EzVPN client可分為硬件客戶端（路由器或VPN 3000作客戶端），軟件客戶端（PC中運行客戶端軟件），不管是那種情況，在客戶端需要的配置非常少，主要配置在服務器端。VPN無法建立起來的原因很多，比如路由，NAT，地址池，驗證等等，如果在實驗環境中可以通過3個debug命令去發現問題：debug crypto isakmp、debug crypto engine、debug crypto ipsec，而這里以路由器分別作客戶端和服務器，完整配置如下：

服務器：
第一步：配置XAUTH

R1(config)#aaa new-model
R1(config)#aaa authentication login ccxx local
R1(config)#username yjj password yjj
R1(config)#enable secret cisco
R1(config)#crypto map test client authentication list ccxx
R1(config)#crypto isakmp xauth timeout 30

第二步：建立IP地址池

R1(config)#ip local pool p1 100.1.1.100 100.1.1.200

第三步：配置組策略查找
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#group 2
R1(config-isakmp)#exit

第四步：為MC推定義組策略

R1(config)#crypto isakmp client configuration group ccie
R1(config-isakmp-group)#key ccie
R1(config-isakmp-group)#dns 100.1.1.10 100.1.1.11
R1(config-isakmp-group)#wins 100.1.1.12 100.1.1.13
R1(config-isakmp-group)#domain yjj.com
R1(config-isakmp-group)#pool p1
R1(config-isakmp-group)#exit

第五步：建立變換集

R1(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac
R1(cfg-crypto-trans)#exit

第六步：用RRI建立動態加密映射

R1(config)#crypto dynamic-map dy 1
R1(config-crypto-map)#set transform-set myset
R1(config-crypto-map)#reverse-route
R1(config-crypto-map)#exit

第七步：將MC應用到動態映射

R1(config)#crypto map test client configuration address respond
R1(config)#crypto map test isakmp authorization list ccie
R1(config)#crypto map test 1 ipsec-isakmp dynamic dy

第八步：將動態加密映射應用到接口

R1(config)#int s0/0
R1(config-if)#crypto map test
R1(config-if)#exit

R1(config)#crypto isakmp keepalive 30 3

如果需要遂傳某些網段，把這些網段的訪問控制列表寫出來，在crypto isakmp client configuration group ccie模式下調用即可，它將自動推送到客戶端。

客戶端：

R2:
crypto ipsec client ezvpn jj
connect auto
mode client

group ccie

key ccie
peer 10.1.1.1

interfac e0/0

crypto ipsec client ezvpn jj inside

interface s0/0
crypto ipsec client ezvpn jj  outside