工作原理：一邊服務器的網絡子網為192.168.1.0/24路由器為100.10.15.1另一邊的服務器為192.168.10.0/24路由器為200.20.25.1.執行下列步驟：
1.確定一個預先共享的密鑰(保密密碼)(以下例子保密密碼假設為noIP4u)
2.為SA協商過程配置IKE.
3.配置IPSec.
配置IKE：
Shelby(config)#cryptoisakmppolicy1
Shelby(config-isakmp)#group1
注釋：除非購買高端路由器，或是VPN通信比較少，否則最好使用group1長度的密鑰，group命令有兩個參數值：1和2.參數值1表示密鑰使用768位密鑰，參數值2表示密鑰使用1024位密鑰，顯然后一種密鑰安全性高，但消耗更多的CPU時間。
Shelby(config-isakmp)#authenticationpre-share
注釋：告訴路由器要使用預先共享的密碼。
Shelby(config-isakmp)#lifetime3600
注釋：對生成新SA的周期進行調整。這個值以秒為單位，默認值為86400，也就是一天。值得注意的是兩端的路由器都要設置相同的SA周期，否則VPN在正常初始化之后，將會在較短的一個SA周期到達中斷。
Shelby(config)#cryptoisakmpkeynoIP4uaddress200.20.25.1
注釋：返回到全局設置模式確定要使用的預先共享密鑰和指歸VPN另一端路由器IP地址，即目的路由器IP地址。相應地在另一端路由器配置也和以上命令類似，只不過把IP地址改成100.10.15.1。