Per abilitare il modello di controllo degli accessi di autenticazione, autorizzazione e contabilità (AAA), utilizzare il nuovo modello aaa comando in modalità configurazione globale. Per disabilitare il modello di controllo degli accessi AAA, utilizzare il no forma di questo comando.

nuovo modello aaa

no nuovo modello aaa

Questo comando non ha argomenti o parole chiave.

Comando predefinito: AAA non è abilitato.

Modalità di comando: Configurazione globale (config)

Linee guida per l'utilizzo: Questo comando abilita il sistema di controllo accessi AAA.

Per impostare l’autenticazione, autorizzazione e contabilità (AAA) al momento dell’accesso, utilizzare login di autenticazione aaa comando in modalità configurazione globale. Per disabilitare l'autenticazione con AAA, utilizzare no forma di questo comando.

login autenticazione aaa {default |list-name } metodo1 [metodo2...]

nessunlogin di autenticazione aaa {default |list-name } metodo1 [metodo2...]

Comando predefinito: Autenticazione AAA al login disabilitata.

Modalità di comando: Configurazione globale (config)

Linee guida per l'utilizzo: Se il predefinito parola chiave non impostata, è selezionato solo il database utente locale. Questo ha lo stesso effetto del seguente comando:

aaa authentication login default local

Sulla console, l'accesso ha esito positivo senza controlli di autenticazione se predefinito parola chiave non impostata.

I nomi di elenco predefiniti e opzionali creati con login di autenticazione aaa comando utilizzato con autenticazione di accesso comando.

Creare un elenco immettendo login di autenticazione aaa comando del metodo list-name per un determinato protocollo. L'argomento list-name è la stringa di caratteri utilizzata per assegnare un nome all'elenco di metodi di autenticazione attivati quando un utente esegue l'accesso. L'argomento del metodo identifica l'elenco di metodi che l'algoritmo di autenticazione tenta, nella sequenza specificata. La sezione "Metodi di autenticazione non utilizzabili per l'argomento dei nomi di elenco" elenca i metodi di autenticazione non utilizzabili per l'argomento dei nomi di elenco e la tabella seguente descrive le parole chiave del metodo.

Per creare un elenco predefinito utilizzato se non viene assegnato alcun elenco a una linea, utilizzare autenticazione di accesso comando con l'argomento predefinito seguito dai metodi che si desidera utilizzare nelle situazioni predefinite.

La password viene richiesta solo una volta per autenticare le credenziali utente e, in caso di errori dovuti a problemi di connettività, sono possibili più tentativi tramite i metodi di autenticazione aggiuntivi. Tuttavia, il passaggio al metodo di autenticazione successivo si verifica solo se il metodo precedente restituisce un errore, non se non riesce. Per garantire che l'autenticazione abbia esito positivo anche se tutti i metodi restituiscono un errore, specificare nessuno come metodo finale nella riga di comando.

Se l'autenticazione non è impostata specificamente per una linea, l'impostazione predefinita consiste nel negare l'accesso e non viene eseguita alcuna autenticazione. Utilizzare il più sistema:running-config comando per visualizzare gli elenchi dei metodi di autenticazione attualmente configurati.

Metodi di autenticazione che non possono essere utilizzati per l'argomento dei nomi di elenco

I metodi di autenticazione che non possono essere utilizzati per l'argomento list-name sono i seguenti:

• ospite automatico

• abilita

• ospite

• se autenticato

• se necessario

• krb5

• istanza krb

• krb-telnet

• riga

• locale

• nessuno

• raggio

• rcmd

• tacchi

• tacacsplus

Nella tabella seguente, i metodi gruppo raggio, gruppo tacacs +, gruppo ldap e gruppo gruppo-nome si riferiscono a una serie di server RADIUS o TACACS+ precedentemente definiti. Utilizzare i comandi radius-server host e tacacs-server host per configurare i server host. Utilizzare il raggio del server di gruppo aaa, i comandi ldap del server di gruppo aaa e tacacs+ del server di gruppo aaa per creare un determinato gruppo di server.

La tabella seguente descrive le parole chiave del metodo.

Parola chiave	Descrizione
nome gruppo cache	Utilizza un gruppo di server cache per l'autenticazione.
abilita	Consente di abilitare la password per l'autenticazione. Questa parola chiave non può essere utilizzata.
nome gruppo	Utilizza un sottoinsieme di server RADIUS o TACACS+ per l'autenticazione come definito da raggio server gruppo aaa o tacacs gruppo aaa+ comando.
gruppoldap	Utilizza l'elenco di tutti i server LDAP (Lightweight Directory Access Protocol) per l'autenticazione.
raggio di gruppo	Utilizza l'elenco di tutti i server RADIUS per l'autenticazione.
tacacs+ di gruppo	Utilizza l'elenco di tutti i server TACACS+ per l'autenticazione.
krb5	Utilizza Kerberos 5 per l'autenticazione.
krb5-telnet	Utilizza il protocollo di autenticazione Kerberos 5 Telnet quando si utilizza Telnet per la connessione al router.
riga	Utilizza la password della linea per l'autenticazione.
locale	Utilizza il database dei nomi utente locali per l'autenticazione.
caso locale	Utilizza l'autenticazione del nome utente locale sensibile a maiuscole e minuscole.
nessuno	Non utilizza alcuna autenticazione.
scadenza passwd	Consente di impostare la durata della password in un elenco di autenticazione locale.   Il radio-server vsa inviare l'autenticazione è richiesto per effettuare il scadenza passwd lavoro con parole chiave.

Per impostare i parametri che limitano l'accesso dell'utente a una rete, utilizzare autorizzazione aaa comando in modalità configurazione globale. Per rimuovere i parametri, utilizzare no forma di questo comando.

aaaaautorizzazione { proxy di autenticazione|cache|comandilivello |comandi di configurazione|configurazione|console|esche|ipmobile|multicentrico|rete|policy-if|risconti attivi|raggio-proxy|accesso inverso|servizio abbonato|modello} {}predefinito|nome elenco } [metodo1 [metodo 2... ]]

noaaaaautorizzazione { proxy di autenticazione|cache|comandilivello |comandi di configurazione|configurazione|console|esche|ipmobile|multicentrico|rete|policy-if|risconti attivi|raggio-proxy|accesso inverso|servizio abbonato|modello} {}predefinito|nome elenco } [metodo1 [metodo 2... ]]

Comando predefinito: L'autorizzazione è disabilitata per tutte le azioni (equivalente alla parola chiave metodo nessuno ).

Modalità di comando: Configurazione globale (config)

Linee guida per l'utilizzo: Utilizzare il comando di autorizzazione aaa per abilitare l'autorizzazione e creare liste di metodi nominati, che definiscono i metodi di autorizzazione che possono essere utilizzati quando un utente accede alla funzione specificata. Gli elenchi di metodi per l'autorizzazione definiscono le modalità di esecuzione dell'autorizzazione e la sequenza di esecuzione di tali metodi. Una lista di metodi è una lista denominata che descrive i metodi di autorizzazione (come RADIUS o TACACS+) che devono essere utilizzati in sequenza. Gli elenchi di metodi consentono di designare uno o più protocolli di sicurezza da utilizzare per l'autorizzazione, garantendo così un sistema di backup in caso di errore del metodo iniziale. Il software Cisco IOS utilizza il primo metodo elencato per autorizzare gli utenti per servizi di rete specifici; se tale metodo non risponde, il software Cisco IOS seleziona il metodo successivo elencato nell'elenco dei metodi. Questo processo continua fino a quando non si riesce a comunicare con successo con un metodo di autorizzazione elencato o fino a quando non si esauriscono tutti i metodi definiti.

Il software Cisco IOS tenta l'autorizzazione con il metodo elencato successivo solo quando non è presente alcuna risposta dal metodo precedente. Se l'autorizzazione non riesce in qualsiasi momento di questo ciclo, ossia se il server di sicurezza o il database del nome utente locale risponde negando i servizi dell'utente, il processo di autorizzazione si interrompe e non vengono tentati altri metodi di autorizzazione.

Se il comando di autorizzazione aaa per una particolare tipologia di autorizzazione viene emesso senza una specifica lista di metodo denominata, l'elenco di metodi predefiniti viene applicato automaticamente a tutte le interfacce o linee (se si applica questa tipologia di autorizzazione) ad eccezione di quelle che hanno una lista di metodi denominata esplicitamente definita. Un elenco di metodi definiti sostituisce l'elenco dei metodi predefiniti. Se non viene definito alcun elenco di metodi predefiniti, non viene effettuata alcuna autorizzazione. L'elenco dei metodi di autorizzazione predefiniti deve essere utilizzato per eseguire l'autorizzazione in uscita, ad esempio per autorizzare il download di pool IP dal server RADIUS.

Utilizzare il comando di autorizzazione aaa per creare una lista inserendo i valori per il nome della lista e gli argomenti del metodo, dove il nome della lista è qualsiasi stringa di caratteri utilizzata per nominare questa lista (esclusi tutti i nomi del metodo) e il metodo identifica la lista dei metodi di autorizzazione provati nella sequenza specificata.

Il comando di autorizzazione aaa supporta 13 elenchi di metodi separati. Ad esempio:

aaa metodologia di configurazione autorizzazione list1 group radius

aaa metodologia di configurazione autorizzazione list2 group radius

...

aaa metodologia di configurazione autorizzazione 13 raggio di gruppo

Nella tabella seguente, i metodi group-name, group ldap, group radius e group tacacs + si riferiscono a una serie di server RADIUS o TACACS+ precedentemente definiti. Utilizzare i comandi radius-server host e tacacs-server host per configurare i server host. Utilizzare i comandi aaa group server radius , aaa group server ldap e aaa group server tacacs+ per creare un determinato gruppo di server.

Il software Cisco IOS supporta i seguenti metodi di autorizzazione:

• Gruppi server cache: il router consulta i gruppi server cache per autorizzare diritti specifici per gli utenti.

• Se autenticato --L'utente può accedere alla funzione richiesta a condizione che l'utente sia stato autenticato correttamente.

• Locale: il router o il server di accesso consulta il database locale, come definito dal comando del nome utente, per autorizzare diritti specifici per gli utenti. Solo una serie limitata di funzioni può essere controllata attraverso il database locale.

• Nessuno --Il server di accesso alla rete non richiede informazioni sull'autorizzazione; l'autorizzazione non viene eseguita su questa linea o interfaccia.

• RADIUS -- Il server di accesso alla rete richiede informazioni di autorizzazione dal gruppo di server di sicurezza RADIUS. L'autorizzazione RADIUS definisce diritti specifici per gli utenti associando attributi, memorizzati in un database sul server RADIUS, all'utente appropriato.

• TACACS+ --Il server di accesso alla rete scambia le informazioni di autorizzazione con il demone di sicurezza TACACS+. L'autorizzazione TACACS+ definisce diritti specifici per gli utenti associando coppie di attributi-valore (AV), memorizzate in un database sul server di sicurezza TACACS+, con l'utente appropriato.

Per consentire le connessioni tra tipi specifici di endpoint in una rete VoIP, utilizzare consenti connessioni comando in modalità di configurazione del servizio vocale. Per rifiutare tipi specifici di connessioni, utilizzare il no forma di questo comando.

consentire connessionidal tipoaltipo

nessunaconnessione consentitadal tipoaltipo

Comando predefinito: Le connessioni da SIP a SIP sono disabilitate per impostazione predefinita.

Modalità di comando: Configurazione servizio vocale (config-voi-serv)

Linee guida per l'utilizzo: Questo comando viene utilizzato per consentire le connessioni tra tipi specifici di endpoint in un gateway da IP a IP Cisco multiservice. Il comando è abilitato per impostazione predefinita e non può essere modificato.

Per consentire l'inserimento di '#' in qualsiasi punto del dn del registro vocale, utilizzare il consenti hash-in-dn comando in modalità registrazione vocale globale. Per disabilitare questa opzione, utilizzare no forma di questo comando.

consenti hash in-dn

nessun hash-in-dn consentito

Comando predefinito: Il comando è disabilitato per impostazione predefinita.

Modalità di comando: configurazione globale registrazione vocale (config-register-global)

Linee guida per l'utilizzo: Prima dell'introduzione di questo comando, i caratteri supportati nel registro vocale dn erano 0-9, + e *. Il nuovo comando è abilitato ogni volta che l'utente richiede l'inserimento di # nel dn di registrazione vocale. Il comando è disabilitato per impostazione predefinita. È possibile configurare questo comando solo in modalità Cisco Unified SRST e Cisco Unified E-SRST. Il numero carattere può essere inserito in qualsiasi punto del dn di registrazione vocale. Quando questo comando è abilitato, agli utenti viene richiesto di modificare il carattere di terminazione predefinito (#) in un altro carattere valido utilizzando terminatore dial-peer comando in modalità configurazione.

Per immettere la modalità di configurazione dell'applicazione di ridondanza, utilizzare ridondanza delle applicazioni comando in modalità di configurazione ridondanza.

ridondanza dell'applicazione

Questo comando non ha argomenti o parole chiave.

Comando predefinito: Nessuno

Modalità di comando: Configurazione ridondanza (rosso configurazione)

Linee guida per l'utilizzo: Utilizzare questo ridondanza delle applicazioni comando per configurare la ridondanza dell'applicazione per l'alta disponibilità.

Per impostare il gateway predefinito per un'applicazione, utilizzare app-default-gateway comando in modalità configurazione hosting applicazione. Per rimuovere il gateway predefinito, utilizzare no forma di questo comando.

app-default-gateway [indirizzoospite-interfacciarete-numero interfaccia]

nessunaapp-default-gateway [indirizzoospite-interfacciarete-numero interfaccia]

Comando predefinito: Il gateway predefinito non è configurato.

Modalità di comando: Configurazione hosting applicazione (config-app-hosting)

Linee guida per l'utilizzo: Utilizzare il app-default-gateway comando per impostare il gateway predefinito per un'applicazione. I connettori del gateway sono applicazioni installate sul contenitore Cisco IOS XE GuestShell.

Per configurare un'applicazione e per immettere la modalità di configurazione dell'hosting dell'applicazione, utilizzare appid hosting app comando in modalità configurazione globale. Per rimuovere l'applicazione, utilizzare il no forma di questo comando.

applicazione appidhosting-nome-applicazione

Comando predefinito: Nessuna applicazione configurata.

Modalità di comando: Configurazione globale (config)

Linee guida di utilizzo:L'argomento del nome dell'applicazione può contenere un massimo di 32 caratteri alfanumerici.

Dopo aver configurato questo comando, è possibile aggiornare la configurazione dell'hosting dell'applicazione.

Per ignorare il profilo delle risorse fornite dall'applicazione, utilizzare profilo app-resoure comando in modalità configurazione hosting applicazione. Per tornare al profilo delle risorse specificato dall'applicazione, utilizzare no forma di questo comando.

profiloprofilo-nome app-resoure

nessunprofilo app-resourenome profilo

Comando predefinito: Profilo risorse configurato.

Modalità di comando: Configurazione hosting applicazione (config-app-hosting)

Linee guida per l'utilizzo: Le risorse riservate specificate nel pacchetto di applicazioni possono essere modificate impostando un profilo di risorse personalizzato. È possibile modificare solo le risorse CPU, memoria e CPU virtuale (vCPU). Per rendere effettive le modifiche alle risorse, arrestare e disattivare l'applicazione, quindi attivarla e riavviarla.

È supportato solo il profilo personalizzato.

Il comando configura il profilo delle risorse delle applicazioni personalizzate e immette la modalità di configurazione del profilo delle risorse delle applicazioni personalizzate.

Per configurare un gateway di interfaccia di rete virtuale per un'applicazione, utilizzare gateway app-vnic comando in modalità configurazione hosting applicazione. Per rimuovere la configurazione, utilizzare no forma di questo comando.

Questo comando è supportato solo sulle piattaforme di indirizzamento. Non è supportato su piattaforme di commutazione.

app-vnic gatewayvirtualportgroupnumberguest-interfacenetwork-interface-number

noapp-vnic gatewayvirtualportgroupnumberguest-interfacenetwork-interface-number

Comando predefinito: Gateway di rete virtuale non configurato.

Modalità di comando: Configurazione hosting applicazione (config-app-hosting)

Linee guida per l'utilizzo: Dopo aver configurato il gateway dell'interfaccia di rete virtuale per un'applicazione, la modalità di comando passa alla modalità di configurazione del gateway di hosting dell'applicazione. In questa modalità, è possibile configurare l'indirizzo IP dell'interfaccia ospite.

Per abilitare il supporto per l'intestazione dell'ID asserito nelle richieste o nei messaggi di risposta del protocollo SIP (Session Initiation Protocol) in arrivo e per inviare le informazioni sulla privacy dell'ID asserito nelle richieste o nei messaggi di risposta SIP in uscita, utilizzare id asserito comando nella modalità di configurazione VoIP-SIP del servizio vocale o nella modalità di configurazione del tenant della classe vocale. Per disabilitare il supporto per l'intestazione dell'ID asserito, utilizzare no forma di questo comando.

sistema asserted-id { pai|ppi }

sistema no asserted-id { pai|ppi }

Comando predefinito: Le informazioni sulla privacy vengono inviate utilizzando l'intestazione Remote-Party-ID (RPID) o l'intestazione FROM.

Modalità di comando: Configurazione VoIP-SIP servizio vocale (conf-serv-sip) e configurazione tenant classe vocale (config-class)

Linee guida per l'utilizzo: Se si sceglie pai parola chiave o ppi parola chiave, il gateway costruisce rispettivamente l'intestazione PAI o l'intestazione PPI nello stack SIP comune. Il pai parola chiave o ppi la parola chiave ha la priorità sull'intestazione Remote-Party-ID (RPID) e rimuove l'intestazione RPID dal messaggio in uscita, anche se il router è configurato per utilizzare l'intestazione RPID a livello globale.

Per configurare il supporto del payload asimmetrico SIP (Session Initiation Protocol), utilizzare la payload asimmetrico comando in modalità di configurazione SIP o in modalità di configurazione tenant della classe vocale. Per disabilitare il supporto del payload asimmetrico, utilizzare il no forma di questo comando.

asimmetricopayload { dtmf |dynamic-codec |full |system }

nessunsistemadi payload asimmetrico { dtmf |dynamic-codec |full |system }

Comando predefinito: Questo comando è disabilitato.

Modalità di comando: Configurazione SIP servizio vocale (conf-serv-sip), configurazione tenant classe vocale (config-class)

Linee guida per l'utilizzo: Immettere la modalità di configurazione SIP dalla modalità di configurazione del servizio vocale, come mostrato nell'esempio.

Per Cisco UBE, il tipo di payload asimmetrico SIP è supportato per codec audio/video, DTMF e NSE. Pertanto, dtmf e codec dinamici le parole chiave sono associate internamente alla pieno parola chiave per fornire supporto asimmetrico tipo payload per codec audio/video, DTMF e NSE.

Per abilitare l'autenticazione del digest SIP su un peer di chiamata individuale, utilizzare autenticazione comando in modalità configurazione vocale dial-peer. Per disabilitare l'autenticazione del digest SIP, utilizzare no forma di questo comando.

autenticazionenome utentenome utentepassword { 0|6|7 } password [area di autenticazionearea di autenticazione|challenge|all ]

nessuna password per l'autenticazionenome utentenome utente { 0|6|7 } [realmrealm|challenge|all ]

Comando predefinito: Autenticazione del digest SIP disabilitata.

Modalità di comando: Configurazione chiamata vocale peer (config-dial-peer)

Linee guida per l'utilizzo: Le seguenti regole di configurazione sono applicabili quando si abilita l'autenticazione del digest:

• È possibile configurare un solo nome utente per peer di chiamata. Qualsiasi configurazione di nome utente esistente deve essere rimossa prima di configurare un nome utente diverso.

• Un massimo di cinque password o area di autenticazione gli argomenti possono essere configurati per un singolo nome utente.

Il nome utente e password gli argomenti vengono utilizzati per autenticare un utente. Un server/proxy di autenticazione che emette una risposta challenge 407/401 include un'area di autenticazione nella risposta challenge e l'utente fornisce credenziali valide per tale area di autenticazione. Poiché si presume che un massimo di cinque server proxy nel percorso di segnalazione possa provare ad autenticare una determinata richiesta da un client utente-agente (UAC) a un server utente-agente (UAS), un utente può configurare fino a cinque combinazioni di password e area di autenticazione per un nome utente configurato.

L'utente fornisce la password in testo normale ma è crittografato e salvato per la risposta al challenge 401. Se la password non viene salvata in forma crittografata, viene inviata una password indesiderata e l'autenticazione non riesce.

• La specifica dell'area di autenticazione è facoltativa. Se questa opzione è stata omessa, la password configurata per tale nome utente si applica a tutti gli ambiti che tentano di autenticare.

• È possibile configurare una sola password alla volta per tutti gli ambiti configurati. Se è configurata una nuova password, questa sovrascrive qualsiasi password configurata in precedenza.

Ciò significa che è possibile configurare solo una password globale (una senza un'area di autenticazione specificata). Se si configura una nuova password senza configurare un'area di autenticazione corrispondente, la nuova password sovrascrive quella precedente.

• Se un'area di autenticazione è configurata per un nome utente e una password precedentemente configurati, tale area di autenticazione viene aggiunta alla configurazione esistente di nome utente e password. Tuttavia, una volta aggiunta un'area di autenticazione a una configurazione di nome utente e password, tale combinazione di nome utente e password è valida solo per tale area di autenticazione. Non è possibile rimuovere un'area di autenticazione configurata da una configurazione di nome utente e password senza prima rimuovere l'intera configurazione di tale nome utente e password. È possibile quindi riconfigurare tale combinazione di nome utente e password con o senza un'area di autenticazione diversa.

• In una voce con una password e un'area di autenticazione, è possibile modificare la password o l'area di autenticazione.

• Utilizzare il nessuna autenticazione comando per rimuovere tutte le voci di autenticazione per l'utente.

È obbligatorio specificare il tipo di crittografia per la password. Se password di testo chiara (tipo 0) è configurato, è crittografato come tipo 6 prima di salvarla nella configurazione in esecuzione.

Se si specifica il tipo di crittografia come 6 o 7, la password inserita è selezionata a fronte di un tipo valido 6 o 7 formato password e salvato come tipo 6 o 7 rispettivamente.

Le password di tipo 6 sono crittografate utilizzando la crittografia AES e una chiave principale definita dall'utente. Queste password sono relativamente più sicure. La chiave principale non viene mai visualizzata nella configurazione. Senza conoscere la chiave principale, digitare 6 le password sono inutilizzabili. Se la chiave principale viene modificata, la password salvata come tipo 6 viene crittografata con la nuova chiave principale. Se la configurazione della chiave principale viene rimossa, il tipo 6 le password non possono essere decrittografate e ciò potrebbe determinare un errore di autenticazione per le chiamate e le registrazioni.

Quando si esegue il backup di una configurazione o si esegue la migrazione della configurazione a un altro dispositivo, la chiave principale non viene scaricata. Pertanto, la chiave principale deve essere nuovamente configurata manualmente.

Per configurare una chiave precondivisa crittografata, vedere Configurazione di una chiave precondivisa crittografata.

Quando il tipo di crittografia viene visualizzato il seguente messaggio di avviso 7 è configurato. Avviso: Comando aggiunto alla configurazione utilizzando una password di tipo 7. Tuttavia, le password di tipo 7 saranno presto rimosse. Eseguire la migrazione a una password supportata di tipo 6.

Per associare l'indirizzo di origine per la segnalazione e i pacchetti multimediali all'indirizzo IPv4 o IPv6 di un'interfaccia specifica, utilizzare associazione comando in modalità configurazione SIP. Per disabilitare il legame, utilizzare no forma di questo comando.

bind { control|media|all } source-interfaceinterface-id { ipv4-addressipv4-address|ipv6-addressipv6-address }

nobind { control|media|all } source-interfaceinterface-id { ipv4-addressipv4-address|ipv6-addressipv6-address }

Comando predefinito: Associazione disabilitata.

Modalità di comando: Configurazione SIP (conf-serv-sip) e tenant della classe vocale.

Linee guida per l'utilizzo: Async, Ethernet, FastEthernet, Loopback e Serial (incluso Frame Relay) sono interfacce all'interno dell'applicazione SIP.

Se il associazione comando non abilitato, il livello IPv4 fornisce ancora il migliore indirizzo locale.

Per abilitare le configurazioni di base per Call-Home, utilizzare reportistica chiamate-casa comando in modalità configurazione globale.

call-home reporting { anonymous |contact-email-addr } [ http-proxy { ipv4-address |ipv6-address |name } port port-number ]

Comando predefinito: Nessun comportamento o valore predefinito

Modalità di comando: Configurazione globale (config)

Linee guida per l'utilizzo: Dopo aver abilitato correttamente Call-Home in modalità anonima o registrazione completa utilizzando il reportistica chiamate-casa comando, viene inviato un messaggio di inventario. Se Call-Home è abilitato in modalità registrazione completa, viene inviato un messaggio di inventario completo per la modalità registrazione completa. Se Call-Home è abilitato in modalità anonima, viene inviato un messaggio di inventario anonimo. Per ulteriori informazioni sui dettagli del messaggio, vedere Eventi trigger di gruppo di avviso e comandi.

Per abilitare il supporto Cisco Unified SRST e immettere la modalità di configurazione call-manager-fallback, utilizzare fallback gestore chiamate comando in modalità configurazione globale. Per disabilitare il supporto Cisco Unified SRST, utilizzare no forma di questo comando.

fallback gestore chiamate

nessunfallback gestore chiamate

Questo comando non ha argomenti o parole chiave.

Comando predefinito: Nessun comportamento o valore predefinito.

Modalità di comando: Configurazione globale

Per abilitare la convalida dell'identità server, client o bidirezionale di un certificato peer durante l'handshake TLS, utilizzare il comando convalida cn-san nella modalità di configurazione del profilo tls della classe vocale. Per disabilitare la convalida dell'identità del certificato, utilizzare no forma di questo comando.

cn-sanconvalida { server|client|bidirezionale }

nessun cn-sanconvalida { server|client|bidirezionale }

Comando predefinito: Convalida identità disabilitata.

Modalità di comando: Configurazione classe vocale (classe di configurazione)

Linee guida per l'utilizzo: La convalida dell'identità del server è associata a una connessione di segnalazione protetta attraverso il sistema globale segnalazione cripto e profilo tls classe vocale configurazioni.

Il comando è stato migliorato per includere il cliente e bidirezionale parole chiave. L'opzione client consente a un server di convalidare l'identità di un client controllando i nomi host CN e SAN inclusi nel certificato fornito in base a un elenco affidabile di FQDN CN-san. La connessione verrà stabilita solo se viene trovata una corrispondenza. Questo elenco di FQDN cn-san è ora utilizzato anche per convalidare un certificato del server, oltre al nome host di destinazione della sessione. Il bidirezionale opzione convalida l'identità peer per entrambe le connessioni client e server combinando entrambe server e cliente modalità. Una volta configurato convalida cn-san, l'identità del certificato peer viene convalidata per ogni nuova connessione TLS.

Per configurare un elenco di nomi di dominio completi (FQDN) per la convalida rispetto al certificato peer per le connessioni TLS in entrata o in uscita, utilizzare cn-san comando in modalità di configurazione del profilo tls della classe vocale. Per eliminare la voce di convalida del certificato CN-SAN, utilizzare no forma di questo comando.

cn-san{1-10}fqdn

nocn-san{1-10}fqdn

Comando predefinito: Nessun nome cn-san configurato.

Modalità di comando: Modalità di configurazione profilo tls classe vocale (classe di configurazione)

Linee guida per l'utilizzo: FQDN utilizzato per la convalida del certificato peer viene assegnato a un profilo TLS con un massimo di dieci cn-san voci. Prima di stabilire una connessione TLS, almeno una di queste voci deve essere associata a un nome di dominio completo in uno dei campi Nome comune (CN) o Nome alternativo oggetto (SAN) del certificato. Per corrispondere a qualsiasi host di dominio utilizzato in un campo CN o SAN, un cn-san la voce può essere configurata con un carattere jolly di dominio, rigorosamente nella forma *.domain-name (ad esempio, *.cisco.com). Non è consentito un altro uso di caratteri jolly.

Per le connessioni in entrata, l'elenco viene utilizzato per convalidare i campi CN e SAN nel certificato del client. Per le connessioni in uscita, l'elenco viene utilizzato insieme al nome host di destinazione della sessione per convalidare i campi CN e SAN nel certificato del server.

I certificati del server possono anche essere verificati abbinando il nome di dominio completo della sessione SIP a un campo CN o SAN.

Per specificare un elenco di codec preferiti da utilizzare su un peer di chiamata, utilizzare codec preferenza comando in modalità di configurazione della classe vocale. Per disabilitare questa funzionalità, utilizzare il tasto no forma di questo comando.

valorepreferenzacodectipo di codec

nessunvalorepreferenzacodectipo di codec

Comando predefinito: Se questo comando non viene immesso, non vengono identificati con preferenza tipi specifici di codec.

Modalità di comando: configurazione classe vocale (classe di configurazione)

Linee guida per l'utilizzo: I router alle estremità opposte della WAN potrebbero dover negoziare la selezione del codec per i peer di chiamata di rete. Il codec preferenza il comando specifica l'ordine di preferenza per la selezione di un codec negoziato per la connessione. Nella tabella seguente vengono descritte le opzioni di payload vocale e i valori predefiniti per i codec e i protocolli vocali dei pacchetti.

Per utilizzare la porta dell'ascoltatore globale per l'invio di richieste su UDP, utilizzare connessione-riutilizzo comando in modalità sip-ua o configurazione tenant classe vocale. Per disabilitare, utilizzare no forma di questo comando.

connessione-riutilizzo { via-porta |sistema }

nessunsistema di connessione-riutilizzo { via-porta | }

Comando predefinito: Il gateway locale utilizza una porta UDP effimera per l'invio di richieste su UDP.

Modalità di comando: Configurazione UA SIP (config-sip-ua), configurazione tenant classe vocale (config-class)

Linee guida per l'utilizzo: L'esecuzione di questo comando consente di utilizzare la porta dell'ascoltatore per l'invio di richieste su UDP. La porta predefinita dell'ascoltatore per SIP non sicuro normale è 5060 e SIP sicuro è 5061. Configura comando listen-port [non secure | secure]porta in modalità di configurazione voice service voip > sip per modificare la porta UDP globale.

Per modificare la quota o l'unità di CPU assegnata a un'applicazione, utilizzare cpu comando in modalità configurazione profilo risorse applicazione personalizzate. Per tornare alla quota della CPU fornita dall'applicazione, utilizzare no forma di questo comando.

unità cpu

nessuna unità cpu

Comando predefinito: La CPU predefinita dipende dalla piattaforma.

Modalità di comando: Configurazione profilo risorsa applicazione personalizzata (config-app-resource-profile-custom)

Linee guida per l'utilizzo: Un'unità CPU è l'allocazione CPU minima da parte dell'applicazione. Le unità CPU totali si basano sulle unità CPU normalizzate misurate per il dispositivo di destinazione.

All'interno di ogni pacchetto di applicazioni, viene fornito un profilo di risorse specifico per l'applicazione che definisce il carico di CPU consigliato, le dimensioni della memoria e il numero di CPU virtuali (vCPU) richiesti per l'applicazione. Utilizzare questo comando per modificare l'allocazione delle risorse per processi specifici nel profilo di risorse personalizzato.

Le risorse riservate specificate nel pacchetto di applicazioni possono essere modificate impostando un profilo di risorse personalizzato. È possibile modificare solo le risorse di CPU, memoria e vCPU. Per rendere effettive le modifiche alle risorse, arrestare e disattivare l'applicazione, quindi attivarla e riavviarla.

I valori delle risorse sono specifici dell'applicazione e qualsiasi modifica di questi valori deve garantire che l'applicazione possa essere eseguita in modo affidabile con le modifiche.

Per configurare un gateway TDM (Time-Division Multiplexing) Cisco IOS Session Initiation Protocol (SIP), un elemento di confine Cisco Unified (Cisco UBE) o Cisco Unified Communications Manager Express (Cisco Unified CME) per inviare un messaggio di registrazione SIP quando è in stato UP, utilizzare credenziali comando in modalità di configurazione SIP UA o in modalità di configurazione tenant della classe vocale. Per disabilitare le credenziali digest SIP, utilizzare no forma di questo comando.

credenziali { dhcp|numeronumeronome utentenome utente } password { 0|6|7 } passwordrealmrealm

nessunacredenziali { dhcp|numeronumeronome utentenome utente } password { 0|6|7 } passwordrealmrealm

Comando predefinito: Le credenziali digest SIP sono disabilitate.

Modalità di comando: Configurazione UA SIP (config-sip-ua) e configurazione tenant della classe vocale (config-class).

Linee guida per l'utilizzo: Le seguenti regole di configurazione sono applicabili quando le credenziali sono abilitate:

• Una sola password è valida per tutti i nomi di dominio. Una nuova password configurata sovrascrive qualsiasi password configurata in precedenza.

• La password verrà sempre visualizzata in formato crittografato quando il credenziali comando configurato e mostrare configurazione in esecuzione comando utilizzato.

Il dhcp parola chiave nel comando indica che il numero principale viene ottenuto tramite DHCP e che il gateway SIP TDM Cisco IOS, Cisco UBE o Cisco Unified CME su cui è abilitato il comando utilizza questo numero per registrare o annullare la registrazione del numero principale ricevuto.

È obbligatorio specificare il tipo di crittografia per la password. Se password di testo chiara (tipo 0) è configurato, è crittografato come tipo 6 prima di salvarla nella configurazione in esecuzione.

Se si specifica il tipo di crittografia come 6 o 7, la password inserita è selezionata a fronte di un tipo valido 6 o 7 formato password e salvato come tipo 6 o 7 rispettivamente.

Le password di tipo 6 sono crittografate utilizzando la crittografia AES e una chiave principale definita dall'utente. Queste password sono relativamente più sicure. La chiave principale non viene mai visualizzata nella configurazione. Senza conoscere la chiave principale, digitare 6 le password sono inutilizzabili. Se la chiave principale viene modificata, la password salvata come tipo 6 viene crittografata con la nuova chiave principale. Se la configurazione della chiave principale viene rimossa, il tipo 6 le password non possono essere decrittografate e ciò potrebbe determinare un errore di autenticazione per le chiamate e le registrazioni.

Quando si esegue il backup di una configurazione o si esegue la migrazione della configurazione a un altro dispositivo, la chiave principale non viene scaricata. Pertanto, la chiave principale deve essere nuovamente configurata manualmente.

Per configurare una chiave precondivisa crittografata, vedere Configurazione di una chiave precondivisa crittografata.

Avviso: Comando aggiunto alla configurazione utilizzando una password di tipo 7. Tuttavia, le password di tipo 7 saranno presto rimosse. Eseguire la migrazione a una password supportata di tipo 6.

In YANG, non è possibile configurare lo stesso nome utente in due diversi regni.

Per specificare la preferenza per una suite di crittografia SRTP che verrà offerta da Cisco Unified Border Element (CUBE) nel SDP in offerta e risposta, utilizzare cripto comando in modalità di configurazione della classe vocale. Per disabilitare questa funzionalità, utilizzare il tasto no forma di questo comando.

crittografiapreferenze crypto-suite

nessunacrittografiapreferita suite di crittografia

Comando predefinito: Se questo comando non è configurato, il funzionamento predefinito è quello di offrire le suite srtp-cipher nel seguente ordine di preferenza:

• AEAD_AES_256_GCM

• AEAD_AES_128_GCM

• AES_CM_128_HMAC_SHA1_80

• AES_CM_128_HMAC_SHA1_32

Modalità di comando: classe vocale srtp-crypto (classe di configurazione)

Linee guida per l'utilizzo: Se si modifica la preferenza di una suite di crittografia già configurata, la preferenza viene sovrascritta.

Per generare coppie di chiavi Rivest, Shamir e Adelman (RSA), utilizzare il chiave crypto generare rsa comando in modalità configurazione globale.

chiave crypto generare rsa [ { general-keys |usage-keys |signature |encryption } ] [ label key-label ] [ esportabile ] [ modulus modulus-size ] [ storage devicename : ] [ ridondanzaon devicename : ]

Comando predefinito: Coppie di chiavi RSA non esistenti.

Modalità di comando: Configurazione globale (config)

Linee guida per l'utilizzo: Utilizzare il chiave crypto generare rsa comando per generare coppie di tasti RSA per il dispositivo Cisco (ad esempio un router).

Le chiavi RSA vengono generate in coppie: una chiave RSA pubblica e una chiave RSA privata.

Se il router già dispone di chiavi RSA quando si emette questo comando, si riceverà un avviso e verrà richiesto di sostituire le chiavi esistenti con nuove chiavi.

Il chiave crypto generare rsa comando non viene salvato nella configurazione del router; tuttavia, le chiavi RSA generate da questo comando vengono salvate nella configurazione privata in NVRAM (che non viene mai visualizzato all'utente o eseguito il backup su un altro dispositivo) la volta successiva che la configurazione viene scritta in NVRAM.

• Chiavi di utilizzo speciale: Se si generano tasti di uso speciale, verranno generate due coppie di tasti RSA. Una coppia verrà utilizzata con qualsiasi criterio Internet Key Exchange (IKE) che specifica le firme RSA come metodo di autenticazione, e l'altra coppia verrà utilizzata con qualsiasi criterio IKE che specifica le chiavi crittografate RSA come metodo di autenticazione.

  Un CA viene utilizzato solo con le politiche IKE che specificano le firme RSA, non con le politiche IKE che specificano nonces crittografati RSA. Tuttavia, è possibile specificare più di una politica IKE e avere firme RSA specificate in una politica e nonces crittografati RSA in un'altra politica.

  Se si prevede di avere entrambi i tipi di metodi di autenticazione RSA nei criteri IKE, è possibile che si preferisce generare chiavi di utilizzo speciale. Con i tasti di uso speciale, ogni tasto non viene inutilmente esposto. (Senza chiavi di uso speciale, viene utilizzata una chiave per entrambi i metodi di autenticazione, aumentando l'esposizione di tale chiave).

• Chiavi per scopi generici: Se si generano chiavi multiuso, verrà generata solo una coppia di chiavi RSA. Questa coppia verrà utilizzata con criteri IKE che specificano le firme RSA o le chiavi crittografate RSA. Pertanto, una coppia di chiavi multiuso potrebbe essere utilizzata più frequentemente di una coppia di chiavi a uso speciale.

• Coppie di chiavi nominative: Se si genera una coppia di chiavi denominata utilizzando l'argomento dell'etichetta chiave, è necessario specificare anche chiavi di utilizzo parola chiave o chiavi generali parola chiave. Le coppie di chiavi denominate consentono di disporre di più coppie di chiavi RSA, consentendo al software Cisco IOS di mantenere una coppia di chiavi diversa per ciascun certificato di identità.

• Lunghezza modulare: Quando si generano chiavi RSA, verrà richiesto di immettere una lunghezza modulare. Più lungo è il modulo, maggiore è la sicurezza. Tuttavia, un modulo più lungo richiede più tempo per la generazione (vedere la tabella seguente per i tempi di campionamento) e richiede più tempo per l'uso.

  Tabella 2. Durata del campione in base alla lunghezza del modulo per generare chiavi RSA

  Router	360 bit	512 bit	1024 bit	2048 bit (massimo)
  Cisco 2500	11 secondi	20 secondi	4 minuti, 38 secondi	Più di 1 ora
  Cisco 4700	Meno di 1 secondo	1 secondo	4 secondi	50 secondi

  Il software Cisco IOS non supporta un modulo di dimensioni superiori a 4096 bit. Normalmente non è raccomandata una lunghezza inferiore a 512 bit. In alcune situazioni, il modulo più breve potrebbe non funzionare correttamente con IKE, quindi si consiglia di utilizzare un modulo minimo di 2048 bit.

  Ulteriori limitazioni possono applicarsi quando le chiavi RSA sono generate da hardware crittografico. Ad esempio, quando le chiavi RSA vengono generate dall'adattatore porta servizi VPN Cisco (VSPA), il modulo chiave RSA deve essere un minimo di 384 bit e deve essere un multiplo di 64.

• Specifica di una posizione di storage per le chiavi RSA: Quando si emette il chiave crypto generare rsa comando con stoccaggio devicename : parola chiave e argomento, i tasti RSA verranno memorizzati sul dispositivo specificato. Questa posizione sostituirà qualsiasi storage chiave crypto impostazioni di comando.

• Specifica di un dispositivo per la generazione di chiavi RSA: È possibile specificare il dispositivo in cui vengono generate le chiavi RSA. I dispositivi supportati includono NVRAM, dischi locali e token USB. Se il router dispone di un token USB configurato e disponibile, il token USB può essere utilizzato come dispositivo crittografico oltre a un dispositivo di memorizzazione. L'uso di un token USB come dispositivo crittografico consente di eseguire operazioni RSA come la generazione di chiavi, la firma e l'autenticazione delle credenziali sul token. La chiave privata non lascia mai il token USB e non è esportabile. La chiave pubblica è esportabile.

  Le chiavi RSA possono essere generate su un token USB configurato e disponibile, tramite l’utilizzo del il devicename : parola chiave e argomento. Le chiavi che risiedono su un token USB vengono salvate nella memoria permanente del token quando vengono generate. Il numero di chiavi che possono essere generate su un token USB è limitato dallo spazio disponibile. Se si tenta di generare chiavi su un token USB ed è pieno, si riceverà il seguente messaggio:

  % Error in generating keys:no available resources 

  La cancellazione della chiave rimuoverà immediatamente le chiavi memorizzate sul token dall'archiviazione permanente. (Le chiavi che non risiedono su un token vengono salvate o eliminate dalle posizioni di storage non token quando copia o analogo comando).

• Specifica della generazione di ridondanza chiave RSA su un dispositivo: È possibile specificare la ridondanza per le chiavi esistenti solo se esportabili.

Per autenticare l'autorità di certificazione (CA) (ottenendo il certificato CA), utilizzare cryptopkiautentica comando in modalità di configurazione globale.

nome autenticatopkicrypto

Comando predefinito: Nessun comportamento o valore predefinito.

Modalità di comando: Configurazione globale (config)

Linee guida per l'utilizzo: Questo comando è richiesto quando si configura inizialmente il supporto CA sul router.

Questo comando consente di autenticare la CA sul router ottenendo il certificato autofirmato della CA contenente la chiave pubblica della CA. Poiché la CA firma il proprio certificato, è necessario autenticare manualmente la chiave pubblica della CA contattando l'amministratore della CA quando si immette questo comando.

Se si utilizza la modalità Router Advertisements (RA) (con iscrizione ) quando si emette il cripto pki autenticazione comando, quindi la firma dell'autorità di registrazione e i certificati di crittografia verranno restituiti dalla CA e dal certificato CA.

Questo comando non viene salvato nella configurazione del router. Tuttavia, le chiavi pubbliche incorporate nei certificati CA (e RA) ricevuti vengono salvate nella configurazione come parte del record di chiave pubblica Rivest, Shamir e Adelman (RSA) (chiamata la "catena di chiavi pubbliche RSA").

Se l'autorità di certificazione non risponde entro un periodo di timeout dopo l'emissione di questo comando, il controllo terminale viene restituito in modo che rimanga disponibile. In tal caso, è necessario immettere nuovamente il comando. Il software Cisco IOS non riconoscerà le date di scadenza del certificato CA impostate per oltre il 2049. Se il periodo di validità del certificato CA è impostato per scadere dopo l'anno 2049, quando si tenta l'autenticazione con il server CA viene visualizzato il seguente messaggio di errore: errore di recupero del certificato: catena incompleta Se si riceve un messaggio di errore simile a questo, controllare la data di scadenza del certificato CA. Se la data di scadenza del certificato CA viene impostata dopo il 2049, è necessario ridurre la data di scadenza di un anno o più.

Per importare manualmente un certificato tramite TFTP o come taglio e incolla sul terminale, utilizzare comando cryptopkiimport in modalità configurazione globale.

certificato del nomedell'importazionecryptopki

Comando predefinito: Nessun comportamento o valore predefinito

Modalità di comando: Configurazione globale (config)

Linee guida per l'utilizzo: È necessario immettere il importazione crypto pki comanda due volte se vengono utilizzate le chiavi di utilizzo (chiavi di firma e crittografia). La prima volta che viene immesso il comando, uno dei certificati viene incollato nel router; la seconda volta che viene immesso il comando, l'altro certificato viene incollato nel router. (Non importa quale certificato sia incollato per primo.)

Per dichiarare il trustpoint che il router deve utilizzare, utilizzare il comando cryptopkitrustpoint in modalità configurazione globale. Per cancellare tutte le informazioni di identità e i certificati associati al trustpoint, utilizzare il no forma di questo comando.

ridondanza del nome di cryptopkitrustpoint

ridondanza del nomecryptopkitrustpoint

Comando predefinito: Il router non riconosce alcun trustpoint finché non si dichiara un trustpoint utilizzando questo comando. Il router utilizza identificativi univoci durante la comunicazione con i server OCSP (Online Certificate Status Protocol), come configurato nella rete.

Modalità di comando: Configurazione globale (config)

Linee guida per l'utilizzo:

Dichiarazione di Fiduciarie

Utilizzare il cripto pki trustpoint comando per dichiarare un trustpoint, che può essere un'autorità di certificazione radice (CA) autofirmata o una CA subordinata. Emissione del cripto pki trustpoint comando mette in modalità di configurazione ca-trustpoint.

È possibile specificare le caratteristiche per il trustpoint utilizzando i seguenti sottocomandi:

• crl—Chiede l'elenco dei certificati con revoca (CRL) per assicurarsi che il certificato del peer non sia stato revocato.

• default(ca-trustpoint): reimposta il valore dei sottocomandi della modalità di configurazione ca-trustpoint sui valori predefiniti.

• – Specifica i parametri di iscrizione (opzionale).

• registrazionehttp-proxy: accede alla CA tramite HTTP attraverso il server proxy.

• iscrizioneautofirmata– specifica l'iscrizione autofirmata (opzionale).

• matchcertificate—Associa un elenco di controllo accessi basato su certificato (ACL) definito con comando cryptocacertificatemap.

• ocspdisable-nonce: specifica che il router non invierà identificativi univoci o nonces durante le comunicazioni OCSP.

• principale: assegna un trustpoint specificato come trustpoint principale del router.

• root: definisce il protocollo TFTP per ottenere il certificato CA e specifica sia un nome per il server che un nome per il file che memorizzerà il certificato CA.

Specifica dell'uso di identificatori univoci

Quando si utilizza OCSP come metodo di revoca, gli identificatori univoci o i nonces vengono inviati per impostazione predefinita durante le comunicazioni peer con il server OCSP. L'uso di identificatori univoci durante le comunicazioni server OCSP consente comunicazioni più sicure e affidabili. Tuttavia, non tutti i server OCSP supportano l'uso di protesi uniche, consultare il manuale OCSP per ulteriori informazioni. Per disabilitare l'uso di identificatori univoci durante le comunicazioni OCSP, utilizzare ocsp disabilita-nonce sottocomando.

Per importare manualmente (scaricare) il bundle certificati dell'autorità di certificazione (CA) nel trustpool dell'infrastruttura a chiave pubblica (PKI) per aggiornare o sostituire il bundle CA esistente, utilizzare importazione trustpool crypto pki comando in modalità configurazione globale. Per rimuovere uno qualsiasi dei parametri configurati, utilizzare no forma di questo comando.

cryptopkitrustpoolimportclean [ terminal|urlurl ]

nocryptopkitrustpoolimportazionepulita [ terminal|urlurl ]

Comando predefinito: La funzione attendibilità PKI è abilitata. Il router utilizza il bundle di certificati CA integrato nel trustpool PKI, aggiornato automaticamente da Cisco.

Modalità di comando: Configurazione globale (config)

Le minacce alla sicurezza, così come le tecnologie crittografiche che aiutano a proteggerle, sono in continua evoluzione. Per ulteriori informazioni sulle ultime raccomandazioni di crittografia Cisco, vedere il white paper Crittografia di prossima generazione (NGE).

I certificati di attendibilità PKI vengono aggiornati automaticamente da Cisco. Se i certificati di attendibilità PKI non sono correnti, utilizzare importazione trustpool crypto pki comando per aggiornarli da un'altra posizione.

Il url l'argomento specifica o modifica il file system dell'URL della CA. La tabella seguente elenca i file system URL disponibili.

Tabella 3. File system URL

File system (Sistema file)	Descrizione
archivio:	Importazioni dal file system di archivio.
snc:	Importazioni dal file system Cluster Namespace (CNS).
disco0:	Importazioni dal file system disc0.
disco1:	Importazioni dal file system disc1.
ftp:	Importazioni dal file system FTP.
http:	Importazioni dal file system HTTP. L'URL deve essere nei seguenti formati: http://Nome del contatto:80, dove Nome CA è il Domain Name System (DNS) http://indirizzo ipv4:80. Ad esempio: http://10.10.10.1:80. http://[indirizzo ipv6]:80. Ad esempio: http://[2001:DB8:1:1::1]:80. L'indirizzo IPv6 è in notazione esadecimale e deve essere racchiuso tra parentesi nell'URL.
https:	Importazioni dal file system HTTPS. L'URL deve utilizzare gli stessi formati di HTTP: formati di file system.
nullo:	Importa dal file system nullo.
nvram:	Importazioni da file system NVRAM.
pram:	Importa dal file system Parameter Random-access Memory (PRAM).
rcp:	Importazioni dal file system di protocollo di copia remota (rcp).
scp:	Importazioni dal file system secure copy protocol (scp).
snmp:	Importazioni dal Simple Network Management Protocol (SNMP).
sistema:	Importazioni dal file system system.
catasto:	Importazioni dal file system tar di UNIX.
tftp:	Importazioni dal file system TFTP.   L'URL deve essere nella sezione da: tftp://Denominazione/filtrazione.
tmpsys:	Importa dal file system di Cisco IOS tmpsys.
unix:	Importazioni dal file system UNIX.
xmodem:	Importazioni dal sistema di protocollo di trasferimento file semplice xmodem.
ymodem:	Importazioni dal sistema di protocollo di trasferimento file semplice ymodem.

Per identificare il trustpointtrustpoint-name parola chiave e argomento utilizzati durante l'handshake TLS (Transport Layer Security) corrispondente all'indirizzo del dispositivo remoto, utilizzare il segnalazione cripto comando in modalità configurazione UA (User Agent) SIP. Per ripristinare l'impostazione predefinita trustpoint stringa, utilizzare no forma di questo comando.

segnalazione cripto { default|remote-addr remote-addr subnet-mask } [ tls-profile tag |trustpoint trustpoint-name ] [ cn-san-validation server ] [ client-vtp trustpoint-name ] [ ecdsa-cipher |curve-size 384 |strict-cipher ]

nessuna segnalazione di crittografia { default|remote-addr ip-address subnet-mask } [ tls-profile tag |trustpoint trustpoint-name ] [ cn-san-validation server ] [ client-vtp trustpoint-name ] [ ecdsa-cipher |curve-size 384 |strict-cipher ]

Comando predefinito: Il comando di segnalazione crittografia è disabilitato.

Modalità di comando: Configurazione UA SIP (sip-ua)

Linee guida per l'utilizzo: Il trustpointtrustpoint-name parola chiave e argomento si riferisce al certificato CUBE generato come parte del processo di iscrizione utilizzando i comandi Cisco IOS PKI.

Quando è configurato un singolo certificato, viene utilizzato da tutti i dispositivi remoti ed è configurato da predefinito parola chiave.

Quando vengono utilizzati più certificati, possono essere associati a servizi remoti utilizzando il addr remoto argomento per ciascun trustpoint. Il addr remoto e le argomentazioni predefinite possono essere utilizzate congiuntamente per coprire tutti i servizi richiesti.

La suite di crittografia predefinita in questo caso è il seguente set supportato dal livello SSL su CUBE: TLS_RSA_CON_RC4_128_MD5 TLS_RSA_CON_AES_128_CBC_SHA TLS_DHE_RSA_CON_AES_128_CBC_SHA1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_CON_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_CON_AES_256_GCM_SHA384

La parola chiave cn-san-validate server consente la convalida dell'identità del server attraverso i campi CN e SAN nel certificato quando si stabiliscono connessioni SIP/TLS lato client. La convalida dei campi CN e SAN del certificato del server garantisce che il dominio lato server sia un'entità valida. Quando si crea una connessione protetta con un server SIP, CUBE convalida il nome del dominio di destinazione della sessione configurato rispetto ai campi CN/SAN nel certificato del server prima di stabilire una sessione TLS. Una volta configurato cn-san-validate server, la convalida dell'identità del server avviene per ogni nuova connessione TLS.

Il profilo tls opzione associa le configurazioni delle policy TLS effettuate attraverso le associate profilo tls classe vocale configurazione. In aggiunta alle opzioni di policy TLS disponibili direttamente con segnalazione cripto comando, un profilo tls include anche invio sni opzione.

L'invio sni abilita l'indicazione del nome del server (SNI), un'estensione TLS che consente a un client TLS di indicare il nome del server a cui sta tentando di connettersi durante il processo di handshake TLS iniziale. Solo il nome host DNS completo del server viene inviato nel hello del client. SNI non supporta gli indirizzi IPv4 e IPv6 nell'estensione di benvenuto client. Dopo aver ricevuto un "hello" con il nome del server dal client TLS, il server utilizza il certificato appropriato nel successivo processo di handshake TLS. SNI richiede TLS versione 1.2.

Le funzioni dei criteri TLS saranno disponibili solo tramite un profilo tls classe vocale configurazione. Il segnalazione cripto comando continua a supportare le opzioni di crittografia TLS esistenti in precedenza. È possibile utilizzare uno dei tag profilo tls classe vocale o segnalazione cripto comando per configurare un trustpoint. Si consiglia di utilizzare il comando tag profilo tls classe vocale per eseguire configurazioni profilo TLS.