Cisco Cisco Packet Data Gateway (PDG)

DES-CBC, 3DES-CBC, AES-CBC-128, AES-CBC-256,
AES-128-GCM-128, AES-128-GCM-64,
AES-128-GCM-96, AES-256-GCM-128,
AES-256-GCM-64, AES-256-GCM-96

AES-GCM algorithms are supported only on
VPC-DI and VPC-SI Platform.

IKEv2 Encryption

Internet Key Exchange
version 2

PRF-HMAC-SHA1, SHA2-256, SHA2-384, SHA2-512,
PRF-HMAC-MD5, AES-XCBC-PRF-128

IKEv2 Pseudo Random
Function

HMAC-SHA1-96, HMAC-SHA2-256-128,
HMAC-SHA2-384-192. HMAC-SHA2-512-256,
HMAC-MD5-96, AES-XCBC-96

IKEv2 Integrity

Group 1 (768-bit), Group 2 (1024-bit), Group 5 (1536-bit),
Group 14 (2048-bit)

IKEv2 Diffie-Hellman
Group

NULL, DES-CBC, 3DES-CBC, AES-CBC-128,
AES-CBC-256

IPSec Encapsulating
Security Payload
Encryption

IP Security

Value of 0 or off is supported (ESN itself is not supported)

Extended Sequence
Number

NULL, HMAC-SHA1-96, HMAC-MD5-96,
AES-XCBC-96, HMAC-SHA2-256-128,
HMAC-SHA2-384-192, HMAC-SHA2-512-256

HMAC-SHA2-384-192 and
HMAC-SHA2-512-256 are not supported
on vPC-DI and vPC-SI platforms if the
hardware doesn't have crypto hardware.

IPSec Integrity

A digital certificate is an electronic credit card that establishes a subscriber's credentials when doing business
or other transactions on the Internet. The digital certificates used by the ePDG conform to ITU-T standard
X.509 for a PKI (Public Key Infrastructure) and PMI (Privilege Management Infrastructure). X.509 specifies
standard formats for public key certificates, certificate revocation lists, attribute certificates, and a certification
path validation algorithm.

The ePDG is capable of authenticating itself to the UE using certificates and does so in the response to the
first IKE_AUTH Request message from the UE.