인증, 인증 및 회계(AAA) 액세스 제어 모델을 활성화하려면 aaa 새 모델은(는) 전역 구성 모드에서 명령합니다. AAA 액세스 제어 모델을 비활성화하려면 아니요 이 명령어의 형태입니다.

AAA 신모델

AAA 신모델

이 명령어에는 인수 또는 키워드가 없습니다.

명령 기본값: AAA가 활성화되지 않았습니다.

명령 모드: 글로벌 구성(구성)

사용 지침: 이 명령은 AAA 액세스 제어 시스템을 활성화합니다.

로그인 시 인증, 인증 및 회계(AAA) 인증을 설정하려면 aaa 인증 로그인은(는) 전역 구성 모드에서 명령합니다. AAA 인증을 비활성화하려면 아니요 이 명령어의 형태입니다.

aaa 인증 로그인 {기본 |list-name } method1 [method2...]

noaaa 인증 로그인 {기본 |list-name } method1 [method2...]

명령 기본값: 로그인 시 AAA 인증이 비활성화됩니다.

명령 모드: 글로벌 구성(구성)

사용 지침: 기본값 키워드가 설정되지 않았습니다. 로컬 사용자 데이터베이스만 선택되어 있습니다. 이는 다음 명령어와 동일한 효과를 가집니다.

aaa authentication login default local

콘솔에서 로그인은 기본값 키워드가 설정되지 않았습니다.

을(를) 사용하여 생성하는 기본 및 선택적 목록 이름 aaa 인증 로그인 명령은 과(와) 함께 사용됩니다. 로그인 인증 명령어

을(를) 입력하여 목록을 만드십시오. aaa 인증 로그인 특정 프로토콜에 대한 list-name 메서드 명령어 목록 이름 인수는 사용자가 로그인할 때 활성화된 인증 방법의 목록을 지정하는 데 사용되는 문자 문자열입니다. 메서드 인수는 주어진 시퀀스에서 인증 알고리즘이 시도하는 메서드 목록을 식별합니다. "목록 이름 인수에 사용할 수 없는 인증 방법" 섹션에는 목록 이름 인수에 사용할 수 없는 인증 방법이 나열되고 아래 표에서는 메서드 키워드를 설명합니다.

회선에 할당된 목록이 없는 경우 사용되는 기본 목록을 만들려면 로그인 인증 기본 인수로 명령하고 기본 상황에서 사용할 메서드를 따릅니다.

비밀번호는 사용자 자격 증명을 인증하도록 한 번만 안내되며, 연결 문제로 인한 오류의 경우 추가 인증 방법을 통해 여러 번의 재시도가 가능합니다. 그러나 다음 인증 방법으로 전환하는 작업은 이전 메서드가 오류를 반환하는 경우에만 발생하며, 실패하는 경우에는 발생하지 않습니다. 모든 방법이 오류를 반환하는 경우에도 인증이 성공하도록 하려면 없음은(는) 명령줄의 최종 메서드로 사용됩니다.

인증이 특정 회선에 대해 설정되지 않은 경우, 기본값은 액세스를 거부하고 인증이 수행되지 않는 것입니다. 사용 더 많은 시스템:running-config 명령어를 사용하여 현재 구성된 인증 방법 목록을 표시합니다.

목록 이름 인수에 사용할 수 없는 인증 방법

목록 이름 인수에 사용할 수 없는 인증 방법은 다음과 같습니다.

• 인증-게스트

• 활성화

• 고객

• 인증된 경우

• 필요한 경우

• QR 코드

• krb 인스턴스

• KRB 텔레넷

• 선

• 로컬

• 없음

• 반지름

• RSS 피드

• 타크닉

• 타악기

아래 표에서 그룹 반경, 그룹 tacacs +, 그룹 ldap 및 그룹 그룹 이름 메서드는 이전에 정의된 RADIUS 또는 TACACS+ 서버의 집합을 나타냅니다. radius-server 호스트 및 tacacs-server 호스트 명령을 사용하여 호스트 서버를 구성합니다. aaa 그룹 서버 반경, aaa 그룹 서버 ldap 및 aaa 그룹 서버 tacacs+ 명령을 사용하여 명명된 서버 그룹을 만듭니다.

아래 표는 방법 키워드를 설명합니다.

키워드	설명
캐시 그룹 이름	인증에 대해 캐시 서버 그룹을 사용합니다.
활성화	인증을 위해 활성화 암호를 사용합니다. 이 키워드를 사용할 수 없습니다.
그룹 그룹 이름	RADIUS 또는 TACACS+ 서버의 하위 집합을 사용하여 aaa 그룹 서버 반경 또는 aaa 그룹 서버 tacacs+ 명령어
그룹ldap	인증을 위해 모든 LDAP(Lightweight Directory Access Protocol) 서버의 목록을 사용합니다.
그룹반경	인증을 위해 모든 RADIUS 서버 목록을 사용합니다.
그룹tacacs+	인증을 위해 모든 TACACS+ 서버의 목록을 사용합니다.
QR 코드	인증을 위해 Kerberos 5를 사용합니다.
KRB5 텔넷	Telnet을 사용하여 라우터에 연결할 때 Kerberos 5 Telnet 인증 프로토콜을 사용합니다.
선	인증을 위해 회선 암호를 사용합니다.
로컬	인증을 위해 로컬 사용자 이름 데이터베이스를 사용합니다.
로컬 케이스	대소문자를 구분하는 로컬 사용자 이름 인증을 사용합니다.
없음	인증을 사용하지 않습니다.
passwd-만료	로컬 인증 목록에서 암호 사용 기간을 활성화합니다.   radius server vsa 전송 인증을(를) 만들기 위해 명령이 필요합니다. 암호 만료 키워드 작업

네트워크에 대한 사용자 액세스를 제한하는 매개 변수를 설정하려면 aaa 인증은(는) 전역 구성 모드에서 명령합니다. 매개변수를 제거하려면 아니요 이 명령어의 형태입니다.

오아시스인증 {\cH}(으) 인증-프록시|캐시|명령어수준 |config-명령어|설정|콘솔|임원진|IP모바일|멀티캐스트|네트워크|정책-if|선불|radius-프록시|역방향 액세스|가입자 서비스|템플릿{\cHBFFFFF}개기본값|목록 이름 한국어 (KR)방법1 [ 편집 ]방법2... ]]

없음오아시스인증 {\cH}(으) 인증-프록시|캐시|명령어수준 |config-명령어|설정|콘솔|임원진|IP모바일|멀티캐스트|네트워크|정책-if|선불|radius-프록시|역방향 액세스|가입자 서비스|템플릿{\cHBFFFFF}개기본값|목록 이름 한국어 (KR)방법1 [ 편집 ]방법2... ]]

명령 기본값: 모든 작업에 대해 인증이 비활성화됩니다(메서드 키워드 없음 ).

명령 모드: 글로벌 구성(구성)

사용 지침: aaa 인증 명령을 사용하여 인증을 활성화하고 명명된 메서드 목록을 생성합니다. 이는 사용자가 지정된 기능에 액세스할 때 사용할 수 있는 인증 메서드를 정의합니다. 인증에 대한 방법 목록은 인증이 수행될 방법과 이러한 방법이 수행될 순서를 정의합니다. 메서드 목록은 순서대로 사용해야 하는 인증 메서드(예: RADIUS 또는 TACACS+)를 설명하는 명명된 목록입니다. 메서드 목록을 사용하면 인증에 사용할 하나 이상의 보안 프로토콜을 지정할 수 있으므로 초기 메서드가 실패하는 경우 백업 시스템을 보장할 수 있습니다. Cisco IOS 소프트웨어는 나열된 첫 번째 방법을 사용하여 특정 네트워크 서비스에 대해 사용자에게 권한을 부여합니다. 해당 방법이 응답하지 않는 경우 Cisco IOS 소프트웨어는 메서드 목록에 나열된 다음 방법을 선택합니다. 이 프로세스는 나열된 인증 방법과의 성공적인 통신이 이루어질 때까지 또는 정의된 모든 방법이 소진될 때까지 계속됩니다.

Cisco IOS 소프트웨어는 이전 방법에 대한 응답이 없는 경우에만 다음 나열된 방법으로 인증을 시도합니다. 이 주기의 어느 시점에서든 인증이 실패하는 경우 - 즉, 보안 서버 또는 로컬 사용자 이름 데이터베이스가 사용자 서비스를 거부하여 응답하는 경우 - 인증 프로세스가 중지되고 다른 인증 방법이 시도되지 않습니다.

특정 인증 유형에 대한 aaa 인증 명령이 지정된 명명된 메서드 목록 없이 발급되는 경우, 지정된 메서드 목록이 명시적으로 정의된 것을 제외한 모든 인터페이스 또는 회선(이 인증 유형이 적용되는 경우)에 기본 메서드 목록이 자동으로 적용됩니다. (정의된 메서드 목록이 기본 메서드 목록을 무시합니다.) 기본 메서드 목록이 정의되지 않은 경우 승인이 이루어지지 않습니다. 기본 인증 방법 목록을 사용하여 RADIUS 서버에서 IP 풀을 다운로드하는 등의 아웃바운드 인증을 수행해야 합니다.

aaa 인증 명령을 사용하여 목록 이름 및 메서드 인수에 대한 값을 입력하여 목록을 만듭니다. 여기서 목록 이름은 이 목록(모든 메서드 이름 제외)의 이름을 지정하는 데 사용되는 문자열이고 메서드는 지정된 시퀀스에서 시도된 인증 메서드의 목록을 식별합니다.

aaa 인증 명령은 13개의 개별 메서드 목록을 지원합니다. 예:

aaa 인증 구성 methodlist1 그룹 반경

aaa 인증 구성 methodlist2 그룹 반경

...

aaa 인증 구성 methodlist13 그룹 반경

아래 표에서 그룹 그룹 이름, 그룹 ldap, 그룹 radius 및 그룹 tacacs + 메서드는 이전에 정의된 RADIUS 또는 TACACS+ 서버의 집합을 나타냅니다. radius-server 호스트 및 tacacs-server 호스트 명령을 사용하여 호스트 서버를 구성합니다. aaa 그룹 서버 반경 , aaa 그룹 서버 ldap 및 aaa 그룹 서버 tacacs+ 명령을 사용하여 명명된 서버 그룹을 만듭니다.

Cisco IOS 소프트웨어는 인증에 대해 다음 방법을 지원합니다.

• 캐시 서버 그룹--라우터는 캐시 서버 그룹을 참조하여 사용자에 대한 특정 권한을 인증합니다.

• If-Authenticated --사용자가 성공적으로 인증된 경우 요청된 기능에 액세스할 수 있습니다.

• 로컬 --라우터 또는 액세스 서버는 사용자 이름 명령어로 정의된 로컬 데이터베이스를 참조하여 사용자에 대한 특정 권한을 인증합니다. 제한된 기능 집합만 로컬 데이터베이스를 통해 제어할 수 있습니다.

• 없음 --네트워크 액세스 서버는 인증 정보를 요청하지 않습니다. 인증은 이 회선 또는 인터페이스를 통해 수행되지 않습니다.

• RADIUS --네트워크 액세스 서버는 RADIUS 보안 서버 그룹의 인증 정보를 요청합니다. RADIUS 인증은 해당 사용자와 RADIUS 서버의 데이터베이스에 저장된 속성을 연결하여 사용자에 대한 특정 권한을 정의합니다.

• TACACS+ --네트워크 액세스 서버는 인증 정보를 TACACS+ 보안 데몬과 교환합니다. TACACS+ 인증은 적절한 사용자와 함께 TACACS+ 보안 서버의 데이터베이스에 저장된 속성 값(AV) 쌍을 연결하여 사용자에 대한 특정 권한을 정의합니다.

VoIP 네트워크에서 특정 유형의 엔드포인트 간의 연결을 허용하려면 허용-연결 음성 서비스 구성 모드에서 명령합니다. 특정 유형의 연결을 거부하려면 아니요 이 명령어의 형태입니다.

allow-connections유형부터유형

noallow-connections유형부터유형

명령 기본값: SIP-SIP 연결은 기본적으로 비활성화됩니다.

명령 모드: 음성 서비스 구성(config-voi-serv)

사용 지침: 이 명령은 Cisco 다중 서비스 IP-IP 게이트웨이에서 특정 유형의 엔드포인트 간의 연결을 허용하는 데 사용됩니다. 이 명령은 기본적으로 활성화되어 있으며 변경할 수 없습니다.

음성 등록 dn에 있는 모든 장소에서 '#'을(를) 삽입하도록 허용하려면, 허용-해시-인-dn 음성 레지스터 글로벌 모드에서 명령합니다. 이를 비활성화하려면 아니요 이 명령어의 형태입니다.

allow-hash-in-dn, 허용-해시-인-dn

allow-hash-in-dn 없음

명령 기본값: 이 명령은 기본적으로 비활성화됩니다.

명령 모드: 음성 등록 글로벌 구성(config-register-global)

사용 지침: 이 명령이 도입되기 전에 음성 레지스터 dn에서 지원되는 문자는 0-9, + 및 * 였습니다. 사용자가 음성 레지스터 dn에서 # 삽입을 요구할 때마다 새 명령이 활성화됩니다. 이 명령은 기본적으로 비활성화됩니다. 이 명령은 Cisco Unified SRST 및 Cisco Unified E-SRST 모드에서만 구성할 수 있습니다. 문자 #는 음성 레지스터 dn의 어느 곳에서든 삽입할 수 있습니다. 이 명령이 활성화되면 사용자는 을(를) 사용하여 기본 종료 문자(#)를 다른 유효한 문자로 변경해야 합니다. 다이얼 피어 터미네이터은(는) 구성 모드에서 명령합니다.

중복 애플리케이션 구성 모드를 입력하려면 애플리케이션 정리 중복 구성 모드에서 명령합니다.

애플리케이션정리

이 명령어에는 인수 또는 키워드가 없습니다.

명령 기본값: 없음

명령 모드: 중복 구성(구성-빨간색)

사용 지침: 이 애플리케이션 정리 명령어를 사용하여 고가용성을 위해 응용프로그램 중복을 구성합니다.

애플리케이션에 대한 기본 게이트웨이를 설정하려면 앱 디폴트 게이트웨이 애플리케이션 호스팅 구성 모드에서 명령합니다. 기본 gatway를 제거하려면 아니요 이 명령어의 형태입니다.

app-default-gateway [ip-addressguest-interfacenetwork-interface-number] 앱 기본 게이트웨이

앱-디폴트-게이트웨이 없음 [ip-addressguest-interfacenetwork-interface-number]

명령 기본값: 기본 게이트웨이가 구성되지 않았습니다.

명령 모드: 애플리케이션 호스팅 구성 (config-app-hosting)

사용 지침: 사용 앱 디폴트 게이트웨이 명령어를 사용하여 애플리케이션에 대한 기본 게이트웨이를 설정합니다. 게이트웨이 커넥터는 Cisco IOS XE GuestShell 컨테이너에 설치된 애플리케이션입니다.

애플리케이션을 구성하고 애플리케이션 호스팅 구성 모드로 들어가려면 앱 호스팅 appid은(는) 전역 구성 모드에서 명령합니다. 이 응용프로그램을 제거하려면 아니요 이 명령어의 형태입니다.

앱 호스팅 appid애플리케이션 이름

명령 기본값: 애플리케이션이 구성되지 않았습니다.

명령 모드: 글로벌 구성(구성)

사용 지침:애플리케이션 이름 인수는 최대 32자의 영숫자일 수 있습니다.

이 명령을 구성한 후 응용프로그램 호스팅 구성을 업데이트할 수 있습니다.

애플리케이션에서 제공하는 리소스 프로파일을 재정의하려면 앱 리소스 프로필 애플리케이션 호스팅 구성 모드에서 명령합니다. 애플리케이션에서 지정한 리소스 프로파일로 돌아가려면 아니요 이 명령어의 형태입니다.

app-resoure 프로필프로필 이름

앱 리소스 프로필 없음 프로필 이름

명령 기본값: 리소스 프로파일이 구성되었습니다.

명령 모드: 애플리케이션 호스팅 구성 (config-app-hosting)

사용 지침: 애플리케이션 패키지에 지정된 예약 리소스는 사용자 정의 리소스 프로파일을 설정하여 변경할 수 있습니다. CPU, 메모리 및 가상 CPU(vCPU) 리소스만 변경할 수 있습니다. 리소스 변경 사항을 적용하려면 애플리케이션을 중지하고 비활성화한 후 활성화한 후 다시 시작합니다.

사용자 정의 프로필만 지원됩니다.

이 명령은 사용자 정의 애플리케이션 리소스 프로파일을 구성하고 사용자 정의 애플리케이션 리소스 프로파일 구성 모드를 입력합니다.

애플리케이션에 대한 가상 네트워크 인터페이스 게이트웨이를 구성하려면 앱-vnic 게이트웨이 애플리케이션 호스팅 구성 모드에서 명령합니다. 구성을 제거하려면 아니요 이 명령어의 형태입니다.

이 명령은 라우팅 플랫폼에서만 지원됩니다. 플랫폼 전환에서는 지원되지 않습니다.

app-vnic 게이트웨이virtualportgroupnumberguest-interfacenetwork-interface-number

아니요앱-vnic 게이트웨이virtualportgroupnumberguest-interfacenetwork-interface number

명령 기본값: 가상 네트워크 게이트웨이가 구성되지 않았습니다.

명령 모드: 애플리케이션 호스팅 구성 (config-app-hosting)

사용 지침: 애플리케이션에 대한 가상 네트워크 인터페이스 게이트웨이를 구성한 후 명령 모드는 애플리케이션 호스팅 게이트웨이 구성 모드로 변경됩니다. 이 모드에서는 게스트 인터페이스의 IP 주소를 구성할 수 있습니다.

수신 SIP(Session Initiation Protocol) 요청 또는 응답 메시지에서 asserted ID 헤더에 대한 지원을 활성화하고 발신 SIP 요청 또는 응답 메시지에서 ASSERTED ID 프라이버시 정보를 보내려면 어설트-id 음성 서비스 VoIP-SIP 구성 모드 또는 음성 클래스 테넌트 구성 모드에서 명령어. 어설션된 ID 헤더에 대한 지원을 비활성화하려면 아니요 이 명령어의 형태입니다.

asserted-id { pai|ppi } 시스템

noassert-id { pai|ppi } 시스템

명령 기본값: 프라이버시 정보는 Remote-Party-ID(RPID) 헤더 또는 FROM 헤더를 사용하여 전송됩니다.

명령 모드: 음성 서비스 VoIP-SIP 구성(conf-serv-sip) 및 음성 클래스 테넌트 구성(config-class)

사용 지침: 귀하가 페이 키워드 또는 ppi 키워드, 게이트웨이는 PAI 헤더 또는 PPI 헤더를 각각 공통 SIP 스택으로 빌드합니다. 페이 키워드 또는 ppi 키워드는 RPID(Remote-Party-ID) 헤더에 우선순위를 두고 있으며 라우터가 전역 수준에서 RPID 헤더를 사용하도록 구성된 경우에도 아웃바운드 메시지에서 RPID 헤더를 제거합니다.

SIP(Session Initiation Protocol) 비대칭 페이로드 지원을 구성하려면 비대칭 페이로드 SIP 구성 모드 또는 음성 클래스 테넌트 구성 모드의 명령어. 비대칭 페이로드 지원을 비활성화하려면 아니요 이 명령어의 형태입니다.

비대칭페이로드 { dtmf |동적 코덱 |전체 | 시스템 }

no비대칭페이로드 { dtmf |동적 코덱 |full |system }

명령 기본값: 이 명령은 비활성화되었습니다.

명령 모드: 음성 서비스 SIP 구성(conf-serv-sip), 음성 클래스 테넌트 구성(config-class)

사용 지침: 예에 표시된 대로 음성 서비스 구성 모드에서 SIP 구성 모드를 입력합니다.

Cisco UBE의 경우 오디오/비디오 코덱, DTMF 및 NSE에 대해 SIP 비대칭 페이로드 유형이 지원됩니다. 따라서, dtmf 및 동적 코덱 키워드는 에 내부적으로 매핑됩니다. 전체 키워드는 오디오/비디오 코덱, DTMF 및 NSE에 대해 비대칭 페이로드 유형 지원을 제공합니다.

개별 다이얼 피어에서 SIP 다이제스트 인증을 활성화하려면 인증 다이얼 피어 음성 구성 모드에서 명령어. SIP 다이제스트 인증을 비활성화하려면 아니요 이 명령어의 형태입니다.

인증사용자 이름사용자 이름암호 { 0|6|7 } password [realmrealm|challenge|all

인증 없음사용자 이름사용자 이름암호 { 0|6|7 } password [realmrealm|challenge|all

명령 기본값: SIP 다이제스트 인증이 비활성화됩니다.

명령 모드: 다이얼 피어 음성 구성(구성-다이얼-피어)

사용 지침: 다이제스트 인증을 활성화할 때 다음 구성 규칙이 적용됩니다.

• 다이얼 피어에 따라 한 개의 사용자이름만 구성할 수 있습니다. 다른 사용자 이름을 구성하기 전에 기존의 사용자 이름 구성을 제거해야 합니다.

• 최대 5 암호 또는 영역 인수는 모든 사용자 이름에 대해 구성할 수 있습니다.

사용자 이름 및 암호 인수는 사용자를 인증하는 데 사용됩니다. 407/401 챌린지 응답을 발급한 인증 서버/프록시에는 챌린지 응답에 영역이 포함되며 사용자는 해당 영역에 대해 유효한 자격 증명을 제공합니다. 시그널링 경로에 있는 최대 5개의 프록시 서버가 UAC(user-agent client)에서 UAS(user-agent server)로 지정된 요청을 인증하려고 시도할 수 있다고 가정하기 때문에 사용자는 구성된 사용자 이름에 대해 최대 5개의 암호 및 영역 조합을 구성할 수 있습니다.

사용자는 일반 텍스트로 암호를 제공하지만 암호화되어 401 챌린지 응답에 저장됩니다. 암호화된 형태로 비밀번호가 저장되지 않으면 정크 비밀번호가 전송되고 인증에 실패합니다.

• 영역 사양은 선택 사항입니다. 생략된 경우, 해당 사용자 이름에 대해 구성된 비밀번호는 인증하려고 하는 모든 영역에 적용됩니다.

• 구성된 모든 영역에 대해 한 번에 하나의 암호만 구성할 수 있습니다. 새 암호가 구성된 경우 이전에 구성된 암호를 덮어씁니다.

즉, 한 개의 글로벌 비밀번호(지정된 영역이 없는 비밀번호)만 구성할 수 있습니다. 해당하는 영역을 구성하지 않고 새 암호를 구성하는 경우 새 암호는 이전 암호를 덮어씁니다.

• 이전에 구성된 사용자 이름 및 암호에 대해 영역이 구성된 경우 해당 영역 사양이 기존의 사용자 이름 및 암호 구성에 추가됩니다. 그러나 영역이 사용자 이름 및 암호 구성에 추가되면 해당 사용자 이름과 암호 조합은 해당 영역에만 유효합니다. 구성된 영역은 먼저 해당 사용자 이름과 암호에 대한 전체 구성을 제거하지 않고 사용자 이름 및 암호 구성에서 제거할 수 없습니다. 그런 다음 다른 영역과 함께 또는 다른 영역 없이 해당 사용자 이름 및 암호 조합을 다시 구성할 수 있습니다.

• 비밀번호와 영역이 모두 있는 항목에서 비밀번호 또는 영역을 변경할 수 있습니다.

• 사용 모두 인증 없음 명령어를 사용하여 사용자에 대한 모든 인증 항목을 제거합니다.

암호에 대한 암호화 유형을 지정해야 합니다. 투명 텍스트 암호(0)이(가) 구성되어 있으며, 형으로 암호화됩니다. 6을(를) 실행중인 구성에 저장하기 전에.

암호화 유형을 6 또는 7, 입력된 비밀번호가 유효한 유형 에 대해 선택되었습니다. 6 또는 7 암호 형식 및 유형으로 저장됨 6 또는 7 각각.

유형-6 비밀번호는 AES 암호와 사용자가 정의한 기본 키를 사용하여 암호화됩니다. 이러한 비밀번호는 비교적 안전합니다. 기본 키는 구성에 표시되지 않습니다. 일차 키에 대한 지식이 없으면 6 비밀번호는 사용할 수 없습니다. 기본 키가 수정되면 유형 6으로 저장된 암호는 새로운 기본 키로 다시 암호화됩니다. 기본 키 구성이 제거된 경우, 6 비밀번호를 해독할 수 없기 때문에 통화 및 등록에 대한 인증 실패가 발생할 수 있습니다.

구성을 백업하거나 구성을 다른 장치로 마이그레이션할 때 기본 키는 버려지지 않습니다. 따라서 기본 키를 다시 수동으로 구성해야 합니다.

암호화된 Preshared 키를 구성하려면 암호화된 Preshared 키 구성을 참조하십시오.

암호화 유형 에 다음 경고 메시지가 표시됩니다. 7이(가) 구성되었습니다. 경고: 7형 암호를 사용하여 명령이 구성에 추가되었습니다. 그러나 7번 유형의 비밀번호는 곧 제거됩니다. 지원되는 비밀번호 유형 6으로 마이그레이션합니다.

신호 처리 및 미디어 패킷에 대한 소스 주소를 특정 인터페이스의 IPv4 또는 IPv6 주소로 바인딩하려면 바인딩 SIP 구성 모드에서 명령합니다. 바인딩을 비활성화하려면 아니요 이 명령어의 형태입니다.

바인딩 { control|media|all } 소스 인터페이스인터페이스-id { ipv4-addressipv4-address|ipv6-address ipv6-address }

바인딩 없음 { 제어|미디어|모든 } 소스 인터페이스인터페이스-id { ipv4-addressipv4-address| ipv6-addressipv6-address }

명령 기본값: 바인딩이 비활성화됩니다.

명령 모드: SIP 구성(conf-serv-sip) 및 음성 클래스 테넌트.

사용 지침: Async, Ethernet, FastEthernet, Loopback 및 Serial(프레임 릴레이 포함)은 SIP 애플리케이션 내의 인터페이스입니다.

바인딩 명령은 활성화되지 않으며, IPv4 계층은 여전히 최상의 로컬 주소를 제공합니다.

Call-Home에 대한 기본 구성을 활성화하려면 통화 집 보고은(는) 전역 구성 모드에서 명령합니다.

call home reporting { anonymous |contact-email-addr } [ http-proxy { ipv4-address |ipv6-address |name } 포트 포트 번호 ]

명령 기본값: 기본 동작 또는 값 없음

명령 모드: 글로벌 구성(구성)

사용 지침: 을(를) 사용하여 익명 또는 전체 등록 모드에서 통화 홈을 성공적으로 활성화한 후 통화 집 보고 명령어, 인벤토리 메시지가 전송됩니다. 전체 등록 모드에서 통화-홈이 활성화된 경우 전체 등록 모드에 대한 전체 인벤토리 메시지가 발송됩니다. 익명 모드에서 통화-홈이 활성화된 경우 익명 인벤토리 메시지가 발송됩니다. 메시지 세부 사항에 대한 자세한 내용은 경고 그룹 트리거 이벤트 및 명령을 참조하십시오.

Cisco Unified SRST 지원을 활성화하고 통화 관리자 폴백 구성 모드를 입력하려면 통화 관리자 폴백은(는) 전역 구성 모드에서 명령합니다. Cisco Unified SRST 지원을 비활성화하려면 아니요 이 명령어의 형태입니다.

Call-Manager-대체

없음Call-Manager 대체

이 명령어에는 인수 또는 키워드가 없습니다.

명령 기본값: 기본 동작 또는 값이 없습니다.

명령 모드: 글로벌 구성

TLS 핸드셰이크 중에 피어 인증서의 서버, 클라이언트 또는 양방향 ID 유효성 검증을 활성화하려면 명령 cn-san 확인은(는) 음성 클래스 tls-프로필 구성 모드에서 실행됩니다. 인증서 ID 유효성 검증을 비활성화하려면 아니요 이 명령어의 형태입니다.

cn-san { 서버|클라이언트| 양방향 } 확인

nocn-sanvalidate { 서버|클라이언트| 양방향 }

명령 기본값: ID 유효성 검증이 비활성화됩니다.

명령 모드: 음성 클래스 구성(구성 클래스)

사용 지침: 서버 ID 유효성 검사는 글로벌 암호 시그널링 및 음성 클래스 tls 프로필 구성.

이 명령은 클라이언트 및 양방향 키워드 클라이언트 옵션을 사용하면 cn-san FQDN의 신뢰할 수 있는 목록에 대해 제공된 인증서에 포함된 CN 및 SAN 호스트 이름을 확인하여 서버가 클라이언트의 ID를 검증할 수 있습니다. 해당 연결은 일치하는 내용이 발견되는 경우에만 설정됩니다. 이 cn-san FQDN 목록은 이제 세션 대상 호스트 이름 외에도 서버 인증서의 유효성을 검증하는 데 사용됩니다. 양방향 옵션은 을(를) 모두 결합하여 클라이언트 및 서버 연결 모두에 대해 피어 ID를 검증합니다. 서버 및 클라이언트 모드. 를 구성하고 나면 cn-san 확인에서 피어 인증서의 ID는 모든 새로운 TLS 연결에 대해 유효성을 검증합니다.

인바운드 또는 아웃바운드 TLS 연결에 대한 피어 인증서에 대해 검증할 FQDN(정규화된 도메인 이름) 이름 목록을 구성하려면 cn-산 음성 클래스 tls-profile 구성 모드에서 명령합니다. cn-san 인증서 유효성 검사 항목을 삭제하려면 아니요 이 명령어의 형태입니다.

CN-산{1-10}FQDN

아니오cn-san{1-10}fqdn

명령 기본값: cn-san 이름이 구성되지 않았습니다.

명령 모드: 음성 클래스 tls-프로파일 구성 모드(config-class)

사용 지침: 피어 인증서 유효성 검증에 사용되는 FQDN은 최대 10 cn-산 입력. TLS 연결이 설정되기 전에 이러한 항목 중 하나 이상이 인증서 일반 이름(CN) 또는 SAN(제목 대체 이름) 필드에서 FQDN과 일치해야 합니다. CN 또는 SAN 필드에 사용된 모든 도메인 호스트와 일치시키기 위해 cn-산 항목은 *.domain-name(예: *.cisco.com) 형식으로 도메인 와일드카드로 구성될 수 있습니다. 다른 와일드카드 사용은 허용되지 않습니다.

인바운드 연결의 경우, 목록은 클라이언트 인증서에서 CN 및 SAN 필드의 유효성을 검증하는 데 사용됩니다. 아웃바운드 연결의 경우, 목록은 세션 대상 호스트 이름과 함께 서버 인증서에서 CN 및 SAN 필드의 유효성을 검증하는 데 사용됩니다.

SIP 세션 대상 FQDN을 CN 또는 SAN 필드에 매칭하여 서버 인증서를 확인할 수도 있습니다.

다이얼 피어에서 사용할 선호하는 코덱 목록을 지정하려면 코덱 선호 음성 클래스 구성 모드에서 명령합니다. 이 기능을 비활성화하려면 아니요 이 명령어의 형태입니다.

코덱기본 설정값코덱 유형

없음코덱기본 설정값 코덱 유형

명령 기본값: 이 명령을 입력하지 않으면 기본 설정으로 특정 유형의 코덱이 식별되지 않습니다.

명령 모드: 음성 클래스 구성(구성 클래스)

사용 지침: WAN의 반대쪽 끝에 있는 라우터는 네트워크 다이얼 피어에 대한 코덱 선택을 협상해야 할 수도 있습니다. 코덱 선호 명령은 연결에 대해 협상된 코덱을 선택하기 위한 기본 설정 순서를 지정합니다. 아래 표는 코덱 및 패킷 음성 프로토콜에 대한 음성 페이로드 옵션 및 기본값에 대해 설명합니다.

UDP를 통해 요청을 보내기 위해 글로벌 리스너 포트를 사용하려면 연결 재사용 sip-ua 모드 또는 음성 클래스 테넌트 구성 모드에서 명령어. 비활성화하려면 아니요 이 명령어의 형태입니다.

연결 재사용 { via-port |system }

연결 재사용 없음 { via포트 |시스템 }

명령 기본값: 로컬 게이트웨이는 UDP를 통해 요청을 전송하기 위해 임시 UDP 포트를 사용합니다.

명령 모드: SIP UA 구성(config-sip-ua), 음성 클래스 테넌트 구성(config-class)

사용 지침: 이 명령을 실행하면 UDP를 통해 요청을 전송하기 위해 리스너 포트를 사용할 수 있습니다. 일반 비보안 SIP에 대한 기본 리스너 포트는 5060이며 보안 SIP는 5061입니다. 구성 listen-port [비보안 | 보안]port 음성 서비스 voip > sip 구성 모드에서 명령을 수행하여 글로벌 UDP 포트를 변경합니다.

애플리케이션에 할당된 CPU 할당량 또는 장치를 변경하려면 cpu의 사용자 정의 애플리케이션 리소스 프로파일 구성 모드에서 명령합니다. 애플리케이션에서 제공하는 CPU 할당량으로 돌아가려면 아니요 이 명령어의 형태입니다.

cpu단위

없음CPU 단위

명령 기본값: 기본 CPU는 플랫폼에 따라 다릅니다.

명령 모드: 사용자 정의 애플리케이션 리소스 프로파일 구성 (config-app-resource-profile-custom)

사용 지침: CPU 단위는 애플리케이션에 의한 최소 CPU 할당입니다. 총 CPU 단위는 대상 장치에 대해 측정된 정규화된 CPU 단위에 기반합니다.

각 애플리케이션 패키지 내에서 애플리케이션에 필요한 권장 CPU 로드, 메모리 크기 및 가상 CPU(vCPU) 수를 정의하는 애플리케이션별 리소스 프로파일이 제공됩니다. 이 명령을 사용하여 사용자 정의 리소스 프로필에서 특정 프로세스에 대한 리소스 할당을 변경합니다.

애플리케이션 패키지에 지정된 예약 리소스는 사용자 정의 리소스 프로파일을 설정하여 변경할 수 있습니다. CPU, 메모리 및 vCPU 리소스만 변경할 수 있습니다. 리소스 변경 사항을 적용하려면 애플리케이션을 중지하고 비활성화한 후 활성화한 후 다시 시작합니다.

리소스 값은 애플리케이션별 값이며, 이러한 값에 대한 모든 조정은 애플리케이션이 변경 사항과 함께 안정적으로 실행되도록 해야 합니다.

UP 상태에 있을 때 Cisco IOS Session Initiation Protocol(SIP) 시간 분할 멀티플렉싱(time-division multiplexing)(TDM) 게이트웨이, Cisco Unified Border Element(Cisco UBE) 또는 Cisco Unified Communications Manager Express(Cisco Unified CME)를 구성하여 SIP 등록 메시지를 보내려면 자격 증명 SIP UA 구성 모드 또는 음성 클래스 테넌트 구성 모드에서 명령어. SIP 다이제스트 자격 증명을 비활성화하려면 아니요 이 명령어의 형태입니다.

자격 증명 { dhcp|numbernumberusernameusername } password { 0|6|7 } passwordrealmrealm

nocredentials { dhcp|numbernumber사용자이름사용자이름 } password { 0|6|7 } passwordrealmrealm

명령 기본값: SIP 다이제스트 자격 증명이 비활성화됩니다.

명령 모드: SIP UA 구성(config-sip-ua) 및 음성 클래스 테넌트 구성(config-class).

사용 지침: 자격 증명이 활성화되면 다음 구성 규칙이 적용됩니다.

• 모든 도메인 이름에 대해 하나의 암호만 유효합니다. 새로 구성된 암호는 이전에 구성된 암호를 덮어씁니다.

• 비밀번호는 자격 증명 명령이 구성되고 표시 런칭-구성 명령어가 사용됩니다.

dhcp 명령의 키워드는 DHCP를 통해 기본 번호가 얻어지고, 해당 명령이 활성화된 Cisco IOS SIP TDM 게이트웨이, Cisco UBE 또는 Cisco Unified CME에서 이 번호를 사용하여 수신된 기본 번호를 등록하거나 등록 해제함을 의미합니다.

암호에 대한 암호화 유형을 지정해야 합니다. 투명 텍스트 암호(0)이(가) 구성되어 있으며, 형으로 암호화됩니다. 6을(를) 실행중인 구성에 저장하기 전에.

암호화 유형을 6 또는 7, 입력된 비밀번호가 유효한 유형 에 대해 선택되었습니다. 6 또는 7 암호 형식 및 유형으로 저장됨 6 또는 7 각각.

유형-6 비밀번호는 AES 암호와 사용자가 정의한 기본 키를 사용하여 암호화됩니다. 이러한 비밀번호는 비교적 안전합니다. 기본 키는 구성에 표시되지 않습니다. 일차 키에 대한 지식이 없으면 6 비밀번호는 사용할 수 없습니다. 기본 키가 수정되면 유형 6으로 저장된 암호는 새로운 기본 키로 다시 암호화됩니다. 기본 키 구성이 제거된 경우, 6 비밀번호를 해독할 수 없기 때문에 통화 및 등록에 대한 인증 실패가 발생할 수 있습니다.

구성을 백업하거나 구성을 다른 장치로 마이그레이션할 때 기본 키는 버려지지 않습니다. 따라서 기본 키를 다시 수동으로 구성해야 합니다.

암호화된 Preshared 키를 구성하려면 암호화된 Preshared 키 구성을 참조하십시오.

경고: 7형 암호를 사용하여 명령이 구성에 추가되었습니다. 그러나 7번 유형의 비밀번호는 곧 제거됩니다. 지원되는 비밀번호 유형 6으로 마이그레이션합니다.

YANG에서는 두 개의 다른 영역에서 동일한 사용자 이름을 구성할 수 없습니다.

SDP에서 Cisco Unified Border Element(CUBE)에서 제공하고 답변할 SRTP 암호 도구 모음에 대한 기본 설정을 지정하려면 암호 음성 클래스 구성 모드에서 명령합니다. 이 기능을 비활성화하려면 아니요 이 명령어의 형태입니다.

암호기본 설정 암호 도구 모음

암호기본 설정 암호 도구 모음 없음

명령 기본값: 이 명령어가 구성되지 않은 경우 기본 동작은 다음과 같은 기본 설정 순서로 srtp-cipher 제품군을 제공하는 것입니다.

• AEAD_AES_256_GCM의

• 에이드_AES_128_GCM

• AES_CM_128_HMAC_SHA1_80

• 전화_CM_128_HMAC_SHA1_32

명령 모드: 음성 클래스 srtp-crypto (config-class)

사용 지침: 이미 구성된 암호 도구 모음의 기본 설정을 변경하는 경우 기본 설정이 덮어씁니다.

Rivest, Shamir 및 Adelman(RSA) 키 쌍을 생성하려면 암호화 키 생성 rsa은(는) 전역 구성 모드에서 명령합니다.

암호화 키는 rsa [ { general-keys |usage-keys |signature |encryption } ] [ label key-label ] [ exportable ] [ modulus modulus-size ] [ storage devicename : ] [ redundancyon devicename : ]

명령 기본값: RSA 키 쌍은 존재하지 않습니다.

명령 모드: 글로벌 구성(구성)

사용 지침: 사용 암호화 키 생성 rsa 명령을 사용하여 Cisco 장치(예: 라우터)에 대한 RSA 키 쌍을 생성합니다.

RSA 키는 한 개의 공개 RSA 키와 한 개의 비공개 RSA 키로 쌍으로 생성됩니다.

이 명령을 실행할 때 라우터에 이미 RSA 키가 있는 경우, 경고하고 기존 키를 새 키로 교체하라는 메시지가 표시됩니다.

암호화 키 생성 rsa 명령은 라우터 구성에 저장되지 않습니다. 그러나 이 명령에서 생성된 RSA 키는 다음에 NVRAM에 구성이 기록될 때 NVRAM의 개인 구성에 저장됩니다(사용자에게 표시되지 않거나 다른 장치로 백업되지 않음).

• 특수 사용 키: 특수 사용 키를 생성하는 경우, 두 쌍의 RSA 키가 생성됩니다. 한 쌍은 RSA 서명을 인증 방법으로 지정하는 IKE(Internet Key Exchange) 정책과 함께 사용되며, 다른 쌍은 RSA 암호화 키를 인증 방법으로 지정하는 IKE 정책과 함께 사용됩니다.

  CA는 RSA 서명을 지정하는 IKE 정책에만 사용되며, RSA 암호화된 비시를 지정하는 IKE 정책에는 사용되지 않습니다. (단, 한 개 이상의 IKE 정책을 지정할 수 있으며, 다른 정책에서 한 개의 정책 및 RSA 암호화된 비CES에 RSA 서명을 지정할 수 있습니다.)

  IKE 정책에서 두 가지 유형의 RSA 인증 방법을 모두 사용할 계획이라면 특수 사용 키를 생성하는 것을 선호할 수 있습니다. 특수 사용 키를 사용하면 각 키가 불필요하게 노출되지 않습니다. (특수 사용 키가 없으면 두 인증 방법 모두에 하나의 키가 사용되며, 해당 키의 노출을 증가시킵니다.)

• 범용 키: 범용 키를 생성하는 경우, 한 쌍의 RSA 키만 생성됩니다. 이 쌍은 RSA 서명 또는 RSA 암호화된 키를 지정하는 IKE 정책과 함께 사용됩니다. 따라서 범용 키 쌍은 특수 사용 키 쌍보다 더 자주 사용될 수 있습니다.

• 명명된 키 쌍: 키-라벨 인수를 사용하여 명명된 키 쌍을 생성하는 경우, 사용량 키 키워드 또는 일반 키 키워드 명명된 키 쌍을 사용하면 여러 개의 RSA 키 쌍을 가질 수 있으므로 Cisco IOS 소프트웨어가 각 ID 인증서에 대해 다른 키 쌍을 유지할 수 있습니다.

• 계수 길이: RSA 키를 생성하면 계수 길이를 입력하라는 메시지가 표시됩니다. 모듈러스가 길수록 보안이 더 강해집니다. 그러나 더 긴 모듈은 생성하는 데 더 오래 걸리고(샘플 시간에 대해서는 아래 표 참조) 사용하는데 더 오래 걸립니다.

  표 2. RSA 키를 생성하는 계수 길이별 샘플 시간

  라우터	360 조금	512 비트	1024 비트	2048 비트 (최대)
  Cisco 2500(시스코 2500)	11초	20초	4분 38초	1시간 이상
  Cisco 4700(시스코)	1초 미만	1초	4초	50초

  Cisco IOS 소프트웨어는 4096비트 이상의 모듈을 지원하지 않습니다. 512 비트 미만의 길이는 일반적으로 권장되지 않습니다. 특정 상황에서 짧은 계수는 IKE에서 제대로 작동하지 않을 수 있으므로 최소 계수 2048 비트를 사용하는 것이 좋습니다.

  암호화 하드웨어에서 RSA 키를 생성할 때 추가 제한 사항이 적용될 수 있습니다. 예를 들어, VSPA(Cisco VPN 서비스 포트 어댑터)에서 RSA 키를 생성하는 경우 RSA 키 계수는 최소 384비트이어야 하며 64의 배수여야 합니다.

• RSA 키에 대한 스토리지 위치 지정하기: 귀하가 암호화 키 생성 rsa을(를) 사용하여 명령어 보관 디바이스 이름 : 키워드 및 인수는 RSA 키를 지정된 장치에 저장합니다. 이 위치는 모든 암호화 키 스토리지 명령 설정.

• RSA 키 생성을 위한 장치 지정: RSA 키가 생성되는 장치를 지정할 수 있습니다. 지원되는 장치에는 NVRAM, 로컬 디스크 및 USB 토큰이 포함됩니다. 라우터에 USB 토큰이 구성되어 있으며 사용 가능한 경우, USB 토큰은 저장 장치 외에도 암호화 장치로 사용될 수 있습니다. USB 토큰을 암호화 장치로 사용하면 키 생성, 서명 및 자격 증명 인증과 같은 RSA 작업을 토큰에서 수행할 수 있습니다. 개인 키는 USB 토큰을 떠나지 않으며 내보낼 수 없습니다. 공개 키는 내보낼 수 있습니다.

  RSA 키는 구성되고 사용 가능한 USB 토큰에서 에 디바이스 이름 : 키워드 및 인수. USB 토큰에 있는 키는 생성될 때 영구 토큰 저장소에 저장됩니다. USB 토큰에서 생성할 수 있는 키 수는 사용 가능한 스페이스에 의해 제한됩니다. USB 토큰에서 키를 생성하려고 하면 전체 키를 입력하면 다음 메시지가 표시됩니다.

  % Error in generating keys:no available resources 

  키 삭제는 영구 스토리지에서 토큰에 저장된 키를 즉시 제거합니다. (토큰에 저장되지 않은 키는 복사 또는 유사한 명령어가 실행됩니다.)

• 장치에서 RSA 키 중복 생성 지정: 기존 키가 내보낼 수 있는 경우에만 중복성을 지정할 수 있습니다.

인증 기관(CA)을 인증하려면(CA 인증서를 획득하여) cryptopki인증 명령은 글로벌 구성 모드에서 실행됩니다.

cryptopki인증이름

명령 기본값: 기본 동작 또는 값이 없습니다.

명령 모드: 글로벌 구성(구성)

사용 지침: 이 명령은 처음에 라우터에서 CA 지원을 구성할 때 필요합니다.

이 명령은 CA의 공개 키가 포함된 CA의 자체 서명 인증서를 확보하여 라우터에 CA를 인증합니다. CA가 자체 인증서에 서명하기 때문에 이 명령을 입력할 때 CA 관리자에게 연락하여 CA의 공개 키를 수동으로 인증해야 합니다.

라우터 광고(RA) 모드를 사용하는 경우(등록 명령) 을(를) 발행할 때 암호 pki의 인증 명령, 그런 다음 등록 기관 서명 및 암호화 인증서는 CA 및 CA 인증서에서 반환됩니다.

이 명령은 라우터 구성에 저장되지 않습니다. 그러나 수신된 CA(및 RA) 인증서에 포함된 공개 키는 Rivest, Shamir 및 Adelman(RSA) 공개 키 레코드(“RSA 공개 키 체인”이라고 함)의 일부로 구성에 저장됩니다.

CA가 이 명령이 발급된 후 시간 초과 기간까지 응답하지 않으면 터미널 제어가 반환되어 사용할 수 있게 됩니다. 이 경우 명령어를 다시 입력해야 합니다. Cisco IOS 소프트웨어는 2049년 이후 설정된 CA 인증서 만료 날짜를 인식하지 못합니다. CA 인증서의 유효 기간이 2049년 이후에 만료되도록 설정된 경우 CA 서버로 인증을 시도하면 다음 오류 메시지가 표시됩니다. 인증서 검색 오류 :불완전한 체인 이 메시지와 유사한 오류 메시지를 수신하는 경우 CA 인증서의 만료 날짜를 확인하십시오. CA 인증서의 만료 날짜가 2049년 이후에 설정된 경우 만료 날짜를 1년 이상 줄여야 합니다.

TFTP를 통해 수동으로 인증서를 가져오거나 터미널에서 잘라내기 및 붙여넣기로서 가져오려면 암호화pki가져오기 명령은 글로벌 구성 모드에서 실행됩니다.

암호화pki가져오기이름 인증서

명령 기본값: 기본 동작 또는 값 없음

명령 모드: 글로벌 구성(구성)

사용 지침: 를 입력해야 합니다. 암호화 pki 가져오기 사용 키(서명 및 암호화 키)를 사용하는 경우 두 번 명령합니다. 명령을 처음 입력할 때 인증서 중 하나가 라우터에 붙여집니다. 두 번째 명령을 입력할 때 다른 인증서가 라우터에 붙여집니다. (어떤 인증서가 먼저 붙여지는지는 중요하지 않습니다.)

라우터를 사용해야 한다는 신뢰 지점을 선언하려면 글로벌 구성 모드에서 암호화pkitrustpoint 명령어 신뢰 지점과 관련된 모든 ID 정보 및 인증서를 삭제하려면 아니요 이 명령어의 형태입니다.

암호화pkitrustpoint이름 이중화

없음암호pkitrustpointname이중화

명령 기본값: 라우터는 이 명령을 사용하여 신뢰 지점을 선언할 때까지 신뢰 지점을 인식하지 않습니다. 라우터는 네트워크에 구성된 대로 OCSP(Online Certificate Status Protocol) 서버와 통신하는 동안 고유한 식별자를 사용합니다.

명령 모드: 글로벌 구성(구성)

사용 지침:

Trustpoints 선언하기

사용 암호 pki의 트러스트 포인트 명령을 사용하여 신뢰 지점을 선언합니다. 이는 자체 서명 루트 인증 기관(CA) 또는 하위 CA일 수 있습니다. 발급 암호 pki의 트러스트 포인트 명령은 ca-trustpoint 구성 모드로 지정합니다.

다음 하위 명령을 사용하여 신뢰 지점에 대한 특성을 지정할 수 있습니다.

• crl—피어 인증서가 해지되지 않았는지 확인하기 위해 인증서 해지 목록(CRL)을 쿼리합니다.

• default(ca-trustpoint) - ca-trustpoint 구성 모드 하위 명령어의 값을 기본값으로 재설정합니다.

• 등록—등록 매개 변수(선택 사항)를 지정합니다.

• 등록http-proxy—프록시 서버를 통해 CA BY HTTP에 액세스합니다.

• 등록selfsigned—자체 서명 등록(선택 사항)을 지정합니다.

• matchcertificate - 에 정의된 인증서 기반 액세스 제어 목록(ACL)을 연결합니다. 암호ca인증서지도 명령

• ocspdisable-nonce - OCSP 통신 중에 라우터가 고유한 식별자 또는 비체를 보내지 않도록 지정합니다.

• primary - 지정된 신뢰 지점을 라우터의 기본 신뢰 지점으로 할당합니다.

• root—CA 인증서를 가져오기 위해 TFTP를 정의하고 서버의 이름과 CA 인증서를 저장할 파일의 이름을 모두 지정합니다.

고유 식별자의 사용 지정

OCSP를 해지 방법으로 사용하는 경우, OCSP 서버와의 피어 통신 중에 고유한 식별자 또는 비ces가 기본적으로 전송됩니다. OCSP 서버 통신 중에 고유한 식별자를 사용하면 보다 안전하고 신뢰할 수 있는 통신을 할 수 있습니다. 그러나 모든 OCSP 서버가 고유한 의치 사용을 지원하는 것은 아닙니다. 자세한 정보는 OCSP 설명서를 참조하십시오. OCSP 통신 중에 고유한 식별자의 사용을 비활성화하려면, 오시프 비활성화 하위 명령어

기존 CA 번들을 업데이트하거나 교체하기 위해 인증 기관(CA) 인증서 번들을 공개 키 인프라(PKI) 신뢰 풀로 수동으로 가져오기(다운로드)하려면 암호화 pki trustpool 가져오기은(는) 전역 구성 모드에서 명령합니다. 구성된 매개 변수를 제거하려면 아니요 이 명령어의 형태입니다.

암호화pkitrustpool가져오기깨끗한 [ 터미널|urlurl

아니암호화pkitrustpool가져오기클린 [ 터미널|urlurl

명령 기본값: PKI trustpool 기능이 활성화되었습니다. 라우터는 PKI 신뢰 풀에 내장된 CA 인증서 번들을 사용하며, 이는 Cisco에서 자동으로 업데이트됩니다.

명령 모드: 글로벌 구성(구성)

보안 위협 뿐만 아니라 암호화 기술도 지속적으로 변화하고 있습니다. 최신 Cisco 암호화 권장 사항에 대한 자세한 내용은 차세대 암호화(NGE) 백서를 참조하십시오.

PKI 신뢰 풀 인증서는 Cisco에서 자동으로 업데이트됩니다. PKI 신뢰 풀 인증서가 최신 상태가 아닌 경우, 암호화 pki trustpool 가져오기 명령어를 사용하여 다른 위치에서 업데이트합니다.

url 인수는 CA의 URL 파일 시스템을 지정하거나 변경합니다. 아래 표는 사용 가능한 URL 파일 시스템을 나열합니다.

표 3. URL 파일 시스템

파일 시스템	설명
아카이브:	아카이브 파일 시스템에서 가져옵니다.
cns는:	클러스터 네임스페이스(CNS) 파일 시스템에서 가져옵니다.
디스크0:	disc0 파일 시스템에서 가져옵니다.
디스크1:	디스크1 파일 시스템에서 가져옵니다.
IP 주소:	FTP 파일 시스템에서 가져옵니다.
http:	HTTP 파일 시스템에서 가져옵니다. URL은 다음 형식이어야 합니다. http://CAname:80은(는) CA이름은(는) DNS(도메인 이름 시스템)입니다. http://ipv4 주소80호 예: http://10.10.10.1:80. http://[ipv6-주소]:80... 예: http://[2001:DB8:1:1::1]:80. IPv6 주소는 16진수 표기법이며 URL의 괄호로 묶어야 합니다.
https::	HTTPS 파일 시스템에서 가져옵니다. URL은 HTTP와 동일한 형식을 사용해야 합니다. 파일 시스템 형식.
널:	null 파일 시스템에서 가져옵니다.
nvram은:	NVRAM 파일 시스템에서 가져옵니다.
프라임:	PRAM(Parameter Random-Access Memory) 파일 시스템에서 가져옵니다.
rcp: 예:	원격 복사 프로토콜(rcp) 파일 시스템에서 가져옵니다.
scp: 예:	보안 복사 프로토콜(scp) 파일 시스템에서 가져옵니다.
스냅:	SNMP(Simple Network Management Protocol)에서 가져옵니다.
시스템:	시스템 파일 시스템에서 가져옵니다.
타르:	UNIX tar 파일 시스템에서 가져옵니다.
tftp는:	TFTP 파일 시스템에서 가져옵니다.   URL은 다음 위치에 있어야 합니다. tftp://CAname/fil fication...
tmpsys는:	Cisco IOS tmpsys 파일 시스템에서 가져옵니다.
유닉스:	UNIX 파일 시스템에서 가져옵니다.
xmodem는:	xmodem 간단한 파일 전송 프로토콜 시스템에서 가져옵니다.
이모뎀:	ymodem 간단한 파일 전송 프로토콜 시스템에서 가져옵니다.

를 식별하기 위해 trustpointtrustpoint-name 키워드 및 TLS(Transport Layer Security) 핸드셰이크 중에 원격 장치 주소에 해당하는 인수는 암호 시그널링 SIP 사용자 에이전트(UA) 구성 모드에서 명령합니다. 기본 으로 재설정하려면 트러스트 포인트 문자열, 아니요 이 명령어의 형태입니다.

암호화 신호 { default|remote-addr ip-address subnet-mask } [ tls-profile tag |trustpoint trustpoint-name ] [ cn-san-validation server ] [ client-vtp trustpoint-name ] [ ecdsa-cipher |곡선 크기 384 |strict-cipher

암호화 신호 없음 { default|remote-addr ip-address 서브넷-마스크 } [ tls-profile tag |trustpoint trustpoint-name ] [ cn-san-validation server ] [ client-vtp trustpoint-name ] [ ecdsa-cipher |curve-size 384 |strict-cipher ]

명령 기본값: 암호화 시그널링 명령이 비활성화되었습니다.

명령 모드: SIP UA 구성(sip-ua)

사용 지침: trustpointtrustpoint-name 키워드 및 인수는 Cisco IOS PKI 명령을 사용하여 등록 과정의 일부로 생성된 CUBE 인증서를 나타냅니다.

단일 인증서를 구성하면 모든 원격 장치에서 사용하고 기본값 키워드

여러 인증서가 사용되는 경우, 원격 접속 각 신뢰 지점에 대한 인수. 원격 접속 및 기본 인수는 필요에 따라 모든 서비스를 커버하기 위해 함께 사용될 수 있습니다.

이 경우 기본 암호 제품군은 CUBE의 SSL 레이어에서 지원하는 다음 집합입니다. TLS_RSA_(_RC4_128_MD5 포함) TLS_RSA_ 및_AES_128_CBC_SHA TLS_DHE_RSA_ 및_AES_128_CBC_ SHA1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_(_AES_256_GCM_SHA384 포함) TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_(_AES_256_GCM_SHA384 포함)

키워드 cn-san-유효성 검사 서버은(는) 클라이언트 측 SIP/TLS 연결을 설정할 때 인증서의 CN 및 SAN 필드를 통해 서버 아이덴티티 검증을 활성화합니다. 서버 인증서의 CN 및 SAN 필드의 유효성 검사는 서버 측 도메인이 유효한 엔터티인지 확인합니다. SIP 서버로 보안 연결을 만들 때 CUBE는 TLS 세션을 설정하기 전에 서버 인증서의 CN/SAN 필드에 대해 구성된 세션 대상 도메인 이름을 검증합니다. 를 구성하고 나면 cn-san-유효성 검사 서버은(는) 모든 새로운 TLS 연결에 대해 서버 ID의 유효성을 검증합니다.

tls-프로필 옵션은 연결된 을 통해 이루어진 TLS 정책 구성을 연결합니다. 음성 클래스 tls 프로필 설정. 에서 직접 사용할 수 있는 TLS 정책 옵션 외에 암호 시그널링 명령, tls-프로필은(는) sni 보내기 옵션.

sni send를 사용하면 TLS 클라이언트가 초기 TLS 핸드셰이크 프로세스 중에 연결하려고 하는 서버의 이름을 표시할 수 있는 TLS 확장 프로그램인 SNI(Server Name Indication)가 활성화됩니다. 서버의 정규화된 DNS 호스트 이름만 클라이언트 hello에 전송됩니다. SNI는 클라이언트 hello 확장 프로그램에서 IPv4 및 IPv6 주소를 지원하지 않습니다. TLS 클라이언트에서 서버 이름으로 "HELLO"를 수신하면 서버는 후속 TLS 핸드셰이크 프로세스에서 적절한 인증서를 사용합니다. SNI에는 TLS 버전 1.2가 필요합니다.

TLS 정책 기능은 음성 클래스 tls 프로필 설정. 암호 시그널링 명령은 이전에 존재하는 TLS 암호화 옵션을 계속 지원합니다. 귀하는 다음 중 하나의 음성 클래스 tls-profiletag 또는 암호 시그널링 명령을 사용하여 trustpoint를 구성합니다. 를 사용하는 것이 좋습니다. 음성 클래스 tls-profiletag 명령을 사용하여 TLS 프로파일 구성을 수행합니다.