虛擬隧道協議

第二層對應到數據鏈路(Data-Link)層，以幀(frame)為單元交換資料。PPTP、L2TP及Layer2Forwarding(L2F)都是第二層的隧道協議，這些協議都會將載量封裝在「點對點通訊協議(PPP)」幀中，再以隧道協議封裝，再通過網絡傳送。因為第二層隧道協議是以PPP通訊協議為基礎，因此也就繼承了一些很有用的功能，例如用户驗證、動態地址指派、數據壓縮、數據加密等。若再配合使用ExtensibleAuthenticationProtocol(EAP)，就可以支持各種先進的用户驗證方法，如一次性密碼及智能卡等。

第三層對應到網絡(Network)層，以數據包(packet)為資料交換單位。IP-over-IP及IPSec隧道模式，就是第三層隧道協議的範例，這些協議會先將IP數據包處理(如壓縮、加密)後，封裝上額外的IP標頭，然後再將它們通過IP網絡傳送。

對於第二層隧道技術來説，隧道就像是一個session。隧道的兩個端點必須同意該隧道的建立，並協商兩者間的設定，例如地址的指派或加密、壓縮的參數等。隧道必須具有建立、維護，然後終止的過程。

第三層隧道技術通常會假設所有關於設定方面的問題，並非在通訊過程中協商，而會在事前以手動方式處理。對於這些協議來説，可能就沒有隧道維護階段。

一但隧道建立之後，就可以開始傳送數據。隧道的客户端或服務器端會使用隧道傳輸協議來準備要傳送的資料，當資料到達另一端之後，就會移除隧道傳輸協議的標頭，再將資料轉送到目標網絡上。如圖1所示。

依隧道建立方式的不同，我們可以分為自願型隧道及義務型隧道兩種類型。

自願型隧道(VoluntaryTunneling)

當用户使用隧道客户端軟件，發出建立虛擬連接的請求，來連接到目標隧道服務器時，由於用户的計算機就是隧道的端點之一，且自願作為隧道的客户端，所以稱為自願型隧道。為了達到此功能，客户端計算機上必須安裝適當的隧道協議。

在撥接的情況下，客户端必須在建立隧道之前，先建立一個撥號連接到網絡。這是最常見的隧道類型。最佳的例子，就是撥接到Internet的用户，他們必須先撥接到ISP連上Internet，才能建立通過Internet的隧道。

對於和LAN連接的計算機來説，客户端已經與網絡連接，而該網絡已提供將資料傳送到隧道服務器端的服務。這種情況通常發生在公司LAN上的用户，公司LAN已連上Internet，因此他們不需要撥號連接，就能直接建立通過Internet的隧道。認為VPN需要撥號連接是很常見的錯誤觀念。事實上它只需要IP網絡，使用撥號連接到Internet，是準備建立隧道的預備動作，但並不屬於隧道協議本身的一部份。

義務型隧道(CompulsoryTunneling)

某些具備VPN能力的遠程訪問服務器(RemoteAccessServer)，可以被設定作為隧道的客户端，它與隧道服務器端間建立隧道，且義務為遠程撥接用户服務，所以稱為義務型隧道。用户的計算機不再是一個隧道端點，取而代之的是位於用户計算機及隧道服務器之間的遠程訪問服務器。用户計算機上不需要安裝隧道客户端軟件，也不需要隧道協議，因此我們也可以説，用户被迫(被迫與義務是同義的)使用遠程訪問服務器所代為建立的隧道。

隨着支持隧道協議的不同，這種設備也有不同的名稱，如PPTP的FrontEndProcessor(FEP)、L2TP的L2TPAccessConcentrator(LAC)或IPSec的IPSecurityGateway。

FEP可被設定成利用隧道來處理所有的撥接客户端。或者，FEP也可被設定成根據用户名稱或目的地不同，利用隧道來處理個別的撥接客户端。FEP與隧道服務器之間的隧道，可以被多個撥接客户端所共享，因此該隧道會等到最後一位隧道用户中斷連接之後才終止。