Щоб увімкнути модель керування доступом автентифікації, авторизації та обліку (AAA), використовуйте aaa нова модель команду в режимі глобального конфігурації. Щоб вимкнути модель контролю доступу AAA, використовуйте немає форму цієї команди.

aaa нова модель

немає aaa нова модель

Ця команда не має аргументів або ключових слів.

Команда за замовчуванням: AAA не ввімкнено.

Командний режим: Глобальна конфігурація (конфігурація)

Інструкції з використання: Ця команда вмикає систему контролю доступу AAA.

Щоб налаштувати автентифікацію, авторизацію та облікову автентифікацію (AAA) під час входу, використовуйте aaa вхід для автентифікації команду в режимі глобального конфігурації. Щоб вимкнути автентифікацію AAA, використовуйте немає форму цієї команди.

aaa вхід для автентифікації { за замовчуванням| ім’я-списку } спосіб1 [ спосіб2... ]

немає aaa вхід для автентифікації { за замовчуванням| ім’я-списку } спосіб1 [ спосіб2... ]

Команда за замовчуванням: Автентифікацію AAA під час входу вимкнено.

Командний режим: Глобальна конфігурація (конфігурація)

Інструкції з використання: Якщо за замовчуванням ключове слово не встановлено, перевіряється лише локальна база даних користувачів. Це має той самий ефект, що й така команда:

aaa authentication login default local

На консолі вхід буде виконано успішно без будь-яких перевірок автентифікації, якщо за замовчуванням ключове слово не встановлено.

Імена списків за замовчуванням та необов’язкові, які ви створюєте за допомогою aaa вхід для автентифікації команди використовуються з автентифікація входу команду.

Створіть список, ввівши aaa вхід для автентифікації команда методу ім’я списку для конкретного протоколу. Аргумент імені-списку — це рядок символів, що використовується для іменування списку методів автентифікації, що активуються під час входу користувача. Аргумент методу ідентифікує список методів, які намагається алгоритм автентифікації, у наведеній послідовності. У розділі «Методи автентифікації, які не можна використовувати для аргументу імені списку» наведено методи автентифікації, які не можна використовувати для аргументу імені списку, а в таблиці нижче наведено опис ключових слів методів.

Щоб створити список за замовчуванням, який використовується, якщо жоден список не призначено лінії, використовуйте автентифікація входу команду з аргументом за замовчуванням, а потім методами, які потрібно використовувати в ситуаціях за замовчуванням.

Пароль запитується лише один раз для автентифікації облікових даних користувача. У разі помилок через проблеми з підключенням можна повторити кілька спроб за допомогою додаткових методів автентифікації. Однак перемикання на наступний метод автентифікації відбувається лише в тому випадку, якщо попередній метод повертає помилку, а не в разі помилки. Щоб переконатися, що автентифікація пройшла успішно, навіть якщо всі методи повертають помилку, укажіть немає як останній метод у командному рядку.

Якщо автентифікацію не налаштовано для лінії, за замовчуванням буде заборонено доступ, а автентифікація не виконується. Використовуйте більше system:running-config команду, щоб відобразити поточні налаштовані списки методів автентифікації.

Методи автентифікації, які не можна використовувати для аргументу імені-списку

Методи автентифікації, які не можна використовувати для аргументу імені-списку:

• автентифікація-гість

• увімкнути

• гість

• у разі автентифікації

• за потреби

• krb5

• екземпляр krb

• krb-telnet

• лінія

• локальний

• немає

• радіус

• rcmd

• tacacs

• tacacsplus

У таблиці нижче методи групи radius, group tacacs +, group ldap і group-ім’я групи посилаються на набір раніше визначених серверів RADIUS або TACACS+. Використовуйте команди radius-server host і tacacs-server host для налаштування серверів хоста. Використовуйте команди aaa group server radius, aaa group server ldap і aaa group server tacacs+, щоб створити іменовану групу серверів.

У таблиці нижче наведено опис ключових слів методу.

Ключове слово	Опис
кешування ім’я-групи	Використовує групу сервера кешу для автентифікації.
увімкнути	Використовує пароль увімкнення для автентифікації. Це ключове слово не можна використовувати.
група ім’я-групи	Використовує підмножину серверів RADIUS або TACACS+ для автентифікації, як визначено в aaa радіус сервера групи або aaa груповий сервер tacacs+ команду.
група ldap	Використовує список усіх серверів Lightweight Directory Access Protocol (LDAP) для автентифікації.
група радіус	Використовує список усіх серверів RADIUS для автентифікації.
група tacacs+	Використовує список усіх серверів TACACS+ для автентифікації.
krb5	Використовує Kerberos 5 для автентифікації.
krb5-telnet	Використовує протокол автентифікації Telnet Kerberos 5 під час використання Telnet для підключення до маршрутизатора.
лінія	Використовує пароль лінії для автентифікації.
локальний	Використовує локальну базу даних імен користувачів для автентифікації.
локальний регістр	Використовує локальну автентифікацію імені користувача з урахуванням регістру.
немає	Не використовує автентифікацію.
термін дії пароля	Вмикає старіння пароля в списку локальної автентифікації.   , radius-server vsa автентифікація надсилання необхідна команда для створення термін дії пароля робота з ключовими словами.

Щоб установити параметри, які обмежують доступ користувачів до мережі, використовуйте авторизація aaa команду в режимі глобального конфігурації. Щоб видалити параметри, використовуйте немає форму цієї команди.

ааа авторизації { автентифікаційний проксі| кешування| команд рівень| config-commands| конфігурації| консоль| виконав| ipmobile| багатоадресна передача| мережі| політика-якщо| передплачено| радіус-проксі| зворотний доступ| абонентська служба| шаблон } { за замовчуванням| ім’я-списку } [ спосіб1 [ метод2.… ]]

немає ааа авторизації { автентифікаційний проксі| кешування| команд рівень| config-commands| конфігурації| консоль| виконав| ipmobile| багатоадресна передача| мережі| політика-якщо| передплачено| радіус-проксі| зворотний доступ| абонентська служба| шаблон } { за замовчуванням| ім’я-списку } [ спосіб1 [ метод2.… ]]

Команда за замовчуванням: Авторизацію вимкнено для всіх дій (еквівалент ключового слова методу немає ).

Командний режим: Глобальна конфігурація (конфігурація)

Інструкції з використання: Використовуйте команду авторизації aaa, щоб увімкнути авторизацію та створити списки іменованих методів, які визначають методи авторизації, які можна використовувати, коли користувач звертається до вказаної функції. Списки методів для авторизації визначають способи виконання авторизації та послідовність, у якій будуть виконуватися ці методи. Список методів — це іменований список, який описує методи авторизації (наприклад, RADIUS або TACACS+), які необхідно використовувати послідовно. Списки методів дозволяють призначити один або кілька протоколів безпеки, які будуть використовуватися для авторизації, забезпечуючи таким чином резервну систему на випадок помилки початкового методу. Програмне забезпечення Cisco IOS використовує перший у списку спосіб авторизації користувачів для певних мережевих служб; якщо цей метод не відповідає, програмне забезпечення Cisco IOS вибирає наступний метод, указаний у списку методів. Цей процес триває, доки не буде успішного зв’язку з переліченим методом авторизації або поки не буде вичерпано всі визначені методи.

Програмне забезпечення Cisco IOS намагається авторизуватися за допомогою наступного способу, лише якщо немає відповіді від попереднього способу. Якщо в будь-який момент цього циклу не вдається виконати авторизацію (це означає, що сервер безпеки або локальна база даних імен користувачів реагують відмовою в послугах користувачів), процес авторизації зупиняється, і інші методи авторизації не застосовуються.

Якщо команда авторизації aaa для певного типу авторизації видана без вказаного списку іменованих методів, список методів за замовчуванням автоматично застосовується до всіх інтерфейсів або ліній (де застосовується цей тип авторизації), крім тих, для яких явно визначено список іменованих методів. (Визначений список методів перевизначає список методів за замовчуванням.) Якщо список методів за замовчуванням не визначено, авторизація не виконується. Список методів авторизації за замовчуванням необхідно використовувати для виконання вихідної авторизації, наприклад для авторизації завантаження пулів IP із сервера RADIUS.

Використовуйте команду авторизації aaa, щоб створити список, ввівши значення для імені-списку та аргументів методу, де ім’я-списку — це будь-який рядок символів, що використовується для назви цього списку (за винятком імен усіх методів), а метод ідентифікує список методів авторизації. спробував у вказаній послідовності.

Команда авторизації aaa підтримує 13 окремих списків методів. Наприклад:

aaa конфігурація авторизації методсписок1 радіус групи

aaa конфігурація авторизації методсписок2 групи радіус

...

Радіус групи aaa конфігурації авторизації methodlist13

У таблиці нижче методи групи group-name, group ldap, group radius і group tacacs + відносяться до набору раніше визначених серверів RADIUS або TACACS+. Використовуйте команди radius-server host і tacacs-server host для налаштування серверів хоста. Використовуйте команди aaa group server radius , aaa group server ldap і aaa group server tacacs+ для створення іменованої групи серверів.

Програмне забезпечення Cisco IOS підтримує такі методи авторизації:

• Групи кеш-серверів — маршрутизатор звертається до своїх груп серверів кешування, щоб авторизувати певні права для користувачів.

• Якщо автентифіковано — користувачеві дозволено доступ до запитуваної функції за умови, що він успішно автентифікований.

• Локальний — маршрутизатор або сервер доступу звертається до своєї локальної бази даних, як це визначено командою імені користувача, щоб авторизувати певні права для користувачів. Через локальну базу даних можна керувати лише обмеженим набором функцій.

• Немає — сервер доступу до мережі не запитує інформацію про авторизацію; авторизація не виконується через цю лінію або інтерфейс.

• RADIUS --сервер доступу до мережі запитує інформацію про авторизацію від групи серверів безпеки RADIUS. Авторизація RADIUS визначає конкретні права для користувачів шляхом пов’язування атрибутів, які зберігаються в базі даних на сервері RADIUS, з відповідним користувачем.

• TACACS+ — сервер доступу до мережі обмінюється інформацією про авторизацію з демоном безпеки TACACS+. Авторизація TACACS+ визначає конкретні права для користувачів шляхом пов’язування пар атрибут-значення (AV), які зберігаються в базі даних на сервері безпеки TACACS+, з відповідним користувачем.

Щоб дозволити підключення між конкретними типами кінцевих пристроїв у мережі VoIP, використовуйте дозволити підключення команду в режимі конфігурації голосової служби. Щоб відмовитися від певних типів підключень, використовуйте немає форму цієї команди.

дозволити підключення тип "від". до для введення

немає дозволити підключення тип "від". до для введення

Команда за замовчуванням: З’єднання SIP-SIP вимкнено за замовчуванням.

Командний режим: Конфігурація служби голосового зв’язку (config-voi-serv)

Інструкції з використання: Ця команда використовується для дозволу підключення між конкретними типами кінцевих пристроїв у багатосервісному шлюзі IP-to-IP Cisco. Команда ввімкнена за замовчуванням і не може бути змінена.

Щоб дозволити вставлення "#" у будь-яке місце в регістрі голосу dn, використовуйте дозволити-геш-в-dn команду в глобальному режимі реєстру голосу. Щоб вимкнути це, використовуйте немає форму цієї команди.

дозволити-геш-в-dn

немає дозволу хешування в dn

Команда за замовчуванням: Команда вимкнена за замовчуванням.

Командний режим: глобальна конфігурація реєстру голосу (config-register-global)

Інструкції з використання: До появи цієї команди в реєстрі голосу dn підтримувалися символи від 0 до 9, + і *. Нова команда вмикається щоразу, коли користувач вимагає вставлення # у регістр голосу dn. Команда вимкнена за замовчуванням. Цю команду можна налаштувати лише в режимах Cisco Unified SRST і Cisco Unified E-SRST. Символ # можна вставити в будь-яке місце в реєстрі голосу dn. Якщо цю команду ввімкнено, користувачі повинні змінити символ завершення за замовчуванням (#) на інший допустимий символ за допомогою термінатор точки набору команду в режимі конфігурації.

Щоб увійти в режим конфігурації програми резервування, використовуйте резервування програми команду в режимі конфігурації резервування.

застосунку резервування

Ця команда не має аргументів або ключових слів.

Команда за замовчуванням: Немає

Командний режим: Конфігурація резервування (конфігурація-червоний)

Інструкції з використання: Використовуйте це резервування програми команду, щоб налаштувати резервування програми для високої доступності.

Щоб установити шлюз за замовчуванням для програми, використовуйте програма-шлюз за замовчуванням команду в режимі конфігурації хостингу програми. Щоб видалити шлюз за замовчуванням, використовуйте немає форму цієї команди.

програма-шлюз за замовчуванням [ IP-адреса гостьовий інтерфейс номер-інтерфейсу мережі ]

немає програма-шлюз за замовчуванням [ IP-адреса гостьовий інтерфейс номер-інтерфейсу мережі ]

Команда за замовчуванням: Шлюз за замовчуванням не налаштовано.

Командний режим: Конфігурація хостингу програми (config-app-hosting)

Інструкції з використання: Використовуйте програма-шлюз за замовчуванням команду, щоб установити шлюз за замовчуванням для програми. З’єднувачі шлюзу – це програми, установлені в контейнері Cisco IOS XE GuestShell.

Щоб налаштувати програму та перейти в режим конфігурації розміщення програм, використовуйте app-hosting appid команду в режимі глобального конфігурації. Щоб видалити програму, використовуйте немає форму цієї команди.

app-hosting appid ім’я-програми

Команда за замовчуванням: Не налаштовано жодної програми.

Командний режим: Глобальна конфігурація (конфігурація)

Інструкції з використання: Аргумент імені програми може містити до 32 буквено-цифрових символів.

Після налаштування цієї команди можна оновити конфігурацію хостингу програми.

Щоб перевизначити профіль ресурсів, наданий програмою, використовуйте профіль програми-ресурсу команду в режимі конфігурації хостингу програми. Щоб повернутися до профілю ресурсу, визначеного програмою, використовуйте немає форму цієї команди.

профіль програми-ресурсу ім’я-профілю

немає профіль програми-ресурсу ім’я-профілю

Команда за замовчуванням: Профіль ресурсу налаштовано.

Командний режим: Конфігурація хостингу програми (config-app-hosting)

Інструкції з використання: Зарезервовані ресурси, зазначені в пакеті програми, можна змінити, установивши користувацький профіль ресурсів. Можна змінити лише ресурси ЦП, пам’ять і віртуальні ЦП (vCPU). Щоб зміни ресурсів набули чинності, зупиніть і деактивуйте програму, потім активуйте та запустіть її знову.

Підтримується лише користувацький профіль.

Ця команда налаштовує користувацький профіль ресурсів програми та переходить у режим конфігурації користувацького профілю ресурсів програми.

Щоб налаштувати шлюз віртуального мережевого інтерфейсу для програми, використовуйте шлюз app-vnic команду в режимі конфігурації хостингу програми. Щоб видалити конфігурацію, використовуйте немає форму цієї команди.

Ця команда підтримується лише на платформах маршрутизації. Він не підтримується на платформах перемикання.

шлюз app-vnic група віртуальних портів номер гостьовий інтерфейс номер-інтерфейсу мережі

немає шлюз app-vnic група віртуальних портів номер гостьовий інтерфейс номер-інтерфейсу мережі

Команда за замовчуванням: Шлюз віртуальної мережі не налаштовано.

Командний режим: Конфігурація хостингу програми (config-app-hosting)

Інструкції з використання: Після налаштування шлюзу віртуального мережевого інтерфейсу для програми режим команди змінюється на режим конфігурації шлюзу з розміщенням програм. У цьому режимі можна налаштувати IP-адресу гостьового інтерфейсу.

Щоб увімкнути підтримку заголовка підтвердженого ідентифікатора у вхідних запитах або повідомленнях відповідей за протоколом SIP, а також для надсилання інформації про конфіденційність підтвердженого ідентифікатора у вихідних запитах SIP або повідомленнях-відповідях, використовуйте підтверджений ідентифікатор в режимі конфігурації VoIP-SIP або голосової служби або в режимі конфігурації клієнта класу голосу. Щоб вимкнути підтримку заголовка підтвердженого ідентифікатора, використовуйте немає форму цієї команди.

підтверджений ідентифікатор { пай| ppi } системи

немає підтверджений ідентифікатор { пай| ppi } системи

Команда за замовчуванням: Інформація про конфіденційність надсилається за допомогою заголовка Remote-Party-ID (RPID) або FROM.

Командний режим: Конфігурація VoIP-SIP служби голосової підтримки (conf-serv-sip) і конфігурація клієнта класу голосу (config-class)

Інструкції з використання: Якщо вибрати пай ключове слово або ppi ключове слово, шлюз будує заголовок PAI або заголовок PPI відповідно в спільний стек SIP. , пай ключове слово або ppi ключове слово має пріоритет перед заголовком Remote-Party-ID (RPID) і видаляє заголовок RPID із вихідного повідомлення, навіть якщо маршрутизатор налаштовано на використання заголовка RPID на глобальному рівні.

Щоб налаштувати підтримку асиметричного корисного навантаження протоколу ініціювання сеансу (SIP), використовуйте асиметричне корисне навантаження у режимі конфігурації SIP або в режимі конфігурації клієнта класу голосу. Щоб вимкнути підтримку асиметричного корисного навантаження, використовуйте немає форму цієї команди.

асиметричний корисне навантаження { dtmf| динамічні кодеки| повний| системи }

немає асиметричний корисне навантаження { dtmf| динамічні кодеки| повний| системи }

Команда за замовчуванням: Цю команду вимкнено.

Командний режим: Конфігурація SIP служби голосової пошти (conf-serv-sip), конфігурація клієнта класу голосу (config-class)

Інструкції з використання: Увійдіть у режим конфігурації SIP з режиму конфігурації служби голосового зв’язку, як показано в прикладі.

Для Cisco UBE асиметричний тип корисного навантаження SIP підтримується для аудіо/відеокодеків, DTMF і NSE. Отже, dtmf і динамічні кодеки ключові слова внутрішньо зіставлені з повний ключове слово для забезпечення асиметричної підтримки типу корисного навантаження для аудіо/відеокодеків, DTMF і NSE.

Щоб увімкнути автентифікацію дайджеста SIP для окремого вузла набору, використовуйте автентифікації команду в режимі конфігурації голосу однорангового набору. Щоб вимкнути автентифікацію дайджеста SIP, використовуйте немає форму цієї команди.

автентифікації ім’я користувача ім’я користувача пароль { 0| 6| 7 } пароль [ області області| виклик| всі ]

немає автентифікації ім’я користувача ім’я користувача пароль { 0| 6| 7 } пароль [ області області| виклик| всі ]

Команда за замовчуванням: Автентифікацію дайджеста SIP вимкнено.

Командний режим: Конфігурація голосу однорангового набору (config-dial-peer)

Інструкції з використання: У разі ввімкнення автентифікації дайджеста застосовуються такі правила конфігурації:

• Для одного вузла набору можна налаштувати лише одне ім’я користувача. Будь-яку наявну конфігурацію імені користувача необхідно видалити, перш ніж налаштовувати інше ім’я користувача.

• Максимум п’ять пароль або області аргументи можна налаштувати для будь-якого імені користувача.

, ім’я користувача і пароль Аргументи використовуються для автентифікації користувача. Сервер/проксі-сервер для автентифікації, який видає відповідь на виклик 407/401, включає область у відповіді на виклик, і користувач надає облікові дані, допустимі для цієї області. Оскільки передбачається, що максимум п’ять проксі-серверів на шляху сигналізації можуть спробувати автентифікувати заданий запит від клієнта оператора користувача (UAC) до сервера оператора користувача (UAS), користувач може налаштувати до п’яти паролів і комбінації областей для налаштованого імені користувача.

Користувач надає пароль у вигляді простого тексту, але він зашифрований і збережений для відповіді на запит 401. Якщо пароль не збережено в зашифрованому вигляді, надсилається небажаний пароль, і автентифікація не вдається.

• Специфікація області є необов’язковою. Якщо його не вказано, пароль, налаштований для цього імені користувача, буде застосовано до всіх областей, які намагаються пройти автентифікацію.

• Одночасно можна налаштувати лише один пароль для всіх налаштованих областей. Якщо налаштовано новий пароль, він замінює будь-який раніше налаштований пароль.

Це означає, що можна налаштувати лише один глобальний пароль (один без указаної області). Якщо налаштувати новий пароль без налаштування відповідної області, новий пароль замінить попередній.

• Якщо область налаштована для попередньо налаштованих імені користувача та пароля, ця специфікація області додається до наявної конфігурації імені користувача та пароля. Однак після додавання області до конфігурації імені користувача та пароля ця комбінація імені користувача та пароля дійсна лише для цієї області. Налаштовану область неможливо видалити з конфігурації імені користувача та пароля без попереднього видалення всієї конфігурації для цього імені користувача та пароля. Потім можна повторно налаштувати цю комбінацію імені користувача та пароля з іншою областю або без неї.

• У записі з паролем і областю можна змінити пароль або область.

• Використовуйте немає автентифікації всі команду, щоб видалити всі записи автентифікації для користувача.

Необхідно вказати тип шифрування для пароля. Якщо пароль із відкритим текстом (введіть 0 ) налаштовано, він зашифрований як тип 6 перед збереженням до поточної конфігурації.

Якщо вказати тип шифрування як 6 або 7 , введений пароль перевіряється на відповідність допустимому типу 6 або 7 пароль і збережено як тип 6 або 7 відповідно.

Паролі типу 6 шифруються за допомогою шифру AES і первинного ключа, який визначає користувач. Ці паролі є порівняно більш безпечними. Первинний ключ ніколи не відображається в конфігурації. Введіть без відома первинного ключа 6 паролі непридатні для використання. Якщо первинний ключ змінено, пароль, збережений як тип 6, повторно шифрується за допомогою нового первинного ключа. Якщо конфігурацію первинного ключа видалено, тип 6 паролі неможливо розшифрувати, що може призвести до помилки автентифікації для викликів і реєстрацій.

Під час створення резервної копії конфігурації або міграції конфігурації на інший пристрій первинний ключ не створюється. Тому первинний ключ потрібно знову налаштувати вручну.

Щоб налаштувати зашифрований попередньо спільний ключ, див Налаштування зашифрованого попередньо спільного ключа .

За типом шифрування відображається таке попередження 7 налаштовано. Застереження: Команду додано до конфігурації з використанням пароля типу 7. Однак паролі типу 7 скоро стануть застарілими. Виконайте міграцію до підтримуваного типу пароля 6.

Щоб прив’язати адресу джерела для сигналізації та медіапакетів до IPv4 або IPv6-адреси певного інтерфейсу, використовуйте прив’язати команду в режимі конфігурації SIP. Щоб вимкнути прив’язку, використовуйте немає форму цієї команди.

прив’язати { контроль| медіа| всі } інтерфейс джерела ідентифікатор інтерфейсу { ipv4-адреса ipv4-адреса| IPv6-адреса IPv6-адреса }

немає прив’язати { контроль| медіа| всі } інтерфейс джерела ідентифікатор інтерфейсу { ipv4-адреса ipv4-адреса| IPv6-адреса IPv6-адреса }

Команда за замовчуванням: Прив’язку вимкнено.

Командний режим: Конфігурація SIP (conf-serv-sip) і клієнт класу Voice.

Інструкції з використання: Асинхронний, Ethernet, FastEthernet, Loopback і Serial (включно з Frame Relay) є інтерфейсами в межах програми SIP.

Якщо прив’язати не ввімкнено, рівень IPv4 надає найкращу локальну адресу.

Щоб увімкнути базові конфігурації для Call-Home, використовуйте звітування про виклик додому команду в режимі глобального конфігурації.

звітування про виклик додому { анонімно| контакт-адреса електронної пошти } [ http-проксі { ipv4-адреса| IPv6-адреса| ім’я } порт номер порту ]

Команда за замовчуванням: Немає поведінки або значень за замовчуванням

Командний режим: Глобальна конфігурація (конфігурація)

Інструкції з використання: Після успішного ввімкнення Call-Home в анонімному режимі або режимі повної реєстрації за допомогою звітування про виклик додому команди, надсилається повідомлення про запас. Якщо функцію Call-Home ввімкнено в режимі повної реєстрації, надсилається повідомлення про повну реєстрацію для режиму повної реєстрації. Якщо функцію Call-Home ввімкнено в анонімному режимі, надсилається анонімне повідомлення про запас. Додаткову інформацію про відомості повідомлення див Події та команди запуску групи оповіщень .

Щоб увімкнути підтримку Cisco Unified SRST і перейти в режим конфігурації диспетчера викликів із резервним резервуванням, використовуйте call-manager-fallback команду в режимі глобального конфігурації. Щоб вимкнути підтримку Cisco Unified SRST, використовуйте немає форму цієї команди.

call-manager-fallback

немає call-manager-fallback

Ця команда не має аргументів або ключових слів.

Команда за замовчуванням: Немає поведінки або значень за замовчуванням.

Командний режим: Глобальна конфігурація

Щоб увімкнути перевірку ідентифікаційних даних сервера, клієнта або двостороннього партнера під час рукостискання TLS, використовуйте команду cn-san перевірити в режимі конфігурації профілю tls голосового класу. Щоб вимкнути перевірку посвідчення сертифіката, використовуйте немає форму цієї команди.

cn-san перевірити { сервер| клієнта| двонаправлений }

немає cn-san перевірити { сервер| клієнта| двонаправлений }

Команда за замовчуванням: Перевірку посвідчень вимкнено.

Командний режим: Конфігурація класу голосу (config-class)

Інструкції з використання: Перевірка ідентичності сервера пов’язана із безпечним сигнальним підключенням через глобальний шифрування сигналів і tls-профіль класу голосу конфігурації.

Команда розширена, щоб включити клієнта і двонаправлений ключові слова. Параметр клієнта дозволяє серверу перевіряти особу клієнта шляхом перевірки імен хостів CN і SAN, включених до наданого сертифіката, щодо довіреного списку повних імен cn-san. З’єднання буде встановлено, лише якщо знайдено збіг. Цей список повних імен cn-san тепер також використовується для перевірки сертифіката сервера, на додаток до імені хоста сеансу цілі. , двонаправлений Параметр перевіряє ідентифікаційні дані для клієнтських і серверних підключень шляхом поєднання обох сервер і клієнта режимів. Після налаштування cn-san перевірити , ідентичність сертифіката партнера перевіряється для кожного нового підключення TLS.

Щоб налаштувати список імен повного домену (FQDN) для перевірки відносно сертифіката однорангові для вхідних або вихідних підключень TLS, використовуйте cn-san команду в режимі конфігурації профілю tls класу голосу. Щоб видалити запис перевірки сертифіката cn-san, використовуйте немає форму цієї команди.

cn-san{1-10}повний номер

немає cn-san{1-10}повний номер

Команда за замовчуванням: Жодних імен cn-san не налаштовано.

Командний режим: Режим конфігурації профілю tls класу голосу (config-class)

Інструкції з використання: Повне доменне ім’я, яке використовується для перевірки сертифікатів однорангового зв’язку, призначається профілю TLS до десяти cn-san записів. Перш ніж буде встановлено з’єднання TLS, принаймні один із цих записів має бути зіставлений із повним доменом у будь-якому з полів Загальне ім’я сертифіката (CN) або Альтернативне ім’я суб’єкта (SAN). Щоб зіставити будь-який хост домену, що використовується в полі CN або SAN, a cn-san запис може бути налаштований за допомогою символу підстановки домену строго у формі *.ім’я-домену (наприклад, *.cisco.com). Інше використання символів підстановки не дозволяється.

Для вхідних підключень список використовується для перевірки полів CN і SAN у сертифікаті клієнта. Для вихідних підключень список використовується разом із цільовим іменем хоста сеансу для перевірки полів CN і SAN у сертифікаті сервера.

Сертифікати сервера також можна перевірити шляхом зіставлення FQDN цільового сеансу SIP з полем CN або SAN.

Щоб задати список бажаних кодеків для використання на вузлі набору, використовуйте кодек бажаний параметр команду в режимі конфігурації класу голосу. Щоб вимкнути цю функцію, використовуйте немає форму цієї команди.

кодек бажаний параметр значення тип кодека

немає кодек бажаний параметр значення тип кодека

Команда за замовчуванням: Якщо цю команду не ввести, конкретні типи кодеків не будуть визначені для бажаних параметрів.

Командний режим: конфігурація класу голосу (config-class)

Інструкції з використання: Маршрутизаторам на протилежних кінцях WAN, можливо, доведеться узгодити вибір кодека для мережевих вузлів набору. , кодек бажаний параметр Команда визначає порядок бажаних параметрів для вибору узгодженого кодека для підключення. У таблиці нижче наведено параметри корисного навантаження голосу та значення за замовчуванням для кодеків і пакетних голосових протоколів.

Щоб використовувати глобальний порт слухача для надсилання запитів через UDP, використовуйте підключення-повторне використання у режимі sip-ua або в режимі конфігурації клієнта класу голосу. Щоб вимкнути, використовуйте немає форму цієї команди.

підключення-повторне використання { через порт| системи }

немає підключення-повторне використання { через порт| системи }

Команда за замовчуванням: Локальний шлюз використовує короткочасний UDP-порт для надсилання запитів через UDP.

Режими команд: Конфігурація SIP UA (config-sip-ua), конфігурація клієнта класу голосу (config-class)

Інструкції з використання: Виконання цієї команди дозволяє використовувати порт слухача для надсилання запитів через UDP. Порт обробника за замовчуванням для звичайного незахищеного SIP — 5060, а захищений SIP — 5061. Налаштувати listen-port [незахищений| безпечний] порт в режимі конфігурації VoIP > sip, щоб змінити глобальний порт UDP.

Щоб змінити квоту ЦП або блок, виділений для програми, використовуйте ЦП в режимі конфігурації профілю ресурсу користувацького застосунку. Щоб повернутися до квоти ЦП, наданої програмою, використовуйте немає форму цієї команди.

ЦП одиниця

немає ЦП одиниця

Команда за замовчуванням: ЦП за замовчуванням залежить від платформи.

Командний режим: Користувацька конфігурація профілю ресурсу програми (config-app-resource-profile-custom)

Інструкції з використання: Блок ЦП – це мінімальний виділений ЦП програмою. Загальна кількість одиниць ЦП базується на нормалізованих одиницях ЦП, виміряних для цільового пристрою.

У кожному пакеті програми надається профіль ресурсу для конкретної програми, який визначає рекомендоване навантаження на ЦП, розмір пам’яті та кількість віртуальних ЦП (vCPU), необхідних для програми. Використовуйте цю команду, щоб змінити розподіл ресурсів для конкретних процесів у профілі користувацького ресурсу.

Зарезервовані ресурси, зазначені в пакеті програми, можна змінити, установивши користувацький профіль ресурсів. Можна змінити лише ресурси ЦП, пам’ять і ресурси vCPU. Щоб зміни ресурсів набули чинності, зупиніть і деактивуйте програму, потім активуйте її та запустіть знову.

Значення ресурсів залежать від конкретної програми, і будь-яке коригування цих значень має гарантувати надійну роботу програми зі змінами.

Щоб налаштувати шлюз Cisco IOS Session Initiation Protocol (SIP) із часовим мультиплексуванням (TDM), Cisco Unified Border Element (Cisco UBE) або Cisco Unified Communications Manager Express (Cisco Unified CME) для надсилання повідомлення про реєстрацію SIP в стан UP, використовуйте облікові дані у режимі конфігурації SIP UA або в режимі конфігурації клієнта класу голосу. Щоб вимкнути облікові дані дайджеста SIP, використовуйте немає форму цієї команди.

облікові дані { dhcp| номер номер ім’я користувача ім’я користувача } пароль { 0| 6| 7 } пароль області області

немає облікові дані { dhcp| номер номер ім’я користувача ім’я користувача } пароль { 0| 6| 7 } пароль області області

Команда за замовчуванням: Облікові дані дайджеста SIP вимкнено.

Командний режим: Конфігурація SIP UA (config-sip-ua) і конфігурація клієнта класу Voice (config-class).

Інструкції з використання: Якщо облікові дані ввімкнені, застосовуються такі правила конфігурації:

• Тільки один пароль допустимий для всіх імен доменів. Новий налаштований пароль замінює будь-який раніше налаштований пароль.

• Пароль завжди відображатиметься в зашифрованому форматі, коли облікові дані налаштовано команду й показати run-config використовується команда.

, dhcp ключове слово в команді означає, що основний номер отримано через DHCP, а шлюз Cisco IOS SIP TDM, Cisco UBE або Cisco Unified CME, на яких ввімкнено команду, використовує цей номер для реєстрації або скасування реєстрації отриманого основного номера.

Необхідно вказати тип шифрування для пароля. Якщо пароль із відкритим текстом (введіть 0 ) налаштовано, він зашифрований як тип 6 перед збереженням до поточної конфігурації.

Якщо вказати тип шифрування як 6 або 7 , введений пароль перевіряється на відповідність допустимому типу 6 або 7 пароль і збережено як тип 6 або 7 відповідно.

Паролі типу 6 шифруються за допомогою шифру AES і первинного ключа, який визначає користувач. Ці паролі є порівняно більш безпечними. Первинний ключ ніколи не відображається в конфігурації. Введіть без відома первинного ключа 6 паролі непридатні для використання. Якщо первинний ключ змінено, пароль, збережений як тип 6, повторно шифрується за допомогою нового первинного ключа. Якщо конфігурацію первинного ключа видалено, тип 6 паролі неможливо розшифрувати, що може призвести до помилки автентифікації для викликів і реєстрацій.

Під час створення резервної копії конфігурації або міграції конфігурації на інший пристрій первинний ключ не створюється. Тому первинний ключ потрібно знову налаштувати вручну.

Щоб налаштувати зашифрований попередньо спільний ключ, див Налаштування зашифрованого попередньо спільного ключа .

Застереження: Команду додано до конфігурації з використанням пароля типу 7. Однак паролі типу 7 скоро стануть застарілими. Виконайте міграцію до підтримуваного типу пароля 6.

У YANG неможливо налаштувати одне й те саме ім’я користувача для двох різних областей.

Щоб указати бажані параметри для набору шифрів SRTP, який буде запропоновано Cisco Unified Border Element (CUBE) у SDP у пропозиції та відповіді, використовуйте криптовалюта команду в режимі конфігурації класу голосу. Щоб вимкнути цю функцію, використовуйте немає форму цієї команди.

криптовалюта бажаний параметр набір шифрів

немає криптовалюта бажаний параметр набір шифрів

Команда за замовчуванням: Якщо цю команду не налаштовано, за замовчуванням буде запропоновано набори шифрів srtp у такому порядку бажаних параметрів:

• AEAD_ AES_ 256_ GCM

• AEAD_ AES_ 128_ GCM

• AES_CM_128_HMAC_SHA1_80

• AES_ CM_ 128_ HMAC_ SHA1_ 32

Командний режим: голосовий клас srtp-crypto (config-class)

Інструкції з використання: Якщо змінити бажаний параметр для вже налаштованого набору шифрів, бажаний параметр буде перезаписано.

Щоб створити пари ключів Рівеста, Шаміра та Адельмана (RSA), використовуйте криптоключ генерує RSA команду в режимі глобального конфігурації.

криптоключ генерує RSA [ { загальні ключі| ключі використання| підпис| шифрування } ] [ мітки ключ-мітка ] [ можна експортувати ] [ модуль модуль-розмір ] [ зберігання ім’я пристрою : ] [ резервування увімкнено ім’я пристрою : ]

Команда за замовчуванням: Пар ключів RSA не існує.

Командний режим: Глобальна конфігурація (конфігурація)

Інструкції з використання: Використовуйте криптоключ генерує RSA команду для створення пар ключів RSA для вашого пристрою Cisco (наприклад, маршрутизатора).

Ключі RSA створюються парами: один відкритий ключ RSA та один приватний ключ RSA.

Якщо на момент введення цієї команди ваш маршрутизатор уже має ключі RSA, вас буде попереджено та попросити замінити наявні ключі новими.

, криптоключ генерує RSA команда не збережена в конфігурації маршрутизатора; однак ключі RSA, згенеровані цією командою, зберігаються в приватній конфігурації в NVRAM (яка ніколи не відображається користувачеві й не створюється резервної копії на іншому пристрої) під час наступного запису конфігурації в NVRAM.

• Ключі спеціального використання : Якщо створити ключі спеціального використання, буде створено дві пари ключів RSA. Одна пара буде використовуватися з будь-якою політикою обміну ключами в Інтернеті (IKE), яка вказує підписи RSA як метод автентифікації, а інша пара використовуватиметься з будь-якою політикою IKE, яка визначає зашифровані ключі RSA як метод автентифікації.

  CA використовується лише з політиками IKE, що вказують підписи RSA, а не з політиками IKE, що визначають одноразові повідомлення з шифруванням RSA. (Однак можна вказати більше однієї політики IKE і мати підписи RSA, зазначені в одній політиці, а одноразові записи, зашифровані RSA, в іншій політиці.)

  Якщо ви плануєте мати обидва типи методів автентифікації RSA у своїх політиках IKE, ви можете віддати перевагу створенню ключів спеціального використання. З ключами спеціального використання кожен ключ не відкривається без необхідності. (Без ключів спеціального використання один ключ використовується для обох методів автентифікації, що збільшує охоплення цього ключа).

• Ключі загального призначення : Якщо створити ключі загального призначення, буде створено лише одну пару ключів RSA. Ця пара буде використовуватися з політиками IKE, що вказують або підписи RSA, або ключі з шифруванням RSA. Тому пара ключів загального призначення може використовуватися частіше, ніж пара ключів спеціального використання.

• Іменовані пари ключів : Якщо ви створюєте іменовану пару ключів за допомогою аргументу ключ-мітка, ви також повинні вказати ключі використання ключове слово або загальні ключі ключове слово. Іменовані пари ключів дозволяють мати кілька пар ключів RSA, що дозволяє програмному забезпеченню Cisco IOS підтримувати різні пари ключів для кожного сертифіката посвідчення.

• Довжина модуля : Коли ви створюєте ключі RSA, вам буде запропоновано ввести довжину модуля. Чим довший модуль, тим сильніше безпека. Однак створення довших модулів займає більше часу (див. таблицю нижче для прикладів часу) і вимагає більше часу для використання.

  Таблиця 2. Часи вибірки за довжиною модуля для створення ключів RSA

  Маршрутизатор	360 біт	512 біт	1024 біти	2048 біт (максимум)
  Cisco 2500	11 секунд	20 секунд	4 хвилини 38 секунд	Більше 1 години
  Cisco 4700	Менше 1 секунди	1 секунда	4 секунди	50 секунд

  Програмне забезпечення Cisco IOS не підтримує модуль більший за 4096 біт. Довжина менше 512 біт зазвичай не рекомендується. У певних ситуаціях коротший модуль може не працювати належним чином з IKE, тому ми рекомендуємо використовувати мінімальний модуль 2048 біт.

  Якщо ключі RSA генеруються за допомогою криптографічного обладнання, можуть застосовуватися додаткові обмеження. Наприклад, коли ключі RSA генеруються адаптером порту служб Cisco VPN (VSPA), модуль ключа RSA має бути не менше ніж 384 біти й має бути кратним 64.

• Зазначення місця зберігання для ключів RSA: Коли ви видаєте криптоключ генерує RSA команду за допомогою зберігання ім’я пристрою : ключового слова й аргументу, ключі RSA будуть збережені на вказаному пристрої. Це розташування замінить будь-яке сховище криптоключів налаштування команди.

• Визначення пристрою для створення ключів RSA : Можна вказати пристрій, на якому генеруються ключі RSA. Підтримувані пристрої включають NVRAM, локальні диски та USB-токени. Якщо ваш маршрутизатор має налаштований і доступний маркер USB, його можна використовувати як криптографічний пристрій на додаток до пристрою зберігання даних. Використання токена USB як криптографічного пристрою дозволяє виконувати операції RSA, як-от створення ключів, підписання та автентифікація облікових даних для маркера. Закритий ключ ніколи не залишає маркер USB і не підлягає експорту. Відкритий ключ можна експортувати.

  Ключі RSA можуть бути створені на налаштованих і доступних USB-токенах за допомогою увімкнено ім’я пристрою : ключове слово й аргумент. Ключі, що знаходяться на токені USB, зберігаються в постійному сховищі маркерів під час їх створення. Кількість ключів, які можна створити на маркері USB, обмежено доступним простором. Якщо ви спробуєте створити ключі на USB-токен, але він заповнений, ви отримаєте таке повідомлення:

  % Error in generating keys:no available resources 

  Видалення ключа призведе до негайного видалення ключів, що зберігаються на токені, із постійного сховища. (Ключі, які не містяться в маркері, зберігаються або видаляються з місць зберігання, відмінних від маркерів, коли копіювати або видано подібну команду).

• Задавання генерування резервування ключів RSA на пристрої : Ви можете вказати резервування для наявних ключів, лише якщо їх можна експортувати.

Щоб автентифікувати центр сертифікації (CA) (шляхом отримання сертифіката CA), використовуйте криптовалюта pki автентифікації команду в режимі глобального конфігурації.

криптовалюта pki автентифікації ім’я

Команда за замовчуванням: Немає поведінки або значень за замовчуванням.

Командний режим: Глобальна конфігурація (конфігурація)

Інструкції з використання: Ця команда є обов’язковою під час початкового налаштування підтримки CA на маршрутизаторі.

Ця команда автентифікує CA на маршрутизаторі шляхом отримання самопідписаного сертифіката CA, який містить відкритий ключ CA. Оскільки CA підписує власний сертифікат, вам слід вручну автентифікувати відкритий ключ CA, звернувшись до адміністратора CA під час введення цієї команди.

Якщо ви використовуєте режим реклами маршрутизатора (RA) (за допомогою реєстрацію команда) під час введення криптовалюта pki автентифікації команду, тоді сертифікати підпису та шифрування автора реєстрації будуть повернуті від CA та сертифіката CA.

Цю команду не збережено в конфігурації маршрутизатора. Однак. відкриті ключі, вбудовані в отримані сертифікати CA (і RA), зберігаються до конфігурації як частина запису відкритих ключів Рівеста, Шаміра й Адельмана (RSA) (так званий «ланцюжок відкритих ключів RSA»).

Якщо CA не відповість через тайм-аут після видачі цієї команди, керування терміналом буде повернено, щоб воно залишалося доступним. Якщо це станеться, потрібно ввести команду ще раз. Програмне забезпечення Cisco IOS не розпізнає дати закінчення терміну дії сертифіката CA, установлені після 2049 року. Якщо термін дії сертифіката CA спливає після 2049 року, під час спроби автентифікації за допомогою сервера CA буде відображатися таке повідомлення про помилку: помилка отримання сертифіката: неповний ланцюжок Якщо ви отримуєте повідомлення про помилку, подібне до цього, перевірте дату закінчення терміну дії сертифіката CA. Якщо дату закінчення терміну дії сертифіката CA встановлено після 2049 року, потрібно скоротити дату закінчення терміну дії на рік або більше.

Щоб імпортувати сертифікат вручну через TFTP або як вирізати та вставляти на терміналі, використовуйте криптовалюта pki імпортувати команду в режимі глобального конфігурації.

криптовалюта pki імпортувати ім’я сертифікат

Команда за замовчуванням: Немає поведінки або значень за замовчуванням

Командний режим: Глобальна конфігурація (конфігурація)

Інструкції з використання: Необхідно ввести імпорт крипто PKI двічі, якщо використовуються ключі використання (ключі підпису та шифрування). Під час першого введення команди один із сертифікатів вставляється в маршрутизатор; під час другого введення команди інший сертифікат буде вставлено в маршрутизатор. (Не має значення, який сертифікат буде вставлено першим.)

Щоб оголосити точку довіри, яку має використовувати маршрутизатор, використовуйте криптовалюта pki точки довіри команду в режимі глобального конфігурації. Щоб видалити всю ідентифікаційну інформацію та сертифікати, пов’язані з точкою довіри, використовуйте немає форму цієї команди.

криптовалюта pki точки довіри ім’я резервування

немає криптовалюта pki точки довіри ім’я резервування

Команда за замовчуванням: Ваш маршрутизатор не розпізнає жодної точки довіри, доки ви не оголосите точку довіри за допомогою цієї команди. Ваш маршрутизатор використовує унікальні ідентифікатори під час зв’язку з серверами протоколу стану сертифікатів онлайн (OCSP), як це налаштовано у вашій мережі.

Командний режим: Глобальна конфігурація (конфігурація)

Інструкції з використання:

Оголошення точок довіри

Використовуйте криптовалюта pki точки довіри команду для оголошення точки довіри, яка може бути самопідписаним кореневим центром сертифікації (CA) або підлеглим CA. Випуск криптовалюта pki точки довіри Команда переводить вас у режим конфігурації ca-trustpoint.

Можна вказати характеристики для точки довіри за допомогою таких підкоманд:

• crl —запитує список відкликаних сертифікатів (CRL), щоб переконатися, що сертифікат однорангового партнера не було відкликано.

• за замовчуванням (ca-trustpoint) —Скидає значення підкоманд режиму конфігурації ca-trustpoint до значень за замовчуванням.

• реєстрацію —Визначає параметри реєстрації (необов’язково).

• реєстрацію http-проксі —доступ до CA через HTTP через проксі-сервер.

• реєстрацію самопідписаний —Визначає самопідписану реєстрацію (необов’язково).

• відповідати сертифікат —Пов’язує список керування доступом на основі сертифікатів (ACL), визначений з криптовалюта прибл сертифікат карті команду.

• ocsp disable-nonce —Указує, що маршрутизатор не надсилатиме унікальні ідентифікатори або одноразові номери під час зв’язку OCSP.

• первинний —Призначає вказану точку довіри як основну точку довіри маршрутизатора.

• кореня —Визначає TFTP для отримання сертифіката CA та вказує ім’я сервера та ім’я файлу, у якому зберігатиметься сертифікат CA.

Визначення використання унікальних ідентифікаторів

У разі використання OCSP як методу відкликання унікальні ідентифікатори або одноразові номери надсилаються за замовчуванням під час взаємозв’язку однорангового пристрою із сервером OCSP. Використання унікальних ідентифікаторів під час зв’язку сервера OCSP забезпечує більш безпечний і надійний зв’язок. Однак не всі сервери OCSP підтримують використання унікальних зубних протезів. Додаткову інформацію див. у посібнику OCSP. Щоб вимкнути використання унікальних ідентифікаторів під час зв’язку OCSP, використовуйте ocsp disable-nonce підкоманду.

Щоб вручну імпортувати (завантажити) пакет сертифікатів центру сертифікації (CA) до пулу довіри інфраструктури відкритих ключів (PKI) для оновлення або заміни наявного пакета CA, використовуйте імпорт пулу довіри PKI криптовалют команду в режимі глобального конфігурації. Щоб видалити будь-який із налаштованих параметрів, використовуйте немає форму цієї команди.

криптовалюта pki пулу довіри імпортувати чистий [ термінал| url url ]

немає криптовалюта pki пулу довіри імпортувати чистий [ термінал| url url ]

Команда за замовчуванням: Функцію пулу довіри PKI ввімкнено. Маршрутизатор використовує вбудований пакет сертифікатів CA в пулі довіри PKI, який автоматично оновлюється від Cisco.

Командний режим: Глобальна конфігурація (конфігурація)

Загрози безпеці, а також криптографічні технології для захисту від них постійно змінюються. Додаткову інформацію про останні криптографічні рекомендації Cisco див Шифрування нового покоління (NGE).

Сертифікати пулу довіри PKI автоматично оновлюються від Cisco. Якщо сертифікати пулу довіри PKI не є актуальними, використовуйте імпорт пулу довіри PKI криптовалют команду, щоб оновити їх із іншого розташування.

, url Аргумент задає або змінює файлову систему URL CA. У таблиці нижче наведено доступні файлові системи URL.

Таблиця 3. Файлові системи URL

Файлова система	Опис
архів:	Імпорт із файлової системи архіву.
CNS:	Імпорт із файлової системи простору імен кластера (CNS).
диск0:	Імпорт із файлової системи disc0.
диск 1:	Імпорт із файлової системи disc1.
ftp:	Імпорт із файлової системи FTP.
http:	Імпорт із файлової системи HTTP. URL-адреса має бути в таких форматах: http:// Ім’я CA:80 , де CAname є системою доменних імен (DNS) http:// ipv4-адреса :80. Наприклад: http://10.10.10.1:80. http:// [IPv6-адреса]:80 . Наприклад: http://[2001:DB8:1:1::1]:80. Адреса IPv6 вказано в шістнадцятковому форматі й має бути взята в дужки в URL-адресі.
https:	Імпорт із файлової системи HTTPS. URL-адреса має використовувати той самий формат, що й HTTP: формати файлової системи.
null:	Імпортування з файлової системи null.
nvram:	Імпорт із файлової системи NVRAM.
коляска:	Імпортує з файлової системи параметрів пам’яті з довільним доступом (PRAM).
rcp:	Імпортує з файлової системи протоколу віддаленого копіювання (rcp).
scp:	Імпортування з файлової системи SCP.
snmp:	Імпорт із протоколу Simple Network Management Protocol (SNMP).
система:	Імпорт із системної файлової системи.
tar:	Імпорт із файлової системи tar UNIX.
tftp:	Імпорт із файлової системи TFTP.   URL-адреса має бути з: tftp:// Специфікація імені/файлу CA .
tmpsys:	Імпорт із файлової системи Cisco IOS tmpsys.
unix:	Імпорт із файлової системи UNIX.
xmodem:	Імпорт із системи протоколу передавання файлів xmodem simple.
ymodem:	Імпорт із системи протоколу передавання файлів простого ymodem.

Щоб ідентифікувати точки довіри ім’я точки довіри ключове слово та аргумент, що використовуються під час рукостискання безпеки транспортного рівня (TLS), що відповідають адресі віддаленого пристрою, використовуйте шифрування сигналів команду в режимі конфігурації оператора користувача SIP (UA). Щоб скинути значення за замовчуванням точки довіри рядок, використовуйте немає форму цієї команди.

шифрування сигналів { за замовчуванням| віддалений-адрес IP-адреса маска підмережі } [ tls-профіль тег| точки довіри ім’я точки довіри ] [ cn-san-validation сервер ] [ клієнт-vtp ім’я точки довіри ] [ шифр ecdsa| розмір кривої 384| строгий шифр ]

немає шифрування сигналів { за замовчуванням| віддалений-адрес IP-адреса маска підмережі } [ tls-профіль тег| точки довіри ім’я точки довіри ] [ cn-san-validation сервер ] [ клієнт-vtp ім’я точки довіри ] [ шифр ecdsa| розмір кривої 384| строгий шифр ]

Команда за замовчуванням: Команда шифрування сигналів вимкнена.

Командний режим: Конфігурація SIP UA (sip-ua)

Інструкції з використання: , точки довіри ім’я точки довіри ключове слово та аргумент посилаються на сертифікат CUBE, створений як частина процесу реєстрації за допомогою команд Cisco IOS PKI.

Коли налаштовано один сертифікат, він використовується всіма віддаленими пристроями та налаштовується за замовчуванням ключове слово.

Якщо використовується кілька сертифікатів, вони можуть бути пов’язані з віддаленими службами за допомогою віддалений-адрес аргумент для кожної точки довіри. , віддалений-адрес і аргументи за замовчуванням можуть використовуватися разом для покриття всіх служб за потреби.

Набір шифрів за замовчуванням у цьому випадку є таким набором, який підтримується рівнем SSL на CUBE: TLS_ RSA_ З_ RC4_ 128_ MD5 TLS_ RSA_ З_ AES_ 128_ CBC_ SHA TLS_ DHE_ RSA_ З_ AES_ 128_ CBC_ SHA1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ ECDHE_ RSA_ З_ AES_ 256_ GCM_ SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ ECDHE_ ECDSA_ З_ AES_ 256_ GCM_ SHA384

Ключове слово cn-san-validate сервер вмикає перевірку ідентичності сервера через поля CN і SAN в сертифікаті під час встановлення з’єднань SIP/TLS на стороні клієнта. Перевірка полів CN і SAN сертифіката сервера гарантує, що домен на стороні сервера є допустимим записом. Під час створення захищеного підключення із сервером SIP CUBE перевіряє налаштоване цільове ім’я домену сеансу відповідно до полів CN/SAN у сертифікаті сервера, перш ніж установити сеанс TLS. Після налаштування cn-san-validate сервер , перевірка ідентичності сервера відбувається для кожного нового підключення TLS.

, tls-профіль параметр пов’язує конфігурації політики TLS, виконані через пов’язаний tls-профіль класу голосу конфігурації. На додаток до параметрів політики TLS, доступних безпосередньо з шифрування сигналів команда, a tls-профіль також включає sni надіслати параметр.

sni надіслати вмикає індикацію імені сервера (SNI), розширення TLS, яке дозволяє клієнту TLS вказувати ім’я сервера, до якого він намагається підключитися під час початкового процесу рукостискання TLS. У привітанні клієнта надсилається лише повне ім’я хоста DNS сервера. SNI не підтримує адреси IPv4 та IPv6 у внутрішньому номері клієнта hello. Після отримання "привіт" з іменем сервера від клієнта TLS, сервер використовує відповідний сертифікат у наступному процесі рукостискання TLS. SNI вимагає TLS версії 1.2.

Функції політики TLS будуть доступні лише через a tls-профіль класу голосу конфігурації. , шифрування сигналів команда продовжує підтримувати наявні параметри шифрування TLS. Ви можете використовувати або tls-профіль класу голосу тег або шифрування сигналів команду для налаштування точки довіри. Ми рекомендуємо використовувати tls-профіль класу голосу тег команду для виконання конфігурацій профілю TLS.