Аппаратное шифрование включается через команду (config)> no service ipsec (config)> crypto engine hardware (config)> service ipsec (config)> system configuration save Для AES128/SHA1 все точно должно работать. По умолчанию оно отключено во избежание возможных проблем при массовом применении. Проблема с периодическим разрывом, когда одна и сторон - Giga II на ядре 2.6.22 подтверждена, но прямо сейчас нет времени ей заниматься. Как только - так сразу.