IPsec协议（AH或ESP）保护整个IP包或IP包中的上层协议。IPsec有两种工作方式：传输方式保护上层协议如TCP；隧道方式保护整个IP包。在传输方式下，IPsec包头加在IP包头和上层协议包头之间；而在隧道方式下，整个IP包都封装在一个新的IP包中，并在新的IP包头和原来的IP包头之间插入IPsec头。两种IPsec协议AH 和ESP都可以工作在传输方式下或隧道方式下。

　　L2TP与IPsec传输方式的集成

　　鉴于IPsec缺少用户认证，只支持IP协议，目前有一种趋势将L2TP和IPsec结合起来使用，采用L2TP作为隧道协议，而用IPsec协议保护数据。

　　PPTP和L2TP都支持多协议，但要记住L2TP协议缺少数据保密性的保护。PPTP和L2TP都不具有机器认证的能力，而必须依赖于用户认证。

　　在所有的VPN协议中，IPsec提供最好的安全性，但IPsec无法提供用户认证，也不支持多协议。许多厂家都采用的附加的特性来支持用户认证，比如支持Radius协议。IPsec协议十分灵活，可以满足所有网关到网关的VPN连接。

　　3Com防火墙VPN解决方案

　　通过前面几种VPN协议的分析比较，可以看出3Com公司防火墙VPN采用IPsec协议的优势。同时基于防火墙的VPN还可以充分利用防火墙安全机制的优势。3Com防火墙采用专用硬件加密处理器来加密和解密VPN数据流，而主核心处理器只负责状态包检测功能。因此3Com公司防火墙的VPN性能极高，比如SuperStack 3防火墙可以提供45Mbps的3DES吞吐量，21Mbps 的ARC4吞吐量。

　　3Com防火墙采用IPsec隧道方式提供网关到网关以及客户端到网关的VPN连接，用于分支机构，远程工作人员，客户以及合作伙伴对企业网络的访问。拓扑结构见附图。

　　对于网关到网关VPN，SuperStack 3防火墙支持1000个并发VPN隧道，支持手工密钥方式以及IKE动态密钥方式；对于客户端到网关VPN，SuperStack 3防火墙支持64000个并发VPN客户端;3Com防火墙支持14种认证/加密算法.

　　由于IPsec协议不支持用户认证，因此在远程用户访问VPN环境下，3Com公司防火墙VPN支持Radius协议，通过Radius服务器提供客户端VPN的用户认证。　

　　为简化远程用户访问VPN在防火墙中的配置，3Com 防火墙支持GroupVPN配置功能，一个Group VPN允许100个使用IKE方式的VPN客户端接入。3Com防火墙还免费提供客户端VPN软件SafeNet/IRE VPN。