В интерфейсе командной строки создание политики IPsec выполняется с помощью команды crypto map, которая осуществляет переход в режим настройки криптографических карт. В этом режиме могут использоваться следующие команды:
· match address осуществляет привязку списка доступа к записи криптографической карты;
· set peer определяет партнера, с которым будем устанавливаться туннель;
· set pfs задает режим pfs, позволяющий повысить уровень защищенности трафика;
· set pool указывает имя пула адресов для криптографической карты;
· set identity задает идентификатор для криптографической карты;
· set security-association lifetime устанавливает время жизни IPsec SA;
· set transform-set дает ссылку на ранее созданный трансформ или трансформы (определяет параметры туннеля);
· set ip access-group устанавливает правила фильтрации, применяемые к входящим IPsec пакетам после декапсуляции, или к исходящим IPsec пакетам до инкапсуляции.
Создание набора динамических криптографических карт в интерфейсе командной строки осуществляется командой crypto dynamic map.
В конфигурационном файле политика IPsec задается в структуре IPsecAction.