配置ps8
ps8 0序列号 时间:2021-02-26 阅读:()
配置零的联系配置(ZTD)VPN远程办公室/SpokeContentsIntroductionPrerequisitesRequirementsComponentsUsedConfigureNetworkDiagram网络流基于苏堤的授权部署方案网络流与仅CA的配置与CA和RA的配置配置/模板VerifyTroubleshoot已知警告和问题ZTD通过USB与默认配置文件摘要RelatedInformationIntroduction本文描述零的联系配置(ZTD)选项如何是配置的一个有成本效益的和可扩展的解决方案.
安全和高效的配置和远端办公室路由器提供(有时告诉Spokes)可以是一项困难任务.
远程办公室也许是在它是让的挑战现场工程师配置现场的路由器的位置,并且多数工程师选择不发送预先配置的分支路由器由于费用和可能性安全风险.
PrerequisitesRequirementsCisco建议您了解以下主题:有一个USB端口支持USB闪存驱动器的任何CiscoIOS路由器.
关于详细资料,请参阅USBeToken和USB闪存功能支持.
q此功能被确认在几乎所有Cisco8xx平台运作.
关于详细资料,请参阅默认配置文件白皮书(在Cisco800系列ISR的功能支持).
q有USB端口类似综合服务路由器的其他平台(ISR)系列G2和43xx/44xx.
qComponentsUsed本文档中的信息基于以下软件和硬件版本:简单认证登记协议(SCEP)q零的联系配置通过USBqDMVPN/FlexVPN/Site对站点VPNqTheinformationinthisdocumentwascreatedfromthedevicesinaspecificlabenvironment.
Allofthedevicesusedinthisdocumentstartedwithacleared(default)configuration.
Ifyournetworkislive,makesurethatyouunderstandthepotentialimpactofanycommand.
ConfigureNote:使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息.
NetworkDiagram网络流在中心站点(公司的总部),分支配置的模板被创建.
模板包含签署VPN集线路由器的认证的CertificateAuthority(CA)认证.
1.
配置模板是例示的在名为ciscortr.
cfg的文件的一个USB密钥.
此配置文件包含将配置的路由器的分支特定配置.
Note:除IP地址和CA证书之外,在USB的配置不包含任何敏感信息.
没有分支或CA服务器的专用密钥.
2.
USB闪存驱动器被发送到远程办公室通过邮件或程序包运送公司.
3.
分支路由器也派遣到远程办公室直接地从Cisco制造.
4.
在远程办公室,路由器被连接供给动力并且被缚住对网络按照被包括在USB闪存驱动器中的指令说明.
其次,USB闪存驱动器插入到路由器.
Note:有一点对在此步骤涉及的没有技术技能,因此可能由所有办公室人员容易地执行.
5.
一旦路由器启动,读从usbflash0:/ciscortr.
cfg的配置.
当路由器启动了,简单认证登记协议(SCEP)请求被发送到CA服务器.
6.
在CA服务器手工或自动授予能根据公司安全策略被配置.
当配置为授予手工的认证,必须进行SCEP请求的带外验证(IP地址验证检查、进行配置的证件验证人员的等等).
此步7.
骤也许有所不同基于使用的CA服务器.
一旦SCEP答复由分支路由器收到,当前有一个有效证书,InternetKeyExchange(IKE)会话用VPN集线器验证,并且隧道成功设立.
8.
基于苏堤的授权第7步介入通过SCEP协议被发送的认证署名请求的手工的验证,也许是笨重和难为非技术性的人员实行.
为了强化安全和自动化进程,可以使用安全的唯一设备标识(苏堤)设备证书.
苏堤证书是证书被构件到ISR4K设备.
这些证书由CiscoCA签字.
每个制作的设备发出了与不同的身份验证,并且设备的序列号在认证的普通的名字内包含.
苏堤认证、相关的密匙对和其整个证书链在堵塞器抗性信任锚点芯片存储.
此外,密匙对密码一定对一块特定信任锚点芯片,并且专用密钥从未被导出.
此功能做克隆或伪装实际上不可能的身份信息.
苏堤专用密钥可以用于签署路由器生成的SCEP请求.
CA服务器能验证签名和读设备的苏堤认证的内容.
CA服务器可从苏堤认证提取信息(类似序列号)和执行根据该信息的授权.
RADIUS服务器可以用于回答这样授权请求.
管理员建立辐射路由器和他们相关的序列号列表.
序列号可以读从路由器的事例由非技术性的人员.
这些序列号在RADIUS服务器数据库存储,并且服务器核准根据允许认证自动地授予的该信息的SCEP请求.
注意序列号密码附加到一个特定设备通过Cisco签字的苏堤认证,因此被伪造无法的.
总之,配置CA服务器自动地同意满足这两个标准的请求:用与认证产生关联的专用密钥签字签字由Cisco苏堤CAq由根据序列号信息的RADIUS服务器核准采取从苏堤认证q部署方案在隧道可以被构建前,CA服务器也许显示直接地在互联网,因而允许客户端进行登记.
CA服务器在同一路由器可能甚而被配置作为VPN集线器.
此拓扑的优点是简单.
因为CA服务器为各种各样攻击直接地显示通过互联网,缺点是被减少的安全.
或者,拓扑可以通过配置注册审批机构服务器扩展.
注册审批机构服务器角色是估计和转发有效证书署名请求到CA服务器.
RA服务器不包含CA的专用密钥,并且不能单独生成证书.
在这样配置,CA服务器不需要显示在互联网,强化整体安全.
'网络流1.
分支路由器创建SCEP请求,用其苏堤认证专用密钥签署它并且发送它到CA服务器.
2.
如果请求适当地签字,RADIUS请求生成.
序列号使用作为用户名参数.
3.
RADIUS服务器接受或拒绝请求.
4.
如果请求被接受,CA服务器同意请求.
如果它被拒绝,CA服务器回复以"等待"状态,并且客户端再试请求,在退路计时器到期后.
与仅CA的配置!
CAserverradiusserverRADSRVaddressipv410.
10.
20.
30auth-port1812acct-port1813keycisco123aaagroupserverradiusRADSRVservernameRADSRVaaaauthorizationnetworkSUDIgroupRADSRVcryptopkiserverCA!
willgrantcertificateforrequestssignedbySUDIcertificateautomaticallygrantautotrustpointSUDIissuer-nameCN=ca.
example.
comhashsha256lifetimeca-certificate7200lifetimecertificate3600cryptopkitrustpointCArsakeypairCA2048cryptopkitrustpointSUDI!
NeedtoimporttheSUDICAcertificatemanually,forexamplewith"cryptopkiimport"commandenrollmentterminalrevocation-checknone!
AuthorizewithRadiusserverauthorizationlistSUDI!
SNextractedfromcertwillbeusedasusernameinaccess-requestauthorizationusernamesubjectnameserialnumber!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
CAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quitRADIUSserver:TheRadiusneedstoreturnAccess-AcceptwiththefollowingCiscoAVPairtoenablecertificateenrollment:pki:cert-application=all与CA和RA的配置!
CAservercryptopkiserverCATESTissuer-nameCN=CATEST.
example.
com,OU=TAC,O=Cisco!
willgranttherequestscomingfromRAautomaticallygrantra-autocryptopkitrustpointCATESTrevocation-checkcrlrsakeypairCATEST2048!
RAserverradiusserverRADSRVaddressipv410.
10.
20.
30auth-port1812acct-port1813keycisco123aaagroupserverradiusRADSRVservernameRADSRVaaaauthorizationnetworkSUDIgroupRADSRVcryptopkiserverRAnodatabasearchive!
willforwardcertificaterequestssignedbySUDIcertificateautomaticallygrantautotrustpointSUDImoderacryptopkitrustpointRA!
CAserveraddressenrollmenturlhttp://10.
10.
10.
10serial-numbernoneip-addressnonesubject-nameCN=ra1.
example.
com,OU=ioscsRA,OU=TAC,O=Ciscorevocation-checkcrlrsakeypairRA2048cryptopkitrustpointSUDI!
NeedtoimporttheSUDICAcertificatemanually,forexamplewith"cryptopkiimport"commandenrollmentterminalrevocation-checknone!
AuthorizewithRadiusserverauthorizationlistSUDI!
SNextractedfromcertwillbeusedasusernameinaccess-requestauthorizationusernamesubjectnameserialnumber!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
RAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quit!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
RAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quit配置/模板此输出示例:显示在闪存驱动器放置在usbflash0:/ciscortr.
cfg文件的一种模范FlexVPN远程办公室配置.
hostnameclient1!
interfaceGigabitEthernet0ipaddressdhcp!
cryptopkitrustpointclient1!
CAServer'sURLenrollmenturlhttp://10.
122.
162.
242:80!
Thesefieldsneedstobefilled,toavoidpromptwhiledoingenroll!
ThiswilldifferifyouuseSUDI,pleaseseeaboveserial-numbernoneip-addressnonepasswordsubject-namecn=client1.
cisco.
comou=ciscoou!
cryptopkicertificatechainclient1certificateca01!
CACertificateherequit!
cryptoikev2profiledefaultmatchidentityremoteanyauthenticationremotersa-sigauthenticationlocalrsa-sigpkitrustpointclient1aaaauthorizationgroupcertlistdefaultdefault!
interfaceTunnel1ipunnumberedGigabitEthernet0tunnelsourceGigabitEthernet0tunnelmodeipsecipv4!
DestinationisInternetIPAddressofVPNHubtunneldestination172.
16.
0.
2tunnelprotectionipsecprofiledefault!
eventmanagerappletimport-cert!
Startimportingcertificatesonlyafter60safterbootup!
JusttogiveDHCPtimetobootupeventtimerwatchdogtime60action1.
0clicommand"enable"action2.
0clicommand"configterminal"!
Enrollspoke'scertificateaction3.
0clicommand"cryptopkienrollclient1"!
Afterenrollementrequestissent,removethatEEMscriptaction4.
0clicommand"noeventmanagerappletimport-cert"action5.
0clicommand"exit"eventmanagerappletwrite-memeventsyslogpattern"PKI-6-CERTRET"action1.
0clicommand"enable"action2.
0clicommand"writememory"action3.
0syslogmsg"Automaticallysavedconfiguration"Verify使用本部分可确认配置能否正常运行.
命令输出解释程序工具(仅限注册用户)支持某些show命令.
使用输出解释器工具来查看show命令输出的分析.
如果隧道上升,您在分支能验证:client1#showcryptosessionCryptosessioncurrentstatusInterface:Tunnel1Profile:defaultSessionstatus:UP-ACTIVEPeer:172.
16.
0.
2port500SessionID:1IKEv2SA:local172.
16.
0.
1/500remote172.
16.
0.
2/500ActiveIPSECFLOW:permitip0.
0.
0.
0/0.
0.
0.
00.
0.
0.
0/0.
0.
0.
0ActiveSAs:2,origin:cryptomap如果认证正确地,被登记了您在分支能也验证:client1#showcryptopkicertificatesCertificateStatus:AvailableCertificateSerialNumber(hex):06CertificateUsage:GeneralPurposeIssuer:cn=CASubject:Name:client1hostname=client1cn=client1.
cisco.
comou=ciscoouValidityDate:startdate:01:34:34PSTApr262015enddate:01:34:34PSTApr252016AssociatedTrustpoints:client1Storage:nvram:CA#6.
cerCACertificateStatus:AvailableCertificateSerialNumber(hex):01CertificateUsage:SignatureIssuer:cn=CASubject:cn=CAValidityDate:startdate:01:04:46PSTApr262015enddate:01:04:46PSTApr252018AssociatedTrustpoints:client1Storage:nvram:CA#1CA.
cerTroubleshoot目前没有针对此配置的故障排除信息.
已知警告和问题CiscoBugIDCSCuu93989-设置向导终止在G2平台的PnP流也许造成系统从usbflash不装载配置:/ciscortr.
cfg.
反而系统也许终止在设置向导功能:client1#showcryptopkicertificatesCertificateStatus:AvailableCertificateSerialNumber(hex):06CertificateUsage:GeneralPurposeIssuer:cn=CASubject:Name:client1hostname=client1cn=client1.
cisco.
comou=ciscoouValidityDate:startdate:01:34:34PSTApr262015enddate:01:34:34PSTApr252016AssociatedTrustpoints:client1Storage:nvram:CA#6.
cerCACertificateStatus:AvailableCertificateSerialNumber(hex):01CertificateUsage:SignatureIssuer:cn=CASubject:cn=CAValidityDate:startdate:01:04:46PSTApr262015enddate:01:04:46PSTApr252018AssociatedTrustpoints:client1Storage:nvram:CA#1CA.
cerNote:保证您使用包含此缺陷的一个修正的一个版本.
ZTD通过USB与默认配置文件注意默认配置文件以为特色本文比零的联系配置使用是一个不同的功能通过在Cisco800系列ISR配置概述描述的USB.
--通过USB调零联系配置默认配置文件支持的平台对只有少量8xx路由器限制.
关于详细资料,请参阅Cisco800系列ISR配置概述所有ISRG2、43xx和44xx.
文件名*.
cfgciscortr.
cfg在本地闪存保存配置是,自动地不,嵌入式活动管理器(EEM)要求由于默认配置文件功能支持更多平台,此技术为在此条款上提交的解决方案被选择了.
摘要USB默认配置(与从USB闪存驱动器的文件名ciscortr.
cfg)在远端位置产生网络管理员能力配置远程办公室分支路由器VPN(但是没限制对VPN),不用需要登录到设备.
RelatedInformation简单认证登记协议(SCEP)q零的联系配置通过USBqDMVPN/FlexVPN/Site对站点VPNqTechnicalSupport&Documentation-CiscoSystemsqCisco锚点技术q
安全和高效的配置和远端办公室路由器提供(有时告诉Spokes)可以是一项困难任务.
远程办公室也许是在它是让的挑战现场工程师配置现场的路由器的位置,并且多数工程师选择不发送预先配置的分支路由器由于费用和可能性安全风险.
PrerequisitesRequirementsCisco建议您了解以下主题:有一个USB端口支持USB闪存驱动器的任何CiscoIOS路由器.
关于详细资料,请参阅USBeToken和USB闪存功能支持.
q此功能被确认在几乎所有Cisco8xx平台运作.
关于详细资料,请参阅默认配置文件白皮书(在Cisco800系列ISR的功能支持).
q有USB端口类似综合服务路由器的其他平台(ISR)系列G2和43xx/44xx.
qComponentsUsed本文档中的信息基于以下软件和硬件版本:简单认证登记协议(SCEP)q零的联系配置通过USBqDMVPN/FlexVPN/Site对站点VPNqTheinformationinthisdocumentwascreatedfromthedevicesinaspecificlabenvironment.
Allofthedevicesusedinthisdocumentstartedwithacleared(default)configuration.
Ifyournetworkislive,makesurethatyouunderstandthepotentialimpactofanycommand.
ConfigureNote:使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息.
NetworkDiagram网络流在中心站点(公司的总部),分支配置的模板被创建.
模板包含签署VPN集线路由器的认证的CertificateAuthority(CA)认证.
1.
配置模板是例示的在名为ciscortr.
cfg的文件的一个USB密钥.
此配置文件包含将配置的路由器的分支特定配置.
Note:除IP地址和CA证书之外,在USB的配置不包含任何敏感信息.
没有分支或CA服务器的专用密钥.
2.
USB闪存驱动器被发送到远程办公室通过邮件或程序包运送公司.
3.
分支路由器也派遣到远程办公室直接地从Cisco制造.
4.
在远程办公室,路由器被连接供给动力并且被缚住对网络按照被包括在USB闪存驱动器中的指令说明.
其次,USB闪存驱动器插入到路由器.
Note:有一点对在此步骤涉及的没有技术技能,因此可能由所有办公室人员容易地执行.
5.
一旦路由器启动,读从usbflash0:/ciscortr.
cfg的配置.
当路由器启动了,简单认证登记协议(SCEP)请求被发送到CA服务器.
6.
在CA服务器手工或自动授予能根据公司安全策略被配置.
当配置为授予手工的认证,必须进行SCEP请求的带外验证(IP地址验证检查、进行配置的证件验证人员的等等).
此步7.
骤也许有所不同基于使用的CA服务器.
一旦SCEP答复由分支路由器收到,当前有一个有效证书,InternetKeyExchange(IKE)会话用VPN集线器验证,并且隧道成功设立.
8.
基于苏堤的授权第7步介入通过SCEP协议被发送的认证署名请求的手工的验证,也许是笨重和难为非技术性的人员实行.
为了强化安全和自动化进程,可以使用安全的唯一设备标识(苏堤)设备证书.
苏堤证书是证书被构件到ISR4K设备.
这些证书由CiscoCA签字.
每个制作的设备发出了与不同的身份验证,并且设备的序列号在认证的普通的名字内包含.
苏堤认证、相关的密匙对和其整个证书链在堵塞器抗性信任锚点芯片存储.
此外,密匙对密码一定对一块特定信任锚点芯片,并且专用密钥从未被导出.
此功能做克隆或伪装实际上不可能的身份信息.
苏堤专用密钥可以用于签署路由器生成的SCEP请求.
CA服务器能验证签名和读设备的苏堤认证的内容.
CA服务器可从苏堤认证提取信息(类似序列号)和执行根据该信息的授权.
RADIUS服务器可以用于回答这样授权请求.
管理员建立辐射路由器和他们相关的序列号列表.
序列号可以读从路由器的事例由非技术性的人员.
这些序列号在RADIUS服务器数据库存储,并且服务器核准根据允许认证自动地授予的该信息的SCEP请求.
注意序列号密码附加到一个特定设备通过Cisco签字的苏堤认证,因此被伪造无法的.
总之,配置CA服务器自动地同意满足这两个标准的请求:用与认证产生关联的专用密钥签字签字由Cisco苏堤CAq由根据序列号信息的RADIUS服务器核准采取从苏堤认证q部署方案在隧道可以被构建前,CA服务器也许显示直接地在互联网,因而允许客户端进行登记.
CA服务器在同一路由器可能甚而被配置作为VPN集线器.
此拓扑的优点是简单.
因为CA服务器为各种各样攻击直接地显示通过互联网,缺点是被减少的安全.
或者,拓扑可以通过配置注册审批机构服务器扩展.
注册审批机构服务器角色是估计和转发有效证书署名请求到CA服务器.
RA服务器不包含CA的专用密钥,并且不能单独生成证书.
在这样配置,CA服务器不需要显示在互联网,强化整体安全.
'网络流1.
分支路由器创建SCEP请求,用其苏堤认证专用密钥签署它并且发送它到CA服务器.
2.
如果请求适当地签字,RADIUS请求生成.
序列号使用作为用户名参数.
3.
RADIUS服务器接受或拒绝请求.
4.
如果请求被接受,CA服务器同意请求.
如果它被拒绝,CA服务器回复以"等待"状态,并且客户端再试请求,在退路计时器到期后.
与仅CA的配置!
CAserverradiusserverRADSRVaddressipv410.
10.
20.
30auth-port1812acct-port1813keycisco123aaagroupserverradiusRADSRVservernameRADSRVaaaauthorizationnetworkSUDIgroupRADSRVcryptopkiserverCA!
willgrantcertificateforrequestssignedbySUDIcertificateautomaticallygrantautotrustpointSUDIissuer-nameCN=ca.
example.
comhashsha256lifetimeca-certificate7200lifetimecertificate3600cryptopkitrustpointCArsakeypairCA2048cryptopkitrustpointSUDI!
NeedtoimporttheSUDICAcertificatemanually,forexamplewith"cryptopkiimport"commandenrollmentterminalrevocation-checknone!
AuthorizewithRadiusserverauthorizationlistSUDI!
SNextractedfromcertwillbeusedasusernameinaccess-requestauthorizationusernamesubjectnameserialnumber!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
CAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quitRADIUSserver:TheRadiusneedstoreturnAccess-AcceptwiththefollowingCiscoAVPairtoenablecertificateenrollment:pki:cert-application=all与CA和RA的配置!
CAservercryptopkiserverCATESTissuer-nameCN=CATEST.
example.
com,OU=TAC,O=Cisco!
willgranttherequestscomingfromRAautomaticallygrantra-autocryptopkitrustpointCATESTrevocation-checkcrlrsakeypairCATEST2048!
RAserverradiusserverRADSRVaddressipv410.
10.
20.
30auth-port1812acct-port1813keycisco123aaagroupserverradiusRADSRVservernameRADSRVaaaauthorizationnetworkSUDIgroupRADSRVcryptopkiserverRAnodatabasearchive!
willforwardcertificaterequestssignedbySUDIcertificateautomaticallygrantautotrustpointSUDImoderacryptopkitrustpointRA!
CAserveraddressenrollmenturlhttp://10.
10.
10.
10serial-numbernoneip-addressnonesubject-nameCN=ra1.
example.
com,OU=ioscsRA,OU=TAC,O=Ciscorevocation-checkcrlrsakeypairRA2048cryptopkitrustpointSUDI!
NeedtoimporttheSUDICAcertificatemanually,forexamplewith"cryptopkiimport"commandenrollmentterminalrevocation-checknone!
AuthorizewithRadiusserverauthorizationlistSUDI!
SNextractedfromcertwillbeusedasusernameinaccess-requestauthorizationusernamesubjectnameserialnumber!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
RAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quit!
CLIENTcryptopkitrustpointFLEXenrollmentprofilePROF!
Serial-number,fqdnandip-addressfieldsneedtobedefined,otherwisetheinteractivepromptwillpreventtheprocessfromstartingautomaticallyserial-numbernonefqdnnoneip-addressnone!
Passwordneedstobespecifiedtoautomatetheprocess.
However,itwillnotbeusedbyCAserverpassword7110A1016141D5A5E57subject-nameCN=spoke.
example.
comrevocation-checknonersakeypairFLEX2048auto-enroll85cryptopkiprofileenrollmentPROF!
RAserveraddressenrollmenturlhttp://192.
0.
2.
1enrollmentcredentialCISCO_IDEVID_SUDI!
Bypre-importingCAcertyouwillavoid"cryptopkiauthenticate"step.
Ifauto-enrollisconfigured,enrollmentwillalsostartautomaticallycryptopkicertificatechainFLEXcertificateca01308203543082023CA003020102020101300D06092A864886F70D0101040500303B310E300C060355040A1305436973636F310C300A060355040B130354414331-----outputtruncated----quit配置/模板此输出示例:显示在闪存驱动器放置在usbflash0:/ciscortr.
cfg文件的一种模范FlexVPN远程办公室配置.
hostnameclient1!
interfaceGigabitEthernet0ipaddressdhcp!
cryptopkitrustpointclient1!
CAServer'sURLenrollmenturlhttp://10.
122.
162.
242:80!
Thesefieldsneedstobefilled,toavoidpromptwhiledoingenroll!
ThiswilldifferifyouuseSUDI,pleaseseeaboveserial-numbernoneip-addressnonepasswordsubject-namecn=client1.
cisco.
comou=ciscoou!
cryptopkicertificatechainclient1certificateca01!
CACertificateherequit!
cryptoikev2profiledefaultmatchidentityremoteanyauthenticationremotersa-sigauthenticationlocalrsa-sigpkitrustpointclient1aaaauthorizationgroupcertlistdefaultdefault!
interfaceTunnel1ipunnumberedGigabitEthernet0tunnelsourceGigabitEthernet0tunnelmodeipsecipv4!
DestinationisInternetIPAddressofVPNHubtunneldestination172.
16.
0.
2tunnelprotectionipsecprofiledefault!
eventmanagerappletimport-cert!
Startimportingcertificatesonlyafter60safterbootup!
JusttogiveDHCPtimetobootupeventtimerwatchdogtime60action1.
0clicommand"enable"action2.
0clicommand"configterminal"!
Enrollspoke'scertificateaction3.
0clicommand"cryptopkienrollclient1"!
Afterenrollementrequestissent,removethatEEMscriptaction4.
0clicommand"noeventmanagerappletimport-cert"action5.
0clicommand"exit"eventmanagerappletwrite-memeventsyslogpattern"PKI-6-CERTRET"action1.
0clicommand"enable"action2.
0clicommand"writememory"action3.
0syslogmsg"Automaticallysavedconfiguration"Verify使用本部分可确认配置能否正常运行.
命令输出解释程序工具(仅限注册用户)支持某些show命令.
使用输出解释器工具来查看show命令输出的分析.
如果隧道上升,您在分支能验证:client1#showcryptosessionCryptosessioncurrentstatusInterface:Tunnel1Profile:defaultSessionstatus:UP-ACTIVEPeer:172.
16.
0.
2port500SessionID:1IKEv2SA:local172.
16.
0.
1/500remote172.
16.
0.
2/500ActiveIPSECFLOW:permitip0.
0.
0.
0/0.
0.
0.
00.
0.
0.
0/0.
0.
0.
0ActiveSAs:2,origin:cryptomap如果认证正确地,被登记了您在分支能也验证:client1#showcryptopkicertificatesCertificateStatus:AvailableCertificateSerialNumber(hex):06CertificateUsage:GeneralPurposeIssuer:cn=CASubject:Name:client1hostname=client1cn=client1.
cisco.
comou=ciscoouValidityDate:startdate:01:34:34PSTApr262015enddate:01:34:34PSTApr252016AssociatedTrustpoints:client1Storage:nvram:CA#6.
cerCACertificateStatus:AvailableCertificateSerialNumber(hex):01CertificateUsage:SignatureIssuer:cn=CASubject:cn=CAValidityDate:startdate:01:04:46PSTApr262015enddate:01:04:46PSTApr252018AssociatedTrustpoints:client1Storage:nvram:CA#1CA.
cerTroubleshoot目前没有针对此配置的故障排除信息.
已知警告和问题CiscoBugIDCSCuu93989-设置向导终止在G2平台的PnP流也许造成系统从usbflash不装载配置:/ciscortr.
cfg.
反而系统也许终止在设置向导功能:client1#showcryptopkicertificatesCertificateStatus:AvailableCertificateSerialNumber(hex):06CertificateUsage:GeneralPurposeIssuer:cn=CASubject:Name:client1hostname=client1cn=client1.
cisco.
comou=ciscoouValidityDate:startdate:01:34:34PSTApr262015enddate:01:34:34PSTApr252016AssociatedTrustpoints:client1Storage:nvram:CA#6.
cerCACertificateStatus:AvailableCertificateSerialNumber(hex):01CertificateUsage:SignatureIssuer:cn=CASubject:cn=CAValidityDate:startdate:01:04:46PSTApr262015enddate:01:04:46PSTApr252018AssociatedTrustpoints:client1Storage:nvram:CA#1CA.
cerNote:保证您使用包含此缺陷的一个修正的一个版本.
ZTD通过USB与默认配置文件注意默认配置文件以为特色本文比零的联系配置使用是一个不同的功能通过在Cisco800系列ISR配置概述描述的USB.
--通过USB调零联系配置默认配置文件支持的平台对只有少量8xx路由器限制.
关于详细资料,请参阅Cisco800系列ISR配置概述所有ISRG2、43xx和44xx.
文件名*.
cfgciscortr.
cfg在本地闪存保存配置是,自动地不,嵌入式活动管理器(EEM)要求由于默认配置文件功能支持更多平台,此技术为在此条款上提交的解决方案被选择了.
摘要USB默认配置(与从USB闪存驱动器的文件名ciscortr.
cfg)在远端位置产生网络管理员能力配置远程办公室分支路由器VPN(但是没限制对VPN),不用需要登录到设备.
RelatedInformation简单认证登记协议(SCEP)q零的联系配置通过USBqDMVPN/FlexVPN/Site对站点VPNqTechnicalSupport&Documentation-CiscoSystemsqCisco锚点技术q
欧路云:美国200G高防云-10元/月,香港云-15元/月,加拿大480G高防云-23元/月
欧路云 主要运行弹性云服务器,可自由定制配置,可选加拿大的480G超高防系列,也可以选择美国(200G高防)系列,也有速度直逼内地的香港CN2系列。所有配置都可以在下单的时候自行根据项目 需求来定制自由升级降级 (降级按天数配置费用 退款回预存款)。由专业人员提供一系列的技术支持!官方网站:https://www.oulucloud.com/云服务器(主机测评专属优惠)全场8折 优惠码:zhuji...
buyvm美国大硬盘VPS,1Gbps带宽不限流量
buyvm正式对外开卖第四个数据中心“迈阿密”的块存储服务,和前面拉斯维加斯、纽约、卢森堡一样,依旧是每256G硬盘仅需1.25美元/月,最大支持10T硬盘。配合buyvm自己的VPS,1Gbps带宽、不限流量,在vps上挂载块存储之后就可以用来做数据备份、文件下载、刷BT等一系列工作。官方网站:https://buyvm.net支持信用卡、PayPal、支付宝付款,支付宝付款用的是加元汇率,貌似...
HostKvm香港VPS七折:$5.95/月KVM-2GB内存/40GB硬盘/500GB月流量
HostKvm是一家成立于2013年的国外主机服务商,主要提供VPS主机,基于KVM架构,可选数据中心包括日本、新加坡、韩国、美国、俄罗斯、中国香港等多个地区机房,均为国内直连或优化线路,延迟较低,适合建站或者远程办公等。商家本月针对香港国际机房提供特别7折优惠码,其他机房全场8折,优惠后2G内存香港VPS每月5.95美元起,支持使用PayPal或者支付宝付款。下面以香港国际(HKGlobal)为...
ps8 0序列号为你推荐
-
人人时光机怎么查看人人网的注册时间?湖南商标注册在湖南商标注册到底有什么用,不就是一个图标吗?拂晓雅阁有什么网站是学电脑技术的`?邮箱打不开怎么办我的邮箱打不开怎么办百度手写百度为什么没有了在线手写输入法云挂机趣头条后台云挂机辅助后台云挂机辅助有谁用过?想了解实际情况。如何清理ie缓存怎么清除IE缓存cisco防火墙cisco防火墙里k9是什么意思如何修改ie主页怎样修改IE主页adobephotoshop教程怎么使用Photoshop?