Połączenia korzystające z protokołu L2TP (Layer 2 Tunneling Protocol), zwane również liniami wirtualnymi, zapewniają zdalnym użytkownikom ekonomiczną metodę dostępu poprzez umożliwienie systemom sieci korporacyjnych zarządzania adresami IP przypisanymi do tych użytkowników. Ponadto połączenia L2TP używane wraz z protokołami IPSec zapewniają bezpieczny dostęp do systemów i sieci.
Protokół L2TP obsługuje tunele w dwóch trybach: dobrowolnym i przymusowym. Główną różnicę pomiędzy tymi dwoma trybami tuneli stanowią punkty końcowe. Tunel dobrowolny kończy się u klienta zdalnego, a tunel przymusowy -- u dostawcy usług internetowych (ISP).
W przypadku przymusowego tunelu L2TP zdalny host inicjuje połączenie z dostawcą ISP. Następnie dostawca ISP nawiązuje połączenie L2TP pomiędzy zdalnym użytkownikiem a siecią korporacyjną. Pomimo tego, że połączenie jest nawiązywane przez dostawcę ISP, to użytkownik decyduje, jak zabezpieczyć ruch przy użyciu mechanizmów sieci VPN. Dla tuneli przymusowych dostawca ISP musi obsługiwać protokół L2TP.
W przypadku dobrowolnego tunelu L2TP połączenie jest tworzone przez zdalnego użytkownika, najczęściej za pomocą klienta tunelowania L2TP. W rezultacie zdalny użytkownik wysyła pakiety L2TP do swojego dostawcy ISP, który przekazuje je do sieci korporacyjnej. Dla tuneli dobrowolnych dostawca ISP nie musi obsługiwać protokołu L2TP. W scenariuszu dotyczącym zabezpieczania dobrowolnego tunelu L2TP za pomocą protokołu IPSec przedstawiono przykład konfigurowania systemu w biurze oddziału do połączeń z siecią przedsiębiorstwa poprzez system bram z tunelem L2TP zabezpieczonym mechanizmami sieci VPN.
Dostępna jest prezentacja wizualna przedstawiająca pojęcie dobrowolnych tuneli L2TP zabezpieczanych protokołem IPSec. Wymaga ona zainstalowania wtyczki Flash. Dostępna jest również wersja HTML tej prezentacji.
Protokół L2TP jest w rzeczywistości odmianą protokołu hermetyzacji IP. Tunel L2TP jest tworzony przez wstawienie ramki L2TP wewnątrz pakietu protokołu User Datagram Protocol (UDP), który z kolei znajduje się wewnątrz pakietu IP. Adresy źródłowy i docelowy tego pakietu IP definiują punkty końcowe połączenia. Ponieważ zewnętrznym protokołem hermetyzującym jest IP, można zastosować protokoły IPSec do złożonego pakietu IP. Pozwoli to zabezpieczyć dane przesyłane tunelem L2TP. W prosty sposób można zastosować protokoły Authentication Header (AH), Encapsulated Security Payload (ESP) oraz Internet Key Exchange (IKE).