Схема такая.

1) Ставите две железки и два компа за ними, и добиваетесь чтобы просто ходил трафик (количество железок в цепочки значения не имеет, но для лучшего понимания механизмов работы лучше чтобы железок было 3).Как заставите траффик ходить между компьютерами (через вашу "сеть"). Начинайте заморачиваться с поднятием тунеля.

2)  Проще всего для понимания делать gre over ipsec. Т.е. сначала поднимаете гре тунель и добиваетесь чтобы трафик ходил через него. Как заработает тунель можно его прикрыть ipsec'ом.

3) Поднимаете криптомапы и добиваетесь чтобы заработал ipsec. Проверка очень простая заворачиваете трафик на wireshark и смотрите какие идут пакеты. (должны идти не gre, а esp пакеты). На это все.

О том какие команды и куда вводить читайте в конфиг гайде на вашу железку. Если только начали заниматься, то рекомендую начать с ICND 1&2 ну и далее по списку, в вашем случае CCNA Security еще нужно посмотреть.