認証、承認、および会計（AAA）のアクセス制御モデルを有効にするには、aaa新モデル グローバル設定モードのコマンド。 AAAアクセス制御モデルを無効にするには、いいえ このコマンドの 形式。

AAAの新モデル

について AAAの新モデル

このコマンドには引数やキーワードはありません。

コマンドのデフォルト: AAA が有効になっていません。

コマンドモード: グローバル構成（構成）

使用ガイドライン: このコマンドは、AAA アクセス制御システムを有効にします。

ログイン時に認証、認証、および会計（AAA）認証を設定するには、aaa認証ログイン グローバル設定モードのコマンド。 AAA認証を無効にするには、いいえ このコマンドの 形式。

aaa認証ログイン {default |list-name } method1 [method2...]

いいえaaa認証ログイン {default |list-name } メソッド1 [メソッド2...]

コマンドのデフォルト: ログイン時の AAA 認証が無効になっています。

コマンドモード: グローバル構成（構成）

使用ガイドライン: 被験者がデフォルトキーワードは設定されず、ローカルユーザーデータベースだけがチェックされます。 これは、次のコマンドと同じ効果があります。

aaa authentication login default local

コンソールで、デフォルト キーワードが設定されていません。

で作成したデフォルトおよびオプションのリスト名 aaa認証ログインコマンドは、ログイン認証 コマンド

を入力してリストを作成する aaa認証ログイン 特定のプロトコルの list-name メソッドコマンド。 list-name 引数は、ユーザがログインしたときに有効化された認証方法の一覧に名前を付けるために使用される文字列です。 method 引数は、指定されたシーケンスで、認証アルゴリズムが試行するメソッドのリストを識別します。 「list-name 引数に使用できない認証方法」セクションでは、list-name 引数に使用できない認証方法をリストし、以下の表でメソッドキーワードについて説明します。

行にリストが割り当てられていない場合に使用されるデフォルトのリストを作成するには、ログイン認証コマンドには、デフォルト引数の後に、デフォルトの状況で使用するメソッドが続きます。

パスワードは、ユーザーの資格情報を認証するために 1 回だけプロンプトが表示され、接続の問題によるエラーの場合、追加の認証方法を通じて複数の再試行が可能です。 ただし、次の認証方法への切り替えは、前のメソッドがエラーを返した場合にのみ発生し、失敗した場合には発生しません。 すべてのメソッドがエラーを返しても認証が成功することを確認するには、なしは、コマンドラインの最後のメソッドです。

認証が回線に対して特に設定されていない場合、デフォルトではアクセスを拒否し、認証は実行されません。 を使用する その他のシステム:running-config コマンドを使用して、現在設定されている認証方法のリストを表示します。

list-name 引数に使用できない認証方法

list-name 引数に使用できない認証方法は次のとおりです。

• オース ゲスト

• 有効化

• ゲスト

• 認証済み

• 必要な場合

• クリブ5

• krbインスタンス

• KRBテルネット

• 線

• 市内

• none

• 半径

• RCMDシリーズ

• タカック

• タカックスプラス

以下の表では、グループ radius、グループ tacacs +、グループ ldap、グループ group-name メソッドは、以前に定義された RADIUS または TACACS+ サーバのセットを指します。 radius-server ホストと tacacs-server ホストコマンドを使用して、ホストサーバを設定します。 aaa グループ サーバ radius、aaa グループ サーバ ldap、aaa グループ サーバ tacacs+ コマンドを使用して、名前の付いたサーバ グループを作成します。

以下の表では、メソッドのキーワードについて説明します。

キーワード	説明
キャッシュ グループ名	認証にキャッシュ サーバー グループを使用します。
有効化	認証にイネーブルパスワードを使用します。 このキーワードは使用できません。
グループ グループ名	で定義されている認証にRADIUSサーバーまたはTACACS+サーバーのサブセットを使用する aaaグループのサーバー半径またはaaaグループサーバー tacacs+ コマンド
グループLDAP	認証にすべての Lightweight Directory Access Protocol（LDAP）サーバのリストを使用します。
グループ半径	認証にすべての RADIUS サーバのリストを使用します。
グループタカックス+	認証にすべての TACACS+ サーバのリストを使用します。
クリブ5	認証に Kerberos 5 を使用します。
krb5 テルネット	Telnet を使用してルータに接続する場合、Kerberos 5 Telnet 認証プロトコルを使用します。
線	認証に回線パスワードを使用します。
市内	認証にローカルユーザ名データベースを使用します。
ローカルケース	大文字と小文字を区別するローカルユーザ名認証を使用します。
none	認証を使用しません。
passwd の失効	ローカルの認証リストでパスワード エイジングを有効にします。   radius-server vsaが認証を送信するコマンドは、パス回しの有効期限 キーワードの仕事。

ネットワークへのユーザーアクセスを制限するパラメータを設定するには、aaaの認可 グローバル設定モードのコマンド。 パラメータを削除するには、いいえ このコマンドの 形式。

AAAリーグ承認 {{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{ auth プロキシ|キャッシュ|コマンドレベル |configコマンド|設定|コンソール|エグゼクティブ|iPadモバイル|マルチキャスト|ネットワーク|ポリシー-if|プリペイド|半径プロキシ|リバース アクセス|サブスクライバ サービス|テンプレート} {{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{デフォルト|リスト名 お問合せメソッド1 […]メソッド2... []]

いいえAAAリーグ承認 {{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{ auth プロキシ|キャッシュ|コマンドレベル |configコマンド|設定|コンソール|エグゼクティブ|iPadモバイル|マルチキャスト|ネットワーク|ポリシー-if|プリペイド|半径プロキシ|リバース アクセス|サブスクライバ サービス|テンプレート} {{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{デフォルト|リスト名 お問合せメソッド1 […]メソッド2... []]

コマンドのデフォルト: すべてのアクションに対して認証が無効になります (メソッドキーワード none に相当)。

コマンドモード: グローバル構成（構成）

使用ガイドライン: aaa authorization コマンドを使用して、認証を有効にし、ユーザが指定された機能にアクセスするときに使用できる認証方法を定義する名前付きメソッドリストを作成します。 承認のためのメソッドリストは、承認が実行される方法と、これらのメソッドが実行される順序を定義します。 メソッド リストは、シーケンスで使用する必要がある承認メソッド（RADIUS や TACACS+ など）を説明する名前付きリストです。 メソッド リストを使用すると、認証に使用する 1 つ以上のセキュリティ プロトコルを指定できるため、初期メソッドが失敗した場合にバックアップ システムを確保できます。 Cisco IOS ソフトウェアは、リストされた最初のメソッドを使用して、特定のネットワーク サービスのユーザを承認します。そのメソッドが応答しない場合、Cisco IOS ソフトウェアはメソッド リストでリストされた次のメソッドを選択します。 このプロセスは、リストされた承認メソッドとの通信が成功するまで、または定義されたすべてのメソッドが使い果たされるまで続きます。

Cisco IOS ソフトウェアは、前の方法からの応答がない場合にのみ、次のリストされた方法で認証を試みます。 このサイクルの任意の時点で認証が失敗した場合 - つまり、セキュリティサーバまたはローカルユーザ名データベースがユーザサービスを拒否して応答します - 認証プロセスが停止し、他の認証方法が試行されません。

特定の承認タイプの aaa authorization コマンドが指定された名前付きメソッド リストなしで発行された場合、デフォルトのメソッド リストは、名前付きメソッド リストが明示的に定義されているものを除き、すべてのインターフェイスまたはライン（この承認タイプが適用される場合）に自動的に適用されます。 (定義されたメソッド リストは、デフォルトのメソッド リストを上書きします。) デフォルトのメソッド リストが定義されていない場合、承認は行われません。 デフォルトの認証方法リストを使用して、RADIUS サーバからの IP プールのダウンロードを許可するなど、アウトバウンド認証を実行する必要があります。

list-name は、このリスト (すべてのメソッド名を除く) に名前を付けるために使用される文字列であり、method は、指定されたシーケンスで試行された承認メソッドのリストを識別します。

aaa authorization コマンドは 13 個のメソッドリストをサポートします。 例:

aaa認証設定方法リスト1グループ半径

AAA認証設定方法リスト2グループ半径

...

aaa認証設定方法リスト13グループ半径

以下の表では、グループ group-name、グループ ldap、グループ radius、グループ tacacs + メソッドは、以前に定義された RADIUS または TACACS+ サーバのセットを指します。 radius-server ホストと tacacs-server ホストコマンドを使用して、ホストサーバを設定します。 aaa グループ サーバ radius、aaa グループ サーバ ldap、aaa グループ サーバ tacacs+ コマンドを使用して、名前の付いたサーバ グループを作成します。

Cisco IOS ソフトウェアは、次の認証方法をサポートしています。

• キャッシュ サーバ グループ - ルーターは、ユーザの特定の権限を承認するために、キャッシュ サーバ グループを照会します。

• If-Authenticated --ユーザが正常に認証された場合、ユーザは要求された機能にアクセスできます。

• ローカル --ルーターまたはアクセス サーバは、ユーザ名コマンドで定義されているローカル データベースを参照して、ユーザに特定の権限を付与します。 ローカル データベースを介して制御できるのは、限られた一連の機能のみです。

• なし --ネットワーク アクセス サーバは認証情報を要求しません。この回線またはインターフェイスでは認証は実行されません。

• RADIUS --ネットワーク アクセス サーバは、RADIUS セキュリティ サーバ グループから認証情報を要求します。 RADIUS 認証は、RADIUS サーバ上のデータベースに保存されている属性を、適切なユーザに関連付けることによって、ユーザの特定の権利を定義します。

• TACACS+ --ネットワークアクセスサーバは、TACACS+セキュリティデーモンと認証情報を交換します。 TACACS+認証は、TACACS+セキュリティサーバ上のデータベースに保存されている属性値(AV)ペアを、適切なユーザに関連付けることによって、ユーザに対する特定の権利を定義します。

VoIP ネットワーク内の特定のタイプのエンドポイント間の接続を許可するには、接続を許可 音声サービス設定モードのコマンド。 特定の種類の接続を拒否するには、いいえ このコマンドの 形式。

タイプからへの接続を許可

タイプからへの接続を許可

コマンドのデフォルト: SIP から SIP への接続はデフォルトで無効になっています。

コマンドモード: 音声サービスの設定 (config-voi-serv)

使用ガイドライン: このコマンドは、Cisco マルチサービス IP から IP へのゲートウェイの特定のタイプのエンドポイント間の接続を許可するために使用されます。 このコマンドはデフォルトで有効になっており、変更できません。

音声レジスタdnの任意の場所に'#'を挿入できるようにするには、allow-hash-in-dn 音声レジスタグローバルモードでのコマンド。 これを無効にするには、いいえ このコマンドの 形式。

allow-hash-in-dn を許可

allow-hash-in-dn なし

コマンドのデフォルト: このコマンドはデフォルトで無効になっています。

コマンドモード: ボイス レジスタ グローバル設定 (config-register-global)

使用ガイドライン: このコマンドが導入される前は、ボイスレジスタ dn でサポートされている文字は 0-9、+、* でした。 ユーザが音声登録 dn に # を挿入する必要がある場合は、新しいコマンドが有効になります。 このコマンドはデフォルトで無効になっています。 このコマンドは、Cisco Unified SRST および Cisco Unified E-SRST モードでのみ設定できます。 文字#は、ボイスレジスタdnの任意の場所に挿入できます。 このコマンドが有効になっている場合、ユーザーはを使用してデフォルトの終了文字(#)を別の有効な文字に変更する必要があります。 ダイヤルピアターミネータ 設定モードのコマンド。

冗長性アプリケーション設定モードを入力するには、アプリケーション冗長性 冗長構成モードのコマンド。

アプリケーション冗長性

このコマンドには引数やキーワードはありません。

コマンドのデフォルト: なし

コマンドモード: 冗長構成 (config-red)

使用ガイドライン: このアプリケーション冗長性 高可用性のアプリケーション冗長性を設定するためのコマンド。

アプリケーションのデフォルト ゲートウェイを設定するには、app-default-gateway アプリケーションホスティング構成モードのコマンド。 デフォルトのゲートウェイを削除するには、いいえ このコマンドの 形式。

app-default-gateway [ipアドレスguest-interfacenetwork-interface-number]

いいえapp-default-gateway [ip addressguest-interfacenetwork-interface-number]

コマンドのデフォルト: デフォルトのゲートウェイが設定されていません。

コマンドモード: アプリケーションホスティング設定 (config-app-hosting)

使用ガイドライン: を使用する app-default-gateway アプリケーションのデフォルト ゲートウェイを設定する コマンド。 ゲートウェイ コネクタは、Cisco IOS XE GuestShell コンテナにインストールされているアプリケーションです。

アプリケーションを設定し、アプリケーションホスティング構成モードを入力するには、アプリホスティングappid グローバル設定モードのコマンド。 アプリケーションを削除するには、いいえ このコマンドの 形式。

アプリホスティング appidapplication-name

コマンドのデフォルト: アプリケーションが設定されていません。

コマンドモード: グローバル構成（構成）

使用ガイドライン:アプリケーション名の引数は最大 32 文字の英数字です。

このコマンドを設定した後、アプリケーションホスティング設定を更新できます。

アプリケーションが提供するリソースプロファイルをオーバーライドするには、app-resoureプロファイル アプリケーションホスティング構成モードのコマンド。 アプリケーションで指定されたリソース プロファイルに戻すには、いいえ このコマンドの 形式。

app-resoureプロファイルプロファイル名

いいえapp-resoureプロファイルプロファイル名

コマンドのデフォルト: リソース プロファイルが設定されています。

コマンドモード: アプリケーションホスティング設定 (config-app-hosting)

使用ガイドライン: アプリケーション パッケージで指定された予約済みリソースは、カスタム リソース プロファイルを設定することで変更できます。 変更できるのは、CPU、メモリ、仮想 CPU (vCPU) リソースだけです。 リソースの変更を有効にするには、アプリケーションを停止して無効にし、アクティベートして再度開始します。

カスタム プロファイルのみがサポートされています。

このコマンドはカスタム アプリケーション リソース プロファイルを設定し、カスタム アプリケーション リソース プロファイルの設定モードに入ります。

アプリケーションの仮想ネットワーク インターフェイス ゲートウェイを設定するには、app-vnic ゲートウェイ アプリケーションホスティング構成モードのコマンド。 設定を削除するには、いいえ このコマンドの 形式。

このコマンドはルーティング プラットフォームでのみサポートされます。 スイッチングプラットフォームではサポートされていません。

app-vnic gatewayvirtualportgroupnumberguest-interfacenetwork-interface-number

いいえapp-vnic gatewayvirtualportgroupnumberguest-interfacenetwork-interface-number

コマンドのデフォルト: 仮想ネットワーク ゲートウェイが設定されていません。

コマンドモード: アプリケーションホスティング設定 (config-app-hosting)

使用ガイドライン: アプリケーションの仮想ネットワーク インターフェイス ゲートウェイを設定すると、コマンド モードがアプリケーション ホスティング ゲートウェイ設定モードに変わります。 このモードでは、ゲスト インターフェイスの IP アドレスを設定できます。

着信セッション開始プロトコル (SIP) 要求または応答メッセージでアサートされた ID ヘッダーのサポートを有効にし、発信 SIP 要求または応答メッセージでアサートされた ID プライバシー情報を送信するには、アサート済みID 音声サービス VoIP-SIP 設定モードまたは音声クラス テナント設定モードの コマンド。 アサートされたIDヘッダーのサポートを無効にするには、いいえ このコマンドの 形式。

asserted-id { pai|ppi } システム

noasserted-id { pai|ppi } システム

コマンドのデフォルト: プライバシー情報は、Remote-Party-ID (RPID) ヘッダーまたは FROM ヘッダーを使用して送信されます。

コマンドモード: 音声サービス VoIP-SIP 設定 (conf-serv-sip) および音声クラス テナント設定 (config-class)

使用ガイドライン: パイキーワードまたはパイキーワードは、ゲートウェイがそれぞれ共通のSIPスタックにPAIヘッダーまたはPPIヘッダーを構築します。 パイキーワードまたはパイ キーワードは Remote-Party-ID (RPID) ヘッダーよりも優先度が高く、グローバルレベルで RPID ヘッダーを使用するようにルータが設定されている場合でも、発信メッセージから RPID ヘッダーを削除します。

セッション開始プロトコル (SIP) 非対称ペイロードサポートを設定するには、非対称ペイロード SIP 設定モードまたは音声クラス テナント設定モードの コマンド。 非対称ペイロードサポートを無効にするには、いいえ このコマンドの 形式。

非対称ペイロード { dtmf |dynamic-codecs |full |system }

いいえ非対称ペイロード { dtmf |dynamic-codecs |full |system }

コマンドのデフォルト: このコマンドは無効になっています。

コマンドモード: 音声サービス SIP 設定 (conf-serv-sip)、音声クラス テナント設定 (config-class)

使用ガイドライン: 例に示すように、音声サービスの設定モードから SIP 設定モードを入力します。

Cisco UBE では、SIP 非対称ペイロードタイプは、オーディオ/ビデオ コーデック、DTMF、および NSE でサポートされています。 よって、クチコミ、ダイナミックコーデックキーワードは内部的ににマップされます。 フル オーディオ/ビデオコーデック、DTMF、および NSE に対して非対称ペイロードタイプのサポートを提供する キーワード。

個々のダイヤル ピアで SIP ダイジェスト認証を有効にするには、認証 ダイヤル ピアの音声設定モードのコマンド。 SIP ダイジェスト認証を無効にするには、いいえ このコマンドの 形式。

authenticationusernameusernamepassword { 0|6|7 } password [realmrealm|challenge|all]

noauthenticationusernameusernamepassword { 0|6|7 } password [realmrealm|challenge|all ]

コマンドのデフォルト: SIP ダイジェスト認証が無効になっています。

コマンドモード: ダイヤル ピアの音声設定 (config-dial-peer)

使用ガイドライン: ダイジェスト認証を有効にする場合は、次の設定ルールが適用されます。

• ダイヤル ピアごとに設定できるユーザ名は 1 つのみです。 別のユーザ名を設定する前に、既存のユーザ名設定を削除する必要があります。

• 最大5パスワードまたはレルム 引数は 1 つのユーザ名に対して設定できます。

ユーザー名、パスワード 引数はユーザーを認証するために使用されます。 407/401 チャレンジ応答を発行する認証サーバ/プロキシには、チャレンジ応答にレルムが含まれており、ユーザはそのレルムに有効なクレデンシャルを提供します。 シグナリング パス内の最大 5 つのプロキシ サーバは、ユーザ エージェント クライアント（UAC）からユーザ エージェント サーバ（UAS）への特定の要求を認証しようとすることが想定されるため、ユーザは、設定されたユーザ名に対して最大 5 つのパスワードとレルムの組み合わせを設定できます。

ユーザーはプレーンテキストでパスワードを提供しますが、暗号化され、401チャレンジ応答用に保存されます。 パスワードが暗号化された形式で保存されていない場合、迷惑パスワードが送信され、認証が失敗します。

• realmの仕様はオプションです。 省略した場合、そのユーザ名に設定されたパスワードは、認証を試みるすべての領域に適用されます。

• すべての設定された領域で一度に設定できるパスワードは 1 つのみです。 新しいパスワードが設定されている場合は、以前に設定されたパスワードが上書きされます。

これは、1 つのグローバルパスワード (指定された領域を含まない 1 つ) のみを設定できることを意味します。 対応するレルムを設定せずに新しいパスワードを設定すると、新しいパスワードが前のパスワードを上書きします。

• レルムが以前に設定されたユーザ名とパスワードに対して設定されている場合、そのレルム仕様が既存のユーザ名とパスワード設定に追加されます。 ただし、ユーザー名とパスワードの設定にレルムが追加されると、そのユーザー名とパスワードの組み合わせはそのレルムに対してのみ有効です。 設定された領域は、まずそのユーザー名とパスワードの設定全体を削除しない限り、ユーザー名とパスワードの設定から削除できません。その後、別の領域とのユーザー名とパスワードの組み合わせを再設定できます。

• パスワードとレルムの両方を持つエントリでは、パスワードまたはレルムのいずれかを変更できます。

• を使用する 認証なし コマンドを実行して、ユーザーのすべての認証エントリを削除します。

パスワードの暗号化タイプを指定することは必須です。 テキストのパスワードが入力されている場合(0.) が設定されており、型として暗号化されています。 6 実行中の設定に保存する前に。

暗号化タイプを6または7、入力されたパスワードは、有効なタイプに対してチェックされます。 6または7パスワードの形式で、タイプとして保存されます。 6または7 それぞれ 。

Type-6パスワードは、AES暗号とユーザー定義のプライマリキーを使用して暗号化されます。 これらのパスワードは比較的安全です。 プライマリキーは設定に表示されません。 プライマリキーがわからない場合は、6パスワードは使用できません。 プライマリキーが変更された場合、タイプ 6 として保存されたパスワードは、新しいプライマリキーで再暗号化されます。 プライマリキーの設定が削除された場合、タイプ6のパスワードは復号化できません。これにより、通話と登録の認証に失敗する可能性があります。

構成をバックアップする場合、または構成を別のデバイスに移行する場合、プライマリキーはダンプされません。 したがって、プライマリキーは手動で再度設定する必要があります。

暗号化された事前共有キーを設定するには、「暗号化された事前共有キーの設定」を参照してください。

暗号化タイプがの場合、以下の警告メッセージが表示されます。 7が設定されています。 警告: タイプ 7 パスワードを使用して設定にコマンドが追加されました。 ただし、タイプ 7 のパスワードはまもなく廃止されます。 サポートされているパスワード タイプ 6 に移行します。

シグナリングおよびメディアパケットのソースアドレスを特定のインターフェイスのIPv4またはIPv6アドレスにバインドするには、バインド SIP 設定モードの コマンド。 バインディングを無効にするには、いいえ このコマンドの 形式。

bind { control|media|all } source-interfaceinterface-id { ipv4-addressipv4-address|ipv6-addressipv6-address }

nobind { control|media|all } sourceinterfaceinterface-id { ipv4-addressipv4-address|ipv6-addressipv6-address }

コマンドのデフォルト: バインディングが無効です。

コマンドモード: SIP 設定 (conf-serv-sip) および音声クラス テナント。

使用ガイドライン: Async、Ethernet、FastEthernet、Loopback、および Serial（Frame Relay を含む）は、SIP アプリケーション内のインターフェイスです。

被験者がバインドコマンドが有効になっていない場合、IPv4レイヤーは最良のローカルアドレスを提供します。

Call-Homeの基本設定を有効にするには、コールホームレポート グローバル設定モードのコマンド。

コールホームレポート { anonymous |contact-email-addr } [ http-proxy { ipv4-address |ipv6-address |name } ポート port-number ]

コマンドのデフォルト: デフォルトの動作や値はありません

コマンドモード: グローバル構成（構成）

使用ガイドライン: を使用して匿名モードまたはフル登録モードでコールホームを有効にした後 コールホームレポートコマンド、インベントリメッセージが送信されます。 Call-Home がフル登録モードで有効になっている場合、フル登録モードのフルインベントリメッセージが送信されます。 Call-Home が匿名モードで有効になっている場合、匿名のインベントリ メッセージが送信されます。 メッセージの詳細については、「アラートグループのトリガーイベントとコマンド」を参照してください。

Cisco Unified SRST サポートを有効にし、call-manager-fallback 設定モードを入力するには、call-managerフォールバック グローバル設定モードのコマンド。 Cisco Unified SRST サポートを無効にするには、いいえ このコマンドの 形式。

コールマネージャのフォールバック

いいえcall-manager-fallback

このコマンドには引数やキーワードはありません。

コマンドのデフォルト: デフォルトの動作や値はありません。

コマンドモード: グローバル構成

TLS ハンドシェイク中にピア証明書のサーバー、クライアント、または双方向の ID 検証を有効にするには、コマンド を使用します。 cnさんの検証 音声クラス tls プロファイルの設定モードで。 証明書の ID 検証を無効にするには、いいえ このコマンドの 形式。

cnsanvalidate { server|client|bidirectional }

nocnsanvalidate { server|client|bidirectional }

コマンドのデフォルト: ID 検証が無効になっています。

コマンドモード: 音声クラスの設定 (config-class)

使用ガイドライン: サーバーID検証は、グローバルを通じて安全なシグナリング接続に関連付けられています。 暗号シグナリング、音声クラスtlsプロファイルの構成。

このコマンドは、クライアント、双方向性 キーワード。 クライアント オプションを使用すると、サーバは、提供された証明書に含まれる CN および SAN ホスト名を cn-san FQDN の信頼できるリストと照合して、クライアントの ID を検証できます。 一致が見つかった場合にのみ、接続が確立されます。 この cn-san FQDN のリストは、セッション ターゲットのホスト名に加えて、サーバ証明書の検証にも使用されるようになりました。 双方向性オプションは、の両方を組み合わせることにより、クライアントとサーバーの両方の接続のピアIDを検証します。 サーバー、クライアントモード。 を設定したら cnさんの検証、ピア証明書のアイデンティティは、新しい TLS 接続ごとに検証されます。

インバウンドまたはアウトバウンド TLS 接続のピア証明書に対して検証する完全修飾ドメイン名（FQDN）名のリストを設定するには、CNさん 音声クラス tls プロファイル設定モードの コマンド。 cn-san 証明書検証エントリを削除するには、いいえ このコマンドの 形式。

cnさん{1-10}fqdn

いいえcnさん{1-10}fqdn

コマンドのデフォルト: cn-san 名が設定されていません。

コマンドモード: 音声クラス TLS プロファイルの設定モード (config-class)

使用ガイドライン: ピア証明書の検証に使用される FQDN は、最大 10 個の TLS プロファイルに割り当てられます。CNさん エントリ。 TLS 接続が確立される前に、証明書の共通名（CN）またはサブジェクト代替名（SAN）フィールドのいずれかで、これらのエントリの少なくとも 1 つを FQDN に一致させる必要があります。 CN または SAN フィールドで使用されるドメインホストに一致させるには、CNさん エントリはドメインワイルドカードで設定できます。形式は *.domain-name (例: *.cisco.com) です。 ワイルドカードの他の使用は許可されていません。

インバウンド接続の場合、リストはクライアント証明書の CN および SAN フィールドを検証するために使用されます。 アウトバウンド接続の場合、リストはセッションターゲットホスト名とともにサーバ証明書の CN および SAN フィールドを検証するために使用されます。

サーバ証明書は、SIP セッションのターゲット FQDN を CN または SAN フィールドに一致させることによって検証することもできます。

ダイヤル ピアで使用する優先コーデックのリストを指定するには、コーデック プリファレンス 音声クラス設定モードのコマンド。 この機能を無効にするには、いいえ このコマンドの 形式。

codecpreferencevalueコーデックタイプ

nocodecpreferencevalueコーデックタイプ

コマンドのデフォルト: このコマンドが入力されていない場合、設定で特定の種類のコーデックが識別されません。

コマンドモード: 音声クラスの設定 (config-class)

使用ガイドライン: WAN の反対側のルータは、ネットワーク ダイヤル ピアのコーデックの選択をネゴシエートする必要がある場合があります。 コーデック プリファレンスコマンドは、接続のネゴシエートされたコーデックを選択するための優先順位を指定します。 以下の表では、コーデックとパケット ボイス プロトコルのボイス ペイロード オプションとデフォルト値について説明します。

UDP経由でリクエストを送信するためにグローバル・リスナー・ポートを使用するには、接続の再利用 sip-ua モードまたは音声クラス テナント設定モードの コマンド。 無効にするには、いいえ このコマンドの 形式。

connection-reuse { via-port |system }

noconnection-reuse { viaポート|system }

コマンドのデフォルト: ローカル ゲートウェイは、UDP 経由でリクエストを送信するために、一時的な UDP ポートを使用します。

コマンドモード: SIP UA 設定 (config-sip-ua)、音声クラス テナント設定 (config-class)

使用ガイドライン: このコマンドを実行すると、UDP 経由でリクエストを送信するための Use listener ポートが有効になります。 通常の非セキュア SIP のデフォルトのリスナー ポートは 5060 で、セキュア SIP は 5061 です。 を設定する listen-port [non-secure | secure]port コマンド in voice service voip > sip configuration mode to change the global UDP port.

アプリケーションに割り当てられたCPU割り当てまたはユニットを変更するには、cpu カスタム アプリケーション リソース プロファイル設定モードの コマンド。 アプリケーション提供のCPU割り当てに戻すには、いいえ このコマンドの 形式。

CPUユニット

いいえcpuユニット

コマンドのデフォルト: デフォルトの CPU はプラットフォームによって異なります。

コマンドモード: カスタム アプリケーション リソース プロファイルの設定 (config-app-resource-profile-custom)

使用ガイドライン: CPUユニットは、アプリケーションによる最小限のCPU割り当てです。 合計 CPU ユニットは、ターゲットデバイスで測定された正規化された CPU ユニットに基づいています。

各アプリケーションパッケージ内では、アプリケーションに必要な推奨CPU負荷、メモリサイズ、仮想CPU(vCPU)の数を定義するアプリケーション固有のリソースプロファイルが提供されます。 このコマンドを使用して、カスタム リソース プロファイル内の特定のプロセスのリソースの割り当てを変更します。

アプリケーション パッケージで指定された予約済みリソースは、カスタム リソース プロファイルを設定することで変更できます。 変更できるのは、CPU、メモリ、および vCPU リソースだけです。 リソースの変更を有効にするには、アプリケーションを停止して無効にし、アクティベートしてから再度起動します。

リソース値はアプリケーション固有の値であり、これらの値への調整は、アプリケーションが確実に変更を実行できるようにする必要があります。

Cisco IOS Session Initiation Protocol（SIP）時間分割多重化（TDM）ゲートウェイ、Cisco Unified Border Element（Cisco UBE）、またはCisco Unified Communications Manager Express（Cisco Unified CME）を設定してUP状態でSIP登録メッセージを送信するには、資格情報 SIP UA 設定モードまたは音声クラス テナント設定モードの コマンド。 SIP ダイジェスト認証情報を無効にするには、いいえ このコマンドの 形式。

credentials { dhcp|numbernumberusernameusername } password { 0|6|7 } passwordrealmrealm

nocredentials { dhcp|numbernumber usernameusername } password { 0|6|7 } passwordrealmrealm

コマンドのデフォルト: SIP ダイジェスト クレデンシャルが無効になっています。

コマンドモード: SIP UA 設定 (config-sip-ua) と音声クラス テナント設定 (config-class)。

使用ガイドライン: クレデンシャルが有効になっている場合は、次の設定ルールが適用されます。

• すべてのドメイン名に対して有効なパスワードは 1 つだけです。 新しく設定されたパスワードは、以前に設定されたパスワードを上書きします。

• パスワードは、資格情報コマンドが設定され、ショー 実行中の設定 コマンドが使用されます。

DHCPとは コマンドの キーワードは、プライマリ番号が DHCP 経由で取得され、コマンドが有効になっている Cisco IOS SIP TDM ゲートウェイ、Cisco UBE、または Cisco Unified CME がこの番号を使用して受信したプライマリ番号を登録または登録解除することを意味します。

パスワードの暗号化タイプを指定することは必須です。 テキストのパスワードが入力されている場合(0.) が設定されており、型として暗号化されています。 6 実行中の設定に保存する前に。

暗号化タイプを6または7、入力されたパスワードは、有効なタイプに対してチェックされます。 6または7パスワードの形式で、タイプとして保存されます。 6または7 それぞれ 。

Type-6パスワードは、AES暗号とユーザー定義のプライマリキーを使用して暗号化されます。 これらのパスワードは比較的安全です。 プライマリキーは設定に表示されません。 プライマリキーがわからない場合は、6パスワードは使用できません。 プライマリキーが変更された場合、タイプ 6 として保存されたパスワードは、新しいプライマリキーで再暗号化されます。 プライマリキーの設定が削除された場合、タイプ6のパスワードは復号化できません。これにより、通話と登録の認証に失敗する可能性があります。

構成をバックアップする場合、または構成を別のデバイスに移行する場合、プライマリキーはダンプされません。 したがって、プライマリキーは手動で再度設定する必要があります。

暗号化された事前共有キーを設定するには、「暗号化された事前共有キーの設定」を参照してください。

警告: タイプ 7 パスワードを使用して設定にコマンドが追加されました。 ただし、タイプ 7 のパスワードはまもなく廃止されます。 サポートされているパスワード タイプ 6 に移行します。

YANG では、2 つの異なる領域で同じユーザー名を設定することはできません。

SDP で Cisco Unified Border Element（CUBE）によって提供される SRTP 暗号スイートの基本設定を指定して回答するには、クリプト 音声クラス設定モードのコマンド。 この機能を無効にするには、いいえ このコマンドの 形式。

暗号設定暗号スイート

いいえ暗号設定暗号スイート

コマンドのデフォルト: このコマンドが設定されていない場合、デフォルトの動作は次の優先順位で srtp-cipher スイートを提供することです。

• サイズ__256_GCM

• サイズ__128_GCM

• AES_CM_128_HMAC_SHA1_80

• AES_CM_128_HMAC_SHA1_32

コマンドモード: 音声クラス srtp-crypto (config-class)

使用ガイドライン: すでに設定されている暗号スイートの設定を変更すると、設定が上書きされます。

Rivest、Shamir、Adelman（RSA）のキーペアを生成するには、暗号キーでRSAを生成 グローバル設定モードのコマンド。

crypto key generate rsa [ { general-keys |usage-keys |signature | encryption } ] [ label key-label ] [ exportable ] [ modulus modulus-size ] [ storage devicename : ] [ redundancyon devicename : ]

コマンドのデフォルト: RSA キーペアが存在しません。

コマンドモード: グローバル構成（構成）

使用ガイドライン: を使用する 暗号キーでRSAを生成 コマンドを使用して、Cisco デバイス（ルータなど）の RSA キー ペアを生成します。

RSA キーは 1 つの公開 RSA キーと 1 つのプライベート RSA キーのペアで生成されます。

このコマンドを発行するときにルーターがすでに RSA キーを持っている場合、既存のキーを新しいキーに置き換えるよう警告され、プロンプトが表示されます。

暗号キーでRSAを生成コマンドはルータ構成では保存されません。ただし、このコマンドによって生成されたRSAキーは、次回構成がNVRAMに書き込まれたときに、NVRAMのプライベート構成に保存されます(ユーザーに表示されたり、別のデバイスにバックアップされたりすることはありません)。

• 特別な使用法のキー: 特殊使用キーを生成すると、2 組の RSA キーが生成されます。 1つのペアは、認証方法としてRSA署名を指定するIKEポリシーで使用され、もう1つのペアは、認証方法としてRSA暗号化キーを指定するIKEポリシーで使用されます。

  CA は RSA 署名を指定する IKE ポリシーでのみ使用され、RSA 暗号化ノンスを指定する IKE ポリシーでは使用されません。 (ただし、複数の IKE ポリシーを指定でき、1 つのポリシーで RSA 署名が指定され、別のポリシーで RSA 暗号化されたノンスが指定されます。)

  IKE ポリシーで両方のタイプの RSA 認証方法を使用する場合は、特殊使用キーを生成することをお勧めします。 特殊使用キーでは、各キーが不必要に露出したわけではありません。 (特殊使用キーなしでは、両方の認証方法に 1 つのキーが使用され、そのキーの露出が増加します)。

• 汎用キー: 汎用キーを生成する場合、RSA キーのペアは 1 つだけ生成されます。 このペアは、RSA 署名または RSA 暗号化キーのいずれかを指定する IKE ポリシーで使用されます。 したがって、汎用キーペアは、特殊用途のキーペアよりも頻繁に使用される可能性があります。

• 名前付きキーペア: key-label引数を使用して名前付きキーペアを生成する場合は、使用キーキーワードまたは汎用キー キーワード。 名前付きキーペアを使用すると、複数の RSA キーペアを持つことができ、Cisco IOS ソフトウェアは ID 証明書ごとに異なるキーペアを維持できます。

• 係数長さ: RSA キーを生成すると、係数長を入力するように求められます。 係数が長いほど、セキュリティが強くなります。 ただし、モジュールが長くなると、生成にかかる時間が長くなり（サンプル時間については下の表を参照）、使用にかかる時間が長くなります。

  表 2. RSAキーを生成するためのモジュラス長によるサンプル時間

  ルータ	360ビット	512 ビット	1024 ビット	2048ビット（最大）
  Cisco 2500（シスコ 2500）	11秒	20 秒	4分38秒	1時間以上
  シスコの 4700	1秒未満	1 秒	4秒	50秒

  Cisco IOS ソフトウェアは、4096 ビットを超えるモジュラスをサポートしていません。 通常、512ビット以下の長さは推奨されません。 特定の状況では、IKEでは短い係数が正しく機能しない場合があるため、2048ビットの最小係数を使用することをお勧めします。

  RSAキーが暗号化ハードウェアによって生成された場合、追加の制限が適用される場合があります。 たとえば、RSA キーが Cisco VPN Services Port Adapter（VSPA）によって生成される場合、RSA キー係数は少なくとも 384 ビットで、64 の倍数である必要があります。

• RSA キーの保存場所を指定する: を発行するとき 暗号キーでRSAを生成コマンドとストレージ デビセナム : キーワードと引数、RSA キーは指定されたデバイスに保存されます。 このロケーションは、暗号キーストレージコマンド設定。

• RSA キー生成用のデバイスの指定: RSA キーが生成されるデバイスを指定できます。 サポートされているデバイスは、NVRAM、ローカルディスク、および USB トークンです。 ルーターに USB トークンが設定され、使用可能な場合、USB トークンはストレージデバイスに加えて暗号化デバイスとして使用できます。 暗号化デバイスとして USB トークンを使用すると、トークンで資格情報の鍵生成、署名、認証などの RSA 操作を実行できます。 秘密鍵はUSBトークンを残さず、エクスポートできません。 公開鍵はエクスポート可能です。

  RSAキーは、設定済みで利用可能なUSBトークンで、デビセナム : キーワードと引数。 USB トークン上に存在するキーは、生成されたときに永続的なトークンストレージに保存されます。 USB トークンで生成できるキーの数は、使用可能なスペースによって制限されます。 USB トークンでキーを生成しようとすると、そのキーがいっぱいになると、次のメッセージが表示されます。

  % Error in generating keys:no available resources 

  キーを削除すると、トークンに保存されているキーがすぐに永続ストレージから削除されます。 (トークン上にないキーは、トークン以外のストレージの場所に保存または削除されます。コピー または同様のコマンドが発行されます)。

• デバイスで RSA キー冗長生成を指定する: 既存のキーがエクスポート可能な場合にのみ冗長性を指定できます。

認証局（CA）を認証するには（CAの証明書を取得することによって）、 グローバル設定モードのcryptopkiauthenticateコマンド

cryptopki認証済み名

コマンドのデフォルト: デフォルトの動作や値はありません。

コマンドモード: グローバル構成（構成）

使用ガイドライン: このコマンドは、ルータで CA サポートを最初に設定するときに必要です。

このコマンドは、CA の公開キーを含む CA の自己署名証明書を取得することで、ルーターへの CA を認証します。 CA は独自の証明書に署名するため、このコマンドを入力するときに CA 管理者に連絡して、CA の公開キーを手動で認証する必要があります。

ルータ広告（RA）モードを使用している場合（登録コマンド) を発行するとき クリプト パキ 認証済み コマンドを実行すると、登録権限の署名と暗号化証明書が CA と CA 証明書から返されます。

このコマンドはルータ構成に保存されません。 ただし、受信したCA(およびRA)証明書に埋め込まれた公開鍵は、Rivest、Shamir、Adelman(RSA)公開鍵レコード(「RSA公開鍵チェーン」と呼ばれる)の一部として構成に保存されます。

このコマンドが発行された後に CA がタイムアウト期間で応答しない場合、端末制御が返され、引き続き使用可能になります。 この場合、コマンドを再入力する必要があります。 Cisco IOS ソフトウェアは、2049 年以降に設定された CA 証明書の有効期限を認識しません。 CA 証明書の有効期間が 2049 年以降に期限切れに設定されている場合、CA サーバでの認証が試行されると、次のエラー メッセージが表示されます。 証明書の取得エラー :incomplete チェーン これに似たエラーメッセージが表示された場合は、CA 証明書の有効期限を確認してください。 CA 証明書の有効期限が 2049 年以降に設定されている場合は、有効期限を 1 年以上短縮する必要があります。

証明書をTFTP経由で、または端末の切り貼りとして手動でインポートするには、 グローバル設定モードのcryptopkiimportコマンド

cryptopkiimportname証明書

コマンドのデフォルト: デフォルトの動作や値はありません

コマンドモード: グローバル構成（構成）

使用ガイドライン: を入力する必要があります。 暗号PKIインポートコマンドは、使用キー(署名キーと暗号化キー)が使用されている場合に2回実行します。 コマンドが最初に入力されると、証明書の 1 つがルータに貼り付けられます。2 回目にコマンドが入力されると、他の証明書がルータに貼り付けられます。 (どの証明書が最初に貼り付けられているかは関係ありません。)

ルータが使用するトラストポイントを宣言するには、 グローバル設定モードのcryptopkitrustpointコマンド trustPointに関連するすべてのID情報と証明書を削除するには、いいえ このコマンドの 形式。

cryptopkitrustpointname冗長性

いいえcryptopkitrustpointname冗長性

コマンドのデフォルト: このコマンドを使用してトラストポイントを宣言するまで、ルータはトラストポイントを認識しません。 ルーターは、ネットワークで設定されているように、Online Certificate Status Protocol（OCSP）サーバとの通信中に一意の識別子を使用します。

コマンドモード: グローバル構成（構成）

使用ガイドライン:

トラストポイントの宣言

を使用する クリプト パキ トラストポイント コマンドは、自己署名ルート証明機関 (CA) または従属 CA であるトラストポイントを宣言します。 を発行する クリプト パキ トラストポイント コマンドを使用すると、ca-trustpoint 設定モードになります。

次のサブコマンドを使用して、トラストポイントの特性を指定できます。

• crl:証明書失効リスト（CRL）に問い合わせて、ピアの証明書が失効していないことを確認します。

• default(ca-trustpoint):ca-trustpoint 設定モードのサブコマンドの値をデフォルトにリセットします。

• enrollment: 登録パラメータを指定します (オプション)。

• enrollmenthttp-proxy—プロキシ サーバを介して HTTP によって CA にアクセスします。

• enrollmentselfsigned: 自己署名による登録を指定します（オプション）。

• matchcertificate—で定義された証明書ベースのアクセスコントロールリスト（ACL）を関連付けます。 cryptocacertificatemapコマンド。

• ocspdisable-nonce: ルーターが OCSP 通信中に一意の識別子またはノンを送信しないように指定します。

• プライマリ:指定されたトラストポイントをルータのプライマリ トラストポイントとして割り当てます。

• root:CA 証明書を取得するための TFTP を定義し、サーバの名前と CA 証明書を保存するファイルの名前の両方を指定します。

一意の識別子の使用を指定する

取り消し方法として OCSP を使用する場合、OCSP サーバとのピア通信中に、一意の識別子またはノンスがデフォルトで送信されます。 OCSP サーバ通信中に一意の識別子を使用することで、より安全で信頼性の高い通信が可能になります。 ただし、すべての OCSP サーバが固有の入れ歯の使用をサポートしているわけではありません。詳細については、OCSP マニュアルを参照してください。 OCSP通信中に一意の識別子の使用を無効にするには、オックス 無効にする サブコマンド。

既存のCAバンドルを更新または置き換えるために、認証局（CA）証明書バンドルを公開鍵インフラストラクチャ（PKI）トラストプールに手動でインポート（ダウンロード）するには、暗号 PKI トラストプール インポート グローバル設定モードのコマンド。 設定されているパラメータを削除するには、いいえ このコマンドの 形式。

cryptopkitrustpoolimportclean [ terminal|urlurl ]

いいえcryptopki trustpoolimportclean [ terminal|urlurl ]

コマンドのデフォルト: PKI トラストプール機能が有効になっています。 ルータは、Cisco から自動的に更新される PKI トラストプールの組み込み CA 証明書バンドルを使用します。

コマンドモード: グローバル構成（構成）

セキュリティの脅威、およびそれらから保護するのに役立つ暗号化技術は、常に変化しています。 最新の Cisco 暗号化推奨事項の詳細については、Next Generation Encryption (NGE) ホワイトペーパーを参照してください。

PKI トラストプール証明書は、Cisco から自動的に更新されます。 PKI トラストプール証明書が最新でない場合は、暗号 PKI トラストプール インポート コマンドで別の場所から更新します。

URL 引数は、CA の URL ファイルシステムを指定または変更します。 以下の表は、使用可能な URL ファイルシステムの一覧です。

表 3. URL ファイルシステム

ファイルシステム	説明
アーカイブ:	アーカイブファイルシステムからインポートします。
CNS:	クラスタ名前空間（CNS）ファイルシステムからインポートします。
ディスク0:	disc0 ファイル システムからインポートします。
ディスク1:	ディスク1ファイルシステムからインポートします。
FTP:	FTP ファイルシステムからインポートします。
http:	HTTP ファイル システムからインポートします。 URL は次の形式である必要があります。 http://ユーザー名:80、コードネームはドメインネームシステム(DNS)です http://ipv4 アドレス:80。 例: http://10.10.10.1:80. http://[ipv6-アドレス]:80だ 例: http://[2001:DB8:1:1::1]:80。 IPv6 アドレスは 16 進表記であり、URL の括弧で囲む必要があります。
https://https://	HTTPS ファイルシステムからインポートします。 URL は HTTP と同じ形式を使用する必要があります。 ファイルシステム形式。
ヌル:	null ファイル システムからインポートします。
NVRAM:	NVRAM ファイルシステムからインポートします。
プラム:	パラメータランダムアクセスメモリ（PRAM）ファイルシステムからインポートします。
rcp（盲検期）:	リモートコピープロトコル（rcp）ファイルシステムからインポートします。
SCP:	セキュアコピープロトコル（scp）ファイルシステムからインポートします。
スナップ:	Simple Network Management Protocol（SNMP）からのインポート。
システム:	システム ファイル システムからインポートします。
タール:	UNIX tar ファイルシステムからインポートします。
TFTP:	TFTP ファイル システムからインポートします。   URL は from にする必要があります。 tftp://CAname/ファイル仕様だ
tmpsys（tmpsys）:	Cisco IOS tmpsys ファイル システムからインポートします。
UNIX:	UNIX ファイルシステムからインポートします。
xmodem:	xmodem シンプル ファイル転送プロトコル システムからインポートします。
イモデム:	Ymodem Simple File Transfer Protocol システムからインポートします。

を識別するには trustpointtrustpoint-nameキーワードと引数は、リモート デバイス アドレスに対応する Transport Layer Security (TLS) ハンドシェイクで使用します。暗号シグナリング SIP ユーザ エージェント（UA）設定モードの コマンド。 デフォルトのにリセットするには トラストポイント文字列、を使用します いいえ このコマンドの 形式。

暗号シグナリング { default|remote-addr ip-address subnet-mask } [ tls-profile tag |trustpoint trustpoint-name ] [ cn-san validation server ] [ client-vtp trustpoint-name ] [ ecdsa-cipher |curve-size 384 |strict-cipher ]

nocrypto signaling { default|remote-addr ip-address subnet-mask } [ tls-profile tag |trustpoint trustpoint-name ] [ cn-san validation server ] [ client-vtp trustpoint-name ] [ ecdsa-cipher |curve-size 384 |strict-cipher ]

コマンドのデフォルト: 暗号シグナリングコマンドが無効になっています。

コマンドモード: SIP UA の設定 (sip-ua)

使用ガイドライン: trustpointtrustpoint-name キーワードと引数は、Cisco IOS PKI コマンドを使用して登録プロセスの一環として生成された CUBE 証明書を指します。

単一の証明書が設定されている場合、すべてのリモートデバイスで使用され、デフォルト キーワード。

複数の証明書を使用する場合、リモート-addr 各トラストポイントの 引数。 リモート-addrとデフォルトの引数は、必要に応じてすべてのサービスをカバーするために一緒に使用できます。

この場合のデフォルトの暗号スイートは、CUBE の SSL レイヤーでサポートされている次のセットです。 TLS_RSA_と_RC4_128_MD5 TLS_RSA_と_AES_128_CBC_SHA TLS_DHE_RSA___128_CBC_SHA1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA___256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA___256_GCM_SHA384

キーワード cnさんの検証 サーバーは、クライアント側のSIP/TLS接続を確立する際に、証明書のCNおよびSANフィールドを介してサーバーアイデンティティ検証を有効にします。 サーバ証明書の CN および SAN フィールドの検証により、サーバ側のドメインが有効なエンティティであることが保証されます。 SIP サーバとのセキュアな接続を作成する場合、CUBE は TLS セッションを確立する前に、サーバの証明書の CN/SAN フィールドに対して設定されたセッション ターゲット ドメイン名を検証します。 を設定したら cnさんの検証 サーバーは、新しいTLS接続ごとにサーバIDの検証が行われます。

tlsプロファイルオプションは、関連するを通じて作成されたTLSポリシー構成を関連付けます。 音声クラスtlsプロファイルの設定。 で直接使用可能なTLSポリシーオプションに加えて、 暗号シグナリングコマンド、tlsプロファイルにはも含まれます SNIの送信オプション。

sni send は、TLS クライアントが最初の TLS ハンドシェイクプロセス中に接続しようとしているサーバの名前を示すことを可能にする TLS 拡張機能、サーバ名表示（SNI）を有効にします。 サーバの完全修飾された DNS ホスト名だけがクライアント hello で送信されます。 SNI は IPv4 および IPv6 アドレスをクライアントの hello 拡張でサポートしていません。 TLS クライアントからサーバ名を持つ "HELLO" を受信した後、サーバはその後の TLS ハンドシェイクプロセスで適切な証明書を使用します。 SNI には TLS バージョン 1.2 が必要です。

TLSポリシー機能は、音声クラスtlsプロファイルの設定。 暗号シグナリングコマンドは、既存の既存のTLS暗号オプションを引き続きサポートします。 以下のいずれかを使用できます。音声クラスtlsプロファイルタグまたは暗号シグナリング コマンドでトラストポイントを設定します。 を使用することをお勧めします。 TLSプロファイル設定を実行するためのvoice class tls-profiletagコマンド。