不使用擴展驗證方式配置見:www.mycisco.cn/post/170.Html

PC(10.0.0.1、網關10.0.0.254)-----------------（e0/0:10.0.0.254）ROUTER3620(lo0:172.16.0.1)

IOS版本c3620-ik9o3s7-mz.123-21.bin

Building configuration...

Current configuration : 1853 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service passWord-encryption
!
hostname vpnserver
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login xauthen local
!利用AAA配置擴展驗證,由于沒有AAA服務器,只調用了本地
aaa authorization network groupauthor local
!使用AAA服務器查找組策略,這里使用本地,這個本地組策略也可以不配,在后面的加密影射中,調用本地組策略名即可
aaa session-id common
ip subnet-zero
!
!
ip cef   
!
ip audit po max-events 100
!
!
!
!
!
!
!
!
!
!
!
!
username lin password 0 cisco
!
!
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication PRe-share
 group 2 
!
!指定組策略屬性,并進入組策略配置模式,這些配置會被push給客戶端
crypto isakmp client configuration group clientgroup
 key cisco123
!假如客戶段是靠preshared key來確定自己身份的話,那么這個KEY配置就是必須的,它可以和擴展驗證里的不同
 dns 61.148.1.8
 wins 61.148.1.7
 pool ippool
!調用本地地址池,不同的組策略可以調用不同的本地地址池,它要和全局下配置的地址池名一致.
!
!
!培植IPSEC轉換集
crypto ipsec transform-set ipsectrans esp-3des esp-md5-hmac
!
!配置動態影射摸班,調用轉換集,因為不知道peer的IP地址,也不知道要match那些感愛好流,所以用動態加密影射.
crypto dynamic-map dynamicmap 1
 set transform-set ipsectrans
!
!
!下面開始將組策略模式配置和擴展驗證應用到具體的加密影射上.
!
crypto map actmap client authentication list xauthen
!假如這里不用擴展驗證,則可省略上面語句.
!下面這個語句是啟用IKE的組策略查詢,它將依靠于list后面的名稱來查詢AAA或者本地的組策略!
crypto map actmap isakmp authorization list groupauthor
!采用擴展組策略,假如不用擴展組策略則用下面這個語句使用本地手工配置的客戶組,授權語句不可以省略,否則IKE協商過不去.!crypto map actmap isakmp authorization list clientgroup

軟件配置:

建立新連接,注重的就是在新建的時候密碼要填與客戶組對應的密碼,這里是cisco123.

然后連接,在連接過程中會額外再彈出一個要求輸入用戶名和密碼的提示框,這時候輸入AAA對應的,這里是lin,cisco.

http://www.cisco.com/en/US/prodUCts/sw/secursw/ps2308/products_configuration_example09186a00801c4246.shtml