Salut,
Le 08/11/2018 à 10:24, Joel DEREFINKO a écrit :
J'ai également eu un retour de la part de l'APNF indiquant que les ASR
1001/1002 peuvent être une alternative (on en a).
Je pense que ça nécessite des ASR 1001-*X* / 1002-*X *pour du hashage
sha256*.
*
Pour un autre besoin, je me suis pris la tête à essayer de faire le plus
robuste possible entre un ISR4331 et un ASR1001 sous IOS-XE 3.16.xS.
En ikev1, j'ai pas réussi à faire mieux que :
- policy isakmp : aes256 / group 16
- transform set ESP : aes256 / sha1
Sur les plateformes ASR1001 (pas X), j'ai bien l'impression que :
- les algos DH à courbes elliptiques ne sont pas utilisables pour la
négo isakmp
- le hashage SHA256 et supérieur n'est pas utilisable pour le tunnel
Voir la note 5 là dessus :
https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/116055-technote-ios-crypto.html#anc5
Le pire est que la cli te laisse utiliser toutes les combinaisons
possibles !
Le tunnel ne monte pas et tu loggues via un debug ipsec ce type de
message :
IPSEC(ipsec_process_proposal): transform not supported by encryption
hardware:
{esp-aes esp-sha256-hmac }
ça devait être trop dur chez Cisco de traiter le cas par plateforme pour
refuser le paramétrage en cli directement....
Si quelqu'un a une expérience plus heureuse, je prend ! :-)
A+
--
Jérôme BERTHIER
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
