Тип аутентификации по умолчанию при создании ISAKMP policy - по сертификатам (authentication rsig|rsa-sig). How-to в интернете - тысячи.
P.S. Предъявить ≠ выдать.
How-to много для IPSec site-to-site. Но там другой случай - там сертификаты обоих сторон прописаны жёстко и регулируются админом.
Я же говорю про L2TP/IPSec для достаточно широкого круга удалённых клиетов.
Поэтому пусть их ОС проверит валидность сервера по предъявляемому сертификату на доменное имя. Но вот как заставить Cisco принимать любой сертификат от клиента? Аутентичность клиента будет проверена на уровне L2TP по учётной записи. Дополнительные меры безопасности на уровне тоннеля излишни.