IPsec puede establecer túneles de capa tres en escenarios donde no se puede usar el protocolo de túnel de capa dos (L2TP). Si se usa L2TP para las comunicaciones remotas, no es necesario configurar ningún túnel, ya que los componentes cliente y servidor de red privada virtual (VPN) de Windows crean reglas automáticamente para proteger el tráfico L2TP.
Para crear un túnel de capa 3 con IPsec, use el complemento Directivas de seguridad IP o Directiva de grupo para configurar y habilitar las dos reglas siguientes en la directiva:
- Una regla para el tráfico saliente del túnel. La regla para el tráfico saliente se configura con una lista de filtros que describe el tráfico que se envía a través del túnel y un extremo del túnel de una dirección IP configurada en el elemento del mismo nivel del túnel IPsec (el equipo o enrutador situado en el otro extremo del túnel).
- Una regla para el tráfico entrante del túnel. La regla para el tráfico entrante se configura con una lista de filtros que describe el tráfico que se recibe a través del túnel y un extremo del túnel de una dirección IP local (el equipo o enrutador situado en este lado del túnel).
 | Nota |
Para cada conexión de túnel, debe crear un filtro tanto para el tráfico entrante como para el saliente. Si crea un filtro para una única dirección, no se aplicará la regla. |
Al crear una directiva para un equipo que ejecute Windows Vista o una versión posterior de Windows, puede especificar tanto una dirección IPv4 como una dirección IPv6. Debe especificar un extremo para cada lado del túnel y la versión del protocolo de dirección debe ser la misma para ambos lados. Es decir, si especifica una dirección IPv6 para el extremo de origen del túnel, también debe usar una dirección IPv6 para el extremo remoto del túnel.
Para cada regla, también debe especificar acciones de filtrado, métodos de autenticación y otras opciones.