Hvis du vil aktivere tilgangskontrollmodellen for autentisering, autorisasjon og regnskap (AAA), bruker du aaa ny modell kommandoen i global konfigurasjonsmodus. Hvis du vil deaktivere AAA-tilgangskontrollmodellen, bruker du nei formen for denne kommandoen.

aaa ny modell

nei aaa ny modell

Denne kommandoen har ingen argumenter eller nøkkelord.

Kommando standard: AAA er ikke aktivert.

Kommandomodus: Global konfigurasjon (config)

Retningslinjer for bruk: Denne kommandoen aktiverer AAA-tilgangskontrollsystemet.

Hvis du vil angi godkjenning for autentisering, autorisasjon og regnskap (AAA) ved pålogging, bruker du aaa pålogging for autentisering kommandoen i global konfigurasjonsmodus. Hvis du vil deaktivere AAA-godkjenning, bruker du nei formen for denne kommandoen.

aaa pålogging for autentisering { standard| listenavn } metode 1 [ metode 2 … ]

nei aaa pålogging for autentisering { standard| listenavn } metode 1 [ metode 2 … ]

Kommando standard: AAA-godkjenning ved pålogging er deaktivert.

Kommandomodus: Global konfigurasjon (config)

Retningslinjer for bruk: Hvis standard nøkkelord er ikke angitt, bare den lokale brukerdatabasen er kontrollert. Dette har samme effekt som følgende kommando:

aaa authentication login default local

På konsollen vil påloggingen lykkes uten noen autentiseringskontroller hvis standard nøkkelord er ikke angitt.

Standard og valgfrie listenavn som du oppretter med aaa pålogging for autentisering kommandoen brukes med påloggingsautentisering kommandoen.

Opprett en liste ved å angi aaa pålogging for autentisering list-name method-kommando for en bestemt protokoll. Argumentet listenavn er tegnstrengen som brukes til å navngi listen over godkjenningsmetoder som aktiveres når en bruker logger på. Metodeargumentet identifiserer listen over metoder som autentiseringsalgoritmen prøver, i den angitte rekkefølgen. Delen Godkjenningsmetoder som ikke kan brukes for listenavnargumentet, viser godkjenningsmetoder som ikke kan brukes for argumentet listenavn, og tabellen nedenfor beskriver nøkkelordene for metoden.

Hvis du vil opprette en standardliste som brukes hvis det ikke er tilordnet en liste til en linje, bruker du påloggingsautentisering kommandoen med standardargumentet etterfulgt av metodene du vil bruke i standardsituasjoner.

Passordet blir bare spurt én gang for å autentisere brukerlegitimasjonen, og i tilfelle feil på grunn av tilkoblingsproblemer, er flere forsøk mulig via de ekstra autentiseringsmetodene. Overgangen til neste godkjenningsmetode skjer imidlertid bare hvis den forrige metoden returnerer en feil, ikke hvis den mislykkes. Hvis du vil sikre at autentiseringen lykkes selv om alle metodene returnerer en feil, angir du ingen som siste metode på kommandolinjen.

Hvis autentisering ikke er spesifikt angitt for en linje, er standarden å nekte tilgang, og det utføres ingen godkjenning. Bruk mer system:running-config kommandoen for å vise konfigurerte lister over godkjenningsmetoder.

Autentiseringsmetoder som ikke kan brukes for listenavnargumentet

Autentiseringsmetodene som ikke kan brukes for argumentet listenavn, er som følger:

• auth-gjest

• aktiver

• gjest

• hvis-autentisert

• om nødvendig

• 5kr

• krb-forekomst

• krb-telnet

• linje

• lokal

• ingen

• radius

• rcmd

• tacacs

• tacacsplus

I tabellen nedenfor refererer metodene for grupperadius, gruppe-tacacs +, gruppe ldap og gruppe gruppenavn til et sett med tidligere definerte RADIUS- eller TACACS+-servere. Bruk vertskommandoene radius-server og tacacs-server til å konfigurere vertsserverne. Bruk kommandoene aaa gruppeserverradius, aaa gruppeserver ldap og aaa gruppeserver tacacs+ for å opprette en navngitt gruppe med servere.

Tabellen nedenfor beskriver nøkkelordene for metoden.

Nøkkelord	Beskrivelse
hurtigbuffer gruppenavn	Bruker en hurtigbufferservergruppe for autentisering.
aktiver	Bruker aktiveringspassordet for autentisering. Dette nøkkelordet kan ikke brukes.
gruppe gruppenavn	Bruker et undersett av RADIUS- eller TACACS+-servere for autentisering som definert av aaa gruppeserverradius eller aaa gruppeserver tacacs+ kommandoen.
gruppe ldap	Bruker listen over alle LDAP-servere ( Lightweight Directory Access Protocol ) for godkjenning.
gruppe radius	Bruker listen over alle RADIUS-servere for godkjenning.
gruppe tacacs+	Bruker listen over alle TACACS+-servere for autentisering.
5kr	Bruker Kerberos 5 for autentisering.
krb5-telnet	Bruker Kerberos 5 Telnet-godkjenningsprotokoll når du bruker Telnet til å koble til ruteren.
linje	Bruker linjepassordet for autentisering.
lokal	Bruker den lokale brukernavndatabasen for autentisering.
lokal-case	Bruker lokal autentisering for brukernavn som skiller mellom store og små bokstaver.
ingen	Bruker ingen autentisering.
passwd-expiry	Aktiverer aldring av passord på en lokal godkjenningsliste.   Den radius-server vsa sende-godkjenning kommandoen kreves for å lage passwd-expiry søkeordarbeid.

Hvis du vil angi parametrene som begrenser brukertilgangen til et nettverk, bruker du aaa-godkjenning kommandoen i global konfigurasjonsmodus. Hvis du vil fjerne parametrene, bruker du nei formen for denne kommandoen.

aaa autorisasjon { auth-proxy| hurtigbuffer| kommandoer nivå| config-kommandoer| konfigurasjonen| konsollen| exec| ipmobile| multicast| nettverk| policy-hvis| forhåndsbetalt| radius-proxy| omvendt tilgang| abonnenttjeneste| mal } { standard| listenavn } [ metode 1 [ metode 2. … ]]

nei aaa autorisasjon { auth-proxy| hurtigbuffer| kommandoer nivå| config-kommandoer| konfigurasjonen| konsollen| exec| ipmobile| multicast| nettverk| policy-hvis| forhåndsbetalt| radius-proxy| omvendt tilgang| abonnenttjeneste| mal } { standard| listenavn } [ metode 1 [ metode 2. … ]]

Kommando standard: Autorisasjon er deaktivert for alle handlinger (tilsvarer nøkkelordet metode ingen ).

Kommandomodus: Global konfigurasjon (config)

Retningslinjer for bruk: Bruk aaa-autorisasjonskommandoen til å aktivere autorisasjon og opprette navngitte metodelister, som definerer godkjenningsmetoder som kan brukes når en bruker får tilgang til den angitte funksjonen. Metodelister for godkjenning definerer måtene godkjenning skal utføres på, og rekkefølgen disse metodene skal utføres i. En metodeliste er en navngitt liste som beskriver godkjenningsmetodene (for eksempel RADIUS eller TACACS+) som må brukes i rekkefølge. Metodelister lar deg angi én eller flere sikkerhetsprotokoller som skal brukes for godkjenning, og dermed sikre et sikkerhetskopisystem i tilfelle den første metoden mislykkes. Cisco IOS -programvare bruker den første metoden som er oppført for å autorisere brukere for bestemte nettverkstjenester. Hvis denne metoden ikke svarer, velger Cisco IOS -programvaren den neste metoden som er oppført i metodelisten. Denne prosessen fortsetter til det er vellykket kommunikasjon med en oppført godkjenningsmetode, eller til alle de definerte metodene er oppbrukt.

Cisco IOS -programvaren prøver bare å godkjenne den neste oppførte metoden når det ikke er noe svar fra den forrige metoden. Hvis godkjenningen mislykkes på et tidspunkt i denne syklusen – noe som betyr at sikkerhetsserveren eller den lokale brukernavndatabasen svarer ved å nekte brukertjenestene – stoppes godkjenningsprosessen, og ingen andre godkjenningsmetoder forsøkes.

Hvis aaa-autorisasjonskommandoen for en bestemt autorisasjonstype utstedes uten en spesifisert navngitt metodeliste, brukes standardmetodelisten automatisk på alle grensesnitt eller linjer (der denne autorisasjonstypen gjelder) unntatt de som har en navngitt metodeliste eksplisitt definert. (En definert metodeliste overstyrer standard metodeliste.) Hvis det ikke er definert noen standard metodeliste, finner det ingen autorisasjon sted. Listen over standard godkjenningsmetoder må brukes til å utføre utgående godkjenning, for eksempel autorisere nedlasting av IP-utvalg fra RADIUS-serveren.

Bruk aaa-autorisasjonskommandoen til å opprette en liste ved å angi verdiene for listenavn og metodeargumenter, der listenavn er en tegnstreng som brukes til å navngi denne listen (unntatt alle metodenavn), og metoden identifiserer listen over godkjenningsmetoder prøvd i den angitte rekkefølgen.

Aaa-autorisasjonskommandoen støtter 13 separate metodelister. For eksempel:

aaa konfigurasjon av autorisasjon metodeliste1 grupperadius

aaa konfigurasjon av autorisasjon metodeliste2 grupperadius

...

aaa konfigurasjon av autorisasjon methodlist13 grupperadius

I tabellen nedenfor refererer gruppene gruppenavn, gruppe ldap, grupperadius og gruppe-tacacs + til et sett med tidligere definerte RADIUS- eller TACACS+-servere. Bruk vertskommandoene radius-server og tacacs-server til å konfigurere vertsserverne. Bruk kommandoene aaa group server radius , aaa group server ldap og aaa group server tacacs+ for å opprette en navngitt gruppe med servere.

Cisco IOS -programvare støtter følgende autorisasjonsmetoder:

• Bufferservergrupper– Ruteren konsulterer hurtigbufferservergruppene for å autorisere spesifikke rettigheter for brukere.

• If-Authenticated – Brukeren har tilgang til den forespurte funksjonen forutsatt at brukeren har blitt autentisert.

• Lokal – Ruteren eller tilgangsserveren konsulterer sin lokale database, som definert av kommandoen brukernavn, for å autorisere spesifikke rettigheter for brukere. Bare et begrenset sett med funksjoner kan kontrolleres gjennom den lokale databasen.

• Ingen – Server for nettverkstilgang ber ikke om autorisasjonsinformasjon. autorisasjonen utføres ikke over denne linjen eller grensesnittet.

• RADIUS – nettverkstilgangsserveren ber om autorisasjonsinformasjon fra RADIUS-sikkerhetsservergruppen. RADIUS-autorisasjon definerer spesifikke rettigheter for brukere ved å knytte attributter, som er lagret i en database på RADIUS-serveren, til riktig bruker.

• TACACS+ – Nettverkstilgangsserveren utveksler autorisasjonsinformasjon med TACACS+ sikkerhetsdemon. TACACS+-autorisasjon definerer spesifikke rettigheter for brukere ved å knytte attributt-verdi-par (AV) som er lagret i en database på TACACS+-sikkerhetsserveren, til riktig bruker.

Hvis du vil tillate tilkoblinger mellom bestemte typer endepunkter i et VoIP-nettverk, bruker du tillat-tilkoblinger kommandoen i konfigurasjonsmodus for taletjeneste. Hvis du vil avslå bestemte typer tilkoblinger, bruker du nei formen for denne kommandoen.

tillat-tilkoblinger fra-type til å skrive inn

nei tillat-tilkoblinger fra-type til å skrive inn

Kommando standard: SIP-til-SIP-tilkoblinger er deaktivert som standard.

Kommandomodus: Konfigurasjon av taletjeneste (config-voi-serv)

Retningslinjer for bruk: Denne kommandoen brukes til å tillate tilkoblinger mellom bestemte typer endepunkter i en Cisco flertjeneste IP-til-IP-gateway. Kommandoen er aktivert som standard og kan ikke endres.

Hvis du vil tillate innsetting av «#» hvor som helst i taleregisteret dn, bruker du tillat-hash-i-dn kommandoen i global modus for taleregister. Hvis du vil deaktivere dette, bruker du nei formen for denne kommandoen.

tillat-hash-i-dn

ingen tillat-hash-i-dn

Kommando standard: Kommandoen er deaktivert som standard.

Kommandomodus: global konfigurasjon for taleregister (config-register-global)

Retningslinjer for bruk: Før denne kommandoen ble introdusert, var tegnene som støttes i taleregisteret dn 0-9, + og *. Den nye kommandoen aktiveres hver gang brukeren krever innsetting av # i taleregisteret dn. Kommandoen er deaktivert som standard. Du kan bare konfigurere denne kommandoen i Cisco Unified SRST og Cisco Unified E-SRST-modus. Tegnet # kan settes inn hvor som helst i taleregisteret dn. Når denne kommandoen er aktivert, må brukerne endre standard avslutningstegn (#) til et annet gyldig tegn ved hjelp av nodeterminator kommandoen i konfigurasjonsmodus.

Hvis du vil gå inn i konfigurasjonsmodus for redundansprogram, bruker du programoverflødighet kommandoen i konfigurasjonsmodus for redundans.

programmet redundans

Denne kommandoen har ingen argumenter eller nøkkelord.

Kommando standard: Ingen

Kommandomodus: Redundanskonfigurasjon (config-red)

Retningslinjer for bruk: Bruk denne programoverflødighet kommandoen for å konfigurere programredundans for høy tilgjengelighet.

Hvis du vil angi standard gateway for et program, bruker du app-default-gateway kommandoen i konfigurasjonsmodus for programvert. Hvis du vil fjerne standard gateway, bruker du nei formen for denne kommandoen.

app-default-gateway [ ip-adresse gjestegrensesnitt nettverksgrensesnitt-nummer ]

nei app-default-gateway [ ip-adresse gjestegrensesnitt nettverksgrensesnitt-nummer ]

Kommando standard: standard gateway er ikke konfigurert.

Kommandomodus: Konfigurasjon av programvert (config-app-hosting)

Retningslinjer for bruk: Bruk app-default-gateway kommandoen for å angi standard gateway for et program. Gateway-kontaktene er programmer som er installert på Cisco IOS XE GuestShell-beholderen.

Hvis du vil konfigurere et program og gå inn i konfigurasjonsmodus for programvert, bruker du app-vert for app kommandoen i global konfigurasjonsmodus. Hvis du vil fjerne programmet, bruker du nei formen for denne kommandoen.

app-vert for app programnavn

Kommando standard: Ingen applikasjoner er konfigurert.

Kommandomodus: Global konfigurasjon (config)

Retningslinjer for bruk: Argumentet for applikasjonsnavn kan bestå av opptil 32 alfanumeriske tegn.

Du kan oppdatere konfigurasjonen for applikasjonsverten etter at du har konfigurert denne kommandoen.

Hvis du vil overstyre den programleverte ressursprofilen, bruker du app-resoure-profil kommandoen i konfigurasjonsmodus for programvert. Hvis du vil gå tilbake til den programspesifiserte ressursprofilen, bruker du nei formen for denne kommandoen.

app-resoure-profil profilnavn

nei app-resoure-profil profilnavn

Kommando standard: Ressursprofilen er konfigurert.

Kommandomodus: Konfigurasjon av programvert (config-app-hosting)

Retningslinjer for bruk: Reserverte ressurser som er angitt i programpakken, kan endres ved å angi en egendefinert ressursprofil. Bare CPU-, minne- og vCPU-ressurser (virtuell CPU) kan endres. For at ressursendringene skal tre i kraft, stopper og deaktiverer du applikasjonen, og deretter aktiverer og starter du den på nytt.

Kun egendefinert profil støttes.

Kommandoen konfigurerer den egendefinerte programressursprofilen og aktiverer konfigurasjonsmodusen for egendefinert programressursprofil.

Hvis du vil konfigurere en gateway for virtuelt nettverksgrensesnitt for et program, bruker du app-vnic-gateway kommandoen i konfigurasjonsmodus for programvert. Hvis du vil fjerne konfigurasjonen, bruker du nei formen for denne kommandoen.

Denne kommandoen støttes bare på rutingsplattformer. Den støttes ikke ved bytte av plattform.

app-vnic-gateway virtualportgroup nummer gjestegrensesnitt nettverksgrensesnitt-nummer

nei app-vnic-gateway virtualportgroup nummer gjestegrensesnitt nettverksgrensesnitt-nummer

Kommando standard: Den virtuelle nettverksgatewayen er ikke konfigurert.

Kommandomodus: Konfigurasjon av programvert (config-app-hosting)

Retningslinjer for bruk: Når du har konfigurert gatewayen for det virtuelle nettverksgrensesnitt for et program, endres kommandomodusen til gatewaykonfigurasjon . I denne modusen kan du konfigurere IP-adresse til gjestegrensesnittet.

Hvis du vil aktivere støtte for den påståtte ID-hodet i innkommende SIP-protokoll (øktinitieringsprotokolll) eller svarmeldinger, og for å sende personverninformasjonen for den påståtte ID-en i utgående SIP-forespørsler eller svarmeldinger, bruker du påstått-id kommandoen i konfigurasjonsmodus for VoIP-SIP for taletjenesten eller i konfigurasjonsmodus for leietaker i taleklasse. Hvis du vil deaktivere støtten for den påståtte ID-hodet, bruker du nei formen for denne kommandoen.

påstått-id { pai| ppi } systemet

nei påstått-id { pai| ppi } systemet

Kommando standard: Personverninformasjonen sendes ved hjelp av RPID-hodet (Remote-Party-ID) eller FROM-hodet.

Kommandomodus: VoIP-SIP-konfigurasjon for taletjeneste (conf-serv-sip) og leierkonfigurasjon for taleklasse (config-class)

Retningslinjer for bruk: Hvis du velger pai nøkkelordet eller ppi nøkkelord, bygger gatewayen henholdsvis PAI-hodet eller PPI-hodet i den vanlige SIP-stakken. Den pai nøkkelordet eller ppi nøkkelordet har prioritet over RPID-hodet (Remote-Party-ID), og fjerner RPID-hodet fra den utgående meldingen, selv om ruteren er konfigurert til å bruke RPID-hodet på globalt nivå.

Hvis du vil konfigurere støtte for asymmetrisk nyttelast for SIP-protokoll (øktinitieringsprotokolll) , bruker du asymmetrisk nyttelast kommandoen i SIP-konfigurasjonsmodus eller leierkonfigurasjonsmodus for taleklasse. Hvis du vil deaktivere støtte for asymmetrisk nyttelast, bruker du nei formen for denne kommandoen.

asymmetrisk nyttelast { dtmf| dynamiske-kodeker| full| systemet }

nei asymmetrisk nyttelast { dtmf| dynamiske-kodeker| full| systemet }

Kommando standard: Denne kommandoen er deaktivert.

Kommandomodus: SIP-konfigurasjon for taletjeneste (conf-serv-sip), leierkonfigurasjon for taleklasse (config-class)

Retningslinjer for bruk: Gå inn i SIP-konfigurasjonsmodus fra konfigurasjonsmodus for taletjeneste, som vist i eksemplet.

For Cisco UBE støttes den asymmetriske SIP-nyttelasttypen for lyd-/videokodeker, DTMF og NSE. Derfor dtmf og dynamiske-kodeker søkeord er internt tilordnet til full nøkkelord for å gi asymmetrisk støtte av nyttelast for lyd-/videokodeker, DTMF og NSE.

Hvis du vil aktivere SIP- sammendragsautentisering på en individuell anropsnode, bruker du autentisering kommandoen i konfigurasjonsmodus for oppringing av node. Hvis du vil deaktivere SIP- sammendragsautentisering, bruker du nei formen for denne kommandoen.

autentisering brukernavn brukernavn passord { 0| 6| 7 } passord [ riket riket| utfordring| alle ]

nei autentisering brukernavn brukernavn passord { 0| 6| 7 } passord [ riket riket| utfordring| alle ]

Kommando standard: SIP sammendragsautentisering er deaktivert.

Kommandomodus: Talekonfigurasjon for oppringing med node (config-dial-node)

Retningslinjer for bruk: Følgende konfigurasjonsregler gjelder når du aktiverer sammendragsautentisering:

• Kun ett brukernavn kan konfigureres per anropsmotpart. Alle eksisterende brukernavnkonfigurasjoner må fjernes før du konfigurerer et annet brukernavn.

• Maksimalt fem passord eller riket argumenter kan konfigureres for et hvilket som helst brukernavn.

Den brukernavn og passord argumenter brukes til å autentisere en bruker. En autentiseringsserver/proxy som utsteder et 407/401-utfordringssvar, inkluderer et område i utfordringssvaret, og brukeren oppgir legitimasjon som er gyldig for dette området. Fordi det antas at maksimalt fem proxy-servere i signaleringsbanen kan prøve å autentisere en gitt forespørsel fra en brukeragentklient (UAC) til en brukeragentserver (UAS), kan en bruker konfigurere opptil fem passord og områdekombinasjoner for et konfigurert brukernavn.

Brukeren oppgir passordet i ren tekst, men det krypteres og lagres for 401-utfordringssvar. Hvis passordet ikke lagres i kryptert form, sendes det et søppelpassord, og autentiseringen mislykkes.

• Områdespesifikasjonen er valgfri. Hvis det utelates, gjelder passordet som er konfigurert for det brukernavnet, for alle områder som forsøker å autentisere.

• Bare ett passord kan konfigureres om gangen for alle konfigurerte områder. Hvis et nytt passord konfigureres, overskriver det alle tidligere konfigurerte passord.

Dette betyr at bare ett globalt passord (ett uten et spesifisert område) kan konfigureres. Hvis du konfigurerer et nytt passord uten å konfigurere et tilsvarende område, vil det nye passordet overskrive det forrige.

• Hvis et område er konfigurert for et tidligere konfigurert brukernavn og passord, legges denne områdespesifikasjonen til i den eksisterende brukernavn- og passordkonfigurasjonen. Når et område er lagt til i en brukernavn- og passordkonfigurasjon, er imidlertid kombinasjonen av brukernavn og passord bare gyldig for det området. Et konfigurert område kan ikke fjernes fra en brukernavn- og passordkonfigurasjon uten først å fjerne hele konfigurasjonen for det brukernavnet og passordet – du kan deretter konfigurere kombinasjonen av brukernavn og passord på nytt med eller uten et annet område.

• I en oppføring med både passord og område, kan du endre enten passordet eller området.

• Bruk ingen autentisering alle kommandoen for å fjerne alle autentiseringsoppføringer for brukeren.

Det er obligatorisk å angi krypteringstypen for passordet. Hvis et klartekstpassord (skriv inn 0 ) er konfigurert, krypteres den som type 6 før du lagrer den i den kjørende konfigurasjonen.

Hvis du angir krypteringstypen som 6 eller 7 , kontrolleres det angitte passordet mot en gyldig type 6 eller 7 passordformat og lagret som type 6 eller 7 hhv.

Type 6-passord krypteres ved hjelp av AES-kryptering og en brukerdefinert primærnøkkel. Disse passordene er relativt sikrere. Primærnøkkelen vises aldri i konfigurasjonen. Uten å vite om primærnøkkelen skriver du 6 passord er ubrukelige. Hvis primærnøkkelen endres, krypteres passordet som er lagret som type 6 på nytt med den nye primærnøkkelen. Hvis konfigurasjonen av primærnøkkelen fjernes, skriver du inn 6 passord kan ikke dekrypteres, noe som kan føre til autentiseringsfeil for samtaler og registreringer.

Når du sikkerhetskopierer en konfigurasjon eller overfører konfigurasjonen til en annen enhet, dumpes ikke primærnøkkelen. Derfor må primærnøkkelen konfigureres på nytt manuelt.

Hvis du vil konfigurere en kryptert forhåndsdelt nøkkel, kan du se Konfigurere en kryptert forhåndsdelt nøkkel .

Følgende advarselsmelding vises når krypteringstypen 7 er konfigurert. Advarsel: Kommandoen er lagt til i konfigurasjonen ved hjelp av et type 7-passord. Type 7-passord vil imidlertid snart bli avviklet. Overfør til en støttet passordtype 6.

Hvis du vil binde kildeadressen for signaliserings- og mediepakker til IPv4- eller IPv6-adresse for et bestemt grensesnitt, bruker du binde kommandoen i SIP-konfigurasjonsmodus. Hvis du vil deaktivere binding, bruker du nei formen for denne kommandoen.

binde { kontroll| medier| alle } kildegrensesnitt grensesnitt-id { ipv4-adresse ipv4-adresse| ipv6-adresse ipv6-adresse }

nei binde { kontroll| medier| alle } kildegrensesnitt grensesnitt-id { ipv4-adresse ipv4-adresse| ipv6-adresse ipv6-adresse }

Kommando standard: Innbinding er deaktivert.

Kommandomodus: SIP-konfigurasjon (conf-serv-sip) og leietaker for taleklasse.

Retningslinjer for bruk: Asynkron, Ethernet, FastEthernet, Loopback og Seriell (inkludert Frame Relay) er grensesnitt i SIP-applikasjonen.

Hvis binde kommandoen ikke er aktivert, gir IPv4-laget fortsatt den beste lokale adressen.

Hvis du vil aktivere de grunnleggende konfigurasjonene for Call-Home, bruker du samtalerapportering kommandoen i global konfigurasjonsmodus.

samtalerapportering { anonym| kontakt-e-adr } [ http-proxy { ipv4-adresse| ipv6-adresse| navn } port portnummer ]

Kommando standard: Ingen standard oppførsel eller verdier

Kommandomodus: Global konfigurasjon (config)

Retningslinjer for bruk: Etter vellykket aktivering av Call-Home enten i anonym eller full registreringsmodus ved hjelp av samtalerapportering kommandoen, sendes det ut en inventarmelding. Hvis Call-Home er aktivert i full registreringsmodus, sendes det ut en melding om fullstendig inventar for full registreringsmodus. Hvis Call-Home er aktivert i anonym modus, sendes det ut en anonym inventarmelding. Hvis du vil ha mer informasjon om meldingsdetaljene, se Varslingsgruppe utløser hendelser og kommandoer .

Hvis du vil aktivere Cisco Unified SRST støtte og gå inn i konfigurasjonsmodus for call-manager-fallback, bruker du call-manager-reserve kommandoen i global konfigurasjonsmodus. Hvis du vil deaktivere Cisco Unified SRST støtte, bruker du nei formen for denne kommandoen.

call-manager-reserve

nei call-manager-reserve

Denne kommandoen har ingen argumenter eller nøkkelord.

Kommando standard: Ingen standard oppførsel eller verdier.

Kommandomodus: Global konfigurasjon

Hvis du vil aktivere server-, klient- eller toveis identitetsvalidering av et nodesertifikat under TLS-håndtrykk, bruker du kommandoen cn-san bekrefte i konfigurasjonsmodus for taleklasse tls-profil. Hvis du vil deaktivere validering av sertifikatidentitet, bruker du nei formen for denne kommandoen.

cn-san bekrefte { server| klient| toveis }

nei cn-san bekrefte { server| klient| toveis }

Kommando standard: Identitetsvalidering er deaktivert.

Kommandomodus: Konfigurasjon av taleklasse (config-class)

Retningslinjer for bruk: Verifisering av serveridentitet er knyttet til en sikker signaltilkobling via den globale kryptosignalering og tls-profil for taleklasse konfigurasjoner.

Kommandoen er utvidet til å inkludere klient og toveis søkeord. Klientalternativet lar en server validere identiteten til en klient ved å kontrollere CN- og SAN-vertsnavn som er inkludert i det angitte sertifikatet, mot en klarert liste over cn-san FQDN-er. Tilkoblingen vil bare bli opprettet hvis en samsvar blir funnet. Denne listen over cn-san FQDN-er brukes nå også til å validere et serversertifikat, i tillegg til vertsnavn for øktmålet . Den toveis alternativet validerer peer-identitet for både klient- og servertilkoblinger ved å kombinere begge server og klient moduser. Når du har konfigurert cn-san bekrefte valideres identiteten til motpartssertifikatet for hver nye TLS-tilkobling.

Hvis du vil konfigurere en liste over FQDN-navn (Fullt Qualified Domain Name) som skal valideres mot nodesertifikatet for innkommende eller utgående TLS-tilkoblinger, bruker du cn-san kommando i konfigurasjonsmodus for taleklasse tls-profil. Hvis du vil slette oppføringen for cn-san-sertifikatvalidering, bruker du nei formen for denne kommandoen.

cn-san{1-10}fqdn

nei cn-san{1-10}fqdn

Kommando standard: Ingen cn-san-navn er konfigurert.

Kommandomodus: Konfigurasjonsmodus for taleklasse tls-profil (config-class)

Retningslinjer for bruk: FQDN som brukes til validering av motpartssertifikater, tilordnes en TLS-profil med opptil ti cn-san oppføringer. Minst én av disse oppføringene må samsvare med et FQDN i ett av feltene for sertifikatet Common Name (CN) eller Subject-Alternate-Name (SAN) før en TLS-tilkobling opprettes. Hvis du vil matche en hvilken som helst domenevert som brukes i et CN- eller SAN-felt, a cn-san Oppføringen kan konfigureres med et domenejokertegn, kun i formatet *.domenenavn (f.eks. *.cisco.com). Ingen annen bruk av jokertegn er tillatt.

For innkommende tilkoblinger brukes listen til å validere CN- og SAN-felt i klientsertifikat. For utgående tilkoblinger brukes listen sammen med vertsnavnet for øktmålet til å validere CN- og SAN-felt i serversertifikat.

Serversertifikater kan også bekreftes ved å matche SIP-øktensmål-FQDN med et CN- eller SAN-felt.

Hvis du vil angi en liste over foretrukne kodeker som skal brukes på en node, bruker du kodek preferanse kommandoen i konfigurasjonsmodus for taleklasse. Hvis du vil deaktivere denne funksjonaliteten, bruker du nei formen for denne kommandoen.

kodek preferanse verdi kodek-type

nei kodek preferanse verdi kodek-type

Kommando standard: Hvis denne kommandoen ikke angis, identifiseres ingen bestemte typer kodeker med preferanse.

Kommandomodus: konfigurasjon av taleklasse (config-class)

Retningslinjer for bruk: Ruterne i hver sin ende av WAN-nettverket må kanskje forhandle kodekvalget for nettverksoppringingsmotparter. Den kodek preferanse kommandoen angir preferanserekkefølgen for valg av en forhandlet kodek for tilkoblingen. Tabellen nedenfor beskriver alternativene for talenyttelast og standardverdier for kodekene og pakketaleprotokollene.

Hvis du vil bruke den globale lytterporten for å sende forespørsler over UDP, bruker du tilkobling-gjenbruk kommandoen i sip-ua-modus eller konfigurasjonsmodus for leier i taleklasse. Hvis du vil deaktivere, bruker du nei formen for denne kommandoen.

tilkobling-gjenbruk { via-port| systemet }

nei tilkobling-gjenbruk { via-port| systemet }

Kommando standard: Local Gateway bruker en kortvarig UDP-port for å sende forespørsler over UDP.

Kommandomoduser: SIP UA-konfigurasjon (config-sip-ua), leierkonfigurasjon for taleklasse (config-class)

Retningslinjer for bruk: Utføring av denne kommandoen aktiverer bruk av lytterport for sending av forespørsler over UDP. Standard lytterport for vanlig ikke-sikker SIP er 5060 og sikker SIP er 5061. Konfigurer listen-port [ikke-sikker| sikker] port kommandoen i taletjenesten voip > sip-konfigurasjonsmodus for å endre den globale UDP-porten.

Hvis du vil endre CPU-kvoten eller enheten som er tildelt for et program, bruker du cpu kommandoen i konfigurasjonsmodus for egendefinert programressursprofil. Hvis du vil gå tilbake til CPU-kvoten levert av programmet, bruker du nei formen for denne kommandoen.

cpu enhet

nei cpu enhet

Kommando standard: Standard CPU avhenger av plattformen.

Kommandomodus: Egendefinert konfigurasjon av appressursprofil (config-app-resource-profile-custom)

Retningslinjer for bruk: En CPU-enhet er den minimale CPU-allokeringen av applikasjonen. Totalt antall CPU-enheter er basert på normaliserte CPU-enheter målt for målenheten.

I hver applikasjonspakke finnes det en applikasjonsspesifikk ressursprofil som definerer anbefalt CPU-belastning, minnestørrelse og antall virtuelle CPU-er (vCPU-er) som kreves for applikasjonen. Bruk denne kommandoen til å endre tildelingen av ressurser for bestemte prosesser i den egendefinerte ressursprofilen.

Reserverte ressurser som er angitt i programpakken, kan endres ved å angi en egendefinert ressursprofil. Bare CPU-, minne- og vCPU-ressurser kan endres. For at ressursendringene skal tre i kraft, stopper og deaktiverer du programmet, aktiverer det og starter det på nytt.

Ressursverdier er applikasjonsspesifikke, og eventuelle justeringer av disse verdiene må sikre at applikasjonen kan kjøres pålitelig med endringene.

Slik konfigurerer du en Cisco IOS SIP-protokoll (øktinitieringsprotokolll) -gateway for tidsdelingsmultipleksing (TDM), et Cisco Unified Border Element (Cisco UBE) eller Cisco Unified Communications Manager Express (Cisco Unified CME) til å sende en SIP-registreringsmelding i OPP-tilstand, bruk legitimasjon kommandoen i SIP UA-konfigurasjonsmodus eller leierkonfigurasjonsmodus for taleklasse. Hvis du vil deaktivere legitimasjon for SIP-sammendrag, bruker du nei formen for denne kommandoen.

legitimasjon { dhcp| nummer nummer brukernavn brukernavn } passord { 0| 6| 7 } passord riket riket

nei legitimasjon { dhcp| nummer nummer brukernavn brukernavn } passord { 0| 6| 7 } passord riket riket

Kommando standard: Påloggingsinformasjon for SIP-sammendrag er deaktivert.

Kommandomodus: SIP UA-konfigurasjon (config-sip-ua) og leierkonfigurasjon for taleklasse (config-class).

Retningslinjer for bruk: Følgende konfigurasjonsregler gjelder når legitimasjon er aktivert:

• Kun ett passord er gyldig for alle domenenavn. Et nytt konfigurert passord overskriver alle tidligere konfigurerte passord.

• Passordet vil alltid vises i kryptert format når legitimasjon kommandoen er konfigurert og vis running-config kommandoen brukes.

Den dhcp nøkkelord i kommandoen angir at primærnummeret hentes via DHCP, og Cisco IOS SIP TDM-gateway, Cisco UBE eller Cisco Unified CME som kommandoen er aktivert for, bruker dette nummeret til å registrere eller avregistrere det mottatte primærnummeret.

Det er obligatorisk å angi krypteringstypen for passordet. Hvis et klartekstpassord (skriv inn 0 ) er konfigurert, krypteres den som type 6 før du lagrer den i den kjørende konfigurasjonen.

Hvis du angir krypteringstypen som 6 eller 7 , kontrolleres det angitte passordet mot en gyldig type 6 eller 7 passordformat og lagret som type 6 eller 7 hhv.

Type 6-passord krypteres ved hjelp av AES-kryptering og en brukerdefinert primærnøkkel. Disse passordene er relativt sikrere. Primærnøkkelen vises aldri i konfigurasjonen. Uten å vite om primærnøkkelen skriver du 6 passord er ubrukelige. Hvis primærnøkkelen endres, krypteres passordet som er lagret som type 6 på nytt med den nye primærnøkkelen. Hvis konfigurasjonen av primærnøkkelen fjernes, skriver du inn 6 passord kan ikke dekrypteres, noe som kan føre til autentiseringsfeil for samtaler og registreringer.

Når du sikkerhetskopierer en konfigurasjon eller overfører konfigurasjonen til en annen enhet, dumpes ikke primærnøkkelen. Derfor må primærnøkkelen konfigureres på nytt manuelt.

Hvis du vil konfigurere en kryptert forhåndsdelt nøkkel, kan du se Konfigurere en kryptert forhåndsdelt nøkkel .

Advarsel: Kommandoen er lagt til i konfigurasjonen ved hjelp av et type 7-passord. Type 7-passord vil imidlertid snart bli avviklet. Overfør til en støttet passordtype 6.

I YANG kan du ikke konfigurere det samme brukernavnet på tvers av to forskjellige områder.

Hvis du vil angi preferansen for en SRTP-krypteringspakke som skal tilbys av Cisco Unified Border Element (CUBE) i SDP-en i tilbud og svar, bruker du krypto kommandoen i konfigurasjonsmodus for taleklasse. Hvis du vil deaktivere denne funksjonaliteten, bruker du nei formen for denne kommandoen.

krypto preferanse chiffer-suite

nei krypto preferanse chiffer-suite

Kommando standard: Hvis denne kommandoen ikke er konfigurert, er standard virkemåte å tilby srtp-chiffreringspakkene i følgende foretrukket rekkefølge:

• AEAD_ AES_ 256_ GCM

• AEAD_ AES_ 128_ GCM

• AES_CM_128_HMAC_SHA1_80

• AES_ CM_ 128_ HMAC_ SHA1_ 32

Kommandomodus: taleklasse srtp-crypto (config-class)

Retningslinjer for bruk: Hvis du endrer preferansen for en allerede konfigurert krypteringsserie, overskrives preferansen.

Hvis du vil generere nøkkelpar for Rivest, Shamir og Adelman (RSA), bruker du kryptonøkkel generere RSA kommandoen i global konfigurasjonsmodus.

kryptonøkkel generere RSA [ { generelle nøkler| bruksnøkler| signatur| kryptering } ] [ etikett nøkkeletikett ] [ eksporterbar ] [ modul modul-størrelse ] [ lagring enhetsnavn : ] [ redundans på enhetsnavn : ]

Kommando standard: RSA-nøkkelpar finnes ikke.

Kommandomodus: Global konfigurasjon (config)

Retningslinjer for bruk: Bruk kryptonøkkel generere RSA kommandoen for å generere RSA-nøkkelpar for Cisco-enheten (for eksempel en ruter).

RSA-nøkler genereres i par – én offentlig RSA-nøkkel og én privat RSA-nøkkel.

Hvis ruteren allerede har RSA-nøkler når du utsteder denne kommandoen, vil du bli advart og bedt om å erstatte de eksisterende nøklene med nye nøkler.

Den kryptonøkkel generere RSA kommandoen er ikke lagret i ruterkonfigurasjonen; RSA-nøklene som genereres av denne kommandoen, lagres imidlertid i den private konfigurasjonen i NVRAM (som aldri vises for brukeren eller sikkerhetskopieres til en annen enhet) neste gang konfigurasjonen skrives til NVRAM.

• Taster for spesiell bruk : Hvis du genererer nøkler for spesiell bruk, genereres to par med RSA-nøkler. Ett par vil bli brukt med alle IKE-policyer (Internet Key Exchange) som angir RSA-signaturer som godkjenningsmetode, og det andre paret vil bli brukt med alle IKE-policyer som angir RSA-krypterte nøkler som godkjenningsmetode.

  En sertifiseringsinstans brukes bare med IKE-policyer som angir RSA-signaturer, ikke med IKE-policyer som angir RSA-krypterte ikke-verdier. (Du kan imidlertid angi mer enn én IKE-policy og ha RSA-signaturer angitt i én policy og RSA-krypterte avvik i en annen policy.)

  Hvis du planlegger å ha begge typene RSA-godkjenningsmetoder i IKE-policyene, kan det være at du foretrekker å generere nøkler for spesiell bruk. Med taster for spesiell bruk blir ikke hver tast unødvendig utsatt. (Uten spesialnøkler brukes én nøkkel for begge godkjenningsmetodene, noe som øker eksponeringen for denne nøkkelen).

• Generelle taster : Hvis du genererer generelle nøkler, genereres bare ett par RSA-nøkler. Dette paret vil bli brukt med IKE-policyer som angir enten RSA-signaturer eller RSA-krypterte nøkler. Derfor kan et nøkkelpar for generell bruk bli brukt oftere enn et nøkkelpar for spesiell bruk.

• Navngitte nøkkelpar : Hvis du genererer et navngitt nøkkelpar ved hjelp av argumentet nøkkeletikett, må du også angi bruksnøkler nøkkelordet eller generelle nøkler nøkkelord. Navngitte nøkkelpar lar deg ha flere RSA-nøkkelpar, noe som gjør at Cisco IOS -programvaren kan opprettholde et annet nøkkelpar for hvert identitetssertifikat.

• Lengde på modul : Når du genererer RSA-nøkler, blir du bedt om å angi en modullengde. Jo lengre modulen er, desto sterkere sikkerhet. Imidlertid tar lengre moduler lengre tid å generere (se tabellen nedenfor for eksempeltider) og tar lengre tid å bruke.

  Tabell 2. Prøvetider etter modullengde for å generere RSA-nøkler

  Ruter	360 biter	512 biter	1024 biter	2048 biter (maksimalt)
  Cisco 2500	11 sekunder	20 sekunder	4 minutter, 38 sekunder	Mer enn 1 time
  Cisco 4700	Mindre enn 1 sekund	1 sekund	4 sekunder	50 sekunder

  Cisco IOS programvare støtter ikke en modul som er større enn 4096 biter. En lengde på mindre enn 512 biter anbefales vanligvis ikke. I visse situasjoner kan det hende at den kortere modulen ikke fungerer som den skal med IKE, så vi anbefaler å bruke en minimumsmodul på 2048 biter.

  Ytterligere begrensninger kan gjelde når RSA-nøkler genereres av kryptografisk maskinvare. Når for eksempel RSA-nøkler genereres av Cisco VPN Services Port Adapter (VSPA), må RSA-nøkkelmodulen være minst 384 biter og være et multiplum av 64.

• Angi en lagringsplass for RSA-nøkler: Når du utsteder kryptonøkkel generere RSA kommandoen med lagring enhetsnavn : nøkkelord og argument, vil RSA-nøklene bli lagret på den angitte enheten. Denne plasseringen vil erstatte alle lagring av kryptonøkler kommandoinnstillinger.

• Angi en enhet for generering av RSA-nøkler : Du kan angi enheten der RSA-nøkler skal genereres. Støttede enheter inkluderer NVRAM, lokale disker og USB-tokener. Hvis ruteren din har et USB-token konfigurert og tilgjengelig, kan USB-tokenet brukes som kryptografisk enhet i tillegg til en lagringsenhet. Bruk av et USB-token som en kryptografisk enhet tillater at RSA-operasjoner som nøkkelgenerering, signering og autentisering av legitimasjon kan utføres på tokenet. Den private nøkkelen forlater aldri USB-tokenet og kan ikke eksporteres. Den offentlige nøkkelen kan eksporteres.

  RSA-nøkler kan genereres på et konfigurert og tilgjengelig USB-token ved bruk av på enhetsnavn : nøkkelord og argument. Nøkler som ligger på et USB-token, lagres på en vedvarende tokenlagring når de genereres. Antall nøkler som kan genereres på et USB-token, er begrenset av tilgjengelig plass. Hvis du prøver å generere nøkler på et USB-token og det er fullt, får du følgende melding:

  % Error in generating keys:no available resources 

  Sletting av nøkler fjerner nøklene som er lagret på tokenet fra den vedvarende lagringen umiddelbart. (Nøkler som ikke ligger på et token, lagres på eller slettes fra ikke-tokenlagringsplasseringer når kopi eller lignende kommando utstedes).

• Angi redundansgenerering for RSA-nøkler på en enhet : Du kan bare angi redundans for eksisterende nøkler hvis de kan eksporteres.

Hvis du vil autentisere sertifiseringsinstansen (CA) (ved å hente sertifikatet til CA), bruker du krypto pki autentisere kommandoen i global konfigurasjonsmodus.

krypto pki autentisere navn

Kommando standard: Ingen standard oppførsel eller verdier.

Kommandomodus: Global konfigurasjon (config)

Retningslinjer for bruk: Denne kommandoen er nødvendig når du først konfigurerer CA-støtte på ruteren.

Denne kommandoen autentiserer CA til ruteren ved å hente det selvsignert sertifikat til CA som inneholder den offentlige nøkkelen til CA. Siden CA signerer sitt eget sertifikat, bør du autentisere den offentlige nøkkelen til CA manuelt ved å kontakte CA- administrator når du skriver inn denne kommandoen.

Hvis du bruker modus for ruterannonser (RA) (ved hjelp av påmelding kommandoen) når du utsteder krypto pki autentisere kommandoen, returneres signerings- og krypteringssertifikater for registreringsmyndighet fra CA og CA-sertifikat.

Denne kommandoen er ikke lagret i ruterkonfigurasjonen. Imidlertid. de offentlige nøklene som er innebygd i de mottatte CA- (og RA)-sertifikatene, lagres i konfigurasjonen som en del av den offentlige nøkkeloppføringen for Rivest, Shamir og Adelman (RSA) (kalt «den offentlige RSA-nøkkelringen»).

Hvis sertifiseringsinstansen ikke svarer innen et tidsavbrudd etter at denne kommandoen er utstedt, returneres terminalkontrollen slik at den forblir tilgjengelig. Hvis dette skjer, må du skrive inn kommandoen på nytt. Cisco IOS programvare vil ikke gjenkjenne utløpsdatoer for CA-sertifikat som er angitt for utover år 2049. Hvis gyldighetsperioden for CA-sertifikat er satt til å utløpe etter år 2049, vises følgende feilmelding når autentisering med CA-serveren forsøkes: feil ved henting av sertifikat :ufullstendig kjede Hvis du får en feilmelding som ligner på denne, kontrollerer du utløpsdato for CA-sertifikat. Hvis utløpsdato for CA-sertifikat er angitt etter år 2049, må du redusere utløpsdato med ett år eller mer.

Hvis du vil importere et sertifikat manuelt via TFTP eller som klipp og lim inn på terminalen, bruker du krypto pki importere kommandoen i global konfigurasjonsmodus.

krypto pki importere navn sertifikat

Kommando standard: Ingen standard oppførsel eller verdier

Kommandomodus: Global konfigurasjon (config)

Retningslinjer for bruk: Du må angi crypto pki import kommandoen to ganger hvis bruksnøkler (signatur- og krypteringsnøkler) brukes. Første gang kommandoen angis, limes ett av sertifikatene inn i ruteren. andre gangen kommandoen angis, limes det andre sertifikatet inn i ruteren. (Det spiller ingen rolle hvilket sertifikat som limes inn først.)

Hvis du vil erklære klareringspunktet som ruteren skal bruke, bruker du krypto pki tillitspunkt kommandoen i global konfigurasjonsmodus. Hvis du vil slette all identitetsinformasjon og sertifikater knyttet til klareringspunktet, bruker du nei formen for denne kommandoen.

krypto pki tillitspunkt navn redundans

nei krypto pki tillitspunkt navn redundans

Kommando standard: Ruteren gjenkjenner ikke klareringspunkter før du erklærer et klareringspunkt ved hjelp av denne kommandoen. Ruteren bruker unike identifikatorer under kommunikasjon med OCSP-servere (Online Certificate Status Protocol), som konfigurert i nettverket.

Kommandomodus: Global konfigurasjon (config)

Retningslinjer for bruk:

Erklære tillitspunkter

Bruk krypto pki tillitspunkt kommandoen for å erklære et klareringspunkt, som kan være en selvsignert rotsertifikat (CA) eller en underordnet sertifiseringsinstans. Utsteder krypto pki tillitspunkt kommandoen setter deg i konfigurasjonsmodus for ca-trustpoint.

Du kan angi egenskaper for klareringspunktet ved hjelp av følgende underkommandoer:

• crl – Spørrer listen over tilbakekall av sertifikater (CRL) for å sikre at sertifikatet til motparten ikke er tilbakekalt.

• standard (ca-trustpoint) – Tilbakestiller verdien for underkommandoer for konfigurasjonsmodus for ca-trustpoint til standardinnstillingene.

• påmelding – Angir registreringsparametere (valgfritt).

• påmelding http-proxy – Får tilgang til CA via HTTP via proxy-server.

• påmelding egensignert – Angir egensignert registrering (valgfritt).

• match sertifikat – Knytter en sertifikatbasert tilgangskontrolliste (ACL) definert til krypto ca sertifikat kart kommandoen.

• ocsp deaktiver-nonce – Angir at ruteren ikke skal sende unike identifikatorer, eller avvik, under OCSP-kommunikasjon.

• primær – Tilordner et angitt klareringspunkt som det primære klareringspunktet for ruteren.

• rot – Definerer TFTP-en som skal hente CA-sertifikat , og angir både et navn på serveren og et navn på filen som skal lagre CA-sertifikat.

Angi bruk av unike identifikatorer

Når du bruker OCSP som tilbakekallingsmetode, sendes unike identifikatorer eller avvik som standard under peer-kommunikasjon med OCSP-serveren. Bruken av unike identifikatorer under OCSP-serverkommunikasjon gir sikrere og mer pålitelig kommunikasjon. Det er imidlertid ikke alle OCSP-servere som støtter bruk av unike proteser. Se OCSP-håndboken for mer informasjon. Hvis du vil deaktivere bruken av unike identifikatorer under OCSP-kommunikasjon, bruker du ocsp deaktiver-nonce underkommando.

Hvis du vil importere (laste ned) sertifikatpakken for sertifiseringsinstans (CA) manuelt til den offentlige nøkkelinfrastrukturens (PKI) klarering for å oppdatere eller erstatte den eksisterende CA-pakken, bruker du trustpool-import for krypto pki kommandoen i global konfigurasjonsmodus. Hvis du vil fjerne noen av de konfigurerte parametrene, bruker du nei formen for denne kommandoen.

krypto pki trustpool importere ren [ terminal| url url ]

nei krypto pki trustpool importere ren [ terminal| url url ]

Kommando standard: PKI-klareringsutvalgsfunksjonen er aktivert. Ruteren bruker den innebygde CA-sertifikat i PKI-klareringsutvalget, som oppdateres automatisk fra Cisco.

Kommandomodus: Global konfigurasjon (config)

Sikkerhetstrusler, så vel som kryptografiteknologiene for å beskytte mot dem, er i konstant endring. Hvis du vil ha mer informasjon om de nyeste Cisco-krypteringsanbefalingene, kan du se Neste generasjons kryptering (NGE) hvitbok.

PKI-klareringssertifikater oppdateres automatisk fra Cisco. Når PKI-klareringsgruppesertifikatene ikke er gjeldende, bruker du trustpool-import for krypto pki kommandoen for å oppdatere dem fra et annet sted.

Den url argument angir eller endrer URL-filsystemet til CA. Tabellen nedenfor viser de tilgjengelige URL-filsystemene.

Tabell 3. URL-filsystemer

Filsystem	Beskrivelse
arkiv:	Importerer fra arkivfilsystemet.
cns:	Importerer fra filsystemet CNS (Cluster Namespace).
disk0:	Importerer fra filsystemet disc0.
disk1:	Importerer fra filsystemet disc1.
ftp:	Importerer fra FTP-filsystemet.
http:	Importerer fra HTTP-filsystemet. Nettadressen må være i følgende formater: http:// CAnavn:80 , hvor CAnavn er Domain Name System (DNS) http:// ipv4-adresse :80. For eksempel: http://10.10.10.1:80. http:// [ipv6-adresse]:80 . For eksempel: http://[2001:DB8:1:1::1]:80. IPv6-adresse er i heksadesimal notasjon og må stå i parentes i URL-adressen.
https:	Importerer fra HTTPS-filsystemet. Nettadressen må bruke de samme formatene som HTTP: filsystemformater.
null:	Importerer fra null-filsystemet.
nvram:	Importerer fra NVRAM-filsystemet.
barnevogn:	Importerer fra PRAM-filsystemet (Random-Access Memory).
rcp:	Importerer fra rcp-filsystemet (Remote Copy Protocol).
scp:	Importerer fra filsystemet for sikker kopiprotokoll (SCP).
snmp:	Importerer fra SNMP (Simple Network Management Protocol).
system:	Importerer fra systemfilsystemet.
tar:	Importerer fra UNIX tar-fil .
tftp:	Importerer fra TFTP-filsystemet.   Nettadressen må være i fra: tftp:// CA-navn/filspesifikasjon .
tmpsys:	Importerer fra filsystemet Cisco IOS tmpsys.
unix:	Importerer fra UNIX-filsystemet.
xmodem:	Importerer fra xmodems enkle protokollsystem for filoverføring .
ymodem:	Importerer fra ymodems enkle protokollsystem for filoverføring .

For å identifisere tillitspunkt klareringspunkt-navn nøkkelord og argument som ble brukt under TLS-håndtrykket ( transportlagsikkerhet ) som tilsvarer den ekstern enhet , bruker du kryptosignalering kommandoen i konfigurasjonsmodus for SIP-brukeragent (UA). For å tilbakestille til standard tillitspunkt streng, bruk nei formen for denne kommandoen.

kryptosignalering { standard| ekstern-adr ip-adresse nettverksmaske } [ tls-profil -koden| tillitspunkt klareringspunkt-navn ] [ cn-san-validering server ] [ klient-vtp klareringspunkt-navn ] [ ecdsa-chiffer| kurvestørrelse 384| streng kryptering ]

nei kryptosignalering { standard| ekstern-adr ip-adresse nettverksmaske } [ tls-profil -koden| tillitspunkt klareringspunkt-navn ] [ cn-san-validering server ] [ klient-vtp klareringspunkt-navn ] [ ecdsa-chiffer| kurvestørrelse 384| streng kryptering ]

Kommando standard: Kommandoen for kryptosignalering er deaktivert.

Kommandomodus: SIP UA-konfigurasjon (sip-ua)

Retningslinjer for bruk: Den tillitspunkt klareringspunkt-navn nøkkelord og argument refererer til CUBE-sertifikatet som genereres som en del av registreringsprosessen ved hjelp av Cisco IOS PKI-kommandoer.

Når et enkelt sertifikat er konfigurert, brukes det av alle de eksterne enhetene og konfigureres av standard nøkkelord.

Når flere sertifikater brukes, kan de være knyttet til eksterne tjenester som bruker ekstern-adr argument for hvert tillitspunkt. Den ekstern-adr og standardargumenter kan brukes sammen for å dekke alle tjenester etter behov.

Standard krypteringspakke i dette tilfellet er følgende sett som støttes av SSL-laget på CUBE: TLS_ RSA_ MED_ RC4_ 128_ MD5 TLS_ RSA_ MED_ AES_ 128_ CBC_ SHA TLS_ DHE_ RSA_ MED_ AES_ 128_ CBC_ SHA1 TLS_ECDHE_RSA_MED_AES_128_GCM_SHA256 TLS_ ECDHE_ RSA_ MED_ AES_ 256_ GCM_ SHA384 TLS_ECDHE_ECDSA_MED_AES_128_GCM_SHA256 TLS_ ECDHE_ ECDSA_ MED_ AES_ 256_ GCM_ SHA384

Nøkkelordet cn-san-validate server aktiverer identitetsvalidering av server gjennom CN- og SAN-feltene i sertifikatet ved etablering av SIP/TLS-tilkoblinger på klientsiden. Validering av CN- og SAN-feltene i serversertifikat sikrer at domenet på serversiden er en gyldig enhet. Når du oppretter en sikker tilkobling med en SIP-server, validerer CUBE det konfigurerte domenenavn for økten mot CN/SAN-feltene i serverens sertifikat før det etableres en TLS-økt. Når du har konfigurert cn-san-validate server , skjer validering av serveridentiteten for hver nye TLS-tilkobling.

Den tls-profil alternativet knytter TLS-policykonfigurasjonene som er gjort gjennom de tilknyttede tls-profil for taleklasse konfigurasjonen. I tillegg til TLS-policyalternativene som er tilgjengelige direkte med kryptosignalering kommando, en tls-profil inkluderer også sni send alternativet.

sni send aktiverer Server Name Indication (SNI), et TLS-internnummer som lar en TLS-klient angi navnet på serveren den prøver å koble til under den første TLS-håndtrykkprosessen. Bare det fullt kvalifiserte DNS-vertsnavnet til serveren sendes i klienten hei. SNI støtter ikke IPv4- og IPv6-adresser i klient-hei-utvidelsen. Etter å ha mottatt et «hei» med servernavn fra TLS-klienten, bruker serveren riktig sertifikat i den påfølgende TLS-håndtrykkprosessen. SNI krever TLS versjon 1.2.

TLS-policyfunksjonene vil bare være tilgjengelige via en tls-profil for taleklasse konfigurasjonen. Den kryptosignalering kommandoen fortsetter å støtte tidligere eksisterende TLS-krypteringsalternativer. Du kan bruke enten tls-profil for taleklasse -koden eller kryptosignalering kommandoen for å konfigurere et klareringspunkt. Vi anbefaler at du bruker tls-profil for taleklasse -koden kommandoen for å utføre konfigurasjoner av TLS-profiler.