Kimlik doğrulama, yetkilendirme ve muhasebe (AAA) erişim kontrol modelini etkinleştirmek için aaa yeni model genel yapılandırma modunda komut. AAA erişim kontrol modelini devre dışı bırakmak için hayır bu komutun şeklidir.

aaa yeni model

hayır aaa yeni model

Bu komutta argüman ya da anahtar sözcük yok.

Komut Öntanımlı: AAA etkin değil.

Komut Kipi: Genel yapılandırma (yapılandırma)

Kullanım Talimatları: Bu komut, AAA erişim kontrol sistemini etkinleştirir.

Oturum açılırken kimlik doğrulama, yetkilendirme ve muhasebe (AAA) kimlik doğrulamasını ayarlamak için aaa kimlik doğrulama girişi genel yapılandırma modunda komut. AAA kimlik doğrulamasını devre dışı bırakmak için hayır bu komutun şeklidir.

aaa kimlik doğrulama oturum açma {varsayılan |liste-adı } method1 [method2...]

noaaa kimlik doğrulaması girişi {varsayılan |liste-adı } yöntem1 [yöntem2...]

Komut Öntanımlı: Oturum açarken AAA kimlik doğrulaması devre dışı bırakıldı.

Komut Kipi: Genel yapılandırma (yapılandırma)

Kullanım Talimatları: varsayılan anahtar sözcüğü ayarlanmamış, sadece yerel kullanıcı veritabanı işaretli. Bu, aşağıdaki komutla aynı etkiye sahiptir:

aaa authentication login default local

Konsolda, herhangi bir kimlik doğrulama kontrolü olmadan giriş başarılı olur varsayılan anahtar sözcüğü ayarlanmamış.

ile oluşturduğunuz varsayılan ve isteğe bağlı liste adları aaa kimlik doğrulama girişi komutu ile birlikte kullanılır. oturum açma kimlik doğrulama komutunu verin.

şirketini girerek bir liste oluşturun aaa kimlik doğrulama girişi Belirli bir protokol için list- name method komutu. Liste adı argümanı, bir kullanıcı oturum açtığında etkinleştirilen kimlik doğrulama yöntemlerinin listesini adlandırmak için kullanılan karakter dizisidir. Yöntem argümanı, kimlik doğrulama algoritmasının, verilen dizide denediği yöntemlerin listesini tanımlar. “Liste-adı argümanı için kullanılamayan Kimlik Doğrulama Yöntemleri” bölümünde, liste-adı argümanı için kullanılamayan kimlik doğrulama yöntemlerini listeler ve aşağıdaki tabloda yöntem anahtar sözcükleri açıklanmaktadır.

Bir hatta liste atanmamışsa kullanılan varsayılan liste oluşturmak için oturum açma kimlik doğrulama Varsayılan durumlarda kullanmak istediğiniz yöntemleri takip eden varsayılan argüman ile komut.

Kullanıcı kimlik bilgilerinin kimliğini doğrulamak için yalnızca bir kez parola istenir ve bağlantı sorunları nedeniyle hatalarda ek kimlik doğrulama yöntemleri aracılığıyla birden fazla yeniden deneme yapılabilir. Ancak, bir sonraki kimlik doğrulama yöntemine geçiş, yalnızca önceki yöntemde başarısız olursa değil hata döndürülürse gerçekleşir. Tüm yöntemlerde bir hata döndürse bile kimlik doğrulamasının başarılı olmasını sağlamak için şunu belirtin: hiçbiri komut satırında son yöntem olarak.

Bir hat için kimlik doğrulama özel olarak ayarlanmamışsa, varsayılan değer erişimi reddetmektir ve kimlik doğrulaması gerçekleştirilmez. kullanarak daha fazla sistem:running-config şu anda yapılandırılmış kimlik doğrulama yöntemleri listelerini görüntüleme komutu

Liste adı Argümanı için kullanılamayan kimlik doğrulama Yöntemleri

Liste adı argümanı için kullanılamayan kimlik doğrulama yöntemleri şunlardır:

• kimlik doğrulama konuğu

• etkinleştirmek

• konuk

• kimliği doğrulanmış

• gerekirse

• krb5'nın sohbeti

• krb örneği

• krb-telnet'ı

• çizgi

• yerel

• hiçbiri

• yarıçap

• rcmd'nın

• tacaklamalar

• tacacsplus'ın

Aşağıdaki tabloda, grup yarıçapı, grup tacacs +, grup ldap ve grup grubu adı yöntemleri önceden tanımlanmış bir RADIUS veya TACACS + sunucuları kümesine atıfta bulunur. Ana bilgisayar sunucularını yapılandırmak için radius-sunucu ana bilgisayar ve tacacs-sunucu ana bilgisayar komutlarını kullanın. Adlandırılmış bir sunucu grubu oluşturmak için aaa grubu sunucusu yarıçapı, aaa grubu sunucusu ldap ve aaa grubu sunucusu tacacs+ komutlarını kullanın.

Aşağıdaki tabloda yöntem anahtar sözcükleri açıklanmaktadır.

Anahtar sözcük	Açıklama
önbellek grubu adı	Kimlik doğrulaması için bir önbellek sunucusu grubu kullanır.
etkinleştirmek	Kimlik doğrulaması için etkinleştirme parolasını kullanır. Bu anahtar sözcük kullanılamaz.
grup grup adı	tarafından tanımlandığı şekilde kimlik doğrulaması için RADIUS veya TACACS+ sunucu alt kümesini kullanır aaa grup sunucusu yarıçapı ya da aaa grup server tacagları+ komutunu verin.
grupldap	Kimlik doğrulaması için tüm Basit Dizin Erişim Protokolü (LDAP) sunucularının listesini kullanır.
grupyarıçapı	Kimlik doğrulaması için tüm RADIUS sunucularının listesini kullanır.
grupişlemleri+	Kimlik doğrulaması için tüm TACACS+ sunucularının listesini kullanır.
krb5'nın sohbeti	Kimlik doğrulama için Kerberos 5'i kullanır.
krb5-telnet	Yönlendiriciye bağlanmak için Telnet kullanırken Kerberos 5 Telnet kimlik doğrulama protokolünü kullanır.
çizgi	Kimlik doğrulaması için hat parolasını kullanır.
yerel	Kimlik doğrulaması için yerel kullanıcı adı veritabanını kullanır.
yerel-durum	Yerel kullanıcı adı kimlik doğrulamasını büyük/küçük harfe duyarlı kullanır.
hiçbiri	Kimlik doğrulama kullanmıyor.
parola sonu	Yerel kimlik doğrulama listesinde parolanın yaşlanmasını etkinleştirir.   Paragrafların radius-sunucusu vsa kimlik doğrulaması gönderme yapmak için komut gereklidir. parola sonu anahtar kelime çalışması.

Bir ağa kullanıcı erişimini kısıtlayan parametreleri ayarlamak için aaa yetki genel yapılandırma modunda komut. Parametreleri kaldırmak için düğmesine basın hayır bu komutun şeklidir.

aaa aaayetkilendirme { kimlik doğrulama-proxy|önbellek|komutlardüzey |yapılandırma-komutları|yapılandırma|uç|yönet|ipmobile'nın|çok noktaya yayın|ağ|politika-eğer|ön ödemeli|yarıçap-proxy|ters erişim|abone-hizmeti|şablon} {{}}varsayılan|liste adı } […]yöntem1 […]yöntem2.… [Türkçe]

hayıraaa aaayetkilendirme { kimlik doğrulama-proxy|önbellek|komutlardüzey |yapılandırma-komutları|yapılandırma|uç|yönet|ipmobile'nın|çok noktaya yayın|ağ|politika-eğer|ön ödemeli|yarıçap-proxy|ters erişim|abone-hizmeti|şablon} {{}}varsayılan|liste adı } […]yöntem1 […]yöntem2.… [Türkçe]

Komut Öntanımlı: Yetkilendirme tüm eylemler için devre dışı bırakıldı (yöntem anahtar sözcüğüne eşdeğer ).

Komut Kipi: Genel yapılandırma (yapılandırma)

Kullanım Talimatları: Yetkilendirmeyi etkinleştirmek ve bir kullanıcı belirtilen işleve eriştiğinde kullanılabilecek yetkilendirme yöntemlerini tanımlayan adlandırılmış yöntem listeleri oluşturmak için aaa yetkilendirme komutunu kullanın. Yetkilendirme için yöntem listeleri, yetkilendirmenin hangi yöntemlerle gerçekleştirileceğini ve bu yöntemlerin hangi sırayla gerçekleştirileceğini tanımlar. Yöntem listesi, sırayla kullanılması gereken yetkilendirme yöntemlerini (RADIUS veya TACACS+ gibi) açıklayan adlandırılmış bir listedir. Yöntem listeleri, yetkilendirme için kullanılacak bir veya daha fazla güvenlik protokolü belirlemenizi sağlar ve böylece ilk yöntemin başarısız olması durumunda bir yedekleme sistemi sağlar. Cisco IOS yazılımı, kullanıcıları belirli ağ hizmetleri için yetkilendirmek için listelenen ilk yöntemi kullanır; bu yöntem yanıt vermezse, Cisco IOS yazılımı yöntem listesinde listelenen bir sonraki yöntemi seçer. Bu süreç, listelenen bir yetkilendirme yöntemi ile başarılı iletişim sağlanana veya tanımlanan tüm yöntemler tükenene kadar devam eder.

Cisco IOS yazılımı, yalnızca önceki yöntemden yanıt alınmadığında bir sonraki listelenen yöntemle yetkilendirmeyi dener. Bu döngüdeki herhangi bir noktada yetkilendirme başarısız olursa - yani güvenlik sunucusu veya yerel kullanıcı adı veritabanı kullanıcı hizmetlerini reddederek yanıt verir - yetkilendirme işlemi durur ve başka yetkilendirme yöntemleri denenmez.

Belirli bir yetkilendirme türü için aaa yetkilendirme komutu, belirli bir adlandırılmış yöntem listesi olmadan verilirse, varsayılan yöntem listesi, özel olarak tanımlanmış bir yöntem listesine sahip olanlar hariç tüm arayüzlere veya satırlara (bu yetkilendirme türünün uygulandığı durumlarda) otomatik olarak uygulanır. (Tanımlı bir yöntem listesi, varsayılan yöntem listesini geçersiz kılar.) Varsayılan yöntem listesi tanımlanmazsa yetkilendirme yapılmaz. Varsayılan yetkilendirme yöntemi listesi, RADIUS sunucusundan IP havuzlarının indirilmesine izin vermek gibi giden yetkilendirme gerçekleştirmek için kullanılmalıdır.

aaa yetkilendirme komutunu kullanarak liste adı ve yöntem argümanlarının değerlerini girerek liste oluşturmak için kullanın. Burada liste adı, bu listeyi adlandırmak için kullanılan herhangi bir karakter dizesi (tüm yöntem adları hariç) ve yöntem, verilen dizide denenen yetkilendirme yöntemlerinin listesini tanımlar.

aaa yetkilendirme komutu 13 ayrı yöntem listesini destekler. Örnek:

aaa yetkilendirme yapılandırma yöntemlistesi1 grup yarıçapı

aaa yetkilendirme yapılandırma metodlistesi2 grup yarıçapı

...

aaa yetkilendirme yapılandırma metodlistesi13 grup yarıçapı

Aşağıdaki tabloda, grup grubu adı, grup ldap, grup yarıçapı ve grup tacacs + yöntemleri önceden tanımlanmış bir RADIUS veya TACACS + sunucuları kümesine atıfta bulunur. Ana bilgisayar sunucularını yapılandırmak için radius-sunucu ana bilgisayar ve tacacs-sunucu ana bilgisayar komutlarını kullanın. Adlandırılmış bir sunucu grubu oluşturmak için aaa grup sunucusu yarıçapı, aaa grup sunucusu ldap ve aaa grup sunucusu tacacs+ komutlarını kullanın.

Cisco IOS yazılımı yetkilendirme için aşağıdaki yöntemleri destekler:

• Önbellek Sunucusu Grupları - Yönlendirici, kullanıcıların belirli haklarını yetkilendirmek için önbellek sunucusu gruplarına danışır.

• Kimliği Doğrulanmışsa --Kullanıcının kimliği başarıyla doğrulanmışsa kullanıcının istenen işleve erişmesine izin verilir.

• Yerel --Yönlendirici veya erişim sunucusu, kullanıcı adı komutunda tanımlanan yerel veritabanına danışır ve kullanıcılara özel hakları yetkilendirir. Sadece sınırlı sayıda fonksiyon yerel veritabanı aracılığıyla kontrol edilebilir.

• Yok -- Ağ erişim sunucusu yetkilendirme bilgileri talep etmez; yetkilendirme bu hat veya arayüz üzerinden gerçekleştirilmez.

• RADIUS --Ağ erişim sunucusu, RADIUS güvenlik sunucusu grubundan yetkilendirme bilgileri ister. RADIUS yetkilendirmesi, RADIUS sunucusundaki bir veritabanında uygun kullanıcı ile depolanan öznitelikleri ilişkilendirerek kullanıcılar için özel hakları tanımlar.

• TACACS+ --Ağ erişim sunucusu yetkilendirme bilgilerini TACACS+ güvenlik daemon ile değiştirir. TACACS+ yetkilendirmesi, TACACS+ güvenlik sunucusundaki bir veritabanında depolanan öznitelik değeri (AV) çiftlerini uygun kullanıcıyla ilişkilendirerek kullanıcılar için özel hakları tanımlar.

VoIP ağındaki belirli uç nokta türleri arasında bağlantılara izin vermek için izin ver-bağlantılar ses hizmeti yapılandırma modunda komut. Belirli bağlantı türlerini reddetmek için hayır bu komutun şeklidir.

tiptentipe-bağlantı

tiptentürünebağlantı yok

Komut Öntanımlı: SIP'den SIP'ye bağlantılar varsayılan olarak devre dışıdır.

Komut Kipi: Ses hizmeti yapılandırması (config-voi-serv)

Kullanım Talimatları: Bu komut, Cisco çoklu hizmet IP'den IP'ye ağ geçidinde belirli uç noktaları arasında bağlantılara izin vermek için kullanılır. Komut varsayılan olarak etkindir ve değiştirilemez.

Ses kayıt dn'sinde herhangi bir yere '#' eklenmesine izin vermek için dn'ye izin ver sesli kayıt genel modunda komut. Bunu devre dışı bırakmak için simgesini kullanın hayır bu komutun şeklidir.

izin-verilen-özet-dn

izin-hash-in-dn

Komut Öntanımlı: Komut, varsayılan olarak devre dışıdır.

Komut Kipi: voice register global yapılandırması (config-register-global)

Kullanım Talimatları: Bu komut sunulmadan önce, ses kaydı dn'sinde desteklenen karakterler 0-9, + ve * idi. Yeni komut, kullanıcının sesli kayıt dn'sinde # eklemesi gerektiğinde etkinleştirilir. Komut, varsayılan olarak devre dışıdır. Bu komutu yalnızca Cisco Unified SRST ve Cisco Unified E-SRST modlarında yapılandırabilirsiniz. Karakter #, ses kaydı dn'sinde herhangi bir yere eklenebilir. Bu komut etkinleştirildiğinde kullanıcıların kullanılarak varsayılan sonlandırma karakterini (#) başka geçerli karakterle değiştirmeleri gerekir. çağrı eşi sonlandırıcısı yapılandırma modu altında komut.

Yedeklilik uygulaması yapılandırma moduna girmek için uygulama artıklığı yedeklilik yapılandırma modunda komut.

uygulamaartıklığı

Bu komutta argüman ya da anahtar sözcük yok.

Komut Öntanımlı: Hiçbiri

Komut Kipi: Yedeklilik yapılandırması (yapılandırma- kırmızı)

Kullanım Talimatları: Bunu kullan uygulama artıklığı yüksek kullanılabilirlik için uygulama yedekliliğini yapılandırmak için komut.

Bir uygulama için varsayılan ağ geçidini ayarlamak üzere uygulama varsayılan-ağ geçidi uygulama barındırma yapılandırma modunda komut. Varsayılan gatway'i kaldırmak için hayır bu komutun şeklidir.

uygulama-varsayılan-ağ geçidi [ip-adresikonuk-arabirimiağ-arabirim-numarası]

no app-default-gateway [ip-adresikonuk-arabirimiağ-arabirimi-numarası]

Komut Öntanımlı: Varsayılan ağ geçidi yapılandırılmamış.

Komut Kipi: Uygulama barındırma yapılandırması (config-app-hosting)

Kullanım Talimatları: kullanarak uygulama varsayılan-ağ geçidi komut, bir uygulama için varsayılan ağ geçidini ayarlamak üzere. Ağ geçidi bağlayıcıları, Cisco IOS XE GuestShell kapsayıcısında yüklü uygulamalardır.

Bir uygulama yapılandırmak ve uygulama barındırma yapılandırma moduna girmek için uygulama barındırma appid genel yapılandırma modunda komut. Uygulamayı kaldırmak için simgesini kullanın hayır bu komutun şeklidir.

app hosting appiduygulama-adı

Komut Öntanımlı: Yapılandırılmış uygulama yok.

Komut Kipi: Genel yapılandırma (yapılandırma)

Kullanım Yönergeleri:Uygulama adı argümanı en fazla 32 alfasayısal karakter olabilir.

Bu komutu yapılandırdıktan sonra uygulama barındırma yapılandırmasını güncelleyebilirsiniz.

Uygulama tarafından sağlanan kaynak profilini geçersiz kılmak için uygulama profili uygulama barındırma yapılandırma modunda komut. Uygulamada belirtilen kaynak profiline geri dönmek için hayır bu komutun şeklidir.

app-resoure profiliprofil-adı

uygulamaprofiliprofil-adı yok

Komut Öntanımlı: Kaynak profili yapılandırıldı.

Komut Kipi: Uygulama barındırma yapılandırması (config-app-hosting)

Kullanım Talimatları: Uygulama paketinde belirtilen ayrılmış kaynaklar, özel bir kaynak profili ayarlanarak değiştirilebilir. Yalnızca CPU, bellek ve sanal CPU (vCPU) kaynakları değiştirilebilir. Kaynak değişikliklerinin etkili olması için uygulamayı durdurup devre dışı bırakın, ardından etkinleştirin ve tekrar başlatın.

Yalnızca özel profil desteklenir.

Komut, özel uygulama kaynak profilini yapılandırır ve özel uygulama kaynak profili yapılandırma modu girer.

Bir uygulama için sanal ağ arabirimi ağ geçidini yapılandırmak için uygulama-vnic ağ geçidi uygulama barındırma yapılandırma modunda komut. Yapılandırmayı kaldırmak için simgesini kullanın hayır bu komutun şeklidir.

Bu komut yalnızca yönlendirme platformlarında desteklenir. Anahtarlama platformlarında desteklenmez.

app-vnic ağ geçidivirtualportgroupnumarasıkonuk arabirimiağ-arabirimi-numarası

noapp-vnic ağ geçidivirtualportgroupnumarasıkonuk-arabirimiağ-arabirimi-numarası

Komut Öntanımlı: Sanal ağ ağ geçidi yapılandırılmamış.

Komut Kipi: Uygulama barındırma yapılandırması (config-app-hosting)

Kullanım Talimatları: Bir uygulama için sanal ağ arabirimi ağ geçidini yapılandırdıktan sonra, komut modu uygulama barındırma ağ geçidi yapılandırma moduna geçer. Bu modda, konuk arabiriminin IP adresini yapılandırabilirsiniz.

Gelen Oturum Başlatma Protokolü (SIP) isteklerinde veya yanıt mesajlarında onaylanan kimlik üstbilgisi desteğini etkinleştirmek ve giden SIP isteklerinde veya yanıt mesajlarında onaylanan kimlik gizlilik bilgilerini göndermek için onaylanan kimlik ses hizmeti VoIP-SIP yapılandırma modunda veya ses sınıfı kiracı yapılandırma modunda komut. Onaylanan kimlik üstbilgisi desteğini devre dışı bırakmak için simgesini kullanın hayır bu komutun şeklidir.

onaylanan-id { pai|ppi } sistemi

hayıronaylanan-id { Pai'nın|üyenin } sistem

Komut Öntanımlı: Gizlilik bilgileri, Uzak Taraf Kimliği (RPID) üstbilgisi veya GÖNDEREN üstbilgisi kullanılarak gönderilir.

Komut Kipi: Ses hizmeti VoIP-SIP yapılandırması (conf-serv-sip) ve Ses sınıfı kiracı yapılandırması (yapılandırma sınıfı)

Kullanım Talimatları: şirketini seçerseniz Pai'nın anahtar sözcüğü veya üfe anahtar kelime, ağ geçidi sırasıyla PAI üstbilgisini veya PPI üstbilgisini ortak SIP yığınına oluşturur. Paragrafların Pai'nın anahtar sözcüğü veya üfe anahtar sözcüğü, Uzak Taraf Kimliği (RPID) üstbilgisine göre önceliğe sahiptir ve yönlendirici RPID üstbilgisini küresel düzeyde kullanmak üzere yapılandırılmış olsa bile giden mesajdan kaldırır.

Oturum Başlatma Protokolü (SIP) asimetrik yük desteğini yapılandırmak için asimetrik yük SIP yapılandırma modunda veya ses sınıfı kiracı yapılandırma modunda komut. Asimetrik yük desteğini devre dışı bırakmak için hayır bu komutun şeklidir.

asimetrikyük { dtmf |dinamik-codec |tam |sistem }

asimetrikyük { dtmf |dinamik-codec |tam |sistem }

Komut Öntanımlı: Bu komut devre dışı bırakıldı.

Komut Kipi: Ses hizmeti SIP yapılandırması (conf-serv-sip), Ses sınıfı kiracı yapılandırması (yapılandırma sınıfı)

Kullanım Talimatları: Örnekte gösterildiği gibi ses hizmeti yapılandırma modundan SIP yapılandırma modunu girin.

Cisco UBE için ses/video codec'leri, DTMF ve NSE için SIP asimetrik yük türü desteklenir. Bu nedenle, dtmf ve dinamik codec'ler anahtar sözcükler dahili olarak eşleştirilir tam Ses/video codec'leri, DTMF ve NSE için asimetrik yük türü desteği sağlamak için anahtar sözcük.

Tek bir arama eşinde SIP özet kimlik doğrulamasını etkinleştirmek için kimlik doğrulama arama eşi sesi yapılandırma modunda komut. SIP özet kimlik doğrulamasını devre dışı bırakmak için hayır bu komutun şeklidir.

authenticationusernameusernamepassword { 0|6|7 } password [realmrealm|challenge|all ]

nodoğrulamakullanıcı adıkullanıcı adıparola { 0|6|7 } password [realmrealm|challenge|all ]

Komut Öntanımlı: SIP özet kimlik doğrulaması devre dışı bırakıldı.

Komut Kipi: Çağrı eş ses yapılandırması (config-dial-peer)

Kullanım Talimatları: Özet kimlik doğrulaması etkinleştirilirken aşağıdaki yapılandırma kuralları uygulanabilir:

• Çağrı eşi başına yalnızca bir kullanıcı adı yapılandırılabilir. Farklı bir kullanıcı adı yapılandırılmadan önce mevcut kullanıcı adı yapılandırması kaldırılmalıdır.

• En fazla beş parola ya da erişim alanı argümanlar herhangi bir kullanıcı adı için yapılandırılabilir.

Paragrafların kullanıcı adı ve parola argümanlar bir kullanıcının kimliğini doğrulamak için kullanılır. 407/401 sınama yanıtını veren kimlik doğrulaması yapan sunucu/proxy, sınama yanıtında bir bölge içerir ve kullanıcı, bu bölge için geçerli olan kimlik bilgilerini sağlar. Sinyalleme yolundaki en fazla beş proxy sunucusunun, bir kullanıcı-aracısı istemcisinden (UAC) bir kullanıcı-aracısı sunucusuna (UAS) belirli bir isteğin kimliğini doğrulamaya çalışabileceği varsayıldığından, kullanıcı yapılandırılmış bir kullanıcı adı için en fazla beş parola ve bölge kombinasyonu yapılandırabilir.

Kullanıcı parolayı düz metin olarak sağlar, ancak şifrelenir ve 401 sınama yanıtı için kaydedilir. Parola şifreli biçimde kaydedilmezse önemsiz bir parola gönderilir ve kimlik doğrulama başarısız olur.

• Bölge belirtimi isteğe bağlıdır. Bu kullanıcı adı için yapılandırılan parola, kimlik doğrulamaya çalışan tüm alemler için geçerlidir.

• Yapılandırılan tüm alanlar için aynı anda yalnızca bir parola yapılandırılabilir. Yeni bir parola yapılandırılmışsa daha önce yapılandırılmış parolanın üzerine yazar.

Bu, yalnızca bir genel parolanın (belirli bir bölge olmadan bir) yapılandırılabileceği anlamına gelir. Ilgili bir bölge yapılandırmadan yeni bir parola yapılandırırsanız, yeni parola öncekinin üzerine yazar.

• Bir bölge, daha önce yapılandırılmış bir kullanıcı adı ve parola için yapılandırılmışsa bu bölge belirtimi, mevcut kullanıcı adı ve parola yapılandırmasına eklenir. Bununla birlikte, kullanıcı adı ve parola yapılandırmasına bir bölge eklendiğinde, söz konusu kullanıcı adı ve parola kombinasyonu yalnızca bu bölge için geçerlidir. Yapılandırılmış bir bölge, önce bu kullanıcı adı ve parola yapılandırmasının tamamını kaldırmadan kullanıcı adı ve parola yapılandırmasından kaldırılamaz; daha sonra bu kullanıcı adı ve parola kombinasyonunu farklı bir bölgeyle veya bölgesiz yeniden yapılandırabilirsiniz.

• Hem parola hem de erişim alanına sahip bir girişte, parolayı veya erişim alanını değiştirebilirsiniz.

• kullanarak tümü kimlik doğrulama yok Kullanıcının tüm kimlik doğrulama girdilerini kaldırmak için komut.

Parola için şifreleme türünü belirtmek zorunludur. Açık bir metin parolası varsa (tür 0) yapılandırılır, türü olarak şifrelenir 6 çalıştırılan yapılandırmaya kaydetmeden önce.

Şifreleme türünü olarak belirtirseniz 6 ya da 7, girilen parola geçerli bir tür ile karşılaştırıldı 6 ya da 7 parola biçimi ve türü olarak kaydedildi 6 ya da 7 sırasıyla.

Tip-6 parolalar, AES şifresi ve kullanıcı tanımlı bir birincil anahtar kullanılarak şifrelenir. Bu parolalar nispeten daha güvenlidir. Birincil anahtar yapılandırmada asla görüntülenmez. Birincil anahtar bilgisi olmadan, yazın 6 parolalar kullanılamaz. Birincil anahtar değiştirilirse, tür 6 olarak kaydedilen parola yeni birincil anahtarla yeniden şifrelenir. Birincil anahtar yapılandırması kaldırılırsa türü 6 parolaların şifresi çözülemez ve bu durum, çağrılar ve kayıtlar için kimlik doğrulama hatasına neden olabilir.

Bir yapılandırmayı yedeklerken veya yapılandırmayı başka bir cihaza geçirirken, birincil anahtar terk edilmez. Bu nedenle, birincil anahtar yeniden manuel olarak yapılandırılmalıdır.

Şifreli bir ön plan anahtarı yapılandırmak için bkz. Şifreli Ön Plan Anahtarı Yapılandırma.

Şifreleme türü olduğunda aşağıdaki uyarı mesajı görüntülenir 7 yapılandırılır. Uyarı: Komut, tür 7 parolası kullanılarak yapılandırmaya eklenmiştir. Ancak, tip 7 parolalar yakında kullanımdan kaldırılacaktır. Desteklenen bir parola türü 6'ya geçin.

Sinyal ve ortam paketleri için kaynak adresini belirli bir arayüzün IPv4 veya IPv6 adresine bağlamak için bağlama SIP yapılandırma modunda komut. Bağlamayı devre dışı bırakmak için simgesini kullanın hayır bu komutun şeklidir.

bind { control|media|all } kaynak arayüzüarayüz-id { ipv4-adresiipv4-adresi|ipv6-adresiipv6-adresi }

nobind { control|media|all } kaynak-arayüzüarayüz-id { ipv4-adresiipv4-adresi|ipv6-adresiipv6-adresi }

Komut Öntanımlı: Bağlama devre dışı bırakıldı.

Komut Kipi: SIP yapılandırması (conf-serv-sip) ve Ses sınıfı kiracısı.

Kullanım Talimatları: Async, Ethernet, FastEthernet, Loopback ve Serial (Frame Relay dahil) SIP uygulamasındaki arabirimlerdir.

bağlama komutu etkin değil, IPv4 katmanı hala en iyi yerel adresi sağlar.

Çağrı-Ev için temel yapılandırmaları etkinleştirmek üzere ev çağrı raporlama genel yapılandırma modunda komut.

çağrı ev raporlama { anonim |contact-email-addr } [ http-proxy { ipv4-adresi |ipv6-adresi |name } port port-numarası ]

Komut Öntanımlı: Varsayılan davranış ya da değer yok

Komut Kipi: Genel yapılandırma (yapılandırma)

Kullanım Talimatları: kullanılarak anonim veya tam kayıt modunda Ev Arama başarıyla etkinleştirildikten sonra ev çağrı raporlama komutu, bir envanter mesajı gönderilir. Ev Arama tam kayıt modunda etkinleştirilmişse, tam kayıt modu için tam envanter mesajı gönderilir. Ev Arama anonim modda etkinleştirilmişse anonim bir envanter mesajı gönderilir. Mesaj ayrıntıları hakkında daha fazla bilgi için bkz. Uyarı Grubu Tetikleme Olayları ve Komutları.

Cisco Unified SRST desteğini etkinleştirmek ve arama yöneticisi-geri dönüş yapılandırma modunu girmek için şunu kullanın: çağrı-yöneticisi-geri dönüş genel yapılandırma modunda komut. Cisco Unified SRST desteğini devre dışı bırakmak için hayır bu komutun şeklidir.

çağrı-yöneticisi-geri dönüş

çağrı-yöneticisi-geri dönüş yok

Bu komutta argüman ya da anahtar sözcük yok.

Komut Öntanımlı: Varsayılan davranış veya değer yok.

Komut Kipi: Genel yapılandırma

TLS el sıkışması sırasında bir eş sertifikanın sunucu, istemci veya çift yönlü kimlik doğrulamasını etkinleştirmek için komutunu kullanın cn-san doğrulama ses sınıfı tls profili yapılandırma modunda. Sertifika kimliği doğrulamasını devre dışı bırakmak için seçeneğini kullanın hayır bu komutun şeklidir.

cn-sanvalidate { sunucu|istemci|çift yönlü }

nocn-sandoğrulama { sunucu|istemcisi|çift yönlü }

Komut Öntanımlı: Kimlik doğrulama devre dışı bırakıldı.

Komut Kipi: Ses sınıfı yapılandırması (yapılandırma sınıfı)

Kullanım Talimatları: Sunucu kimliği doğrulaması, küresel aracılığıyla güvenli bir sinyal bağlantısıyla ilişkilendirilir şifreleme sinyali ve ses sınıfı tls profili yapılandırmaları.

Komut dosyasını içerecek şekilde geliştirilmiştir istemci ve çift yönlü anahtar kelimeler. Istemci seçeneği, bir sunucunun sağlanan sertifikada bulunan CN ve SAN ana bilgisayar adlarını güvenilir bir cn-san FQDN listesine karşı kontrol ederek istemcinin kimliğini doğrulamasına olanak tanır. Bağlantı sadece bir eşleşme bulunursa kurulacak. Bu cn-san FQDN'leri listesi, artık oturum hedef ana bilgisayar adına ek olarak bir sunucu sertifikasını doğrulamak için de kullanılmaktadır. Paragrafların çift yönlü seçenek, her ikisini de birleştirerek hem istemci hem de sunucu bağlantıları için eş kimliğini doğrular sunucu ve istemci modları. yapılandırdıktan sonra cn-san doğrulama, her yeni TLS bağlantısı için eş sertifikanın kimliği doğrulanır.

Gelen veya giden TLS bağlantıları için eş sertifikayı doğrulamak üzere Tam Etki Alanı Adı (FQDN) adı listesini yapılandırmak için cn-san'ın ses sınıfı tls profili yapılandırma modunda komut. cn-san sertifika doğrulama girişini silmek için hayır bu komutun şeklidir.

cn-san{1-10}fqdn

cn-san{1-10}fqdn

Komut Öntanımlı: Hiçbir cn- san adı yapılandırılmadı.

Komut Kipi: Ses sınıfı tls profili yapılandırma modu (yapılandırma sınıfı)

Kullanım Talimatları: Eş sertifika doğrulaması için kullanılan FQDN, on adede kadar olan bir TLS profiline atanır cn-san'ın girişler. TLS bağlantısı kurulmadan önce bu girişlerden en az biri, sertifika Ortak Ad (CN) veya Konu-Alternatif-Ad (SAN) alanlarındaki bir FQDN ile eşleştirilmelidir. Bir CN veya SAN alanında kullanılan herhangi bir etki alanı ana bilgisayarını eşleştirmek için bir cn-san'ın girişi, bir etki alanı joker kartıyla, kesinlikle *.domain-name (ör. *.cisco.com) biçiminde yapılandırılabilir. Başka joker karakter kullanımına izin verilmez.

Gelen bağlantılar için liste, istemci sertifikasındaki CN ve SAN alanlarını doğrulamak için kullanılır. Giden bağlantılar için liste, sunucu sertifikasındaki CN ve SAN alanlarını doğrulamak için oturum hedefi ana bilgisayar adıyla birlikte kullanılır.

Sunucu sertifikaları, SIP oturum hedefi FQDN'si CN veya SAN alanıyla eşleştirilerek de doğrulanabilir.

Arama eşinde kullanmak üzere tercih edilen codec'lerin bir listesini belirtmek için codec'i tercih ses sınıfı yapılandırma modunda komut. Bu işlevi devre dışı bırakmak için simgesini kullanın hayır bu komutun şeklidir.

codectercihdeğericodec türü

codectercihdeğericodec tipi yok

Komut Öntanımlı: Bu komut girilmezse, tercih ile belirli codec türleri tanımlanmaz.

Komut Kipi: ses sınıfı yapılandırması (yapılandırma sınıfı)

Kullanım Talimatları: WAN'ın zıt uçlarındaki yönlendiriciler, ağ arama eşleri için codec seçimi anlaşması yapmak zorunda kalabilir. Paragrafların codec'i tercih komutu, bağlantı için anlaşmalı bir codec'i seçme konusunda tercih sırasını belirtir. Aşağıdaki tabloda, codec'ler ve paket ses protokolleri için ses yükü seçenekleri ve varsayılan değerler açıklanmaktadır.

UDP üzerinden istek göndermek için genel dinleyici bağlantı noktasını kullanmak için bağlantı yeniden kullanım sip-ua modunda veya ses sınıfı kiracı yapılandırma modunda komut. Devre dışı bırakmak için kullanın hayır bu komutun şeklidir.

bağlantı yeniden kullanımı { bağlantı noktası |sistemi }

bağlantıyeniden kullanımı yok { bağlantı noktası |sistemi }

Komut Öntanımlı: Yerel Ağ Geçidi, UDP üzerinden istek göndermek için geçici bir UDP bağlantı noktası kullanır.

Komut Kipleri: SIP UA yapılandırması (config-sip-ua), ses sınıfı kiracı yapılandırması (config-sınıfı)

Kullanım Talimatları: Bu komutun yürütülmesi, UDP üzerinden istek göndermek için dinleyici bağlantı noktasını etkinleştirir. Normal güvenli olmayan SIP için varsayılan dinleyici bağlantı noktası 5060'tır ve güvenli SIP 5061'dir. Yapılandır Genel UDP bağlantı noktasını değiştirmek için ses hizmeti voip > sip yapılandırma modunda dinleme bağlantı noktası [non-secure | secure]bağlantı noktası komutu.

Bir uygulama için tahsis edilen CPU kotasını veya birimini değiştirmek için işlemci özel uygulama kaynak profili yapılandırma modunda komut. Uygulamanın sağladığı CPU kotasına geri dönmek için şunu kullanın: hayır bu komutun şeklidir.

işlemcibirimi

işlemciünitesiyok

Komut Öntanımlı: Varsayılan CPU platforma bağlıdır.

Komut Kipi: Özel uygulama kaynak profili yapılandırması (config-app-resource-profile-custom)

Kullanım Talimatları: Bir CPU birimi, uygulama tarafından verilen minimum CPU tahsisidir. Toplam CPU birimleri, hedef cihaz için ölçülen normalize edilmiş CPU birimlerini temel alır.

Her uygulama paketinde, uygulama için önerilen CPU yükünü, bellek boyutunu ve sanal CPU (vCPU) sayısını tanımlayan uygulamaya özel bir kaynak profili sağlanır. Özel kaynak profilinde belirli süreçler için kaynak tahsisini değiştirmek için bu komutu kullanın.

Uygulama paketinde belirtilen ayrılmış kaynaklar, özel bir kaynak profili ayarlanarak değiştirilebilir. Yalnızca CPU, bellek ve vCPU kaynakları değiştirilebilir. Kaynak değişikliklerinin etkili olması için uygulamayı durdurup devre dışı bırakın, ardından uygulamayı etkinleştirin ve tekrar başlatın.

Kaynak değerleri uygulamaya özgüdür ve bu değerlere yapılacak her türlü ayarlama, uygulamanın değişikliklerle güvenilir bir şekilde çalışabilmesini sağlamalıdır.

Bir Cisco IOS Oturum Başlatma Protokolü (SIP) zaman bölmeli çoğullama (TDM) ağ geçidini, bir Cisco Unified Border Element (Cisco UBE) veya Cisco Unified Communications Manager Express (Cisco Unified CME) UP durumundayken SIP kaydı mesajı göndermek için yapılandırmak için kimlik bilgileri SIP UA yapılandırma modunda veya ses sınıfı kiracı yapılandırma modunda komut. SIP özeti kimlik bilgilerini devre dışı bırakmak için hayır bu komutun şeklidir.

kimlik bilgileri { dhcp|numarasınumarasıusernameusername } password { 0|6|7 } passwordrealmrealm

nokimlik bilgisi { dhcp|numarasınumarasıusernameusername } password { 0|6|7 } passwordrealmrealm

Komut Öntanımlı: SIP özet kimlik bilgileri devre dışı bırakıldı.

Komut Kipi: SIP UA yapılandırması (config-sip-ua) ve Ses sınıfı kiracı yapılandırması (config-sınıfı).

Kullanım Talimatları: Kimlik bilgileri etkinleştirildiğinde aşağıdaki yapılandırma kuralları geçerlidir:

• Tüm etki alanı adları için yalnızca bir parola geçerlidir. Daha önce yapılandırılmış olan parolanın üzerine yeni yapılandırılmış parola yazar.

• Parola bittiğinde her zaman şifreli olarak görüntülenecektir kimlik bilgileri komutu yapılandırılır ve göster çalışan yapılandırma komutu kullanılır.

Paragrafların dhcp Komuttaki anahtar sözcük, birincil numaranın DHCP ile alındığını ve komutun etkinleştirildiği Cisco IOS SIP TDM ağ geçidi, Cisco UBE veya Cisco Unified CME ile alınan birincil numarayı kaydetmek veya kaydetmek için bu numarayı kullanır.

Parola için şifreleme türünü belirtmek zorunludur. Açık bir metin parolası varsa (tür 0) yapılandırılır, türü olarak şifrelenir 6 çalıştırılan yapılandırmaya kaydetmeden önce.

Şifreleme türünü olarak belirtirseniz 6 ya da 7, girilen parola geçerli bir tür ile karşılaştırıldı 6 ya da 7 parola biçimi ve türü olarak kaydedildi 6 ya da 7 sırasıyla.

Tip-6 parolalar, AES şifresi ve kullanıcı tanımlı bir birincil anahtar kullanılarak şifrelenir. Bu parolalar nispeten daha güvenlidir. Birincil anahtar yapılandırmada asla görüntülenmez. Birincil anahtar bilgisi olmadan, yazın 6 parolalar kullanılamaz. Birincil anahtar değiştirilirse, tür 6 olarak kaydedilen parola yeni birincil anahtarla yeniden şifrelenir. Birincil anahtar yapılandırması kaldırılırsa türü 6 parolaların şifresi çözülemez ve bu durum, çağrılar ve kayıtlar için kimlik doğrulama hatasına neden olabilir.

Bir yapılandırmayı yedeklerken veya yapılandırmayı başka bir cihaza geçirirken, birincil anahtar terk edilmez. Bu nedenle, birincil anahtar yeniden manuel olarak yapılandırılmalıdır.

Şifreli bir ön plan anahtarı yapılandırmak için bkz. Şifreli Ön Plan Anahtarı Yapılandırma.

Uyarı: Komut, tür 7 parolası kullanılarak yapılandırmaya eklenmiştir. Ancak, tip 7 parolalar yakında kullanımdan kaldırılacaktır. Desteklenen bir parola türü 6'ya geçin.

YANG'da, aynı kullanıcı adını iki farklı alanda yapılandıramazsınız.

Teklifte ve yanıtta SDP'de Cisco Unified Border Element (CUBE) tarafından sunulacak bir SRTP şifre paketi tercihini belirtmek için şunu kullanın: şifreleme ses sınıfı yapılandırma modunda komut. Bu işlevi devre dışı bırakmak için simgesini kullanın hayır bu komutun şeklidir.

şifrelemetercihi şifre-paketi

şifrelemetercihi şifre-paketi yok

Komut Öntanımlı: Bu komut yapılandırılmazsa varsayılan davranış, srtp-şifre paketlerini aşağıdaki tercih sırasına göre sunmaktır:

• AEAD_AES_256_GCM

• AEAD_AES_128_GCM

• AES_CM_128_HMAC_SHA1_80

• AES_CM_128_HMAC_SHA1_32

Komut Kipi: ses sınıfı srtp-şifreleme (yapılandırma sınıfı)

Kullanım Talimatları: Zaten yapılandırılmış bir şifre paketinin tercihini değiştirirseniz tercih üzerine yazılır.

Rivest, Shamir ve Adelman (RSA) anahtar çiftleri oluşturmak için şifreleme anahtarı rsa oluştur genel yapılandırma modunda komut.

şifreleme anahtarı rsa oluştur [{ genel anahtarlar |kullanım-anahtarları |imzalama |şifreleme } [ ] [ ]] etiket tuş etiketi [değiştir ] taşınabilir [değiştir ] modül modül boyutu [değiştir ] depolama sapan : [değiştir ] artıklıküzerinde sapan : [değiştir ]

Komut Öntanımlı: RSA anahtar çiftleri mevcut değil.

Komut Kipi: Genel yapılandırma (yapılandırma)

Kullanım Talimatları: kullanarak şifreleme anahtarı rsa oluştur Cisco cihazınız için (yönlendirici gibi) RSA anahtar çiftleri oluşturmak için komut.

RSA anahtarları çiftler halinde oluşturulur - bir genel RSA anahtarı ve bir özel RSA anahtarı.

Bu komutu verdiğinizde yönlendiricinizde zaten RSA anahtarları varsa, sizi uyarır ve mevcut anahtarları yeni anahtarlarla değiştirmeniz istenir.

Paragrafların şifreleme anahtarı rsa oluştur komutu yönlendirici yapılandırmasına kaydedilmez; ancak, bu komut tarafından oluşturulan RSA anahtarları, yapılandırma NVRAM'a yazıldığında (bu, kullanıcıya hiçbir zaman gösterilmez veya başka bir cihaza yedeklenmez) NVRAM'deki özel yapılandırmaya kaydedilir.

• Özel- Kullanım Tuşları: Özel kullanım anahtarları oluşturursanız iki çift RSA anahtarı oluşturulur. Bir çift, kimlik doğrulama yöntemi olarak RSA imzalarını belirten herhangi bir Internet Anahtar Değişimi (IKE) politikasıyla, diğer çift ise kimlik doğrulama yöntemi olarak RSA şifreli anahtarları belirten herhangi bir IKE politikasıyla kullanılacaktır.

  Bir CA, RSA şifreli nonces'leri belirten IKE politikalarıyla değil, yalnızca RSA imzalarını belirten IKE politikalarıyla kullanılır. (Ancak, birden fazla IKE politikası belirtebilir ve bir politikada RSA imzaları ve başka bir politikada RSA şifreli nonces'leri kullanabilirsiniz.)

  IKE politikalarınızda her iki tür de RSA kimlik doğrulama yöntemine sahip olmayı planlıyorsanız özel kullanım anahtarları oluşturmayı tercih edebilirsiniz. Özel kullanım tuşları ile, her bir anahtar gereksiz yere açık değildir. (Özel kullanım anahtarları olmadan her iki kimlik doğrulama yöntemi için de bir anahtar kullanılır ve bu anahtarın maruziyetini arttırır).

• Genel Amaçlı Anahtarlar: Genel amaçlı anahtarlar oluşturursanız yalnızca bir çift RSA anahtarı oluşturulacaktır. Bu çift, RSA imzalarını veya RSA şifreli anahtarlarını belirten IKE politikaları ile kullanılacaktır. Bu nedenle, genel amaçlı bir anahtar çifti özel kullanılan bir anahtar çiftine göre daha sık kullanılabilir.

• Adlandırılmış Anahtar Çiftleri: Anahtar etiketi argümanını kullanarak adlandırılmış bir anahtar çifti oluşturursanız, ayrıca belirtmelisiniz. kullanım-anahtarları anahtar sözcüğü veya genel anahtarlar anahtar kelime. Adlandırılan anahtar çiftleri, birden fazla RSA anahtar çiftine sahip olmanızı sağlar ve Cisco IOS yazılımının her bir kimlik sertifikası için farklı bir anahtar çifti bulundurmasını sağlar.

• Modül Uzunluğu: RSA anahtarları oluşturduğunuzda, bir modül uzunluğu girmeniz istenir. Modül ne kadar uzun olursa güvenlik o kadar güçlü olur. Bununla birlikte, daha uzun modüllerin oluşturulması daha uzun sürer (örnek süreleri için aşağıdaki tabloya bakın) ve kullanımı daha uzun sürer.

  Tablo 2. RSA Anahtarları Oluşturmak Için Modül Uzunluğuna Göre Örnek Süreleri

  Yönlendirici	360 bit	512 bit	1024 bit	2048 bit (maksimum)
  Cisco 2500'ün	11 saniye	20 saniye	4 dakika, 38 saniye	1 saatten fazla
  Cisco 4700'ün	1 saniyeden az	1 saniye	4 saniye	50 saniye

  Cisco IOS yazılımı 4096 bitten büyük bir modülü desteklemez. 512 bitten daha az bir uzunluk normalde önerilmez. Bazı durumlarda, kısa modül IKE ile düzgün çalışmayabilir, bu nedenle en az 2048 bit modülü kullanmanızı öneririz.

  RSA anahtarları şifreleme donanımı tarafından oluşturulduğunda ek sınırlamalar uygulanabilir. Örneğin, RSA anahtarları Cisco VPN Hizmetleri Bağlantı Noktası Bağdaştırıcısı (VSPA) tarafından oluşturulduğunda, RSA anahtar modülü en az 384 bit ve 64'ün katı olmalıdır.

• RSA Anahtarları için Depolama Konumu Belirleme: şirketini kurduğunuzda şifreleme anahtarı rsa oluştur komutunu kullanarak saklama sürüm adı anahtar sözcük ve argüman, RSA anahtarları belirtilen cihazda depolanacaktır. Bu konum herhangi birinin yerine gelecek şifreleme anahtarı depolama komut ayarları.

• RSA Anahtar Üretimi için Cihaz Belirtme: RSA anahtarlarının oluşturulduğu cihazı belirtebilirsiniz. Desteklenen cihazlar arasında NVRAM, yerel diskler ve USB belirteçleri bulunur. Yönlendiricinizin yapılandırılmış ve kullanılabilir bir USB belirteci varsa, USB belirteci bir depolama cihazına ek olarak şifreleme cihazı olarak da kullanılabilir. Şifreleme cihazı olarak bir USB belirteci kullanmak, anahtar oluşturma, imzalama ve kimlik bilgilerinin kimlik doğrulaması gibi RSA işlemlerinin belirteç üzerinde gerçekleştirilmesine olanak tanır. Özel anahtar, USB belirtecinden asla ayrılmaz ve çıkarılabilir değildir. Genel anahtar çıkarılabilir.

  RSA anahtarları, kullanılarak yapılandırılmış ve kullanılabilir bir USB belirtecinde oluşturulabilir on sürüm adı anahtar sözcük ve argüman. Bir USB belirteci üzerinde bulunan anahtarlar, oluşturulduklarında kalıcı belirteç depolama alanına kaydedilir. Bir USB belirtecinde oluşturulabilen anahtar sayısı, kullanılabilir alan ile sınırlıdır. Bir USB belirteci üzerinde anahtar oluşturmaya çalışırsanız ve anahtar doluysa aşağıdaki mesajı alırsınız:

  % Error in generating keys:no available resources 

  Anahtar silme, belirteç üzerinde depolanan anahtarları hemen kalıcı depolamadan kaldırır. (Belirteç üzerinde bulunmayan anahtarlar, toplantı sırasında belirteç olmayan depolama konumlarına kaydedilir veya bu konumlardan silinir) kopyalama veya benzer komut verilir).

• Bir Cihazda RSA Anahtar Artıklık Oluşturma Belirtme: Mevcut anahtarlar için yalnızca çıkarılabilir olmaları durumunda yedekliliği belirtebilirsiniz.

Sertifika yetkilisinin (CA) kimliğini doğrulamak için (CA sertifikasını alarak) şunu kullanın: şifrelemepkikimlik doğrulaması komutu genel yapılandırma modunda.

şifrelemepkikimlik doğrulamasıadı

Komut Öntanımlı: Varsayılan davranış veya değer yok.

Komut Kipi: Genel yapılandırma (yapılandırma)

Kullanım Talimatları: Bu komut, başlangıçta yönlendiricinizde CA desteğini yapılandırdığınızda gereklidir.

Bu komut, CA'nın açık anahtarını içeren CA'nın kendinden imzalı sertifikasını alarak CA'nın yönlendiricinizde kimlik doğrulaması yapar. CA kendi sertifikasını imzaladığı için, bu komutu girdiğinizde CA yöneticisiyle iletişime geçerek CA'nın genel anahtarının kimliğini manuel olarak doğrulamanız gerekir.

Router Ads (RA) modunu kullanıyorsanız (kayıt komutu) verildiğinde, şifreleme PKI kimlik doğrulaması komutu, ardından kayıt yetkilisi imzalama ve şifreleme sertifikaları CA ve CA sertifikasından döndürülecektir.

Bu komut yönlendirici yapılandırmasına kaydedilmedi. Bununla birlikte, alınan CA (ve RA) sertifikalarına gömülü açık anahtarlar, Rivest, Shamir ve Adelman (RSA) açık anahtar kaydının (“RSA açık anahtarlık” olarak adlandırılır) bir parçası olarak yapılandırmaya kaydedilir.

Sertifika yetkilisi, bu komut yayınlandıktan sonra bir zaman aşımı süresine kadar yanıt vermezse, terminal denetimi kullanılabilir duruma gelecek. Bu durumda komutu yeniden girmeniz gerekir. Cisco IOS yazılımı, 2049 yılı ötesinde belirlenen CA sertifikası son kullanma tarihlerini tanımayacaktır. CA sertifikasının geçerlilik süresi 2049 yılından sonra sona erecek şekilde ayarlanmışsa, CA sunucusu ile kimlik doğrulaması denendiğinde aşağıdaki hata mesajı görüntülenir: sertifika alma hatası: tamamlanmamış zincir Buna benzer bir hata mesajı alırsanız, CA sertifikanızın son kullanma tarihini kontrol edin. CA sertifikanızın son kullanma tarihi 2049 yılından sonra ayarlanmışsa son kullanma tarihini bir yıl veya daha fazla azaltmanız gerekir.

Bir sertifikayı TFTP üzerinden manuel olarak veya terminalde kes ve yapıştır olarak içe aktarmak için kriptopkiiçe aktarma komutu genel yapılandırma modunda.

kriptopkiiçe aktarmaadısertifikası

Komut Öntanımlı: Varsayılan davranış ya da değer yok

Komut Kipi: Genel yapılandırma (yapılandırma)

Kullanım Talimatları: şirketini girmelisiniz kripto pki içe aktarma kullanım anahtarları (imza ve şifreleme anahtarları) kullanılırsa iki kez komut. Ilk kez komut girildiğinde, sertifikalardan biri yönlendiriciye yapıştırılır; ikinci kez komut girildiğinde, diğer sertifika yönlendiriciye yapıştırılır. (Önce hangi sertifikanın yapıştırıldığı önemli değildir.)

Yönlendiricinizin kullanması gereken güven noktasını beyan etmek için genel yapılandırma modunda şifrelemepkitrustpoint komutu. Güven noktası ile ilişkili tüm kimlik bilgilerini ve sertifikaları silmek için simgesini kullanın hayır bu komutun şeklidir.

şifrelemepkigüven noktasıadıartıklığı

hayırkriptopkigüven noktasıadıartıklığı

Komut Öntanımlı: Yönlendiriciniz, siz bu komutu kullanarak bir güven noktası ilan edene kadar hiçbir güven noktası tanımaz. Yönlendiriciniz, ağınızda yapılandırıldığı şekilde Çevrimiçi Sertifika Durumu Protokolü (OCSP) sunucularıyla iletişim sırasında benzersiz tanımlayıcılar kullanır.

Komut Kipi: Genel yapılandırma (yapılandırma)

Kullanım Talimatları:

Güven Noktaları Beyan Etme

kullanarak şifreleme PKI güven noktası kendinden imzalı kök sertifika yetkilisi (CA) veya alt CA olabilecek bir güven noktası beyan etme komutu. tarafından düzenleniyor şifreleme PKI güven noktası komut sizi ca-trustpoint yapılandırma moduna geçirir.

Aşağıdaki alt komutları kullanarak güven noktası için özellikler belirtebilirsiniz:

• crl—Eş sertifikasının iptal edilmediğinden emin olmak için sertifika iptal listesini (CRL) sorgular.

• varsayılan(ca-trustpoint)—ca-trustpoint yapılandırma modu alt komutlarının değerini varsayılan ayarlara sıfırlar.

• kayıt—Kayıt parametrelerini belirtir (isteğe bağlı).

• kayıthttp-proxy—Proxy sunucusu aracılığıyla CA'ya HTTP yoluyla erişir.

• kayıtkendi kendine imzalı—Kendi kendine imzalı kaydı belirtir (isteğe bağlı).

• sertifikayı eşleştirme— şununla tanımlanmış sertifika tabanlı erişim kontrol listesini (ACL) ilişkilendirir: cryptocasertifikaharitası komutu.

• ocspdisable-nonce—Yönlendiricinizin, OCSP iletişimleri sırasında benzersiz tanımlayıcılar veya nonces göndermeyeceğini belirtir.

• birincil—Belirtilen bir güven noktasını yönlendiricinin birincil güven noktası olarak atar.

• root—CA sertifikasını almak için TFTP'yi tanımlar ve hem sunucu için bir ad hem de CA sertifikasını depolayacak dosya için bir ad belirtir.

Benzersiz Tanımlayıcıların Kullanımını Belirtme

Iptal yönteminiz olarak OCSP kullanılırken, OCSP sunucusuyla eş iletişimler sırasında varsayılan olarak benzersiz tanımlayıcılar veya olmayan tanımlayıcılar gönderilir. OCSP sunucusu iletişimleri sırasında benzersiz tanımlayıcıların kullanılması daha güvenli ve güvenilir iletişimlere olanak sağlar. Bununla birlikte, tüm OCSP sunucuları benzersiz protezlerin kullanımını desteklemez, daha fazla bilgi için OCSP kılavuzunuza bakın. OCSP iletişimleri sırasında benzersiz tanımlayıcıların kullanımını devre dışı bırakmak için, ocsp'nın nonce devre dışı bırak alt komut.

Mevcut CA paketini güncellemek veya değiştirmek üzere sertifika yetkilisi (CA) sertifika paketini genel anahtar altyapısı (PKI) güven havuzuna manuel olarak içe aktarmak (indirmek) için kripto pki trustpool içe aktarma genel yapılandırma modunda komut. Yapılandırılmış parametrelerden herhangi birini kaldırmak için simgesini kullanın hayır bu komutun şeklidir.

kriptopkitrustpoolimportclean [ terminal|urlurl ]

hayırkriptopkitrustpoolimportclean [ terminal|urlurl ]

Komut Öntanımlı: PKI güven havuzu özelliği etkindir. Yönlendirici, PKI güvenli havuzundaki yerleşik CA sertifika paketini kullanır ve bu paket Cisco'dan otomatik olarak güncellenir.

Komut Kipi: Genel yapılandırma (yapılandırma)

Güvenlik tehditleri ve bunlara karşı korumaya yardımcı olan şifreleme teknolojileri sürekli değişmektedir. En son Cisco şifreleme önerileri hakkında daha fazla bilgi için Yeni Nesil Şifreleme (NGE) tanıtım yazısına bakın.

PKI güvenli havuzu sertifikaları Cisco’dan otomatik olarak güncellenir. PKI güvenli havuzu sertifikaları geçerli olmadığında, kripto pki trustpool içe aktarma komutunu kullanarak başka bir konumdan güncelleyebilirsiniz.

Paragrafların url argüman CA'nın URL dosya sistemini belirtir veya değiştirir. Aşağıdaki tabloda, kullanılabilir URL dosya sistemleri listelenmiştir.

Tablo 3. URL Dosya Sistemleri

Dosya Sistemi	Açıklama
arşiv:	Arşiv dosya sisteminden içeriye aktarılır.
kısaltma:	Küme Ad Alanı (CNS) dosya sisteminden içe aktarılır.
disk0:	Disk0 dosya sisteminden içeriye aktarır.
disk1:	Disk1 dosya sisteminden içeriye aktarılır.
ftp dosyası:	FTP dosya sisteminden içeriye aktarır.
http:	HTTP dosya sisteminden içeriye aktarır. URL şu biçimlerde olmalıdır: http://CAadı:80, nerede CAname Alan Adı Sistemidir (DNS) http://ipv4 adresi:80. Örnek: http://10.10.10.1:80. http://[ipv6-adresi]:80. Örnek: http://[2001:DB8:1:1::1]:80. IPv6 adresi onaltılık düzendedir ve URL'de parantez içine alınmalıdır.
https::	HTTPS dosya sisteminden içe aktarılır. URL, HTTP ile aynı formatları kullanmalıdır: dosya sistemi biçimleri.
null:	Boş dosya sisteminden içeriye aktarır.
nvram:	NVRAM dosya sisteminden içeriye aktarır.
pram:	Parametre Rastgele- Erişim Belleği (PRAM) dosya sisteminden içeriye aktarır.
rcp:	Uzak kopyalama protokolü (rcp) dosya sisteminden içeriye aktarılır.
scp:	Güvenli kopyalama protokolü (scp) dosya sisteminden içeriye aktarılır.
snmp:	Basit Ağ Yönetim Protokolünden (SNMP) içeriye aktarılır.
sistem:	Sistem dosya sisteminden içeriye aktarır.
katran:	UNIX tar dosya sisteminden içeriye aktarır.
tftp:	TFTP dosya sisteminden içe aktarılır.   URL, şurada olmalıdır: tftp://CAadı/filtreleme.
tmpsys:	Cisco IOS tmpsys dosya sisteminden içe aktarılır.
UNIX:	UNIX dosya sisteminden içeriye aktarır.
xmodem:	xmodem basit dosya aktarım protokol sisteminden içeriye aktarır.
ymodem:	ymodem basit dosya aktarım protokol sisteminden içeriye aktarılır.

şirketini tanımlamak için trustpointtrustpoint-name anahtar sözcüğü ve uzak cihaz adresine karşılık gelen Taşıma Katmanı Güvenliği (TLS) el sıkışması sırasında kullanılan parametre, şifreleme sinyali komutu SIP kullanıcı aracısı (UA) yapılandırma modunda. Varsayılana sıfırlamak için güven noktası dizesi, kullanın hayır bu komutun şeklidir.

şifreleme sinyali { varsayılan|uzak- addr ip adresi alt ağ maskesi } […] tls profili etiket |güven noktası güven noktası adı [değiştir ] cn-san-doğrulama sunucu [değiştir ] istemci-vtp güven noktası adı [değiştir ] ecdsa-şifresi |eğri boyutu 384 |katı-şifre [değiştir ]

hayırşifreleme sinyali { varsayılan|uzak- addr ip adresi alt ağ maskesi } […] tls profili etiket |güven noktası güven noktası adı [değiştir ] cn-san-doğrulama sunucu [değiştir ] istemci-vtp güven noktası adı [değiştir ] ecdsa-şifresi |eğri boyutu 384 |katı-şifre [değiştir ]

Komut Öntanımlı: Şifreleme sinyali komutu devre dışı bırakıldı.

Komut Kipi: SIP UA yapılandırması (sip-ua)

Kullanım Talimatları: Paragrafların trustpointtrustpoint-name anahtar sözcüğü ve argümanı, Cisco IOS PKI komutları kullanılarak kayıt işleminin bir parçası olarak oluşturulan CUBE sertifikasını ifade eder.

Tek bir sertifika yapılandırıldığında, tüm uzak cihazlar tarafından kullanılır ve varsayılan anahtar kelime.

Birden fazla sertifika kullanıldığında, kullanılarak uzak hizmetlerle ilişkilendirilebilir uzak- addr her bir güven noktası için argüman. Paragrafların uzak- addr ve varsayılan argümanlar, gerektiğinde tüm hizmetleri kapsamak için birlikte kullanılabilir.

Bu durumda varsayılan şifre paketi, CUBE üzerindeki SSL katmanı tarafından desteklenen şu kümedir: TLS_RSA'nın_ŞUNUNLA_RC4'ün_128 Türkçe_MD5'ın TLS_RSA'nın_ŞUNUNLA_AES'ın_128 Türkçe_CBC'nin_SHA'nın TLS_DHE'nın_RSA'nın_ŞUNUNLA_AES'ın_128 Türkçe_CBC'nin_SHA1'ın TLS_ECDHE_RSA_İLE_AES_128_GCM_SHA256 TLS_ECDHE'nın_RSA'nın_ŞUNUNLA_AES'ın_256 (Türkçe)_GCM'nın_SHA384'ün TLS_ECDHE_ECDSA_İLE_AES_128_GCM_SHA256 TLS_ECDHE'nın_ECDSA'nın_ŞUNUNLA_AES'ın_256 (Türkçe)_GCM'nın_SHA384'ün

Anahtar sözcük cn-san-doğrula sunucu Istemci tarafında SIP/TLS bağlantıları kurarken sertifikadaki CN ve SAN alanları aracılığıyla sunucu kimliği doğrulamasını sağlar. Sunucu sertifikasının CN ve SAN alanlarının doğrulanması, sunucu tarafı etki alanının geçerli bir varlık olmasını sağlar. SIP sunucusuyla güvenli bir bağlantı oluştururken CUBE, TLS oturumu oluşturmadan önce yapılandırılan oturum hedefi etki alanı adını sunucu sertifikasındaki CN/SAN alanlarına göre doğrular. yapılandırdıktan sonra cn-san-doğrula sunucu, her yeni TLS bağlantısı için sunucu kimliğinin doğrulanması gerçekleşir.

Paragrafların tls profili seçeneği, ilişkili aracılığıyla yapılan TLS politika yapılandırmalarını ilişkilendirir ses sınıfı tls profili yapılandırılması. Doğrudan ile kullanılabilir TLS politikası seçeneklerine ek olarak şifreleme sinyali komutu, bir tls profili ayrıca, sni gönder seçeneğine tıklayın.

sni send , TLS istemcisinin ilk TLS el sıkışma işlemi sırasında bağlanmaya çalıştığı sunucunun adını belirtmesini sağlayan bir TLS uzantısı olan Sunucu Adı Gösterimi'ni (SNI) etkinleştirir. Istemcide yalnızca sunucunun tam nitelikli DNS ana bilgisayar adı gönderilir. SNI, istemci merhaba uzantısındaki IPv4 ve IPv6 adreslerini desteklemez. TLS istemcisinden sunucu adı ile bir "merhaba" aldıktan sonra, sunucu sonraki TLS el sıkışma işleminde uygun sertifikayı kullanır. SNI, TLS 1.2 sürümünü gerektirir.

TLS politikası özellikleri sadece bir üzerinden kullanılabilir olacaktır ses sınıfı tls profili yapılandırılması. Paragrafların şifreleme sinyali komutu, daha önce mevcut TLS şifreleme seçeneklerini desteklemeye devam eder. simgesini kullanarak ses sınıfı tls profilietiketi veya şifreleme sinyali güvenli nokta yapılandırmak için komut. şirketini kullanmanızı öneririz. TLS profili yapılandırmalarını gerçekleştirmek için ses sınıfı tls-profilietiketi komutu.