%EF%BC%9A%E5%9C%A8%E9%9A%A7%E9%81%93%E7%BB%84%E6%88%96%E7%BB%84%E7%AD%96%E7%95%A5%E4%B8%AD%E6%8C%87%E5%AE%9A%20IPSec%20%E6%A8%A1%E5%BC%8F.png)
文档表明你可以(我假设)全球禁用攻击模式:
isakmp am-disable
在 Cisco 领域中,当两个对等方协商第一阶段时的行为并不十分清楚,但在其他防火墙中,通常可以指定在每个隧道配置上是使用 Main 还是 Aggressive;不太确定如何使用 ASA 5505 执行此操作。
答案1
可以在加密图中为单个对等体定制第 1 阶段模式。
crypto map tunnel-name 1 set peer 31.54.21.54
crypto map tunnel-name 1 set match address tunnel-acl
....
crypto map tunnel-name 1 set phase1-mode [aggressive|main]