IPsecのPhase1の交換モードには、MainモードとAggressiveモードの2つがあります。
Aggressiveモードは、Mainモードに比べて、ネゴシエーションの手順が簡略化されていますが、SAを確立するノードの各識別子を保護する(暗号化して見せないようにする)機能がありません。
両者の識別子を保護する必要がある場合は、Mainモードで接続する必要があります。
ただし、FITELnet F2000が、PPPoEやDHCPクライアント機能を使用して、IPアドレスを割り当てられるような形態で、IPsecの通信を行なう場合、SAを確立する相手のノードは、IPアドレスではFITELnet F2000を特定できないため、識別子を利用して相手を特定します。したがって、識別子を保護するMainモードは使用できません。
FITELnet F2000では、IPsec Phase1の交換モードを、negtiation-modeコマンドを利用して設定します。
Router(config)#crypto isakmp policy 1
Router(config-isakmp)#negotiation-mode main
ただし、相手からIPsecのネゴシエーションを受けた場合(Responderになった場合)は、相手の交換モードに従います。