Краткие выдержки.

Создаем политику.

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key PASSWORD address nnn.nnn.nnn.nnn(Другая сторона туннеля)
Создаем трансформ сет.
crypto ipsec transform-set set1 esp-3des esp-sha-hmac
Создаем крипто мап.
crypto map CRYPTOMAP 1 ipsec-isakmp
set peer nnn.nnn.nnn.nnn
set transform-set set1
set pfs group2
match address 110(access list)
interface FastEthernet4
ip address xxx.xxx.xxx.xxx 255.255.255.248 (Внешний интерфейс роутера)
ip nat outside
ip virtual-reassembly
no ip route-cache cef
no ip route-cache
duplex auto
speed auto
crypto map CRYPTOMAP
interface Vlan200
ip address 10.1.5.1 255.255.255.248
ip nat inside
ip virtual-reassembly
ip nat inside source list 130 interface FastEthernet4 overload
access-list 1 permit 10.1.5.0 0.0.0.7


То что заворачиваем в туннель.
access-list 110 permit ip 10.1.5.0 0.0.0.7 10.100.200.0 0.0.0.255
access-list 110 permit ip 10.1.5.0 0.0.0.7 10.100.5.0 0.0.0.255
access-list 110 deny   ip 10.1.5.0 0.0.0.7 any

Запрещаем трансляцию туннельного траффика.
access-list 130 deny   ip 10.1.5.0 0.0.0.7 10.100.200.0 0.0.0.255
access-list 130 deny   ip 10.1.5.0 0.0.0.7 10.100.5.0 0.0.0.255
access-list 130 permit ip 10.1.5.0 0.0.0.7 any

Заворачиваем в туннель по подходящему аксесс листу.
route-map CRYPTOMAP permit 10
match ip address 110

С другой стороны туннеля делаем все, относящееся к туннелю, "зеркально".