• パロアルトでコミットが失敗するFirewallまたPrisma Access「aesgcm はハッシュ値を選択する必要があります」というエラーが発生しますNON-AUTH” または “kmp_hash_alg”NON-AUTHサポートされていません」
• コミット失敗の原因は次のとおりです。IPSECトンネルIKE暗号化設定。
• これは、IKEv1 と IKEv1 タイプのトンネルの両方で発生する可能性があります。
• IKEv1 トンネルでは次のエラーが観察されます。

IKE gateway site_1 ikev1 section, kmp_enc_alg AES128-GCM16 is not supported
(Module: ikemgr)
IKE gateway site_1 ikev1 section, kmp_hash_alg NON-AUTH is not supported
(Module: ikemgr)

• IKEv2 トンネルでは次のエラーが観察されます。

IKE gateway site_1 ikev2 section, aesgcm should choose  hash value NON-AUTH
(Module: ikemgr)

• パロアルトFirewallIPsec トンネルを使用します。
• PAN-OS 10.0.0以降
• Prisma Access ために remote networks
• Prisma Access サービス接続

• エラーは無効な構成の結果です。
• aes-gcm はの一部として導入されましたPAN-OS10.0 リリースは IKEv2 タイプのゲートウェイ/トンネル専用です。
• aes-gcm を IKEv1 で使用すると、コミットは失敗します。
• IKEv2 の場合も、暗号化が aes-gcm タイプに設定されている場合、構成では認証を None に設定する必要があります。

定義IKE暗号プロファイル

1. IKEv1 暗号を使用する場合は、次のようにします。いいえ使用aes-gcm暗号化で。それはですいいえサポートされました。
2. IKEv2 暗号化を使用し、暗号化を次のように使用する場合aes-gcm認証は次のように設定されます。なし。
3. ハッシュは以下に基づいて自動的に選択されます。DHグループが選択されました。 詳細は上記の文書に記載されています。

• 9.1の場合firewallによって管理されていますPanorama10.0 を実行しており、設定はfirewallも 10.0 にアップグレードされましたが、以降の動作は予期されています。AES-GCM 10.0 リリースおよび 9.1 に新機能として追加されましたfirewall単純にその暗号化を無視し、代わりに aes-cbc-256 を選択します。
• 可能な限り最適な暗号化とハッシュを使用するには、次を使用します。DHグループ 20 は、IKE sha384を使用するゲートウェイ