1. 建立一个用户(vpn登录本地验证) username cisco password cisco

2.phase 1 制定ISAKMP策略
crypto isakmp enable outside 在outside接口上启用isakmp，默认isakmp是不启用的，这点与路由器不一样
crypto isakmp policy 10 建立isakmp策略
 authentication pre-share 预共享密钥验证
 encryption aes aes加密
 hash sha 使用sha1 hash校验
 group 2 使用DH group2
 lifetime 86400 有效期1天(默认)

3. "phase 1.5" 配置组
group-policy vpngroup internal 内部组策略
access-list sp extended permit ip 1.1.1.0 255.255.255.0 any建立一个用于标记流量分割的acl
group-policy vpngroup attributes 组策略
 vpn-tunnel-protocol IPSec 使用IPSec作为隧道协议
 split-tunnel-policy tunnelspecified 表示分割流量是acl明确标记出来的
 split-tunnel-network-list value sp acl名为sp的流量需要使用加密隧道传输
tunnel-group vpngroup type ipsec-ra 组vpngroup是ipsec remote access类型的
ip local pool localpool 192.168.1.1-192.168.1.100 建立一个地址池名为localpool
tunnel-group vpngroup general-attributes 针对该组的一般属性(地址、dns等）
 address-pool localpool 地址池使用名为localpool的
 default-group-policy vpngroup 该组使用的策略名叫做vpngroup
tunnel-group vpngroup ipsec-attributes 针对该组的ipsec属性
 pre-shared-key groupkey 共享密钥为"groupkey"，配置好之后show run看到的共享密钥应该显示为"*"。

4.配置phase 2
crypto ipsec transform-set ts esp-3des esp-md5-hmac 建立一个转换集使用3des加密，md5验证
crypto dynamic-map dmap 10 set transform-set ts 建立一个动态map调用该转换集
crypto map cmap 1000 ipsec-isakmp dynamic dmap 建立一个静态map调用动态map dmap
crypto map cmap interface outside在接口上应用静态map cmap