Unterstützung von Cisco IOS und IOS-XE Verschlüsselung der nächsten Generation
Download-Optionen
-
ePub (86.7 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Inklusive Sprache
In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Informationen zu dieser Übersetzung
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Inhalt
Einführung
Dieses Dokument beschreibt die Unterstützung von NGE (Next Generation Encryption) auf Cisco IOS®- und Cisco IOS-XE-Plattformen.
Voraussetzungen
Anforderungen
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Cisco IOS, mehrere Versionen, wie in der Tabelle angegeben
- Cisco IOS-XE, mehrere Versionen wie in der Tabelle angegeben
- Mehrere Cisco Plattformen, wie in der Tabelle angegeben
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
NGE-Algorithmen
Die Algorithmen, die NGE bilden, sind das Ergebnis von mehr als 30 Jahren globalen Fortschritts und Entwicklung in der Kryptografie. Jede Komponente von NGE hat ihre eigene Geschichte, die die vielfältige Geschichte der NGE-Algorithmen und ihre langjährige akademische und kommunale Überprüfung darstellt. NGE umfasst global erstellte, global überprüfte und öffentlich verfügbare Algorithmen.
NGE-Algorithmen sind in Internet Engineering Task Force (IETF), IEEE und andere internationale Standards integriert. Daher wurden NGE-Algorithmen auf die neuesten und hochsicheren Protokolle angewendet, die Benutzerdaten schützen, z. B. Internet Key Exchange Version 2 (IKEv2).
Zu den Verschlüsselungsalgorithmen gehören:
- Symmetrische Verschlüsselung - Advanced Encryption Standard (AES) mit 128 Bit oder 256 Bit in GCM (Galois/Counter-Modus)
- Hash - Secure Hash Algorithms (SHA)-2 (SHA-256, SHA-384 und SHA-512)
- Digitale Signaturen - Elliptic Curve Digital Signature Algorithm (ECDSA)
- Hauptvertrag - Elliptic Curve Diffie-Hellman (ECDH)
NGE-Unterstützung auf Cisco IOS- und Cisco IOS-XE-Plattformen
In dieser Tabelle ist die NGE-Unterstützung auf IOS- und Cisco IOS-XE-basierten Plattformen zusammengefasst.
| Plattformen | Typ des Krypto-Moduls | Unterstützt durch NGE | Erste Version von Cisco IOS/IOS-XE zur Unterstützung von NGE |
|---|---|---|---|
| Alle Plattformen mit Cisco IOS Classic | Cisco IOS Software-Verschlüsselungs-Engine | Ja | 15,1(2)T |
| 7200 | VAM/VAM2/VSA | Nein | – |
| ISR G1 | Alle | Nein | – |
| ISR G2 2951, 3925, 3945 | An Bord1 | Ja | 15,1(3)T |
| ISR G2 (ohne 3925E/3945E) | VPN-ISM1 | Ja | 15,2(1)T1 |
| ISR G2 1900, 2901, 2911, 2921, 3925E, 3945E | An Bord1 | Ja | 15,2(4)M |
| ISR G2 CISCO87x | Software/Hardware | Nein | – |
| ISR G2 CISCO86x/C86x | Software2 | Ja | 15,1(2)T |
| ISR G2 C812/C819 | Software/Hardware | Ja | Tag 1 |
| ISR G2 CISCO88x/CISCO89x | Software/Hardware3 | Ja | 15,1(2)T |
| ISR G2 C88x | Software/Hardware4 | Ja | Tag 1 |
| 6500/7600 | VPN-SPA | Nein | – |
| ASR 1000 | Onboarding | Ja | Hinweis 5 |
| ASR 1001-X, ASR 1002-X, ASR 1006-X, ASR 1009-X | Onboarding | Ja | Cisco IOX-XE 3.12 (15.4(2)S) |
| ASR 1001-HX, ASR 1002-HX | Optionales Kryptomodul | Ja | Denali-16.3.1 |
| ISR 4451-X | Onboarding | Ja | Cisco IOS-XE 3.9 (15.3(2)S) |
| ISR 4321, 4331, 4351, 4431 | Onboarding | Ja | Cisco IOS-XE 3.13 (15.4(3)S) |
| ISR 42xx | Onboarding | Ja | Cisco IOS-XE Everest 16.4.1 |
| CSR 1000V | Software | Ja | Cisco IOS-XE 3.12 (15.4(2)S) |
| ISR 1100 | Onboarding | Ja | Cisco IOS-XE Everest 16.6.2 |
| Catalyst 8200, 8300, 8500 Edge-Plattformen | Onboarding | Ja | Tag 1 |
| Catalyst 8000V | Software | Ja | Tag 1 |
| Hinweis 1: Wenn auf der ISR G2-Plattform ECDH/ECDSA konfiguriert ist, werden diese kryptografischen Operationen unabhängig von der kryptografischen Engine in Software ausgeführt. Die Verschlüsselungsalgorithmen AES-GCM-128 und AES-GCM-256 werden seit Version 15.4(2)T für den Schutz auf der IKEv2-Kontrollebene unterstützt. |
|||
| Hinweis 2: Der ISR G2 CISCO86x/C86x bietet keine NGE-Unterstützung in der Hardware-Verschlüsselungs-Engine. |
|||
| Hinweis 3: ISR G2 CISCO88x/CISCO89x bietet NUR Hardware-Unterstützung für SHA-256 mit Version 15.2(4)M3 oder höher. |
|||
| Hinweis 4: Diese C88x-SKUs bieten keinen Hardware-Support für NGE: C881SRST-K9, C881SRSTW-GN-A-K9, C881SRSTW-GN-E-K9, C881-CUBE-K9, C881-V-K9, C881G-U-K9, C881G-S-K9, C881G-V-K9, C881G-B-K9, C881G+7-K9, C881G+7-A-K9, C886SRST-K9, C886SRSTW-GN-E-K9, C888888888888888881111111111111111111111111111111111111111111111111111111111186VA-CUBE-K9, C886VAG+7-K9, C887SRST-K9, C887SRSTW-GN-A-K9, C887SRSTW-GN-E-K9, C887VSRST-K9, C887VSRST STW-GNA-K9, C887VSRSTW-GNE-K9, C887VA-V-K9, C887VA-V-W-E-K9, C887VA-CUBE-K9, C887VAG-S-K9, C887VAG+7 -K9, C887VAMG+7-K9, C888SRSTW-GN-A-K9, C888SRSTW-GN-E-K9, C888SRST-K9, C888ESRST-K9, C888ESRSTW-A K9, C888ESRSTW-GNE-K9, C888-CUBE-K9, C888E-CUBE-K9 und C888EG+7-K9. |
|||
| Hinweis 5: Unterstützung für die NGE-Kontrollebene (ECDH und ECDSA) wurde mit Version XE3.7 (15.2(4)S) eingeführt. Die anfängliche SHA-2-Unterstützung der Kontrollebene war nur für IKEv2 vorgesehen, wobei IKEv1 in Version XE3.10 (15.3(3)S) hinzugefügt wurde. Die Verschlüsselungsalgorithmen AES-GCM-128 und AES-GCM-256 werden seit Version XE3.12 (15.4(2)S) und 15.4(2)T für den Schutz auf der IKE-v2-Kontrollebene unterstützt. NGE-Datenaplane-Unterstützung wurde in Version XE3.8 (15.3(1)S) nur für Octeon-basierte Plattformen (ASR1006 oder ASR1013 mit einem ESP-100- oder ESP-200-Modul) hinzugefügt. Für andere ASR1000-Plattformen ist keine Unterstützung für die Datenebene verfügbar. |
|||
Unterstützung weiterer NGE-Funktionen
GETVPN-Unterstützung für NGE
- Die Cisco IOS Software-Unterstützung auf ISR G2-Plattformen beginnt mit Version 15.2(4)M.
- ASR-Unterstützung beginnt mit der Cisco IOS-XE-Software Version 3.10S (15.3(3)S).
Zugehörige Informationen
Beiträge von Cisco Ingenieuren
- Wen ZhangCisco TAC-Techniker
- Anthony GriecoCisco TAC-Techniker
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)