Az IP-biztonság végrehajthat 3. rétegű alagutazást olyan forgatókönyvek esetében, amelyekben az L2TP-protokoll nem használható. Amennyiben a táveléréshez L2TP-protokollt használ, nincs szükség az alagút konfigurálására, mivel a Windows rendszerben a virtuális magánhálózatok (VPN) ügyfél- és kiszolgálóösszetevői automatikusan létrehozzák a biztonságos L2TP-forgalomhoz szükséges szabályokat.
Ha a 3. rétegben kíván IPsec alagutat létrehozni, az IP-biztonsági házirendben vagy a Csoportházirendek beépülő moduljában állítsa be és engedélyezze a házirendhez a következő két szabályt:
- A bújtatási alagút kimenő forgalmára vonatkozó szabály A kimenő forgalomra vonatkozó szabály konfigurálásakor meg kell adni egy szűrőlistát, amely leírja a bújtatási alagúton keresztül küldeni kívánt forgalom típusát, valamint a bújtatási végpont IP-címét, amely a bújtatási alagút másik végén elhelyezkedő számítógépen vagy útválasztón állítható be.
- A bújtatási alagút bejövő forgalmára vonatkozó szabály A bejövő forgalomra vonatkozó szabály beállítása egy szűrőlista, amely az alagúton át fogadott forgalmat írja le, valamint egy helyi IP-cím bújtatási végpont, az alagút helyi oldalán található számítógép vagy útválasztó, meghatározásával történik.
 | Megjegyzés |
Mindkét alagút kapcsolathoz létre kell hozni egy bejövő és egy kimenő alagutat. Ha egy szűrő kizárólag egy irányba jön létre, akkor a szabály nem alkalmazható. |
Ha a Windows Vista rendszerhez vagy a Windows valamelyik újabb verziójához hoz létre házirendet, IPv4- és IPv6-címet is megadhat. Végpontot kell megadni az alagút mindkét oldalán és azonos címprotokoll-verziót kell használni mind a két oldalon. Ha tehát egy IPv6-címet adott meg az alagút forrás oldalán, a túloldalon is egy IPv6-címet kell használni.
Minden szabályhoz meg kell adni a szűrőműveleteket, hitelesítési módszereket és más beállításokat is.