如圖。

1． 首先，移動用戶通過窄帶撥號或ADSL接入internet，或直接通過固定IP接入Internet。在這種情況下，移動用戶也可以經過NAT網關。
2． 然后，移動用戶采用L2TP軟件撥號。可以采用如下L2TP軟件：
Secpoint； Enternet500；Win2K/XP自帶的VPN軟件。

1、 打開Secpoint，新建一個VPN連接。選擇正確的網卡，如果對外用的是撥號連接，注意選擇相關的虛擬或PPP適配器。輸入LNS服務器地址（可輸入一主一備），去掉啟用IPSEC。完成新建連接。
2、 按右鍵，打開新建連接的屬性。
1） 在基本設置中，可以選擇或去掉“連接成功后不允許訪問internet”。如果選中，Secpoint連接成功后會自動將公網的網關刪除，并添加動態獲得的私網地址為自己的默認網關。這樣，用戶就只訪問私網數據，如果訪問公網，則可通過接入到的對端LNS的公網出口出去（假設有的話）。如果不選中，用戶需要在高級中路由設置中將所需訪問的私網網段定義出來，網關指向對端的虛接口地址，這時，用戶即可以上公網，又可以訪問私網。
2） 在高級中的L2TP設置中，可以定義自己的隧道名字、驗證方式、驗證字等。如果對端VPN server定義了這些內容，則必須與Server保持一致。
3、雙擊該連接，輸入用戶名和密碼，撥號。如果有RSA的Token ID，則還需要輸入當前鑰匙盤上顯示的Token碼。
4、撥號成功后，通過“ipconfig”可以看到所獲得的IP地址。

1、 新建連接，選擇“連接到我的工作場所的網絡”，選擇“虛擬專用網絡連接”，輸入名稱，建議選擇“不撥初始連接”，輸入LNS地址。完成新建連接。
2、 打開新建連接的屬性。
1） 在安全設置中，選擇高級。“數據加密”一欄中，選擇“可選加密（沒有加密也可以連接）”，“可允許這些協議”一項中，選擇“PAP”和“CHAP”。
3、雙擊該連接，輸入用戶名和密碼，撥號。
4、撥號成功后，通過“ipconfig”可以看到所獲得的IP地址。

說明：
1、Windows下的L2TP功能缺省啟動證書方式的IPSEC，應當首先在注冊表中禁用。
方法如下：
執行regedit命令，找到如下位置
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
加入如下注冊項：
Value Name: ProhibitIpSec
Data Type: REG_DWORD
Value: 1
2、Secpoint注意采用最新版本。

1、 以從客戶端發往總部的數據為例，分析報文格式如下：