V první fázi je třeba nastavit politiky IKE protokolu ISAKMP. Politika IKE slouží protokolu IPsec k sestavení SA. Pro jejich sestavení je však potřeba vyjednat sdílený klíč PSK mezi oběma stranami, ze kterého budou odvozeny vlastní šifrovací klíče. Pro výměnu klíčů je obvykle využit mechanizmus DH. Protokol ISAKMP používá transportní protokol UDP na portu 500. Příklad konfigurace politik (typ autentizace, šifrovací a hashovací algoritmus, DH grupy a doby životnosti SA v sekundách) je patrný z následujícího obrázku.
Dále je třeba nastavit sdílený klíč PSK, kterým se strany vzájemně autentizují. V rámci příkazu je rovněž definována IP adresa druhé strany. Příklad je opět uveden na následujícím obrázku.
V druhé fázi se konfiguruje vlastní nastavení protokolu IPsec. Definuje se množina použitých algoritmů pro šifrování a zajištění integrity dat, tzv. TS (Transform Set). Pro příklad použijeme protokol ESP v kombinaci s HMAC algoritmem SHA-1. Směrovač začne příslušný provoz šifrovat až tehdy, pokud má nastavený tzv. zajímavý provoz (Interresting Traffic) pomocí klasického firewallovacího pravidla ACL (Access List). Takto definované parametry spojí objekt, tzv. kryptomapu (Crypto Map), která je spolu s dalšími dodatečnými parametry jako výchozí adresa druhé strany (obecně lze definovat více adres) a nepovinnými parametry jako DH grupa, doba životnosti IPsec SA (v sekundách) následně aplikována na příslušné rozhraní WAN (Wide Area Network). Vše je patrné z příkladu na následujícím obrázku.
Analogicky je nutné obě IPsec fáze nastavit i na druhé komunikující straně (směrovači) !!!