工作原理：一邊服務(wù)器的網(wǎng)絡(luò)子網(wǎng)為192.168.1.0/24路由器為100.10.15.1另一邊的服務(wù)器為192.168.10.0/24路由器為200.20.25.1.執(zhí)行下列步驟：
1.確定一個預(yù)先共享的密鑰(保密密碼)(以下例子保密密碼假設(shè)為noIP4u)
2.為SA協(xié)商過程配置IKE.
3.配置IPSec.
配置IKE：
Shelby(config)#cryptoisakmppolicy1
Shelby(config-isakmp)#group1
注釋：除非購買高端路由器，或是VPN通信比較少，否則最好使用group1長度的密鑰，group命令有兩個參數(shù)值：1和2.參數(shù)值1表示密鑰使用768位密鑰，參數(shù)值2表示密鑰使用1024位密鑰，顯然后一種密鑰安全性高，但消耗更多的CPU時間。
Shelby(config-isakmp)#authenticationpre-share
注釋：告訴路由器要使用預(yù)先共享的密碼。
Shelby(config-isakmp)#lifetime3600
注釋：對生成新SA的周期進(jìn)行調(diào)整。這個值以秒為單位，默認(rèn)值為86400，也就是一天。值得注意的是兩端的路由器都要設(shè)置相同的SA周期，否則VPN在正常初始化之后，將會在較短的一個SA周期到達(dá)中斷。
Shelby(config)#cryptoisakmpkeynoIP4uaddress200.20.25.1
注釋：返回到全局設(shè)置模式確定要使用的預(yù)先共享密鑰和指歸VPN另一端路由器IP地址，即目的路由器IP地址。相應(yīng)地在另一端路由器配置也和以上命令類似，只不過把IP地址改成100.10.15.1。