L2TP OVER IPSEC 如何识别客户端？

【L2TP OVER IPSEC 配置中IPSEC部分】

ipsec policy 1 1 isakmp template 1  #建立IPSEC 安全策略，引用模板1，采用自动isakmp

ipsec policy-template 1 1  #建立模板

 transform-set 1    #引用IPsec安全协议 1

 ike-profile 1       #引用ike 配置文件 1

ipsec transform-set 1  #配置IPsec安全提议。

 esp encryption-algorithm 3des-cbc 

#配置IPsec安全提议采用的ESP加密算法为CBC模式的3DES算法。

     esp authentication-algorithm md5 

# 配置IPsec安全提议采用的ESP认证算法为MD5。

【注意】v5下是用ipsec proposal，而v7下是用命令：ipsec transform-set

ike profile 1   #配置IKE安全配置文档。

keychain 1

 #在IKE profile 1中指定名称为1的配置的IKE keychain

 local-identity address 202.3.100.2 

# 指定使用IP地址202.3.100.2 标识本端身份。

 match remote identity address 0.0.0.0 0.0.0.0

# 指定需要匹配对端身份类型为IP地址，取值为任意地址。

 proposal 1

# 指定IKE安全提议1

ike proposal 1  #创建IKE安全提议1

       encryption-algorithm 3des-cbc 

dh group2

 authentication-algorithm md5

#注意：有默认配置

ike  keychain  1

#在IKE需要通过预共享密钥方式进行身份认证时，协商双方需要创建并指定IKE keychain。IKE keychain用于配置协商双方的密钥信息.预共享密钥，含义是保证的服务器段和客户均持有相同的密钥， 在加密和解密发生之前

#配置与地址为0.0.0.0 0.0.0 的对端使用的预共享密钥为明文的abcd。

pre-shared-key address  0.0.0.0 0.0.0.0 key simple h3c

[FW_1-ike-keychain-1]pre-shared-key ?

 address           Specify a peer by its address

 hostname       Specify a peer by its hostname

问题1：

有两处需要配置IP地址或名称

match remote identity address 0.0.0.0 0.0.0.0

pre-shared-key address  0.0.0.0 0.0.0.0 key simple h3c

都是用来标识对端身份的吗，如果是这样的，那不是重复配置了吗？

问题2：

L2tp over ipsec 是在原来的L2TP基础上增加了安全部分，l2tp主要用在移动客户通过远程访问总部的私有资源。以上两处需要标识对端身份通过IP地址肯定是不现实的，而且大多环境要穿越NAT设备，肯定就通不过了。

问题3：

[FW_1-ike-keychain-1]pre-shared-key ?

 address           Specify a peer by its address

 hostname       Specify a peer by its hostname

这个地方的 address 或hostname是指客户端的吗，hostname是指客户端的主机名还是？？如果有多个客户端（不同主要名）登陆如何识别？？