我试图与另一方合作,在我们和他们之间build立一个站点到站点的IPsec VPN。 我们在NAT后面,所以需要他们的思科(IOS 9.1.7上的ASA 5510)匹配我们的IKE ID(Cisco说法中的key-id)。 问题是对方说他们只能在全球范围内启用key-id,而不是在隧道级别,所以他们不能这样做,因为会影响到其他的VPN。
这是正确的,键ID匹配是一个全或无的事情? 如果启用,它用于所有隧道,而不仅仅是那些需要它? 我发现的唯一的文献是思科本身 ,似乎意味着一个全球性的范围,但我不是思科configuration的专家,因此这个问题。
要更改对端标识方法,请input以下命令:
encryptionisakmp标识{地址| 主机名| key-id id-string | 汽车}
有没有其他的办法可以正确匹配我们NAT的IPsec隧道? 我们仅限于使用PSK的IPsec和IKEv1。 不幸的是,证书不是一个选项。
在您提供的文档中说明了以下内容:
“安全设备使用阶段ID向对等发送,除了在主模式下使用预先共享密钥进行validation的LAN到LAN连接以外,所有VPN情况都适用。
我不使用密钥ID进行身份validation,而是使用预共享密钥。 将xxxxreplace为全球知名的IP。 zzzz将是他们全球知名的地址。
远程ASA代码看起来像这样:
tunnel-group xxxx type ipsec-l2l tunnel-group xxxx ipsec-attributes ikev1 pre-shared-key 0 secretp@ssw0rd 如果您有Cisco IOS路由器,您的代码可能如下所示:
crypto isakmp key 0 secretp@ssw0rd address zzzz
key 0或pre-shared-key 0表示下面的PSK是不安全的。 在隧道两侧,这不是一个独一无二的价值。