Hvis du vil aktivere godkendelses-, godkendelses- og regnskabsmodellen (AAA), skal du bruge aaa ny model kommando i global konfigurationstilstand. Hvis du vil deaktivere AAA-adgangskontrolmodellen, skal du bruge Nej form af denne kommando.

aaa ny model

Ikke aaa ny model

Denne kommando har ingen argumenter eller nøgleord.

Kommandostandard: AAA er ikke aktiveret.

Kommandotilstand: Global konfiguration (konfiguration)

Retningslinjer for brug: Denne kommando aktiverer AAA-adgangskontrolsystemet.

Hvis du vil angive godkendelse, godkendelse og regnskabsaflæggelse (AAA) ved login, skal du bruge aaa-godkendelses-login kommando i global konfigurationstilstand. Hvis du vil deaktivere AAA-godkendelse, skal du bruge Nej form af denne kommando.

aaa-godkendelses-login {standard |list-name } metode1 [metode2...]

LæDer er ingen tvivl om, hvorvidt der er noget galt med den. aaa-godkendelseslogin{standard Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. listenavn } metode1 [metode2...]

Kommandostandard: AAA-godkendelse ved login er deaktiveret.

Kommandotilstand: Global konfiguration (konfiguration)

Retningslinjer for brug: Hvis standard Nøgleord er ikke indstillet, det er kun den lokale brugerdatabase, der er markeret. Dette har samme virkning som følgende kommando:

aaa authentication login default local

På konsollen lykkes login uden godkendelseskontrol, hvis standard Nøgleord er ikke indstillet.

De standard- og valgfrie listenavne, du opretter med aaa-godkendelses-login kommandoen bruges med login-godkendelse kommandoen.

Opret en liste ved at indtaste aaa-godkendelses-login listenavnemetodekommando for en bestemt protokol. Argumentet med listenavn er den tegnstreng, der bruges til at navngive listen over godkendelsesmetoder aktiveret, når en bruger logger ind. Metodeargumentet identificerer listen over metoder, som godkendelsesalgoritmen forsøger, i den givne rækkefølge. Afsnittet "Godkendelsesmetoder, der ikke kan bruges til argumentet med listenavn" viser godkendelsesmetoder, der ikke kan bruges til argumentet med listenavn, og nedenstående tabel beskriver metodenøgleordene.

Hvis du vil oprette en standardliste, der bruges, hvis der ikke er tildelt en liste til en linje, skal du bruge login-godkendelse kommando med standardargumentet efterfulgt af de metoder, du vil bruge i standardsituationer.

Adgangskoden bliver kun bedt om én gang at godkende brugerlegitimationsoplysningerne, og i tilfælde af fejl på grund af forbindelsesproblemer er det muligt at foretage flere undersøgelser via de yderligere godkendelsesmetoder. Skift til den næste godkendelsesmetode sker dog kun, hvis den forrige metode returnerer en fejl, ikke hvis den mislykkes. For at sikre, at godkendelsen lykkes, selvom alle metoder returnerer en fejl, skal du angive ingen som den sidste metode i kommandolinjen.

Hvis godkendelse ikke er angivet specifikt for en linje, er standarden at afvise adgang, og der udføres ingen godkendelse. Brug mere system:kørende-konfiguration kommando til at vise aktuelt konfigurerede lister over godkendelsesmetoder.

Godkendelsesmetoder, der ikke kan bruges til argumentet med listenavn

Godkendelsesmetoderne, der ikke kan bruges til argumentet med listenavn, er som følger:

• godkendelsesgæst

• aktiver

• gæst

• hvis godkendt

• om nødvendigt

• krb5

• krb-forekomst

• krb-telnet

• linje

• lokalt

• ingen

• radius

• rcmd

• tacacs

• takakkluse

I nedenstående tabel henviser grupperadius, gruppetacacs +, gruppeldap og gruppenavn til et sæt tidligere definerede RADIUS- eller TACACS+-servere. Brug værtskommandoer til radius-serverværten og tacacs-serveren til at konfigurere værtsserverne. Brug kommandoerne aaa-grupperadius, aaa-gruppereren ldap og aaa-gruppereren tacacs+ til at oprette en navngivet gruppe af servere.

Nedenstående tabel beskriver metodenøgleordene.

Nøgleord	Beskrivelse
cache- gruppenavn	Bruger en cache-servergruppe til godkendelse.
aktiver	Bruger aktiveringsadgangskoden til godkendelse. Dette nøgleord kan ikke bruges.
gruppens navn	Bruger et undersæt af RADIUS- eller TACACS+-servere til godkendelse som defineret af aaa-gruppeserverradius eller aaa-gruppeservertacacs+ kommandoen.
gruppeldap	Bruger listen over alle LDAP-servere (Lightweight Directory Access Protocol) til godkendelse.
grupperadius	Bruger listen over alle RADIUS-servere til godkendelse.
gruppetacacs+	Bruger listen over alle TACACS+-servere til godkendelse.
krb5	Bruger Kerberos 5 til godkendelse.
krb5-telnet	Bruger Kerberos 5 Telnet-godkendelsesprotokol, når du bruger Telnet til at oprette forbindelse til routeren.
linje	Bruger linjeadgangskoden til godkendelse.
lokalt	Bruger den lokale brugernavn-database til godkendelse.
lokal	Bruger konfigureret lokal brugernavn-godkendelse.
ingen	Bruger ingen godkendelse.
passwd-udløb	Aktiverer forældelse af adgangskode på en lokal godkendelsesliste.   Den radius-server vsa send godkendelse kommandoen er påkrævet for at gøre passwd-udløb nøgleord arbejde.

Hvis du vil indstille de parametre, der begrænser brugeradgang til et netværk, skal du bruge aaa-godkendelse kommando i global konfigurationstilstand. For at fjerne parametrene skal du bruge Nej form af denne kommando.

AaaDer er ingen tvivl om, hvorvidt der er noget galt med den. godkendelse{ godkendelsesproxyDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. hulerDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. kommandoerniveau Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. konfigurationskommandoerDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. konfigurationDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. konsolDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. eksekvDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. ipmobilDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. multicastDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. netværkDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. politik-hvisDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. forudbetaltDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. radius-proxyDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. omvendt adgangDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. abonnenttjenesteDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. skabelon} {standardDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. listenavn } [metode1[metode2... ]

LæDer er ingen tvivl om, hvorvidt der er noget galt med den. AaaDer er ingen tvivl om, hvorvidt der er noget galt med den. godkendelse{ godkendelsesproxyDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. hulerDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. kommandoerniveau Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. konfigurationskommandoerDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. konfigurationDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. konsolDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. eksekvDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. ipmobilDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. multicastDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. netværkDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. politik-hvisDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. forudbetaltDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. radius-proxyDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. omvendt adgangDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. abonnenttjenesteDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. skabelon} {standardDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. listenavn } [metode1[metode2... ]

Kommandostandard: Godkendelse er deaktiveret for alle handlinger (svarende til metodenøgleordet ingen ).

Kommandotilstand: Global konfiguration (konfiguration)

Retningslinjer for brug: Brug aaa-godkendelseskommando til at aktivere godkendelse og oprette lister over navngivne metoder, som definerer godkendelsesmetoder, der kan bruges, når en bruger får adgang til den angivne funktion. Metodelister for godkendelse definerer, hvordan godkendelsen skal udføres, og hvilken rækkefølge disse metoder skal udføres. En metodeliste er en navngivet liste, der beskriver de godkendelsesmetoder (såsom RADIUS eller TACACS+), der skal bruges i rækkefølge. Metodelister giver dig mulighed for at angive en eller flere sikkerhedsprotokoller, der skal bruges til godkendelse, og dermed sikre et sikkerhedssystem i tilfælde af, at den første metode mislykkes. Cisco IOS-softwaren bruger den første metode angivet til at godkende brugere til specifikke netværkstjenester. Hvis denne metode ikke svarer, vælger Cisco IOS-softwaren den næste metode, der er angivet på metodelisten. Denne proces fortsætter, indtil kommunikation med en angivet godkendelsesmetode er vellykket, eller indtil alle de definerede metoder er udtømt.

Cisco IOS-softwaren forsøger kun at godkende med den næste angivne metode, når der ikke er noget svar fra den forrige metode. Hvis godkendelsen mislykkes på et hvilket som helst tidspunkt i denne cyklus – hvilket betyder, at sikkerhedsserveren eller den lokale brugernavnsdatabase svarer ved at nægte brugertjenesterne – stopper godkendelsesprocessen, og der forsøges ingen andre godkendelsesmetoder.

Hvis aaa-godkendelseskommandoen for en bestemt godkendelsestype udstedes uden en angivet liste over navngivne metoder, anvendes standardmetodelisten automatisk på alle grænseflader eller linjer (hvor denne godkendelsestype gælder), undtagen dem, der har en liste over navngivne metoder udtrykkeligt defineret. (En defineret metodeliste tilsidesætter standardmetodelisten.) Hvis der ikke er defineret en standardmetodeliste, sker der ingen godkendelse. Listen over standardgodkendelsesmetoder skal bruges til at udføre udgående godkendelse, f.eks. godkendelse af download af IP-puljer fra RADIUS-serveren.

Brug aaa-godkendelseskommando til at oprette en liste ved at indtaste værdierne for listenavnet og metodeargumenterne, hvor listenavn er enhver tegnstreng, der bruges til at navngive denne liste (eksklusive alle metodenavne), og metoden identificerer listen over godkendelsesmetoder, der er prøvet i den givne rækkefølge.

Aaa-godkendelseskommando understøtter 13 separate metodelister. Eksempel:

aaa-grupperadius for konfiguration af godkendelseskonfigurationsmetode1

aaa-grupperadius for konfiguration af godkendelseskonfigurationsmetode2

...

aaa-grupperadius for konfiguration af godkendelseskonfiguration13

I tabellen nedenfor henviser gruppens navn, gruppeldap, grupperadius og gruppetaketter + metoder til et sæt af tidligere definerede RADIUS- eller TACACS+-servere. Brug værtskommandoer til radius-serverværten og tacacs-serveren til at konfigurere værtsserverne. Brug kommandoerne aaa-grupperadius, aaa-gruppereren ldap og aaa-gruppereren tacacs+ til at oprette en navngivet gruppe af servere.

Cisco IOS-software understøtter følgende metoder til godkendelse:

• Cache-servergrupper--Routeren konsulterer sine cache-servergrupper for at godkende specifikke rettigheder for brugere.

• Hvis godkendt – brugeren har tilladelse til at få adgang til den ønskede funktion, forudsat at brugeren er blevet godkendt.

• Lokal – Routeren eller adgangsserveren konsulterer sin lokale database, som defineret af kommandoen med brugernavn, for at godkende specifikke rettigheder for brugere. Kun et begrænset sæt funktioner kan styres via den lokale database.

• Ingen – Netværksadgangsserveren anmoder ikke om godkendelsesoplysninger. Godkendelse udføres ikke via denne linje eller grænseflade.

• RADIUS – Netværksadgangsserveren anmoder om godkendelsesoplysninger fra RADIUS-sikkerhedsservergruppen. RADIUS-godkendelse definerer specifikke rettigheder for brugere ved at knytte attributter, der er gemt i en database på RADIUS-serveren, til den relevante bruger.

• TACACS+ – Netværksadgangsserveren udveksler godkendelsesoplysninger med TACACS+-sikkerhedsdaemon. TACACS+-godkendelse definerer specifikke rettigheder for brugere ved at tilknytte attributværdi (AV)-par, der er gemt i en database på TACACS+-sikkerhedsserveren, med den relevante bruger.

Hvis du vil tillade forbindelser mellem specifikke slutpunkter i et Vo IP-netværk, skal du bruge tillad-forbindelser kommando i konfigurationstilstand for stemmetjeneste. Hvis du vil afvise bestemte typer forbindelser, skal du bruge Nej form af denne kommando.

tillad forbindelserfra-typetiltype

ingen tillad-forbindelserfra-typetiltype

Kommandostandard: SIP-til-SIP-forbindelser er deaktiveret som standard.

Kommandotilstand: Konfiguration af stemmetjeneste (konfiguration-voi-serv)

Retningslinjer for brug: Denne kommando bruges til at tillade forbindelser mellem specifikke typer slutpunkter i en Cisco-multitjeneste IP-til-IP-gateway. Kommandoen er aktiveret som standard og kan ikke ændres.

Hvis du vil tillade indsættelse af "#" på et hvilket som helst sted i stemmeregistret dn, skal du bruge tillad-hash-in-dn kommandoen i global tilstand til stemmeregistrering. For at deaktivere dette skal du bruge Nej form af denne kommando.

tillad-hash-in-dn

ingen tillad-hash-in-dn

Kommandostandard: Kommandoen er deaktiveret som standard.

Kommandotilstand: global konfiguration af stemmeregistret (config-register-global)

Retningslinjer for brug: Før denne kommando blev introduceret, var de tegn, der understøttes i stemmeregistret dn, 0-9, + og *. Den nye kommando er aktiveret, når brugeren kræver indsættelse af # i stemmeregistret dn. Kommandoen er deaktiveret som standard. Du kan kun konfigurere denne kommando i Cisco Unified SRST- og Cisco Unified E-SRST-tilstande. Tegnet # kan indsættes hvor som helst i stemmeregistret dn. Når denne kommando er aktiveret, skal brugere ændre standardafslutningstegnet (#) til et andet gyldigt tegn ved hjælp af opkalds-peer-terminator kommando i konfigurationstilstand.

Brug konfigurationstilstanden for redundans til applikation applikationsredundans kommando i redundans konfigurationstilstand.

applikationsredundans

Denne kommando har ingen argumenter eller nøgleord.

Kommandostandard: Ingen

Kommandotilstand: Redundans-konfiguration (konfigurationsrød)

Retningslinjer for brug: Brug denne applikationsredundans kommando til at konfigurere programredundans for høj tilgængelighed.

Hvis du vil indstille standardgatewayen for en applikation, skal du bruge app-standardgateway kommando i konfigurationstilstand for programværter. Hvis du vil fjerne standardgatway, skal du bruge Nej form af denne kommando.

app-standardgateway [ip-adressegæstegrænsefladenetværksgrænsefladenummer]

ingenapp-standardgateway [ip-adressegæstegrænsefladenetværksgrænsefladenummer]

Kommandostandard: Standardgatewayen er ikke konfigureret.

Kommandotilstand: Konfiguration af programhosting (config-app-hosting)

Retningslinjer for brug: Brug app-standardgateway kommando til at angive standardgateway for en applikation. Gateway-forbindelserne er applikationer, der er installeret på Cisco IOS XE Guest Shell-containeren.

Hvis du vil konfigurere en applikation og angive konfigurationstilstanden for programværter, skal du bruge app-hosting appid kommando i global konfigurationstilstand. For at fjerne applikationen skal du bruge Nej form af denne kommando.

appidapplikationsnavn

Kommandostandard: Der er ikke konfigureret noget program.

Kommandotilstand: Global konfiguration (konfiguration)

Brugsretningslinjer:Argumentet for programnavn kan være op til 32 alfanumeriske tegn.

Du kan opdatere konfigurationen af programværter efter konfiguration af denne kommando.

Hvis du vil tilsidesætte den applikationsleverede ressourceprofil, skal du bruge App-oprydningsprofil kommando i konfigurationstilstand for programværter. Hvis du vil vende tilbage til den applikationsspecificerede ressourceprofil, skal du bruge Nej form af denne kommando.

app-resoure-profilprofilnavn

ingenapp-resoure-profilprofilnavn

Kommandostandard: Ressourceprofil er konfigureret.

Kommandotilstand: Konfiguration af programhosting (config-app-hosting)

Retningslinjer for brug: Reserverede ressourcer, der er angivet i applikationspakken, kan ændres ved at indstille en brugertilpasset ressourceprofil. Det er kun ressourcer til CPU, hukommelse og virtuelle CPU (vCPU), der kan ændres. Hvis ressourceændringerne skal træde i kraft, skal du stoppe og deaktivere programmet og derefter aktivere og starte det igen.

Kun brugerdefineret profil understøttes.

Kommandoen konfigurerer den brugertilpassede programressourceprofil og angiver konfigurationstilstanden for brugertilpasset programressourceprofil.

Hvis du vil konfigurere en virtuel netværksgrænsefladegateway for en applikation, skal du bruge app-vnic gateway kommando i konfigurationstilstand for programværter. For at fjerne konfigurationen skal du bruge Nej form af denne kommando.

Denne kommando understøttes kun på distributionsplatforme. Den understøttes ikke på skiftende platforme.

app-vnic-gatewayvirtualportgruppennummerforgæstegrænsefladenetværksgrænsefladenummer

ingenapp-vnic gatewaynummertilgæstegrænsefladenetværksgrænsefladenummer

Kommandostandard: Den virtuelle netværksgateway er ikke konfigureret.

Kommandotilstand: Konfiguration af programhosting (config-app-hosting)

Retningslinjer for brug: Når du har konfigureret gatewayen for den virtuelle netværksgrænseflade for en applikation, ændres kommandotilstanden til konfigurationstilstand for applikationsværter. I denne tilstand kan du konfigurere IP-adressen for gæstegrænsefladen.

For at aktivere understøttelse af den påståede id-header i indgående SIP-anmodninger eller svarmeddelelser og for at sende de påståede id-oplysninger om beskyttelse af personlige oplysninger i udgående SIP-anmodninger eller svarmeddelelser skal du bruge påstået ID Kommando i stemmetjeneste VoIP-SIP-konfigurationstilstand eller konfigurationstilstand for stemmeklasse-lejere. Hvis du vil deaktivere understøttelsen af den angivne id-header, skal du bruge Nej form af denne kommando.

angivet-id { pai|ppi } system

Intetangivet-id { pai|ppi } system

Kommandostandard: Oplysningerne om beskyttelse af personlige oplysninger sendes ved hjælp af Remote-Party-ID (RPID)-headeren eller FROM-headeren.

Kommandotilstand: Konfiguration af stemmetjeneste VoIP-SIP (conf-serv-sip) og stemmeklasse-lejer (kong-klasse)

Retningslinjer for brug: Hvis du vælger tærte nøgleord eller ppi Nøgleordet, gatewayen opbygger henholdsvis PAI-headeren eller PPI-headeren i den fælles SIP-stak. Den tærte nøgleord eller ppi Nøgleordet har prioritet i forhold til Remote-Party-ID (RPID)-headeren og fjerner RPID-headeren fra den udgående meddelelse, selvom routeren er konfigureret til at bruge RPID-headeren på globalt plan.

Hvis du vil konfigurere SIP (Session Initiation Protocol) asymmetrisk nyttelast, skal du bruge asymmetrisk nyttelast kommando i SIP-konfigurationstilstand eller konfigurationstilstand for stemmeklasse-lejere. For at deaktivere asymmetrisk understøttelse af nyttelast skal du bruge Nej form af denne kommando.

asymmetrisknyttelast{ dtmf Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. dynamisk-codecs Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. fuld Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. system}

LæDer er ingen tvivl om, hvorvidt der er noget galt med den. asymmetrisknyttelast{ dtmf Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. dynamisk-codecs Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. fuld Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. system}

Kommandostandard: Denne kommando er deaktiveret.

Kommandotilstand: SIP-konfiguration for stemmetjeneste (conf-serv-sip), konfiguration af stemmeklasse-lejer (kong-klasse)

Retningslinjer for brug: Angiv SIP-konfigurationstilstanden fra konfigurationstilstanden for stemmetjeneste, som vist i eksemplet.

For Cisco UBE understøttes SIP asymmetrisk nyttelast-type for lyd-/videocodecs, DTMF og NSE. Følgelig, dtmf og dynamiske codecs nøgleord er internt knyttet til fuld nøgleord til at yde asymmetrisk understøttelse af nyttelast-type til lyd-/videocodecs, DTMF og NSE.

Hvis du vil aktivere SIP-digest-godkendelse på en individuel opkaldspeer, skal du bruge godkendelse kommando i konfigurationstilstand for opkalds-peer-stemme. Hvis du vil deaktivere SIP-digest-godkendelse, skal du bruge Nej form af denne kommando.

godkendelseDer er ingen tvivl om, hvorvidt der er noget galt med den. brugernavnDer er ingen tvivl om, hvorvidt der er noget galt med den. brugernavnDer er ingen tvivl om, hvorvidt der er noget galt med den. adgangskode{ 0Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. 6Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. 7.} adgangskode[domæneDer er ingen tvivl om, hvorvidt der er noget galt med den. domæneDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. udfordringDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. alle]

LæDer er ingen tvivl om, hvorvidt der er noget galt med den. godkendelseDer er ingen tvivl om, hvorvidt der er noget galt med den. brugernavnDer er ingen tvivl om, hvorvidt der er noget galt med den. brugernavnDer er ingen tvivl om, hvorvidt der er noget galt med den. adgangskode{ 0Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. 6Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. 7.} adgangskode[domæneDer er ingen tvivl om, hvorvidt der er noget galt med den. domæneDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. udfordringDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. alle]

Kommandostandard: SIP-digest-godkendelse er deaktiveret.

Kommandotilstand: Konfiguration af opkalds-peer-voice (konfiguration-opkalds-peer)

Retningslinjer for brug: Følgende konfigurationsregler gælder, når digest-godkendelse aktiveres:

• Der kan kun konfigureres ét brugernavn pr. opkalds-peer. Enhver eksisterende konfiguration af brugernavn skal fjernes, før der konfigureres et andet brugernavn.

• Højst fem adgangskode eller Riget Argumenter kan konfigureres for hvert enkelt brugernavn.

Den brugernavn og adgangskode argumenter bruges til at godkende en bruger. En godkendelsesserver/proxy, der udsteder et 407/401-svar, inkluderer et domæne i udfordringssvaret, og brugeren angiver legitimationsoplysninger, der er gyldige for det pågældende domæne. Da det antages, at maksimalt fem proxyservere i signalstien kan forsøge at godkende en given anmodning fra en brugeragentklient (UAC) til en brugeragentserver (UAS), kan en bruger konfigurere op til fem adgangskoder og realm-kombinationer for et konfigureret brugernavn.

Brugeren angiver adgangskoden i almindelig tekst, men den er krypteret og gemt til 401-udfordringssvar. Hvis adgangskoden ikke gemmes i krypteret form, sendes der en adgangskode, og godkendelsen mislykkes.

• Dommerspecifikationen er valgfri. Hvis den udelades, gælder den adgangskode, der er konfigureret for dette brugernavn, for alle domæner, der forsøger at godkende.

• Der kan kun konfigureres én adgangskode ad gangen for alle konfigurerede domæner. Hvis en ny adgangskode er konfigureret, overskriver den enhver tidligere konfigureret adgangskode.

Det betyder, at der kun kan konfigureres én global adgangskode (én uden et angivet domæne). Hvis du konfigurerer en ny adgangskode uden at konfigurere et tilsvarende domæne, overskriver den nye adgangskode den forrige.

• Hvis et domæne er konfigureret til et tidligere konfigureret brugernavn og adgangskode, føjes denne domænespecifikation til den eksisterende konfiguration af brugernavn og adgangskode. Men når et domæne er føjet til konfigurationen af brugernavn og adgangskode, er denne kombination af brugernavn og adgangskode kun gyldig for det pågældende domæne. Et konfigureret domæne kan ikke fjernes fra en konfiguration af brugernavn og adgangskode uden først at fjerne hele konfigurationen for det pågældende brugernavn og adgangskode. Du kan derefter omkonfigurere kombinationen af brugernavn og adgangskode med eller uden et andet domæne.

• I en post med både en adgangskode og et domæne kan du ændre enten adgangskoden eller domænet.

• Brug ingen godkendelse alle Kommando til at fjerne alle godkendelsesposter for brugeren.

Det er obligatorisk at angive krypteringstypen for adgangskoden. Hvis der er en klar tekstadgangskode (type 0) er konfigureret, den er krypteret som type 6 før du gemmer den i den kørende konfiguration.

Hvis du angiver krypteringstypen som 6 eller 7, den indtastede adgangskode er markeret i forhold til en gyldig type 6 eller 7 adgangskodeformat og gemt som type 6 eller 7 hhv.

Type 6-adgangskoder krypteres ved hjælp af AES-kryptering og en brugerdefineret primær nøgle. Disse adgangskoder er forholdsvis sikrere. Den primære nøgle vises aldrig i konfigurationen. Indtast uden kendskab til den primære nøgle 6 adgangskoder er ubrugelige. Hvis den primære nøgle ændres, krypteres den adgangskode, der er gemt som type 6, igen med den nye primære nøgle. Hvis den primære tastkonfiguration er fjernet, er typen 6 Adgangskoder kan ikke dekrypteres, hvilket kan medføre godkendelsesfejl for opkald og tilmeldinger.

Når en konfiguration understøttes eller konfigurationen migreres til en anden enhed, duppes den primære nøgle ikke. Derfor skal den primære nøgle konfigureres igen manuelt.

Se Konfiguration af en krypteret foruddelt nøgle under Konfiguration af en krypteret foruddelt nøgle.

Følgende advarselsmeddelelse vises, når krypteringstypen 7 er konfigureret. Advarsel: Kommando er blevet føjet til konfigurationen ved hjælp af en adgangskode til type 7. Type 7-adgangskoder vil dog snart blive udfaset. Migrer til en understøttet adgangskode type 6.

Hvis du vil knytte kildeadressen til signal- og mediepakker til IP v4- eller IP v6-adressen for en bestemt grænseflade, skal du bruge bind kommando i SIP-konfigurationstilstand. For at deaktivere binding skal du bruge Nej form af denne kommando.

bind{ kontrolDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. gennemsnitDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. alle} kildegrænsefladeDer er ingen tvivl om, hvorvidt der er noget galt med den. grænseflade-ID{ ipv4-adresseDer er ingen tvivl om, hvorvidt der er noget galt med den. ipv4-adresseDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. ipv6-adresseDer er ingen tvivl om, hvorvidt der er noget galt med den. ipv6-adresse}

LæDer er ingen tvivl om, hvorvidt der er noget galt med den. bind{ kontrolDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. gennemsnitDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. alle} kildegrænsefladeDer er ingen tvivl om, hvorvidt der er noget galt med den. grænseflade-ID{ ipv4-adresseDer er ingen tvivl om, hvorvidt der er noget galt med den. ipv4-adresseDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. ipv6-adresseDer er ingen tvivl om, hvorvidt der er noget galt med den. ipv6-adresse}

Kommandostandard: Binding er deaktiveret.

Kommandotilstand: SIP-konfiguration (conf-serv-sip) og stemmeklasselejer.

Retningslinjer for brug: Async, Ethernet, FastEthernet, Loopback og Serial (herunder Frame Relæ) er grænseflader i SIP-applikationen.

Hvis bind kommandoen er ikke aktiveret, IP v4-laget giver stadig den bedste lokale adresse.

Hvis du vil aktivere de grundlæggende konfigurationer for Hjem-opkald, skal du bruge rapportering af tilbagekald kommando i global konfigurationstilstand.

rapportering af opkald { anonym Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. kontakt-e-mail-addr } [ http-proxy { ipv4-adresse Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. ipv6-adresse Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. navn } havn Der er ingen tvivl om, hvorvidt der er noget galt med den. portnummer]

Kommandostandard: Ingen standardadfærd eller værdier

Kommandotilstand: Global konfiguration (konfiguration)

Retningslinjer for brug: Efter aktivering af Hjem-opkald enten i anonym eller fuld tilmeldingstilstand ved hjælp af rapportering af tilbagekald kommando, der sendes en lagermeddelelse. Hvis Call-Home er aktiveret i fuld tilmeldingstilstand, sendes en fuld lagermeddelelse for fuld tilmeldingstilstand. Hvis Hjem er aktiveret i anonym tilstand, sendes der en anonym lagermeddelelse. Få flere oplysninger om meddelelsesoplysningerne i Alarmgruppe udløser begivenheder og kommandoer.

Hvis du vil aktivere Cisco Unified SRST-understøttelse og gå ind i opkaldsstyring-fallback-konfigurationstilstand, skal du bruge tilbagekald for opkaldsadministrator kommando i global konfigurationstilstand. Hvis du vil deaktivere Cisco Unified SRST-understøttelse, skal du bruge Nej form af denne kommando.

opkaldsadministrator-fallback

ingen opkaldsadministrator-fallback

Denne kommando har ingen argumenter eller nøgleord.

Kommandostandard: Ingen standardadfærd eller værdier.

Kommandotilstand: Global konfiguration

Hvis du vil aktivere validering af server, klient eller tovejsidentitet af et peer-certifikat under TLS-håndtryk, skal du bruge kommandoen cn-san validerer i konfigurationstilstand for stemmeklasse tls-profil. Brug for at deaktivere validering af certifikatidentitet Nej form af denne kommando.

cn-sanDer er ingen tvivl om, hvorvidt der er noget galt med den. valideret { serverDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. klientDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. tovejs}

LæDer er ingen tvivl om, hvorvidt der er noget galt med den. cn-sanDer er ingen tvivl om, hvorvidt der er noget galt med den. valideret { serverDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. klientDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. tovejs}

Kommandostandard: Identitetsvalidering er deaktiveret.

Kommandotilstand: Konfiguration af stemmeklasse (konfigurationsklasse)

Retningslinjer for brug: Validering af serveridentitet er forbundet med en sikker signalforbindelse via den globale krypteringssignaler og stemmeklasse tls-profil konfigurationer.

Kommandoen er forbedret til at inkludere klient og tovejs nøgleord. Klientindstillingen giver en server mulighed for at validere en klients identitet ved at kontrollere CN- og SAN-værtsnavne, der er inkluderet i det angivne certifikat, i forhold til en pålidelig liste over cn-san FQDN'er. Forbindelsen oprettes kun, hvis der findes et match. Denne liste over cn-san FQDN'er bruges nu også til at validere et servercertifikat ud over sessionens destinationsværtsnavn. Den tovejs valgmuligheden validerer peer-identitet for både klient- og serverforbindelser ved at kombinere begge server og klient tilstande. Når du konfigurerer cn-san validerer, peer-certifikatets identitet valideres for hver ny TLS-forbindelse.

Hvis du vil konfigurere en liste over fuldt kvalificeret domænenavn (FQDN)-navn til at validere mod peer-certifikatet for indgående eller udgående TLS-forbindelser, skal du bruge cn-san kommando i konfigurationstilstand for stemmeklasse tls-profil. Hvis du vil slette valideringsindtastningen for cn-san certifikat, skal du bruge Nej form af denne kommando.

cn-san{1-10}fqdn

ingen cn-san{1-10}fqdn

Kommandostandard: Der er ikke konfigureret nogen cn-san-navne.

Kommandotilstand: Konfigurationstilstand for stemmeklasse tls-profil (konfigurationsklasse)

Retningslinjer for brug: FQDN, der bruges til validering af peer-certifikat, tildeles en TLS-profil med op til ti cn-san poster. Mindst én af disse poster skal matche en FQDN i enten felterne Common Name (CN) eller Subject-Alternate-Name (SAN), før en TLS-forbindelse oprettes. For at matche en domænevært, der bruges i et CN- eller SAN-felt, skal en cn-san Posten kan konfigureres med et domænejokerkort, strengt i formatet *.domænenavn (f.eks. *.cisco.com). Ingen anden brug af jokertegn er tilladt.

For indgående forbindelser bruges listen til at validere CN- og SAN-felter i klientcertifikatet. For udgående forbindelser bruges listen sammen med sessionens destinationsværtsnavn til at validere CN- og SAN-felter i servercertifikatet.

Servercertifikater kan også bekræftes ved at matche SIP-sessionens mål-FQDN med et CN- eller SAN-felt.

Hvis du vil angive en liste over foretrukne codecs, der skal bruges på en opkalds-peer, skal du bruge codec præference kommando i konfigurationstilstand for stemmeklasse. For at deaktivere denne funktion skal du bruge Nej form af denne kommando.

codecpræferenceværdicodec-type

ingencodecpræferenceværdicodec-type

Kommandostandard: Hvis denne kommando ikke er angivet, identificeres der ingen specifikke typer codecs med præference.

Kommandotilstand: konfiguration af stemmeklasse (konfigurationsklasse)

Retningslinjer for brug: Routere i den modsatte ende af WAN'en skal muligvis forhandle codec-valget for netværksopkalds-peers. Den codec præference kommandoen angiver præferencerækkefølgen for valg af et forhandlet codec for forbindelsen. Nedenstående tabel beskriver valgmulighederne for stemmenyttelast og standardværdier for codecs- og pakksprotokollerne.

Hvis du vil bruge global lytteport til afsendelse af anmodninger via UDP, skal du bruge forbindelse-genbrug kommando i sip-ua-tilstand eller stemmeklasse-lejerkonfigurationstilstand. Brug for at deaktivere Nej form af denne kommando.

forbindelse-genbrug { via-portsystem |igen }

ingen forbindelse-genbrug { via-port |system }

Kommandostandard: Lokal gateway bruger en ephemeral UDP-port til afsendelse af anmodninger over UDP.

Kommandotilstande: SIP UA-konfiguration (config-sip-ua), konfiguration af stemmeklasse-lejer (konfigurationsklasse)

Retningslinjer for brug: Udførelse af denne kommando aktiverer brugerlytteporten til afsendelse af anmodninger via UDP. Standardlytteport for almindelig ikke-sikker SIP er 5060, og sikker SIP er 5061. Konfigurer lytteport [ikke-sikker | sikker]portkommando i taletjenestevoip > sip-konfigurationstilstand for at ændre den globale UDP-port.

Hvis du vil ændre CPU-kvoten eller -enheden, der er tildelt for en applikation, skal du bruge CPU kommando i konfigurationstilstand for brugerdefineret programressourceprofil. Hvis du vil vende tilbage til den programleverede CPU-kvote, skal du bruge Nej form af denne kommando.

cpuenhed

ingenCPUenhed

Kommandostandard: Standard-CPU afhænger af platformen.

Kommandotilstand: Brugertilpasset konfiguration af programressourceprofil (config-app-ressource-profil-brugertilpasset)

Retningslinjer for brug: En CPU-enhed er den mindste CPU-tildeling af programmet. Samlede CPU-enheder er baseret på normaliserede CPU-enheder, der er målt for målenheden.

I hver applikationspakke leveres en applikationsspecifik ressourceprofil, der definerer den anbefalede CPU-belastning, hukommelsesstørrelse og antal virtuelle CPU'er (vCPU'er), der kræves for applikationen. Brug denne kommando til at ændre tildelingen af ressourcer til specifikke processer i den brugerdefinerede ressourceprofil.

Reserverede ressourcer, der er angivet i applikationspakken, kan ændres ved at indstille en brugertilpasset ressourceprofil. Kun CPU-, hukommelse- og vCPU-ressourcer kan ændres. Hvis ressourceændringerne skal træde i kraft, skal du stoppe og deaktivere applikationen og derefter aktivere den og starte den igen.

Ressourceværdier er applikationsspecifikke, og enhver justering af disse værdier skal sikre, at applikationen kan køre pålideligt med ændringerne.

Hvis du vil konfigurere en Cisco IOS Session Initiation Protocol (SIP)-gateway for tidsdeling (TDM), en Cisco Unified Border Element (Cisco UBE) eller Cisco Unified Communications Manager Express (Cisco Unified CME) til at sende en SIP-registreringsmeddelelse, når du er i tilstanden UP, skal du bruge legitimationsoplysninger kommando i SIP UA-konfigurationstilstand eller konfigurationstilstand for stemmeklasse-lejere. Hvis du vil deaktivere SIP-digest-legitimationsoplysninger, skal du bruge Nej form af denne kommando.

legitimationsoplysninger{ dhcpDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. nummerDer er ingen tvivl om, hvorvidt der er noget galt med den. nummerDer er ingen tvivl om, hvorvidt der er noget galt med den. brugernavnDer er ingen tvivl om, hvorvidt der er noget galt med den. brugernavn} adgangskode{ 0Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. 6Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. 7.} adgangskodeDer er ingen tvivl om, hvorvidt der er noget galt med den. domæneDer er ingen tvivl om, hvorvidt der er noget galt med den. domæne

LæDer er ingen tvivl om, hvorvidt der er noget galt med den. legitimationsoplysninger{ dhcpDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. nummerDer er ingen tvivl om, hvorvidt der er noget galt med den. nummerDer er ingen tvivl om, hvorvidt der er noget galt med den. brugernavnDer er ingen tvivl om, hvorvidt der er noget galt med den. brugernavn} adgangskode{ 0Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. 6Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. 7.} adgangskodeDer er ingen tvivl om, hvorvidt der er noget galt med den. domæneDer er ingen tvivl om, hvorvidt der er noget galt med den. domæne

Kommandostandard: SIP-digest-legitimationsoplysninger er deaktiveret.

Kommandotilstand: SIP UA-konfiguration (config-sip-ua) og konfiguration af stemmeklasse (konfiguration-klasse).

Retningslinjer for brug: Følgende konfigurationsregler gælder, når legitimationsoplysninger er aktiveret:

• Kun én adgangskode er gyldig for alle domænenavne. En ny konfigureret adgangskode overskriver enhver tidligere konfigureret adgangskode.

• Adgangskoden vises altid i krypteret format, når legitimationsoplysninger kommandoen er konfigureret, og show kørende konfiguration kommandoen bruges.

Den dhcp Nøgleord i kommandoen betyder, at det primære nummer hentes via DHCP, og Cisco IOS SIP TDM-gateway, Cisco UBE eller Cisco Unified CME, hvor kommandoen er aktiveret, bruger dette nummer til at registrere eller fjerne registreringen af det modtagne primære nummer.

Det er obligatorisk at angive krypteringstypen for adgangskoden. Hvis der er en klar tekstadgangskode (type 0) er konfigureret, den er krypteret som type 6 før du gemmer den i den kørende konfiguration.

Hvis du angiver krypteringstypen som 6 eller 7, den indtastede adgangskode er markeret i forhold til en gyldig type 6 eller 7 adgangskodeformat og gemt som type 6 eller 7 hhv.

Type 6-adgangskoder krypteres ved hjælp af AES-kryptering og en brugerdefineret primær nøgle. Disse adgangskoder er forholdsvis sikrere. Den primære nøgle vises aldrig i konfigurationen. Indtast uden kendskab til den primære nøgle 6 adgangskoder er ubrugelige. Hvis den primære nøgle ændres, krypteres den adgangskode, der er gemt som type 6, igen med den nye primære nøgle. Hvis den primære tastkonfiguration er fjernet, er typen 6 Adgangskoder kan ikke dekrypteres, hvilket kan medføre godkendelsesfejl for opkald og tilmeldinger.

Når en konfiguration understøttes eller konfigurationen migreres til en anden enhed, duppes den primære nøgle ikke. Derfor skal den primære nøgle konfigureres igen manuelt.

Se Konfiguration af en krypteret foruddelt nøgle under Konfiguration af en krypteret foruddelt nøgle.

Advarsel: Kommando er blevet føjet til konfigurationen ved hjælp af en adgangskode til type 7. Type 7-adgangskoder vil dog snart blive udfaset. Migrer til en understøttet adgangskode type 6.

I YANG kan du ikke konfigurere det samme brugernavn på tværs af to forskellige domæner.

Hvis du vil angive præferencen for en SRTP-krypteringspakke, der vil blive tilbudt af Cisco Unified Border Element (CUBE) i SDP i tilbud og svar, skal du bruge kryptering kommando i konfigurationstilstand for stemmeklasse. For at deaktivere denne funktion skal du bruge Nej form af denne kommando.

kryptopræferencekrypteringssæt for krypteringspræference

ingenkrypteringpræference krypteringssæt

Kommandostandard: Hvis denne kommando ikke er konfigureret, er standardfunktionen at tilbyde srtp-krypteringspakkerne i følgende præferencerækkefølge:

• ÆD_ER_256_GCM

• ÆDER_128__GCM

• AES_CM_128_HMAC_SHA1_80

• ER_CM_128_HMAC_SHA1_32

Kommandotilstand: stemmeklasse srtp-kryptering (konfigurationsklasse)

Retningslinjer for brug: Hvis du ændrer præferencen for en allerede konfigureret krypteringspakke, overskrives præferencen.

Hvis du vil generere nøglepar Rivest, Shamir og Adelman (RSA), skal du bruge krypteringsnøgle genererer rsa kommando i global konfigurationstilstand.

krypteringsnøgle genererer rsa[ { { generelle nøgler Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. brugernøgler Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. underskrift Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. kryptering } ] [ mærkat nøglemærkat] [ eksporterbar ] [ modulus Der er ingen tvivl om, hvorvidt der er noget galt med den. modulusstørrelse] [ opbevaring Der er ingen tvivl om, hvorvidt der er noget galt med den. afkoble mig Der er ingen tvivl om, hvorvidt der er noget galt med den. :] [ redundansDer er ingen tvivl om, hvorvidt der er noget galt med den. den Der er ingen tvivl om, hvorvidt der er noget galt med den. afkoble mig Der er ingen tvivl om, hvorvidt der er noget galt med den. :]

Kommandostandard: RSA-nøglepar findes ikke.

Kommandotilstand: Global konfiguration (konfiguration)

Retningslinjer for brug: Brug krypteringsnøgle genererer rsa kommando til at generere RSA-nøglepar til din Cisco-enhed (f.eks. en router).

RSA-nøgler genereres i par – en offentlig RSA-nøgle og en privat RSA-nøgle.

Hvis din router allerede har RSA-nøgler, når du udsteder denne kommando, vil du blive advaret og bedt om at erstatte de eksisterende nøgler med nye nøgler.

Den krypteringsnøgle genererer rsa kommandoen gemmes ikke i routerkonfigurationen. De RSA-nøgler, der genereres af denne kommando, gemmes dog i den private konfiguration i NVRAM (som aldrig vises for brugeren eller understøttes på en anden enhed), næste gang konfigurationen skrives til NVRAM.

• Nøgler til specialbrug: Hvis du genererer nøgler til specialbrug, genereres to par RSA-nøgler. Det ene par vil blive brugt med enhver IKE-politik (Internet Key Exchange), der angiver RSA-signaturer som godkendelsesmetoden, og det andet par vil blive brugt med enhver IKE-politik, der angiver RSA-krypterede nøgler som godkendelsesmetoden.

  En CA bruges kun med IKE-politikker, der angiver RSA-signaturer, ikke med IKE-politikker, der angiver RSA-krypterede nonnoncer. (Du kan dog angive mere end én IKE-politik og få RSA-signaturer angivet i én politik og RSA-krypterede nonner i en anden politik.)

  Hvis du planlægger at have begge typer RSA-godkendelsesmetoder i dine IKE-politikker, kan du foretrække at generere nøgler til specialbrug. Med nøgler til specialbrug udsættes hver nøgle ikke unødigt. (Uden nøgler til specialbrug bruges én nøgle til begge godkendelsesmetoder, hvilket øger eksponeringen af den pågældende nøgle).

• Nøgler til generelle formål: Hvis du genererer nøgler til generelle formål, vil kun ét par RSA-nøgler blive genereret. Dette par vil blive brugt sammen med IKE-politikker, der angiver enten RSA-signaturer eller RSA-krypterede nøgler. Derfor kan et nøglepar til generelle formål bruges oftere end et nøglepar til specialbrug.

• Navngivne nøglepar: Hvis du genererer et navngivet nøglepar ved hjælp af nøgleetiketargumentet, skal du også angive brugernøgler nøgleord eller generelle nøgler nøgleord. Navngivne nøglepar giver dig mulighed for at have flere RSA-nøglepar, hvilket gør det muligt for Cisco IOS-softwaren at vedligeholde et andet nøglepar for hvert identitetscertifikat.

• Modulus længde: Når du genererer RSA-nøgler, bliver du bedt om at indtaste en modulus-længde. Jo længere modulet er, desto stærkere er sikkerheden. Det tager dog længere tid at generere et længere modul (se tabellen nedenfor for prøveperioder) og tager længere tid at bruge.

  Tabel 2. Eksempler på tidspunkter efter modulus længde for at generere RSA-nøgler

  Router	360 bit	512 bit	1024 bit	2048 bit (maks.)
  Cisco 2500	11 sekunder	20 sekunder	4 minutter, 38 sekunder	Mere end 1 time
  Cisco 4700	Mindre end 1 sekund	1 sekund	4 sekunder	50 sekunder

  Cisco IOS-softwaren understøtter ikke et modul større end 4096 bit. En længde på mindre end 512 bit anbefales normalt ikke. I visse situationer fungerer det kortere modul muligvis ikke korrekt med IKE, så vi anbefaler at bruge et minimumsmodul på 2048 bit.

  Yderligere begrænsninger kan gælde, når RSA-nøgler genereres af kryptografisk hardware. Når RSA-nøgler f.eks. genereres af Cisco VPN Services Port Adapter (VSPA), skal RSA-tastmodulet være mindst 384 bit og skal være et multiplum af 64.

• Angivelse af en lagerplacering for RSA-nøgler: Når du udsteder krypteringsnøgle genererer rsa kommandoen med opbevaring afviger mig : Nøgleord og argument, RSA-tasterne gemmes på den angivne enhed. Denne placering erstatter enhver krypteringsnøglehukommelse kommandoindstillinger.

• Angivelse af en enhed til RSA-nøglegeneration: Du kan angive den enhed, hvor RSA-nøgler genereres. Enheder, der understøttes, omfatter NVRAM, lokale diske og USB-tokens. Hvis din router har et USB-token konfigureret og tilgængeligt, kan USB-token bruges som kryptografisk enhed ud over en lagerenhed. Ved at bruge et USB-token som en kryptografisk enhed kan RSA-handlinger som f.eks. nøglegenerering, signering og godkendelse af legitimationsoplysninger udføres på tokenet. Den private nøgle forlader aldrig USB-tokenet og kan ikke eksporteres. Den offentlige nøgle kan eksporteres.

  RSA-nøgler kan genereres på et konfigureret og tilgængeligt USB-token ved brug af den afviger mig : nøgleord og argument. Nøgler, der er placeret på et USB-token, gemmes til vedvarende tokenlagring, når de genereres. Antallet af nøgler, der kan genereres på et USB-token, er begrænset af det tilgængelige rum. Hvis du forsøger at generere nøgler på et USB-token, og det er fuldt, modtager du følgende meddelelse:

  % Error in generating keys:no available resources 

  Sletning af tast fjerner øjeblikkeligt de nøgler, der er gemt på tokenet, fra vedvarende lagring. (Nøgler, der ikke ligger på et token, gemmes på eller slettes fra ikke-token-lagerplaceringer, når kopi eller tilsvarende kommando udstedes).

• Angivelse af RSA-nøgleredundans på en enhed: Du kan kun angive redundans for eksisterende nøgler, hvis de kan eksporteres.

Hvis du vil godkende certificeringsmyndigheden (CA) (ved at få certifikatet fra CA), skal du bruge kryptopkigodkender kommandoen i global konfigurationstilstand.

kryptopkigodkendelsesnavn

Kommandostandard: Ingen standardadfærd eller værdier.

Kommandotilstand: Global konfiguration (konfiguration)

Retningslinjer for brug: Denne kommando er påkrævet, når du i første omgang konfigurerer CA-support på din router.

Denne kommando godkender nøglecenteret til din router ved at få det selvsignerede certifikat for nøglecenteret, der indeholder den offentlige nøgle for nøglecenteret. Da nøglecenteret underskriver sit eget certifikat, skal du manuelt godkende den offentlige nøgle for nøglecenteret ved at kontakte nøgleadministratoren, når du indtaster denne kommando.

Hvis du bruger tilstanden Router Advertisements (RA) (ved brug af tilmelding kommando) når du udsteder kryptering pki godkend kommandoen, så vil registreringsmyndighedens underskrift og krypteringscertifikater blive returneret fra CA-certifikatet og CA-certifikatet.

Denne kommando gemmes ikke i routerkonfigurationen. De offentlige nøgler, der er indlejret i de modtagne CA- (og RA)-certifikater, gemmes dog i konfigurationen som en del af den offentlige nøglepost Rivest, Shamir og Adelman (RSA) (kaldet "RSA offentlig nøglekæde for RSA").

Hvis CA ikke svarer med en timeout-periode, efter denne kommando er udstedt, returneres terminalkontrollen, så den forbliver tilgængelig. Hvis dette sker, skal du indtaste kommandoen igen. Cisco IOS-softwaren genkender ikke udløbsdatoer for CA-certifikat, der er angivet for ud over 2049. Hvis gyldighedsperioden for CA-certifikatet er indstillet til at udløbe efter år 2049, vises følgende fejlmeddelelse, når godkendelse med CA-serveren forsøges: fejl ved hentning af certifikat:incomplete chain Hvis du modtager en fejlmeddelelse, der ligner denne, skal du kontrollere udløbsdatoen for dit CA-certifikat. Hvis udløbsdatoen for dit CA-certifikat er indstillet efter år 2049, skal du reducere udløbsdatoen med et år eller mere.

Hvis du vil importere et certifikat manuelt via TFTP eller som klip-og-paste på terminalen, skal du bruge kryptopkiimportkommando i global konfigurationstilstand.

kryptopkiimporteredenavnecertifikat

Kommandostandard: Ingen standardadfærd eller værdier

Kommandotilstand: Global konfiguration (konfiguration)

Retningslinjer for brug: Du skal indtaste krypto pki-import Kommando to gange, hvis der bruges brugsnøgler (signatur- og krypteringsnøgler). Første gang kommandoen er angivet, indsættes et af certifikaterne i routeren; anden gang kommandoen er angivet, og det andet certifikat indsættes i routeren. (Det er ligegyldigt, hvilket certifikat der først indsættes.)

Hvis du vil angive det tillidspunkt, som din router skal bruge, skal du bruge kryptopkitillidspost kommando i global konfigurationstilstand. Hvis du vil slette alle identitetsoplysninger og certifikater, der er knyttet til tillidspunktet, skal du bruge Nej form af denne kommando.

kryptopkitrustpointnavnredundans

ingenkryptopkitillidspunktnavnredundans

Kommandostandard: Din router genkender ikke nogen tillidspunkter, før du erklærer et tillidspunkt ved hjælp af denne kommando. Din router bruger entydige identifikatorer under kommunikation med OCSP-servere (Online Certificate Status Protocol), som konfigureret på dit netværk.

Kommandotilstand: Global konfiguration (konfiguration)

Retningslinjer for brug:

Erklæring af tillidspunkter

Brug kryptering pki tillidspunkt ordre til at erklære et tillidspunkt, som kan være en selvsigneret rodcertifikatmyndighed (CA) eller en underordnet CA. Udstedelse af kryptering pki tillidspunkt kommandoen sætter dig i konfigurationstilstand med ca-tillidspunkt.

Du kan angive funktioner for tillidspunktet ved hjælp af følgende underkommandoer:

• crl– anmoder om CRL-listen (certificate revocation list) for at sikre, at peer-certifikatet ikke er blevet tilbagekaldt.

• standard(ca-tillidspunkt) – Nulstiller værdien af underkommandoer til konfigurationstilstanden ca-tillidspunkt til deres standardindstillinger.

• tilmelding – angiver tilmeldingsparametre (valgfri).

• tilmeldinghttp-proxy – får adgang til CA via proxyserveren.

• tilmeldingselvsigneret – angiver selvsigneret tilmelding (valgfri).

• matchendecertifikat – Tilknytter en certifikatbaseret adgangskontrolliste (ACL), der er defineret med Kryptocacertifikatkortkommando.

• ocspdeaktiverer-nonce – angiver, at din router ikke sender entydige identifikatorer eller noncer under OCSP-kommunikation.

• primær– Tildeler et specificeret tillidspunkt som routerens primære tillidspunkt.

• rod– definerer TFTP for at få CA-certifikatet og angiver både et navn på serveren og et navn på den fil, der vil gemme CA-certifikatet.

Angivelse af brug af entydige identifikatorer

Når du bruger OCSP som din tilbagekaldsmetode, sendes entydige identifikatorer eller noncer som standard under peer-kommunikation med OCSP-serveren. Brugen af entydige identifikatorer under OCSP-serverkommunikation muliggør mere sikker og pålidelig kommunikation. Men det er ikke alle OCSP-servere, der understøtter brugen af unikke tæpper. Se din OCSP-manual for yderligere oplysninger. Hvis du vil deaktivere brugen af entydige identifikatorer under OCSP-kommunikation, skal du bruge oksp deaktiverer-nonce underkommando.

Hvis du vil importere (downloade) certificeringsmyndighedens (CA) certifikatsæt manuelt i den offentlige nøgleinfrastruktur (PKI) tillidspulje for at opdatere eller erstatte den eksisterende CA-pakke, skal du bruge Import af krypto pki tillidspulje kommando i global konfigurationstilstand. Hvis du vil fjerne nogen af de konfigurerede parametre, skal du bruge Nej form af denne kommando.

kryptoDer er ingen tvivl om, hvorvidt der er noget galt med den. pkiDer er ingen tvivl om, hvorvidt der er noget galt med den. tillidspuljeDer er ingen tvivl om, hvorvidt der er noget galt med den. importDer er ingen tvivl om, hvorvidt der er noget galt med den. renset[ terminalDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. urlDer er ingen tvivl om, hvorvidt der er noget galt med den. url]

LæDer er ingen tvivl om, hvorvidt der er noget galt med den. kryptoDer er ingen tvivl om, hvorvidt der er noget galt med den. pkiDer er ingen tvivl om, hvorvidt der er noget galt med den. tillidspuljeDer er ingen tvivl om, hvorvidt der er noget galt med den. importDer er ingen tvivl om, hvorvidt der er noget galt med den. renset[ terminalDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. urlDer er ingen tvivl om, hvorvidt der er noget galt med den. url]

Kommandostandard: Funktionen PKI-tillidspulje er aktiveret. Routeren bruger det indbyggede CA-certifikatsæt i PKI-tillidspuljen, som opdateres automatisk fra Cisco.

Kommandotilstand: Global konfiguration (konfiguration)

Sikkerhedstrusler, såvel som kryptografiske teknologier til at hjælpe med at beskytte mod dem, ændres konstant. Få flere oplysninger om de seneste Cisco-kryptografiske anbefalinger i hvidbogen Næste generation Encryption (NGE).

PKI-tillidspuljecertifikater opdateres automatisk fra Cisco. Når PKI-tillidspuljens certifikater ikke er aktuelle, skal du bruge Import af krypto pki tillidspulje kommando til at opdatere dem fra en anden placering.

Den URL-adresse Argumentet angiver eller ændrer URL-filsystemet for CA. Tabellen nedenfor viser de tilgængelige URL-filsystemer.

Tabel 3. URL-filsystemer

Filsystem	Beskrivelse
arkiv:	Importerer fra arkivfilsystemet.
Cns:	Importerer fra filsystemet Cluster Namespace (CNS).
disk0:	Importerer fra disc0-filsystemet.
disk1:	Importerer fra disc1-filsystemet.
ftp:	Importerer fra FTP-filsystemet.
http:	Importerer fra HTTP-filsystemet. URL-adressen skal være i følgende formater: http://CA-navn:80, hvor CA-navn er domænenavnssystemet (DNS) http://ipv4-adresse:80. Eksempel: http://10.10.10.1:80. http://[ipv6-adresse]:80. Eksempel: http://[2001:DB8:1:1::1]:80. IP v6-adressen er i hexadecimal notation og skal være omsluttet i parenteser i URL-adressen.
https://https:	Importerer fra HTTPS-filsystemet. URL-adressen skal bruge de samme formater som HTTP: filsystemformater.
nul:	Importerer fra nulfilsystemet.
nvram:	Importerer fra NVRAM-filsystemet.
pram:	Importerer fra filsystemet PRAM (Parameter Random-access Memory).
rcp:	Importerer fra filsystemet til ekstern kopiprotokol (rcp).
scp:	Importerer fra filsystemet med sikker kopiprotokol (scp).
snmp:	Importerer fra SNMP (Simple Network Management Protocol).
system:	Importerer fra systemfilsystemet.
tjære:	Importerer fra UNIX tjærefilsystemet.
tftp:	Importerer fra TFTP-filsystemet.   URL-adressen skal være i fra: tftp://CA-navn/filspecifikation.
tmpsys:	Importerer fra Cisco IOS tmpsys-filsystemet.
unix:	Importerer fra UNIX-filsystemet.
xmodem:	Importerer fra det xmodem simple filoverførselsprotokollesystem.
ymodem:	Importerer fra ymodem simple filoverførselsprotokolsystem.

For at identificere trustpointtrustpoint-navn-nøgleord og argument, der bruges under TLS-håndtryk (Transport Layer Security), der svarer til den eksterne enheds adresse, brug krypteringssignaler kommando i konfigurationstilstand for SIP-brugeragent (UA). Sådan nulstilles til standarden tillidspunkt streng, brug Nej form af denne kommando.

krypto-signalering{ standardDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. ekstern-addr Der er ingen tvivl om, hvorvidt der er noget galt med den. IP-adresse Der er ingen tvivl om, hvorvidt der er noget galt med den. undernetmaske } [ tls-profil Der er ingen tvivl om, hvorvidt der er noget galt med den. mærke Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. tillidspunkt Der er ingen tvivl om, hvorvidt der er noget galt med den. tillidspunkt ] [ cn-san-validering Der er ingen tvivl om, hvorvidt der er noget galt med den. server] [ klient-vtp tillidspunkt ] [ ecdsa-kryptering Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. kurvestørrelse 384 Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. streng-kryptering ]

LæDer er ingen tvivl om, hvorvidt der er noget galt med den. krypto-signalering{ standardDer er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. ekstern-addr Der er ingen tvivl om, hvorvidt der er noget galt med den. IP-adresse Der er ingen tvivl om, hvorvidt der er noget galt med den. undernetmaske } [ tls-profil Der er ingen tvivl om, hvorvidt der er noget galt med den. mærke Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. tillidspunkt Der er ingen tvivl om, hvorvidt der er noget galt med den. tillidspunkt ] [ cn-san-validering Der er ingen tvivl om, hvorvidt der er noget galt med den. server] [ klient-vtp tillidspunkt ] [ ecdsa-kryptering Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. kurvestørrelse 384 Der er ingen tvivl om, hvorvidt der er noget galt med den. |Der er ingen tvivl om, hvorvidt der er noget galt med den. streng-kryptering ]

Kommandostandard: Kommandoen for krypto-signalering er deaktiveret.

Kommandotilstand: SIP UA-konfiguration (sip-ua)

Retningslinjer for brug: Den trustpointtillidspunkt-navn nøgleord og argument henviser til det CUBE-certifikat, der genereres som en del af tilmeldingsprocessen ved hjælp af Cisco IOS PKI-kommandoer.

Når et enkelt certifikat er konfigureret, bruges det af alle eksterne enheder og er konfigureret af standard nøgleord.

Når der bruges flere certifikater, kan de være knyttet til eksterne tjenester ved hjælp af ekstern-addr argumenter for hvert tillidspunkt. Den ekstern-addr og standardargumenter kan bruges sammen til at dække alle tjenester efter behov.

Standardkrypteringspakken i dette tilfælde er følgende sæt, der understøttes af SSL-laget på CUBE: TLS_RSA_MED_RC4_128_MD5 TLS_RSA_MED_AES_128_CBC_SHA TLS_DHE_RSA_MED_AES_128_CBC_SHA1 TLS_ECDHE_RSA_MED_AES_128_GCM_SHA256 TLS_ECDHE_RSA_MED_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_MED_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_MED_AES_256_GCM_SHA384

Nøgleordet cn-san-valider server aktiverer validering af serveridentitet via CN- og SAN-felterne i certifikatet, når der oprettes SIP/TLS-forbindelser på klientsiden. Validering af CN- og SAN-felterne i servercertifikatet sikrer, at serversidesdomænet er en gyldig enhed. Når der oprettes en sikker forbindelse med en SIP-server, validerer CUBE det konfigurerede sessionsdestinationsdomænenavn i forhold til CN/SAN-felterne i serverens certifikat, før der oprettes en TLS-session. Når du konfigurerer cn-san-valider server, validering af serveridentiteten sker for hver ny TLS-forbindelse.

Den tls-profil valgmuligheden tilknytter de TLS-politikkonfigurationer, der er foretaget gennem den tilknyttede stemmeklasse tls-profil konfiguration. Ud over de TLS-politiske valgmuligheder, der er tilgængelige direkte med krypteringssignaler kommandoen, en tls-profil omfatter også sni sender valgmulighed.

sni send aktiverer SNI (Server Name Indication), et TLS-lokalnummer, der gør det muligt for en TLS-klient at angive navnet på den server, den forsøger at oprette forbindelse til under den indledende TLS-håndrystingsproces. Kun serverens fuldt kvalificerede DNS-værtsnavn sendes i klienten hello. SNI understøtter ikke IPV4- og IPV6-adresser i klientens hello-lokalnummer. Når du har modtaget en "hej" med servernavnet fra TLS-klienten, bruger serveren det relevante certifikat i den efterfølgende TLS-håndtrykproces. SNI kræver TLS version 1.2.

TLS-politikfunktioner vil kun være tilgængelige via en stemmeklasse tls-profil konfiguration. Den krypteringssignaler kommandoen fortsætter med at understøtte tidligere eksisterende TLS-kryptindstillinger. Du kan enten bruge stemmeklasse tls-profil-mærkeeller stemmeklasse krypteringssignaler kommando til at konfigurere et tillidspunkt. Vi anbefaler, at du bruger Stemmeklasse tls-profil-tagkommandofor at udføre TLS-profilkonfigurationer.