(de-encapsulated) برای VPNهای مبتنی بر اینترنت (مسیر حمل داده از کانالهای اینترنت است) ، بسته هایی که بر اساس یکی از پرتکلهای VPN هستند در بسته های IP محفظه بندی میشوند. پرتکلهای VPN همچنین به منظور حفظ امنیت تونل از مکانیزم هویت سنجی (authentication) و رمزگذاری (encryption) پشتیبانی می کند.

دو نوع از تونلهای VPN
مکانیزم VPN از دو نوع تونل اختیاری (voluntary) و اجباری (compulsory) پشتیبانی می کند.

در تونل اختیاری، ایستگاه کاری VPN تنظیمات ارتباطی را مدیریت می کند. در این حالت ابتدا ایستگاه کاری ارتباط خود را با فراهم کننده شبکه حمل (داده) و بقولی ISP بر قرار می نماید، سپس نرم افزار VPN ایستگاه کاری تونلی به سرویس دهنده VPN در انسوی خط می زند

در تونل اجباری، فراهم کننده شبکه حمل (داده) تنظیمات ارتباطی را مدیریت می کند. هنگامیکه برای اولین بار ایستگاه کاری به شبکه حمل متصل می گردد، بلافاصله شبکه حمل ترتیب برقراری ارتباط VPN، بین ایستگاه کاری و سرویس دهنده VPN را می دهد. از دیدگاه ایستگاه کاری برقراری ارتباط VPN بدین روش در یک مرحله به اجرا در می آید در حالیکه در حالت اختیاری برقراری ارتباط در دو مرحله صورت می گیرد.

در روش تونل VPN اجباری ، ایستگاه کاری تایید هویت می گردد و سپس با استفاده از مکانیزم منطقی که در دستگاههای واسطه تعبیه شده است به سرویس دهنده VPN متصل میگردد. گاهی اوقات این دستگاههای واسطه ای شبکه به نامهای Front End Processor) FEP) و همچنین Network Access Server ) NAS) و یا Point of Presence ) POS) نامیده میشوند.
ایجاد تونل به روش اجباری، جزئیات نحوه ارتباط با سرویس دهنده VPN را از دید ایستگاه کاری مخفی می نماید و بطور موثرتری میتواند موضع کنترل بر روی تونل را از ایستگاه کاری به ISP تغییر دهد. در عوض ، فراهم کننده خدمات می بایست بار اضافی مسئولیت نصب و نگهداری FEPها را بر عهده گیرد.

پرتکلهای ایجاد تونل VPN
چندین پرتکل مناسب شبکه ای برای استفاده در تونلهای VPN تهیه شده اند. سه نمونه از معمول ترین پرتکلهای ایجاد تونل VPN در زیر آورده شده اند که همچنان جهت پذیرفته شدن در صنعت به تکمیل خود ادامه می دهند. این پرتکلها بطور کلی با یکدیگر سازگار نیستند.

پرتکل ایجاد تونل نقطه به نقطه Point to Point Tunneling Protocol ) PPTP)
چندین شرکت بزرگ به منظور تعریف مشخصات پرتکل PPTP با یکدیگر همکاری نموده اند. اغلب افراد این پرتکل را به لحاظ وجود آن در ساختار مورد پشتیبانی ایستگاههای کاری ویندوز به مایکروسافت نسبت می دهند. در نسخه های اولیه پرتکل PPTP برای ویندوز مایکروسافت ، ویژگیهایی در نظر گرفته شده است که بعضی از کارشناسان خبره آنرا برای استفاده جدی بسیار ضعیف می دانند. مایکروسافت همچنان به کار تکمیل و پشتیبانی پرتکل PPTP ادامه میدهد. این پرتکل هیچگونه مشخصات رمزگذاری را دارا نمی باشد.


پرتکل لایه دوم Layer Two Tunneling Protocol ) L2TP)
رقیب واقعی پرتکل PPTP در ایجاد تونل VPN پرتکل L2F است که بطور عمده در محصولات شرکت Cisco کار گذاشته میشود. با توجه به رویه اصلاحی L2F ، بهترین ویژگیهای آن و پرتکل PPTP به منظور ایجاد یک استاندارد جدید بنام L2TP با یکدیگر ادغام گردیدند. همانند PPTP ، پرتکل L2TP همانطور که از نامش بر می آید در لایه دوم شبکه (Data Link Layer) در مدل OSI وارد عمل میشود. این پرتکل دارای هیچگونه مکانیزم رمزگذاری نمی باشد.

پرتکل Internet Protocol Security) IPsec)
در حال حاضر پرتکل IPsec متشکل از چندین پرتکل مرتبط با یکدیگر است. این پرتکل می تواند به منظور تکمیل راه حلهای پرتکلی VPN مورد استفاده قرار گیرد و یا به عبارت ساده تر بصورت الگوی رمزگذاری در L2TP یا PPTP. این پرتکل در لایه سوم شبکه (Network layer) در مدل OSI قرار دارد. این پرتکل توسط IETF توسعه داده شده است.