L2TP over IPSec，即先用L2TP封装报文再用IPSec封装，这样可以综合两种VPN的优势，通过L2TP实现用户验证和地址分配，并利用IPSec保障通信的安全性。L2TP over IPSec既可以用于分支接入总部，也可以用于出差员工接入总部。

分支接入总部网络的L2TP over IPSec的工作原理如图1所示。

图1 L2TP over IPSec报文封装和隧道协商过程

报文在隧道中传输时先进行L2TP封装再进行IPSec封装。IPSec封装过程中增加的IP头即源地址为IPSec网关应用IPSec安全策略的接口IP地址，目的地址即IPSec对等体中应用IPSec安全策略的接口IP地址。

IPSec需要保护的是从L2TP的起点到L2TP的终点数据流。L2TP封装过程中增加的IP头即源IP地址为L2TP起点地址，目的IP地址为L2TP终点的地址。分支接入总部组网中L2TP起点地址为LAC出接口的IP地址，L2TP终点的地址为LNS入接口的IP地址。

由于L2TP封装时已经增加了一个公网IP头，而隧道模式跟传输模式相比又多增加了一个公网IP头，导致报文长度更长，更容易导致分片。所以推荐采用传输模式L2TP over IPSec。

出差用户远程接入总部网络的组网中L2TP over IPSec的协商顺序和报文封装顺序跟分支接入总部网络的组网中的协商顺序和报文封装顺序是一样的。所不同的是出差用户远程接入总部网络的组网中，用户侧的L2TP和IPSec封装是在客户端上完成的。L2TP起点的地址为客户端将要获取的内网地址，此地址可以是LNS上配置的IP地址池中的任意地址。L2TP终点地址为LNS入接口的地址。