Um das Zugriffssteuerungsmodell für Authentifizierung, Autorisierung und Buchhaltung (AAA) zu aktivieren, verwenden Sie das aaa neues Modell im globalen Konfigurationsmodus. Um das AAA-Zugriffssteuerungsmodell zu deaktivieren, verwenden Sie das nein Form dieses Befehls.

aaa neues Modell

nein aaa neues Modell

Dieser Befehl hat keine Argumente oder Schlüsselwörter.

Befehlsstandard: AAA ist nicht aktiviert.

Befehlsmodus: Globale Konfiguration (config)

Nutzungsrichtlinien: Dieser Befehl aktiviert das AAA-Zugriffssteuerungssystem.

Zum Festlegen der Authentifizierung, Autorisierung und Buchhaltungsauthentifizierung (AAA) bei der Anmeldung verwenden Sie die aaa-Authentifizierungsanmeldung im globalen Konfigurationsmodus. Um die AAA-Authentifizierung zu deaktivieren, verwenden Sie die nein Form dieses Befehls.

aaa Authentifizierungslogin { default | list-name } method1 [ method2...]

neinAnmeldung zur aaa-Authentifizierung {{{}}Standard |Listenname } Methode1 [...]Methode2...]

Befehlsstandard: AAA-Authentifizierung bei der Anmeldung ist deaktiviert.

Befehlsmodus: Globale Konfiguration (config)

Nutzungsrichtlinien: Wenn die Standard Schlüsselwort ist nicht gesetzt, nur die lokale Benutzerdatenbank ist aktiviert. Dies hat den gleichen Effekt wie der folgende Befehl:

aaa authentication login default local

In der Konsole ist die Anmeldung ohne Authentifizierungsüberprüfungen erfolgreich, wenn Standard Schlüsselwort ist nicht festgelegt.

Die Standard- und optionalen Listennamen, die Sie mit dem aaa-Authentifizierungsanmeldung Befehl wird mit dem Anmeldeauthentifizierung Befehl.

Erstellen Sie eine Liste durch Eingabe der aaa-Authentifizierungsanmeldung list-name Methode Befehl für ein bestimmtes Protokoll. Das Argument list-name ist die Zeichenfolge, die verwendet wird, um die Liste der Authentifizierungsmethoden zu benennen, die aktiviert werden, wenn sich ein Benutzer anmeldet. Das Methodenargument identifiziert die Liste der Methoden, die der Authentifizierungsalgorithmus in der angegebenen Sequenz versucht. Im Abschnitt „Authentifizierungsmethoden, die für das Argument list-name nicht verwendet werden können“ werden Authentifizierungsmethoden aufgeführt, die für das Argument list-name nicht verwendet werden können. In der folgenden Tabelle werden die Schlüsselwörter der Methode beschrieben.

Um eine Standardliste zu erstellen, die verwendet wird, wenn einer Leitung keine Liste zugewiesen ist, verwenden Sie die Anmeldeauthentifizierung mit dem Standardargument gefolgt von den Methoden, die Sie in Standardsituationen verwenden möchten.

Das Passwort wird nur einmal aufgefordert, die Benutzeranmeldeinformationen zu authentifizieren, und im Falle von Fehlern aufgrund von Verbindungsproblemen sind mehrere Wiederholungsversuche über die zusätzlichen Authentifizierungsmethoden möglich. Der Umstieg auf die nächste Authentifizierungsmethode erfolgt jedoch nur, wenn die vorherige Methode einen Fehler zurückgibt, nicht, wenn sie fehlschlägt. Um sicherzustellen, dass die Authentifizierung erfolgreich ist, auch wenn alle Methoden einen Fehler zurückgeben, geben Sie Folgendes an keine als letzte Methode in der Befehlszeile.

Wenn die Authentifizierung nicht speziell für eine Leitung festgelegt ist, wird standardmäßig der Zugriff verweigert und es wird keine Authentifizierung durchgeführt. Verwenden Sie die mehr System:running-config , um aktuell konfigurierte Listen von Authentifizierungsmethoden anzuzeigen.

Authentifizierungsmethoden, die nicht für das Argument mit dem Listennamen verwendet werden können

Die Authentifizierungsmethoden, die für das Argument list-name nicht verwendet werden können, lauten wie folgt:

• Auth-Gast

• aktivieren

• Gast

• falls authentifiziert

• bei Bedarf

• krb5

• krb-Instanz

• krb-telnet

• Zeile

• lokal

• keine

• Radius

• rcmd

• takacs

• takaksplus

In der folgenden Tabelle beziehen sich die Methoden für Gruppen-Radius, Gruppen-Tacacs +, Gruppen-LDAP und Gruppen-Gruppennamen auf eine Reihe von zuvor definierten RADIUS- oder TACACS+-Servern. Verwenden Sie die Host-Befehle radius-server und tacacs-server, um die Host-Server zu konfigurieren. Verwenden Sie die Befehle aaa group server radius, aaa group server ldap und aaa group server tacacs+, um eine benannte Servergruppe zu erstellen.

In der folgenden Tabelle werden die Methodenschlüsselwörter beschrieben.

Schlüsselwort	Beschreibung
Cache Gruppenname	Verwendet eine Cache-Servergruppe für die Authentifizierung.
aktivieren	Verwendet das Kennwort zum Aktivieren für die Authentifizierung. Dieses Schlüsselwort kann nicht verwendet werden.
Gruppe Gruppenname	Verwendet eine Teilmenge von RADIUS- oder TACACS+-Servern für die Authentifizierung, wie von der Aaa-Gruppenserverradius oder aaa-Gruppenserver-Tacacs+ Befehl.
Gruppe ldap	Verwendet die Liste aller LDAP-Server (Lightweight Directory Access Protocol) für die Authentifizierung.
Radius der Gruppe	Verwendet die Liste aller RADIUS-Server für die Authentifizierung.
Gruppe Tacacs+	Verwendet die Liste aller TACACS+-Server für die Authentifizierung.
krb5	Verwendet Kerberos 5 für die Authentifizierung.
krb5-Telnet	Verwendet Kerberos 5 Telnet Authentifizierungsprotokoll, wenn Telnet verwendet wird, um eine Verbindung mit dem Router herzustellen.
Zeile	Verwendet das Leitungspasswort für die Authentifizierung.
lokal	Verwendet die lokale Benutzername-Datenbank für die Authentifizierung.
Lokaler Fall	Bei der Authentifizierung des lokalen Benutzernamens muss die Groß-/Kleinschreibung beachtet werden.
keine	Keine Authentifizierung.
Passwd-Ablauf	Aktiviert die Passwortalterung in einer lokalen Authentifizierungsliste.   Die radius-server vsa senden Authentifizierung Befehl ist erforderlich, um den Passwd-Ablauf Schlüsselwort Arbeit.

Um die Parameter festzulegen, die den Benutzerzugriff auf ein Netzwerk einschränken, verwenden Sie die aaa-Autorisierung im globalen Konfigurationsmodus. Um die Parameter zu entfernen, verwenden Sie die nein Form dieses Befehls.

aaaAutorisierung {{{}} Authentifizierungsproxy|Zwischenspeicher|BefehleEbene |config-Befehle|Konfiguration|Konsole|exec|ipmobil|Multicast|Netzwerk|Richtlinie-if|Vorauszahlung|Radius-Proxy|reversiver Zugriff|Subscriber-Service|Vorlage} {Standard|Listenname } [Methode1 [...]Methode2... ]]

neinaaaAutorisierung {{{}} Authentifizierungsproxy|Zwischenspeicher|BefehleEbene |config-Befehle|Konfiguration|Konsole|exec|ipmobil|Multicast|Netzwerk|Richtlinie-if|Vorauszahlung|Radius-Proxy|reversiver Zugriff|Subscriber-Service|Vorlage} {Standard|Listenname } [Methode1 [...]Methode2... ]]

Befehlsstandard: Autorisierung ist für alle Aktionen deaktiviert (entspricht dem Methode-Schlüsselwort none ).

Befehlsmodus: Globale Konfiguration (config)

Nutzungsrichtlinien: Verwenden Sie den aaa-Autorisierungsbefehl, um die Autorisierung zu aktivieren und benannte Methodenlisten zu erstellen, die Autorisierungsmethoden definieren, die verwendet werden können, wenn ein Benutzer auf die angegebene Funktion zugreift. Methodenlisten für die Autorisierung definieren die Art und Weise, wie eine Autorisierung durchgeführt wird, und die Reihenfolge, in der diese Methoden durchgeführt werden. Eine Methodenliste ist eine benannte Liste, die die nacheinander zu verwendenden Autorisierungsmethoden (wie RADIUS oder TACACS+) beschreibt. In Methodenlisten können Sie ein oder mehrere Sicherheitsprotokolle festlegen, die für die Autorisierung verwendet werden sollen. Auf diese Weise wird sichergestellt, dass bei einem Ausfall der ursprünglichen Methode ein Sicherungssystem verwendet wird. Cisco IOS-Software verwendet die erste aufgeführte Methode, um Benutzer für bestimmte Netzwerkdienste zu autorisieren. Wenn diese Methode nicht reagiert, wählt die Cisco IOS-Software die nächste in der Methodenliste aufgeführte Methode aus. Dieser Prozess wird fortgesetzt, bis eine erfolgreiche Kommunikation mit einer aufgeführten Autorisierungsmethode erfolgt oder alle definierten Methoden erschöpft sind.

Die Cisco IOS-Software versucht nur dann, die Autorisierung mit der nächsten aufgeführten Methode durchzuführen, wenn von der vorherigen Methode keine Antwort erfolgt. Wenn die Autorisierung zu einem beliebigen Zeitpunkt in diesem Zyklus fehlschlägt – d. h. der Sicherheitsserver oder die lokale Benutzername-Datenbank antwortet, indem sie die Benutzerdienste verweigert – wird der Autorisierungsvorgang beendet und es werden keine anderen Autorisierungsmethoden versucht.

Wenn der aaa-Autorisierungsbefehl für einen bestimmten Autorisierungstyp ohne eine angegebene benannte Methodenliste ausgegeben wird, wird die Standardmethodenliste automatisch auf alle Schnittstellen oder Leitungen angewendet (wobei dieser Autorisierungstyp gilt), mit Ausnahme derjenigen, die eine benannte Methodenliste explizit definiert haben. (Eine definierte Methodenliste überschreibt die Standardmethodenliste.) Wenn keine Standardmethodenliste definiert ist, erfolgt keine Autorisierung. Die Liste der Standard-Autorisierungsmethoden muss verwendet werden, um eine ausgehende Autorisierung durchzuführen, z. B. das Autorisieren des Herunterladens von IP-Pools vom RADIUS-Server.

Verwenden Sie den aaa-Autorisierungsbefehl, um eine Liste zu erstellen, indem Sie die Werte für den Listennamen und die Methodenargumente eingeben, wobei list-name jede Zeichenfolge ist, die verwendet wird, um diese Liste zu benennen (mit Ausnahme aller Methodennamen) und method die Liste der in der angegebenen Sequenz getesteten Autorisierungsmethoden identifiziert.

Der aaa-Autorisierungsbefehl unterstützt 13 separate Methodenlisten. Zum Beispiel:

Radius der Gruppe aaa Autorisierungskonfigurationsmethodlist1

Radius der Gruppe aaa Autorisierungskonfigurationsmethodlist2

...

Aaa Autorisierungskonfigurationsmethodenliste13 Gruppenradius

In der folgenden Tabelle beziehen sich die Methoden group group-name, group ldap, group radius und group tacacs + auf eine Reihe von zuvor definierten RADIUS- oder TACACS+-Servern. Verwenden Sie die Host-Befehle radius-server und tacacs-server, um die Host-Server zu konfigurieren. Verwenden Sie die Befehle aaa group server radius , aaa group server ldap und aaa group server tacacs+, um eine benannte Gruppe von Servern zu erstellen.

Die Cisco IOS-Software unterstützt die folgenden Autorisierungsmethoden:

• Cache-Servergruppen – Der Router fragt seine Cache-Servergruppen nach, um bestimmte Rechte für Benutzer zu autorisieren.

• If-Authenticated --Der Benutzer darf auf die angeforderte Funktion zugreifen, sofern der Benutzer erfolgreich authentifiziert wurde.

• Lokal --Der Router oder Zugriffsserver fragt nach seiner lokalen Datenbank, wie durch den Befehl username definiert, um bestimmte Rechte für Benutzer zu autorisieren. Nur eine begrenzte Anzahl von Funktionen kann über die lokale Datenbank gesteuert werden.

• Keine --Der Netzwerkzugriffsserver fordert keine Autorisierungsinformationen an; die Autorisierung wird nicht über diese Leitung oder Schnittstelle durchgeführt.

• RADIUS --Der Netzwerkzugriffsserver fordert Autorisierungsinformationen von der RADIUS-Sicherheitsservergruppe an. Die RADIUS-Autorisierung definiert spezifische Rechte für Benutzer, indem Attribute, die in einer Datenbank auf dem RADIUS-Server gespeichert sind, dem entsprechenden Benutzer zugeordnet werden.

• TACACS+ --Der Netzwerkzugriffsserver tauscht Autorisierungsinformationen mit dem TACACS+ Sicherheitsdaemon aus. Die TACACS+-Autorisierung definiert spezifische Rechte für Benutzer, indem Attributwert-Paare (AV), die in einer Datenbank auf dem TACACS+-Sicherheitsserver gespeichert sind, dem entsprechenden Benutzer zugeordnet werden.

Um Verbindungen zwischen bestimmten Endpunkttypen in einem VoIP-Netzwerk zuzulassen, verwenden Sie die Zulässige Verbindungen Befehl im Konfigurationsmodus des Sprachdiensts. Um bestimmte Arten von Verbindungen zu verweigern, verwenden Sie die nein Form dieses Befehls.

allow-connections von Typ bis bis Typ

no allow-connections von Typ bis zu Typ

Befehlsstandard: SIP-zu-SIP-Verbindungen sind standardmäßig deaktiviert.

Befehlsmodus: Sprachdienstkonfiguration (config-voi-serv)

Nutzungsrichtlinien: Dieser Befehl wird verwendet, um Verbindungen zwischen bestimmten Arten von Endpunkten in einem Cisco Multiservice IP-to-IP-Gateway zuzulassen. Der Befehl ist standardmäßig aktiviert und kann nicht geändert werden.

Um das Einfügen von '#' an einem beliebigen Ort im Sprachregister dn zu erlauben, verwenden Sie die Zulassen-Hash-in-dn Befehl im globalen Sprachregistermodus. Verwenden Sie zum Deaktivieren die nein Form dieses Befehls.

Zulassen-Hash-in-dn

kein allow-hash-in-dn

Befehlsstandard: Der Befehl ist standardmäßig deaktiviert.

Befehlsmodus: globale Konfiguration der Sprachregistrierung (config-register-global)

Nutzungsrichtlinien: Bevor dieser Befehl eingeführt wurde, waren die Zeichen, die im Sprachregister dn unterstützt wurden, 0-9, + und *. Der neue Befehl wird aktiviert, wenn der Benutzer # in das Sprachregister dn einfügen muss. Der Befehl ist standardmäßig deaktiviert. Sie können diesen Befehl nur in den Modi Cisco Unified SRST und Cisco Unified E-SRST konfigurieren. Das Zeichen # kann an jeder Stelle im Sprachregister dn eingefügt werden. Wenn dieser Befehl aktiviert ist, müssen Benutzer das Standard-Beendigungszeichen (#) mit einem anderen gültigen Zeichen ändern. Dial-Peer-Terminator Befehl im Konfigurationsmodus.

Um in den Konfigurationsmodus für redundante Anwendungen zu wechseln, verwenden Sie die Redundanz der Anwendung Befehl im Redundanzkonfigurationsmodus.

Redundanz der Anwendung

Dieser Befehl hat keine Argumente oder Schlüsselwörter.

Befehlsstandard: Keiner

Befehlsmodus: Redundanzkonfiguration (config-red)

Nutzungsrichtlinien: Verwenden Sie diese Redundanz der Anwendung Befehl zum Konfigurieren der Anwendungsredundanz für Hochverfügbarkeit.

Verwenden Sie zum Festlegen des Standard-Gateways für eine Anwendung die App-Standard-Gateway Befehl im Konfigurationsmodus für Anwendungshosting. Um die Standard-Gatway zu entfernen, verwenden Sie die nein Form dieses Befehls.

app-default-gateway [ IP-Adresse Gastschnittstelle Netzwerk-Schnittstellennummer ]

no app-default-gateway [ ip-address guest-interface network-interface-number ]

Befehlsstandard: Das Standard-Gateway ist nicht konfiguriert.

Befehlsmodus: Konfiguration von Anwendungshosting (config-app-hosting)

Nutzungsrichtlinien: Verwenden Sie die App-Standard-Gateway Befehl, um das Standard-Gateway für eine Anwendung festzulegen. Die Gateway-Connectoren sind Anwendungen, die auf dem Cisco IOS XE GuestShell-Container installiert sind.

Um eine Anwendung zu konfigurieren und in den Konfigurationsmodus für das Anwendungshosting zu wechseln, verwenden Sie die App-Hosting-App im globalen Konfigurationsmodus. Verwenden Sie zum Entfernen der Anwendung die nein Form dieses Befehls.

App-Hosting appid Anwendungsname

Befehlsstandard: Es ist keine Anwendung konfiguriert.

Befehlsmodus: Globale Konfiguration (config)

Nutzungsrichtlinien: Das Argument für den Anwendungsnamen kann bis zu 32 alphanumerische Zeichen enthalten.

Sie können die Konfiguration des Anwendungs-Hosts aktualisieren, nachdem Sie diesen Befehl konfiguriert haben.

Um das von der Anwendung bereitgestellte Ressourcenprofil zu überschreiben, verwenden Sie die App-Widerhall-Profil Befehl im Konfigurationsmodus für Anwendungshosting. Um zum anwendungsspezifischen Ressourcenprofil zurückzukehren, verwenden Sie die nein Form dieses Befehls.

App-Resoure-Profil Profilname

nein App-Resoure-Profil Profilname

Befehlsstandard: Ressourcenprofil ist konfiguriert.

Befehlsmodus: Konfiguration von Anwendungshosting (config-app-hosting)

Nutzungsrichtlinien: Reservierte Ressourcen, die im Anwendungspaket angegeben sind, können durch Festlegen eines benutzerdefinierten Ressourcenprofils geändert werden. Nur die CPU-, Speicher- und virtuellen CPU-Ressourcen (vCPU) können geändert werden. Damit die Ressourcenänderungen wirksam werden, beenden und deaktivieren Sie die Anwendung, aktivieren Sie sie und starten Sie sie erneut.

Es wird nur benutzerdefiniertes Profil unterstützt.

Der Befehl konfiguriert das benutzerdefinierte Anwendungsressourcenprofil und wechselt in den Konfigurationsmodus für benutzerdefinierte Anwendungsressourcenprofile.

Um ein Gateway der virtuellen Netzwerkschnittstelle für eine Anwendung zu konfigurieren, verwenden Sie die App-vnic-Gateway Befehl im Konfigurationsmodus für Anwendungshosting. Um die Konfiguration zu entfernen, verwenden Sie die nein Form dieses Befehls.

Dieser Befehl wird nur auf Routing-Plattformen unterstützt. Sie wird auf Schaltplattformen nicht unterstützt.

app-vnic gateway virtualportgroup nummer guest-interface network-interface-nummer

nein app-vnic gateway virtualportgroup guest-interface network-interface-number

Befehlsstandard: Das virtuelle Netzwerk-Gateway ist nicht konfiguriert.

Befehlsmodus: Konfiguration von Anwendungshosting (config-app-hosting)

Nutzungsrichtlinien: Nachdem Sie das Gateway der virtuellen Netzwerkschnittstelle für eine Anwendung konfiguriert haben, wechselt der Befehlsmodus in den Konfigurationsmodus für das Anwendungshosting-Gateway. In diesem Modus können Sie die IP-Adresse der Gastschnittstelle konfigurieren.

Um die Unterstützung für den behaupteten ID-Header in eingehenden SIP-Anfragen (Session Initiation Protocol) oder Antwortnachrichten zu aktivieren und die Informationen zum Datenschutz für die behauptete ID in ausgehenden SIP-Anfragen oder Antwortnachrichten zu senden, verwenden Sie die asserated-id Befehl im VoIP-SIP-Konfigurationsmodus des Sprachdiensts oder im Konfigurationsmodus des Sprachklassen-Tenants. Um die Unterstützung für den Header der behaupteten ID zu deaktivieren, verwenden Sie die nein Form dieses Befehls.

asserted-id { pai | ppi } system

no asserated-id { pai | ppi } system

Befehlsstandard: Die Datenschutzinformationen werden mithilfe des Remote-Party-ID-Headers (RPID) oder des FROM-Headers gesendet.

Befehlsmodus: Sprachdienst VoIP-SIP-Konfiguration (conf-serv-sip) und Sprachklassen-Tenant-Konfiguration (config-class)

Nutzungsrichtlinien: Wenn Sie die pai Schlüsselwort oder die ppi Schlüsselwort, baut das Gateway den PAI-Header bzw. den PPI-Header in den allgemeinen SIP-Stack auf. Die pai Schlüsselwort oder die ppi Schlüsselwort hat die Priorität vor dem Remote-Party-ID (RPID)-Header und entfernt den RPID-Header aus der ausgehenden Nachricht, auch wenn der Router so konfiguriert ist, dass er den RPID-Header auf globaler Ebene verwendet.

Verwenden Sie zum Konfigurieren der Unterstützung für die asymmetrische Nutzlast „Session Initiation Protocol“ (SIP) die asymmetrische Nutzlast im SIP-Konfigurationsmodus oder im Sprachklassen-Tenant-Konfigurationsmodus. Um die asymmetrische Nutzlastunterstützung zu deaktivieren, verwenden Sie die nein Form dieses Befehls.

asymmetrisch Nutzlast {{{}} dtmf |dynamische Codecs |voll |System }

neinasymmetrischNutzlast {{{}} dtmf |dynamische Codecs |voll |System }

Befehlsstandard: Dieser Befehl ist deaktiviert.

Befehlsmodus: Sprachdienst-SIP-Konfiguration (conf-serv-sip), Sprachklassen-Tenant-Konfiguration (config-class)

Nutzungsrichtlinien: Geben Sie den SIP-Konfigurationsmodus über den Sprachdienst-Konfigurationsmodus ein, wie im Beispiel gezeigt.

Für Cisco UBE wird der asymmetrische SIP-Nutzlasttyp für Audio-/Video-Codecs, DTMF und NSE unterstützt. Daher, dtmf und dynamische Codecs Schlüsselwörter werden intern dem zugeordnet voll Schlüsselwort, um eine asymmetrische Nutzlastunterstützung für Audio-/Video-Codecs, DTMF und NSE bereitzustellen.

Um die SIP-Digest-Authentifizierung auf einem einzelnen Dial-Peer zu aktivieren, verwenden Sie die Authentifizierung Befehl im Wählpeer-Sprachkonfigurationsmodus. Um die SIP-Digest-Authentifizierung zu deaktivieren, verwenden Sie die nein Form dieses Befehls.

AuthentifizierungBenutzernameBenutzernamePasswort {{{}} 0|6|7 } Passwort [...]BereichBereich|Herausforderung|alle ]

neinAuthentifizierungBenutzernameBenutzernamePasswort {{{}} 0|6|7 } Passwort [...]BereichBereich|Herausforderung|alle ]

Befehlsstandard: SIP-Digest-Authentifizierung ist deaktiviert.

Befehlsmodus: Sprachkonfiguration für Dial-Peer (config-dial-peer)

Nutzungsrichtlinien: Die folgenden Konfigurationsregeln gelten beim Aktivieren der Digest-Authentifizierung:

• Pro Dial-Peer kann nur ein Benutzername konfiguriert werden. Vorhandene Benutzernamenkonfigurationen müssen vor der Konfiguration eines anderen Benutzernamens entfernt werden.

• Maximal fünf Passwort oder Bereich Argumente können für einen beliebigen Benutzernamen konfiguriert werden.

Die Benutzername und Passwort Argumente werden verwendet, um einen Benutzer zu authentifizieren. Ein authentifizierender Server/Proxy, der eine 407/401-Challenge-Antwort ausgibt, umfasst einen Bereich in der Challenge-Antwort, und der Benutzer stellt Anmeldeinformationen bereit, die für diesen Bereich gültig sind. Da angenommen wird, dass maximal fünf Proxyserver im Signalisierungspfad versuchen können, eine bestimmte Anforderung von einem User-Agent-Client (UAC) an einen User-Agent-Server (UAS) zu authentifizieren, kann ein Benutzer bis zu fünf Passwort- und Bereichskombinationen für einen konfigurierten Benutzernamen konfigurieren.

Der Benutzer stellt das Passwort im Klartext bereit, es ist jedoch verschlüsselt und für die 401-Challenge-Antwort gespeichert. Wenn das Passwort nicht verschlüsselt gespeichert wird, wird ein Junk-Passwort gesendet und die Authentifizierung schlägt fehl.

• Die Bereichsspezifikation ist optional. Wenn es ausgelassen wird, gilt das für diesen Benutzernamen konfigurierte Passwort für alle Realms, die versuchen, sich zu authentifizieren.

• Es kann jeweils nur ein Passwort für alle konfigurierten Bereiche konfiguriert werden. Wenn ein neues Passwort konfiguriert ist, werden alle zuvor konfigurierten Passwörter überschrieben.

Dies bedeutet, dass nur ein globales Passwort (eines ohne einen angegebenen Bereich) konfiguriert werden kann. Wenn Sie ein neues Passwort konfigurieren, ohne einen entsprechenden Bereich zu konfigurieren, überschreibt das neue Passwort den vorherigen Bereich.

• Wenn ein Bereich für einen zuvor konfigurierten Benutzernamen und ein zuvor konfiguriertes Passwort konfiguriert ist, wird diese Bereichsspezifikation zu der vorhandenen Benutzernamen- und Kennwortkonfiguration hinzugefügt. Sobald jedoch ein Bereich zu einer Benutzernamen- und Passwortkonfiguration hinzugefügt wurde, ist diese Kombination aus Benutzername und Passwort nur für diesen Bereich gültig. Ein konfigurierter Bereich kann nicht aus einer Benutzernamen- und Passwortkonfiguration entfernt werden, ohne zuerst die gesamte Konfiguration für diesen Benutzernamen und das Passwort zu entfernen. Sie können dann die Kombination aus Benutzername und Passwort mit oder ohne einen anderen Bereich neu konfigurieren.

• In einem Eintrag mit Passwort und Bereich können Sie entweder das Passwort oder den Bereich ändern.

• Verwenden Sie die keine Authentifizierung alle , um alle Authentifizierungseinträge für den Benutzer zu entfernen.

Geben Sie unbedingt den Verschlüsselungstyp für das Passwort an. Wenn ein Kennwort mit klarem Text (Typ <UNK> 0 <UNK> ) konfiguriert ist, wird es als Typ verschlüsselt <UNK> 6 <UNK> bevor Sie es in der laufenden Konfiguration speichern.

Wenn Sie den Verschlüsselungstyp als festlegen <UNK> 6 <UNK> oder <UNK> 7 <UNK> , das eingegebene Passwort wird anhand eines gültigen Typs überprüft. <UNK> 6 <UNK> oder <UNK> 7 <UNK> Passwortformat und als Typ gespeichert <UNK> 6 <UNK> oder <UNK> 7 <UNK> bzw..

Typ-6-Passwörter werden mit AES-Verschlüsselung und einem benutzerdefinierten primären Schlüssel verschlüsselt. Diese Passwörter sind vergleichsweise sicherer. Der primäre Schlüssel wird nie in der Konfiguration angezeigt. Ohne die Kenntnis des primären Schlüssels, Typ <UNK> 6 <UNK> Passwörter können nicht verwendet werden. Wenn der primäre Schlüssel geändert wird, wird das Kennwort, das als Typ 6 gespeichert wird, mit dem neuen primären Schlüssel erneut verschlüsselt. Wenn die Konfiguration des primären Schlüssels entfernt wird, wird der Typ <UNK> 6 <UNK> Passwörter können nicht entschlüsselt werden, was zu einem Authentifizierungsfehler für Anrufe und Registrierungen führen kann.

Wenn Sie eine Konfiguration sichern oder die Konfiguration auf ein anderes Gerät migrieren, wird der primäre Schlüssel nicht übertragen. Daher muss der Primärschlüssel erneut manuell konfiguriert werden.

Informationen zum Konfigurieren eines verschlüsselten vorinstallierten Schlüssels finden Sie unter Konfigurieren eines verschlüsselten vorinstallierten Schlüssels.

Die folgende Warnmeldung wird beim Verschlüsselungstyp angezeigt <UNK> 7 <UNK> konfiguriert ist. Warnung: Befehl wurde der Konfiguration mit einem Kennwort vom Typ 7 hinzugefügt. Typ 7-Passwörter werden jedoch bald veraltet sein. Migrieren Sie zu einem unterstützten Passworttyp 6.

Um die Quelladresse für Signalisierungs- und Medienpakete an die IPv4- oder IPv6-Adresse einer bestimmten Schnittstelle zu binden, verwenden Sie das binden im SIP-Konfigurationsmodus. Um die Bindung zu deaktivieren, verwenden Sie die nein Form dieses Befehls.

Bindung {{{}} Steuerung|Medien|alle } QuellschnittstelleSchnittstelle-ID {{{}} ipv4-Adresseipv4-Adresse|ipv6-Adresseipv6-Adresse }

neinBindung {{{}} Steuerung|Medien|alle } QuellschnittstelleSchnittstelle-ID {{{}} ipv4-Adresseipv4-Adresse|ipv6-Adresseipv6-Adresse }

Befehlsstandard: Bindung ist deaktiviert.

Befehlsmodus: SIP-Konfiguration (conf-serv-sip) und Sprachklassen-Tenant.

Nutzungsrichtlinien: Async, Ethernet, FastEthernet, Loopback und Serial (einschließlich Frame Relay) sind Schnittstellen innerhalb der SIP-Anwendung.

Wenn die binden -Befehl nicht aktiviert ist, liefert die IPv4-Ebene immer noch die beste lokale Adresse.

Um die Standardkonfigurationen für den Home-Anruf zu aktivieren, verwenden Sie das Anruf-Home-Berichte im globalen Konfigurationsmodus.

Berichte zu Anrufen zu Hause {{{}} anonym |Kontakt-E-Mail-addr } [ http-Proxy {{{}} ipv4-Adresse |ipv6-Adresse |Name } Port Portnummer ]

Befehlsstandard: Kein Standardverhalten oder keine Werte

Befehlsmodus: Globale Konfiguration (config)

Nutzungsrichtlinien: Nachdem Sie Call-Home erfolgreich im anonymen oder vollständigen Registrierungsmodus aktiviert haben, verwenden Sie die Anruf-Home-Berichte , wird eine Bestandsnachricht gesendet. Wenn „Call-Home“ im vollständigen Registrierungsmodus aktiviert ist, wird eine vollständige Bestandsnachricht für den vollständigen Registrierungsmodus gesendet. Wenn „Call-Home“ im anonymen Modus aktiviert ist, wird eine anonyme Bestandsnachricht gesendet. Weitere Informationen zu den Nachrichtendetails finden Sie unter Ereignisse und Befehle zum Auslösen der Warngruppe .

Um die Unterstützung von Cisco Unified SRST zu aktivieren und in den Konfigurationsmodus „Call-Manager-Fallback“ zu wechseln, verwenden Sie das Call-Manager-Fallback im globalen Konfigurationsmodus. Um die Cisco Unified SRST-Unterstützung zu deaktivieren, verwenden Sie die nein Form dieses Befehls.

Anruf-Manager-Fallback

nein Call-Manager-Fallback

Dieser Befehl hat keine Argumente oder Schlüsselwörter.

Befehlsstandard: Kein Standardverhalten oder keine Werte.

Befehlsmodus: Globale Konfiguration

Um die Server-, Client- oder bidirektionale Identitätsvalidierung eines Peer-Zertifikats während des TLS-Handshakes zu aktivieren, verwenden Sie den Befehl cn-san validieren im Konfigurationsmodus für das tls-Profil der Sprachklasse. Verwenden Sie zum Deaktivieren der Identitätsüberprüfung des Zertifikats nein Form dieses Befehls.

cn-sanvalidieren {{{}} Server|Client|bidirektional }

neincn-sanvalidieren {{{}} Server|Client|bidirektional }

Befehlsstandard: Identitätsüberprüfung ist deaktiviert.

Befehlsmodus: Sprachklassenkonfiguration (config-class)

Nutzungsrichtlinien: Die Validierung der Serveridentität ist mit einer sicheren Signalisierungsverbindung über die globale Kryptosignalisierung und Sprachklasse tls-Profil Konfigurationen.

Der Befehl wurde erweitert, um die Client und bidirektional Schlüsselwörter. Die Client-Option ermöglicht es einem Server, die Identität eines Clients zu validieren, indem er CN- und SAN-Hostnamen, die im bereitgestellten Zertifikat enthalten sind, anhand einer vertrauenswürdigen Liste von cn-san FQDNs überprüft. Die Verbindung wird nur hergestellt, wenn eine Übereinstimmung gefunden wird. Diese Liste von cn-san FQDNs wird nun zusätzlich zum Host-Namen der Sitzung auch zur Validierung eines Serverzertifikats verwendet. Die bidirektional Option validiert Peer-Identität für Client- und Server-Verbindungen durch Kombination beider Server und Client Modi. Nach der Konfiguration cn-san validieren wird die Identität des Peer-Zertifikats für jede neue TLS-Verbindung validiert.

Um eine Liste der vollständig qualifizierten Domänennamen (FQDN) zu konfigurieren, die anhand des Peer-Zertifikats für eingehende oder ausgehende TLS-Verbindungen validiert werden, verwenden Sie die cn-san Befehl im Konfigurationsmodus für das tls-Profil der Sprachklasse. Um den Eintrag für die cn-san-Zertifikatsüberprüfung zu löschen, verwenden Sie die nein Form dieses Befehls.

cn-san {1-10} fqdn

no cn-san {1-10} fqdn

Befehlsstandard: Es sind keine cn-san-Namen konfiguriert.

Befehlsmodus: Sprachklasse tls-Profil Konfigurationsmodus (config-class)

Nutzungsrichtlinien: Der für die Peer-Zertifikatsüberprüfung verwendete FQDN wird einem TLS-Profil mit bis zu zehn cn-san Einträge. Mindestens einer dieser Einträge muss mit einem FQDN in den Feldern Common Name (CN) oder Subject-Alternate-Name (SAN) des Zertifikats übereinstimmen, bevor eine TLS-Verbindung hergestellt wird. Um einem beliebigen Domänenhost zu entsprechen, der in einem CN- oder SAN-Feld verwendet wird, wird ein cn-san Der Eintrag kann mit einer Domain-Wildcard, streng im Format *.domain-name (z.B. *.cisco.com) konfiguriert werden. Eine andere Verwendung von Platzhaltern ist nicht zulässig.

Bei eingehenden Verbindungen wird die Liste verwendet, um CN- und SAN-Felder im Clientzertifikat zu validieren. Für ausgehende Verbindungen wird die Liste zusammen mit dem Host-Namen des Sitzungsziels verwendet, um CN- und SAN-Felder im Serverzertifikat zu validieren.

Serverzertifikate können auch überprüft werden, indem der FQDN des SIP-Sitzungsziels mit einem CN- oder SAN-Feld abgeglichen wird.

Um eine Liste der bevorzugten Codecs für einen Dial-Peer anzugeben, verwenden Sie die Codec Voreinstellung Befehl im Sprachklassen-Konfigurationsmodus. Um diese Funktion zu deaktivieren, verwenden Sie die nein Form dieses Befehls.

Codec Einstellung Wert Codec-Typ

no codec Einstellung Wert codec-Typ

Befehlsstandard: Wenn dieser Befehl nicht eingegeben wird, werden keine spezifischen Codecs mit Präferenz identifiziert.

Befehlsmodus: Sprachklassenkonfiguration (config-class)

Nutzungsrichtlinien: Die Router an den gegenüberliegenden Enden des WAN müssen möglicherweise die Codec-Auswahl für die Netzwerk-Dial-Peers aushandeln. Die Codec Voreinstellung gibt die Vorzugsreihenfolge für die Auswahl eines ausgehandelten Codec für die Verbindung an. In der folgenden Tabelle werden die Sprachnutzlastoptionen und Standardwerte für die Codecs und Paket-Sprachprotokolle beschrieben.

Um den globalen Listener-Port zum Senden von Anfragen über UDP zu verwenden, verwenden Sie die Verbindung wiederverwenden Befehl im SIP-UA-Modus oder Sprachklassen-Tenant-Konfigurationsmodus. Zum Deaktivieren verwenden Sie nein Form dieses Befehls.

connection-reuse { via Port | system }

keine Verbindung-Wiederverwendung { über Port | system }

Befehlsstandard: Das lokale Gateway verwendet einen ephemeren UDP-Port zum Senden von Anfragen über UDP.

Befehlsmodi: SIP-UA-Konfiguration (config-sip-ua), Sprachklassen-Tenant-Konfiguration (config-class)

Nutzungsrichtlinien: Wenn Sie diesen Befehl ausführen, wird der Listener-Port zum Senden von Anfragen über UDP aktiviert. Der Standard-Listener-Port für reguläres, nicht sicheres SIP ist 5060 und sicheres SIP ist 5061. Konfigurieren listen-port [non-secure | secure] port Befehl im Konfigurationsmodus voice service voip > sip, um den globalen UDP-Port zu ändern.

Um die CPU-Quote oder die für eine Anwendung zugewiesene Einheit zu ändern, verwenden Sie die cpu im Konfigurationsmodus für benutzerdefinierte Anwendungsressourcenprofile. Um zur von der Anwendung bereitgestellten CPU-Quote zurückzukehren, verwenden Sie die nein Form dieses Befehls.

cpu Einheit

keine CPU-Einheit

Befehlsstandard: Die Standard-CPU hängt von der Plattform ab.

Befehlsmodus: Benutzerdefinierte Konfiguration des Anwendungsressourcenprofils (config-app-resource-profile-custom)

Nutzungsrichtlinien: Eine CPU-Einheit ist die minimale CPU-Zuordnung durch die Anwendung. Die Gesamtzahl der CPU-Einheiten basiert auf normalisierten CPU-Einheiten, die für das Zielgerät gemessen werden.

Innerhalb jedes Anwendungspakets wird ein anwendungsspezifisches Ressourcenprofil bereitgestellt, das die empfohlene CPU-Auslastung, Speichergröße und Anzahl der für die Anwendung erforderlichen virtuellen CPUs (vCPUs) definiert. Verwenden Sie diesen Befehl, um die Zuweisung von Ressourcen für bestimmte Prozesse im benutzerdefinierten Ressourcenprofil zu ändern.

Reservierte Ressourcen, die im Anwendungspaket angegeben sind, können durch Festlegen eines benutzerdefinierten Ressourcenprofils geändert werden. Nur die CPU-, Speicher- und vCPU-Ressourcen können geändert werden. Damit die Ressourcenänderungen wirksam werden, beenden und deaktivieren Sie die Anwendung, aktivieren Sie sie und starten Sie sie erneut.

Ressourcenwerte sind anwendungsspezifisch, und jede Anpassung an diese Werte muss sicherstellen, dass die Anwendung mit den Änderungen zuverlässig ausgeführt werden kann.

Zum Konfigurieren eines Cisco IOS Session Initiation Protocol (SIP) Time Division Multiplexing (TDM) Gateways, eines Cisco Unified Border Elements (Cisco UBE) oder von Cisco Unified Communications Manager Express (Cisco Unified CME) zum Senden einer SIP-Registrierungsnachricht im UP-Status verwenden Sie die Anmeldeinformationen im SIP-UA-Konfigurationsmodus oder im Sprachklassen-Tenant-Konfigurationsmodus. Um die SIP-Digest-Anmeldeinformationen zu deaktivieren, verwenden Sie die nein Form dieses Befehls.

Anmeldedaten {{{}} dhcp|NummerNummerBenutzernameBenutzername } Passwort {{{}} 0|6|7 } PasswortBereichBereich

neinAnmeldedaten {{{}} dhcp|NummerNummerBenutzernameBenutzername } Passwort {{{}} 0|6|7 } PasswortBereichBereich

Befehlsstandard: SIP-Digest-Anmeldeinformationen sind deaktiviert.

Befehlsmodus: SIP-UA-Konfiguration (config-sip-ua) und Sprachklassen-Tenant-Konfiguration (config-class).

Nutzungsrichtlinien: Die folgenden Konfigurationsregeln sind anwendbar, wenn Anmeldeinformationen aktiviert sind:

• Für alle Domänennamen ist nur ein Passwort gültig. Ein neu konfiguriertes Passwort überschreibt alle zuvor konfigurierten Passwörter.

• Das Passwort wird immer im verschlüsselten Format angezeigt, wenn die Anmeldeinformationen Befehl konfiguriert ist und der anzeigen Laufende Konfiguration Befehl wird verwendet.

Die dhcp Schlüsselwort im Befehl bedeutet, dass die primäre Nummer über DHCP und das Cisco IOS SIP TDM Gateway, Cisco UBE oder Cisco Unified CME abgerufen wird, bei dem der Befehl aktiviert ist. Verwenden Sie diese Nummer, um die empfangene primäre Nummer zu registrieren oder die Registrierung aufzuheben.

Geben Sie unbedingt den Verschlüsselungstyp für das Passwort an. Wenn ein Kennwort mit klarem Text (Typ <UNK> 0 <UNK> ) konfiguriert ist, wird es als Typ verschlüsselt <UNK> 6 <UNK> bevor Sie es in der laufenden Konfiguration speichern.

Wenn Sie den Verschlüsselungstyp als festlegen <UNK> 6 <UNK> oder <UNK> 7 <UNK> , das eingegebene Passwort wird anhand eines gültigen Typs überprüft. <UNK> 6 <UNK> oder <UNK> 7 <UNK> Passwortformat und als Typ gespeichert <UNK> 6 <UNK> oder <UNK> 7 <UNK> bzw..

Typ-6-Passwörter werden mit AES-Verschlüsselung und einem benutzerdefinierten primären Schlüssel verschlüsselt. Diese Passwörter sind vergleichsweise sicherer. Der primäre Schlüssel wird nie in der Konfiguration angezeigt. Ohne die Kenntnis des primären Schlüssels, Typ <UNK> 6 <UNK> Passwörter können nicht verwendet werden. Wenn der primäre Schlüssel geändert wird, wird das Kennwort, das als Typ 6 gespeichert wird, mit dem neuen primären Schlüssel erneut verschlüsselt. Wenn die Konfiguration des primären Schlüssels entfernt wird, wird der Typ <UNK> 6 <UNK> Passwörter können nicht entschlüsselt werden, was zu einem Authentifizierungsfehler für Anrufe und Registrierungen führen kann.

Wenn Sie eine Konfiguration sichern oder die Konfiguration auf ein anderes Gerät migrieren, wird der primäre Schlüssel nicht übertragen. Daher muss der Primärschlüssel erneut manuell konfiguriert werden.

Informationen zum Konfigurieren eines verschlüsselten vorinstallierten Schlüssels finden Sie unter Konfigurieren eines verschlüsselten vorinstallierten Schlüssels.

Warnung: Befehl wurde der Konfiguration mit einem Kennwort vom Typ 7 hinzugefügt. Typ 7-Passwörter werden jedoch bald veraltet sein. Migrieren Sie zu einem unterstützten Passworttyp 6.

In YANG können Sie nicht denselben Benutzernamen auf zwei verschiedenen Realms konfigurieren.

Um die Voreinstellung für eine SRTP-Verschlüsselungs-Suite anzugeben, die von Cisco Unified Border Element (CUBE) im SDP in Angebot und Antwort angeboten wird, verwenden Sie die Krypto Befehl im Sprachklassen-Konfigurationsmodus. Um diese Funktion zu deaktivieren, verwenden Sie die nein Form dieses Befehls.

Krypto Präferenz Verschlüsselungssuite

nein crypto Präferenz Cipher Suite

Befehlsstandard: Wenn dieser Befehl nicht konfiguriert ist, besteht das Standardverhalten darin, die srtp-cipher suites in der folgenden Vorzugsreihenfolge anzubieten:

• AES <UNK> _ <UNK> AES <UNK> _ <UNK> 256 <UNK> _ <UNK> GCM

• AES <UNK> _ <UNK> AES <UNK> _ <UNK> 128 <UNK> _ <UNK> GCM

• AES_CM_128_HMAC_SHA1_80

• AES <UNK> _ <UNK> CM <UNK> _ <UNK> 128 <UNK> _ <UNK> HMAC <UNK> _ <UNK> SHA1 <UNK> _ <UNK> 32

Befehlsmodus: Sprachklasse srtp-crypto (Konfigurationsklasse)

Nutzungsrichtlinien: Wenn Sie die Voreinstellung einer bereits konfigurierten Cipher-Suite ändern, wird die Voreinstellung überschrieben.

Verwenden Sie zum Generieren von Rivest-, Shamir- und Adelman (RSA)-Schlüsselpaaren den Krypto-Schlüssel erzeugen rsa im globalen Konfigurationsmodus.

Krypto-Schlüssel rsa generieren [ {{ { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { { allgemeine Schlüssel |Nutzungstasten |Signatur |Verschlüsselung } ] [ [ Beschriftung Tastenbezeichnung ] [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ [ [ exportierbar ] [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ [ [ Modulus Modulgröße ] [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ [ [ Speicher devicename : ] [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ [ [ Redundanzein devicename : ]

Befehlsstandard: RSA-Schlüsselpaare sind nicht vorhanden.

Befehlsmodus: Globale Konfiguration (config)

Nutzungsrichtlinien: Verwenden Sie die Krypto-Schlüssel erzeugen rsa , um RSA-Schlüsselpaare für Ihr Cisco-Gerät (z. B. einen Router) zu generieren.

RSA-Schlüssel werden paarweise generiert – ein öffentlicher RSA-Schlüssel und ein privater RSA-Schlüssel.

Wenn Ihr Router bei der Ausgabe dieses Befehls bereits über RSA-Schlüssel verfügt, werden Sie gewarnt und aufgefordert, die vorhandenen Schlüssel durch neue Schlüssel zu ersetzen.

Die Krypto-Schlüssel erzeugen rsa -Befehl wird nicht in der Router-Konfiguration gespeichert; die mit diesem Befehl generierten RSA-Schlüssel werden jedoch in der privaten Konfiguration in NVRAM gespeichert (die dem Benutzer niemals angezeigt oder auf einem anderen Gerät gesichert wird), wenn die Konfiguration das nächste Mal in NVRAM geschrieben wird.

• Sondernutzungsschlüssel : Wenn Sie Sondernutzungsschlüssel generieren, werden zwei Paare von RSA-Schlüsseln generiert. Ein Paar wird mit jeder Internet Key Exchange (IKE)-Richtlinie verwendet, die RSA-Signaturen als Authentifizierungsmethode angibt, und das andere Paar wird mit jeder IKE-Richtlinie verwendet, die RSA-verschlüsselte Schlüssel als Authentifizierungsmethode angibt.

  Eine CA wird nur mit IKE-Richtlinien verwendet, die RSA-Signaturen angeben, nicht mit IKE-Richtlinien, die RSA-verschlüsselte Nonces angeben. (Sie können jedoch mehr als eine IKE-Richtlinie angeben und RSA-Signaturen in einer Richtlinie und RSA-verschlüsselte Nonces in einer anderen Richtlinie angeben.)

  Wenn Sie beide Arten von RSA-Authentifizierungsmethoden in Ihren IKE-Richtlinien verwenden möchten, können Sie spezielle Nutzungsschlüssel generieren. Mit Sondernutzungsschlüsseln wird jeder Schlüssel nicht unnötig belichtet. (Ohne Schlüssel für die spezielle Verwendung wird ein Schlüssel für beide Authentifizierungsmethoden verwendet, wodurch die Offenlegung dieses Schlüssels erhöht wird).

• Allgemeine Schlüssel : Wenn Sie allgemeine Schlüssel generieren, wird nur ein Paar RSA-Schlüssel generiert. Dieses Paar wird mit IKE-Richtlinien verwendet, die entweder RSA-Signaturen oder RSA-verschlüsselte Schlüssel angeben. Daher kann ein Schlüsselpaar für allgemeine Zwecke häufiger verwendet werden als ein Schlüsselpaar mit besonderer Verwendung.

• Benannte Schlüsselpaare : Wenn Sie ein benanntes Schlüsselpaar mit dem Schlüssel-Label-Argument generieren, müssen Sie auch das Nutzungsschlüssel Schlüsselwort oder die allgemeine Tasten Schlüsselwort. Benannte Schlüsselpaare ermöglichen es Ihnen, mehrere RSA-Schlüsselpaare zu haben, sodass die Cisco IOS-Software ein anderes Schlüsselpaar für jedes Identitätszertifikat verwalten kann.

• Moduluslänge : Wenn Sie RSA-Schlüssel generieren, werden Sie aufgefordert, eine Modullänge einzugeben. Je länger der Modulus, desto stärker die Sicherheit. Ein längeres Modul benötigt jedoch länger für die Generierung (siehe Tabelle unten für Beispielzeiten) und dauert länger für die Verwendung.

  Tabelle 2: Beispielzeiten nach Moduluslänge zum Generieren von RSA-Schlüsseln

  Router	360-Bit	512 Bit	1024 Bit	2048 Bit (maximal)
  Cisco 2500	11 Sekunden	20 Sekunden	4 Minuten, 38 Sekunden	Mehr als 1 Stunde
  Cisco 4700	Weniger als 1 Sekunde	1 Sekunde	4 Sekunden	50 Sekunden

  Cisco IOS-Software unterstützt keinen Modul mit mehr als 4096 Bit. Eine Länge von weniger als 512 Bit wird normalerweise nicht empfohlen. In bestimmten Situationen funktioniert der kürzere Modulus möglicherweise nicht richtig mit IKE, daher empfehlen wir die Verwendung eines minimalen Modulus von 2048 Bit.

  Zusätzliche Einschränkungen können gelten, wenn RSA-Schlüssel durch kryptographische Hardware generiert werden. Wenn RSA-Schlüssel beispielsweise vom Cisco VPN Services Port Adapter (VSPA) generiert werden, muss der RSA-Schlüsselmodul mindestens 384 Bit und ein Vielfaches von 64 Bit betragen.

• Festlegen eines Speicherorts für RSA-Schlüssel: Wenn Sie die Krypto-Schlüssel erzeugen rsa Befehl mit dem Speicher devicename : Schlüsselwort und Argument, die RSA-Schlüssel werden auf dem angegebenen Gerät gespeichert. Dieser Standort ersetzt alle Kryptoschlüsselspeicher Befehlseinstellungen.

• Festlegen eines Geräts für die RSA-Schlüsselgenerierung : Sie können das Gerät angeben, auf dem RSA-Schlüssel generiert werden. Zu den unterstützten Geräten gehören NVRAM, lokale Festplatten und USB-Token. Wenn Ihr Router über ein konfiguriertes und verfügbares USB-Token verfügt, kann das USB-Token zusätzlich zu einem Speichergerät als kryptographisches Gerät verwendet werden. Mit einem USB-Token als kryptographisches Gerät können RSA-Vorgänge wie die Schlüsselgenerierung, das Signieren und die Authentifizierung von Anmeldeinformationen auf dem Token durchgeführt werden. Der private Schlüssel verlässt nie das USB-Token und ist nicht exportierbar. Der öffentliche Schlüssel ist exportierbar.

  RSA-Schlüssel können auf einem konfigurierten und verfügbaren USB-Token mithilfe des am devicename : Schlüsselwort und Argument. Schlüssel, die sich auf einem USB-Token befinden, werden beim Generieren im dauerhaften Tokenspeicher gespeichert. Die Anzahl der Schlüssel, die auf einem USB-Token generiert werden können, wird durch den verfügbaren Speicherplatz begrenzt. Wenn Sie versuchen, Schlüssel auf einem USB-Token zu generieren und dieser voll ist, erhalten Sie die folgende Nachricht:

  % Error in generating keys:no available resources 

  Durch das Löschen von Schlüsseln werden die auf dem Token gespeicherten Schlüssel sofort aus dem dauerhaften Speicher entfernt. (Schlüssel, die sich nicht auf einem Token befinden, werden an Nicht-Token-Speicherorten gespeichert oder gelöscht, wenn die kopieren oder ein ähnlicher Befehl ausgegeben wird).

• Festlegen der RSA-SchlüsselRedundanzgenerierung auf einem Gerät: Sie können die Redundanz für vorhandene Schlüssel nur angeben, wenn sie exportierbar sind.

Um die Zertifizierungsstelle (CA) zu authentifizieren (indem Sie das Zertifikat der CA abrufen), verwenden Sie die crypto pki authentifizieren Befehl im globalen Konfigurationsmodus.

crypto pki authentifizieren name

Befehlsstandard: Kein Standardverhalten oder keine Werte.

Befehlsmodus: Globale Konfiguration (config)

Nutzungsrichtlinien: Dieser Befehl ist erforderlich, wenn Sie zunächst die CA-Unterstützung an Ihrem Router konfigurieren.

Dieser Befehl authentifiziert die CA bei Ihrem Router, indem er das selbstsignierte Zertifikat der CA abruft, das den öffentlichen Schlüssel der CA enthält. Da die Zertifizierungsstelle ihr eigenes Zertifikat signiert, sollten Sie den öffentlichen Schlüssel der Zertifizierungsstelle manuell authentifizieren, indem Sie den CA-Administrator kontaktieren, wenn Sie diesen Befehl eingeben.

Wenn Sie Router Advertisements (RA)-Modus verwenden (mit dem Registrierung Befehl), wenn Sie die Krypto pki authentifizieren und anschließend werden die Signatur- und Verschlüsselungszertifikate der Registrierungsstelle von der CA und dem CA-Zertifikat zurückgegeben.

Dieser Befehl wird nicht in der Routerkonfiguration gespeichert. Die öffentlichen Schlüssel, die in den empfangenen CA- (und RA-) Zertifikaten eingebettet sind, werden jedoch als Teil des öffentlichen Schlüsseldatensatzes von Rivest, Shamir und Adelman (RSA) (auch „RSA public key chain“ genannt) in der Konfiguration gespeichert.

Wenn die CA nach Erteilung dieses Befehls nicht innerhalb einer Zeitüberschreitung reagiert, wird die Terminal-Steuerung zurückgegeben, damit sie verfügbar bleibt. In diesem Fall müssen Sie den Befehl erneut eingeben. Cisco IOS-Software erkennt keine Ablaufdaten für CA-Zertifikate, die über das Jahr 2049 hinaus festgelegt wurden. Wenn die Gültigkeitsdauer des CA-Zertifikats nach dem Jahr 2049 abläuft, wird beim Versuch der Authentifizierung mit dem CA-Server die folgende Fehlermeldung angezeigt: Fehler beim Abrufen von Zertifikat:unvollständige Kette Wenn Sie eine Fehlermeldung wie diese erhalten, überprüfen Sie das Ablaufdatum Ihres CA-Zertifikats. Wenn das Ablaufdatum Ihres CA-Zertifikats nach dem Jahr 2049 festgelegt ist, müssen Sie das Ablaufdatum um ein Jahr oder mehr reduzieren.

Um ein Zertifikat manuell über TFTP oder als Cut-and-Paste am Terminal zu importieren, verwenden Sie die Befehl crypto pki import im globalen Konfigurationsmodus.

Krypto pki import name Zertifikat

Befehlsstandard: Kein Standardverhalten oder keine Werte

Befehlsmodus: Globale Konfiguration (config)

Nutzungsrichtlinien: Sie müssen die Krypto-PKI-Import Befehl zweimal, wenn Nutzungstasten (Signatur- und Verschlüsselungsschlüssel) verwendet werden. Bei der ersten Befehlseingabe wird eines der Zertifikate in den Router eingefügt; bei der zweiten Befehlseingabe wird das andere Zertifikat in den Router eingefügt. (Es spielt keine Rolle, welches Zertifikat zuerst eingefügt wird.)

Um den Trustpoint zu deklarieren, den der Router verwenden soll, verwenden Sie den crypto pki trustpoint Befehl im globalen Konfigurationsmodus. Um alle Identitätsinformationen und Zertifikate zu löschen, die mit dem Trustpoint verknüpft sind, verwenden Sie die nein Form dieses Befehls.

crypto pki trustpoint name Redundanz

nein crypto pki trustpoint name Redundanz

Befehlsstandard: Ihr Router erkennt keine Trustpoints, bis Sie einen Trustpoint mit diesem Befehl deklarieren. Ihr Router verwendet eindeutige IDs bei der Kommunikation mit OCSP-Servern (Online Certificate Status Protocol), die in Ihrem Netzwerk konfiguriert sind.

Befehlsmodus: Globale Konfiguration (config)

Nutzungsrichtlinien:

Bekanntgabe von Trustpoints

Verwenden Sie die Krypto pki Vertrauenspunkt Befehl, um einen Trustpoint zu deklarieren, bei dem es sich um eine selbstsignierte Stammzertifizierungsstelle (CA) oder eine untergeordnete CA handeln kann. Ausgabe der Krypto pki Vertrauenspunkt versetzt Sie in den ca-trustpoint Konfigurationsmodus.

Sie können Eigenschaften für den Trustpoint mit den folgenden Unterbefehlen angeben:

• crl – Abfragt die Zertifikatssperrliste (CRL), um sicherzustellen, dass das Zertifikat des Peers nicht widerrufen wurde.

• default (ca-trustpoint)– Setzt den Wert der Unterbefehle im Konfigurationsmodus von ca-trustpoint auf ihre Standardwerte zurück.

• enrollment : Gibt die Parameter für die Registrierung an (optional).

• enrollment http-proxy – Greift über den Proxyserver per HTTP auf die CA zu.

• Registrierung selbstsigniert – Gibt die selbstsignierte Registrierung an (optional).

• match certificate – Verknüpft eine zertifikatbasierte Zugriffskontrollliste (ACL), die mit dem crypto ca certificate map befehl.

• ocsp disable-nonce – Gibt an, dass Ihr Router während der OCSP-Kommunikation keine eindeutigen IDs oder Nonces sendet.

• primary : Weist einen angegebenen Trustpoint als primären Trustpoint des Routers zu.

• root – Definiert den TFTP, um das CA-Zertifikat abzurufen, und gibt sowohl einen Namen für den Server als auch einen Namen für die Datei an, in der das CA-Zertifikat gespeichert wird.

Festlegen der Verwendung von eindeutigen IDs

Wenn Sie OCSP als Widerrufsmethode verwenden, werden eindeutige IDs oder Nonces standardmäßig während der Peer-Kommunikation mit dem OCSP-Server gesendet. Die Verwendung eindeutiger IDs während der OCSP-Serverkommunikation ermöglicht eine sicherere und zuverlässigere Kommunikation. Allerdings unterstützen nicht alle OCSP-Server die Verwendung von einzigartigen Prothesen, siehe OCSP-Handbuch für weitere Informationen. Um die Verwendung eindeutiger IDs während der OCSP-Kommunikation zu deaktivieren, verwenden Sie die ocsp nonce deaktivieren Unterbefehl.

Um das Zertifikatspaket der Zertifizierungsstelle (CA) manuell in den Trustpool der Public Key Infrastructure (PKI) zu importieren (herunterladen), um das vorhandene CA-Paket zu aktualisieren oder zu ersetzen, verwenden Sie das Krypto-PKI-Trustpool-Import im globalen Konfigurationsmodus. Um einen der konfigurierten Parameter zu entfernen, verwenden Sie die nein Form dieses Befehls.

KryptopkiTrustpoolimportierensauber [...] Terminal|URLURL ]

neinKryptopkiTrustpoolimportierensauber [...] Terminal|URLURL ]

Befehlsstandard: Die PKI-Trustpool-Funktion ist aktiviert. Der Router verwendet das integrierte CA-Zertifikatspaket im PKI-Trustpool, das automatisch von Cisco aktualisiert wird.

Befehlsmodus: Globale Konfiguration (config)

Die Sicherheitsbedrohungen sowie die kryptographischen Technologien, die zum Schutz vor ihnen beitragen, verändern sich ständig. Weitere Informationen zu den neuesten Verschlüsselungsempfehlungen von Cisco finden Sie im Whitepaper Next Generation Encryption (NGE).

PKI-Trustpool-Zertifikate werden automatisch von Cisco aktualisiert. Wenn die PKI-Trustpool-Zertifikate nicht aktuell sind, verwenden Sie die Krypto-PKI-Trustpool-Import , um sie von einem anderen Speicherort aus zu aktualisieren.

Die URL Argument gibt das URL-Dateisystem der CA an oder ändert es. In der folgenden Tabelle sind die verfügbaren URL-Dateisysteme aufgeführt.

Tabelle 3. URL-Dateisysteme

Dateisystem	Beschreibung
archivieren:	Importiert aus dem Archivdateisystem.
cns:	Importiert aus dem CNS-Dateisystem (Cluster Namespace).
Disk0:	Importiert vom Disc0-Dateisystem.
Disk1:	Importiert aus dem Disc1-Dateisystem.
ftp:	Importiert aus dem FTP-Dateisystem.
http:	Importiert aus dem HTTP-Dateisystem. Die URL muss in den folgenden Formaten vorliegen: http:// CAname:80 , wo CAname ist das DNS (Domain Name System) http:// ipv4-Adresse :80. Zum Beispiel: http://10.10.10.1:80. http://[ipv6-Adresse]:80 . Zum Beispiel: http://[2001:DB8:1:1::1]:80. Die IPv6-Adresse hat eine hexadezimale Schreibweise und muss in der URL in Klammern stehen.
https:	Importiert aus dem HTTPS-Dateisystem. Die URL muss die gleichen Formate wie HTTP verwenden: Dateisystemformate.
Null:	Importiert aus dem Null-Dateisystem.
nvram:	Importiert aus dem NVRAM-Dateisystem.
Kinderwagen:	Importiert aus dem PRAM-Dateisystem (Parameter Random-Access Memory).
rcp:	Importiert aus dem Dateisystem des Remote-Kopierprotokolls (rcp).
scp:	Importiert aus dem Dateisystem des sicheren Kopierprotokolls (scp).
snmp:	Importiert aus dem Simple Network Management Protocol (SNMP).
System:	Importiert aus dem Systemdateisystem.
tar:	Importiert aus dem UNIX TAR-Dateisystem.
tftp:	Importiert aus dem TFTP-Dateisystem.   Die URL muss folgendermaßen lauten: tftp:// CAname/Dateispezifizierung .
tmpsys:	Importiert aus dem Cisco IOS tmpsys Dateisystem.
Unix:	Importiert aus dem UNIX-Dateisystem.
xmodem:	Importiert aus dem einfachen Dateiübertragungsprotokollsystem xmodem.
ymodem:	Importiert aus dem einfachen Dateiübertragungsprotokollsystem ymodem.

So identifizieren Sie den trustpoint trustpoint-name Schlüsselwort und Argument, die beim Transport Layer Security (TLS)-Handshake verwendet werden, der der Adresse des Remote-Geräts entspricht, verwenden Sie die Kryptosignalisierung Befehl im Konfigurationsmodus des SIP-Benutzeragenten (UA). So setzen Sie den Standardwert zurück Vertrauenspunkt Zeichenfolge verwenden Sie die nein Form dieses Befehls.

Kryptosignalisierung {{{}} Standard|Remote-addr IP-Adresse Subnetzmaske } [ tls-Profil Tag |Vertrauenspunkt Trustpoint-Name ] [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ [ cn-san-validierung Server ] [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ [ Client-vtp Trustpoint-Name ] [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ [ Ecdsa-Chiffre |Kurvengröße 384 |streng-verschlüsselt ]

neinKryptosignalisierung {{{}} Standard|Remote-addr IP-Adresse Subnetzmaske } [ tls-Profil Tag |Vertrauenspunkt Trustpoint-Name ] [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ [ cn-san-validierung Server ] [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ [ Client-vtp Trustpoint-Name ] [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ [ ] [ [ [ [ [ Ecdsa-Chiffre |Kurvengröße 384 |streng-verschlüsselt ]

Befehlsstandard: Der Kryptosignalisierungsbefehl ist deaktiviert.

Befehlsmodus: SIP-UA-Konfiguration (SIP-UA)

Nutzungsrichtlinien: Die trustpoint trustpoint-name Schlüsselwort und Argument bezieht sich auf das CUBE-Zertifikat, das im Rahmen des Registrierungsprozesses mit Cisco IOS PKI-Befehlen generiert wurde.

Wenn ein einzelnes Zertifikat konfiguriert ist, wird es von allen Remote-Geräten verwendet und von den Standard Schlüsselwort.

Wenn mehrere Zertifikate verwendet werden, können diese mit Remote-Diensten über die remote-addr Argument für jeden Trustpoint. Die remote-addr und Standardargumente können zusammen verwendet werden, um alle Dienste nach Bedarf abzudecken.

Die Standard-Verschlüsselungssuite ist in diesem Fall der folgende Satz, der von der SSL-Schicht auf CUBE unterstützt wird: TLS <UNK> _ <UNK> RSA <UNK> _ <UNK> MIT <UNK> _ <UNK> RC4 <UNK> _ <UNK> 128 <UNK> _ <UNK> MD5 TLS <UNK> _ <UNK> RSA <UNK> _ <UNK> MIT <UNK> _ <UNK> AES <UNK> _ <UNK> 128 <UNK> _ <UNK> CBC <UNK> _ <UNK> SHA TLS <UNK> _ <UNK> DHE <UNK> _ <UNK> RSA <UNK> _ <UNK> MIT <UNK> _ <UNK> AES <UNK> _ <UNK> 128 <UNK> _ <UNK> CBC <UNK> _ <UNK> SHA1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS <UNK> _ <UNK> ECDHE <UNK> _ <UNK> RSA <UNK> _ <UNK> MIT <UNK> _ <UNK> AES <UNK> _ <UNK> 256 <UNK> _ <UNK> GCM <UNK> _ <UNK> SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS <UNK> _ <UNK> ECDHE <UNK> _ <UNK> ECDSA <UNK> _ <UNK> MIT <UNK> _ <UNK> AES <UNK> _ <UNK> 256 <UNK> _ <UNK> GCM <UNK> _ <UNK> SHA384

Das Stichwort cn-san-validieren Server aktiviert die Validierung der Serveridentität durch die CN- und SAN-Felder im Zertifikat, wenn clientseitige SIP/TLS-Verbindungen hergestellt werden. Durch die Validierung der CN- und SAN-Felder des Serverzertifikats wird sichergestellt, dass die serverseitige Domäne eine gültige Entität ist. Beim Erstellen einer sicheren Verbindung mit einem SIP-Server validiert CUBE den konfigurierten Domänennamen des Sitzungsziels anhand der CN/SAN-Felder im Zertifikat des Servers, bevor eine TLS-Sitzung eingerichtet wird. Nach der Konfiguration cn-san-validieren Server , die Validierung der Serveridentität erfolgt bei jeder neuen TLS-Verbindung.

Die tls-profil Option verknüpft die TLS-Richtlinienkonfigurationen, die über die zugeordnete Sprachklasse tls-Profil Konfiguration. Zusätzlich zu den TLS-Richtlinienoptionen direkt mit dem Kryptosignalisierung Befehl, ein tls-profil umfasst auch die sni senden Option.

sni send aktiviert SNI (Server Name Indication), eine TLS-Erweiterung, mit der ein TLS-Client den Namen des Servers angeben kann, mit dem er während des anfänglichen TLS-Handshake-Prozesses eine Verbindung herzustellen versucht. Nur der vollständig qualifizierte DNS-Hostname des Servers wird im Client-Hallo gesendet. SNI unterstützt keine IPv4- und IPv6-Adressen im Client-Hallo-Anschluss. Nach dem Empfang eines "Hallo" mit dem Servernamen vom TLS-Client verwendet der Server das entsprechende Zertifikat im nachfolgenden TLS-Handshake-Prozess. SNI erfordert TLS Version 1.2.

Die TLS-Richtlinienfunktionen sind nur über einen Sprachklasse tls-Profil Konfiguration. Die Kryptosignalisierung weiterhin bestehende TLS-Kryptooptionen unterstützen. Sie können entweder die Sprachklasse tls-Profil Tag oder Kryptosignalisierung Befehl zum Konfigurieren eines Trustpoints. Wir empfehlen die Verwendung der Befehl Sprachklasse tls-profile tag zum Ausführen von TLS-Profilkonfigurationen.