• 提交在帕洛阿尔托失败Firewall或者Prisma Access错误为“aesgcm 应该选择哈希值NON-AUTH”或“kmp_hash_algNON-AUTH不支持”
• 提交失败特定于IPSEC隧道IKE加密配置。
• IKEv1 和 IKEv1 类型的隧道都会发生这种情况。
• IKEv1 隧道出现以下错误。

IKE gateway site_1 ikev1 section, kmp_enc_alg AES128-GCM16 is not supported
(Module: ikemgr)
IKE gateway site_1 ikev1 section, kmp_hash_alg NON-AUTH is not supported
(Module: ikemgr)

• IKEv2 隧道出现以下错误。

IKE gateway site_1 ikev2 section, aesgcm should choose  hash value NON-AUTH
(Module: ikemgr)

• 帕洛阿尔托Firewall使用 IPsec 隧道。
• PAN-OS 10.0.0及以上
• Prisma Access 为了 remote networks
• Prisma Access 服务连接

• 这些错误是无效配置的结果。
• aes-gcm 是作为PAN-OS10.0 版本仅适用于 IKEv2 类型的网关/隧道。
• 如果将 aes-gcm 与 IKEv1 一起使用，提交将失败。
• 对于 IKEv2，如果加密设置为 aes-gcm 类型，配置也需要将身份验证设置为无。

定义IKE加密配置文件

1. 如果使用 IKEv1 加密，请执行不是使用aes-gcm在加密。这是不是支持的。
2. 如果使用 IKEv2 加密并使用加密作为aes-gcm身份验证应设置为没有任何.
3. 哈希是根据DH组选择。 上面的文档中有详细信息。

• 如果一个9.1firewall正在被管理Panorama运行 10.0 并且配置一直有效，直到firewall也升级到 10.0，该行为自AES-GCM在 10.0 版本和 9.1 中作为新功能添加firewall会简单地忽略该加密并选择 aes-cbc-256 代替。
• 要使用最好的加密和哈希，请使用DH第 20 组，这将导致IKE使用 sha384 的网关