以Internet为例，客户机向位于本地ISP的能够提供隧道技术的NAS发出拨号呼叫。例如，企业可以与某个ISP签定协议，由ISP为企业在全国范围内设置一套FEP。这些FEP可以通过Internet互联网络创建一条到隧道服务器的隧道，隧道服务器与企业的专用网络相连。这样，就可以将不同地方合并成企业网络端的一条单一的Internet连接。
　　因为客户只能使用由FEP创建的隧道，所以称为强制隧道。一旦最初的连接成功，所有客户端的数据流将自动的通过隧道发送。使用强制隧道，客户端计算机建立单一的PPP连接，当客户拨入NAS时，一条隧道将被创建，所有的数据流自动通过该隧道路由。可以配置FEP为所有的拨号客户创建到指定隧道服务器的隧道，也可以配置FEP基于不同的用户名或目的地创建不同的隧道。
　　自愿隧道技术为每个客户创建独立的隧道。FEP和隧道服务器之间建立的隧道可以被多个拨号客户共享，而不必为每个客户建立一条新的隧道。因此，一条隧道中可能会传递多个客户的数据信息，只有在最后一个隧道用户断开连接之后才终止整条隧道。
　　
　　■ 高级安全功能
　　虽然Internet为创建VPN提供了极大的方便，但是需要建立强大的安全功能以确保企业内部网络不受到外来攻击，确保通过公共网络传送的企业数据的安全。
　　对称加密与非对称加密（专用密钥与公用密钥）
　　对称加密，或专用密钥（也称做常规加密）由通信双方共享一个秘密密钥。发送方在进行数学运算时使用密钥将明文加密成密文。接受方使用相同的密钥将密文还原成明文。RSA RC4算法，数据加密标准（DES），国际数据加密算法（IDEA）以及Skipjack加密技术都属于对称加密方式。　
　　非对称加密，或公用密钥，通讯各方使用两个不同的密钥，一个是只有发送方知道的专用密钥，另一个则是对应的公用密钥，任何人都可以获得公用密钥。专用密钥和公用密钥在加密算法上相互关联，一个用于数据加密，另一个用于数据解密。
　　公用密钥加密技术允许对信息进行数字签名。数字签名使用发送发送一方的专用密钥对所发送信息的某一部分进行加密。接受方收到该信息后，使用发送方的公用密钥解密数字签名，验证发送方身份。