IPsec通信において、FITELnet-F1000がAggressiveモードのResponderとなった場合に、VPNピアへの経路情報をテーブルに登録する場合に指定します。
この場合、VPNピアへのNextHopも合わせて指定します。
tunnel-routeの設定をした装置にcrypto isakmp policyのpeer-identity distinguished-nameを設定するとtunnel-routeが動作しません。
crypto security-associationモードで、設定するtunnel-routeコマンドは装置に対し1つしか設定できないのに対して、本コマンドは、peer単位で設定することができます。
本コマンドが設定されると、crypto security-associationモードで設定されているtunnel-routeコマンドより優先的に利用されます。
Router(config)#crypto isakmp policy 1
Router(config-isakmp)#tunnel-route address 192.168.100.1
Router(config)#crypto isakmp policy 1
Router(config-isakmp)#tunnel-route interface pppoe 1
tunnel-route { address <IPアドレス> | interface <インタフェース名称> {ewan <1-2> | pppoe <1-5>}}
パラメータ 設定内容 設定範囲 省略時の値 address <IPアドレス> VPNピアへの経路情報を登録し、NextHopのアドレスを設定します。 IPv4アドレス形式 省略不可 interface <インタフェース名称> VPNピアへの経路情報を登録し、NextHopのインタフェースを設定します。 ewan 1〜2
pppoe 1〜5
AggressiveモードのResponderの場合でも、VPNピアへの経路情報を登録しません。
Aggressiveモードでは、IPアドレスではなくIDで認証できるため、ResponderではIPsecのネゴシエーションが始まってから相手のIPアドレスがわかるというケースがあります。
この場合、相手(VPNピア)のIPアドレスへの経路は、(多くの場合)デフォルトルートにしたがってしまうことになります。
このコマンドにて、まだわからないVPNピアへの経路情報のNextHopを指定しておき、デフォルトルートとは違う経路で通信を行なうことができるようになります。
IKEポリシー設定モード