我正在尝试与另一方合作,在我们和他们之间建立站点到站点的 IPsec VPN。我们位于 NAT 后面,因此需要他们的 Cisco(IOS 9.1.7 上的 ASA 5510)匹配我们的 IKE id(Cisco 术语中的密钥 ID)。问题是另一方说他们只能在全局级别启用密钥 ID,而不能在隧道级别启用密钥 ID,因此他们无法这样做,因为这会影响其他 VPN。
这是正确的吗?密钥 ID 匹配是全有或全无的事情?如果启用,它将用于所有隧道,而不仅仅是需要它的隧道?我找到的唯一关于它的文献来自思科本身并且似乎暗示了全局范围,但我不是思科配置方面的专家,因此提出这个问题。
要更改对等识别方法,请输入以下命令:
crypto isakmp 身份 {地址 | 主机名 | 密钥 ID 字符串 | 自动}
当我们进行 NAT 时,还有其他方法可以让 IPsec 隧道正确匹配吗?我们只能使用 PSK 进行 IPsec 和 IKEv1。遗憾的是,证书不是一种选择。
答案1
您提供的文档中指出了以下内容:
“安全设备使用第一阶段 ID 发送给对等方。这适用于所有 VPN 场景,除了使用预共享密钥进行身份验证的主模式下的 LAN 到 LAN 连接。”
我不会使用密钥 ID 进行身份验证,而是使用预共享密钥。替换xxxxx使用您全球知名的 IP。 zzzz将是他们的全球知名地址。
远程 ASA 代码如下所示:
tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x ipsec-attributes
ikev1 pre-shared-key 0 secretp@ssw0rd
如果您有 Cisco IOS 路由器,您的代码可能看起来像这样:
crypto isakmp key 0 secretp@ssw0rd address z.z.z.z
key 0或pre-shared-key 0表示以下 PSK 未加密。它不是唯一的值,且隧道两侧必须相同。