Als u het toegangsbeheermodel voor verificatie, autorisatie en boekhouding (AAA) wilt inschakelen, gebruikt u de nieuw model aaa commando in globale configuratiemodus. Als u het AAA-toegangsbeheermodel wilt uitschakelen, gebruikt u het nee vorm van dit commando.

nieuw model aaa

geen aaa nieuw model

Dit commando heeft geen argumenten of trefwoorden.

Standaard opdracht: AAA is niet ingeschakeld.

Opdrachtmodus: Algemene configuratie (configuratie)

Gebruiksrichtlijnen: Met deze opdracht wordt het AAA-toegangscontrolesysteem ingeschakeld.

Als u verificatie, autorisatie en accountingverificatie (AAA) wilt instellen bij het aanmelden, gebruikt u de aaa-authenticatie login commando in globale configuratiemodus. Als u AAA-verificatie wilt uitschakelen, gebruikt u de nee vorm van dit commando.

aaa-verificatie-login {standaard |list-name } methode1 [methode2...]

geenaaa-authenticatie-login {standaard |list-name } methode1 [methode2...]

Standaard opdracht: AAA-verificatie bij aanmelding is uitgeschakeld.

Opdrachtmodus: Algemene configuratie (configuratie)

Gebruiksrichtlijnen: Als de standaard trefwoord is niet ingesteld, enkel de lokale gebruikersdatabase wordt gecontroleerd. Dit heeft hetzelfde effect als de volgende opdracht:

aaa authentication login default local

Op de console lukt het aanmelden zonder verificatiecontroles als standaard trefwoord is niet ingesteld.

De standaard- en optionele lijstnamen die u maakt met de aaa-authenticatie login commando wordt gebruikt met de aanmeldverificatie commando.

Maak een lijst door de in te voeren aaa-authenticatie login opdracht lijstnaammethode voor een bepaald protocol. Het argument lijstnaam is de tekenreeks die wordt gebruikt om de lijst met verificatiemethoden te benoemen die worden geactiveerd wanneer een gebruiker zich aanmeldt. Het methodeargument identificeert de lijst met methoden die het verificatiealgoritme probeert in de opgegeven volgorde. In het gedeelte 'Verificatiemethoden die niet kunnen worden gebruikt voor het argument met de lijstnaam' worden verificatiemethoden weergegeven die niet kunnen worden gebruikt voor het argument met de lijstnaam. De tabel hieronder beschrijft de trefwoorden van de methode.

Als u een standaardlijst wilt maken die wordt gebruikt als er geen lijst aan een lijn is toegewezen, gebruikt u de aanmeldverificatie commando met het default argument gevolgd door de methodes die je wil gebruiken in default situaties.

Het wachtwoord wordt slechts één keer gevraagd om de gebruikersreferenties te verifiëren en bij fouten als gevolg van verbindingsproblemen zijn meerdere pogingen mogelijk via de aanvullende verificatiemethoden. De overschakeling naar de volgende verificatiemethode gebeurt echter alleen als de vorige methode een fout retourneert, niet als deze mislukt. Om ervoor te zorgen dat de verificatie slaagt, zelfs als alle methoden een fout retourneren, geeft u geen als laatste methode in de opdrachtregel.

Als verificatie niet specifiek is ingesteld voor een lijn, wordt standaard de toegang geweigerd en wordt er geen verificatie uitgevoerd. Gebruik de meer systeem:running-config opdracht om de momenteel geconfigureerde lijsten met verificatiemethoden weer te geven.

Verificatiemethoden die niet kunnen worden gebruikt voor het lijstnaamargument

De verificatiemethoden die niet kunnen worden gebruikt voor het argument met de lijstnaam zijn de volgende:

• verificatiegast

• inschakelen

• gast

• indien geverifieerd

• indien nodig

• krb5

• krb-exemplaar

• krb-telnet

• regel

• lokaal

• geen

• straal

• rcmd

• tactvol, tactvol

• tacaclus

In de onderstaande tabel verwijzen de methoden voor groepsradius, groepstacacs +, groepsldap en groepsgroepsnaam naar een set eerder gedefinieerde RADIUS- of TACACS+-servers. Gebruik de host van de radius-server en de host van de tacacs-server om de hostservers te configureren. Gebruik de opdrachten aaa group server radius, aaa group server ldap en aaa group server tacacs+ om een benoemde groep servers te maken.

In de onderstaande tabel worden de trefwoorden van de methode beschreven.

Trefwoord	Beschrijving
cachegroepsnaam	Gebruikt een cacheservergroep voor verificatie.
inschakelen	Gebruikt het wachtwoord inschakelen voor verificatie. Dit trefwoord kan niet worden gebruikt.
groep groepsnaam	Gebruikt een subset van RADIUS- of TACACS+-servers voor verificatie zoals gedefinieerd door de aaa-groepserverradius of aaa group server tacacs+ commando.
groepldap	Gebruikt de lijst met alle LDAP-servers (Lightweight Directory Access Protocol) voor verificatie.
groepsradius	Gebruikt de lijst met alle RADIUS-servers voor verificatie.
groeptacacs+	Gebruikt de lijst met alle TACACS+-servers voor verificatie.
krb5	Gebruikt Kerberos 5 voor verificatie.
krb5-telnet	Gebruikt Kerberos 5 Telnet-verificatieprotocol bij gebruik van Telnet om verbinding te maken met de router.
regel	Gebruikt het lijnwachtwoord voor verificatie.
lokaal	Gebruikt de lokale gebruikersnaamdatabase voor verificatie.
lokaal geval	Gebruikt hoofdlettergevoelige verificatie voor lokale gebruikersnaam.
geen	Gebruikt geen verificatie.
passwd-vervaldatum	Hiermee schakelt u veroudering van wachtwoord in op een lokale verificatielijst.   De radius-server vsa verzenden verificatie commando is vereist om de passwd-vervaldatum trefwoordwerk.

Als u de parameters wilt instellen die de gebruikerstoegang tot een netwerk beperken, gebruikt u de aaa-autorisatie commando in globale configuratiemodus. Om de parameters te verwijderen, gebruikt u de nee vorm van dit commando.

aaaautorisatie {{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{ auth-proxy|cache, cache|opdrachtenniveau |configuratieopdrachten|configuratie|console, console|exec, exec, exec|ipmobiel|multicast|netwerk|polis-indien|vooraf betaald|radius-proxy|omgekeerde toegang|abonneedienst|sjabloon} {standaard|lijstnaam } [methode1 […]methode2... ]]

geenaaaautorisatie { auth-proxy|cache|commando'slevel |config-commands|configuration|console|exec|ipmobile|multicast|network|policy-if|prepaid|radius-proxy|reverse-access|subscriber-service|template} {default|list-name } [method1 [method2.… ]]

Standaard opdracht: Autorisatie is uitgeschakeld voor alle acties (gelijk aan het trefwoord methode geen ).

Opdrachtmodus: Algemene configuratie (configuratie)

Gebruiksrichtlijnen: Gebruik de aaa-autorisatieopdracht om autorisatie in te schakelen en benoemde lijsten met methoden te maken, die autorisatiemethoden definiëren die kunnen worden gebruikt wanneer een gebruiker de opgegeven functie opent. In de lijst met methoden voor autorisatie worden de manieren beschreven waarop autorisatie wordt uitgevoerd en de volgorde waarin deze methoden worden uitgevoerd. Een methodenlijst is een benoemde lijst die de autorisatiemethoden (zoals RADIUS of TACACS+) beschrijft die achtereenvolgens moeten worden gebruikt. Met Method-lijsten kunt u een of meer beveiligingsprotocollen aanwijzen die voor autorisatie moeten worden gebruikt, zodat een back-upsysteem wordt gegarandeerd voor het geval de eerste methode mislukt. Cisco IOS-software gebruikt de eerste methode die wordt vermeld om gebruikers te autoriseren voor specifieke netwerkservices. Als deze methode niet reageert, selecteert de Cisco IOS-software de volgende methode die wordt vermeld in de lijst met methoden. Dit proces gaat door totdat er een succesvolle communicatie is met een vermelde autorisatiemethode of totdat alle gedefinieerde methoden zijn uitgeput.

De Cisco IOS-software probeert autorisatie met de volgende methode in de lijst alleen uit te voeren als er geen reactie is van de vorige methode. Als de autorisatie op een bepaald moment in deze cyclus mislukt, wat betekent dat de beveiligingsserver of de lokale gebruikersdatabase reageert door de gebruikersservices te weigeren, stopt het autorisatieproces en worden er geen andere autorisatiemethoden geprobeerd.

Als de aaa-autorisatieopdracht voor een bepaald autorisatietype wordt uitgegeven zonder een gespecificeerde lijst met benoemde methoden, wordt de standaardlijst met methoden automatisch toegepast op alle interfaces of lijnen (waar dit autorisatietype van toepassing is), met uitzondering van de interfaces of lijnen waarvoor een lijst met benoemde methoden expliciet is gedefinieerd. (Een gedefinieerde keuzelijst overschrijft de standaardkeuzelijst.) Als er geen standaardkeuzelijst is gedefinieerd, vindt er geen autorisatie plaats. De standaardlijst met autorisatiemethoden moet worden gebruikt om uitgaande autorisatie uit te voeren, zoals het autoriseren van het downloaden van IP-pools van de RADIUS-server.

Gebruik de aaa-autorisatieopdracht om een lijst te maken door de waarden voor de lijstnaam en de argumenten voor de methode in te voeren, waarbij de lijstnaam een tekenreeks is die wordt gebruikt om deze lijst te noemen (met uitzondering van alle methodennamen) en de methode de lijst met autorisatiemethoden identificeert die in de opgegeven reeks zijn geprobeerd.

Het aaa-autorisatiebevel ondersteunt 13 afzonderlijke lijsten met methoden. Bijvoorbeeld:

aaa-autorisatieconfiguratiemethodlist1 groepradius

aaa autorisatieconfiguratie methodlist2 groepradius

...

methodlist aaa-autorisatieconfiguratie13 groepradius

In de onderstaande tabel verwijzen de methoden groepsgroepsnaam, groepsldap, groepsradius en groepstacacs + naar een set eerder gedefinieerde RADIUS- of TACACS+-servers. Gebruik de host van de radius-server en de host van de tacacs-server om de hostservers te configureren. Gebruik de opdrachten aaa group server radius, aaa group server ldap en aaa group server tacacs+ om een benoemde groep servers te maken.

Cisco IOS-software ondersteunt de volgende autorisatiemethoden:

• Cacheservergroepen: de router raadpleegt de cacheservergroepen om specifieke rechten voor gebruikers te autoriseren.

• Indien-Geverifieerd --De gebruiker heeft toegang tot de aangevraagde functie, mits de gebruiker met succes is geverifieerd.

• Lokaal: de router of toegangsserver raadpleegt de lokale database, zoals gedefinieerd door de gebruikersnaamopdracht, om specifieke rechten voor gebruikers toe te staan. Slechts een beperkt aantal functies kan worden beheerd via de lokale database.

• Geen --De server voor netwerktoegang vraagt geen autorisatiegegevens. Autorisatie wordt niet uitgevoerd via deze lijn of interface.

• RADIUS - De server voor netwerktoegang vraagt autorisatiegegevens aan van de RADIUS-beveiligingsservergroep. RADIUS-autorisatie definieert specifieke rechten voor gebruikers door attributen, die zijn opgeslagen in een database op de RADIUS-server, te koppelen aan de juiste gebruiker.

• TACACS+ --De server voor netwerktoegang wisselt autorisatiegegevens uit met de TACACS+ beveiligingsdaemon. TACACS+-autorisatie definieert specifieke rechten voor gebruikers door attribuutwaarde-paren (AV) te koppelen, die in een database op de TACACS+-beveiligingsserver worden opgeslagen, met de juiste gebruiker.

Als u verbindingen tussen specifieke typen eindpunten in een VoIP-netwerk wilt toestaan, gebruikt u de aansluitingen commando in de configuratiemodus van de spraakservice. Om specifieke soorten verbindingen te weigeren, gebruikt u de nee vorm van dit commando.

verbindingen toestaanvan-typenaarnaar-type

geensta-verbindingenvan-typenaarnaar-type

Standaard opdracht: SIP-naar-SIP-verbindingen zijn standaard uitgeschakeld.

Opdrachtmodus: Configuratie spraakservice (configuratie-voi-serv)

Gebruiksrichtlijnen: Deze opdracht wordt gebruikt om verbindingen tussen specifieke typen eindpunten toe te staan in een Cisco-gateway voor IP-naar-IP voor meerdere services. De opdracht is standaard ingeschakeld en kan niet worden gewijzigd.

Als u '#' op een willekeurige plaats in het spraakregister wilt invoegen, gebruikt u de toelaten-hash-in-dn commando in voice register global mode. Om dit uit te schakelen, gebruikt u de nee vorm van dit commando.

toestaan-hash-in-dn

geen toestaan-hash-in-dn

Standaard opdracht: De opdracht is standaard uitgeschakeld.

Opdrachtmodus: algemene configuratie spraakregister (config-register-wereldwijd)

Gebruiksrichtlijnen: Voordat deze opdracht werd geïntroduceerd, waren de ondersteunde tekens in spraakregister-dn 0-9, + en *. De nieuwe opdracht wordt ingeschakeld wanneer de gebruiker het invoeren van # in spraakregister-dn vereist. De opdracht is standaard uitgeschakeld. U kunt deze opdracht alleen configureren in de modi Cisco Unified SRST en Cisco Unified E-SRST. Het teken # kan op elke plaats in spraakregistratie dn worden ingevoegd. Wanneer deze opdracht is ingeschakeld, moeten gebruikers het standaardteken voor beëindiging (#) wijzigen in een ander geldig teken met dial peer terminator commando onder configuratiemodus.

Als u de configuratiemodus voor redundantietoepassingen wilt invoeren, gebruikt u de redundantie van toepassing commando in redundantie configuratie mode.

toepassingredundantie

Dit commando heeft geen argumenten of trefwoorden.

Standaard opdracht: Geen

Opdrachtmodus: Redundantieconfiguratie (config-rood)

Gebruiksrichtlijnen: Gebruik dit redundantie van toepassing opdracht om redundantie van toepassing te configureren voor hoge beschikbaarheid.

Als u de standaardgateway voor een toepassing wilt instellen, gebruikt u de app-standaard-gateway opdracht in configuratiemodus voor toepassingshosting. Als u de standaardgatway wilt verwijderen, gebruikt u de nee vorm van dit commando.

app-default-gateway [ip-addressguest-interfacenetwork-interface-number]

geenapp-default-gateway [ip-addressguest-interfacenetwork-interface-number]

Standaard opdracht: De standaardgateway is niet geconfigureerd.

Opdrachtmodus: Configuratie voor het hosten van toepassingen (configuratie-app-hosting)

Gebruiksrichtlijnen: Gebruik de app-standaard-gateway opdracht om de standaardgateway voor een toepassing in te stellen. De gatewayconnectors zijn toepassingen die zijn geïnstalleerd op de Cisco IOS XE GuestShell-container.

Als u een toepassing wilt configureren en de configuratiemodus voor het hosten van toepassingen wilt invoeren, gebruikt u de app voor app-hosting commando in globale configuratiemodus. Om de toepassing te verwijderen, gebruikt u de nee vorm van dit commando.

app-hosting app-naamapplicatie-naam

Standaard opdracht: Er is geen toepassing geconfigureerd.

Opdrachtmodus: Algemene configuratie (configuratie)

Gebruiksrichtlijnen:Het argument voor de toepassingsnaam kan maximaal 32 alfanumerieke tekens bevatten.

U kunt de hostingconfiguratie van de toepassing bijwerken nadat u deze opdracht hebt geconfigureerd.

Als u het door de toepassing geleverde resourceprofiel wilt overschrijven, gebruikt u de app-resoureprofiel opdracht in configuratiemodus voor toepassingshosting. Als u wilt terugkeren naar het door de toepassing opgegeven resourceprofiel, gebruikt u de nee vorm van dit commando.

app-resoure-profielprofielnaam

geenapp-resoure profielprofielnaam

Standaard opdracht: Resourceprofiel is geconfigureerd.

Opdrachtmodus: Configuratie voor het hosten van toepassingen (configuratie-app-hosting)

Gebruiksrichtlijnen: Gereserveerde resources die in het toepassingspakket zijn opgegeven, kunnen worden gewijzigd door een aangepast resourceprofiel in te stellen. Alleen de resources voor CPU, geheugen en virtuele CPU (vCPU) kunnen worden gewijzigd. Als u wilt dat de resourcewijzigingen van kracht worden, stopt en deactiveert u de toepassing en activeert u deze opnieuw.

Alleen aangepast profiel wordt ondersteund.

Met de opdracht wordt het aangepaste toepassingsresourceprofiel geconfigureerd en wordt de configuratiemodus voor het aangepaste toepassingsresourceprofiel ingevoerd.

Als u een virtuele netwerkinterfacegateway voor een toepassing wilt configureren, gebruikt u de app-vnic-gateway opdracht in configuratiemodus voor toepassingshosting. Als u de configuratie wilt verwijderen, gebruikt u de nee vorm van dit commando.

Deze opdracht wordt alleen ondersteund op routeringsplatformen. Het wordt niet ondersteund op schakelplatformen.

app-vnic gatewayvirtualportgroupnumberguest-interfacenetwork-interface-number

geenapp-vnic gatewayvirtualportgroepnummergast-interfacenetwerk-interface-nummer

Standaard opdracht: De virtuele netwerkgateway is niet geconfigureerd.

Opdrachtmodus: Configuratie voor het hosten van toepassingen (configuratie-app-hosting)

Gebruiksrichtlijnen: Nadat u de gateway van de virtuele netwerkinterface voor een toepassing hebt geconfigureerd, verandert de opdrachtmodus in de configuratiemodus van de toepassingshostinggateway. In deze modus kunt u het IP-adres van de gastinterface configureren.

Als u ondersteuning wilt inschakelen voor de asserted ID-koptekst in inkomende SIP-verzoeken of antwoordberichten (Session Initiation Protocol) en als u de asserted ID-privacyinformatie wilt verzenden in uitgaande SIP-verzoeken of antwoordberichten, gebruikt u de asserted-id opdracht in de VoIP-SIP-configuratiemodus van de spraakservice of de tenantconfiguratiemodus van de spraakklasse. Als u de ondersteuning voor de koptekst van de asserted ID wilt uitschakelen, gebruikt u de nee vorm van dit commando.

asserted-id { pai|ppi } systeem

geenasserted-id { pai|ppi } systeem

Standaard opdracht: De privacyinformatie wordt verzonden met de koptekst Remote-Party-ID (RPID) of de koptekst FROM.

Opdrachtmodus: VoIP-SIP-configuratie van spraakservice (conf-serv-sip) en tenantconfiguratie van spraakklasse (config-klasse)

Gebruiksrichtlijnen: Als u kiest voor de pai trefwoord of de ppi trefwoord, de gateway bouwt de PAI-header of de PPI-header, respectievelijk, in de gemeenschappelijke SIP-stack. De pai trefwoord of de ppi trefwoord heeft de prioriteit boven de header Remote-Party-ID (RPID) en verwijdert de RPID-header van het uitgaande bericht, zelfs als de router is geconfigureerd om de RPID-header op mondiaal niveau te gebruiken.

Als u ondersteuning voor SIP-asymmetrische payload (Session Initiation Protocol) wilt configureren, gebruikt u de asymmetrisch laadvermogen opdracht in de SIP-configuratiemodus of de tenantconfiguratiemodus voor spraakklasse. Als u ondersteuning voor asymmetrische payload wilt uitschakelen, gebruikt u de nee vorm van dit commando.

asymmetrischpayload { dtmf |dynamic-codecs |full |system }

geenasymmetrischepayload { dtmf |dynamic-codecs |full |system }

Standaard opdracht: Deze opdracht is uitgeschakeld.

Opdrachtmodus: SIP-configuratie spraakservice (conf-serv-sip), tenantconfiguratie spraakklasse (config-klasse)

Gebruiksrichtlijnen: Voer de SIP-configuratiemodus in vanuit de spraakserviceconfiguratiemodus, zoals weergegeven in het voorbeeld.

Voor Cisco UBE wordt het SIP-asymmetrische payloadtype ondersteund voor audio-/videocodecs, DTMF en NSE. Vandaar, dtmf en dynamische codecs trefwoorden worden intern gemapt naar de volledig trefwoord voor ondersteuning van het asymmetrische payloadtype voor audio-/videocodecs, DTMF en NSE.

Als u SIP-digestverificatie wilt inschakelen op een individuele bel peer, gebruikt u de verificatie commando in dial peer voice configuratiemodus. Als u SIP-digestverificatie wilt uitschakelen, gebruikt u de nee vorm van dit commando.

verificatiegebruikersnaamgebruikersnaamwachtwoord {{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{{ 0|6|7 } wachtwoord […]realm, rijkrealm, rijk|uitdaging|allemaal ]

geenauthenticatiegebruikersnaamgebruikersnaamwachtwoord { 0|6|7 } wachtwoord [realmrealm|challenge|all ]

Standaard opdracht: SIP-verwerkingverificatie is uitgeschakeld.

Opdrachtmodus: Configuratie van bel peer-spraak (configuratie-bel-peer)

Gebruiksrichtlijnen: De volgende configuratieregels zijn van toepassing bij het inschakelen van digestverificatie:

• Er kan slechts één gebruikersnaam worden geconfigureerd per bel peer. Elke bestaande gebruikersnaam moet worden verwijderd voordat u een andere gebruikersnaam configureert.

• Maximaal vijf wachtwoord of rijk argumenten kunnen worden geconfigureerd voor één gebruikersnaam.

De gebruikersnaam en wachtwoord argumenten worden gebruikt om een gebruiker te verifiëren. Een verificatieserver/proxy die een 407/401-challengerrespons uitbrengt, bevat een realm in de challengerrespons en de gebruiker levert referenties die geldig zijn voor die realm. Omdat wordt aangenomen dat maximaal vijf proxyservers in het signaleringspad kunnen proberen een bepaald verzoek van een user-agent client (UAC) naar een user-agent server (UAS) te verifiëren, kan een gebruiker maximaal vijf combinaties van wachtwoorden en realms configureren voor een geconfigureerde gebruikersnaam.

De gebruiker geeft het wachtwoord op in platte tekst, maar het is gecodeerd en opgeslagen voor 401 challenge response. Als het wachtwoord niet in gecodeerde vorm wordt opgeslagen, wordt een junk-wachtwoord verzonden en mislukt de verificatie.

• De realm-specificatie is optioneel. Als het wachtwoord is weggelaten, is het geconfigureerde wachtwoord voor die gebruikersnaam van toepassing op alle domeinen die proberen te verifiëren.

• Er kan slechts één wachtwoord tegelijk worden geconfigureerd voor alle geconfigureerde realms. Als een nieuw wachtwoord is geconfigureerd, overschrijft het eerder geconfigureerde wachtwoord.

Dit betekent dat er slechts één globaal wachtwoord (één zonder een opgegeven realm) kan worden geconfigureerd. Als u een nieuw wachtwoord configureert zonder een bijbehorende realm te configureren, overschrijft het nieuwe wachtwoord het vorige.

• Als een realm is geconfigureerd voor een eerder geconfigureerde gebruikersnaam en wachtwoord, wordt die realmspecificatie toegevoegd aan die bestaande gebruikersnaam en wachtwoordconfiguratie. Zodra een realm is toegevoegd aan een gebruikersnaam en wachtwoordconfiguratie, is die combinatie van gebruikersnaam en wachtwoord alleen geldig voor die realm. Een geconfigureerde realm kan niet worden verwijderd uit een gebruikersnaam- en wachtwoordconfiguratie zonder eerst de volledige configuratie voor die gebruikersnaam en dat wachtwoord te verwijderen. U kunt die gebruikersnaam en dat wachtwoord vervolgens opnieuw configureren met of zonder een andere realm.

• In een invoer met zowel een wachtwoord als een realm kunt u het wachtwoord of de realm wijzigen.

• Gebruik de geen verificatie allemaal opdracht om alle verificatiegegevens voor de gebruiker te verwijderen.

Het is verplicht het coderingstype voor het wachtwoord op te geven. Indien een wachtwoord in leesbare tekst (typ 0) is geconfigureerd, het is gecodeerd als type 6 voordat u deze opslaat in de actieve configuratie.

Als u het coderingstype opgeeft als 6 of 7het ingegeven wachtwoord wordt gecontroleerd aan de hand van een geldig type 6 of 7 wachtwoordformaat en opgeslagen als type 6 of 7 respectievelijk.

Type-6-wachtwoorden worden gecodeerd met AES-code en een door de gebruiker gedefinieerde primaire sleutel. Deze wachtwoorden zijn relatief veiliger. De primaire sleutel wordt nooit weergegeven in de configuratie. Zonder de kennis van de primaire sleutel typt u 6 wachtwoorden zijn onbruikbaar. Als de primaire sleutel wordt gewijzigd, wordt het wachtwoord dat is opgeslagen als type 6 opnieuw gecodeerd met de nieuwe primaire sleutel. Als de configuratie van de primaire sleutel is verwijderd, typt u 6 wachtwoorden kunnen niet worden gedecodeerd, waardoor de verificatie voor gesprekken en registraties mogelijk mislukt.

Wanneer u een back-up maakt van een configuratie of de configuratie naar een ander apparaat migreert, wordt de primaire sleutel niet gedumpt. Daarom moet de primaire sleutel opnieuw handmatig worden geconfigureerd.

Zie Een gecodeerde voorgeprogrammeerde sleutel configureren voor het configureren van een gecodeerde voorgeprogrammeerde sleutel.

Het volgende waarschuwingsbericht wordt weergegeven bij coderingstype 7 is geconfigureerd. Waarschuwing: De opdracht is toegevoegd aan de configuratie met een type 7-wachtwoord. Type 7-wachtwoorden worden echter binnenkort afgeschaft. Migreren naar een ondersteund wachtwoordtype 6.

Als u het bronadres voor signalering en mediapakketten wilt binden aan het IPv4- of IPv6-adres van een specifieke interface, gebruikt u de binden opdracht in SIP-configuratiemodus. Om de binding uit te schakelen, gebruikt u de nee vorm van dit commando.

binden { control|media|all } source-interfaceinterface-id { ipv4-addressipv4-address|ipv6-addressipv6-address }

geenbinding aan { control|media|all } source-interfaceinterface-id { ipv4-addressipv4-address|ipv6-addressipv6-address }

Standaard opdracht: Binding is uitgeschakeld.

Opdrachtmodus: SIP-configuratie (conf-serv-sip) en spraakklasse-tenant.

Gebruiksrichtlijnen: Async, Ethernet, FastEthernet, Loopback en Serial (inclusief Frame Relay) zijn interfaces binnen de SIP-toepassing.

Als de binden opdracht is niet ingeschakeld, de IPv4-laag biedt nog steeds het beste lokale adres.

Als u de basisconfiguraties voor Call-Home wilt inschakelen, gebruikt u de rapportering aan huis commando in globale configuratiemodus.

call-home reporting { anonymous |contact-email-addr } [ http-proxy { ipv4-address |ipv6-address |name } port port-number ]

Standaard opdracht: Geen standaardgedrag of -waarden

Opdrachtmodus: Algemene configuratie (configuratie)

Gebruiksrichtlijnen: Nadat Call-Home met succes is ingeschakeld in de anonieme of volledige registratiemodus met de rapportering aan huis opdracht wordt een inventarisbericht verstuurd. Als Call-Home is ingeschakeld in de volledige registratiemodus, wordt een volledig inventarisbericht voor de volledige registratiemodus verzonden. Als Call-Home is ingeschakeld in de anonieme modus, wordt een anoniem inventarisbericht verzonden. Zie Triggergebeurtenissen en opdrachten voor waarschuwingsgroepen voor meer informatie over de berichtdetails.

Als u Cisco Unified SRST-ondersteuning wilt inschakelen en de configuratiemodus voor terugvallen met gespreksbeheer wilt invoeren, gebruikt u de call-manager-fallback commando in globale configuratiemodus. Als u de ondersteuning voor Cisco Unified SRST wilt uitschakelen, gebruikt u de nee vorm van dit commando.

call-manager-fallback

geencall-manager-terugval

Dit commando heeft geen argumenten of trefwoorden.

Standaard opdracht: Geen standaardgedrag of -waarden.

Opdrachtmodus: Algemene configuratie

Als u server-, client- of bidirectionele identiteitsvalidatie van een peer-certificaat wilt inschakelen tijdens de TLS-handshake, gebruikt u de opdracht cn-san valideren in de configuratiemodus tls-profiel voor spraakklasse. Als u certificaatidentiteitsvalidatie wilt uitschakelen, gebruikt u nee vorm van dit commando.

cn-sanvalideren { server|client|bidirectional }

geencn-sanvalidatie { server|client|bidirectional }

Standaard opdracht: Identiteitsvalidatie is uitgeschakeld.

Opdrachtmodus: Configuratie spraakklasse (configuratieklasse)

Gebruiksrichtlijnen: Serveridentiteitsvalidatie is gekoppeld aan een veilige signaleringsverbinding via de algemene cryptosignalering en spraakklasse tls-profiel configuraties.

Het commando is uitgebreid met de opdrachtgever en bidirectioneel trefwoorden. Met de clientoptie kan een server de identiteit van een client valideren door CN- en SAN-hostnamen in het geleverde certificaat te controleren op een vertrouwde lijst met cn-san FQDN's. De verbinding wordt alleen tot stand gebracht als er een overeenkomst is gevonden. Deze lijst met cn-san FQDN's wordt nu ook gebruikt om een servercertificaat te valideren, naast de hostnaam van het sessiedoel. De bidirectioneel optie valideert peer identity voor zowel client- als serververbindingen door beide server en opdrachtgever modi. Zodra u cn-san validerenvoor elke nieuwe TLS-verbinding wordt de identiteit van het peer-certificaat gevalideerd.

Als u een lijst met FQDN-namen (Fully Qualified Domain Name) wilt configureren om te valideren op basis van het peer-certificaat voor inkomende of uitgaande TLS-verbindingen, gebruikt u de cn-san commando in voice class tls-profiel configuratiemodus. Als u cn-san-certificaatvalidatieinvoer wilt verwijderen, gebruikt u de nee vorm van dit commando.

cn-san{1-10}fqdn

geencn-san{1-10}fqdn

Standaard opdracht: Er zijn geen cn-san-namen geconfigureerd.

Opdrachtmodus: Configuratiemodus voor tls-profiel voor spraakklasse (configuratieklasse)

Gebruiksrichtlijnen: FQDN gebruikt voor peer-certificaatvalidatie worden toegewezen aan een TLS-profiel met maximaal tien cn-san boekingen. Ten minste één van deze vermeldingen moet worden gekoppeld aan een FQDN in de velden Algemene naam certificaat (CN) of Onderwerp alternatieve naam (SAN) voordat een TLS-verbinding tot stand wordt gebracht. Als u wilt overeenkomen met een domeinhost die wordt gebruikt in een CN- of SAN-veld, wordt een cn-san invoer kan worden geconfigureerd met een wildcard voor een domein, strikt in de vorm *.domain-name (bv. *.cisco.com). Er is geen ander gebruik van jokertekens toegestaan.

Voor inkomende verbindingen wordt de lijst gebruikt om CN- en SAN-velden in het clientcertificaat te valideren. Voor uitgaande verbindingen wordt de lijst samen met de hostnaam van het sessiedoel gebruikt om de velden CN en SAN in het servercertificaat te valideren.

Servercertificaten kunnen ook worden geverifieerd door de doel-FQDN van de SIP-sessie te koppelen aan een CN- of SAN-veld.

Als u een lijst met gewenste codecs wilt opgeven voor een dial peer, gebruikt u de codec voorkeur commando in voice class configuratiemodus. Als u deze functionaliteit wilt uitschakelen, gebruikt u de nee vorm van dit commando.

codecvoorkeurswaardecodec-type

geencodecvoorkeurswaardecodec-type

Standaard opdracht: Als deze opdracht niet is ingevoerd, worden er geen specifieke typen codecs met voorkeur geïdentificeerd.

Opdrachtmodus: configuratie spraakklasse (configuratieklasse)

Gebruiksrichtlijnen: De routers aan de andere uiteinden van het WAN moeten mogelijk onderhandelen over de codec-selectie voor de netwerk dial peers. De codec voorkeur opdracht geeft de voorkeurvolgorde aan voor het selecteren van een onderhandelde codec voor de verbinding. In de onderstaande tabel worden de spraakpayloadopties en standaardwaarden voor de codecs en spraakprotocollen voor pakketten beschreven.

Als u de globale luisterpoort wilt gebruiken voor het verzenden van aanvragen via UDP, gebruikt u de aansluiting-hergebruik commando in sip-ua mode of voice class tenant configuratie mode. Gebruik om uit te schakelen nee vorm van dit commando.

verbinding-hergebruik { via-poort |systeem }

geenconnectie-hergebruik { via-port |system }

Standaard opdracht: De lokale gateway gebruikt een tijdelijke UDP-poort voor het verzenden van aanvragen via UDP.

Opdrachtmodi: SIP UA-configuratie (config-sip-ua), tenantconfiguratie voor spraakklasse (config-class)

Gebruiksrichtlijnen: Als u deze opdracht uitvoert, wordt de poort voor het gebruik van de luisteraar ingeschakeld voor het verzenden van aanvragen via UDP. De standaardluisterpoort voor reguliere niet-beveiligde SIP is 5060 en de beveiligde SIP is 5061. Configureren listen-port [niet-secure | secure]port command in voice service voip > sip-configuratiemodus om de globale UDP-poort te wijzigen.

Als u het CPU-quotum of de eenheid die voor een toepassing is toegewezen wilt wijzigen, gebruikt u de cpu opdracht in de configuratiemodus voor aangepaste toepassingsresourceprofielen. Als u wilt terugkeren naar de door de toepassing opgegeven CPU-quota, gebruikt u de nee vorm van dit commando.

cpueenheid

geencpueenheid

Standaard opdracht: De standaard CPU is afhankelijk van het platform.

Opdrachtmodus: Aangepaste configuratie van het resourceprofiel van de toepassing (config-app-resource-profile-custom)

Gebruiksrichtlijnen: Een CPU-eenheid is de minimale CPU-toewijzing door de toepassing. Totale CPU-eenheden zijn gebaseerd op genormaliseerde CPU-eenheden die zijn gemeten voor het doelapparaat.

Binnen elk toepassingspakket wordt een toepassingsspecifiek resourceprofiel opgegeven dat de aanbevolen CPU-belasting, geheugengrootte en het aantal virtuele CPU's (vCPU's) definieert die vereist zijn voor de toepassing. Gebruik deze opdracht om de toewijzing van resources voor specifieke processen in het aangepaste resourceprofiel te wijzigen.

Gereserveerde resources die in het toepassingspakket zijn opgegeven, kunnen worden gewijzigd door een aangepast resourceprofiel in te stellen. Alleen de CPU-, geheugen- en vCPU-resources kunnen worden gewijzigd. Om de resourcewijzigingen van kracht te laten worden, stopt en deactiveert u de toepassing, activeert u deze en start u de toepassing opnieuw.

Resourcewaarden zijn toepassingsspecifiek en elke aanpassing aan deze waarden moet ervoor zorgen dat de toepassing betrouwbaar kan werken met de wijzigingen.

Als u een Cisco IOS Session Initiation Protocol (SIP) time-division multiplexing (TDM)-gateway, een Cisco Unified Border Element (Cisco UBE) of Cisco Unified Communications Manager Express (Cisco Unified CME) wilt configureren om een SIP-registratiebericht te verzenden in de status UP, gebruikt u de referenties opdracht in de SIP UA-configuratiemodus of de tenantconfiguratiemodus voor spraakklasse. Als u SIP-verteringsreferenties wilt uitschakelen, gebruikt u de nee vorm van dit commando.

referenties { dhcp|nummernummergebruikersnaamgebruikersnaam } wachtwoord { 0|6|7 } wachtwoordrealmrealm

geenreferenties { dhcp|nummernummergebruikersnaamgebruikersnaam } wachtwoord { 0|6|7 } wachtwoordrealmrealm

Standaard opdracht: SIP-digest-aanmeldgegevens zijn uitgeschakeld.

Opdrachtmodus: SIP UA-configuratie (config-sip-ua) en Voice class-tenantconfiguratie (config-class).

Gebruiksrichtlijnen: De volgende configuratieregels zijn van toepassing wanneer referenties zijn ingeschakeld:

• Er is slechts één wachtwoord geldig voor alle domeinnamen. Een nieuw geconfigureerd wachtwoord overschrijft een eerder geconfigureerd wachtwoord.

• Het wachtwoord wordt altijd in gecodeerd formaat weergegeven wanneer de referenties opdracht is geconfigureerd en de weergeven running-config commando wordt gebruikt.

De dhcp trefwoord in de opdracht betekent dat het primaire nummer wordt verkregen via DHCP en dat de Cisco IOS SIP TDM-gateway, Cisco UBE of Cisco Unified CME waarop de opdracht is ingeschakeld, dit nummer gebruikt om het ontvangen primaire nummer te registreren of ongedaan te maken.

Het is verplicht het coderingstype voor het wachtwoord op te geven. Indien een wachtwoord in leesbare tekst (typ 0) is geconfigureerd, het is gecodeerd als type 6 voordat u deze opslaat in de actieve configuratie.

Als u het coderingstype opgeeft als 6 of 7het ingegeven wachtwoord wordt gecontroleerd aan de hand van een geldig type 6 of 7 wachtwoordformaat en opgeslagen als type 6 of 7 respectievelijk.

Type-6-wachtwoorden worden gecodeerd met AES-code en een door de gebruiker gedefinieerde primaire sleutel. Deze wachtwoorden zijn relatief veiliger. De primaire sleutel wordt nooit weergegeven in de configuratie. Zonder de kennis van de primaire sleutel typt u 6 wachtwoorden zijn onbruikbaar. Als de primaire sleutel wordt gewijzigd, wordt het wachtwoord dat is opgeslagen als type 6 opnieuw gecodeerd met de nieuwe primaire sleutel. Als de configuratie van de primaire sleutel is verwijderd, typt u 6 wachtwoorden kunnen niet worden gedecodeerd, waardoor de verificatie voor gesprekken en registraties mogelijk mislukt.

Wanneer u een back-up maakt van een configuratie of de configuratie naar een ander apparaat migreert, wordt de primaire sleutel niet gedumpt. Daarom moet de primaire sleutel opnieuw handmatig worden geconfigureerd.

Zie Een gecodeerde voorgeprogrammeerde sleutel configureren voor het configureren van een gecodeerde voorgeprogrammeerde sleutel.

Waarschuwing: De opdracht is toegevoegd aan de configuratie met een type 7-wachtwoord. Type 7-wachtwoorden worden echter binnenkort afgeschaft. Migreren naar een ondersteund wachtwoordtype 6.

In YANG kunt u dezelfde gebruikersnaam niet configureren in twee verschillende domeinen.

Als u de voorkeur wilt opgeven voor een SRTP-versleutelingssuite die wordt aangeboden door Cisco Unified Border Element (CUBE) in de SDP in aanbod en antwoord, gebruikt u de crypto commando in voice class configuratiemodus. Als u deze functionaliteit wilt uitschakelen, gebruikt u de nee vorm van dit commando.

cryptovoorkeur versleutelingssuite

geencryptovoorkeur versleutelingssuite

Standaard opdracht: Als deze opdracht niet is geconfigureerd, is het standaardgedrag om de srtp-versleutelingssuites in de volgende voorkeurvolgorde aan te bieden:

• AEAD_AES_256_GCM

• AEAD_AES_128_GCM

• AES_CM_128_HMAC_SHA1_80

• AES_CM_128_HMAC_SHA1_32

Opdrachtmodus: voice class srtp-crypto (config-class)

Gebruiksrichtlijnen: Als u de voorkeur voor een reeds geconfigureerde versleutelingssuite wijzigt, wordt de voorkeur overschreven.

Om sleutelparen Rivest, Shamir en Adelman (RSA) te genereren, gebruikt u de cryptosleutel genereren rsa commando in globale configuratiemodus.

cryptosleutel genereren rsa [ { general-keys |usage-keys |signature |encryption } ] [ label key-label ] [ exporteerbaar ] [ modulus modulus-size ] [ storage devicename : ] [ redundancyon devicename : ]

Standaard opdracht: RSA-sleutelparen bestaan niet.

Opdrachtmodus: Algemene configuratie (configuratie)

Gebruiksrichtlijnen: Gebruik de cryptosleutel genereren rsa opdracht om RSA-sleutelparen te genereren voor uw Cisco-apparaat (zoals een router).

RSA-sleutels worden gegenereerd in paren: één openbare RSA-sleutel en één privé RSA-sleutel.

Als uw router al RSA-sleutels heeft wanneer u deze opdracht geeft, wordt u gewaarschuwd en gevraagd om de bestaande sleutels te vervangen door nieuwe sleutels.

De cryptosleutel genereren rsa-opdracht wordt niet opgeslagen in de routerconfiguratie; de RSA-sleutels die door deze opdracht worden gegenereerd, worden echter opgeslagen in de privéconfiguratie in NVRAM (die nooit aan de gebruiker wordt weergegeven of naar een ander apparaat wordt geback-upt) wanneer de configuratie de volgende keer naar NVRAM wordt geschreven.

• Sleutels voor speciaal gebruik: Als u sleutels voor speciaal gebruik genereert, worden twee paar RSA-sleutels gegenereerd. Eén paar wordt gebruikt met een Internet Key Exchange (IKE)-beleid dat RSA-handtekeningen specificeert als de verificatiemethode, en het andere paar wordt gebruikt met een IKE-beleid dat RSA-gecodeerde sleutels specificeert als de verificatiemethode.

  Een CA wordt alleen gebruikt met IKE-polissen waarin RSA-handtekeningen zijn gespecificeerd, niet met IKE-polissen waarin RSA-gecodeerde nonces zijn gespecificeerd. (U kunt echter meer dan één IKE-beleid opgeven en RSA-handtekeningen laten opgeven in één beleid en RSA-gecodeerde nonces in een ander beleid.)

  Als u van plan bent om beide typen RSA-verificatiemethoden in uw IKE-beleid te hebben, geeft u mogelijk de voorkeur aan het genereren van sleutels voor speciaal gebruik. Met speciale gebruikssleutels wordt elke sleutel niet onnodig blootgelegd. (Zonder speciale gebruikssleutels wordt één sleutel gebruikt voor beide verificatiemethoden, waardoor de blootstelling van die sleutel toeneemt).

• Sleutels voor algemene doeleinden: Als u sleutels voor algemene doeleinden genereert, wordt er slechts één paar RSA-sleutels gegenereerd. Dit paar wordt gebruikt met IKE-beleidsregels waarin ofwel RSA-handtekeningen ofwel RSA-gecodeerde sleutels worden opgegeven. Daarom kan een sleutelpaar voor algemene doeleinden vaker worden gebruikt dan een sleutelpaar voor speciaal gebruik.

• Benoemde sleutelparen: Als u een benoemd sleutelpaar genereert met behulp van het toetslabel-argument, moet u ook het gebruikssleutels trefwoord of de algemene sleutels trefwoord. Met benoemde sleutelparen kunt u meerdere RSA-sleutelparen hebben, waardoor de Cisco IOS-software voor elk identiteitscertificaat een ander sleutelpaar kan onderhouden.

• Moduluslengte: Wanneer u RSA-sleutels genereert, wordt u gevraagd een moduluslengte in te voeren. Hoe langer de modulus, hoe sterker de beveiliging. Het duurt echter langer om een langere module te genereren (zie onderstaande tabel voor voorbeeldtijden) en het duurt langer om deze te gebruiken.

  Tabel 2. Monstertijden per moduluslengte om RSA-sleutels te genereren

  Router	360 bits	512 bits	1024 bits	2048 bits (maximaal)
  Cisco 2500	11 seconden	20 seconden	4 minuten, 38 seconden	Meer dan 1 uur
  Cisco 4700	Minder dan 1 seconde	1 seconde	4 seconden	50 seconden

  Cisco IOS-software ondersteunt geen modulus die groter is dan 4096 bits. Een lengte van minder dan 512 bits wordt gewoonlijk niet aanbevolen. In bepaalde situaties werkt de kortere modulus mogelijk niet goed met IKE, daarom raden we aan een minimale modulus van 2048 bits te gebruiken.

  Aanvullende beperkingen zijn mogelijk van toepassing wanneer RSA-sleutels worden gegenereerd door cryptografische hardware. Wanneer RSA-sleutels bijvoorbeeld worden gegenereerd door de Cisco VPN Services Port Adapter (VSPA), moet de RSA-sleutelmodulus minimaal 384 bits zijn en een veelvoud van 64.

• Een opslaglocatie opgeven voor RSA-sleutels: Wanneer u de cryptosleutel genereren rsa commando met de opbergruimte devicename : trefwoord en argument, de RSA-toetsen worden opgeslagen op het opgegeven apparaat. Deze locatie vervangt elke cryptokey-opslag opdrachtinstellingen.

• Een apparaat opgeven voor het genereren van RSA-sleutels: U kunt het apparaat opgeven waar RSA-sleutels worden gegenereerd. Ondersteunde apparaten zijn onder andere NVRAM, lokale schijven en USB-tokens. Als uw router een USB-token heeft geconfigureerd en beschikbaar is, kan het USB-token worden gebruikt als cryptografisch apparaat naast een opslagapparaat. Met een USB-token als cryptografisch apparaat kunnen RSA-bewerkingen worden uitgevoerd op het token, zoals het genereren van sleutels, ondertekening en verificatie van referenties. De privésleutel verlaat nooit het USB-token en kan niet worden geëxporteerd. De openbare sleutel kan worden geëxporteerd.

  RSA-sleutels kunnen worden gegenereerd op een geconfigureerde en beschikbare USB-token door het gebruik van de op devicename : trefwoord en argument. Sleutels die zich op een USB-token bevinden, worden opgeslagen in de opslag van permanente token wanneer ze worden gegenereerd. Het aantal sleutels dat op een USB-token kan worden gegenereerd, wordt beperkt door de beschikbare ruimte. Als u probeert sleutels op een USB-token te genereren en deze vol is, ontvangt u het volgende bericht:

  % Error in generating keys:no available resources 

  Als u de sleutel verwijdert, worden de sleutels die op het token zijn opgeslagen onmiddellijk uit de permanente opslag verwijderd. (Sleutels die niet op een token staan, worden opgeslagen in of verwijderd uit niet-tokenopslaglocaties wanneer de kopiëren of een gelijkaardige opdracht wordt gegeven).

• Opgeven van RSA-sleutelredundantiegeneratie op een apparaat: U kunt redundantie voor bestaande sleutels alleen opgeven als deze kunnen worden geëxporteerd.

Als u de certificeringsinstantie (CA) wilt verifiëren (door het certificaat van de CA te ontvangen), gebruikt u de opdracht cryptopkiauthenticeren in de algemene configuratiemodus.

cryptopkiverificatienaam

Standaard opdracht: Geen standaardgedrag of -waarden.

Opdrachtmodus: Algemene configuratie (configuratie)

Gebruiksrichtlijnen: Deze opdracht is vereist wanneer u CA-ondersteuning voor uw router voor het eerst configureert.

Met deze opdracht wordt de CA geverifieerd voor uw router door het zelfondertekende certificaat van de CA te verkrijgen dat de openbare sleutel van de CA bevat. Omdat de CA zijn eigen certificaat ondertekent, moet u de openbare sleutel van de CA handmatig verifiëren door contact op te nemen met de CA-beheerder wanneer u deze opdracht invoert.

Als u de modus Router Advertisements (RA) gebruikt (met behulp van de inschrijving commando) wanneer je de crypto pki verifiëren opdracht, dan worden de ondertekenings- en coderingscertificaten van de registratieautoriteit teruggestuurd van de CA en het CA-certificaat.

Deze opdracht wordt niet opgeslagen in de routerconfiguratie. De openbare sleutels die zijn ingesloten in de ontvangen CA- (en RA-)certificaten worden echter opgeslagen in de configuratie als onderdeel van de openbare sleutelrecord van Rivest, Shamir en Adelman (RSA) (de 'openbare RSA-sleutelketen' genoemd).

Als de CA niet reageert met een time-outperiode nadat dit commando is uitgegeven, wordt de terminalcontrole geretourneerd zodat deze beschikbaar blijft. Als dit gebeurt, moet u de opdracht opnieuw invoeren. Cisco IOS-software herkent geen vervaldatums van CA-certificaten die zijn ingesteld voor na 2049. Als de geldigheidsperiode van het CA-certificaat na 2049 is ingesteld, wordt de volgende foutmelding weergegeven wanneer verificatie met de CA-server wordt geprobeerd: fout bij het ophalen van het certificaat:onvolledige keten Als u een foutbericht ontvangt dat vergelijkbaar is met dit bericht, controleert u de vervaldatum van uw CA-certificaat. Als de vervaldatum van uw CA-certificaat is ingesteld na het jaar 2049, moet u de vervaldatum met een jaar of meer verlagen.

Als u een certificaat handmatig wilt importeren via TFTP of als knip-en-plak op de terminal, gebruikt u de cryptopkiimport opdracht in globale configuratiemodus.

cryptopkiimportnaamcertificaat

Standaard opdracht: Geen standaardgedrag of -waarden

Opdrachtmodus: Algemene configuratie (configuratie)

Gebruiksrichtlijnen: U moet de crypto pki importeren opdracht twee keer als gebruikssleutels (handtekening- en coderingssleutels) worden gebruikt. De eerste keer dat het commando wordt ingevoerd, wordt een van de certificaten in de router geplakt; de tweede keer dat het commando wordt ingevoerd, wordt het andere certificaat in de router geplakt. (Het maakt niet uit welk certificaat het eerst wordt geplakt.)

Als u het trustpoint wilt aangeven dat uw router moet gebruiken, gebruikt u de de opdracht cryptopkitrustpoint in de globale configuratiemodus. Als u alle identiteitsgegevens en certificaten wilt verwijderen die aan het trustpoint zijn gekoppeld, gebruikt u de nee vorm van dit commando.

cryptopkitrustpointnaamredundantie

geencryptopkitrustpointnaamredundantie

Standaard opdracht: Uw router herkent geen trustpoints totdat u een trustpoint aangeeft met deze opdracht. Uw router gebruikt unieke id's tijdens de communicatie met OCSP-servers (Online Certificate Status Protocol), zoals geconfigureerd in uw netwerk.

Opdrachtmodus: Algemene configuratie (configuratie)

Gebruiksrichtlijnen:

Trustpoints declareren

Gebruik de crypto pki trustpoint opdracht om een trustpoint aan te geven, wat een self-signed root certificate authority (CA) of een ondergeschikte CA kan zijn. Uitgifte van het crypto pki trustpoint commando zet je in ca-trustpoint configuratie mode.

U kunt kenmerken voor het trustpoint opgeven met de volgende subopdrachten:

• crl: vraagt de certificaatintrekkingslijst (CRL) om ervoor te zorgen dat het certificaat van de peer niet is ingetrokken.

• default(ca-trustpoint): hiermee wordt de waarde van de subopdrachten van de ca-trustpoint-configuratiemodus teruggezet naar de standaardinstellingen.

• inschrijving: geeft de inschrijvingsparameters aan (optioneel).

• inschrijvinghttp-proxy: hiermee opent u de CA via HTTP via de proxyserver.

• inschrijvingzelfondertekend: geeft de zelfondertekende inschrijving aan (optioneel).

• matchcertificaat: hiermee wordt een op certificaten gebaseerde toegangscontrolelijst (ACL) gekoppeld die is gedefinieerd met de cryptocacertificatemap command.

• ocspdisable-nonce: geeft aan dat uw router geen unieke id's of nonces verzendt tijdens OCSP-communicatie.

• primair: wijst een opgegeven trustpoint toe als het primaire trustpoint van de router.

• root: definieert de TFTP om het CA-certificaat op te halen en specificeert zowel een naam voor de server als een naam voor het bestand waarin het CA-certificaat wordt opgeslagen.

Specificeren van het gebruik van unieke identificatoren

Bij gebruik van OCSP als uw intrekkingsmethode worden standaard unieke id's of nonces verzonden tijdens peer-communicatie met de OCSP-server. Het gebruik van unieke id's tijdens OCSP-servercommunicatie maakt een veiligere en betrouwbaardere communicatie mogelijk. Niet alle OCSP-servers ondersteunen echter het gebruik van unieke kunstgebit. Raadpleeg uw OCSP-handleiding voor meer informatie. Als u het gebruik van unieke id's tijdens OCSP-communicatie wilt uitschakelen, gebruikt u de ocsp eenmalig uitschakelen subcommand.

Als u de certificaatbundel van de certificeringsinstantie (CA) handmatig wilt importeren (downloaden) in de trustpool voor openbare sleutelinfrastructuur (PKI) om de bestaande CA-bundel bij te werken of te vervangen, gebruikt u de crypto pki trustpool importeren commando in globale configuratiemodus. Als u een van de geconfigureerde parameters wilt verwijderen, gebruikt u nee vorm van dit commando.

cryptopkitrustpoolimportclean [ terminal|urlurl ]

geencryptopkitrustpoolimportclean [ terminal|urlurl ]

Standaard opdracht: De functie PKI trustpool is ingeschakeld. De router gebruikt de ingebouwde CA-certificaatbundel in de PKI-trustpool, die automatisch wordt bijgewerkt vanuit Cisco.

Opdrachtmodus: Algemene configuratie (configuratie)

Zowel de veiligheidsrisico's als de cryptografische technologieën die bescherming tegen deze risico's bieden, veranderen voortdurend. Zie de whitepaper Next Generation Encryption (NGE) voor meer informatie over de nieuwste cryptografische aanbevelingen van Cisco.

PKI-trustpoolcertificaten worden automatisch bijgewerkt vanuit Cisco. Als de PKI-trustpoolcertificaten niet actueel zijn, gebruikt u de crypto pki trustpool importeren opdracht om ze vanaf een andere locatie bij te werken.

De url argument specificeert of wijzigt het URL-bestandssysteem van de CA. In de onderstaande tabel worden de beschikbare URL-bestandssystemen weergegeven.

Tabel 3. URL-bestandssystemen

Bestandssysteem	Beschrijving
archief:	Import vanuit het archiefbestandssysteem.
czs:	Invoer uit het bestandssysteem Cluster Namespace (CNS).
schijf0:	Import van het disc0 bestandssysteem.
schijf1:	Import van het disc1 bestandssysteem.
ftp:	Import van het FTP-bestandssysteem.
http:	Invoer uit het HTTP-bestandssysteem. De URL moet de volgende indelingen hebben: http://CAnaam:80, waar CAnaam is het Domain Name System (DNS) http://ipv4-adres:80. Bijvoorbeeld: http://10.10.10.1:80. http://[ipv6-adres]:80. Bijvoorbeeld: http://[2001:DB8:1:1::1]:80. Het IPv6-adres is in hexadecimale notatie en moet tussen haakjes in de URL worden bijgevoegd.
https:	Invoer uit het HTTPS-bestandssysteem. De URL moet dezelfde indelingen gebruiken als de HTTP: bestandssysteemindelingen.
null:	Import vanuit het null-bestandssysteem.
nvram:	Invoer uit NVRAM-bestandssysteem.
kinderwagen:	Invoer uit PRAM-bestandssysteem (Parameter Random-access Memory).
rcp:	Invoer uit het RCP-bestandssysteem (Remote Copy Protocol).
scp:	Invoer uit het scp-bestandssysteem (secure copy protocol).
snmp:	Invoer uit het Simple Network Management Protocol (SNMP).
systeem:	Invoer uit het systeembestandssysteem.
teer:	Import vanuit het UNIX tar bestandssysteem.
tftp:	Import van het TFTP-bestandssysteem.   De URL moet zich in de van bevinden: tftp://CAnaam/bestandsspecificatie.
tmpsys:	Import van het bestandssysteem Cisco IOS tmpsys.
unix:	Import vanuit het UNIX-bestandssysteem.
xmodem:	Import van het xmodem eenvoudige bestandsoverdracht protocol systeem.
ymodem:	Import van het ymodem eenvoudige bestandsoverdracht protocol systeem.

Om de trustpointtrustpoint-name trefwoord en argument gebruikt tijdens de TLS-handshake (Transport Layer Security) die overeenkomt met het externe apparaatadres, gebruik de cryptosignalering opdracht in de configuratiemodus van de SIP-gebruikersagent (UA). De standaardinstelling herstellen trustpoint tekenreeks, gebruik de nee vorm van dit commando.

crypto signalisatie { default|remote-addr ip-address subnet-mask } [ tls-profile tag |trustpoint trustpoint-name ] [ cn-san-validation server ] [ client-vtp trustpoint-name ] [ ecdsa-cipher |curve-size 384 |strict-cipher ]

geencrypto signalisatie { default|remote-addr ip-address subnet-mask } [ tls-profile tag |trustpoint trustpoint-name ] [ cn-san-validation server ] [ client-vtp trustpoint-name ] [ ecdsa-cipher |curve-size 384 |strict-cipher ]

Standaard opdracht: De opdracht voor crypto-signalering is uitgeschakeld.

Opdrachtmodus: SIP UA-configuratie (sip-ua)

Gebruiksrichtlijnen: De trustpointtrustpoint-name trefwoord en argument verwijst naar het CUBE-certificaat dat is gegenereerd als onderdeel van het inschrijvingsproces met Cisco IOS PKI-opdrachten.

Wanneer één certificaat is geconfigureerd, wordt het gebruikt door alle externe apparaten en wordt het geconfigureerd door de standaard trefwoord.

Als er meerdere certificaten worden gebruikt, kunnen deze worden gekoppeld aan externe services met behulp van de afstandsbediening argument voor elk trustpoint. De afstandsbediening en waar nodig kunnen standaardargumenten worden gebruikt om alle services te dekken.

De standaardcoderingssuite is in dit geval de volgende set die wordt ondersteund door de SSL-laag op CUBE: TLS_RSA_MET_RC4_128_MD5 TLS_RSA_MET_AES_128_CBC_SHA TLS_DHE_RSA_MET_AES_128_CBC_SHA1 TLS_ECDHE_RSA_MET_AES_128_GCM_SHA256 TLS_ECDHE_RSA_MET_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_MET_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_MET_AES_256_GCM_SHA384

Het trefwoord cn-san-validate server maakt serveridentiteitsvalidatie mogelijk via de CN- en SAN-velden in het certificaat bij het tot stand brengen van SIP-/TLS-verbindingen aan clientzijde. Validatie van de CN- en SAN-velden van het servercertificaat zorgt ervoor dat het servergedeelte een geldige entiteit is. Wanneer u een veilige verbinding maakt met een SIP-server, valideert CUBE de geconfigureerde doeldomeinnaam van de sessie op basis van de CN/SAN-velden in het certificaat van de server voordat u een TLS-sessie tot stand brengt. Zodra u cn-san-validate servervalidatie van de serveridentiteit gebeurt voor elke nieuwe TLS-verbinding.

De tls-profiel optie koppelt de TLS-beleidsconfiguraties die zijn gemaakt via de gekoppelde spraakklasse tls-profiel configuratie. Naast de TLS-beleidsopties die rechtstreeks beschikbaar zijn met de cryptosignalering commando, een tls-profiel omvat ook de sni verzenden optie.

sni send schakelt Server Name Indication (SNI) in, een TLS-extensie waarmee een TLS-client de naam kan aangeven van de server waarmee hij verbinding probeert te maken tijdens de eerste TLS-handshake. Alleen de volledig gekwalificeerde DNS-hostnaam van de server wordt verzonden in de client hello. SNI ondersteunt geen IPv4- en IPv6-adressen in de hello-extensie van de client. Na ontvangst van een 'hallo' met de servernaam van de TLS-client, gebruikt de server het juiste certificaat in het volgende TLS-handshake-proces. SNI vereist TLS-versie 1.2.

De TLS-beleidsfuncties zijn alleen beschikbaar via een spraakklasse tls-profiel configuratie. De cryptosignalering het commando blijft bestaande TLS-crypto-opties ondersteunen. U kunt de tls-profieltagvoor spraakklasse of cryptosignalering opdracht om een trustpoint te configureren. We raden u aan om de voice class tls-profiletag opdracht om TLS-profielconfiguraties uit te voeren.