思科路由产品

思科接入路由器上使用安全RTP的介质验证和加密特性常见问题

思科接入路由器提供的介质/信令验证和加密特性可防止窃听端接在TDM或模拟话音网关端口上的话音会话。这些可靠、可扩展的特性为LAN(局域网)或WAN(广域网)上的IP通信提供了安全的环境。

特性/优势

问:什么是介质验证和加密?

答:介质验证和加密用于确保已验证设备(即已经验明身份的设备)间的介质流是安全的,且只有目的地设备才能接收并读取数据。

问:什么是信令验证和加密?

答:信令信息包括各方输入的DTMF数字、呼叫状态以及介质加密密钥。信令加密可确保加密设备与Cisco CallManager服务器间的所有信令信息。信令加密或信令完整性可验证信令分组在传输期间有无篡改。

问:思科接入路由器支持哪些介质加密特性?

答:思科接入路由器使用安全RTP的 介质验证和加密特性,可加密IP电话到网关以及网关间的呼叫。这可保护端接在TDM或模拟网关端口中的话音会话或传真会话免遭窃听。这种介质验证和加密特性能够与支持加密的任何思科IP电话兼容。

问:思科接入路由器是否也支持信令加密?

答:支持。它使用IPSec信道加密网关与Cisco CallManager间的信令。

问:介质加密特性支持哪些协议?

答:目前只支持MGCP 0.1网络互联和Cisco CallManager。

问:该特性支持哪些网关接口?

答:支持IP通信话音/传真网络模块(NM-HD-1V, NM-HD-2V, NM-HD-2VE)、IP通信高密度数字话音/传真网络模块(NM-HDV2, NM-HDV2-1T1/E1, NM-HDV2-2T1/E1)以及分组话音/传真数字信号处理模块(PVDM2)。这些接口支持模拟和TDM网关端口,包括FXS, FXO, T1, E1和传真等。

问:哪些思科接入路由器支持该特性?

答:介质/信令验证和加密特性在广泛的平台上得到支持,包括Cisco 2600XM, 2691, 2811, 2821, 2851, 3660, 3640A, VG224, 3700系列和3800系列平台。

问:我如何确认网关间呼叫或IP电话与网关间的呼叫是否安全?

答:对于网关间呼叫(例如:分支机构间安全的传真呼叫),我们用CLI来确认呼叫已经过加密,并提供关于加密呼叫的具体信息。此外,您也可以配置IP电话,以便为加密的IP电话到网络呼叫显示安全锁标。

问:介质加密支持哪些编译码器制度?

答:支持G.711, G.729A和G.729。

问:能否将使用SRTP的介质加密特性用于保护LAN或WAN中的呼叫?

答:使用SRTP的介质加密可用于保护LAN和WAN中的呼叫。然而,当SRTP分组通过不可信的WAN传输时,可能暴露报头。您应确保通过IPSec VPN隧道发送分组。

问:SRST模式支持介质加密吗?

答:不支持。该版本不支持SRST模式的介质加密,未来的IOS版本将提供支持。

问:当呼叫处理回复到SRST模式时,安全呼叫会是怎样的情况?

答:如果您遇到WAN故障,或丢失到Cisco CallManager的连接,呼叫将回复到SRST路由器以进行备份呼叫处理。在这种模式中,安全呼叫性能将衰减,成为不安全呼叫。

性能

问:每个接口最多支持多少个安全呼叫?

答:由于介质加密在DSP中完成,因此,安全呼叫的支持数量由接口上基于TI-5510 的DSP数量决定。例如,PVDM2-16带一个TI-5510 DSP,在G.711模式中可支持16个呼叫、在中度复杂的编译码器模式中可支持8个呼叫、在高度复杂的编译码器模式中可支持6个呼叫。在安全模式中,PVDM2-16将在G.711模式中支持10个呼叫、在中度复杂的编译码器模式中可支持8个呼叫、在高度复杂的编译码器模式中可支持6个呼叫。 2811, 2821, 2851 和3800系列平台的NM-HD模块、NM-HDV2模块和主板支持TI-5510 DSP和PVDM2。

表1
  DSP数量 安全呼叫数量(G.711 编译码器模式) 安全呼叫数量(中度复杂的编译码器模式) 安全呼叫数量(高度复杂的编译码器模式)
PVDM2-16 1 10 8 6
PVDM2-32 2 20 16 12
PVDM2-48 3 30 24 18
PVDM2-64 4 49 32 24

问:支持介质加密是否存在不可扩展的问题?

答:不存在。介质加密在DSP中完成,因此,是高度可扩展的解决方案。随着更多的网关和话音接口的添加,您可添加更多的DSP以支持更多的安全呼叫。

问:支持介质加密是否存在延迟问题?

答:不存在,密钥交换是作为正常MGCP呼叫设置的一部分完成的,因此,不存在额外的呼叫设置延迟问题。同样,由于加密是在DSP中完成的,因此,不会出现与在单独引擎或路由器CPU中处理分组相关的话音介质延迟问题。

安全RTP(SRTP)技术

问:什么是安全RTP?

答:安全RTP是IETF(互联网工程任务组)传输加密话音的标准。SRTP只用于话音分组,由于只加密有效负荷,因此,对话音和视频数据库的传输非常高效。SRTP加密的分组几乎与RTP分组无区别,除了4字节长的验证标记外。

问:SRTP支持哪些加密算法?

答:SRTP支持AES-128计算器模式加密。与DES和3DES等其他算法相比,AES提供了更高级别的安全性和更快的速度。SRTP还支持HMAC安全散列验证算法(SHA 1)。

问: SRTP加密与IPSec加密相比有何优势?

答:SRTP加密的带宽效率比 IPSec高,因为它只加密有效负荷,因此不向分组中添加其他的加密报头。此外,SRTP加密可端到端进行,即IP电话到IP电话,而IPSec加密则只能在路由器之间进行。

定位使用SRTP的介质加密特性

问:介质加密特性如何与思科自防御网络计划中的其他安全特性互操作?

答:最初的防御层是控制并防止接入话音域,但使用安全RTP(SRTP)的介质加密提供了另一个保护层。它加密话音会话,将其以难以破解的方式呈现在设法接入话音域的内外部黑客面前。

问:我们什么时候需要部署SRTP,而不是IPSec V3PN?

答:IPSec V3PN和SRTP是互为补充的技术。SRTP用于加密LAN中的话音分组,这些加密后的分组应在IPSec V3PN隧道中不可信的WAN上传输,以防黑客侵入未加密的SRTP报头。如果WAN是可信的,则可通过SRTP端到端地加密LAN和WAN中的话音分组。

特性可用性

问:哪些Cisco IOS版本支持介质加密?

答:自12.3(11)T IOS起开始提供支持。

问:哪些Cisco IOS特性集支持介质加密?

答:Advanced IP Services版本和Advanced Enterprise Services版本都支持介质加密。

问:哪些Cisco CallManager版本与介质加密特性互操作?

答:介质加密特性与Cisco CallManager 4.1互操作。

联系我们