特定のトンネルでのみキーIDを使用するCiscoIPsec VPN
私は他の当事者と協力して、私たちと彼らの間にサイト間IPsecVPNを設定しようとしています。私たちはNATの背後にいるので、彼らのCisco(IOS 9.1.7のASA 5510)が私たちのIKE ID(Cisco用語ではkey-id)と一致する必要があります。問題は相手が言ったことですキーIDは、トンネルレベルではなく、グローバルレベルでのみ有効にできるため、他のVPNに影響を与えるため、有効にできません。
これは正しいですか、キーIDの一致はオールオアナッシングですか?有効にすると、それを必要とするトンネルだけでなく、すべてのトンネルで使用されますか?私が見つけた唯一の文献は Cisco自体 からのものであり、グローバルスコープを暗示しているようですが、私はCisco構成の専門家ではないため、この質問をします。
ピアの識別方法を変更するには、次のコマンドを入力します。
暗号isakmpアイデンティティ{アドレス|ホスト名| key-id id-string |自動}
NATされたときにIPsecトンネルを正しく一致させるための他の選択肢はありますか? PSKを使用するIPsecとIKEv1に制限されています。残念ながら、証明書はオプションではありません。
提供したドキュメントには、次のように記載されています。
「セキュリティアプライアンスはフェーズIIDを使用してピアに送信します。これは、事前共有キーで認証されるメインモードのLAN間接続を除くすべてのVPNシナリオに当てはまります。」
キーIDで認証するのではなく、事前共有キーを使用します。 x.x.x.xをグローバルに知られているIPに置き換えます。 z.z.z.zは、グローバルに知られているアドレスになります。
リモートASAコードは次のようになります。
tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x ipsec-attributes
ikev1 pre-shared-key 0 secretp@ssw0rd
Cisco IOSルーターを使用している場合、コードは次のようになります。
crypto isakmp key 0 secretp@ssw0rd address z.z.z.z
key 0またはpre-shared-key 0は、次のPSKが暗号化されていないことを示します。トンネルの両側で同じでなければならない一意の値ではありません。