IPSec kan Layer 3-tunneling uitvoeren voor scenario's waarin L2TP (Layer Two Tunneling Protocol) niet kan worden gebruikt. Als u voor externe communicatie gebruikmaakt van L2TP, hoeft u geen tunnel te configureren, omdat voor de beveiliging van L2TP-verkeer automatisch de juiste regels worden gemaakt door de VPN-onderdelen (Virtual Private Networking) client en server van Windows.
Als u met IPSec een Layer 3-tunnel wilt maken, gebruikt u de module IP-beveiligingsbeleid of Groepsbeleid om de volgende twee regels voor het beleid te configureren en in te schakelen:
- Een regel voor het uitgaande verkeer voor de tunnel. De regel voor het uitgaande verkeer wordt geconfigureerd met zowel een filterlijst waarin het verkeer wordt beschreven dat via de tunnel moet worden verzonden, als een tunneleindpunt van een IP-adres dat is geconfigureerd op de IPSec-tunnelpeer (de computer of router aan de andere kant van de tunnel).
- Een regel voor het binnenkomende verkeer voor de tunnel. De regel voor het binnenkomende verkeer wordt geconfigureerd met zowel een filterlijst waarin het verkeer wordt beschreven dat via de tunnel moet worden ontvangen, als een tunneleindpunt van een lokaal IP-adres (de computer of router aan deze kant van de tunnel).
 | Opmerking |
U moet voor elke tunnelverbinding zowel een binnenkomend als een uitgaand filter maken. Als voor slechts één richting een filter wordt gemaakt, wordt de regel niet toegepast. |
Als u een beleid maakt voor een computer met Windows Vista of een hogere Windows-versie, kunt u een IPv4-adres of een IPv6-adres opgeven. U moet voor elke kant van de tunnel een eindpunt opgeven en de adresprotocolversie moet voor beide kanten hetzelfde zijn. Met andere woorden: als u een IPv6-adres opgeeft voor de bronkant van de tunnel, moet u ook een IPv6-adres opgeven voor de externe kant van de tunnel.
Voor elke regel moet u ook filteracties, verificatiemethoden en andere instellingen opgeven.