo moral uporabljati vaš usmerjevalnik, uporabite kripto pki točka zaupanja ukaz v načinu globalne konfiguracije. Če želite izbrisati vse informacije o identiteti in potrdila, povezana s točko zaupanja, uporabite št obliko tega ukaza.

kripto pki točka zaupanja ime odvečnost

št kripto pki točka zaupanja ime odvečnost

Privzeti ukaz: Vaš usmerjevalnik ne prepozna nobene točke zaupanja, dokler ne deklarirate točke zaupanja s tem ukazom. Vaš usmerjevalnik uporablja edinstvene identifikatorje med komunikacijo s strežniki Online Certificate Status Protocol (OCSP), kot je konfigurirano v vašem omrežju.

Ukazni način: Globalna konfiguracija (config)

Navodila za uporabo:

Objava točk zaupanja

Uporabi kripto pki točka zaupanja ukaz za deklaracijo točke zaupanja, ki je lahko samopodpisana overitelja korenskih potrdil (CA) ali podrejena CA. Izdaja kripto pki točka zaupanja ukaz vas postavi v konfiguracijski način ca-trustpoint.

Lastnosti za točko zaupanja lahko podate z naslednjimi podukazi:

• crl — Poizveduje po seznamu preklicanih potrdil (CRL), da zagotovi, da potrdilo vrstnika ni bilo preklicano.

• privzeto (ca-točka zaupanja) — Ponastavi vrednost podukazov načina konfiguracije ca-trustpoint na njihove privzete vrednosti.

• vpis —Določi parametre vpisa (neobvezno).

• vpis http-proxy —Dostopa do CA prek HTTP prek proxy strežnika.

• vpis samopodpisano —Določi samopodpisano vpisovanje (neobvezno).

• tekma potrdilo — Povezuje seznam za nadzor dostopa (ACL) na podlagi potrdila, definiran z kripto ca potrdilo zemljevid ukaz.

• ocsp onemogoči-nonce — Določa, da vaš usmerjevalnik med komunikacijo OCSP ne bo pošiljal enoličnih identifikatorjev ali nonce.

• primarni —Dodeli določeno točko zaupanja kot primarno točko zaupanja usmerjevalnika.

• korenina —Definira TFTP za pridobitev potrdila CA in podaja ime za strežnik in ime za datoteko, ki bo shranila potrdilo CA.

Določanje uporabe enoličnih identifikatorjev

Ko kot metodo preklica uporabljate OCSP, se med enakovredno komunikacijo s strežnikom OCSP privzeto pošljejo edinstveni identifikatorji ali nonces. Uporaba edinstvenih identifikatorjev med komunikacijo strežnika OCSP omogoča bolj varno in zanesljivo komunikacijo. Vendar pa vsi strežniki OCSP ne podpirajo uporabe edinstvenih zobnih protez, za več informacij glejte priročnik OCSP. Če želite onemogočiti uporabo edinstvenih identifikatorjev med komunikacijo OCSP, uporabite ocsp onemogoči-nonce podukaz.

Če želite ročno uvoziti (prenesti) sveženj potrdil overitelja potrdil (CA) v skrbniško skupino infrastrukture javnih ključev (PKI), da posodobite ali zamenjate obstoječi sveženj CA, uporabite kripto pki trustpool uvoz ukaz v načinu globalne konfiguracije. Če želite odstraniti katerega koli od konfiguriranih parametrov, uporabite št obliko tega ukaza.

kripto pki trustpool uvoz čisto [ terminal | url url ]

št kripto pki trustpool uvoz čisto [ terminal | url url ]

Privzeti ukaz: Funkcija zaupanja PKI je omogočena. Usmerjevalnik uporablja vgrajen sveženj potrdil CA v skrbniškem bazenu PKI, ki ga Cisco samodejno posodobi.

Ukazni način: Globalna konfiguracija (config)

Varnostne grožnje in kriptografske tehnologije za zaščito pred njimi se nenehno spreminjajo. Za več informacij o najnovejših Ciscovih kriptografskih priporočilih glejte Šifriranje naslednje generacije (NGE) beli papir.

Cisco samodejno posodobi potrdila sklada zaupanja PKI. Ko potrdila sklada zaupanja PKI niso aktualna, uporabite kripto pki trustpool uvoz ukaz, da jih posodobite z druge lokacije.

The url argument podaja ali spreminja datotečni sistem URL CA. Spodnja tabela navaja razpoložljive datotečne sisteme URL.

Tabela 3. Datotečni sistemi URL

Datotečni sistem	Opis
arhiv:	Uvozi iz arhivskega datotečnega sistema.
cns:	Uvozi iz datotečnega sistema Cluster Namespace (CNS).
disk0:	Uvozi iz datotečnega sistema disc0.
disk1:	Uvozi iz datotečnega sistema disc1.
ftp:	Uvozi iz datotečnega sistema FTP.
http:	Uvozi iz datotečnega sistema HTTP. URL mora biti v naslednjih oblikah: http:// CAname:80 , kje CAname je sistem domenskih imen (DNS) http:// ipv4-naslov :80. Na primer: http://10.10.10.1:80. http:// [ipv6-naslov]:80 . Na primer: http://[2001:DB8:1:1::1]:80. Naslov IPv6 je v šestnajstiškem zapisu in mora biti v URL-ju v oklepajih.
https:	Uvozi iz datotečnega sistema HTTPS. URL mora uporabljati iste oblike kot HTTP: formati datotečnega sistema.
nič:	Uvozi iz ničelnega datotečnega sistema.
nvram:	Uvozi iz datotečnega sistema NVRAM.
voziček:	Uvozi iz datotečnega sistema Parameter Random-access Memory (PRAM).
rcp:	Uvozi iz datotečnega sistema protokola za oddaljeno kopiranje (rcp).
scp:	Uvozi iz datotečnega sistema protokola varnega kopiranja (scp).
snmp:	Uvozi iz preprostega protokola za upravljanje omrežja (SNMP).
sistem:	Uvozi iz sistemskega datotečnega sistema.
katran:	Uvozi iz datotečnega sistema UNIX tar.
tftp:	Uvozi iz datotečnega sistema TFTP.   URL mora biti v od: tftp:// CAname/specifikacija datoteke .
tmpsys:	Uvozi iz datotečnega sistema Cisco IOS tmpsys.
unix:	Uvozi iz datotečnega sistema UNIX.
xmodem:	Uvozi iz sistema preprostega protokola za prenos datotek xmodem.
ymodem:	Uvozi iz sistema preprostega protokola za prenos datotek ymodem.

Za prepoznavanje točka zaupanja ime-točke zaupanja ključno besedo in argument, uporabljen med rokovanjem za varnost transportne plasti (TLS), ki ustreza naslovu oddaljene naprave, uporabite kripto signalizacijo ukaz v načinu konfiguracije uporabniškega agenta (UA) SIP. Za ponastavitev na privzeto točka zaupanja niz, uporabite št obliko tega ukaza.

kripto signalizacijo { privzeto | daljinski naslov IP naslov podomrežna maska } [ tls-profil oznaka | točka zaupanja ime-točke zaupanja ] [ cn-san-preverjanje strežnik ] [ stranka-vtp ime-točke zaupanja ] [ šifra ecdsa | krivulja velikosti 384 | stroga šifra ]

št kripto signalizacijo { privzeto | daljinski naslov IP naslov podomrežna maska } [ tls-profil oznaka | točka zaupanja ime-točke zaupanja ] [ cn-san-preverjanje strežnik ] [ stranka-vtp ime-točke zaupanja ] [ šifra ecdsa | krivulja velikosti 384 | stroga šifra ]

Privzeti ukaz: Ukaz za kripto signalizacijo je onemogočen.

Ukazni način: Konfiguracija SIP UA (sip-ua)

Navodila za uporabo: The točka zaupanja ime-točke zaupanja ključna beseda in argument se nanašata na potrdilo CUBE, ustvarjeno kot del postopka vpisa z uporabo ukazov Cisco IOS PKI.

Ko je konfigurirano eno samo potrdilo, ga uporabljajo vse oddaljene naprave in ga konfigurira privzeto ključna beseda.

Ko se uporablja več potrdil, so lahko povezana z oddaljenimi storitvami, ki uporabljajo daljinski naslov argument za vsako točko zaupanja. The daljinski naslov in privzeti argumenti se lahko uporabljajo skupaj, da pokrijejo vse zahtevane storitve.

Privzeta zbirka šifr v tem primeru je naslednji niz, ki ga podpira sloj SSL na CUBE: TLS_RSA_Z_RC4_128_MD5 TLS_RSA_Z_AES_128_CBC_SHA TLS_DHE_RSA_Z_AES_128_CBC_SHA1 TLS_ECDHE_RSA_Z_AES_128_GCM_SHA256 TLS_ECDHE_RSA_Z_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_Z_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_Z_AES_256_GCM_SHA384

Ključna beseda cn-san-validate strežnik omogoča preverjanje identitete strežnika prek polj CN in SAN v potrdilu pri vzpostavljanju povezav SIP/TLS na strani odjemalca. Preverjanje polj CN in SAN strežniškega potrdila zagotavlja, da je domena na strani strežnika veljavna entiteta. Pri ustvarjanju varne povezave s strežnikom SIP CUBE preveri veljavnost konfiguriranega imena ciljne domene seje glede na polja CN/SAN v potrdilu strežnika, preden vzpostavi sejo TLS. Ko konfigurirate cn-san-validate strežnik , se preverjanje identitete strežnika izvede za vsako novo povezavo TLS.

The tls-profil povezuje konfiguracije pravilnika TLS, narejene prek povezanega glasovni razred tls-profil konfiguracijo. Poleg možnosti pravilnika TLS, ki so na voljo neposredno z kripto signalizacijo ukaz, a tls-profil vključuje tudi sni poslati možnost.

sni poslati omogoča navedbo imena strežnika (SNI), razširitev TLS, ki odjemalcu TLS omogoča, da navede ime strežnika, s katerim se poskuša povezati med začetnim postopkom rokovanja TLS. V pozdravu odjemalca se pošlje samo popolnoma kvalificirano ime gostitelja DNS strežnika. SNI ne podpira naslovov IPv4 in IPv6 v razširitvi pozdrava odjemalca. Po prejemu "zdravo" z imenom strežnika od odjemalca TLS strežnik uporabi ustrezno potrdilo v nadaljnjem postopku rokovanja TLS. SNI zahteva TLS različice 1.2.

Funkcije pravilnika TLS bodo na voljo le prek a glasovni razred tls-profil konfiguracijo. The kripto signalizacijo ukaz še naprej podpira predhodno obstoječe kripto možnosti TLS. Uporabite lahko bodisi glasovni razred tls-profil oznaka oz kripto signalizacijo ukaz za konfiguracijo točke zaupanja. Priporočamo, da uporabite glasovni razred tls-profil oznaka ukaz za izvedbo konfiguracije profila TLS.