IKEv2隧道模式和传输模式失败，系统日志中原因为 TS_UNACCETABLE

• Palo Alto 防火墙被配置为启动器。
• 第 1 阶段IKEv2协商失败。
• TS_UNACCEPTABLE 消息记录在系统日志中（ show log system ）。
• ikemgr.log（ less mp-log ikemgr.log ）在转储模式下显示TS构造TS 0.0.0.0 -> 255.255.255.255后跟TS_UNACCEPTABLE。

-0200  [PNTF]: {    5:     }: ====> IKEv2 CHILD SA NEGOTIATION STARTED AS INITIATOR, non-rekey; gateway .........
-0200  [DEBG]: {    5:    5}: construct TS_r 0.0.0.0 -> 255.255.255.255 ======> check
....(Output Omitted)............
-0200  [PWRN]: {    5:     }: XX.XX.XX.XX[500] - YY.YY.YY.YY[500]:0x564eaf366fd0 received notify type TS_UNACCEPTABLE 

• Palo Alto 防火墙（包括 Prisma Access）
• 支持的 PAN OS
• 与第三方设备的IPSec隧道

• PAN FW 为“流量选择器 - 发起者”和“流量选择器 - 响应者”发送“0.0.0.0 - 255.255.255.255”，但可能会被另一端子设备拒绝。
• 因此， IKEv2子SA可能会在作为发起者的 PA 防火墙与作为响应者的另一个供应商的设备之间失败，原因为 TS_UNACCEPTABLE。
• 流量选择器无法更改，因为在 IPsec 传输模式下无法配置代理 ID。

1. 在相应IKE网关的高级选项中勾选“启用被动模式”。
2. 通过使 PAN FW 始终成为响应者，这将避免出现此问题。