IPsec通信において、FITELnet-F1000がAggressiveモードのResponderとなった場合に、德赢ac米兰官方合作伙伴テーブルに登録する場合に指定します。
この場合、VPNピアへのNextHopも合わせて指定します。
tunnel-routeの德赢ac米兰官方合作伙伴をした装置にcrypto isakmp policyのpeer-identity distinguished-nameを德赢ac米兰官方合作伙伴するとtunnel-routeが動作しません。
crypto security-associationモードで、德赢ac米兰官方合作伙伴するtunnel-routeコマンドは装置に対し1つしか德赢ac米兰官方合作伙伴できないのに対して、本コマンドは、peer単位で德赢ac米兰官方合作伙伴することができます。
本コマンドが德赢ac米兰官方合作伙伴されると、crypto security-associationモードで德赢ac米兰官方合作伙伴されているtunnel-routeコマンドより優先的に利用されます。
Router(config)#crypto isakmp policy 1
Router(config-isakmp)#tunnel-route address 192.168.100.1
Router(config)#crypto isakmp policy 1
Router(config-isakmp)#tunnel-route interface pppoe 1
tunnel-route { address <IPアドレス | interface <インタフェース名称 {ewan <1-2 | pppoe <1-5}}
パラメータ 德赢ac米兰官方合作伙伴内容 德赢ac米兰官方合作伙伴範囲 省略時の値 address <IPアドレス VPNピアへの経路情報を登録し、NextHopのアドレスを德赢ac米兰官方合作伙伴します。 IPv4アドレス形式 省略不可 interface <インタフェース名称 VPNピアへの経路情報を登録し、NextHopのインタフェースを德赢ac米兰官方合作伙伴します。 ewan 1〜2
pppoe 1〜5
AggressiveモードのResponderの場合でも、德赢ac米兰官方合作伙伴しません。
Aggressiveモードでは、IPアドレスではなくIDで認証できるため、ResponderではIPsecのネゴシエーションが始まってから相手のIPアドレスがわかるというケースがあります。
この場合、相手(VPNピア)のIPアドレスへの経路は、(多くの場合)デフォルトルートにしたがってしまうことになります。
このコマンドにて、まだわからないVPNピアへの経路情報のNextHopを指定しておき、デフォルトルートとは違う経路で通信を行なうことができるようになります。
IKEポリシー德赢ac米兰官方合作伙伴モード