隧道的建立有两种方式即：“用户初始化”隧道和“NAS初始化”（Network Access Server）隧道。前者一般指“主动”隧道，后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的，而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。

　　L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下：①用户通过Modem与NAS建立连接；②用户通过NAS的L2TP接入服务器身份认证；③在政策配置文件或NAS与政策服务器进行协商的基础上，NAS和L2TP接入服务器动态地建立一条L2TP隧道；④用户与L2TP接入服务器之间建立一条点到点协议（Point to Point Protocol，PPP）访问服务隧道；⑤用户通过该隧道获得VPN服务。

　　与之相反的是，PPTP作为“主动”隧道模型允许终端系统进行配置，与任意位置的PPTP服务器建立一条不连续的、点到点的隧道。并且，PPTP协商和隧道建立过程都没有中间媒介NAS的参与。NAS的作用只是提供网络服务。PPTP建立过程如下：①用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务；②用户通过路由信息定位PPTP接入服务器；③用户形成一个PPTP虚拟接口；④用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道；⑤用户通过该隧道获得VPN服务。

　　在L2TP中，用户感觉不到NAS的存在，仿佛与PPTP接入服务器直接建立连接。而在PPTP中，PPTP隧道对NAS是透明的；NAS不需要知道PPTP接入服务器的存在，只是简单地把PPTP流量作为普通IP流量处理。

　　采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。L2TP比PPTP更安全，因为L2TP接入服务器能够确定用户从哪里来的。L2TP主要用于比较集中的、固定的VPN用户，而PPTP比较适合移动的用户。