Segurança e VPN : Negociação IPSec/Protocolos IKE

Nota Técnica do produto do apoio IO e IOS-XE NGE

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve o apoio da criptografia da próxima geração (NGE) no ® do Cisco IOS e nas Plataformas IOS-XE.

Contribuído por Wen Zhang e por Anthony Grieco, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco IOS, versões múltiplas como referido na tabela
  • Cisco IOS XE, versões múltiplas como referido na tabela
  • Plataformas Cisco múltiplas como referido na tabela

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Algoritmos NGE

Os algoritmos que compõem NGE são o resultado de mais de 30 anos de avanços globais e evolução na criptografia. Cada componente de NGE tem sua própria história, que descreve a história diversa dos algoritmos NGE e de sua revisão de longa data académico e da comunidade. NGE compreende criado globalmente, revisto globalmente, e publicamente - algoritmos disponíveis.

Os algoritmos NGE são integrados no Internet Engineering Task Force (IETF), na IEEE, e nos outros internacionais padrões. Em consequência, os algoritmos NGE foram aplicados aos protocolos os mais recentes e alto-os mais seguros que protegem dados do usuário, tais como a versão 2 do intercâmbio de chave de Internet (IKEv2).

Os tipos de algoritmos criptográficos incluem:

  • Criptografia simétrica -128-bit ou Advanced Encryption Standard (AES) do 256-bit em GCM (Galois/modo contrário)

  • Mistura - Algoritmos de mistura segura (SHA)-2 (SHA-256, SHA-384, e SHA-512) 

  • Assinaturas digital - Digital Signature Algorithm elíptico da curva (ECDSA)

  • Acordo chave - Curva elíptico Diffie-Hellman (ECDH)

Apoio NGE em Plataformas IO e IOS-XE

Esta tabela resume o apoio NGE em Plataformas com base em IOS e IO-XE-baseadas de Cisco.

PlataformasTipo da crypto-engineApoiado por NGEPrimeira versão de Cisco IOS/IOS-XE para apoiar NGE
Todas as Plataformas que executam os IO clássicosCrypto-engine do IOS SoftwareSim 15.1(2)T
7200VAM/VAM2/VSANãoN/A
ISR G1TodosNãoN/A
ISR G2 2951, 3925, 39451 a bordoSim15.1(3)T
ISR G2 (exclui 3925E/3945E)VPN-ISM1Sim15.2(1)T1
ISR G2 1900, 2901, 2911, 2921, 2951, 3925, 3945, 3925E, 3945E1 a bordoSim15.2(4)M
ISR G2 CISCO87xSoftware/hardwareNãoN/A
ISR G2 CISCO86x/C86xSoftware2Sim15.1(2)T
ISR G2 C812/C819Software/hardwareSimDia 1

ISR G2 CISCO88x/CISCO89x

Software/hardware3Sim15.1(2)T

ISR G2 C88x

Software/hardware4SimDia 1
6500/7600VPN-SPANãoN/A
ASR 1000A bordoSimNote5
ISR 4451-XA bordoSimIOS-XE 3.9 (15.3(2)S)
ISR 4321, 4331, 4351, 4431A bordoSimIOS-XE 3.13 (15.4(3)S)
CSR 1000vSoftwareSimIOS-XE 3.12 (15.4(2)S)

Nota 1: Na plataforma ISR G2, se ECDH/ECDSA é configurado, estas operações criptográficas serão executadas no software independentemente do motor criptograficamente.

Nota 2: O ISR G2 CISCO86x/C86x não tem o apoio NGE na crypto-engine do hardware.

Nota 3: O ISR G2 CISCO88x/CISCO89x tem o suporte a hardware para o SHA-256 SOMENTE com versão 15.2(4)M3 ou mais recente.

Nota 4: Estes C88x SKUs não têm nenhum suporte a hardware para NGE: C881SRST-K9, C881SRSTW-GN-A-K9, C881SRSTW-GN-E-K9, C881-CUBE-K9, C881-V-K9, C881G-U-K9, C881G-S-K9, C881G-V-K9, C881G-B-K9, C881G+7-K9, C881G+7-A-K9, C886SRST-K9, C886SRSTW-GN-E-K9, C886VA-CUBE-K9, C886VAG+7-K9, C887SRST-K9, C887SRSTW-GN-A-K9, C887SRSTW-GN-E-K9, C887VSRST-K9, C887VSRSTW-GNA-K9, C887VSRSTW-GNE-K9, C887VA-V-K9, C887VA-V-W-E-K9, C887VA-CUBE-K9, C887VAG-S-K9, C887VAG+7-K9, C887VAMG+7-K9, C888SRSTW-GN-A-K9, C888SRSTW-GN-E-K9, C888SRST-K9, C888ESRST-K9, C888ESRSTW-GNA-K9, C888ESRSTW-GNE-K9, C888-CUBE-K9, C888E-CUBE-K9, e C888EG+7-K9.

Nota 5: O apoio para o plano do controle NGE (ECDH e ECDSA) foi introduzido com versão XE3.7 (15.2(4)S). O apoio SHA-2 plano do controle é para IKEv2 somente, com o apoio IKEv1 adicionado na versão XE3.10 (15.3(3)S). O apoio de Dataplane é adicionado na versão XE3.8 (15.3(1)S) para Octeon baseou Plataformas somente (ASR1001-X, ASR1002-X, ESP-100, e ESP-200); o apoio do dataplane não está disponível para outras Plataformas ASR.

O outro suporte de recurso NGE

Apoio GETVPN para NGE

  • O apoio do Cisco IOS Software em Plataformas ISR G2 começa com versão 15.2(4)M.
  • O apoio ASR começa com Software Cisco IOS XE, a versão 3.10S (15.3(3)S).

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116055