我正在尝试配置 IPSEC GCM-这是我不断收到的错误:
Error(s):
'encryption-algorithm aes-256-gcm'
1) HMAC Authentication is not compatible with AES-GCM
2) commit failed: (statements constraint check failed)
to match a CISCO config of the following
Additional VPN changes:
DH group 24 on phase 1
PFS-group 24 on phase 2
AES-256-CBC and SHA 256 on phase 1
AES-256-GCM and SHA 256 on phase 2.
答案1
IPsec 不允许您在同一 SA 上同时执行 GCM 和 ESP-SHA256-HMAC。如果您正在配置 GCM(经过身份验证的密码),则无需执行 HMAC。
GCM 的身份验证标签已经提供了消息完整性和身份验证。无需再进行 HMAC 计算来创建另一个身份验证标签。