如图。

1． 首先，移动用户通过窄带拨号或ADSL接入internet，或直接通过固定IP接入Internet。在这种情况下，移动用户也可以经过NAT网关。
2． 然后，移动用户采用L2TP软件拨号。可以采用如下L2TP软件：
Secpoint； Enternet500；Win2K/XP自带的VPN软件。

1、 打开Secpoint，新建一个VPN连接。选择正确的网卡，如果对外用的是拨号连接，注意选择相关的虚拟或PPP适配器。输入LNS服务器地址（可输入一主一备），去掉启用IPSEC。完成新建连接。
2、 按右键，打开新建连接的属性。
1） 在基本设置中，可以选择或去掉“连接成功后不允许访问internet”。如果选中，Secpoint连接成功后会自动将公网的网关删除，并添加动态获得的私网地址为自己的默认网关。这样，用户就只访问私网数据，如果访问公网，则可通过接入到的对端LNS的公网出口出去（假设有的话）。如果不选中，用户需要在高级中路由设置中将所需访问的私网网段定义出来，网关指向对端的虚接口地址，这时，用户即可以上公网，又可以访问私网。
2） 在高级中的L2TP设置中，可以定义自己的隧道名字、验证方式、验证字等。如果对端VPN server定义了这些内容，则必须与Server保持一致。
3、双击该连接，输入用户名和密码，拨号。如果有RSA的Token ID，则还需要输入当前钥匙盘上显示的Token码。
4、拨号成功后，通过“ipconfig”可以看到所获得的IP地址。

1、 新建连接，选择“连接到我的工作场所的网络”，选择“虚拟专用网络连接”，输入名称，建议选择“不拨初始连接”，输入LNS地址。完成新建连接。
2、 打开新建连接的属性。
1） 在安全设置中，选择高级。“数据加密”一栏中，选择“可选加密（没有加密也可以连接）”，“可允许这些协议”一项中，选择“PAP”和“CHAP”。
3、双击该连接，输入用户名和密码，拨号。
4、拨号成功后，通过“ipconfig”可以看到所获得的IP地址。

说明：
1、Windows下的L2TP功能缺省启动证书方式的IPSEC，应当首先在注册表中禁用。
方法如下：
执行regedit命令，找到如下位置
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
加入如下注册项：
Value Name: ProhibitIpSec
Data Type: REG_DWORD
Value: 1
2、Secpoint注意采用最新版本。

1、 以从客户端发往总部的数据为例，分析报文格式如下：