В документации указано, что вы можете (я предполагаю) глобально отключить агрессивный режим с помощью:
isakmp am-disable
Не совсем ясно о поведении, когда два одноранговых узла согласовывают фазу 1 на территории Cisco, но в других межсетевых экранах вы обычно можете указать, использовать ли основной или агрессивный для каждой конфигурации туннеля; не совсем уверен, как это сделать с ASA 5505.
Режим фазы 1 может быть настроен на криптокарте для отдельного узла.
crypto map tunnel-name 1 set peer 31.54.21.54
crypto map tunnel-name 1 set match address tunnel-acl
....
crypto map tunnel-name 1 set phase1-mode [aggressive|main]