IPsec erlaubt es nicht, GCM und ESP-SHA256-HMAC in derselben SA auszuführen. Wenn Sie GCM - eine authentifizierte Chiffre - konfigurieren, müssen Sie HMAC nicht ausführen.
Das Authentifizierungs-Tag von GCM bietet bereits Nachrichtenintegrität und Authentifizierung. Es ist keine HMAC-Berechnung erforderlich, um ein weiteres Authentifizierungs-Tag zu erstellen.