Cisco IOS e IOS-XE con crittografia di nuova generazione

Opzioni per il download

  • PDF     (88.2 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (83.3 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (69.8 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:28 gennaio 2021
ID documento:116055

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto il supporto della crittografia di nuova generazione (NGE) sulle piattaforme Cisco IOS® e Cisco IOS-XE.

    Prerequisiti

    Requisiti

    Nessun requisito specifico previsto per questo documento.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco IOS, più versioni come indicato nella tabella
    • Cisco IOS-XE, più versioni come indicato nella tabella
    • Più piattaforme Cisco come indicato nella tabella

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Algoritmi GE

    Gli algoritmi che compongono il GNE sono il risultato di oltre 30 anni di progressi globali e di evoluzione nella crittografia. Ogni componente del gruppo ha la propria storia, che descrive la storia variegata degli algoritmi del gruppo e la loro lunga revisione accademica e della comunità. Il GRE comprende algoritmi creati a livello globale, esaminati a livello globale e disponibili pubblicamente.

    Gli algoritmi NGE sono integrati in Internet Engineering Task Force (IETF), IEEE e altri standard internazionali. Di conseguenza, gli algoritmi GRE sono stati applicati ai protocolli più recenti e altamente sicuri che proteggono i dati utente, ad esempio IKEv2 (Internet Key Exchange versione 2).

    I tipi di algoritmi crittografici includono:

    • Crittografia simmetrica -AES (Advanced Encryption Standard) a 128 o 256 bit in GCM (modalità Galois/Contatore)
    • Hash - SHA (Secure Hash Algorithms)-2 (SHA-256, SHA-384 e SHA-512)
    • Firme digitali - ECDSA (Elliptic Curve Digital Signature Algorithm)
    • Chiave concordata - Diffie-Hellman a curva ellittica (ECDH)

    Supporto NGE sulle piattaforme Cisco IOS e Cisco IOS-XE

    La tabella riepiloga il supporto NGE sulle piattaforme Cisco IOS e Cisco IOS-XE.

    Piattaforme Tipo di motore di crittografia Supportato da NGE Prima versione di Cisco IOS/IOS-XE per il supporto di NGE
    Tutte le piattaforme con Cisco IOS Classic Motore di crittografia del software Cisco IOS 15.1(2)T
    7200 VAM/VAM2/VSA No N/D
    ISR G1 Tutto No N/D
    ISR G2 2951, 3925, 3945 A bordo1 15.1(3)T
    ISR G2 (esclusi 3925E/3945E) VPN-ISM1 15.2(1)T1
    ISR G2 1900, 2901, 2911, 2921, 3925E, 3945E A bordo1 15.2(4)M
    ISR G2 - CISCO87x Software/hardware No N/D
    ISR G2 - CISCO86x/C86x Software2 15.1(2)T
    ISR G2 C812/C819 Software/hardware Giorno 1
    ISR G2 - CISCO88x/CISCO89x Software/hardware3 15.1(2)T
    ISR G2 C88x Software/Hardware4 Giorno 1
    6500/7600 VPN-SPA No N/D
    ASR 1000 Onboarding Nota5
    ASR 1001-X, ASR 1002-X, ASR 1006-X, ASR 1009-X Onboarding Cisco IOX-XE 3.12 (15.4(2)S)
    ASR 1001-HX, ASR 1002-HX Modulo di crittografia opzionale Denali-16.3.1
    ISR 4451-X Onboarding Cisco IOS-XE 3.9 (15.3(2)S)
    ISR 4321, 4331, 4351, 4431 Onboarding Cisco IOS-XE 3.13 (15.4(3)S)
    ISR 42xx Onboarding Cisco IOS-XE Everest 16.4.1
    CSR 1000v Software Cisco IOS-XE 3.12 (15.4(2)S)
    ISR 1100 Onboarding Cisco IOS-XE Everest 16.6.2
    Catalyst 8200, 8300, 8500 Edge Platform Onboarding Giorno 1
    Catalyst 8000v Software Giorno 1

    Nota 1: Sulla piattaforma ISR G2, se ECDH/ECDSA è configurato, queste operazioni di crittografia verranno eseguite nel software indipendentemente dal motore di crittografia. Gli algoritmi di crittografia AES-GCM-128 e AES-GCM-256 sono supportati per la protezione del control plane IKEv2 dalla versione 15.4(2)T.

    Nota 2: ISR G2 CISCO86x/C86x non dispone del supporto NGE nel motore di crittografia hardware.

    Nota 3: ISR G2 CISCO88x/CISCO89x supporta hardware solo per SHA-256 con versione 15.2(4)M3 o successive.

    Nota 4: Le seguenti SKU C88x non dispongono di supporto hardware per NGE: C881SRST-K9, C881SRSTW-GN-A-K9, C881SRSTW-GN-E-K9, C881-CUBE-K9, C881-V-K9, C881G-U-K9, C881G-S-K9, C881G-V-K9, C881G-B-K9, C881G+7-K9, C8 81G+7-A-K9, C886SRST-K9, C886SRSTW-GN-E-K9, C886VA-CUBE-K9, C886VAG+7-K9, C887SRST-K9, C887SRSTW-GN-A-K9, C887SRSTW-GN-E-K9, C887VSRST-K9, C887VSRSTW-GNA K9, C887VSRSTW-GNE-K9, C887VA-V-K9, C887VA-V-W-E-K9, C887VA-CUBE-K9, C887VAG-S-K9, C887VAG+7-K9, C887VAMG+7-K9, C888SRSTW-GN-A-K9, C888SRSTW-GN-E-K9, C888SRST-K9, C888ESRST-K9, C888ESRSTW-GNA-K9, C888ESRSTW-GNE-K9, C888-CUBE-K9, C888E-CUBE-K9 e C888EG+7-K9.

    Nota 5: Il supporto per il piano di controllo di tipo GE (ECDH ed ECDSA) è stato introdotto con la versione XE3.7 (15.2(4)S). Il supporto del control plane iniziale SHA-2 era solo per IKEv2, con il supporto IKEv1 aggiunto nella versione XE3.10 (15.3(3)S). Gli algoritmi di crittografia AES-GCM-128 e AES-GCM-256 sono supportati per la protezione del control plane IKEv2 a partire dalla versione XE3.12 (15.4(2)S) e 15.4(2)T. Il supporto per le corsie dati NGE è stato aggiunto nella versione XE3.8 (15.3(1)S) solo per piattaforme Octeon (ASR1006 o ASR1013 con modulo ESP-100 o ESP-200); il supporto di dataplane non è disponibile per altre piattaforme ASR1000.

    Supporto di altre funzioni GE

    Supporto GETVPN per NGE

    • Il supporto del software Cisco IOS sulle piattaforme ISR G2 inizia con la versione 15.2(4)M.
    • Il supporto per ASR inizia con il software Cisco IOS-XE versione 3.10S (15.3(3)S).

    Informazioni correlate

    TAC Authored

    Contributo dei tecnici Cisco

    • Wen Zhang
      Cisco TAC Engineer
    • Anthony Grieco
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci