IPsec voi suorittaa kerroksen 3 tunneloinnin tilanteissa, joissa L2TP (Layer Two Tunneling Protocol) -protokollaa ei voida käyttää. Jos käytät etäyhteyksiin L2TP-protokollaa, tunnelin määritystä ei tarvita, sillä Windows-järjestelmän asiakkaan ja palvelimen VPN-osat luovat automaattisesti tarvittavat säännöt L2TP-tietoliikenteen suojaamiseksi.
Jos haluat luoda kerroksen 3 tunnelin IP-suojauksen avulla, määritä ja ota käyttöön seuraavat kaksi käytännön sääntöä IP-suojauskäytännöt- tai Ryhmäkäytäntö-laajennuksen avulla:
- Sääntö tunnelin lähtevälle tietoliikenteelle Lähtevän tietoliikenteen säännössä määritetään suodatinluettelo, joka kuvaa tunnelin kautta lähetettävää tietoliikennettä, ja tunnelin päätepiste, joka on määritetty IP-osoitteena IP-suojauksen tunnelivertaiskoneeseen (tunnelin toisessa päässä olevaan tietokoneeseen tai reitittimeen).
- Sääntö tunnelin saapuvalle tietoliikenteelle Saapuvan tietoliikenteen säännössä määritetään suodatinluettelolla, joka kuvaa tunnelin kautta vastaanotettavaa tietoliikennettä, ja tunnelin paikallisena IP-osoitteena määritetty päätepiste (tunnelin paikallisessa päässä oleva tietokone tai reititin).
 | Huomautus |
Tunneliyhteydelle on luotava sekä saapuva että lähtevä suodatin. Jos suodatin luodaan vain yhdelle suunnalle, sääntöä ei käytetä. |
Luotaessa käytäntöä tietokoneelle, jossa on Windows Vista tai uudempi versio, voidaan määrittää joko IPv4-osoite tai IPv6-osoite. Päätepiste on määritettävä tunnelin molemmille päille. Kummallakin puolella on oltava sama osoiteprotokollan versio. Jos siis tunnelin lähdepuolelle määritetään IPv6-osoite, myös tunnelin etäpuolella on käytettävä IPv6-osoitetta.
Kullekin säännölle on määritettävä suodatustoiminnot, todentamismenetelmät ja muut asetukset.