O IPsec pode efectuar túneis de Camada 3 para cenários nos quais o protocolo L2TP (Layer Two Tunneling Protocol) não pode ser utilizado. Se estiver a utilizar o L2TP para comunicações remotas, não será necessária qualquer configuração do túnel, porque os componentes de cliente e servidor de rede privada virtual (VPN) do Windows criam automaticamente as regras para proteger o tráfego L2TP.
Para criar um túnel de Camada 3 com o IPsec, utilize os snap-ins Políticas de Segurança IP ou Política de Grupo para configurar e activar as duas regras seguintes para a política:
- Uma regra para o tráfego de saída do túnel. A regra para o tráfego de saída é configurada com uma lista de filtros que descreve o tráfego a ser enviado através do túnel e com com um ponto final de túnel de um endereço IP configurado no elemento do túnel IPsec (o computador ou router do outro lado do túnel).
- Uma regra para o tráfego de entrada do túnel. A regra para o tráfego de entrada é configurada com uma lista de filtros que descreve o tráfego a ser recebido através do túnel e com um um ponto final de túnel de um endereço IP local (o computador ou router deste lado do túnel).
 | Nota |
Tem de criar uma entrada e uma saída para cada ligação de túnel. Se só for criado um filtro para uma direcção, a regra não será aplicada. |
Quando cria uma política para um computador com o Windows Vista ou uma versão posterior do Windows, pode especificar um endereço IPv4 ou IPv6. Tem de especificar um ponto final para cada lado do túnel e a versão do protocolo de endereço tem de ser igual para ambos os lados. Por outras palavras, se especificar um endereço IPv6 para o lado de origem do túnel, também terá de utilizar um endereço IPv6 para o lado remoto do túnel.
Para cada regra, também tem de especificar acções de filtro, métodos de autenticação e outras definições.