В загальному випадку ніякого прмяого зв'язку між маршрутизацією і тунелюванням не повинно бути (хоча Лінукс-імплементація *SWAN, і використовує команду роут для перенаправлення трафіку в тунель). Тунелювання передбачає інакпсуляцію+криптування. Далі інкапсульований пакет роутиться згідно таблиці маршрутизації. Тому, наскільки я пригадую, зміна таблиці маршрутизації в даному впадку не вплине на те, який трафік має інкапсулюватись (іти в тунель), а лише на те куди підуть вже інкапсульовані пакети (знову ж таки не плутити з реалізацією на Лінуксі, де Ви отримуєте інтерфейс ipsec і в нього роутите трафік -- ІМНО це просто особливості реалізації).
Якщо Вам конче необхідно міняти роутінг після підняття тунелю, треба шукати зачіпки на виконання "батніка" після встановлення тунелю (типу ip-up.local для ррр). Не пригадую, правда, чи Циско клієнт вміє такі речі. Але ІМНО Вам потрібно просто коректно виставити політики на стороні клієнта, які визначатимуть трафік який буде інкапсулюватись у тунель.
