Pour activer le modèle d'authentification, d'autorisation et de contrôle d'accès comptable (AAA), utilisez le nouveau modèle aaa en mode configuration globale. Pour désactiver le modèle de contrôle d'accès AAA, utilisez le non forme de cette commande.

nouveau modèle aaa

non nouveau modèle aaa

Cette commande n'a pas d'arguments ou de mots-clés.

Commande par défaut : AAA n'est pas activé.

Mode de commande : Configuration globale (config)

Directives d’utilisation : Cette commande active le système de contrôle d'accès AAA.

Pour définir l'authentification, l'autorisation et l'authentification comptable (AAA) lors de la connexion, utilisez le connexion d'authentification aaa en mode configuration globale. Pour désactiver l'authentification AAA, utilisez le non forme de cette commande.

authentification aaa login {default |list-name } méthode1 [méthode2...]

pasaaa login d'authentification {default |list-name } method1 [method2...]

Commande par défaut : L'authentification AAA à la connexion est désactivée.

Mode de commande : Configuration globale (config)

Directives d’utilisation : Si le par défaut mot-clé n’est pas défini, seule la base de données des utilisateurs locaux est cochée. Ceci a le même effet que la commande suivante :

aaa authentication login default local

Sur la console, la connexion réussira sans aucun contrôle d'authentification si par défaut mot-clé n'est pas défini.

Les noms de liste par défaut et facultatifs que vous créez avec le connexion d'authentification aaa la commande est utilisée avec authentification de connexion commande.

Créez une liste en saisissant le connexion d'authentification aaa commande de méthode liste-nom pour un protocole particulier. L'argument de nom de liste est la chaîne de caractères utilisée pour nommer la liste des méthodes d'authentification activées lorsqu'un utilisateur se connecte. L'argument de méthode identifie la liste des méthodes que l'algorithme d'authentification tente, dans la séquence donnée. La section « Méthodes d'authentification qui ne peuvent pas être utilisées pour l'argument de nom de liste » répertorie les méthodes d'authentification qui ne peuvent pas être utilisées pour l'argument de nom de liste et le tableau ci-dessous décrit les mots-clés de la méthode.

Pour créer une liste par défaut qui est utilisée si aucune liste n'est affectée à une ligne, utilisez le authentification de connexion commande avec l’argument par défaut suivi des méthodes que vous souhaitez utiliser dans les situations par défaut.

Le mot de passe n'est invité qu'une seule fois à authentifier les informations d'authentification de l'utilisateur et en cas d'erreurs dues à des problèmes de connectivité, plusieurs tentatives sont possibles grâce aux méthodes d'authentification supplémentaires. Cependant, le passage à la méthode d'authentification suivante n'a lieu que si la méthode précédente renvoie une erreur, pas si elle échoue. Pour s'assurer que l'authentification réussit même si toutes les méthodes renvoient une erreur, précisez aucun comme méthode finale dans la ligne de commande.

Si l'authentification n'est pas spécifiquement définie pour une ligne, la valeur par défaut est de refuser l'accès et aucune authentification n'est effectuée. Utiliser le plus de système:running-config commande d’affichage des listes de méthodes d’authentification actuellement configurées.

Méthodes d'authentification qui ne peuvent pas être utilisées pour l'argument de nom de liste

Les méthodes d'authentification qui ne peuvent pas être utilisées pour l'argument de nom de liste sont les suivantes :

• auth-invité

• activer

• invité

• si authentifié

• si nécessaire

• kraft5

• instance krb

• réseau krb

• ligne

• local

• aucun(e)

• rayon de rayonnement

• rcmd

• tacacs

• tacacsplus

Dans le tableau ci-dessous, les méthodes du rayon de groupe, du groupe tacacs +, du groupe ldap et du groupe-nom font référence à un ensemble de serveurs RADIUS ou TACACS+ définis précédemment. Utilisez les commandes radius-server host et tacacs-server host pour configurer les serveurs hôtes. Utilisez les commandes radius du serveur de groupe aaa, ldap du serveur de groupe aaa et tacacs+ du serveur de groupe aaa pour créer un groupe nommé de serveurs.

Le tableau ci-dessous décrit les mots clés de la méthode.

Mot clé	Description
nom de groupe de cache	Utilise un groupe de serveurs cache pour l'authentification.
activer	Utilise le mot de passe d'activation pour l'authentification. Ce mot-clé ne peut pas être utilisé.
nom du groupe groupe	Utilise un sous-ensemble de serveurs RADIUS ou TACACS+ pour l'authentification tel que défini par le rayon serveur groupe aaa ou tacacs serveur groupe aaa+ commande.
groupeldap	Utilise la liste de tous les serveurs LDAP (Lightweight Directory Access Protocol) pour l'authentification.
rayonde groupe	Utilise la liste de tous les serveurs RADIUS pour l'authentification.
groupetacacs+	Utilise la liste de tous les serveurs TACACS+ pour l'authentification.
kraft5	Utilise Kerberos 5 pour l'authentification.
krb5-telnet	Utilise le protocole d'authentification Telnet Kerberos 5 lors de l'utilisation de Telnet pour se connecter au routeur.
ligne	Utilise le mot de passe de la ligne pour l'authentification.
local	Utilise la base de données des noms d'utilisateur locaux pour l'authentification.
cas local	Utilise l'authentification du nom d'utilisateur local sensible à la casse.
aucun(e)	N'utilise aucune authentification.
expiration passwd	Active le vieillissement du mot de passe sur une liste d'authentification locale.   Le authentification radius-server vsa send la commande est requise pour effectuer le expiration du délai travail des mots-clés.

Pour définir les paramètres qui restreignent l'accès utilisateur à un réseau, utilisez le autorisation aaa en mode configuration globale. Pour supprimer les paramètres, utiliser le non forme de cette commande.

aaaautorisation {{{{{{{{{{{{{{{{{{{}}}}}}}}} serveur d'authentification|mémoire cache|commandesniveau |commandes de configuration|configuration|console|exéc|ipmobile|multidiffusion|réseau|politique-if|prépayé|proxy de rayon|accès inversé|service d'abonné|gabarit} {défaut|nom de liste } [méthode1 […]méthode2... ]

n°aaaautorisation {{{{{{{{{{{{{{{{{{{}}}}}}}}} serveur d'authentification|mémoire cache|commandesniveau |commandes de configuration|configuration|console|exéc|ipmobile|multidiffusion|réseau|politique-if|prépayé|proxy de rayon|accès inversé|service d'abonné|gabarit} {défaut|nom de liste } [méthode1 […]méthode2... ]

Commande par défaut : L'autorisation est désactivée pour toutes les actions (équivalent au mot-clé de la méthode none ).

Mode de commande : Configuration globale (config)

Directives d’utilisation : Utilisez la commande aaa d'autorisation pour activer l'autorisation et créer des listes de méthodes nommées, qui définissent les méthodes d'autorisation qui peuvent être utilisées lorsqu'un utilisateur accède à la fonction spécifiée. Les listes de méthodes d'autorisation définissent les façons dont l'autorisation sera exécutée et la séquence dans laquelle ces méthodes seront exécutées. Une liste de méthodes est une liste nommée qui décrit les méthodes d'autorisation (telles que RADIUS ou TACACS+) qui doivent être utilisées dans l'ordre. Les listes de méthodes vous permettent de désigner un ou plusieurs protocoles de sécurité à utiliser pour l'autorisation, assurant ainsi un système de sauvegarde en cas d'échec de la méthode initiale. Le logiciel Cisco IOS utilise la première méthode listée pour autoriser les utilisateurs à des services réseau spécifiques ; si cette méthode ne répond pas, le logiciel Cisco IOS sélectionne la méthode suivante listée dans la liste des méthodes. Ce processus se poursuit jusqu'à ce qu'il y ait une communication réussie avec une méthode d'autorisation listée, ou jusqu'à ce que toutes les méthodes définies soient épuisées.

Le logiciel Cisco IOS tente l'autorisation avec la méthode listée suivante uniquement lorsqu'il n'y a pas de réponse de la méthode précédente. Si l'autorisation échoue à un moment quelconque de ce cycle, c'est-à-dire que le serveur de sécurité ou la base de données des noms d'utilisateur locaux répond en refusant les services utilisateur, le processus d'autorisation s'arrête et aucune autre méthode d'autorisation n'est tentée.

Si la commande aaa d'autorisation pour un type d'autorisation particulier est émise sans liste de méthodes nommées spécifiées, la liste de méthodes par défaut est automatiquement appliquée à toutes les interfaces ou lignes (où ce type d'autorisation s'applique) à l'exception de celles qui ont une liste de méthodes nommées explicitement définie. (Une liste de méthodes définie remplace la liste de méthodes par défaut.) Si aucune liste de méthodes par défaut n'est définie, aucune autorisation n'a lieu. La liste des méthodes d'autorisation par défaut doit être utilisée pour effectuer l'autorisation sortante, telle qu'autoriser le téléchargement de pools IP à partir du serveur RADIUS.

Utilisez la commande aaa autorisation pour créer une liste en entrant les valeurs pour le nom de la liste et les arguments de la méthode, où le nom de la liste est n'importe quelle chaîne de caractères utilisée pour nommer cette liste (à l'exclusion de tous les noms de méthode) et la méthode identifie la liste des méthodes d'autorisation essayées dans la séquence donnée.

La commande d'autorisation aaa prend en charge 13 listes de méthodes séparées. Par exemple :

aaa autorisation configuration methodlist1 groupe radius

aaa autorisation configuration methodlist2 groupe rayon

...

aaa autorisation configuration methodlist13 groupe radius

Dans le tableau ci-dessous, les méthodes nom de groupe, groupe ldap, groupe radius et groupe tacacs + font référence à un ensemble de serveurs RADIUS ou TACACS+ précédemment définis. Utilisez les commandes radius-server host et tacacs-server host pour configurer les serveurs hôtes. Utilisez les commandes radius du serveur de groupe aaa, ldap du serveur de groupe aaa et tacacs+ du serveur de groupe aaa pour créer un groupe nommé de serveurs.

Le logiciel Cisco IOS prend en charge les méthodes d'autorisation suivantes :

• Groupes de serveurs de cache : le routeur consulte ses groupes de serveurs de cache pour autoriser des droits spécifiques pour les utilisateurs.

• Si-Authentifié --L'utilisateur est autorisé à accéder à la fonction demandée à condition que l'utilisateur ait été authentifié avec succès.

• Local --Le routeur ou le serveur d'accès consulte sa base de données locale, telle que définie par la commande nom d'utilisateur, pour autoriser des droits spécifiques pour les utilisateurs. Seul un ensemble limité de fonctions peut être contrôlé via la base de données locale.

• Aucun --Le serveur d'accès au réseau ne demande pas d'informations d'autorisation ; l'autorisation n'est pas effectuée sur cette ligne ou cette interface.

• RADIUS : le serveur d'accès au réseau demande des informations d'autorisation au groupe de serveurs de sécurité RADIUS. L'autorisation RADIUS définit des droits spécifiques pour les utilisateurs en associant des attributs, qui sont stockés dans une base de données sur le serveur RADIUS, à l'utilisateur approprié.

• TACACS+ --Le serveur d'accès au réseau échange des informations d'autorisation avec le démon de sécurité TACACS+. L'autorisation TACACS+ définit des droits spécifiques pour les utilisateurs en associant des paires attribut-valeur (AV), qui sont stockées dans une base de données sur le serveur de sécurité TACACS+, à l'utilisateur approprié.

Pour autoriser les connexions entre des types spécifiques de terminaux dans un réseau VoIP, utilisez le autoriser les connexions commande en mode de configuration du service vocal. Pour refuser des types de connexions spécifiques, utilisez le non forme de cette commande.

autoriser les connexionsdu typeautype

pasd'autorisation de connexionsdu typeautype

Commande par défaut : Les connexions SIP à SIP sont désactivées par défaut.

Mode de commande : Configuration du service vocal (config-voi-serv)

Directives d’utilisation : Cette commande est utilisée pour autoriser les connexions entre des types spécifiques de terminaux dans une passerelle IP à IP multiservice Cisco. La commande est activée par défaut et ne peut pas être modifiée.

Pour permettre l'insertion de '#' à n'importe quel endroit dans le DN du registre vocal, utilisez le allow-hash-in-dn commande en mode global registre vocal. Pour le désactiver, utilisez le non forme de cette commande.

autoriser-hash-in-dn

pas de allow-hash-in-dn

Commande par défaut : La commande est désactivée par défaut.

Mode de commande : configuration globale du registre vocal (config-register-global)

Directives d’utilisation : Avant l'introduction de cette commande, les caractères pris en charge dans le registre vocal dn étaient 0-9, + et *. La nouvelle commande est activée chaque fois que l'utilisateur a besoin d'insérer # dans le registre vocal dn. La commande est désactivée par défaut. Vous ne pouvez configurer cette commande que dans les modes Cisco Unified SRST et Cisco Unified E-SRST. Le caractère # peut être inséré à n'importe quel endroit dans le registre vocal dn. Lorsque cette commande est activée, les utilisateurs doivent changer le caractère de terminaison par défaut (#) en un autre caractère valide en utilisant terminateur d'homologue de numérotation commande en mode configuration.

Pour entrer en mode de configuration de l'application de redondance, utilisez le redondance d'application en mode de configuration de redondance.

redondance d'application

Cette commande n'a pas d'arguments ou de mots-clés.

Commande par défaut : Aucun

Mode de commande : Configuration de la redondance (config-red)

Directives d’utilisation : Utilisez ce redondance d'application commande de configuration de la redondance des applications pour la haute disponibilité.

Pour définir la passerelle par défaut d'une application, utilisez le app-default-gateway en mode de configuration de l’hébergement applicatif. Pour supprimer le gatway par défaut, utilisez le non forme de cette commande.

app-default-gateway [adresse ipguest-interfacenetwork-interface-number]

pasapp-default-gateway [adresse ipguest-interfacenetwork-interface-number]

Commande par défaut : La passerelle par défaut n'est pas configurée.

Mode de commande : Configuration de l'hébergement des applications (config-app-hosting)

Directives d’utilisation : Utiliser le app-default-gateway commande de configuration de la passerelle par défaut pour une application. Les connecteurs de passerelle sont des applications installées sur le conteneur Cisco IOS XE GuestShell.

Pour configurer une application et pour entrer en mode de configuration d'hébergement d'application, utilisez le appid d'hébergement d'applications en mode configuration globale. Pour retirer l'application, utilisez le non forme de cette commande.

app hosting appidnom de l'application

Commande par défaut : Aucune application n'est configurée.

Mode de commande : Configuration globale (config)

Directives d'utilisation :L'argument du nom de l'application peut contenir jusqu'à 32 caractères alphanumériques.

Vous pouvez mettre à jour la configuration de l'hébergement de l'application, après avoir configuré cette commande.

Pour remplacer le profil de ressource fourni par l'application, utilisez le profil de réaffectation de l’application en mode de configuration de l’hébergement applicatif. Pour revenir au profil de ressource spécifié par l'application, utilisez le non forme de cette commande.

app-resoure profileprofile-name

pasapp-resoure profileprofile-name

Commande par défaut : Le profil de ressource est configuré.

Mode de commande : Configuration de l'hébergement des applications (config-app-hosting)

Directives d’utilisation : Les ressources réservées spécifiées dans le dossier de demande peuvent être modifiées en définissant un profil de ressources personnalisé. Seules les ressources du CPU, de la mémoire et du CPU virtuel (vCPU) peuvent être modifiées. Pour que les modifications de ressource prennent effet, arrêtez et désactivez l'application, puis activez-la et redémarrez-la.

Seul le profil personnalisé est pris en charge.

La commande configure le profil de ressource d'application personnalisée et entre en mode de configuration du profil de ressource d'application personnalisée.

Pour configurer une passerelle d'interface réseau virtuelle pour une application, utilisez le passerelle app-vnic en mode de configuration de l’hébergement applicatif. Pour supprimer la configuration, utilisez le non forme de cette commande.

Cette commande est prise en charge uniquement sur les plateformes de routage. Il n'est pas pris en charge sur les plateformes de commutation.

app-vnic gatewayvirtualportgroupnumberguest-interfacenetwork-interface-number

pasapp-vnic gatewayvirtualportgroupnumberguest-interfacenetwork-interface-number

Commande par défaut : La passerelle réseau virtuelle n'est pas configurée.

Mode de commande : Configuration de l'hébergement des applications (config-app-hosting)

Directives d’utilisation : Après avoir configuré la passerelle d'interface réseau virtuelle pour une application, le mode de commande passe au mode de configuration de la passerelle d'hébergement d'applications. Dans ce mode, vous pouvez configurer l'adresse IP de l'interface invité.

Pour activer la prise en charge de l'en-tête ID revendiqué dans les demandes ou les messages de réponse SIP (Session Initiation Protocol) entrants et pour envoyer les informations de confidentialité de l'ID revendiqué dans les demandes ou les messages de réponse SIP sortants, utilisez le asserted-id commande en mode de configuration VoIP-SIP du service vocal ou en mode de configuration du tenant de classe vocale. Pour désactiver la prise en charge de l'en-tête ID affirmé, utilisez le non forme de cette commande.

système asserted-id { pai|ppi }

aucun systèmeasserted-id { pai|ppi } system

Commande par défaut : Les informations de confidentialité sont envoyées à l'aide de l'en-tête Remote-Party-ID (RPID) ou de l'en-tête FROM.

Mode de commande : Configuration du service vocal VoIP-SIP (conf-serv-sip) et configuration du tenant de la classe vocale (classe de configuration)

Directives d’utilisation : Si vous choisissez le pai mot-clé ou ppi mot clé, la passerelle construit l'en-tête PAI ou l'en-tête PPI, respectivement, dans la pile SIP commune. Le pai mot-clé ou ppi mot clé a la priorité sur l'en-tête Remote-Party-ID (RPID) et supprime l'en-tête RPID du message sortant, même si le routeur est configuré pour utiliser l'en-tête RPID au niveau global.

Pour configurer la prise en charge de la charge utile asymétrique SIP (Session Initiation Protocol), utilisez le charge utile asymétrique en mode de configuration SIP ou en mode de configuration du tenant de classe vocale. Pour désactiver la prise en charge de charge utile asymétrique, utilisez le non forme de cette commande.

asymétriquecharge utile { dtmf |dynamic-codecs |full |system }

pasde charge utile asymétrique { dtmf |dynamic-codecs |full |system }

Commande par défaut : Cette commande est désactivée.

Mode de commande : Configuration SIP du service vocal (conf-serv-sip), configuration du tenant de la classe vocale (classe de configuration)

Directives d’utilisation : Entrez le mode de configuration SIP à partir du mode de configuration du service vocal, comme illustré dans l'exemple.

Pour Cisco UBE, le type de charge utile asymétrique SIP est pris en charge pour les codecs audio/vidéo, DTMF et NSE. Par conséquent, dtmf et codecs dynamiques mots-clés sont mis en correspondance en interne avec complet mot clé pour fournir une prise en charge de type charge utile asymétrique pour les codecs audio/vidéo, DTMF et NSE.

Pour activer l'authentification SIP digest sur un pair de numérotation individuel, utilisez le authentification en mode de configuration vocale du pair de numérotation. Pour désactiver l'authentification SIP digest, utilisez le non forme de cette commande.

authentificationusernameusernamepassword { 0|6|7 } password [realmrealm|challenge|all ]

aucuneauthentificationnom d’utilisateurnom d’utilisateurmot de passe { 0|6|7 } mot de passe [realmrealm|challenge|all ]

Commande par défaut : L'authentification SIP digest est désactivée.

Mode de commande : Configuration vocale du pair de numérotation (config-dial-peer)

Directives d’utilisation : Les règles de configuration suivantes s'appliquent lors de l'activation de l'authentification digest :

• Un seul nom d'utilisateur peut être configuré par pair de numérotation. Toute configuration de nom d'utilisateur existante doit être supprimée avant de configurer un nom d'utilisateur différent.

• Au maximum cinq mot de passe ou domaine Les arguments peuvent être configurés pour n'importe quel nom d'utilisateur.

Le nom d'utilisateur et mot de passe Les arguments sont utilisés pour authentifier un utilisateur. Un serveur/proxy d'authentification émettant une réponse de défi 407/401 comprend un domaine dans la réponse de défi et l'utilisateur fournit des informations d'authentification qui sont valides pour ce domaine. Etant donné qu'un maximum de cinq serveurs proxy dans le chemin de signalisation peuvent essayer d'authentifier une demande donnée d'un client d'agent utilisateur (UAC) vers un serveur d'agent utilisateur (UAS), un utilisateur peut configurer jusqu'à cinq combinaisons de mots de passe et de domaines pour un nom d'utilisateur configuré.

L'utilisateur fournit le mot de passe en texte brut, mais il est chiffré et enregistré pour la réponse au défi 401. Si le mot de passe n'est pas enregistré sous forme chiffrée, un mot de passe indésirable est envoyé et l'authentification échoue.

• La spécification du domaine est facultative. S'il est omis, le mot de passe configuré pour ce nom d'utilisateur s'applique à tous les domaines qui tentent de s'authentifier.

• Un seul mot de passe peut être configuré à la fois pour tous les domaines configurés. Si un nouveau mot de passe est configuré, il remplace tout mot de passe précédemment configuré.

Cela signifie qu'un seul mot de passe global (un sans domaine spécifié) peut être configuré. Si vous configurez un nouveau mot de passe sans configurer un domaine correspondant, le nouveau mot de passe écrase le précédent.

• Si un domaine est configuré pour un nom d'utilisateur et un mot de passe précédemment configurés, cette spécification de domaine est ajoutée à la configuration du nom d'utilisateur et du mot de passe existants. Cependant, une fois qu'un domaine est ajouté à la configuration d'un nom d'utilisateur et d'un mot de passe, cette combinaison nom d'utilisateur et mot de passe n'est valide que pour ce domaine. Un domaine configuré ne peut pas être supprimé d'une configuration de nom d'utilisateur et de mot de passe sans d'abord supprimer toute la configuration de ce nom d'utilisateur et de ce mot de passe - vous pouvez ensuite reconfigurer cette combinaison de nom d'utilisateur et de mot de passe avec ou sans un domaine différent.

• Dans une entrée contenant à la fois un mot de passe et un domaine, vous pouvez changer le mot de passe ou le domaine.

• Utiliser le aucune authentification tout commande de supprimer toutes les entrées d’authentification pour l’utilisateur.

Il est obligatoire de spécifier le type de chiffrement du mot de passe. Si un mot de passe en texte clair (type 0) est configuré, il est chiffré comme type 6 avant de l’enregistrer dans la configuration en cours d’exécution.

Si vous spécifiez le type de chiffrement comme 6 ou 7, le mot de passe saisi est vérifié par rapport à un type valide 6 ou 7 format du mot de passe et enregistré comme type 6 ou 7 respectivement.

Les mots de passe de type 6 sont chiffrés à l'aide d'un chiffrement AES et d'une clé primaire définie par l'utilisateur. Ces mots de passe sont comparativement plus sécurisés. La clé primaire n'est jamais affichée dans la configuration. À l’insu de la clé primaire, tapez 6 mots de passe sont inutilisables. Si la clé principale est modifiée, le mot de passe qui est enregistré en tant que type 6 est re-chiffré avec la nouvelle clé principale. Si la configuration de la clé principale est supprimée, le type 6 les mots de passe ne peuvent pas être déchiffrés, ce qui peut entraîner l’échec de l’authentification des appels et des enregistrements.

Lors de la sauvegarde d'une configuration ou de la migration de la configuration vers un autre périphérique, la clé principale n'est pas déchargée. Par conséquent, la clé primaire doit être à nouveau configurée manuellement.

Pour configurer une clé prélevée chiffrée, voir Configurer une clé prélevée chiffrée.

Le message d'avertissement suivant s'affiche lors du type de chiffrement 7 est configuré. Attention : La commande a été ajoutée à la configuration à l'aide d'un mot de passe de type 7. Cependant, les mots de passe de type 7 seront bientôt obsolètes. Migrer vers un mot de passe de type 6 pris en charge.

Pour lier l'adresse source pour la signalisation et les paquets média à l'adresse IPv4 ou IPv6 d'une interface spécifique, utilisez le lier en mode de configuration SIP. Pour désactiver la liaison, utilisez le non forme de cette commande.

bind { control|media|all } source-interfaceinterface-id { ipv4-addressipv4-address|ipv6-addressipv6-address }

nobind { control|media|all } source-interfaceinterface-id { ipv4-addressipv4-address|ipv6-addressipv6-address }

Commande par défaut : La liaison est désactivée.

Mode de commande : Configuration SIP (conf-serv-sip) et service partagé de la classe vocale.

Directives d’utilisation : Async, Ethernet, FastEthernet, Loopback et Serial (y compris le relais de trame) sont des interfaces au sein de l'application SIP.

Si le lier La commande n'est pas activée, la couche IPv4 fournit toujours la meilleure adresse locale.

Pour activer les configurations de base pour Call-Home, utilisez le rapport d'appel à domicile en mode configuration globale.

signalement des appels à domicile { anonyme |contact-email-addr } [ http-proxy { ipv4-address |ipv6-address |name } port port-number ]

Commande par défaut : Pas de comportement ou de valeurs par défaut

Mode de commande : Configuration globale (config)

Directives d’utilisation : Après avoir activé avec succès Call-Home en mode d’enregistrement anonyme ou complet à l’aide du rapport d'appel à domicile, un message d’inventaire est envoyé. Si Call-Home est activé en mode d'enregistrement complet, un message d'inventaire complet pour le mode d'enregistrement complet est envoyé. Si l'appel d'accueil est activé en mode anonyme, un message d'inventaire anonyme est envoyé. Pour plus d'informations sur les détails du message, voir Alert Group Trigger Events and Commands.

Pour activer la prise en charge de Cisco Unified SRST et entrer en mode de configuration de secours du gestionnaire d'appels, utilisez le call-manager-fallback en mode configuration globale. Pour désactiver la prise en charge de Cisco Unified SRST, utilisez le non forme de cette commande.

call-manager-fallback

pasde basculement du gestionnaire d'appels

Cette commande n'a pas d'arguments ou de mots-clés.

Commande par défaut : Aucun comportement ou valeurs par défaut.

Mode de commande : Configuration globale

Pour activer la validation du serveur, du client ou de l'identité bidirectionnelle d'un certificat pair pendant la négociation TLS, utilisez la commande validation cn-san en mode de configuration du profil tls de la classe vocale. Pour désactiver la validation de l'identité du certificat, utilisez non forme de cette commande.

cn-sanvalidate { server|client|bidirectional }

nocn-sanvalidate { server|client|bidirectionnel }

Commande par défaut : La validation de l’identité est désactivée.

Mode de commande : Configuration de la classe vocale (classe de configuration)

Directives d’utilisation : La validation de l'identité du serveur est associée à une connexion de signalisation sécurisée via le système global signalisation crypto et profil tls de classe vocale configurations.

La commande est améliorée pour inclure le client et bidirectionnel mots clés. L'option client permet à un serveur de valider l'identité d'un client en vérifiant les noms d'hôtes CN et SAN inclus dans le certificat fourni par rapport à une liste de confiance de FQDN cn-san. La connexion ne sera établie que si une correspondance est trouvée. Cette liste de FQDN cn-san est également utilisée pour valider un certificat de serveur, en plus du nom d'hôte cible de la session. Le bidirectionnel l'option valide l'identité de pair pour les connexions client et serveur en combinant les deux serveur et client les modes de . Une fois que vous avez configuré validation cn-san, l'identité du certificat pair est validée pour chaque nouvelle connexion TLS.

Pour configurer une liste de nom de domaine complet (FQDN) à valider par rapport au certificat pair pour les connexions TLS entrantes ou sortantes, utilisez le cn-san en mode de configuration du profil tls de la classe vocale. Pour supprimer l'entrée de validation du certificat cn-san, utilisez le non forme de cette commande.

cn-san{1-10}fqdn

nocn-san{1-10}fqdn

Commande par défaut : Aucun nom cn-san n'est configuré.

Mode de commande : Mode de configuration du profil tls de la classe vocale (classe de configuration)

Directives d’utilisation : Les FDQN utilisés pour la validation des certificats pairs sont affectés à un profil TLS avec jusqu'à dix cn-san entrées. Au moins une de ces entrées doit être associée à un nom de domaine complet (FQDN) dans les champs Nom commun (CN) ou Nom alternatif du sujet (SAN) avant qu'une connexion TLS ne soit établie. Pour faire correspondre tout hôte de domaine utilisé dans un champ CN ou SAN, un cn-san L'entrée peut être configurée avec un wildcard de domaine, strictement sous la forme *.domain-name (par ex. *.cisco.com). Aucune autre utilisation des caractères génériques n'est autorisée.

Pour les connexions entrantes, la liste est utilisée pour valider les champs CN et SAN dans le certificat client. Pour les connexions sortantes, la liste est utilisée avec le nom d'hôte cible de session pour valider les champs CN et SAN dans le certificat du serveur.

Les certificats de serveur peuvent également être vérifiés en faisant correspondre le nom de domaine complet cible de session SIP à un champ CN ou SAN.

Pour spécifier une liste de codecs préférés à utiliser sur un pair de numérotation, utilisez le codec préférence en mode de configuration de la classe vocale. Pour désactiver cette fonctionnalité, utilisez le non forme de cette commande.

codecvaleurde préférencetype codec

nocodecvaleurde préférencetype codec

Commande par défaut : Si cette commande n'est pas saisie, aucun type spécifique de codecs n'est identifié avec préférence.

Mode de commande : configuration de la classe vocale (classe de configuration)

Directives d’utilisation : Les routeurs situés aux extrémités opposées du WAN peuvent devoir négocier la sélection du codec pour les pairs de numérotation du réseau. Le codec préférence La commande spécifie l’ordre de préférence de sélection d’un codec négocié pour la connexion. Le tableau ci-dessous décrit les options de charge utile vocale et les valeurs par défaut pour les codecs et les protocoles vocaux par paquets.

Pour utiliser le port d'écoute global pour envoyer des demandes via UDP, utilisez le connexion-réutilisation commande en mode sip-ua ou en mode de configuration du tenant de classe vocale. Pour le désactiver, utilisez non forme de cette commande.

connexion-réutilisation { système via port | }

aucuneconnexion-réutilisation { via-port |system }

Commande par défaut : La passerelle locale utilise un port UDP éphémère pour envoyer des demandes sur UDP.

Modes de commande : Configuration de l'UA SIP (config-sip-ua), configuration du tenant de la classe vocale (config-class)

Directives d’utilisation : L'exécution de cette commande active le port d'écoute pour envoyer des requêtes sur UDP. Le port d'écoute par défaut pour le SIP normal non sécurisé est 5060 et le SIP sécurisé est 5061. Configurer listen-port [non sécurisé | sécurisé]port commande en service vocal voip > mode de configuration sip pour changer le port UDP global.

Pour modifier le quota de CPU ou l’unité allouée à une application, utilisez le processeur en mode de configuration du profil de ressource de l’application personnalisée. Pour revenir au quota CPU fourni par l'application, utilisez le non forme de cette commande.

unitécentrale

pasd’unitécentrale

Commande par défaut : Le processeur par défaut dépend de la plate-forme.

Mode de commande : Configuration du profil de ressource d'application personnalisée (config-app-resource-profile-custom)

Directives d’utilisation : Une unité CPU est l'allocation minimale du CPU par l'application. Le total des unités CPU est basé sur les unités CPU normalisées mesurées pour le périphérique cible.

Dans chaque progiciel d'application, un profil de ressource spécifique à l'application définit la charge recommandée de l'unité centrale, la taille de la mémoire et le nombre d'unités centrales virtuelles (vCPU) requises pour l'application. Utilisez cette commande pour modifier l'affectation des ressources pour des processus spécifiques dans le profil de ressources personnalisé.

Les ressources réservées spécifiées dans le dossier de demande peuvent être modifiées en définissant un profil de ressources personnalisé. Seules les ressources du CPU, de la mémoire et du vCPU peuvent être modifiées. Pour que les modifications de ressource prennent effet, arrêtez et désactivez l'application, puis activez-la et redémarrez-la.

Les valeurs des ressources sont spécifiques à l'application, et tout ajustement de ces valeurs doit garantir que l'application peut fonctionner de manière fiable avec les modifications.

Pour configurer une passerelle de multiplexage par répartition dans le temps (TDM) Cisco IOS Session Initiation Protocol (SIP), une passerelle Cisco Unified Border Element (Cisco UBE) ou Cisco Unified Communications Manager Express (Cisco Unified CME) pour envoyer un message d'enregistrement SIP lorsque vous êtes à l'état UP, utilisez le identifiants en mode de configuration SIP UA ou en mode de configuration du tenant de classe vocale. Pour désactiver les informations d'authentification SIP digest, utilisez le non forme de cette commande.

identifiants { dhcp|numbernumberusernameusername } password { 0|6|7 } passwordrealmrealm

noidentifiants { dhcp|numbernumberusernameusername } password { 0|6|7 } passwordrealmrealm

Commande par défaut : Les informations d'authentification digest SIP sont désactivées.

Mode de commande : Configuration de l'UA SIP (config-sip-ua) et configuration du tenant de la classe vocale (config-class).

Directives d’utilisation : Les règles de configuration suivantes s'appliquent lorsque les identifiants sont activés :

• Un seul mot de passe est valide pour tous les noms de domaine. Un nouveau mot de passe configuré remplace tout mot de passe précédemment configuré.

• Le mot de passe sera toujours affiché au format chiffré lorsque le identifiants la commande est configurée et afficher exécution-configuration la commande est utilisée.

Le dhcp mot-clé dans la commande signifie que le numéro principal est obtenu via DHCP et que la passerelle Cisco IOS SIP TDM, Cisco UBE ou Cisco Unified CME sur laquelle la commande est activée utilise ce numéro pour enregistrer ou annuler l'enregistrement du numéro principal reçu.

Il est obligatoire de spécifier le type de chiffrement du mot de passe. Si un mot de passe en texte clair (type 0) est configuré, il est chiffré comme type 6 avant de l’enregistrer dans la configuration en cours d’exécution.

Si vous spécifiez le type de chiffrement comme 6 ou 7, le mot de passe saisi est vérifié par rapport à un type valide 6 ou 7 format du mot de passe et enregistré comme type 6 ou 7 respectivement.

Les mots de passe de type 6 sont chiffrés à l'aide d'un chiffrement AES et d'une clé primaire définie par l'utilisateur. Ces mots de passe sont comparativement plus sécurisés. La clé primaire n'est jamais affichée dans la configuration. À l’insu de la clé primaire, tapez 6 mots de passe sont inutilisables. Si la clé principale est modifiée, le mot de passe qui est enregistré en tant que type 6 est re-chiffré avec la nouvelle clé principale. Si la configuration de la clé principale est supprimée, le type 6 les mots de passe ne peuvent pas être déchiffrés, ce qui peut entraîner l’échec de l’authentification des appels et des enregistrements.

Lors de la sauvegarde d'une configuration ou de la migration de la configuration vers un autre périphérique, la clé principale n'est pas déchargée. Par conséquent, la clé primaire doit être à nouveau configurée manuellement.

Pour configurer une clé prélevée chiffrée, voir Configurer une clé prélevée chiffrée.

Attention : La commande a été ajoutée à la configuration à l'aide d'un mot de passe de type 7. Cependant, les mots de passe de type 7 seront bientôt obsolètes. Migrer vers un mot de passe de type 6 pris en charge.

Dans YANG, vous ne pouvez pas configurer le même nom d'utilisateur dans deux domaines différents.

Pour spécifier la préférence pour une suite de chiffrement SRTP qui sera offerte par Cisco Unified Border Element (CUBE) dans l'offre et la réponse SDP, utilisez le crypto en mode de configuration de la classe vocale. Pour désactiver cette fonctionnalité, utilisez le non forme de cette commande.

suite de chiffrementde préférence crypto

pasdepréférence de chiffrement

Commande par défaut : Si cette commande n'est pas configurée, le comportement par défaut est d'offrir les suites srtp-cipher dans l'ordre de préférence suivant :

• AEAD_AES_256_GCM

• AEAD_AES_128_GCM

• AES_CM_128_HMAC_SHA1_80

• AES_CM_128_HMAC_SHA1_32

Mode de commande : classe vocale srtp-crypto (classe de configuration)

Directives d’utilisation : Si vous modifiez la préférence d'une suite de chiffrement déjà configurée, la préférence est écrasée.

Pour générer des paires de clés Rivest, Shamir et Adelman (RSA), utilisez le clé crypto générer rsa en mode configuration globale.

cryptokey generate rsa [{ general-keys |usage-keys |signature |encryption } ] [ label key-label ] [ exportable ] [ modulus modulus-size ] [ storage devicename : ] [ redundancyon devicename : ]

Commande par défaut : Les bi-clés RSA n'existent pas.

Mode de commande : Configuration globale (config)

Directives d’utilisation : Utiliser le clé crypto générer rsa commande pour générer des paires de clés RSA pour votre périphérique Cisco (tel qu'un routeur).

Les clés RSA sont générées par paires : une clé RSA publique et une clé RSA privée.

Si votre routeur dispose déjà de clés RSA lorsque vous émettez cette commande, vous serez averti et invité à remplacer les clés existantes par de nouvelles clés.

Le clé crypto générer rsa La commande n’est pas enregistrée dans la configuration du routeur, mais les clés RSA générées par cette commande sont enregistrées dans la configuration privée en NVRAM (qui n’est jamais affichée à l’utilisateur ou sauvegardée sur un autre périphérique) la prochaine fois que la configuration est écrite en NVRAM.

• Clés à usage spécial : Si vous générez des clés d'utilisation spéciale, deux paires de clés RSA seront générées. Une paire sera utilisée avec toute politique d'échange de clés Internet (IKE) qui spécifie les signatures RSA comme méthode d'authentification, et l'autre paire sera utilisée avec toute politique IKE qui spécifie les clés RSA comme méthode d'authentification.

  Une autorité de certification est utilisée uniquement avec les politiques IKE spécifiant les signatures RSA, pas avec les politiques IKE spécifiant les non-ces chiffrés RSA. (Cependant, vous pouvez spécifier plus d'une politique IKE et avoir des signatures RSA spécifiées dans une politique et des non-codes chiffrés RSA dans une autre politique.)

  Si vous prévoyez d'avoir les deux types de méthodes d'authentification RSA dans vos politiques IKE, vous pouvez préférer générer des clés d'utilisation spéciale. Avec des clés à usage spécial, chaque clé n'est pas inutilement exposée. (Sans clés d'utilisation spéciale, une clé est utilisée pour les deux méthodes d'authentification, augmentant ainsi l'exposition de cette clé).

• Clés à usage général : Si vous générez des clés à usage général, une seule paire de clés RSA sera générée. Cette paire sera utilisée avec les politiques IKE spécifiant soit les signatures RSA, soit les clés cryptées RSA. Par conséquent, une paire de clés à usage général peut être utilisée plus fréquemment qu'une paire de clés à usage spécial.

• Bi-clés nominatives : Si vous générez une paire de clés nommée à l'aide de l'argument key-label, vous devez également spécifier le clés d'utilisation mot-clé ou clés générales mot clé. Les paires de clés nommées vous permettent d'avoir plusieurs paires de clés RSA, permettant au logiciel Cisco IOS de gérer une paire de clés différente pour chaque certificat d'identité.

• Longueur du module : Lorsque vous générez des clés RSA, vous serez invité à saisir une longueur de module. Plus le module est long, plus la sécurité est forte. Cependant, un module plus long prend plus de temps à générer (voir le tableau ci-dessous pour les temps d'échantillonnage) et prend plus de temps à utiliser.

  Tableau 2. Temps d'échantillonnage par longueur de module pour générer des clés RSA

  Routeur	360 bits	512 bits	1024 bits	2048 bits (maximum)
  Cisco 2500	11 secondes	20 secondes	4 minutes, 38 secondes	Plus d’1 heure
  Cisco 4700	Moins de 1 seconde	1 seconde	4 secondes	50 secondes

  Le logiciel Cisco IOS ne prend pas en charge un module supérieur à 4096 bits. Une longueur inférieure à 512 bits n’est normalement pas recommandée. Dans certaines situations, le module le plus court peut ne pas fonctionner correctement avec IKE, nous recommandons donc d'utiliser un module minimum de 2048 bits.

  Des limites supplémentaires peuvent s'appliquer lorsque des clés RSA sont générées par le matériel cryptographique. Par exemple, lorsque des clés RSA sont générées par l'adaptateur de port de services VPN Cisco (VSPA), le module de clé RSA doit être d'au moins 384 bits et d'un multiple de 64.

• Spécifier un emplacement de stockage pour les clés RSA : Lorsque vous émettez le clé crypto générer rsa commande avec le stockage devicename : mot-clé et argument, les clés RSA seront stockées sur le périphérique spécifié. Cet emplacement remplacera tout stockage de clés cryptographiques paramètres de commande.

• Spécification d'un périphérique pour la génération de clés RSA : Vous pouvez spécifier le périphérique sur lequel les clés RSA sont générées. Les périphériques pris en charge incluent NVRAM, les disques locaux et les jetons USB. Si votre routeur dispose d'un jeton USB configuré et disponible, le jeton USB peut être utilisé comme périphérique cryptographique en plus d'un périphérique de stockage. L'utilisation d'un jeton USB comme dispositif cryptographique permet d'effectuer des opérations RSA telles que la génération de clés, la signature et l'authentification des informations d'authentification sur le jeton. La clé privée ne quitte jamais le jeton USB et n’est pas exportable. La clé publique est exportable.

  Les clés RSA peuvent être générées sur un jeton USB configuré et disponible, à l'aide du le devicename : mot clé et argument. Les clés qui résident sur un jeton USB sont enregistrées dans le stockage permanent des jetons lorsqu'elles sont générées. Le nombre de clés pouvant être générées sur un jeton USB est limité par l’espace disponible. Si vous tentez de générer des clés sur un jeton USB et qu’il est plein, vous recevrez le message suivant :

  % Error in generating keys:no available resources 

  La suppression des clés supprimera immédiatement les clés stockées sur le jeton du stockage permanent. (Les clés qui ne résident pas sur un jeton sont enregistrées ou supprimées des emplacements de stockage non jeton lorsque le copie ou une commande similaire est émise).

• Spécification de la génération de redondance de clé RSA sur un périphérique : Vous ne pouvez spécifier la redondance pour les clés existantes que si elles sont exportables.

Pour authentifier l'autorité de certification (AC) (en obtenant le certificat de l'AC), utilisez le commande cryptopkiauthentifier en mode configuration globale.

nomd'authentificationpkicrypto

Commande par défaut : Aucun comportement ou valeurs par défaut.

Mode de commande : Configuration globale (config)

Directives d’utilisation : Cette commande est requise lorsque vous configurez initialement la prise en charge de l'autorité de certification sur votre routeur.

Cette commande authentifie l'autorité de certification auprès de votre routeur en obtenant le certificat auto-signé de l'autorité de certification qui contient la clé publique de l'autorité de certification. Comme l'AC signe son propre certificat, vous devez authentifier manuellement la clé publique de l'AC en contactant l'administrateur de l'AC lorsque vous saisissez cette commande.

Si vous utilisez le mode Router Ads (RA) (en utilisant le inscription) lorsque vous émettez le crypto pki authentifier, puis la signature de l'autorité d'enregistrement et les certificats de chiffrement seront renvoyés à partir de l'AC et du certificat de l'AC.

Cette commande n'est pas enregistrée dans la configuration du routeur. Cependant, les clés publiques incorporées dans les certificats d'autorité de certification (et d'autorité de certification) reçus sont enregistrées dans la configuration dans le cadre de l'enregistrement de clés publiques de Rivest, Shamir et Adelman (RSA) (appelé « chaîne de clés publique RSA »).

Si l'AC ne répond pas après l'émission de cette commande, la commande du terminal sera renvoyée afin qu'elle reste disponible. Si cela se produit, vous devez saisir à nouveau la commande. Le logiciel Cisco IOS ne reconnaîtra pas les dates d'expiration des certificats de l'autorité de certification définies au-delà de l'année 2049. Si la période de validité du certificat de l'AC doit expirer après l'année 2049, le message d'erreur suivant s'affiche lors de la tentative d'authentification avec le serveur de l'AC : Si vous recevez un message d'erreur similaire à celui-ci, vérifiez la date d'expiration de votre certificat d'autorité de certification. Si la date d'expiration de votre certificat d'autorité de certification est fixée après l'année 2049, vous devez réduire la date d'expiration d'un an ou plus.

Pour importer un certificat manuellement via TFTP ou en tant que cut-and-paste au terminal, utilisez le commande cryptopkiimport en mode configuration globale.

certificatd'importationpkinomcrypto

Commande par défaut : Pas de comportement ou de valeurs par défaut

Mode de commande : Configuration globale (config)

Directives d’utilisation : Vous devez saisir le importation crypto pki commande deux fois si des clés d’utilisation (clés de signature et de chiffrement) sont utilisées. La première fois que la commande est entrée, l'un des certificats est collé dans le routeur ; la deuxième fois que la commande est entrée, l'autre certificat est collé dans le routeur. (Peu importe quel certificat est collé en premier.)

Pour déclarer le point de confiance que votre routeur doit utiliser, utilisez le commande cryptopkitrustpoint en mode de configuration globale. Pour supprimer toutes les informations d'identité et les certificats associés au trustpoint, utilisez le non forme de cette commande.

redondancepkitrustpointnamecrypto

pas de redondancecryptopkitrustpointnamecryptographie

Commande par défaut : Votre routeur ne reconnaît aucun point de confiance tant que vous n'avez pas déclaré un point de confiance à l'aide de cette commande. Votre routeur utilise des identifiants uniques lors de la communication avec les serveurs OCSP (Online Certificate Status Protocol), tels que configurés dans votre réseau.

Mode de commande : Configuration globale (config)

Directives d’utilisation :

Déclaration des points de confiance

Utiliser le crypto pki point de confiance commande pour déclarer un trustpoint, qui peut être une autorité de certification racine (AC) auto-signée ou une AC subordonnée. Emettre le crypto pki point de confiance vous place en mode de configuration ca-trustpoint.

Vous pouvez spécifier des caractéristiques pour le trustpoint à l'aide des sous-commandes suivantes :

• crl— Interroge la liste de révocation de certificats (CRL) pour s'assurer que le certificat du pair n'a pas été révoqué.

• default(ca-trustpoint)—Réinitialise la valeur des sous-commandes du mode de configuration ca-trustpoint à leurs valeurs par défaut.

• inscription— Spécifie les paramètres d'inscription (facultatif).

• inscriptionhttp-proxy—Accède à l'autorité de certification par HTTP via le serveur proxy.

• inscriptionauto-signée— Spécifie l'inscription auto-signée (facultatif).

• matchcertificate—Associe une liste de contrôle d'accès basée sur un certificat (ACL) définie avec le Commande cryptocacertificatemap.

• ocspdisable-nonce—Indique que votre routeur n'enverra pas d'identifiants uniques, ou de non-ces, au cours des communications OCSP.

• primary—Attribue un trustpoint spécifié comme trustpoint principal du routeur.

• root—Définit le TFTP pour obtenir le certificat de l'autorité de certification et spécifie à la fois un nom pour le serveur et un nom pour le fichier qui stockera le certificat de l'autorité de certification.

Spécifier l'utilisation d'identifiants uniques

Lorsque vous utilisez OCSP comme méthode de révocation, des identifiants uniques, ou des non-ces, sont envoyés par défaut lors des communications entre pairs avec le serveur OCSP. L'utilisation d'identifiants uniques lors des communications du serveur OCSP permet des communications plus sécurisées et plus fiables. Cependant, tous les serveurs OCSP ne prennent pas en charge l'utilisation de prothèses dentaires uniques, consultez votre manuel OCSP pour plus d'informations. Pour désactiver l'utilisation d'identifiants uniques lors des communications OCSP, utilisez le ocsp désactiver-nonce sous-commande.

Pour importer (télécharger) manuellement le faisceau de certificats de l'autorité de certification (AC) dans le trustpool de l'infrastructure à clé publique (PKI) pour mettre à jour ou remplacer le faisceau de certificats existant, utilisez le importation trustpool crypto pki en mode configuration globale. Pour supprimer l'un des paramètres configurés, utilisez le non forme de cette commande.

cryptopkitrustpoolimportclean [ terminal|urlurl ]

nocryptopkitrustpoolimportclean [ terminal|urlurl ]

Commande par défaut : La fonctionnalité de trustpool de l'ICP est activée. Le routeur utilise le faisceau de certificats d'autorité de certification intégré dans le trustpool PKI, qui est mis à jour automatiquement à partir de Cisco.

Mode de commande : Configuration globale (config)

Les menaces à la sécurité, ainsi que les technologies cryptographiques pour aider à les protéger, sont en constante évolution. Pour plus d'informations sur les dernières recommandations cryptographiques de Cisco, consultez le livre blanc Next Generation Encryption (NGE).

Les certificats de trustpool PKI sont automatiquement mis à jour à partir de Cisco. Lorsque les certificats de confiance de l'ICP ne sont pas à jour, utilisez le importation trustpool crypto pki commande pour les mettre à jour à partir d’un autre emplacement.

Le url l'argument spécifie ou modifie le système de fichiers URL de l'AC. Le tableau ci-dessous répertorie les systèmes de fichiers URL disponibles.

Tableau 3. Systèmes de fichiers URL

Système de fichiers	Description
archive :	Importation à partir du système de fichiers d'archives.
snc :	Importe à partir du système de fichiers Cluster Namespace (CNS).
disque0 :	Importe à partir du système de fichiers disc0.
disque1 :	Importe à partir du système de fichiers disc1.
ftp :	Importe à partir du système de fichiers FTP.
http :	Importe à partir du système de fichiers HTTP. L'URL doit être dans les formats suivants : http://CAname :80, avec NomCA est le système de noms de domaine (DNS) http://adresse ipv4:80. Par exemple : http://10.10.10.1:80. http://[adresse ipv6] :80. Par exemple : http://[2001:DB8:1:1::1]:80. L'adresse IPv6 est en notation hexadécimale et doit être entre parenthèses dans l'URL.
https :	Importation à partir du système de fichiers HTTPS. L’URL doit utiliser les mêmes formats que le HTTP : formats des systèmes de fichiers.
null :	Importations à partir du système de fichiers null.
nvram :	Importations à partir du système de fichiers NVRAM.
landau :	Importe à partir du système de fichiers PRAM (Parameter Random-Access Memory).
rcp :	Importe à partir du système de fichiers RCP (remote copy protocol).
scp :	Importe à partir du système de fichiers SCP (Secure Copy Protocol).
snmp :	Import à partir du protocole SNMP (Simple Network Management Protocol).
système :	Importe à partir du système de fichiers système.
goudron :	Import à partir du système de fichiers tar UNIX.
tftp :	Importe à partir du système de fichiers TFTP.   L'URL doit être dans le champ de : tftp://CAname/filespecification.
tmpsys :	Importe à partir du système de fichiers tmpsys de Cisco IOS.
unix :	Importe à partir du système de fichiers UNIX.
xmodem :	Importe à partir du système de protocole de transfert de fichiers simple xmodem.
ymodem :	Importe à partir du système de protocole de transfert de fichiers simple ymodem.

Pour identifier le trustpointtrustpoint-name mot-clé et argument utilisés lors de la négociation TLS (Transport Layer Security) qui correspond à l'adresse du périphérique distant, utilisez le signalisation crypto en mode de configuration de l'agent utilisateur (UA) SIP. Pour réinitialiser à la valeur par défaut point de confiance chaîne , utiliser le non forme de cette commande.

signalisation crypto { default|remote-addr ip-address subnet-mask } [ tls-profile tag |trustpoint trustpoint-name ] [ cn-san-validation server ] [ client-vtp trustpoint-name ] [ ecdsa-cipher |curve-size 384 |strict-cipher ]

node signalisation crypto { default|remote-addr ip-address subnet-mask } [ tls-profile tag |trustpoint trustpoint-name ] [ cn-san-validation server ] [ client-vtp trustpoint-name ] [ ecdsa-cipher |curve-size 384 |strict-cipher ]

Commande par défaut : La commande de signalisation crypto est désactivée.

Mode de commande : Configuration de l'UA SIP (sip-ua)

Directives d’utilisation : Le trustpointtrustpoint-name mot clé et argument font référence au certificat CUBE généré dans le cadre du processus d'inscription à l'aide des commandes PKI de Cisco IOS.

Lorsqu'un seul certificat est configuré, il est utilisé par tous les périphériques distants et est configuré par le par défaut mot clé.

Lorsque plusieurs certificats sont utilisés, ils peuvent être associés à des services distants en utilisant le à distance argument pour chaque trustpoint. Le à distance et les arguments par défaut peuvent être utilisés ensemble pour couvrir tous les services si nécessaire.

La suite de chiffrement par défaut dans ce cas est l'ensemble suivant qui est pris en charge par la couche SSL sur CUBE : TLS_RSA_AVEC_RC4_128_MD5 TLS_RSA_AVEC_AES_128_CBC_SHA TLS_DHE_RSA_AVEC_AES_128_CBC_SHA1 TLS_ECDHE_RSA_AVEC_AES_128_GCM_SHA256 TLS_ECDHE_RSA_AVEC_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_AVEC_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_AVEC_AES_256_GCM_SHA384

Le mot clé cn-san-validate serveur permet la validation de l'identité du serveur via les champs CN et SAN du certificat lors de l'établissement de connexions SIP/TLS côté client. La validation des champs CN et SAN du certificat du serveur garantit que le domaine côté serveur est une entité valide. Lors de la création d'une connexion sécurisée avec un serveur SIP, CUBE valide le nom de domaine cible de session configuré par rapport aux champs CN/SAN du certificat du serveur avant d'établir une session TLS. Une fois que vous avez configuré cn-san-validate serveur, la validation de l'identité du serveur est effectuée pour chaque nouvelle connexion TLS.

Le profil tls l’option associe les configurations de politique TLS effectuées via le associé profil tls de classe vocale la configuration du . En plus des options de politique TLS disponibles directement auprès du signalisation crypto commande, un profil tls comprend également le envoi sni option.

sni send active Server Name Indication (SNI), une extension TLS qui permet à un client TLS d'indiquer le nom du serveur auquel il tente de se connecter au cours du processus initial de négociation TLS. Seul le nom d'hôte DNS complet du serveur est envoyé dans le bonjour du client. SNI ne prend pas en charge les adresses IPv4 et IPv6 dans l'extension hello du client. Après avoir reçu un « bonjour » avec le nom du serveur du client TLS, le serveur utilise le certificat approprié dans le processus de négociation TLS ultérieur. Le SNI nécessite TLS version 1.2.

Les fonctionnalités de la politique TLS ne seront disponibles que via un profil tls de classe vocale la configuration du . Le signalisation crypto La commande continue de prendre en charge les options de chiffrement TLS précédemment existantes. Vous pouvez utiliser soit le balise de profil tls de classe vocale ou signalisation crypto commande de configuration d'un trustpoint. Nous vous recommandons d'utiliser le Commande voice class tls-profiletag pour effectuer les configurations de profil TLS.