セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

IOS および IOS-XE NGE サポート製品のテクニカル ノート

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

このドキュメントでは、Cisco IOS® および IOS-XE プラットフォームでの次世代暗号化(NGE)サポートについて説明します。

著者:Cisco TAC エンジニア、ウェン・チャン、アンソニー・グリエコ。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS の複数のバージョン(表に記載)
  • Cisco IOS XE の複数のバージョン(表に記載)
  • 複数の Cisco プラットフォーム(表に記載)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

NGE のアルゴリズム

NGE を構成するアルゴリズムは、暗号化技術における 30 年間以上の世界的な進歩と進化が結実したものです。 NGE の各要素には独自の歴史があり、それらは NGE のアルゴリズムとその長年にわたる学術的、社会的レビューの多様な歴史を表しています。 NGE は世界的規模で作成され、世界的規模で見直され、一般的に利用されているアルゴリズムです。

NGE のアルゴリズムは、インターネット技術特別調査委員会(IETF)、IEEE、その他の国際標準に取り入れられています。 その結果、NGE のアルゴリズムはインターネット鍵交換バージョン 2(IKEv2)など、ユーザのデータを保護するための最新かつ高度にセキュアなプロトコルに適用されてきました。

暗号化アルゴリズムのタイプは次のとおりです。

  • 対称暗号化 - GCM (Galois/Counter mode)の 128 ビットまたは 256 ビット Advanced Encryption Standard(AES)

  • ハッシュ - セキュア ハッシュ アルゴリズム(SHA)-2 (SHA-256、SHA-384、および SHA-512) 

  • デジタル署名 - 楕円曲線デジタル署名アルゴリズム(ECDSA)

  • 鍵共有 - Elliptic Curve Diffie-Hellman(ECDH)

IOS および IOS XE プラットフォームでの NGE サポート

この表は Cisco IOS ベースおよび IOS XE ベースのプラットフォームの NGE サポートをまとめたものです。

プラットフォーム暗号化エンジンのタイプNGE によるサポートNGE をサポートする Cisco IOS/IOS-XE の最初のバージョン
IOS Classic が稼働するすべてのプラットフォームIOS ソフトウェア暗号化エンジンはい 15.1(2)T
7200VAM/VAM2/VSAいいえN/A
ISR G1コントローラのいいえN/A
ISR G2 2951、3925、3945オンボード1はい15.1(3)T
ISR G2 (3925E/3945E を除きます)VPN-ISM1はい15.2(1)T1
ISR G2 1900、2901、2911、2921、2951、3925、3945、3925E、3945Eオンボード1はい15.2(4)M
ISR G2 CISCO87xソフトウェア/ハードウェアいいえN/A
ISR G2 CISCO86x/C86xソフトウェア2はい15.1(2)T
ISR G2 C812/C819ソフトウェア/ハードウェアはい日 1

ISR G2 CISCO88x/CISCO89x

ソフトウェア/ハードウェア3はい15.1(2)T

ISR G2 C88x

ソフトウェア/ハードウェア4はい日 1
6500/7600VPN-SPAいいえN/A
ASR 1000オンボードはい5
ISR4451-XオンボードはいIOS-XE 3.9(15.3(2)S)
ISR4321、4331、4351、4431オンボードはいIOS-XE 3.13(15.4(3)S)
CSR1000vソフトウェアはいIOS-XE 3.12(15.4(2)S)

注 1: ISR G2 プラットフォームでは、ECDH/ECDSA が設定されている場合、これらの暗号操作は暗号エンジンに関係なく、ソフトウェアで動作します。

注 2: ISR G2 CISCO86x/C86x にハードウェア 暗号化エンジンの NGE サポートがありません。

注 3: ISR G2 CISCO88x/CISCO89x にバージョン 15.2(4)M3 または それ 以降とのだけ SHA-256 のためのハードウェアサポートがあります。

注 4: これらの C88x SKUs に NGE のためのハードウェアサポートがありません: C881SRST-K9、C881SRSTW-GN-A-K9、C881SRSTW-GN-E-K9、C881-CUBE-K9、C881-V-K9、C881G-U-K9、C881G-S-K9、C881G-V-K9、C881G-B-K9、C881G+7-K9、C881G+7-A-K9、C886SRST-K9、C886SRSTW-GN-E-K9、C886VA-CUBE-K9、C886VAG+7-K9、C887SRST-K9、C887SRSTW-GN-A-K9、C887SRSTW-GN-E-K9、C887VSRST-K9、C887VSRSTW-GNA-K9、C887VSRSTW-GNE-K9、C887VA-V-K9、C887VA-V-W-E-K9、C887VA-CUBE-K9、C887VAG-S-K9、C887VAG+7-K9、C887VAMG+7-K9、C888SRSTW-GN-A-K9、C888SRSTW-GN-E-K9、C888SRST-K9、C888ESRST-K9、C888ESRSTW-GNA-K9、C888ESRSTW-GNE-K9、C888-CUBE-K9、C888E-CUBE-K9 および C888EG+7-K9。

注 5: NGE コントロール プレーンのためのサポートはバージョン XE3.7 (15.2(4)S)と(ECDH および ECDSA)導入されました。 コントロール プレーン SHA-2 サポートはバージョン XE3.10 (15.3(3)S)に追加されて IKEv1 サポートが IKEv2 だけのため、です。 Dataplane サポートは Octeon のためのバージョン XE3.8 (15.3(1)S)に基づかせていましたプラットフォームだけを追加されます(ASR1001-X、ASR1002-X、ESP-100 および ESP-200); dataplane サポートは他の ASR プラットフォームで利用できません。

他の NGE 機能のサポート

GETVPN の NGE サポート

  • ISR G2 プラットフォームの Cisco IOS ソフトウェア サポートは、バージョン 15.2(4) M から開始します。
  • ASR サポートは、Cisco IOS XE ソフトウェア、バージョン 3.10S(15.3(3)S)から開始します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116055