1.Site - to - Site、2.Remote Access、3.Site - to - Site＋Remote Access IPSec VPN 設計指南：
　　1. Site - to - Site IPSec VPN 設計指南：
　　
　　1.1 全網狀設計：
　　
　　所有設備均支持全網狀設計，但全網狀設計其可擴展性不好，配置復雜，不推薦超過5~10個Site。
　　
　　1.2 Hub and Spoke 設計指南：
　　
　　1.2.1 普通設計要求：
　　
　　IOS 路由器：可以支持Hub和Spoke之間，以及Spoke和Spoke之間通過Hub的通訊。
　　
　　PIX：
　　1) 若Hub PIX只用一個物理端口與所有Spoke相連，則只能實現各個Spoke與Hub的通訊，Spoke之間的通訊不能實現；
　　2) 若要實現Spoke之間的通訊，有兩個辦法：一）在所有PIX上配置到所有其它PIX的ACL，也就是配置成全網狀模式，但這樣擴展性不好（不推薦超過5個）；二）在Hub PIX上為每個Spoke PIX配置一個獨立的物理端口，這樣可擴展性仍然不好。
　　
　　1.2.2 高可用性設計要求：
　　
　　IOS路由器：可以利用 i) IKE keep-alive 、DPD；ii)IPSec+GRE+動態路由協議；iii)HSRP端口運行IPSec 來實現；首選IPSec+GRE＋動態路由協議的方法（若路由器到路由器IPSec方式）；若遠端設備不支持任何IKE keep－alive或DPD，則可以選用iii)的方法；否則采用i)的方法。
　　
　　PIX：只能采用IKE keep-alive 或 DPD的方法；若遠端設備不支持，或不兼容高可用特性，則無法實現（只能等待IPSec SA的生存時間到后，才可能切換，不推薦修改缺省的時間值）。
　　
　　1.2.3 增值設計考慮：
　　
　　1)NAT / PAT: 若在IPSec 建立通道的途中，在SP端有1:1的NAT，則IPSec采用ESP加密和Tunnel封裝模式下，可以成功建立IPSec通道；但若存在PAT，則不能。
　　IOS路由器和PIX均遵循此規則，但VPN3000可以采用IPSec through NAT的方式成功建立通道；IOS可能會在將來支持此功能。
　　
　　2)動態路由協議、多媒體應用支持：必須支持組播，要求有GRE或L2TP＋IPSec，只有IOS路由器支持，PIX不支持。
　　
　　3)QoS: 若需運行Voice、Video的IP包，需要足夠的QoS，包括在Crypto Engine上的QoS支持，IOS路由器將支持Crypto Engine的LLQ，PIX、VPN3000不支持。V3PN的實現也依賴于IOS設備。
　　
　　2. Remote Access IPSec VPN 設計指南：
　　
　　最佳的遠程接入IPSec VPN設備是VPN3000，支持IPSec through NAT，Crypto Engine支持多線程，可以同時提供大量的IKE SA建立請求；IOS 和PIX的Crypto Engine均為單線程，IOS會開發NBI（Non Blocking IKE），預計可以每秒支持45個IKE SA的建立。
　　
　　若某些場合VPN3000不可用，可以推薦在PIX上實現Remote Access VPN接入，因這種場合下，用戶對QoS的需求不高，故可以采用PIX。
　　
　　
　　3. Site-to-Site ＋ Remote Access IPSec VPN設計指南：
　　
　　目前階段（在思科V3PN第五階段實現之前）：
　　
　　1)最佳的設計方式是：用IOS實現Site-to-Site，IPSec+GRE，支持所有的特性；用VPN3000實現Remote Access，支持IPSec through NAT，提供遠程用戶在任何情況下的接入。
　　
　　2)若VPN3000不可用：用IOS實現Site-to-Site，IPSec+GRE，支持所有的特性；用PIX實現Remote Access，配合Easy VPN提供遠程用戶的簡單配置與方便接入。