Протокол туннелирования 2-го уровня (Layer 2 Tunneling Protocol, L2TP) представляет собой комбинацию протокола PPTP и передачи данных на уровне канала (Layer 2 Forwarding - L2F) - технологию, предложенную компанией Cisco Systems, Inc. L2TP инкапсулирует PPP-кадры для последующей передачи через сети IP, X.25, Frame Relay и ATM. Передаваемые данные могут быть зашифрованы и сжаты. При передаче через Internet кадры L2TP инкапсулируются как сообщения протокола передачи дейтаграмм (User Datagram Protocol - UDP).
Кадры L2TP содержат конфигурационную информацию для настройки соединения и передаваемые данные. Данные для настройки соединения содержат только заголовок L2TP. Передаваемые данные состоят из заголовка PPP и пакета данных PPP. Пакет данных PPP может быть зашифрован или сжат (или и то и другое вместе) с использованием стандартных методов шифрования и сжатия PPP.
В среде Windows Server 2003 соединения L2TP не используют шифрование PPP через Microsoft Point-to-Point Encryption (MPPE). Вместо этого шифрование проводится путем добавления заголовка и окончания кадра IPSec Encapsulating Security Payload
(ESP). 
IPSec
IPSec разрабатывался как механизм обеспечения безопасных соединений в IP-сетях. Архитектура IPSec включает в себя идентификационный заголовок для проверки целостности данных и механизм инкапсуляции для обеспечения целостности данных и шифрования. IPSec использует идентификационный заголовок (authentication header - AH) для идентификации и проверки целостности без шифрования данных и ESP для контроля целостности зашифрованных данных. С использованием IPSec только отправитель и получатель знают ключ шифрования. Если данные аутентификации верны, получатель уверен, что данные пришли от правильного отправителя и не были изменены в процессе передачи.
Выбор между PPTP и L2TP/IPSec
Одна из задач при развертывании VPN-сети на базе Windows Server 2003 состоит в определении того, какой протокол использовать - L2TP/IPSec или PPTP. VPN-клиенты в Windows XP и Windows 2000, а также серверы поддерживают по умолчанию оба протокола. L2TP/IPSec и PPTP используют PPP для первоначального конверта (envelope) пакета данных, к которому потом добавляются дополнительные заголовки для передачи через Internet. L2TP и PPTP также обеспечивают транспортный механизм для передачи PPP-пакетов, туннелирование и инкапсуляцию, поэтому PPP-пакеты, основанные на любом протоколе, могут быть переданы через Internet. Протоколы L2TP и PPTP используют процесс PPP-соединения для конфигурирования и аутентификации пользователей.
Между L2TP и PPTP протоколами существуют некоторые различия. Во-первых, при использовании PPTP шифрование данных начинается после того, как завершится процесс PPP-соединения. В L2TP/IPSec шифрование данных начинается еще до PPP-соединения. Во-вторых, PPTP-соединения используют кодирование потока данных MPPE, которое основано на алгоритме шифрования RSA версии RC-4- алгоритме с открытым ключом, разработанном Ривестом, Шамиром и Альдеманом (Rivest-Shamir-Aldeman - RSA) - с 40-, 56- или 128-битным ключом шифрования. Поток данных шифруется в непрерывный бинарный поток.
Соединения L2TP/IPSec используют стандарт шифрования данных DES (Data Encryption Standard), который шифрует поток данных с использованием одного 56-битного ключа для стандарта DES, либо трех 56-битных ключей для стандарта 3-DES в отдельные блоки (64-битные в случае стандарта DES).
И последнее - PPTP-соединения требуют аутентификации только на уровне пользователей через протокол аутентификации на базе протокола PPP. Соединения L2TP/IPSec требуют аутентификации как на уровне пользователей, так и на уровне компьютеров с использованием соответствующих сертификатов.