A hitelesítési, engedélyezési és elszámolási (AAA) hozzáférés-vezérlési modell engedélyezéséhez használja a aaa új modell parancsot globális konfigurációs módban. Az AAA hozzáférés-vezérlési modell letiltásához használja a nem ennek a parancsnak a formáját.

aaa új modell

nem aaa új modell

Ez a parancs nem tartalmaz argumentumokat vagy kulcsszavakat.

Alapértelmezett parancs: Az AAA nincs engedélyezve.

Parancs mód: Globális konfiguráció (config)

Használati irányelvek: Ez a parancs engedélyezi az AAA beléptető rendszert.

A bejelentkezéskor történő hitelesítési, engedélyezési és számviteli (AAA) hitelesítés beállításához használja a aaa hitelesítési bejelentkezés parancsot globális konfigurációs módban. Az AAA-hitelesítés letiltásához használja a nem ennek a parancsnak a formáját.

aaa hitelesítési bejelentkezés { alapértelmezett| listanév } módszer1 [ 2. módszer... ]

nem aaa hitelesítési bejelentkezés { alapértelmezett| listanév } módszer1 [ 2. módszer... ]

Alapértelmezett parancs: Az AAA hitelesítés bejelentkezéskor le van tiltva.

Parancs mód: Globális konfiguráció (config)

Használati irányelvek: Ha a alapértelmezett kulcsszó nincs beállítva, csak a helyi felhasználói adatbázis kerül ellenőrzésre. Ennek ugyanaz a hatása, mint a következő parancsnak:

aaa authentication login default local

A konzolon a bejelentkezés sikeres lesz hitelesítési ellenőrzések nélkül is, ha alapértelmezett kulcsszó nincs beállítva.

A következővel létrehozott alapértelmezett és nem kötelező listanevek aaa hitelesítési bejelentkezés parancsot használja a bejelentkezés hitelesítés parancsot.

Hozzon létre egy listát a következő megadásával: aaa hitelesítési bejelentkezés list-name metódusparancs egy adott protokollhoz. A listanév argumentum a felhasználó bejelentkezésekor aktivált hitelesítési módszerek listájának elnevezésére használt karakterlánc. A method argumentum azon metódusok listáját azonosítja, amelyeket a hitelesítési algoritmus az adott sorrendben próbál meg. A „List-name argumentumhoz nem használható hitelesítési módszerek” szakasz felsorolja a list-name argumentumhoz nem használható hitelesítési módszereket, az alábbi táblázat pedig a metódus kulcsszavait ismerteti.

Ha egy vonalhoz nincs lista hozzárendelve, akkor alapértelmezett lista létrehozásához használja a bejelentkezés hitelesítés parancsot az alapértelmezett paraméterrel, majd az alapértelmezett helyzetekben használni kívánt metódusokkal.

A jelszót a rendszer csak egyszer kéri fel a felhasználói hitelesítő adatok hitelesítéséhez, és kapcsolati problémák miatti hiba esetén a további hitelesítési módszerek segítségével többszöri újrapróbálkozás lehetséges. A következő hitelesítési módszerre való váltás azonban csak akkor történik meg, ha az előző módszer hibát ad vissza, nem, ha sikertelen. Annak érdekében, hogy a hitelesítés akkor is sikeres legyen, ha minden módszer hibát ad vissza, adja meg egyiket sem utolsó metódusként a parancssorban.

Ha a hitelesítés nincs kifejezetten beállítva egy vonalhoz, az alapértelmezés a hozzáférés megtagadása, és nem történik hitelesítés. Használja a további rendszer:running-config parancsot a hitelesítési módszerek aktuálisan beállított listájának megjelenítéséhez.

A(z) listanév argumentumhoz nem használható hitelesítési módszerek

A listanév argumentumhoz nem használható hitelesítési módszerek a következők:

• auth-vendég

• engedélyezi

• vendég

• ha-hitelesítve

• ha szükséges

• krb5

• krb-példány

• krb-telnet

• Vonal

• helyi

• nincs

• sugarú

• rcmd

• tacacs

• tacacsplus

Az alábbi táblázatban a group radius, group tacacs +, group ldap és group group-name metódusok a korábban meghatározott RADIUS vagy TACACS+ kiszolgálók egy csoportjára utalnak. Használja a radius-server host és a tacacs-server host parancsokat a gazdagép kiszolgálók beállításához. Az aaa group server radius, aaa group server ldap, és aaa group server tacacs+ parancsok segítségével hozzon létre egy névvel ellátott kiszolgálócsoportot.

Az alábbi táblázat ismerteti a metódus kulcsszavait.

Kulcsszó	Leírás
gyorsítótár csoportnév	Gyorsítótár-kiszolgálócsoportot használ a hitelesítéshez.
engedélyezi	Az engedélyezési jelszót használja a hitelesítéshez. Ez a kulcsszó nem használható.
csoportba csoportnév	A RADIUS vagy TACACS+ kiszolgálók egy részhalmazát használja a hitelesítéshez, ahogyan azt a aaa csoportkiszolgáló sugara vagy aaa csoportkiszolgáló tacacs+ parancsot.
csoportba ldap	Az összes LDAP ( Lightweight Directory Access Protocol ) kiszolgáló listáját használja a hitelesítéshez.
csoportba sugarú	Az összes RADIUS-kiszolgáló listáját használja a hitelesítéshez.
csoportba tacacs+	Az összes TACACS+ szerver listáját használja a hitelesítéshez.
krb5	Kerberos 5-öt használ a hitelesítéshez.
krb5-telnet	Kerberos 5 Telnet hitelesítési protokollt használ, amikor Telnet használatával csatlakozik az útválasztóhoz.
Vonal	A vonaljelszót használja a hitelesítéshez.
helyi	A helyi felhasználónév-adatbázist használja a hitelesítéshez.
helyi eset	A kis- és nagybetűket megkülönböztető helyi felhasználónév-hitelesítést használ.
nincs	Nem használ hitelesítést.
passwd-expiry	Engedélyezi a jelszó elévülése a helyi hitelesítési listán.   A radius-server vsa küldés hitelesítés parancs szükséges a passwd-expiry kulcsszó munka.

A felhasználó hálózathoz való hozzáférését korlátozó paraméterek beállításához használja a aaa felhatalmazást parancsot globális konfigurációs módban. A paraméterek eltávolításához használja a nem ennek a parancsnak a formáját.

aaa felhatalmazást { auth-proxy| gyorsítótár| parancsokat szinten| config-parancsok| konfigurációt| konzolra| végrehajtó| ipmobile| multicast| hálózat| politika-ha| előre fizetett| radius-proxy| reverse-access| előfizetői szolgáltatás| sablont } { alapértelmezett| listanév } [ módszer1 [ módszer2.… ]]

nem aaa felhatalmazást { auth-proxy| gyorsítótár| parancsokat szinten| config-parancsok| konfigurációt| konzolra| végrehajtó| ipmobile| multicast| hálózat| politika-ha| előre fizetett| radius-proxy| reverse-access| előfizetői szolgáltatás| sablont } { alapértelmezett| listanév } [ módszer1 [ módszer2.… ]]

Alapértelmezett parancs: Az engedélyezés minden műveletnél le van tiltva (egyenértékű a method kulcsszóval egyiket sem ).

Parancs mód: Globális konfiguráció (config)

Használati irányelvek: Az aaa authorization paranccsal engedélyezheti a hitelesítést, és hozzon létre elnevezett metóduslistákat, amelyek meghatározzák a használható hitelesítési metódusokat, amikor a felhasználó hozzáfér a megadott funkcióhoz. A hitelesítési módszerlisták határozzák meg a hitelesítés végrehajtásának módjait és sorrendjét. A metóduslista egy elnevezett lista, amely leírja azokat a hitelesítési módszereket (például RADIUS vagy TACACS+), amelyeket sorban kell használni. A metóduslisták lehetővé teszik, hogy egy vagy több biztonsági protokollt jelöljön ki a hitelesítéshez, így biztosítva a rendszer biztonsági mentését arra az esetre, ha a kezdeti módszer sikertelen lenne. A Cisco IOS szoftver az első felsorolt módszert használja a felhasználók bizonyos hálózati szolgáltatásokhoz való engedélyezésére; Ha az adott módszer nem válaszol, a Cisco IOS szoftver a metóduslistában felsorolt következő módszert választja. Ez a folyamat mindaddig folytatódik, amíg sikeres kommunikáció nem történik egy felsorolt hitelesítési módszerrel, vagy amíg az összes meghatározott metódus ki nem merül.

A Cisco IOS szoftver csak akkor kísérli meg a hitelesítést a következő felsorolt metódussal, ha nem érkezik válasz az előző módszertől. Ha a ciklus bármely pontján sikertelen a hitelesítés – ami azt jelenti, hogy a biztonsági kiszolgáló vagy a helyi felhasználónév-adatbázis a felhasználói szolgáltatások elutasításával válaszol –, a hitelesítési folyamat leáll, és nem történik más hitelesítési módszer.

Ha egy adott jogosultságtípushoz az aaa hitelesítési parancsot megadott megnevezett metóduslista nélkül adják ki, akkor a rendszer automatikusan az alapértelmezett metóduslistát alkalmazza az összes interfészre vagy vonalra (ahol ez a jogosultsági típus vonatkozik), kivéve azokat, amelyeknek neves metóduslistája van kifejezetten definiálva. (Egy meghatározott metóduslista felülírja az alapértelmezett metóduslistát.) Ha nincs alapértelmezett metóduslista definiálva, akkor nem történik hitelesítés. Az alapértelmezett hitelesítési metóduslistát kell használni a kimenő hitelesítés végrehajtásához, például az IP -készletek RADIUS kiszolgálóról történő letöltésének engedélyezéséhez.

Az aaa authorization paranccsal hozhat létre listát a list-name és a method argumentumok értékeinek megadásával, ahol a listanév a lista elnevezéséhez használt karakterlánc (az összes metódusnév kivételével), és a metódus azonosítja a hitelesítési metódusok listáját. próbálta ki a megadott sorrendben.

Az aaa hitelesítési parancs 13 különálló metóduslistát támogat. Például:

aaa engedélyezési konfigurációs methodlist1 csoport sugara

aaa engedélyezési konfigurációs módszerlist2 csoport sugara

…

aaa engedélyezési konfigurációs methodlist13 csoport sugara

Az alábbi táblázatban a group group-name, group ldap, group radius és group tacacs + metódusok a korábban meghatározott RADIUS vagy TACACS+ kiszolgálók egy halmazára utalnak. Használja a radius-server host és a tacacs-server host parancsokat a gazdagép kiszolgálók beállításához. Az aaa group server radius , aaa group server ldap és aaa group server tacacs+ parancsok segítségével hozzon létre egy megnevezett kiszolgálócsoportot.

A Cisco IOS szoftver a következő hitelesítési módszereket támogatja:

• Gyorsítótár-kiszolgálócsoportok – Az útválasztó a gyorsítótár-kiszolgálócsoportok segítségével engedélyezi a felhasználók meghatározott jogosultságait.

• Ha-hitelesített --A felhasználó hozzáférhet a kért funkcióhoz, feltéve, hogy a felhasználó hitelesítése sikeres volt.

• Helyi -- Az útválasztó vagy a hozzáférési kiszolgáló a felhasználónév paranccsal meghatározott helyi adatbázisát vizsgálja meg, hogy bizonyos jogosultságokat engedélyezzen a felhasználók számára. A funkcióknak csak korlátozott része vezérelhető a helyi adatbázison keresztül.

• Nincs – A hálózati hozzáférési kiszolgáló nem kér hitelesítési információkat; A hitelesítés nem történik meg ezen a vonalon vagy interfészen keresztül.

• RADIUS -- A hálózati hozzáférési kiszolgáló hitelesítési információkat kér a RADIUS biztonsági kiszolgálócsoporttól. A RADIUS-hitelesítés meghatározott jogosultságokat határoz meg a felhasználók számára azáltal, hogy attribútumokat rendel a megfelelő felhasználóhoz, amelyek a RADIUS-kiszolgálón egy adatbázisban vannak tárolva.

• TACACS+ --A hálózati hozzáférési kiszolgáló jogosultsági információkat cserél a TACACS+ biztonsági démonnal. A TACACS+ jogosultság meghatározott jogosultságokat határoz meg a felhasználók számára azáltal, hogy a TACACS+ biztonsági kiszolgálón egy adatbázisban tárolt attribútum-érték (AV) párokat hozzárendeli a megfelelő felhasználóhoz.

A VoIP -hálózatok meghatározott típusú végpontjai közötti kapcsolatok engedélyezéséhez használja a engedélyezés-kapcsolatok parancs hangszolgáltatás konfigurációs módban. Bizonyos típusú kapcsolatok visszautasításához használja a nem ennek a parancsnak a formáját.

engedélyezés-kapcsolatok from-típusú hogy gépelni

nem engedélyezés-kapcsolatok from-típusú hogy gépelni

Alapértelmezett parancs: A SIP- SIP kapcsolatok alapértelmezés szerint le vannak tiltva.

Parancs mód: Hangszolgáltatás konfigurációja (config-voi-serv)

Használati irányelvek: Ezzel a paranccsal engedélyezhető a kapcsolatok meghatározott típusú végpontok között a Cisco multiservice IP- IP átjáróban. A parancs alapértelmezetten engedélyezve van, és nem módosítható.

Ha engedélyezni szeretné a '#' beszúrását a dn hangregiszterben, használja a allow-hash-in-dn parancs hangregiszter globális módban. Ennek letiltásához használja a nem ennek a parancsnak a formáját.

allow-hash-in-dn

nincs engedélyezés-hash-in-dn

Alapértelmezett parancs: A parancs alapértelmezés szerint le van tiltva.

Parancs mód: hangregiszter globális konfigurációja (config-register-global)

Használati irányelvek: A parancs bevezetése előtt a dn hangregiszterben támogatott karakterek 0-9, + és * voltak. Az új parancs minden alkalommal engedélyezett, amikor a felhasználónak szüksége van a # karakter beillesztésére a dn hangregiszterbe. A parancs alapértelmezés szerint le van tiltva. Ez a parancs csak Cisco Unified SRST és Cisco Unified E-SRST módban konfigurálható. A # karakter bárhol beilleszthető a dn hangregiszterbe. Ha ez a parancs engedélyezve van, a felhasználóknak módosítaniuk kell az alapértelmezett befejező karaktert (#) egy másik érvényes karakter tárcsázó-peer terminátor parancsot konfigurációs módban.

A redundanciaalkalmazás-konfigurációs módba való belépéshez használja a alkalmazás redundanciája parancs redundancia konfigurációs módban.

alkalmazást redundancia

Ez a parancs nem tartalmaz argumentumokat vagy kulcsszavakat.

Alapértelmezett parancs: Egy sem

Parancs mód: Redundancia-konfiguráció (config-red)

Használati irányelvek: Használja ezt alkalmazás redundanciája paranccsal konfigurálja az alkalmazásredundanciát a magas rendelkezésre állás.

Egy alkalmazás alapértelmezett átjáró beállításához használja a app-default-gateway parancs alkalmazás-tárhely konfigurációs módban. Az alapértelmezett átjáró eltávolításához használja a nem ennek a parancsnak a formáját.

app-default-gateway [ ip-címet vendég-interfész hálózati-interfész-szám ]

nem app-default-gateway [ ip-címet vendég-interfész hálózati-interfész-szám ]

Alapértelmezett parancs: Az alapértelmezett átjáró nincs konfigurálva.

Parancs mód: Alkalmazástárhely-konfiguráció (config-app-hosting)

Használati irányelvek: Használja a app-default-gateway paranccsal beállíthatja az alapértelmezett átjáró egy alkalmazáshoz. Az átjáró-összekötők a Cisco IOS XE GuestShell tárolóra telepített alkalmazások.

Alkalmazások konfigurálásához és az alkalmazás hosting konfigurációs módba való belépéshez használja a app-hosting appid parancsot globális konfigurációs módban. Az alkalmazás eltávolításához használja a nem ennek a parancsnak a formáját.

app-hosting appid alkalmazásnév

Alapértelmezett parancs: Nincs alkalmazás konfigurálva.

Parancs mód: Globális konfiguráció (config)

Használati irányelvek: Az alkalmazásnév argumentum legfeljebb 32 alfanumerikus karakterből állhat.

A parancs konfigurálása után frissítheti az alkalmazás hosting konfigurációját.

Az alkalmazás által biztosított erőforrásprofil felülbírálásához használja a app-resoure profilt parancs alkalmazás-tárhely konfigurációs módban. Az alkalmazás-specifikus erőforrásprofilra való visszatéréshez használja a nem ennek a parancsnak a formáját.

app-resoure profilt profil-név

nem app-resoure profilt profil-név

Alapértelmezett parancs: Az erőforrásprofil konfigurálva van.

Parancs mód: Alkalmazástárhely-konfiguráció (config-app-hosting)

Használati irányelvek: Az alkalmazáscsomagban megadott fenntartott erőforrások egyéni erőforrásprofil beállításával módosíthatók. Csak a CPU, a memória és a virtuális CPU (vCPU) erőforrások módosíthatók. Ahhoz, hogy az erőforrás-módosítások érvénybe lépjenek, állítsa le és inaktiválja az alkalmazást, majd aktiválja és indítsa újra.

Csak egyéni profil támogatott.

A parancs konfigurálja az egyéni alkalmazás-erőforrás profilt, és egyéni alkalmazás-erőforrásprofil konfigurációs módba lép.

Ha egy alkalmazáshoz virtuális hálózati illesztő átjárót szeretne konfigurálni, használja a app-vnic átjáró parancs alkalmazás-tárhely konfigurációs módban. A konfiguráció eltávolításához használja a nem ennek a parancsnak a formáját.

Ez a parancs csak útválasztási platformokon támogatott. Platformváltás esetén nem támogatott.

app-vnic átjáró virtualportgroup számot vendég-interfész hálózati-interfész-szám

nem app-vnic átjáró virtualportgroup számot vendég-interfész hálózati-interfész-szám

Alapértelmezett parancs: A virtuális hálózati átjáró nincs konfigurálva.

Parancs mód: Alkalmazástárhely-konfiguráció (config-app-hosting)

Használati irányelvek: Miután konfigurálta a virtuális hálózati illesztő átjárót egy alkalmazáshoz, a parancs mód átvált alkalmazás-hoszting átjáró beállítása módra. Ebben a módban konfigurálhatja a vendég felület IP-cím .

Ha engedélyezni szeretné az érvényesített azonosító fejlécét a bejövő Session Initiation Protocol (SIP) kérésekben vagy válaszüzenetekben, és elküldheti az érvényesített azonosító adatvédelmi adatait a kimenő SIP kérésekben vagy válaszüzenetekben, használja a érvényesített-id parancs hangszolgáltatásban VoIP– SIP konfigurációs mód vagy hangosztály bérlői konfigurációs mód. Az érvényesített azonosító fejléc támogatásának letiltásához használja a nem ennek a parancsnak a formáját.

érvényesített-id { pai| ppi } rendszert

nem érvényesített-id { pai| ppi } rendszert

Alapértelmezett parancs: Az adatvédelmi információkat a Remote-Party- azonosító (RPID) vagy a FROM fejléc használatával küldi el a rendszer.

Parancs mód: VoIP– SIP konfiguráció (conf-serv-sip) és hangosztály bérlői konfiguráció (config-class)

Használati irányelvek: Ha a pai kulcsszó vagy a ppi kulcsszó esetén az átjáró a PAI fejlécet, illetve a PPI fejlécet építi be a közös SIP verembe. A pai kulcsszó vagy a ppi A kulcsszó elsőbbséget élvez a Remote-Party- azonosító (RPID) fejléccel szemben, és eltávolítja az RPID fejlécet a kimenő üzenetből, még akkor is, ha az útválasztó globális szinten az RPID fejléc használatára van beállítva.

A Session Initiation Protocol (SIP) aszimmetrikus hasznos adat támogatásának konfigurálásához használja a aszimmetrikus hasznos teher parancsot SIP konfigurációs módban vagy hangosztály bérlői konfigurációs módban. Az aszimmetrikus hasznos terhelés támogatásának letiltásához használja a nem ennek a parancsnak a formáját.

aszimmetrikus hasznos teher { dtmf| dinamikus kodekek| megtelt| rendszert }

nem aszimmetrikus hasznos teher { dtmf| dinamikus kodekek| megtelt| rendszert }

Alapértelmezett parancs: Ez a parancs le van tiltva.

Parancs mód: Hangszolgáltatás SIP -konfiguráció (conf-serv-sip), Hangosztály bérlői konfiguráció (config-class)

Használati irányelvek: Lépjen be a SIP konfigurációs módba a hangszolgáltatás konfigurációs módból a példában látható módon.

A Cisco UBE esetében az aszimmetrikus SIP hasznos adattípus támogatott az audió/videó kodekeknél, a DTMF-nél és az NSE-nél. Ezért dtmf és dinamikus kodekek A kulcsszavak belsőleg hozzá vannak rendelve a megtelt kulcsszó az aszimmetrikus terhelés típusú támogatás biztosításához az audio/video kodekek, DTMF és NSE számára.

Ha engedélyezni szeretné a SIP kivonatolt hitelesítés egy egyéni tárcsázó társon, használja a hitelesítést parancsot tárcsázó peer hangkonfigurációs módban. A SIP kivonatolt hitelesítés letiltásához használja a nem ennek a parancsnak a formáját.

hitelesítést felhasználónevet felhasználónevet jelszót { 0| 6| 7 } jelszót [ birodalmat birodalmat| kihívás| mindet ]

nem hitelesítést felhasználónevet felhasználónevet jelszót { 0| 6| 7 } jelszót [ birodalmat birodalmat| kihívás| mindet ]

Alapértelmezett parancs: A SIP kivonatolt hitelesítés van tiltva.

Parancs mód: Tárcsázó társak hangkonfigurációja (config-dial-peer)

Használati irányelvek: A következő konfigurációs szabályok érvényesek a kivonatolt hitelesítés engedélyezésekor:

• Tárcsázótársonként csak egy felhasználónév konfigurálható. Minden meglévő felhasználónév-konfigurációt el kell távolítani egy másik felhasználónév beállítása előtt.

• Legfeljebb öt jelszót vagy birodalmat argumentumok konfigurálhatók egyetlen felhasználónévhez.

A felhasználónevet és jelszót argumentumok segítségével hitelesítik a felhasználót. A 407/401-es kihívásválaszt kibocsátó hitelesítő kiszolgáló/proxy tartalmaz egy tartományt a kihívásválaszban, és a felhasználó megadja az adott tartományra érvényes hitelesítő adatokat. Mivel feltételezhető, hogy a jelzési úton legfeljebb öt proxykiszolgáló próbálhatja meg hitelesíteni a felhasználói ügynök klienstől (UAC) egy user-agent szerverhez (UAS) küldött kérést, egy felhasználó legfeljebb öt jelszót és jelszót konfigurálhat, tartomány kombinációk egy beállított felhasználónévhez.

A felhasználó szöveges formában adja meg a jelszót, de az titkosítva van, és elmenti a 401-es kihívásválaszhoz. Ha a jelszót nem titkosított formában menti a rendszer, a rendszer kéretlen jelszót küld, és a hitelesítés sikertelen.

• A tartomány megadása nem kötelező. Ha nincs megadva, az adott felhasználónévhez konfigurált jelszó minden hitelesítést megkísérlő tartományra vonatkozik.

• Az összes beállított tartományhoz egyszerre csak egy jelszó konfigurálható. Ha új jelszó van beállítva, az felülír minden korábban beállított jelszót.

Ez azt jelenti, hogy csak egy globális jelszó (egy meghatározott tartomány nélküli) konfigurálható. Ha a megfelelő tartomány beállítása nélkül állít be új jelszót, az új jelszó felülírja az előzőt.

• Ha egy tartomány egy korábban konfigurált felhasználónévhez és jelszóhoz van beállítva, akkor az adott tartományspecifikáció hozzáadódik a meglévő felhasználónév- és jelszókonfigurációhoz. Ha azonban egy tartomány hozzáadásra került egy felhasználónév és jelszó konfigurációhoz, a felhasználónév és a jelszó kombináció csak az adott tartományra lesz érvényes. Egy beállított tartomány nem távolítható el egy felhasználónév és jelszó konfigurációból anélkül, hogy előbb eltávolítaná az adott felhasználónév és jelszó teljes konfigurációját – ezután újrakonfigurálhatja a felhasználónév és jelszó kombinációt egy másik tartományral vagy anélkül.

• A jelszót és a tartományt egyaránt tartalmazó bejegyzéseknél módosíthatja a jelszót vagy a tartományt.

• Használja a nincs hitelesítés mind paranccsal eltávolíthatja a felhasználó összes hitelesítési bejegyzését.

A jelszó titkosítási típusának megadása kötelező. Ha egyértelmű szöveges jelszó (írja be a 0 ) van konfigurálva, típusként titkosítva van 6 mielőtt elmenti a futó konfigurációba.

Ha a titkosítás típusát így adja meg 6 vagy 7 , a beírt jelszót a rendszer ellenőrzi egy érvényes típussal 6 vagy 7 jelszóformátumot, és típusként menti 6 vagy 7 ill.

A 6-os típusú jelszavak titkosítása AES titkosítással és egy felhasználó által meghatározott elsődleges kulccsal történik. Ezek a jelszavak viszonylag biztonságosabbak. Az elsődleges kulcs soha nem jelenik meg a konfigurációban. Az elsődleges kulcs ismerete nélkül írja be a következőt: 6 jelszavak használhatatlanok. Ha az elsődleges kulcsot módosítják, a 6-os típusúként mentett jelszót a rendszer újratitkosítja az új elsődleges kulccsal. Ha az elsődleges kulcs konfigurációját eltávolítja, a típus 6 a jelszavakat nem lehet visszafejteni, ami a hívások és a regisztrációk hitelesítési hibáját eredményezheti.

Konfiguráció biztonsági mentésekor vagy a konfiguráció másik eszközre való áttelepítésekor az elsődleges kulcs nem lesz kiírva. Ezért az elsődleges kulcsot újra manuálisan kell konfigurálni.

A titkosított, előre megosztott kulcsok beállításához lásd: Titkosított előre megosztott kulcs beállítása .

A következő figyelmeztető üzenet jelenik meg a titkosítás típusa esetén 7 van konfigurálva. Figyelmeztetés: A konfigurációhoz egy 7-es típusú jelszót adtunk hozzá. A 7-es típusú jelszavak azonban hamarosan megszűnnek. Áttérés támogatott jelszótípusra 6.

Ha a jelzés- és médiacsomagok forráscímét egy adott interfész IPv4 vagy IPv6-cím szeretné kötni, használja a kötni parancsot SIP konfigurációs módban. A kötés letiltásához használja a nem ennek a parancsnak a formáját.

kötni { ellenőrzése| média| mindet } forrás-interfész interface-id { ipv4-cím ipv4-cím| ipv6-címet ipv6-címet }

nem kötni { ellenőrzése| média| mindet } forrás-interfész interface-id { ipv4-cím ipv4-cím| ipv6-címet ipv6-címet }

Alapértelmezett parancs: Az összerendelés le van tiltva.

Parancs mód: SIP konfiguráció (conf-serv-sip) és hangosztály bérlő.

Használati irányelvek: Az Async, az Ethernet, a FastEthernet, a Loopback és a soros (beleértve a Frame Relay) interfészek a SIP alkalmazáson belül.

Ha a kötni A parancs nincs engedélyezve, akkor is az IPv4 -réteg biztosítja a legjobb helyi címet.

A Home Call-Home alapvető konfigurációinak engedélyezéséhez használja a hazatelefonálási jelentés parancsot globális konfigurációs módban.

hazatelefonálási jelentés { névtelen| contact-email-addr } [ http-proxy { ipv4-cím| ipv6-címet| nevet } port port-szám ]

Alapértelmezett parancs: Nincs alapértelmezett viselkedés vagy értékek

Parancs mód: Globális konfiguráció (config)

Használati irányelvek: Miután sikeresen engedélyezte a Call-Home funkciót akár névtelen, akár teljes regisztrációs módban a hazatelefonálási jelentés parancsot, egy leltárüzenet kerül kiküldésre. Ha a Home Call-Home engedélyezve van a teljes regisztrációs módban, a rendszer egy teljes leltárüzenetet küld a teljes regisztrációs módhoz. Ha a Home Call-Home engedélyezve van névtelen módban, névtelen leltárüzenet kerül kiküldésre. Az üzenet részleteivel kapcsolatos további információkért lásd: Riasztási csoport trigger események és parancsok .

A Cisco Unified SRST támogatásának engedélyezéséhez és a híváskezelő tartalék konfigurációs módba lépéséhez használja a következőt: call-manager-fallback parancsot globális konfigurációs módban. A Cisco Unified SRST támogatás letiltásához használja a nem ennek a parancsnak a formáját.

call-manager-fallback

nem call-manager-fallback

Ez a parancs nem tartalmaz argumentumokat vagy kulcsszavakat.

Alapértelmezett parancs: Nincs alapértelmezett viselkedés vagy értékek.

Parancs mód: Globális konfiguráció

Ha engedélyezni szeretné egy társtanúsítvány kiszolgálói, kliens vagy kétirányú identitás-ellenőrzését TLS kézfogás közben, használja a következő parancsot: cn-san érvényesítse hangosztály tls-profil konfigurációs módban. A tanúsítványazonosság-ellenőrzés letiltásához használja a következőt: nem ennek a parancsnak a formáját.

cn-san érvényesítse { szerverre| ügyfél| kétirányú }

nem cn-san érvényesítse { szerverre| ügyfél| kétirányú }

Alapértelmezett parancs: Az identitás-ellenőrzés le van tiltva.

Parancs mód: Hangosztály konfigurációja (config-class)

Használati irányelvek: A kiszolgálóazonosság-érvényesítés egy biztonságos jelzőkapcsolathoz van társítva a globális hálózaton keresztül crypto jelzés és hangosztály tls-profil konfigurációk.

A parancs a következővel bővült: ügyfél és kétirányú kulcsszavakat. A kliens beállítás lehetővé teszi a kiszolgáló számára, hogy hitelesítse az ügyfél azonosságát azáltal, hogy a tanúsítványban szereplő CN- és SAN-állomásneveket összeveti a cn-san FQDN-ek megbízható listájával. A kapcsolat csak akkor jön létre, ha talál egyezést. A cn-san FQDN-ek ezen listája mostantól a kiszolgálótanúsítvány érvényesítésére is szolgál, a munkamenet-cél szervező neve mellett. A kétirányú opció az ügyfél- és a kiszolgálókapcsolatok esetében egyaránt érvényesíti a társ-azonosságot a kettő kombinációjával szerverre és ügyfél módokban. Miután beállította cn-san érvényesítse , a társtanúsítvány identitását minden új TLS -kapcsolat esetén érvényesíti a rendszer.

Ha be szeretné állítani a Teljesen minősített tartománynevek (FQDN) névlistáját a társtanúsítvány szemben a bejövő vagy kimenő TLS kapcsolatokhoz, használja a cn-san parancs hangosztály tls-profile konfigurációs módban. A cn-san tanúsítvány érvényesítési bejegyzésének törléséhez használja a nem ennek a parancsnak a formáját.

cn-san{1-10}fqdn

nem cn-san{1-10}fqdn

Alapértelmezett parancs: Nincsenek beállítva cn-san nevek.

Parancs mód: Hangosztály tls-profil konfigurációs mód (config-class)

Használati irányelvek: A társtanúsítvány -érvényesítéshez használt FQDN-ek legfeljebb tíz TLS -profilhoz vannak rendelve cn-san bejegyzéseket. A TLS -kapcsolat létrehozása előtt a bejegyzések közül legalább egyet egy FQDN-nek kell egyeznie a tanúsítvány Common Name (CN) vagy Subject-Alternate-Name (SAN) mezőkben. A CN- vagy SAN-mezőkben használt bármely tartománygazda megfeleléséhez a cn-san A bejegyzés tartomány helyettesítő karakterrel konfigurálható, szigorúan *.domain-name formátumban (pl. *.cisco.com). A helyettesítő karakterek egyéb használata nem engedélyezett.

Bejövő kapcsolatok esetén a lista a CN és SAN mezők ellenőrzésére szolgál az klienstanúsítvány. Kimenő kapcsolatok esetén a lista a munkamenetcél hosztnévvel együtt érvényesíti a CN és SAN mezőket a kiszolgálótanúsítvány.

A kiszolgálótanúsítványok úgy is ellenőrizhetők, hogy a SIP -munkamenetcél FQDN-t egy CN vagy SAN mezőhöz illesztik.

A tárcsázó peeren használni kívánt kodekek listájának megadásához használja a kodek preferencia parancs hangosztály konfigurációs módban. A funkció letiltásához használja a nem ennek a parancsnak a formáját.

kodek preferencia értékét kodek típusú

nem kodek preferencia értékét kodek típusú

Alapértelmezett parancs: Ha nem adja meg ezt a parancsot, a kodekek nem kerülnek kiválasztásra.

Parancs mód: hangosztály konfigurációja (config-class)

Használati irányelvek: Előfordulhat, hogy a WAN másik végein lévő útválasztóknak meg kell tárgyalniuk a kodek kiválasztását a hálózati tárcsázó társak számára. A kodek preferencia A parancs a kapcsolathoz egyeztetett kodek kiválasztásának preferenciális sorrendjét adja meg. Az alábbi táblázat a hang hasznos terhelési beállításait és a kodekek és csomagolt hangprotokollok alapértelmezett értékeit ismerteti.

Ha a globális figyelőportot szeretné használni a kérések UDP-n keresztüli küldéséhez, használja a következőt: kapcsolat-újrahasználat parancsot sip-ua módban vagy hangosztály bérlői konfigurációs módban. A letiltáshoz használja a lehetőséget nem ennek a parancsnak a formáját.

kapcsolat-újrahasználat { via-port| rendszert }

nem kapcsolat-újrahasználat { via-port| rendszert }

Alapértelmezett parancs: A helyi átjáró egy átmeneti UDP portot használ a kérések UDP-n keresztüli küldéséhez.

Parancsmódok: SIP UA konfiguráció (config-sip-ua), hangosztály bérlői konfiguráció (config-class)

Használati irányelvek: A parancs végrehajtása engedélyezi a figyelő port használatát kérések UDP-n keresztüli küldéséhez. A normál, nem biztonságos SIP alapértelmezett figyelőportja 5060, a biztonságos SIP pedig 5061. Konfigurálás lehetőségre listen-port [nem biztonságos| biztonságos] port parancs hangszolgáltatásban a voip > sip konfigurációs módban a globális UDP port módosításához.

Az alkalmazáshoz hozzárendelt CPU -kvóta vagy -egység módosításához használja a cpu parancsot egyéni alkalmazás-erőforrásprofil-konfigurációs módban. Az alkalmazás által biztosított CPU -kvóta visszaállításához használja a nem ennek a parancsnak a formáját.

cpu egység

nem cpu egység

Alapértelmezett parancs: Az alapértelmezett CPU a platformtól függ.

Parancs mód: Egyéni alkalmazás-erőforrásprofil-konfiguráció (config-app-resource-profile-custom)

Használati irányelvek: A CPU -egység az alkalmazás által lefoglalt minimális CPU -egység. Az összes CPU -egység a céleszközön mért normalizált CPU -egységeken alapul.

Az egyes alkalmazáscsomagokon belül egy alkalmazás-specifikus erőforrásprofil található, amely meghatározza az alkalmazáshoz szükséges CPU -terhelést, a memóriaméretet és az alkalmazáshoz szükséges virtuális CPU-k (vCPU-k) számát. Ezzel a paranccsal módosíthatja az erőforrások hozzárendelését az egyéni erőforrásprofil adott folyamataihoz.

Az alkalmazáscsomagban megadott fenntartott erőforrások egyéni erőforrásprofil beállításával módosíthatók. Csak a CPU, a memória és a vCPU erőforrások módosíthatók. Az erőforrás-módosítások életbe lépéséhez állítsa le és inaktiválja az alkalmazást, majd aktiválja és indítsa újra.

Az erőforrásértékek alkalmazásspecifikusak, és ezen értékek módosításának biztosítania kell, hogy az alkalmazás megbízhatóan tudjon futni a módosításokkal együtt.

Egy Cisco IOS Session Initiation Protocol (SIP) időosztásos multiplexelő (TDM) átjáró, egy Cisco Unified Border Element (Cisco UBE) vagy Cisco Unified Communications Manager Express (Cisco Unified CME) konfigurálása úgy, hogy SIP regisztrációs üzenetet küldjön, amikor a UP állapot, használja a hitelesítő adatokat parancsot SIP UA konfigurációs módban vagy hangosztály bérlői konfigurációs módban. A SIP kivonat hitelesítő adatainak letiltásához használja a nem ennek a parancsnak a formáját.

hitelesítő adatokat { dhcp| számot számot felhasználónevet felhasználónevet } jelszót { 0| 6| 7 } jelszót birodalmat birodalmat

nem hitelesítő adatokat { dhcp| számot számot felhasználónevet felhasználónevet } jelszót { 0| 6| 7 } jelszót birodalmat birodalmat

Alapértelmezett parancs: A SIP kivonat hitelesítő adatai le vannak tiltva.

Parancs mód: SIP UA konfiguráció (config-sip-ua) és hangosztály bérlői konfiguráció (config-class).

Használati irányelvek: A következő konfigurációs szabályok érvényesek, ha a hitelesítő adatok engedélyezve vannak:

• Csak egy jelszó érvényes az összes tartománynévhez. Az újonnan beállított jelszó felülír minden korábban beállított jelszót.

• A jelszó mindig titkosított formátumban jelenik meg, amikor a hitelesítő adatokat parancs konfigurálva van, és a mutatják running-config parancsot használják.

A dhcp A kulcsszó a parancsban azt jelenti, hogy az elsődleges szám DHCP -n keresztül érhető el, és a Cisco IOS SIP TDM átjáró, a Cisco UBE vagy a Cisco Unified CME, amelyen a parancs engedélyezett, ezt a számot használja a fogadott elsődleges szám regisztrálásához vagy regisztrációjának törléséhez.

A jelszó titkosítási típusának megadása kötelező. Ha egyértelmű szöveges jelszó (írja be a 0 ) van konfigurálva, típusként titkosítva van 6 mielőtt elmenti a futó konfigurációba.

Ha a titkosítás típusát így adja meg 6 vagy 7 , a beírt jelszót a rendszer ellenőrzi egy érvényes típussal 6 vagy 7 jelszóformátumot, és típusként menti 6 vagy 7 ill.

A 6-os típusú jelszavak titkosítása AES titkosítással és egy felhasználó által meghatározott elsődleges kulccsal történik. Ezek a jelszavak viszonylag biztonságosabbak. Az elsődleges kulcs soha nem jelenik meg a konfigurációban. Az elsődleges kulcs ismerete nélkül írja be a következőt: 6 jelszavak használhatatlanok. Ha az elsődleges kulcsot módosítják, a 6-os típusúként mentett jelszót a rendszer újratitkosítja az új elsődleges kulccsal. Ha az elsődleges kulcs konfigurációját eltávolítja, a típus 6 a jelszavakat nem lehet visszafejteni, ami a hívások és a regisztrációk hitelesítési hibáját eredményezheti.

Konfiguráció biztonsági mentésekor vagy a konfiguráció másik eszközre való áttelepítésekor az elsődleges kulcs nem lesz kiírva. Ezért az elsődleges kulcsot újra manuálisan kell konfigurálni.

A titkosított, előre megosztott kulcsok beállításához lásd: Titkosított előre megosztott kulcs beállítása .

Figyelmeztetés: A konfigurációhoz egy 7-es típusú jelszót adtunk hozzá. A 7-es típusú jelszavak azonban hamarosan megszűnnek. Áttérés támogatott jelszótípusra 6.

A YANG-ban nem konfigurálható ugyanaz a felhasználónév két különböző tartományban.

A Cisco Unified Border Element (CUBE) által kínált SRTP rejtjelkészlet preferenciájának megadásához az SDP-ben és válaszban, használja a crypto parancs hangosztály konfigurációs módban. A funkció letiltásához használja a nem ennek a parancsnak a formáját.

crypto preferencia rejtjelkészlet

nem crypto preferencia rejtjelkészlet

Alapértelmezett parancs: Ha ez a parancs nincs beállítva, az alapértelmezett viselkedés az, hogy az srtp-cipher csomagokat a következő beállítási sorrendben ajánlja fel:

• AEAD_ AES_ 256_ GCM

• AEAD_ AES_ 128_ GCM

• AES_CM_128_HMAC_SHA1_80

• AES_ CM_ 128_ HMAC_ SHA1_ 32

Parancs mód: hangosztály srtp-crypto (config-class)

Használati irányelvek: Ha módosítja egy már beállított titkosítási csomag beállítását, a beállítás felül lesz írva.

A Rivest, Shamir és Adelman (RSA) kulcspárok létrehozásához használja a rsa titkosítási kulcsot generál parancsot globális konfigurációs módban.

rsa titkosítási kulcsot generál [ { általános-kulcsok| használati kulcsok| aláírását| titkosítás } ] [ címkét kulcs-címke ] [ exportálható ] [ modulus modulus-méretű ] [ tárolására eszköznév : ] [ redundancia on eszköznév : ]

Alapértelmezett parancs: Nem léteznek RSA kulcspárok.

Parancs mód: Globális konfiguráció (config)

Használati irányelvek: Használja a rsa titkosítási kulcsot generál paranccsal generálhat RSA kulcspárokat a Cisco eszközhöz (például útválasztóhoz).

Az RSA -kulcsok – egy nyilvános RSA -kulcs és egy privát RSA -kulcs – párban jönnek létre.

Ha az útválasztó már rendelkezik RSA -kulcsokkal a parancs kiadásakor, a rendszer figyelmezteti, és kéri, hogy cserélje ki a meglévő kulcsokat új kulcsokra.

A rsa titkosítási kulcsot generál parancs nincs mentve az útválasztó konfigurációjában; azonban az ezzel a paranccsal generált RSA -kulcsokat a rendszer a privát konfigurációba menti az NVRAM-ban (amely soha nem jelenik meg a felhasználó számára, és nem készül biztonsági másolat egy másik eszközre), amikor a következő konfigurációt NVRAM-ba írják.

• Különleges használati kulcsok : Ha speciális használati kulcsokat hoz létre, akkor két pár RSA -kulcs generálódik. Az egyik párt bármely olyan IKE (Internet Key Exchange) házirendhez kell használni, amely RSA aláírásokat ad meg hitelesítési módszerként, a másik párt pedig bármely olyan IKE házirendet, amely RSA titkosított kulcsokat ad meg hitelesítési módszerként.

  A CA csak RSA -aláírásokat meghatározó IKE-házirendekkel használható, az RSA-titkosított nonce-okat tartalmazó IKE-házirendekkel nem. (Azonban egynél több IKE-házirendet is megadhat, és az egyik szabályzatban RSA -aláírásokat, egy másikban pedig RSA-titkosított nonce-okat is megadhat.)

  Ha mindkét típusú RSA -hitelesítési módszert szeretné beépíteni az IKE-házirendekbe, akkor érdemes lehet speciális használati kulcsokat létrehozni. A speciális használatú kulcsok esetében nincs szükség szükségtelenül az egyes kulcsokra. (Speciális kulcsok nélkül mindkét hitelesítési módszer egy kulcsot használ, növelve a kulcs kitettségét).

• Általános célú kulcsok : Ha általános célú kulcsokat hoz létre, akkor csak egy pár RSA -kulcs lesz generálva. Ez a pár az RSA aláírásokat vagy az RSA titkosított kulcsokat meghatározó IKE házirendekkel lesz használva. Ezért előfordulhat, hogy egy általános célú kulcspár gyakrabban válik hozzá, mint egy speciális kulcspár.

• Elnevezett kulcspárok : Ha a kulcscímke argumentum segítségével nevezett kulcspárt hoz létre, meg kell adnia a használati kulcsok kulcsszó vagy a általános-kulcsok kulcsszóra. A nevesített kulcspárok lehetővé teszik, hogy több RSA -kulcspárral rendelkezzen, így a Cisco IOS -szoftver minden identitástanúsítványhoz más-más kulcspárt tarthat fenn.

• Modulus hossza : Amikor RSA -kulcsokat generál, a rendszer felkér egy modulushossz megadására. Minél hosszabb a modulus, annál erősebb a biztonság. Egy hosszabb modul létrehozása azonban tovább tart (a mintaidőket lásd az alábbi táblázatban), és hosszabb ideig tart a használata.

  2. táblázat Minta idők modulus hossza szerint RSA -kulcsok generálásához

  Útválasztó	360 bites	512 bites	1024 bites	2048 bit (maximum)
  Cisco 2500	11 másodpercig	20 másodperc	4 perc 38 másodperc	Több mint 1 óra
  Cisco 4700	Kevesebb mint 1 másodperc	1 másodperc	4 másodpercig	50 másodpercig

  A Cisco IOS szoftver nem támogatja a 4096 bitnél nagyobb modulust. Az 512 bitnél kisebb hosszúság általában nem javasolt. Bizonyos helyzetekben előfordulhat, hogy a rövidebb modulus nem működik megfelelően az IKE-vel, ezért javasoljuk, hogy legalább 2048 bites modulust használjon.

  További korlátozások lehetnek érvényben, ha az RSA -kulcsokat kriptográfiai hardver állítja elő. Például amikor az RSA kulcsokat a Cisco VPN Services Port Adapter (VSPA) állítja elő, az RSA kulcsmodulusnak legalább 384 bitesnek kell lennie, és 64 többszörösének kell lennie.

• Tárolási hely megadása RSA -kulcsokhoz: Amikor kiadja a rsa titkosítási kulcsot generál parancsot a tárolására eszköznév : kulcsszó és argumentum, az RSA -kulcsok a megadott eszközön lesznek tárolva. Ez a helyszín felülír minden helyet titkosítási kulcs tárolására parancs beállításait.

• Eszköz megadása RSA -kulcs-generáláshoz : Megadhatja azt az eszközt, ahol az RSA -kulcsok generálásra kerülnek. A támogatott eszközök közé tartozik az NVRAM, a helyi lemezek és az USB tokenek. Ha az útválasztó rendelkezik konfigurált és elérhető USB -tokennel, az USB -token tárolóeszköz mellett titkosítási eszközként is használható. Az USB -token kriptográfiai eszközként történő használata lehetővé teszi az RSA -műveletek, például a kulcsgenerálás, az aláírás és a hitelesítő adatok hitelesítése a tokenen. A privát kulcs soha nem hagyja el az USB tokent, és nem exportálható. A nyilvános kulcs exportálható.

  Az RSA -kulcsok egy konfigurált és elérhető USB -token generálhatók, a on eszköznév : kulcsszó és argumentum. Az USB -jogkivonatokon található kulcsokat a rendszer a létrehozásukkor állandó tokentárolóra menti. Az USB -token generálható kulcsok számát a rendelkezésre álló tárhely korlátozza. Ha USB -tokenről próbál meg kulcsokat generálni, és az megtelt, a következő üzenet jelenik meg:

  % Error in generating keys:no available resources 

  A kulcs törlése azonnal eltávolítja a tokenben tárolt kulcsokat a perzisztens tárhelyről. (A nem jogkivonatban található kulcsokat a rendszer nem token tárolóhelyekre menti, illetve törli onnan, amikor másolatot vagy hasonló parancsot adnak ki).

• Az RSA kulcs redundancia generálásának meghatározása egy eszközön : Redundanciát csak akkor adhat meg a meglévő kulcsokhoz, ha azok exportálhatók.

A hitelesítésszolgáltató (CA) hitelesítéséhez (a CA tanúsítványának beszerzésével) használja a következőt: crypto pki hitelesíteni parancsot globális konfigurációs módban.

crypto pki hitelesíteni nevet

Alapértelmezett parancs: Nincs alapértelmezett viselkedés vagy értékek.

Parancs mód: Globális konfiguráció (config)

Használati irányelvek: Erre a parancsra akkor van szükség, amikor először konfigurálja a CA-támogatást az útválasztón.

Ez a parancs a CA nyilvános kulcsát tartalmazó önaláírt tanúsítvány beszerzésével hitelesíti a CA-t az útválasztó felé. Mivel a CA aláírja a saját tanúsítványát, manuálisan kell hitelesítenie a CA nyilvános kulcsát úgy, hogy felveszi a kapcsolatot a CA adminisztrátorral, amikor kiadja ezt a parancsot.

Ha Router Advertisements (RA) módot használ (a beiratkozás parancsot) amikor kiadja a crypto pki hitelesíteni parancsot, akkor a hitelesítésszolgáltató a regisztrációs jogosultságot aláíró és titkosítási tanúsítványokat küldi vissza, és a CA-tanúsítvány adja vissza.

Ezt a parancsot nem menti a rendszer az útválasztó konfigurációjába. Azonban. a fogadott CA (és RA) tanúsítványokba beágyazott nyilvános kulcsokat a rendszer a Rivest, Shamir és Adelman (RSA) nyilvános kulcsrekord részeként menti a konfigurációba (más néven „RSA nyilvános kulcslánc”).

Ha a CA nem válaszol egy időtúllépési időn belül a parancs kiadása után, a terminálvezérlés visszaadásra kerül, így az elérhető marad. Ha ez történik, újra meg kell adnia a parancsot. A Cisco IOS szoftver nem ismeri fel a 2049 éven túli CA-tanúsítvány lejárati dátumait. Ha a CA-tanúsítvány érvényességi ideje úgy van beállítva, hogy a 2049-es év után járjon le, a következő hibaüzenet meg a CA kiszolgálóval történő hitelesítés megkísérlésekor: hiba a tanúsítvány lekérésében :incomplete chain Ha ehhez hasonló hibaüzenet kap, ellenőrizze a CA-tanúsítvány lejárati dátum . Ha a CA-tanúsítvány lejárati dátum 2049 után van beállítva, akkor legalább egy évvel csökkentenie kell a lejárati dátum .

Ha manuálisan szeretne importálni egy tanúsítványt TFTP -n keresztül, vagy kivágás és beillesztés módszerrel a terminálon, használja a crypto pki importálásra parancsot globális konfigurációs módban.

crypto pki importálásra nevet tanúsítványt

Alapértelmezett parancs: Nincs alapértelmezett viselkedés vagy értékek

Parancs mód: Globális konfiguráció (config)

Használati irányelvek: Meg kell adnia a crypto pki importálás kétszer adja ki a parancsot, ha használati kulcsot (aláírási és titkosítási kulcsot) használ. A parancs első megadásakor az egyik tanúsítvány be lesz illesztve az útválasztóba; a parancs második kiadásakor a másik tanúsítványt a rendszer beilleszti az útválasztóba. (Nem számít, melyik tanúsítványt illeszti be először.)

Az útválasztó által használni kívánt megbízhatósági pont deklarálásához használja a crypto pki Trustpoint parancsot globális konfigurációs módban. A bizalmi ponthoz tartozó összes identitásinformáció és tanúsítvány törléséhez használja a nem ennek a parancsnak a formáját.

crypto pki Trustpoint nevet redundancia

nem crypto pki Trustpoint nevet redundancia

Alapértelmezett parancs: Az útválasztó nem ismer fel bizalmi pontot, amíg nem deklarál egy megbízhatósági pontot ezzel a paranccsal. Az útválasztó egyedi azonosítókat használ az Online Certificate Status Protocol (OCSP) kiszolgálókkal folytatott kommunikáció során, a hálózaton beállítottnak megfelelően.

Parancs mód: Globális konfiguráció (config)

Használati irányelvek:

Bizalmi pontok deklarálása

Használja a crypto pki Trustpoint parancs egy bizalmi pont deklarálásához, amely lehet egy önaláírt gyökértanúsítvány (CA) vagy egy alárendelt CA. Kiadása a crypto pki Trustpoint parancs ca-trustpoint konfigurációs módba helyezi Önt.

A megbízhatósági pont jellemzőit a következő alparancsok segítségével adhatja meg:

• crl —A tanúsítvány-visszavonási lista (CRL) lekérdezése annak ellenőrzése érdekében, hogy a társ tanúsítványát nem vonták-e vissza.

• alapértelmezett (ca-trustpoint) — Visszaállítja a ca-trustpoint konfigurációs mód alparancsok értékét az alapértelmezett értékükre.

• beiratkozás —A regisztrációs paramétereket adja meg (nem kötelező).

• beiratkozás http-proxy — HTTP-n keresztül éri el a CA-t a proxykiszolgáló.

• beiratkozás önjelölt —Az önaláíró regisztrációt adja meg (nem kötelező).

• egyezik meg tanúsítványt —Egy tanúsítványalapú hozzáférés-vezérlési listát (ACL) társít a következőhöz: crypto kb tanúsítványt térképet parancsot.

• ocsp disable-nonce — Meghatározza, hogy az útválasztó nem küld egyedi azonosítót vagy nonce-t az OCSP kommunikáció során.

• elsődleges —Egy megadott megbízhatósági pontot rendel az útválasztó elsődleges bizalmi pontjaként.

• gyökér — Meghatározza a TFTP -t a CA-tanúsítvány lekéréséhez, és megad egy nevet a kiszolgálónak és egy nevet a CA-tanúsítvány tároló fájlnak is.

Egyedi azonosítók használatának megadása

Ha OCSP-t használ visszavonási módszerként, akkor a rendszer alapértelmezés szerint egyedi azonosítókat vagy nonces-okat küld el az OCSP-kiszolgálóval folytatott peer-kommunikáció során. Az egyedi azonosítók használata az OCSP szerver kommunikáció során biztonságosabb és megbízhatóbb kommunikációt tesz lehetővé. Azonban nem minden OCSP-kiszolgáló támogatja az egyedi fogsorok használatát; további információkért lásd az OCSP kézikönyvét. Az egyedi azonosítók OCSP-kommunikáció közbeni használatának letiltásához használja a ocsp disable-nonce alparancs.

A hitelesítésszolgáltató (CA) tanúsítványcsomagnak a nyilvános kulcsú infrastruktúra (PKI) bizalmi poolba történő manuális importálásához (letöltéséhez) a meglévő CA-csomag frissítése vagy cseréje érdekében használja a crypto pki trustpool import parancsot globális konfigurációs módban. A beállított paraméterek bármelyikének eltávolításához használja a nem ennek a parancsnak a formáját.

crypto pki trustpool importálásra tiszta [ terminálra| url url ]

nem crypto pki trustpool importálásra tiszta [ terminálra| url url ]

Alapértelmezett parancs: A PKI-trustpool funkció engedélyezve van. Az útválasztó a beépített CA-tanúsítvány használja a PKI-trövidítménytárban, amelyet a Cisco automatikusan frissít.

Parancs mód: Globális konfiguráció (config)

A biztonsági fenyegetések, valamint az ellenük való védekezést segítő kriptográfiai technológiák folyamatosan változnak. A Cisco legújabb titkosítási ajánlásaival kapcsolatos további információkért lásd: Következő generációs titkosítás (NGE) fehér papírt.

A PKI bizalmi pool tanúsítványok automatikusan frissülnek a Cisco kínálatából. Ha a PKI bizalmi pool tanúsítványok nem aktuálisak, használja a crypto pki trustpool import paranccsal frissítheti őket egy másik helyről.

A url Az argumentum a CA URL fájlrendszerét adja meg vagy módosítja. Az alábbi táblázat felsorolja az elérhető URL fájlrendszereket.

3. táblázat. URL fájlrendszerek

Fájlrendszer	Leírás
archívum:	Importálás az archív fájlrendszerből.
cns:	Importálás a fürtnévtér (CNS) fájlrendszerből.
lemez0:	Importálás a disc0 fájlrendszerből.
lemez1:	Importálás a disc1 fájlrendszerből.
ftp:	Importálás az FTP fájlrendszerből.
http:	Importálás a HTTP fájlrendszerből. Az URL -címnek a következő formátumokban kell lennie: http:// CAnév:80 , hol CAname a tartománynévrendszer (DNS) http:// ipv4-cím :80. Például: http://10.10.10.1:80. http:// [ipv6-cím]:80 . Például: http://[2001:DB8:1:1::1]:80. Az IPv6-cím hexadecimális jelöléssel kell megadni, és zárójelek közé kell tenni az URL-ben.
https:	Importálás a HTTPS fájlrendszerből. Az URL -címnek a HTTP-vel azonos formátumot kell használnia: fájlrendszer-formátumok.
null:	Importálás null fájlrendszerből.
nvram:	Importálás NVRAM fájlrendszerből.
babakocsi:	Importálás Parameter Random-access Memory (PRAM) fájlrendszerből.
rcp:	Importálás a távoli másolási protokoll (rcp) fájlrendszerből.
scp:	Importálás a biztonságos másolási protokoll (scp) fájlrendszerből.
snmp:	Importálás az Simple Network Management Protocol (SNMP) protokollból.
rendszer:	Importálás a rendszerfájlrendszerből.
tar:	Importálás a UNIX tarfájl .
tftp:	Importálás a TFTP fájlrendszerből.   Az URL -nek a feladóban kell lennie: tftp:// CAnév/fájlspecifikáció .
tmpsys:	Importálás a Cisco IOS tmpsys fájlrendszerből.
unix:	Importálás UNIX fájlrendszerből.
xmodem:	Importálás az xmodem egyszerű fájlátvitel protokoll rendszerből.
ymodem:	Importálás az ymodem egyszerű fájlátvitel protokoll rendszerből.

Azonosításához a Trustpoint trustpoint-name a Transport Layer Security (TLS) (TLS) kézfogás során használt kulcsszó és argumentum, amely megfelel a távoli eszköz címének, használja a crypto jelzés parancsot SIP felhasználó ügynök (UA) konfigurációs módban. Az alapértelmezett érték visszaállításához Trustpoint karakterlánchoz használja a nem ennek a parancsnak a formáját.

crypto jelzés { alapértelmezett| remote-addr ip-címet alhálózati-maszk } [ tls-profil címkét| Trustpoint trustpoint-name ] [ cn-san-validation szerverre ] [ ügyfél-vtp trustpoint-name ] [ ecdsa-cipher| görbeméret 384| szigorúan titkosított ]

nem crypto jelzés { alapértelmezett| remote-addr ip-címet alhálózati-maszk } [ tls-profil címkét| Trustpoint trustpoint-name ] [ cn-san-validation szerverre ] [ ügyfél-vtp trustpoint-name ] [ ecdsa-cipher| görbeméret 384| szigorúan titkosított ]

Alapértelmezett parancs: A titkosítási jelzés parancs le van tiltva.

Parancs mód: SIP UA konfiguráció (sip-ua)

Használati irányelvek: A Trustpoint trustpoint-name A kulcsszó és az argumentum a Cisco IOS PKI-parancsokkal végzett regisztrációs folyamat részeként generált CUBE-tanúsítványra utal.

Ha egyetlen tanúsítvány van konfigurálva, akkor azt az összes távoli eszköz használja, és konfigurálja a alapértelmezett kulcsszóra.

Ha több tanúsítványt használ, akkor azok hozzárendelhetők távoli szolgáltatásokhoz a következőt használva: remote-addr érv az egyes bizalmi pontokhoz. A remote-addr és az alapértelmezett argumentumok együtt használhatók az összes szolgáltatás lefedéséhez, ha szükséges.

Az alapértelmezett titkosítási csomag ebben az esetben a következő, a CUBE SSL -rétege által támogatott készlet: TLS_ RSA_ WITH_ RC4_ 128_ MD5 TLS_ RSA_ WITH_ AES_ 128_ CBC_ SHA TLS_ DHE_ RSA_ WITH_ AES_ 128_ CBC_ SHA1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ ECDHE_ RSA_ WITH_ AES_ 256_ GCM_ SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ ECDHE_ ECDSA_ WITH_ AES_ 256_ GCM_ SHA384

A kulcsszó cn-san-validate szerverre kliensoldali SIP/ TLS kapcsolatok létesítésekor engedélyezi a kiszolgáló azonosságának ellenőrzését a tanúsítvány CN és SAN mezőin keresztül. A kiszolgálótanúsítvány CN és SAN mezőinek érvényesítése biztosítja, hogy a kiszolgálóoldali tartomány érvényes entitás legyen. Amikor biztonságos kapcsolat hoz létre egy SIP kiszolgálóval, a CUBE a TLS munkamenet létrehozása előtt ellenőrzi a konfigurált munkamenet- tartomány neve a kiszolgáló tanúsítványában lévő CN/SAN mezők alapján. Miután beállította cn-san-validate szerverre , a kiszolgáló azonosságának ellenőrzése minden új TLS -kapcsolat esetén megtörténik.

A tls-profil opció társítja a társított TLS házirend-konfigurációkat hangosztály tls-profil konfigurációt. A közvetlenül elérhető TLS házirend-beállításokon kívül a crypto jelzés parancs, a tls-profil magában foglalja a sni küldeni opciót.

sni küldeni engedélyezi a Kiszolgálónév-kijelzést (SNI), egy TLS -bővítményt, amely lehetővé teszi a TLS -ügyfél számára, hogy jelezze annak a kiszolgálónak a nevét, amelyhez csatlakozni próbál a kezdeti TLS -kézfogási folyamat során. A hello ügyfél csak a kiszolgáló teljesen minősített DNS -állomásnevét küldi el. Az SNI nem támogatja az IPv4 és IPv6 címek használatát az ügyfél hello mellékben. Miután a TLS klienstől a kiszolgáló neve , a kiszolgáló a megfelelő tanúsítványt használja a következő TLS kézfogási folyamatban. Az SNI-hez a TLS 1.2-es verziója szükséges.

A TLS -házirend funkciói csak a következőn keresztül lesznek elérhetők: a hangosztály tls-profil konfigurációt. A crypto jelzés parancs továbbra is támogatja a korábban meglévő TLS titkosítási opciókat. Használhatja akár a hangosztály tls-profil címkét vagy crypto jelzés parancsot egy megbízhatósági pont konfigurálásához. Javasoljuk, hogy használja a hangosztály tls-profil címkét parancsot a TLS -profil-konfigurációk végrehajtásához.