Failback do Cisco ASA para o par IPsec preferido

Acabei de configurar meu Cisco ASA 5505 para failover em uma linha de backup de internet quando a interface externa principal está desativada. Isso tudo funciona bem.

Além disso, tenho um túnel VPN IPSEC site-a-site deste ASA redundante ISP para o nosso ASA no datacenter. O failover da VPN para a linha de backup do ISP também funciona muito bem.

No entanto, o túnel VPN não falha na linha principal quando a linha principal online volta a ficar on-line.

Então, faço isso para testes:

• eu desconecto a linha principal.
• O tráfego da Internet e o túnel da VPN são transferidos por falha para a linha de backup.
• reconecto a linha principal.
• O tráfego da Internet é failback para a linha principal, mas agora 2 IPSEC existem túneis para o datacenter. Um sobre a linha principal e um sobre linha de backup.

Como configurar meu ASA de tal forma que a VPN retorne à linha principal? Não quero usar a linha de backup quando tudo estiver bem na linha principal, pois a linha de backup é muito mais lenta.

Eu encontrei alguma documentação no site da Cisco que me diz que eu deveria ser capaz de definir um "peer preferido" nas propriedades do mapa de criptografia, mas isso é apenas para roteadores IOS (não-ASA)?