Om du vill aktivera åtkomstkontrollmodellen för autentisering, auktorisering och redovisning (AAA) använder du aaa ny modell kommando i globalt konfigurationsläge. Om du vill inaktivera AAA-åtkomstkontrollmodellen använder du Nej form av detta kommando.

aaa ny modell

nej aaa ny modell

Det här kommandot har inga argument eller nyckelord.

Standardkommando: AAA är inte aktiverat.

Kommandoläge: Global konfiguration (konfiguration)

Riktlinjer för användning: Det här kommandot aktiverar AAA-åtkomstkontrollsystemet.

Om du vill ställa in autentisering, auktorisering och redovisningsautentisering (AAA) vid inloggning använder du aaa-autentiseringsinloggning kommando i globalt konfigurationsläge. Om du vill inaktivera AAA-autentisering använder du Nej form av detta kommando.

aaa autentiseringsinloggning {default |list-name } metod1 [method2...]

noaaa autentiseringsinloggning {default |list-name } metod1 [method2...]

Standardkommando: AAA-autentisering vid inloggning är inaktiverad.

Kommandoläge: Global konfiguration (konfiguration)

Riktlinjer för användning: Om Standard Nyckelordet är inte inställt, endast den lokala användardatabasen är markerad. Detta har samma effekt som följande kommando:

aaa authentication login default local

På konsolen kommer inloggning att lyckas utan autentiseringskontroller om Standard nyckelord är inte inställt.

De standardnamn och valfria listnamn som du skapar med aaa-autentiseringsinloggning kommandot används med inloggningsautentisering kommando.

Skapa en lista genom att ange aaa-autentiseringsinloggning listnamnsmetodkommando för ett visst protokoll. Argumentet med listnamn är teckensträngen som används för att namnge listan över autentiseringsmetoder som aktiveras när en användare loggar in. Metodargumentet identifierar listan över metoder som autentiseringsalgoritmen försöker i den angivna sekvensen. I avsnittet ”Autentiseringsmetoder som inte kan användas för listnamnsargumentet” listar autentiseringsmetoder som inte kan användas för listnamnsargumentet och tabellen nedan beskriver metodnyckelorden.

Om du vill skapa en standardlista som används om ingen lista har tilldelats en linje använder du inloggningsautentisering kommando med standardargumentet följt av de metoder som du vill använda i standardsituationer.

Lösenordet uppmanas endast en gång att autentisera användarens inloggningsuppgifter och vid fel på grund av anslutningsproblem är det möjligt att upprepa flera försök med hjälp av ytterligare autentiseringsmetoder. Övergången till nästa autentiseringsmetod sker dock endast om den föregående metoden returnerar ett fel, inte om det misslyckas. Ange om du vill säkerställa att autentiseringen lyckas även om alla metoder returnerar ett fel Ingen som den slutliga metoden i kommandoraden.

Om autentisering inte är specifikt inställd för en linje är standardinställningen att neka åtkomst och ingen autentisering utförs. Använd mer system:running-config kommando för att visa för närvarande konfigurerade listor över autentiseringsmetoder.

Autentiseringsmetoder som inte kan användas för argumentet med listnamn

Autentiseringsmetoderna som inte kan användas för argumentet med listnamn är följande:

• auth-gäst

• aktivera

• gäst

• om autentiserad

• vid behov

• krb5

• krb-instans

• krb-telnet

• linje

• lokalt

• inget

• radie

• rcmd

• takaker

• tacacsplus

I tabellen nedan hänvisar metoder för gruppradie, grupptacacs +, gruppldap och gruppgruppnamn till en uppsättning tidigare definierade RADIUS- eller TACACS+-servrar. Använd radius-serverns värdkommandon och tacacs-serverns värdkommandon för att konfigurera värdservrarna. Använd kommandona aaa-gruppserverradius, aaa-gruppservern ldap och aaa-gruppservern tacacs+ för att skapa en namngiven grupp av servrar.

Tabellen nedan beskriver metodnyckelord.

Nyckelord	Beskrivning
cachegruppnamn	Använder en cacheservergrupp för autentisering.
aktivera	Använder aktiveringslösenordet för autentisering. Det här nyckelordet kan inte användas.
gruppens gruppnamn	Använder en undergrupp av RADIUS- eller TACACS+-servrar för autentisering enligt definitionen av aaa gruppserverradie eller aaa gruppserver tacacs+ kommando.
gruppldap	Använder listan över alla LDAP-servrar (Lightweight Directory Access Protocol) för autentisering.
gruppradie	Använder listan över alla RADIUS-servrar för autentisering.
grupptacacs+	Använder listan över alla TACACS+-servrar för autentisering.
krb5	Använder Kerberos 5 för autentisering.
krb5-telnet	Använder Kerberos 5 Telnet-autentiseringsprotokollet när du använder Telnet för att ansluta till routern.
linje	Använder linjelösenordet för autentisering.
lokalt	Använder den lokala databasen för användarnamn för autentisering.
lokalt fall	Använder skiftlägeskänslig lokal autentisering av användarnamn.
inget	Använder ingen autentisering.
paswd-utgångsdatum	Aktiverar lösenordsåtering i en lokal autentiseringslista.   Den radius-server vsa skicka autentisering kommandot krävs för att göra godkänd utgång nyckelord arbete.

Om du vill ställa in parametrar som begränsar användarens åtkomst till ett nätverk använder du aaa auktorisation kommando i globalt konfigurationsläge. För att ta bort parametrarna använder du Nej form av detta kommando.

aaaDen här artikeln handlar om behörighet{ autentiseringsproxyDen här artikeln handlar om |Den här artikeln handlar om cacheDen här artikeln handlar om |Den här artikeln handlar om kommandonnivå Den här artikeln handlar om |Den här artikeln handlar om config-kommandonDen här artikeln handlar om |Den här artikeln handlar om konfigurationDen här artikeln handlar om |Den här artikeln handlar om konsolDen här artikeln handlar om |Den här artikeln handlar om execDen här artikeln handlar om |Den här artikeln handlar om ipmobileDen här artikeln handlar om |Den här artikeln handlar om multicastDen här artikeln handlar om |Den här artikeln handlar om nätverkDen här artikeln handlar om |Den här artikeln handlar om policy-omDen här artikeln handlar om |Den här artikeln handlar om förbetaldDen här artikeln handlar om |Den här artikeln handlar om radie-proxyDen här artikeln handlar om |Den här artikeln handlar om omvänd åtkomstDen här artikeln handlar om |Den här artikeln handlar om prenumerantstjänstDen här artikeln handlar om |Den här artikeln handlar om mall} {standardDen här artikeln handlar om |Den här artikeln handlar om listnamn } [metod1[metod2. ]]

nejDen här artikeln handlar om aaaDen här artikeln handlar om behörighet{ autentiseringsproxyDen här artikeln handlar om |Den här artikeln handlar om cacheDen här artikeln handlar om |Den här artikeln handlar om kommandonnivå Den här artikeln handlar om |Den här artikeln handlar om config-kommandonDen här artikeln handlar om |Den här artikeln handlar om konfigurationDen här artikeln handlar om |Den här artikeln handlar om konsolDen här artikeln handlar om |Den här artikeln handlar om execDen här artikeln handlar om |Den här artikeln handlar om ipmobileDen här artikeln handlar om |Den här artikeln handlar om multicastDen här artikeln handlar om |Den här artikeln handlar om nätverkDen här artikeln handlar om |Den här artikeln handlar om policy-omDen här artikeln handlar om |Den här artikeln handlar om förbetaldDen här artikeln handlar om |Den här artikeln handlar om radie-proxyDen här artikeln handlar om |Den här artikeln handlar om omvänd åtkomstDen här artikeln handlar om |Den här artikeln handlar om prenumerantstjänstDen här artikeln handlar om |Den här artikeln handlar om mall} {standardDen här artikeln handlar om |Den här artikeln handlar om listnamn } [metod1[metod2. ]]

Standardkommando: Auktorisering är inaktiverat för alla åtgärder (motsvarande metodnyckelordet ingen ).

Kommandoläge: Global konfiguration (konfiguration)

Riktlinjer för användning: Använd kommandot aaa-auktorisation för att aktivera auktorisering och skapa namnlistor över metoder som definierar auktoriseringsmetoder som kan användas när en användare får åtkomst till den angivna funktionen. Metodlistor för auktorisering definierar hur auktorisationen ska utföras och i vilken sekvens dessa metoder ska utföras. En metodlista är en namnlista som beskriver de behörighetsmetoder (t.ex. RADIUS eller TACACS+) som måste användas i följd. Med hjälp av metodlistor kan du utse ett eller flera säkerhetsprotokoll som ska användas för auktorisation, vilket säkerställer ett säkerhetskopieringssystem om den ursprungliga metoden misslyckas. Cisco IOS-programvaran använder den första metoden som anges för att auktorisera användare för specifika nätverkstjänster. Om den metoden inte svarar väljer Cisco IOS-programvaran nästa metod som listas i metodlistan. Denna process fortsätter tills kommunikationen har lyckats med en listad auktoriseringsmetod eller tills alla definierade metoder har uttömts.

Cisco IOS-programvaran försöker bara auktorisera med nästa listade metod när det inte finns något svar från den föregående metoden. Om autentiseringen misslyckas vid något tillfälle i den här cykeln – vilket innebär att säkerhetsservern eller den lokala användarnamnet-databasen svarar genom att förneka användartjänsterna – upphör behörighetsprocessen och inga andra autentiseringsmetoder försöker.

Om AAA-behörighetskommandot för en viss behörighetstyp utfärdas utan en specificerad namnlista, tillämpas standardmetodlistan automatiskt på alla gränssnitt eller linjer (där den här behörighetstypen gäller) förutom de som uttryckligen har definierat en namnlista. (En definierad metodlista åsidosätter standardmetodlistan.) Om ingen standardmetodlista har definierats sker ingen auktorisering. Listan över standardauktoriseringsmetoder måste användas för att utföra utgående auktorisering, till exempel att auktorisera hämtning av IP-pooler från RADIUS-servern.

Använd kommandot aaa-auktorisering för att skapa en lista genom att ange värdena för listnamnet och metodargumenten, där listnamn är en teckensträng som används för att namnge den här listan (exklusive alla metodnamn) och metoden identifierar listan över auktoriseringsmetoder som har testats i den angivna sekvensen.

Kommandot för auktorisation har stöd för 13 separata metodlistor. Till exempel:

aaa behörighetskonfiguration metodlista1 gruppradie

aaa behörighetskonfiguration metodlista2 gruppradie

…

aaa behörighetskonfiguration metodlista13 gruppradie

I tabellen nedan hänvisar gruppnamnet, gruppens ldap, gruppradius och grupptacacs + metoder till en uppsättning tidigare definierade RADIUS- eller TACACS+-servrar. Använd radius-serverns värdkommandon och tacacs-serverns värdkommandon för att konfigurera värdservrarna. Använd aaa-gruppserverradius, aaa-gruppservern ldap och aaa-gruppservern tacacs+-kommandon för att skapa en namngiven grupp av servrar.

Cisco IOS-programvaran har stöd för följande metoder för auktorisation:

• Cacheservergrupper – Routern konsulterar sina cacheservergrupper för att auktorisera specifika rättigheter för användare.

• Om-autentiserad –-Användaren får åtkomst till den begärda funktionen förutsatt att användaren har autentiserats.

• Lokal – Routern eller åtkomstservern konsulterar sin lokala databas, enligt definitionen av användarnamnet-kommandot, för att auktorisera specifika rättigheter för användare. Endast en begränsad uppsättning funktioner kan styras via den lokala databasen.

• Ingen – Nätverksåtkomstservern begär inte auktoriseringsinformation. Auktorisation utförs inte via den här linjen eller gränssnittet.

• RADIUS – Nätverksåtkomstservern begär auktoriseringsinformation från RADIUS säkerhetsservergrupp. RADIUS-auktorisation definierar specifika rättigheter för användare genom att associera attribut som lagras i en databas på RADIUS-servern med lämplig användare.

• TACACS+ – Nätverksåtkomstservern utbyter auktoriseringsinformation med TACACS+ säkerhetsdaemon. TACACS+-auktorisation definierar specifika rättigheter för användare genom att koppla attributvärde (AV)-par, som lagras i en databas på TACACS+-säkerhetsservern, med lämplig användare.

Om du vill tillåta anslutningar mellan specifika typer av slutpunkter i ett VoIP-nätverk använder du tillåt-anslutningar kommando i rösttjänstens konfigurationsläge. Om du vill vägra specifika typer av anslutningar använder du Nej form av detta kommando.

tillåt-anslutningarfrån typtilltyp

ingatillståndsanslutningarfrån typtilltyp

Standardkommando: SIP-till-SIP-anslutningar inaktiveras som standard.

Kommandoläge: Konfiguration av rösttjänst (config-voi-serv)

Riktlinjer för användning: Det här kommandot används för att tillåta anslutningar mellan specifika typer av slutpunkter i en Cisco IP-till-IP-gateway för multitjänster. Kommandot är aktiverat som standard och kan inte ändras.

Om du vill tillåta att "#" infogas på valfri plats i röstregistret dn använder du tillåt-hash-in-dn kommando i röstregister globalt läge. Om du vill inaktivera detta använder du Nej form av detta kommando.

tillåt-hash-in-dn

ingen tillåt-hash-in-dn

Standardkommando: Kommandot är inaktiverat som standard.

Kommandoläge: global konfiguration för röstregister (config-register-global)

Riktlinjer för användning: Innan detta kommando introducerades var tecknen som stöds i röstregistret dn 0–9, + och *. Det nya kommandot aktiveras när användaren kräver att # sätts in i röstregistret dn. Kommandot är inaktiverat som standard. Du kan endast konfigurera det här kommandot i Cisco Unified SRST- och Cisco Unified E-SRST-lägen. Tecknet # kan sättas in var som helst i röstregistret dn. När detta kommando är aktiverat måste användare ändra standardtecknet för avslutning(#) till ett annat giltigt tecken med hjälp av samtalskollegiterminator kommando under konfigurationsläge.

Om du vill ange konfigurationsläget för redundans använder du applikationsredundans kommando i redundans konfigurationsläge.

redundans

Det här kommandot har inga argument eller nyckelord.

Standardkommando: Ingen

Kommandoläge: Konfiguration av redundans (konfigurerad-röd)

Riktlinjer för användning: Använd detta applikationsredundans kommando för att konfigurera programredundans för hög tillgänglighet.

Om du vill ställa in standardgatewayen för ett program använder du app-standard-gateway kommando i konfigurationsläget för programvärdar. Om du vill ta bort standardgatway använder du Nej form av detta kommando.

app-default-gateway [IP-adressgäst-gränssnittnätverksgränssnitt-nummer]

ingenapp-default-gateway [ip-adressgäst-gränssnittnätverk-gränssnitt-nummer]

Standardkommando: Standardgatewayen har inte konfigurerats.

Kommandoläge: Konfiguration av programvärdar (config-app-hosting)

Riktlinjer för användning: Använd app-standard-gateway kommando för att ställa in standardgateway för ett program. Gatewayanslutningarna är program som är installerade på Cisco IOS XE GuestShell-behållaren.

Om du vill konfigurera ett program och gå in i programvärdkonfigurationsläget använder du app-värdappid kommando i globalt konfigurationsläge. Om du vill ta bort programmet använder du Nej form av detta kommando.

appidprogramnamn

Standardkommando: Inget program har konfigurerats.

Kommandoläge: Global konfiguration (konfiguration)

Användningsriktlinjer:Argumentet kan bestå av upp till 32 alfanumeriska tecken.

Du kan uppdatera konfigurationen av programvärdar efter att du har konfigurerat det här kommandot.

Om du vill åsidosätta programmets resursprofil använder du app-återställningsprofil kommando i konfigurationsläget för programvärdar. Om du vill återgå till den programspecificerade resursprofilen använder du Nej form av detta kommando.

app-återoure-profilprofilnamn

ingenapp-resoure-profilprofilnamn

Standardkommando: Resursprofilen har konfigurerats.

Kommandoläge: Konfiguration av programvärdar (config-app-hosting)

Riktlinjer för användning: Reserverade resurser som anges i programpaketet kan ändras genom att ange en anpassad resursprofil. Endast resurser för CPU, minne och virtuell CPU (vCPU) kan ändras. Om resursändringarna ska träda i kraft ska du stoppa och inaktivera programmet och sedan aktivera och starta det igen.

Endast anpassad profil stöds.

Kommandot konfigurerar den anpassade programresursprofilen och anger konfigurationsläget för programresursprofilen.

Om du vill konfigurera en gateway för virtuellt nätverksgränssnitt för ett program använder du app-vnic gateway kommando i konfigurationsläget för programvärdar. För att ta bort konfigurationen använder du Nej form av detta kommando.

Det här kommandot stöds endast på routningsplattformar. Det stöds inte på växlingsplattformar.

app-vnic gatewayvirtualportgruppnummergäst-gränssnittnätverk-gränssnitt-nummer

ingenapp-vnic gatewayvirtualportgruppnummergäst-gränssnittnätverk-gränssnitt

Standardkommando: Den virtuella nätverksgatewayen har inte konfigurerats.

Kommandoläge: Konfiguration av programvärdar (config-app-hosting)

Riktlinjer för användning: När du har konfigurerat gatewayen för det virtuella nätverksgränssnittet för ett program ändras kommandoläget till konfigurationsläge för gateway för program-hosting. I det här läget kan du konfigurera IP-adressen för gästgränssnittet.

Om du vill aktivera stöd för det bekräftade ID-rubriken i inkommande SIP-förfrågningar eller svarsmeddelanden och för att skicka den bekräftade ID-sekretessinformationen i utgående SIP-förfrågningar eller svarsmeddelanden använder du ID kommando i rösttjänstens VoIP-SIP-konfigurationsläge eller röstklassens klientkonfigurationsläge. Om du vill inaktivera stödet för det påstådda ID-rubriken använder du Nej form av detta kommando.

ID { pai|ppi } system

ingetbekräftat-id { pai|ppi } system

Standardkommando: Sekretessinformationen skickas med hjälp av Remote-Party-ID (RPID) eller From-rubriken.

Kommandoläge: Konfiguration av rösttjänst VoIP-SIP (conf-serv-sip) och klientkonfiguration av röstklass (config-klass)

Riktlinjer för användning: Om du väljer paj nyckelord eller ppi Nyckelordet bygger gatewayen PAI-rubriken respektive PPI-rubriken till den gemensamma SIP-stapeln. Den paj nyckelord eller ppi Nyckelordet har prioritet framför RPID-rubriken (Remote-Party-ID) och tar bort RPID-rubriken från utgående meddelande, även om routern är konfigurerad att använda RPID-rubriken på global nivå.

Om du vill konfigurera asymmetriskt stöd för sessionsinitieringsprotokoll (SIP) använder du asymmetrisk nyttolast kommando i SIP-konfigurationsläge eller i klientkonfigurationsläge för röstklass. Om du vill inaktivera asymmetriskt stöd för nyttolast använder du Nej form av detta kommando.

asymmetrisknyttolast { dtmf |dynamiska codecs |fullt |system }

ingenasymmetrisknyttolast { dtmf |dynamiska codec |fullt |system }

Standardkommando: Det här kommandot är inaktiverat.

Kommandoläge: Konfiguration av rösttjänstens SIP-konfiguration (conf-serv-sip), Klientkonfiguration av röstklass (config-klass)

Riktlinjer för användning: Ange SIP-konfigurationsläge från rösttjänstkonfigurationsläget, som visas i exemplet.

För Cisco UBE stöds den asymmetriska SIP-nyttobelastningstypen för ljud-/videokoder, DTMF och NSE. Därav dtmf och dynamiska koder sökord mappas internt till full Nyckelord för att ge asymmetriskt stöd av nyttobelastningstyp för ljud-/videokoder, DTMF och NSE.

Om du vill aktivera SIP-digest-autentisering på en enskild uppringningskollega använder du autentisering kommando i konfigurationsläget för samtalskollega. Om du vill inaktivera SIP-digest-autentisering använder du Nej form av detta kommando.

autentiseringDen här artikeln handlar om användarnamnDen här artikeln handlar om användarnamnDen här artikeln handlar om lösenord{ 0Den här artikeln handlar om |Den här artikeln handlar om 6Den här artikeln handlar om |Den här artikeln handlar om 7} lösenord[sfärDen här artikeln handlar om sfärDen här artikeln handlar om |Den här artikeln handlar om utmaningDen här artikeln handlar om |Den här artikeln handlar om alla]

nejDen här artikeln handlar om autentiseringDen här artikeln handlar om användarnamnDen här artikeln handlar om användarnamnDen här artikeln handlar om lösenord{ 0Den här artikeln handlar om |Den här artikeln handlar om 6Den här artikeln handlar om |Den här artikeln handlar om 7} lösenord[sfärDen här artikeln handlar om sfärDen här artikeln handlar om |Den här artikeln handlar om utmaningDen här artikeln handlar om |Den här artikeln handlar om alla]

Standardkommando: SIP-digest-autentisering är inaktiverad.

Kommandoläge: Konfiguration av samtalskollega (config-dial-peer)

Riktlinjer för användning: Följande konfigurationsregler gäller när digest-autentisering aktiveras:

• Endast ett användarnamn kan konfigureras per uppringningskollega. Eventuell befintlig konfiguration av användarnamn måste tas bort innan ett annat användarnamn konfigureras.

• Högst fem lösenord eller sfär argument kan konfigureras för valfritt användarnamn.

Den användarnamn och lösenord Argument används för att autentisera en användare. En autentiserande server/proxy som utfärdar ett 407/401-utmaningssvar inkluderar en sfär i utmaningssvaret och användaren tillhandahåller inloggningsuppgifter som är giltiga för den sfären. Eftersom det antas att högst fem proxyservrar i signaleringssökvägen kan försöka autentisera en viss begäran från en användare-agentklient (UAC) till en användare-agentserver (UAS), kan en användare konfigurera upp till fem lösenord- och realmkombinationer för ett konfigurerat användarnamn.

Användaren tillhandahåller lösenordet i oformaterad text, men det är krypterat och sparat för 401 utmaningssvar. Om lösenordet inte sparas i krypterat formulär skickas ett skräppost och autentiseringen misslyckas.

• Sfärens specifikation är valfri. Om lösenordet saknas gäller det lösenord som konfigurerats för det användarnamnet för alla sfärer som försöker autentisera.

• Endast ett lösenord kan konfigureras åt gången för alla konfigurerade sfärer. Om ett nytt lösenord har konfigurerats skriver det över alla tidigare konfigurerade lösenord.

Detta innebär att endast ett globalt lösenord (ett utan en angiven sfär) kan konfigureras. Om du konfigurerar ett nytt lösenord utan att konfigurera en motsvarande sfär skriver det nya lösenordet över det föregående.

• Om en sfär har konfigurerats för ett tidigare konfigurerat användarnamn och lösenord läggs den sfärens specifikation till i den befintliga konfigurationen av användarnamn och lösenord. Men när en sfär har lagts till i en konfiguration av användarnamn och lösenord är kombinationen av användarnamn och lösenord endast giltig för den sfären. En konfigurerad sfär kan inte tas bort från en konfiguration av användarnamn och lösenord utan att först ta bort hela konfigurationen för det användarnamnet och lösenordet – du kan sedan konfigurera om kombinationen användarnamn och lösenord med eller utan en annan sfär.

• I en post med både ett lösenord och sfär kan du ändra antingen lösenordet eller sfären.

• Använd Ingen autentisering kommando för att ta bort alla autentiseringsposter för användaren.

Det är obligatoriskt att ange krypteringstyp för lösenordet. Om ett tydligt textlösenord (skriv 0) är konfigurerad, den är krypterad som typ 6 innan du sparar den till den löpande konfigurationen.

Om du anger krypteringstyp som 6 eller 7, det angivna lösenordet är markerat mot en giltig typ 6 eller 7 lösenordsformat och sparad som typ 6 eller 7 respektive.

Typ 6-lösenord krypteras med AES-kryptering och en användardefinierad primär nyckel. Dessa lösenord är relativt säkrare. Den primära nyckeln visas aldrig i konfigurationen. Utan kännedom om den primära nyckeln, skriv 6 Lösenord är oanvändbara. Om den primära nyckeln ändras krypteras lösenordet som sparats som typ 6 på nytt med den nya primära nyckeln. Om konfigurationen av den primära nyckeln tas bort, typen 6 lösenord kan inte dekrypteras, vilket kan leda till autentiseringsfel för samtal och registreringar.

När du säkerhetskopierar en konfiguration eller migrerar konfigurationen till en annan enhet dumpas inte den primära nyckeln. Därför måste den primära nyckeln konfigureras igen manuellt.

Om du vill konfigurera en krypterad fördelad nyckel, se Konfigurera en krypterad fördelad nyckel.

Följande varningsmeddelande visas när krypteringstyp 7 är konfigurerad. Varning: Kommandot har lagts till i konfigurationen med ett lösenord av typ 7. Typ 7-lösenord kommer dock snart att avskrivas. Migrera till ett lösenord typ 6 som stöds.

Om du vill binda källadressen för signalering och mediepaket till IPv4- eller IPv6-adressen för ett specifikt gränssnitt använder du band kommando i SIP-konfigurationsläge. Om du vill inaktivera bindning använder du Nej form av detta kommando.

bind{ kontrollDen här artikeln handlar om |Den här artikeln handlar om medelvärdeDen här artikeln handlar om |Den här artikeln handlar om alla} källgränssnittDen här artikeln handlar om gränssnitt-id{ ipv4-adressDen här artikeln handlar om ipv4-adressDen här artikeln handlar om |Den här artikeln handlar om ipv6-adressDen här artikeln handlar om ipv6-adress}

nejDen här artikeln handlar om bind{ kontrollDen här artikeln handlar om |Den här artikeln handlar om medelvärdeDen här artikeln handlar om |Den här artikeln handlar om alla} källgränssnittDen här artikeln handlar om gränssnitt-id{ ipv4-adressDen här artikeln handlar om ipv4-adressDen här artikeln handlar om |Den här artikeln handlar om ipv6-adressDen här artikeln handlar om ipv6-adress}

Standardkommando: Bindning är inaktiverad.

Kommandoläge: SIP-konfiguration (conf-serv-sip) och röstklassklient.

Riktlinjer för användning: Async, Ethernet, FastEthernet, Loopback och Serial (inklusive Frame Relay) är gränssnitt inom SIP-programmet.

Om band kommandot är inte aktiverat, IPv4-skiktet ger fortfarande den bästa lokala adressen.

Om du vill aktivera de grundläggande konfigurationerna för Call-Home använder du samtalsrapportering kommando i globalt konfigurationsläge.

samtalsrapportering { anonym |contact-email-addr } [ http-proxy { ipv4-adress |ipv6-adress |namn } port portnummer ]

Standardkommando: Inget standardbeteende eller värden

Kommandoläge: Global konfiguration (konfiguration)

Riktlinjer för användning: När Call-Home har aktiverats antingen i anonymt eller fullständigt registreringsläge med hjälp av samtalsrapportering kommando, ett lagermeddelande skickas ut. Om Call-Home är aktiverat i fullt registreringsläge skickas ett fullständigt inventeringsmeddelande för fullt registreringsläge ut. Om Call-Home är aktiverat i anonymt läge skickas ett anonymt inventeringsmeddelande ut. Mer information om meddelandeinformation finns i Aviseringsgruppens utlösarhändelser och kommandon.

Om du vill aktivera stöd för Cisco Unified SRST och ange konfigurationsläget för samtalshanterare-fallback använder du samtalshanterare-fallback kommando i globalt konfigurationsläge. Om du vill inaktivera stöd för Cisco Unified SRST använder du Nej form av detta kommando.

samtalshanterare-fallback

ingensamtalshanterare-fallback

Det här kommandot har inga argument eller nyckelord.

Standardkommando: Inga standardbeteenden eller värden.

Kommandoläge: Global konfiguration

Använd kommandot för att aktivera server-, klient- eller dubbelriktad identitetsvalidering av ett peer-certifikat under TLS-handskakning. Validera cn-san i röstklassens konfigurationsläge för tls-profil. Om du vill inaktivera certifikatidentitetsvalidering använder du Nej form av detta kommando.

cn-sanvalidera { server|klient|tvåriktad }

nocn-sanvalidera { server|klient|dubbelriktad }

Standardkommando: Identitetsvalidering är inaktiverat.

Kommandoläge: Konfiguration av röstklass (konfigurationsklass)

Riktlinjer för användning: Validering av serveridentitet är kopplad till en säker signaleringsanslutning via den globala kryptosignalering och Profil för röstklass konfigurationer.

Kommandot har förbättrats för att inkludera klient och tvåvägsinriktad sökord. Med klientalternativet kan en server validera en klients identitet genom att kontrollera CN- och SAN-värdnamn som ingår i det angivna certifikatet mot en betrodd lista över cn-san FQDN:er. Anslutningen kommer endast att upprättas om en matchning hittas. Den här listan över cn-san FQDN:er används nu också för att validera ett servercertifikat, förutom sessionens värdnamn. Den tvåvägsinriktad Alternativet validerar peer-identiteten för både klient- och serveranslutningar genom att kombinera båda server och klient lägen. När du har konfigurerat Validera cn-sanIdentiteten på peer-certifikatet valideras för varje ny TLS-anslutning.

Om du vill konfigurera en lista med fullständigt kvalificerat domännamn (FQDN) som ska valideras mot peer-certifikatet för inkommande eller utgående TLS-anslutningar använder du cn-san kommando i röstklass tls-profilkonfigurationsläge. Om du vill ta bort posten för verifiering av cn-san certifikat använder du Nej form av detta kommando.

cn-san{1-10}fqdn

ingencn-san{1-10}fqdn

Standardkommando: Inga nationella namn har konfigurerats.

Kommandoläge: Konfigurationsläge för röstklass tls-profil (config-klass)

Riktlinjer för användning: FQDN som används för peer-certifikatvalidering tilldelas en TLS-profil med upp till tio cn-san poster. Minst en av dessa poster måste matchas med en FQDN i något av fälten Common Name (CN) eller Subject-Alternate-Name (SAN) för certifikatet innan en TLS-anslutning upprättas. För att matcha alla domänvärden som används i ett CN- eller SAN-fält, en cn-san posten kan konfigureras med ett domänwildcard, endast i formuläret *.domännamn (t.ex. *.cisco.com). Ingen annan användning av wildcard är tillåten.

För inkommande anslutningar används listan för att validera CN- och SAN-fält i klientcertifikatet. För utgående anslutningar används listan tillsammans med sessionens värdnamn för att validera CN- och SAN-fält i servercertifikatet.

Servercertifikat kan också verifieras genom att matcha SIP-sessionens mål FQDN till ett CN- eller SAN-fält.

Om du vill ange en lista över rekommenderade kodekar som ska användas på en uppringningskodare använder du codec preferenser kommando i röstklassens konfigurationsläge. Om du vill inaktivera den här funktionen använder du Nej form av detta kommando.

codecpreferensvärdecodec-typ

ingencodecpreferensvärdecodec-typ

Standardkommando: Om det här kommandot inte har angetts identifieras inga specifika typer av kodek med inställning.

Kommandoläge: konfiguration av röstklass (config-klass)

Riktlinjer för användning: Routerarna i motsatta ändar av WAN kan behöva förhandla om codec-valet för nätverkssamtalskollegor. Den codec preferenser kommandot anger prioriteringsordningen för val av en förhandlad codec för anslutningen. Tabellen nedan beskriver alternativen för röstnyttolast och standardvärden för codec- och paketröstprotokoll.

Om du vill använda den globala lyssningsporten för att skicka förfrågningar över UDP använder du återanvändning kommando i sip-ua-läge eller röstklassens klientkonfigurationsläge. För att inaktivera använder du Nej form av detta kommando.

anslutning-återanvändning { via |system }

ingenåteranvändning { via-port |system }

Standardkommando: Lokal gateway använder en efemerisk UDP-port för att skicka förfrågningar över UDP.

Kommandolägen: SIP UA-konfiguration (config-sip-ua), klientkonfiguration för röstklass (config-klass)

Riktlinjer för användning: Om du kör det här kommandot aktiveras lyssnarporten för att skicka förfrågningar via UDP. Standardport för lyssnare för regelbunden icke-säker SIP är 5060 och säker SIP är 5061. Konfigurera lyssna-port [icke-säker | säker]port kommando i rösttjänstens voip > sip-konfigurationsläge för att ändra den globala UDP-porten.

Om du vill ändra CPU-kvoten eller enheten som har tilldelats ett program använder du CPU kommando i konfigurationsläge för anpassade programresursprofiler. Om du vill återgå till den programtillhandahållna CPU-kvoten använder du Nej form av detta kommando.

CPUenhet

ingenCPUenhet

Standardkommando: Standardprocessorn beror på plattformen.

Kommandoläge: Konfiguration av anpassad programresursprofil (config-app-resource-profil-anpassad)

Riktlinjer för användning: En CPU-enhet är den minimala CPU-allokeringen av programmet. Totalt antal CPU-enheter baseras på normaliserade CPU-enheter som mäts för målenheten.

I varje programpaket tillhandahålls en programspecifik resursprofil som definierar den rekommenderade CPU-belastningen, minnesstorleken och antalet virtuella CPU:er (vCPU:er) som krävs för programmet. Använd det här kommandot för att ändra tilldelningen av resurser för specifika processer i den anpassade resursprofilen.

Reserverade resurser som anges i programpaketet kan ändras genom att ange en anpassad resursprofil. Endast CPU-, minne- och v-CPU-resurser kan ändras. Om resursändringarna ska träda i kraft ska du stoppa och inaktivera programmet, aktivera det och starta det igen.

Resursvärden är tillämpningsspecifika och alla justeringar av dessa värden måste säkerställa att programmet kan köras på ett tillförlitligt sätt med ändringarna.

Om du vill konfigurera en Cisco IOS Session Initiation Protocol (SIP)-tidsdelningsmultiplexing (TDM)-gateway, ett Cisco Unified Border Element (Cisco UBE) eller Cisco Unified Communications Manager Express (Cisco Unified CME) för att skicka ett SIP-registreringsmeddelande när du befinner dig i UP-läget använder du inloggningsuppgifter kommando i SIP UA-konfigurationsläge eller i klientkonfigurationsläge för röstklass. Om du vill inaktivera inloggningsuppgifterna för SIP-förstöring använder du Nej form av detta kommando.

inloggningsuppgifter{ dhcpDen här artikeln handlar om |Den här artikeln handlar om nummerDen här artikeln handlar om nummerDen här artikeln handlar om användarnamnDen här artikeln handlar om användarnamn} lösenord{ 0Den här artikeln handlar om |Den här artikeln handlar om 6Den här artikeln handlar om |Den här artikeln handlar om 7} lösenordDen här artikeln handlar om sfärDen här artikeln handlar om sfär

nejDen här artikeln handlar om inloggningsuppgifter{ dhcpDen här artikeln handlar om |Den här artikeln handlar om nummerDen här artikeln handlar om nummerDen här artikeln handlar om användarnamnDen här artikeln handlar om användarnamn} lösenord{ 0Den här artikeln handlar om |Den här artikeln handlar om 6Den här artikeln handlar om |Den här artikeln handlar om 7} lösenordDen här artikeln handlar om sfärDen här artikeln handlar om sfär

Standardkommando: Inloggningsuppgifter för SIP-förtätning är inaktiverade.

Kommandoläge: SIP UA-konfiguration (config-sip-ua) och klientkonfiguration av röstklass (config-klass).

Riktlinjer för användning: Följande konfigurationsregler gäller när inloggningsuppgifter är aktiverade:

• Endast ett lösenord är giltigt för alla domännamn. Ett nytt konfigurerat lösenord skriver över alla tidigare konfigurerade lösenord.

• Lösenordet visas alltid i krypterat format när inloggningsuppgifter kommandot är konfigurerat och visa körs-konfiguration kommandot används.

Den dhcp Nyckelordet i kommandot innebär att det primära numret erhålls via DHCP och den Cisco IOS SIP TDM-gateway, Cisco UBE eller Cisco Unified CME som kommandot är aktiverat använder detta nummer för att registrera eller avregistrera det mottagna primära numret.

Det är obligatoriskt att ange krypteringstyp för lösenordet. Om ett tydligt textlösenord (skriv 0) är konfigurerad, den är krypterad som typ 6 innan du sparar den till den löpande konfigurationen.

Om du anger krypteringstyp som 6 eller 7, det angivna lösenordet är markerat mot en giltig typ 6 eller 7 lösenordsformat och sparad som typ 6 eller 7 respektive.

Typ 6-lösenord krypteras med AES-kryptering och en användardefinierad primär nyckel. Dessa lösenord är relativt säkrare. Den primära nyckeln visas aldrig i konfigurationen. Utan kännedom om den primära nyckeln, skriv 6 Lösenord är oanvändbara. Om den primära nyckeln ändras krypteras lösenordet som sparats som typ 6 på nytt med den nya primära nyckeln. Om konfigurationen av den primära nyckeln tas bort, typen 6 lösenord kan inte dekrypteras, vilket kan leda till autentiseringsfel för samtal och registreringar.

När du säkerhetskopierar en konfiguration eller migrerar konfigurationen till en annan enhet dumpas inte den primära nyckeln. Därför måste den primära nyckeln konfigureras igen manuellt.

Om du vill konfigurera en krypterad fördelad nyckel, se Konfigurera en krypterad fördelad nyckel.

Varning: Kommandot har lagts till i konfigurationen med ett lösenord av typ 7. Typ 7-lösenord kommer dock snart att avskrivas. Migrera till ett lösenord typ 6 som stöds.

I YANG kan du inte konfigurera samma användarnamn över två olika sfärer.

Om du vill ange inställningen för en SRTP-krypteringssvit som kommer att erbjudas av Cisco Unified Border Element (CUBE) i SDP i erbjudandet och svaret använder du kryptering kommando i röstklassens konfigurationsläge. Om du vill inaktivera den här funktionen använder du Nej form av detta kommando.

kryptopreferens krypteringssvit

ingenkryptopreferens cipher-svit

Standardkommando: Om det här kommandot inte är konfigurerat är standardbeteendet att erbjuda srtp-cipher-sviterna i följande inställningsordning:

• AEAD_AES_256_GCM

• AEAD_AES_128_GCM

• AES_CM_128_HMAC_SHA1_80

• AES_CM_128_HMAC_SHA1_32

Kommandoläge: röstklass srtp-crypto (config-klass)

Riktlinjer för användning: Om du ändrar inställningen för en redan konfigurerad krypteringssvit skrivs inställningen över.

Om du vill generera nyckelpar för Rivest, Shamir och Adelman (RSA) använder du krypteringsnyckel genererar rsa kommando i globalt konfigurationsläge.

kryptonnyckel generera rsa[ { allmänna knappar Den här artikeln handlar om |Den här artikeln handlar om användarnycklar Den här artikeln handlar om |Den här artikeln handlar om signatur Den här artikeln handlar om |Den här artikeln handlar om kryptering } ] [ etikett knappetikett] [ exporterbart ] [ modulus Den här artikeln handlar om modulus-storlek] [ lagring Den här artikeln handlar om avvika från namn Den här artikeln handlar om :] [ redundansDen här artikeln handlar om på Den här artikeln handlar om avvika från namn Den här artikeln handlar om :]

Standardkommando: RSA-nyckelpar finns inte.

Kommandoläge: Global konfiguration (konfiguration)

Riktlinjer för användning: Använd krypteringsnyckel genererar rsa kommando för att skapa RSA-nyckelpar för din Cisco-enhet (t.ex. en router).

RSA-nycklar genereras i par – en offentlig RSA-nyckel och en privat RSA-nyckel.

Om din router redan har RSA-nycklar när du utfärdar detta kommando kommer du att varnas och uppmanas att ersätta befintliga nycklar med nya nycklar.

Den krypteringsnyckel genererar rsa kommandot sparas inte i routerkonfigurationen, men de RSA-nycklar som genereras av detta kommando sparas i den privata konfigurationen i NVRAM (som aldrig visas för användaren eller säkerhetskopieras till en annan enhet) nästa gång konfigurationen skrivs till NVRAM.

• Nycklar för specialanvändning: Om du genererar specialnycklar genereras två par RSA-nycklar. Ett par kommer att användas med alla policyer för Internet Key Exchange (IKE) som anger RSA-signaturer som autentiseringsmetod, och det andra paret kommer att användas med alla IKE-policyer som anger RSA-krypterade nycklar som autentiseringsmetod.

  En CA används endast med IKE-policyer som anger RSA-signaturer, inte med IKE-policyer som anger RSA-krypterade nonces. (Du kan dock ange mer än en IKE-policy och ha RSA-signaturer som anges i en policy och RSA-krypterade nonces i en annan policy.)

  Om du planerar att ha båda typerna av RSA-autentiseringsmetoder i dina IKE-policyer kan du föredra att generera specialnycklar. Med specialnycklar exponeras inte varje nyckel i onödan. (Utan specialnycklar används en nyckel för båda autentiseringsmetoderna, vilket ökar exponeringen för den nyckeln).

• Nycklar för allmänt bruk: Om du genererar nycklar för allmänt bruk genereras endast ett par RSA-nycklar. Det här paret kommer att användas med IKE-policyer som anger antingen RSA-signaturer eller RSA-krypterade nycklar. Därför kan ett nyckelpar för allmänt syfte användas oftare än ett nyckelpar för specialanvändning.

• Namngivna nyckelpar: Om du skapar ett namngivet nyckelpar med hjälp av argumentet för nyckeletiketter måste du även ange användningsknappar nyckelord eller allmänna nycklar nyckelord. Med namngivna nyckelpar kan du ha flera RSA-nyckelpar, vilket gör att Cisco IOS-programvaran kan upprätthålla ett annat nyckelpar för varje identitetscertifikat.

• Modullängd: När du genererar RSA-nycklar uppmanas du att ange en modullängd. Ju längre modulen är, desto starkare är säkerheten. En längre modul tar dock längre tid att generera (se tabellen nedan för provtider) och tar längre tid att använda.

  Tabell 2. Exempeltider efter modullängd för att generera RSA-nycklar

  Router	360 bitar	512 bitar	1024 bitar	2048 bitar (max)
  Cisco 2500	11 sekunder	20 sekunder	4 minuter, 38 sekunder	Mer än 1 timme
  Cisco 4700	Mindre än 1 sekund	1 sekund	4 sekunder	50 sekunder

  Cisco IOS-programvaran stöder inte en modul som är större än 4096 bitar. En längd på mindre än 512 bitar rekommenderas normalt inte. I vissa situationer kanske den kortare modulen inte fungerar korrekt med IKE, så vi rekommenderar att du använder en minsta modul på 2048 bitar.

  Ytterligare begränsningar kan gälla när RSA-nycklar genereras av kryptografisk maskinvara. När RSA-nycklar till exempel genereras av Cisco VPN Services Port Adapter (VSPA) måste RSA-nyckelmodulen vara minst 384 bitar och måste vara flera på 64.

• Ange en lagringsplats för RSA-nycklar: När du utfärdar krypteringsnyckel genererar rsa kommandot med lagring avvika från : Nyckelord och argument, RSA-nycklarna kommer att lagras på den angivna enheten. Den här platsen ersätter alla lagring av krypteringsnycklar kommandoinställningar.

• Ange en enhet för RSA-nyckelgenerering: Du kan ange enheten där RSA-nycklarna genereras. Enheter som stöds inkluderar NVRAM, lokala diskar och USB-tokens. Om routern har en konfigurerad och tillgänglig USB-token kan USB-token användas som kryptografisk enhet utöver en lagringsenhet. Med hjälp av en USB-token som en kryptografisk enhet kan RSA-operationer som nyckelgenerering, signering och autentisering av inloggningsuppgifter utföras på token. Den privata nyckeln lämnar aldrig USB-token och kan inte exporteras. Den offentliga nyckeln kan exporteras.

  RSA-nycklar kan genereras på en konfigurerad och tillgänglig USB-token med hjälp av på avvika från : nyckelord och argument. Nycklar som finns på en USB-token sparas för permanent lagring av token när de genereras. Antalet nycklar som kan genereras på en USB-token begränsas av det tillgängliga utrymmet. Om du försöker generera nycklar på en USB-token och den är full får du följande meddelande:

  % Error in generating keys:no available resources 

  Om nyckeln tas bort tas nycklarna som finns lagrade på token bort från permanent lagring omedelbart. (Nycklar som inte finns på en token sparas till eller tas bort från nontokens lagringsplatser när kopiera eller liknande kommando utfärdas).

• Ange generering av RSA-nyckel-redundans på en enhet: Du kan endast ange redundans för befintliga nycklar om de kan exporteras.

För att autentisera certifikatutfärdaren (CA) (genom att hämta certifikatet från certifikatutfärdaren) använder du kryptopkiautentisera kommandot i globalt konfigurationsläge.

kryptopkiautentiseranamn

Standardkommando: Inga standardbeteenden eller värden.

Kommandoläge: Global konfiguration (konfiguration)

Riktlinjer för användning: Det här kommandot krävs när du initialt konfigurerar CA-stöd på din router.

Det här kommandot autentiserar CA till din router genom att erhålla det självsignerade certifikatet för CA som innehåller den offentliga nyckeln för CA. Eftersom CA signerar sitt eget certifikat bör du manuellt autentisera den offentliga nyckeln till CA genom att kontakta CA-administratören när du anger det här kommandot.

Om du använder routerannonser (RA) (med hjälp av registrering kommandot) när du utfärdar kryptering pki autentiseras kommando, sedan returneras registreringsmyndighetens signerings- och krypteringscertifikat från CA och CA-certifikatet.

Det här kommandot sparas inte i routerkonfigurationen. De offentliga nycklarna som är inbäddade i de mottagna CA-certifikaten (och RA-certifikaten) sparas i konfigurationen som en del av Rivest, Shamir och Adelman (RSA) public key record (kallas ”RSA public key chain”).

Om CA inte svarar efter en timeout efter att det här kommandot har utfärdats returneras terminalkontrollen så att den förblir tillgänglig. Om detta händer måste du ange kommandot igen. Cisco IOS-programvaran känner inte igen CA-certifikatets utgångsdatum efter år 2049. Om giltighetstiden för CA-certifikatet är inställd på att löpa ut efter år 2049 visas följande felmeddelande när autentisering med CA-servern försöker: fel vid hämtning av certifikat:ofullständig kedja Om du får ett felmeddelande liknande detta kontrollerar du utgångsdatumet för ditt CA-certifikat. Om utgångsdatumet för ditt CA-certifikat anges efter år 2049 måste du minska utgångsdatumet med ett år eller mer.

Om du vill importera ett certifikat manuellt via TFTP eller som klipp på terminalen använder du kryptopkiimportera kommando i globalt konfigurationsläge.

kryptopkiimporteranamncertifikat

Standardkommando: Inget standardbeteende eller värden

Kommandoläge: Global konfiguration (konfiguration)

Riktlinjer för användning: Du måste ange import av krypto pki kommando två gånger om användningsnycklar (signatur- och krypteringsnycklar) används. Första gången kommandot anges klistras ett av certifikaten in i routern. Andra gången kommandot anges klistras det andra certifikatet in i routern. (Det spelar ingen roll vilket certifikat som klistras in först.)

Om du vill förklara den förtroendepunkt som routern ska använda ska du använda kryptopkitrustpoint kommando i globalt konfigurationsläge. Om du vill ta bort all identitetsinformation och certifikat som är kopplade till trustpoint använder du Nej form av detta kommando.

kryptopkitrustpointnamnredundans

ingencryptopkitrustpointnamnredundans

Standardkommando: Din router känner inte igen några trustpoints förrän du deklarerar en trustpoint med det här kommandot. Din router använder unika identifierare under kommunikation med OCSP-servrar (Online Certificate Status Protocol), som konfigurerats i ditt nätverk.

Kommandoläge: Global konfiguration (konfiguration)

Riktlinjer för användning:

Deklaration av trustpoints

Använd kryptering pki Trustpoint kommando för att deklarera en trustpoint, som kan vara en självsignerad rotcertifikatutfärdare (CA) eller en underordnad CA. Utfärdande av kryptering pki Trustpoint Kommandot placerar dig i konfigurationsläge ca-trustpoint.

Du kan ange egenskaper för trustpoint med hjälp av följande underkommandon:

• crl– Frågar listan över certifikatåterkallande (CRL) för att säkerställa att peer-certifikatet inte har återkallats.

• standard(ca-trustpoint)– Återställer värdet för ca-trustpoint-konfigurationsläget till sina standardinställningar.

• registrering– Anger inskrivningsparametrar (valfritt).

• registreringhttp-proxy– Öppnar CA via HTTP via proxyservern.

• självsignerad inskrivning– Anger självsignerad inskrivning (valfritt).

• matchacertifikat– Associerar en certifikatbaserad åtkomstkontrolllista (ACL) som definieras med kryptocacertifikatkarta kommando.

• ocspinaktivera-nonce – Anger att din router inte kommer att skicka unika identifierare eller nonces under OCSP-kommunikation.

• primär– Tilldelar en viss betrodd punkt som den primära betrodda punkten för routern.

• rot– Definierar TFTP för att hämta CA-certifikatet och anger både ett namn på servern och ett namn på filen som ska lagra CA-certifikatet.

Ange användning av unika identifierare

När du använder OCSP som din återkallningsmetod skickas unika identifierare eller nonces som standard under peer-kommunikation med OCSP-servern. Användningen av unika identifierare under OCSP-serverkommunikation möjliggör säkrare och pålitligare kommunikation. Alla OCSP-servrar stöder dock inte användningen av unika denturer, se din OCSP-manual för mer information. Om du vill inaktivera användningen av unika identifierare under OCSP-kommunikation använder du ocsp inaktivera-nonce Underkommando.

Om du vill importera (hämta) certifikatpaketet för certifikatutfärdare (CA) manuellt till trustpoolen för public key infrastructure (PKI) för att uppdatera eller ersätta det befintliga CA-paketet använder du import av krypto pki trustpool kommando i globalt konfigurationsläge. Om du vill ta bort någon av de konfigurerade parametrarna använder du Nej form av detta kommando.

cryptopkitrustpoolimportclean [ terminal|urlurl ]

ingencryptopkitrustpoolimportclean [ terminal|urlurl ]

Standardkommando: PKI-trustpool-funktionen är aktiverad. Routern använder det inbyggda CA-certifikatpaketet i PKI-trustpoolen, som uppdateras automatiskt från Cisco.

Kommandoläge: Global konfiguration (konfiguration)

Säkerhetshot, liksom den kryptografiska tekniken för att hjälpa till att skydda mot dem, förändras ständigt. Mer information om de senaste Ciscos krypteringsrekommendationer finns i vitboken Nästa generations kryptering (NGE).

PKI-trustpool-certifikat uppdateras automatiskt från Cisco. När PKI-trustpool-certifikaten inte är aktuella ska du använda import av krypto pki trustpool kommando för att uppdatera dem från en annan plats.

Den url Argumentet anger eller ändrar URL-filsystemet för CA. Tabellen nedan visar tillgängliga URL-filsystem.

Tabell 3. URL-filsystem

Filsystem	Beskrivning
arkiv:	Importerar från arkivfilsystemet.
cns:	Importerar från filsystemet Cluster Namespace (CNS).
disk0:	Importerar från skivan0-filsystemet.
disk1:	Importerar från skiva1-filsystemet.
ftp:	Importerar från FTP-filsystemet.
http:	Importerar från HTTP-filsystemet. URL:en måste vara i följande format: http://CA-namn:80, där CA-namn är domännamnssystemet (DNS) http://ipv4-adress:80. Till exempel: http://10.10.10.1:80. http://[ipv6-adress]:80. Till exempel: http://[2001:DB8:1:1::1]:80. IPv6-adressen är i hexadecimal notation och måste vara inkapslad i parentes i URL:en.
https:	Importerar från HTTPS-filsystemet. URL:en måste använda samma format som HTTP: filsystemformat.
ogiltig:	Importerar från null-filsystemet.
nvram:	Import från NVRAM-filsystem.
pram:	Importerar från filsystemet Parameter Random-åtkomst Memory (PRAM).
rcp:	Importerar från fjärrkopieringsprotokollet (rcp).
scp:	Importerar från det säkra kopieringsprotokollet (scp)-filsystemet.
snmp:	Import från SNMP (Simple Network Management Protocol).
System:	Importerar från systemfilsystemet.
tjärnen:	Importer från UNIX tar-filsystemet.
tftp:	Importerar från TFTP-filsystemet.   URL:en måste vara i från: tftp://CA-namn/filspecifikation.
tmpsys:	Importerar från Cisco IOS tmpsys-filsystemet.
unix:	Importer från UNIX-filsystemet.
xmodem:	Import från det xmodem enkla protokollsystemet för filöverföring.
ymodem:	Import från det ymodem enkla protokollsystemet för filöverföring.

För att identifiera trustpointtrustpoint-namn nyckelord och argument som används under TLS-handskakningen (Transport Layer Security) som motsvarar fjärrenhetens adress, använd kryptosignalering kommando i konfigurationsläge för SIP-användaragent (UA). Så här återställer du till standard Trustpoint strängen, använd Nej form av detta kommando.

kryptosignalering{ standardDen här artikeln handlar om |Den här artikeln handlar om fjärraddr Den här artikeln handlar om ip-adress Den här artikeln handlar om delnätmask } [ tls-profil Den här artikeln handlar om tagg Den här artikeln handlar om |Den här artikeln handlar om trustpoint Den här artikeln handlar om trustpoint-namn ] [ nationell-san-validering Den här artikeln handlar om server] [ klient-vtp trustpoint-namn ] [ ecdsa-chiffer Den här artikeln handlar om |Den här artikeln handlar om kurvstorlek 384 Den här artikeln handlar om |Den här artikeln handlar om strängt krypteringssystem ]

nejDen här artikeln handlar om kryptosignalering{ standardDen här artikeln handlar om |Den här artikeln handlar om fjärraddr Den här artikeln handlar om ip-adress Den här artikeln handlar om delnätmask } [ tls-profil Den här artikeln handlar om tagg Den här artikeln handlar om |Den här artikeln handlar om trustpoint Den här artikeln handlar om trustpoint-namn ] [ nationell-san-validering Den här artikeln handlar om server] [ klient-vtp trustpoint-namn ] [ ecdsa-chiffer Den här artikeln handlar om |Den här artikeln handlar om kurvstorlek 384 Den här artikeln handlar om |Den här artikeln handlar om strängt krypteringssystem ]

Standardkommando: Kommandot för kryptosignalering är inaktiverat.

Kommandoläge: SIP UA-konfiguration (sip-ua)

Riktlinjer för användning: Den trustpointtrustpoint-namn nyckelord och argument avser det CUBE-certifikat som genereras som en del av registreringsprocessen med hjälp av Cisco IOS PKI-kommandon.

När ett enda certifikat har konfigurerats används det av alla fjärrenheter och konfigureras av Standard nyckelord.

När flera certifikat används kan de kopplas till fjärrtjänster som använder fjärraddr argument för varje trustpunkt. Den fjärraddr och standardargument kan användas tillsammans för att täcka alla tjänster efter behov.

Standardkoffersviten i det här fallet är följande uppsättning som stöds av SSL-lagret på CUBE: TLS_RSA_MED_RC4_128_MD5 TLS_RSA_MED_AES_128_CBC_SHA TLS_DHE_RSA_MED_AES_128_CBC_SHA1 TLS_ECDHE_RSA_MED_AES_128_GCM_SHA256 TLS_ECDHE_RSA_MED_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_MED_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_MED_AES_256_GCM_SHA384

Nyckelordet cn-san-validera server aktiverar serveridentitetsvalidering via CN- och SAN-fälten i certifikatet när SIP/TLS-anslutningar etableras på klientsidan. Validering av CN- och SAN-fälten i servercertifikatet säkerställer att serversidan är en giltig enhet. När du skapar en säker anslutning till en SIP-server validerar CUBE det konfigurerade måldomännamnet för sessionen mot CN/SAN-fälten i serverns certifikat innan en TLS-session upprättas. När du har konfigurerat cn-san-validera server, validering av serveridentiteten sker för varje ny TLS-anslutning.

Den tls-profil alternativet associerar de TLS-policykonfigurationer som gjorts via den associerade Profil för röstklass konfiguration. Förutom TLS-policyalternativen finns tillgängliga direkt med kryptosignalering kommando, en tls-profil omfattar även sni skicka alternativ.

sni skicka aktiverar Server Name Indication (SNI), en TLS-anknytning som gör det möjligt för en TLS-klient att ange namnet på servern som den försöker ansluta till under den första TLS-handskakningsprocessen. Endast det fullständigt kvalificerade DNS-värdnamnet för servern skickas i klienten hej. SNI stöder inte IPv4- och IPv6-adresser i klientens hello-anknytning. Efter att ha fått ett ”hej” med servernamnet från TLS-klienten använder servern lämpligt certifikat i efterföljande TLS-handskakning. SNI kräver TLS version 1.2.

TLS-policyfunktionerna kommer endast att vara tillgängliga via en Profil för röstklass konfiguration. Den kryptosignalering Kommandot fortsätter att stödja tidigare befintliga TLS-krypteringsalternativ. Du kan använda antingen röstklass tls-profiltagg eller kryptosignalering kommando för att konfigurera en trustpoint. Vi rekommenderar att du använder röstklass tls-profiltagg för att utföra TLS-profilkonfigurationer.