Juniper Networks Inc. ist nach CISCO-Systems der zweitgrösste Netzwerkausrüster der Welt. Juniper wurde 1996 von Pradeep Sindhu, Dennis Ferguson und Bjorn Liencres gegründet. Chief Executive Officer (CEO) ist Scott Kriens,  Chief Technical Officer (CTO) ist Pradeep Sindhu. Der Firmensitz befindet sich in Sunnyvale, Kalifornien (USA). Das IPO (Initial Public Offering) bzw. der Börsengang fand 1999 an der NASDAQ statt. Der Quartalsumsatz betrug im  4. Quartal 2006 595,8 Millionen Dollar, der Gesamtumsatz im Jahr 2006 belief sich auf 2,303 Milliarden Dollar. Die Earnings per Share (EPS) beliefen sich auf 0,18 $. Der Quartalsgewinn lag (1/2006) bei 75,8 Mio $.  Juniper hat einen Namen bei High-End Routern, welche auch bei Internet Backbones eingesetzt werden. Auf den Juniper Routern arbeitet JunOS, ein Netzwerkbetriebssystem welches auf Basis von FreeBSD weiterentwickelt wurde. In den Juniper Routern werden  selbstentwickelte ASIC-Chips (Application Specific Integrated Circuit/Anwendungsspezifische Integrierte Schaltung, auch Custom-Chip) verwendet, die von IBM hergestellt werden. Die Produktion der Router übernehmen Celestica und Solectron. Weitere  Bereiche der Produktion und Logistik wurden an Flexitron outgesourcet. Im Jahr 2004 kaufte Juniper NetScreen, eine auf Netzwerksicherheit (ScreenOS) spezialisierte Firma. Es folgten 2005 die Übernahmen von Kagoor Networks, Peribit Networks und  Redline Networks. Junipers Produktportfolio umfasst neben Routern und Netzwerksicherheit (Firewall/IPSec VPN, Intrusion Detection, SSL VPN, LAN/WLAN Authentifizierung, Unified Access Control) die Bereiche VoIP (Kagoor Networks: Session Border  Controller (SBC)) und Anwendungsbeschleunigung (WAN Beschleunigung (Peribit), Datenzentrum Beschleunigung (Redline)). Zu den grössten Kunden zählen Siemens, Ericsson, MCI, BellSouth, Alcatel und Verizon. Juniper entwickelte die Infranet-Strategie:  Infranet ist eine Vision eines globalen Netzwerkes, dass die Reichweite des Internets mit der Berechenbarkeit eines Local Area Networks (LAN) verbindet. Dazu sollen die Infranets jeweils von den Netzwerksystembetreibern einzeln aufgebaut  werden. Diese Infranet-Inseln können dann zu einem globalen Netzwerk verbunden werden. Juniper Networks konnte im Laufe seiner Firmengeschichte CISCO-Systems beträchtliche Marktanteile abnehmen.                                       

IPv6 ist das Nachfolgeprotokoll des Internet Protocol (IP) bzw. IPv4. Es ist bereits in viele Betriebssysteme integriert (xBSD, Windows, Linux-Distributionen). 

IPv6-Adressraum
Im Unterschied zu IPv4, welches nur einen 32-Bit-Adressbereich aufweist, bietet IPv6 einen Adressbereich von 128 Bit. Damit kann  man einen vielfach grösseren Adressbereich ansteuern und damit wesentlich mehr Rechner im Internet mit IP-Adressen  versehen: anstatt ca. 4,3 Milliarden (2 ^ 32) Adressen im 32-Bit IPv4 sind es bei IPv6 ca. 340 Sextillionen (2 ^ 128)! Es können also rein rechnerisch für jeden  Quadratmillimeter Oberfläche der Erde ungefähr 667 Billiarden IPv6-Adressen zur Verfügung gestellt werden. Tatsächlich werden jedoch nur die ersten 64-Bit für das Routing verwendet, während die letzten 64-Bit zur Identifizierung der Hosts eingesetzt  werden. In Asien werden die IPv4 Adressen schon knapp und auch allgemein wird der Adressraum des IPv4 Protokolls nicht ausreichen, denn neben  einer exponentiell ansteigenden Zahl von neuen benötigten IP-Adressen ist ein grosser Teil des IP-Adressraumes nicht nutzbar, da er für Sonderaufgaben (Multicast) zugeteilt ist oder zu grossen Subnetzen gehört. Die Normen werden von der IETF gesetzt.  Eine IPv6-Adresse hat z.B. folgenden Aufbau: 128 Bit zu 8 Blöcken mit je 16 Bit in Hexadezimalschreibweise: 2001:A00:687:588:a2ff:300:32ee:b1de.  Führende Nullen eines 16-Bit Blockes können weggelassen werden, eine ununterbrochene Reihe von Null-Blöcken kann durch :: ersetzt werden. Diese Notationsform gilt für Anycast-, Multicast- und Unicast-Adressen.   

Features und Dienste
Das IPv6 verfügt über folgende zusätzliche Features: Im Header können Optionen gesetzt werden, die nur noch vom Zielrechner ausgewertet werden.  Dadurch wird die Belastung für das Netzwerk verringert. DHCP ist bei IPv6 i.d.R. nicht notwendig, da IPv6-Adressen autokonfiguriert werden.  IPv6 beinhaltet die Dienste IPSecurity (IPSec) und Qualtity of Service (QoS). Durch die Funktion "Multicast" können Multimediadaten schneller übertragen werden. Durch das Netzwerkprotokoll Mobile IP kann man  mit einem mobilen Endgerät (Handheld, Notebook, Handy) das Rechnernetz wechseln, ohne seine IP-Adresse zu wechseln. 

Autokonfiguration, link-lokale Adressen, Stateless Address Autoconfiguration
Die Autokonfiguration der IPv6-Adressen funktioniert so, dass ein IPv6-Stack aus einer Layer-2-MAC-Adresse (OSI-Sicherungsschicht) eine  link-lokale Adresse errechnen kann. Die link-lokalen Adressen sind in den ersten Bits der IPv6 Adresse, dem Präfix, enthalten und haben eine Sonderfunktion: sie werden von den Routern nicht weitergeleitet und sind nur im gleichen Teilnetz erreichbar.  IPv6 arbeitet mit 'Scopes', das sind netztopologische Bereiche für die die Adresse gültig ist. Die Scopes sind entweder global eindeutig oder link-lokal eindeutig: link-lokale Adressen sind also nur auf dem physikalischen Link, an dem der jeweilige  Netzknoten angeschlossen ist, eindeutig und gültig. In IPv6 unterscheidet man Stateful Address Autoconfiguration (mit DHCPv6) und Stateless Address Autoconfiguration (SLAAC), sowie manuelle Konfiguration (keine Autokonfiguration).  SLAAC ist Bestandteil von IPv6 und auch für Anfänger geeignet, wird doch jede SLAAC-Implementierung vom IPv6-Protokoll ausgeführt: SLAAC (RFC 2462) ermöglicht es einem Host-Rechner, sich selbst mit IPv6-Adressen zu konfigurieren.  Der IPv6 Host benötigt dazu jeweils nur die eigenen Daten sowie die sog. Router Ankündigungen (RAs). Router Ankündigungen sind Informationen, die der Router an alle Rechner in Form von einem Link sendet. Router Ankündigungen beziehen sich auf den jeweils  verbundenen Link: Subnetz/Layer2 Broacast Domänen. RAs enthalten Informationen über die vorderen 64-Bit einer globalen IPv6 Adrersse, den Routing-Präfix und der IPv6-Defaultroute für das Subnet.  Der SLAAC-Prozess startet, wenn ein IPV6-Host gebootet wird oder das IPv6 Protokol initialisiert wird. Der IPv6 Host konfiguriert dann zunächst link-lokale Adressen für seine Interfaces: er erzeugt aus seiner MAC-Adresse (EUI-48) eine EUI-64-ID.  Die EUI-64-ID hängt er an das Präfix für link-lokale Adressen an. Mit der link-lokalen Adresse sucht ein Routing-Gerät nach Routern in seinem Netzwerksegment. Das wird erreicht durch eine Anfrage an die Multicast  Adresse über die alle Router eines LLC Sublayers (Logical Link Control Sublayer) erreichbar sind. Der LLC Sublayer ist zuständig für die Fehlererkennung und Fehlerbehebung gemäss dem OSI-Schichtenmodell  auf Ebene 2. Daraufhin sendet ein Router Daten über den Adressbereich, aus dem das Gerät sich eine Adresse zuweisen darf. Die Duplicate Address Detection verhindert doppelte Adressvergabe und  muss von jedem Gerät nach der Adresswahl durchgeführt werden; nur unvergebene Adressen sind auszuwählen.

IPv6-Header
Der IPv6 Header ist 40 Byte gross (Header Size) und enthält keine Angabe über die Grösse, das Fragment  Offset oder die Prüfsumme. Die Fragmentierung von Datenpaketen erfolgt beim Absender, wodurch die Router bei der Weiterleitung in andere Netze entlastet werden. Die Payload Length ist ein 16-Bit-Feld und gibt die Länge des Datenteils (Nutzdaten) an.  Die maximale Grösse der Nutzdaten ist 65535 Byte. Für grössere Datenpakte ist ein Jumbogram im Extension Header vorgesehen: Datenpakete bis zu einer Grösse von 2 ^ 32 Byte (4096 Mebibyte) sind erlaubt. 

IPv6-Datagramm - keine Fragmentierung
Bei IPv6 wird keine Daten-Fragmentierung mehr verwendet: überschreitet ein IP-Datagramm die MTU, so wird der Absender per ICMP-Nachricht darüber informiert. Daraufhin kann der Absender die Grösse der  zu versendenden Datenpakete entsprechend anpassen, so dass die Router innerhalb des IPv6 Netzes keine Pakete mehr fragmentieren müssen. IPv6 ist so angelegt, dass zukünftige Entwicklungen noch berücksichtigt werden können.

Windows ist die Bezeichnung für eine Betriebssystemreihe von Microsoft. Die Oberfläche arbeitet mit der Fenster-Technik (Window). Windows 3.1 war nur eine Ausbaustufe von DOS, während Windows 95, 98 und NT  eigenständige Systeme sind. Der Datenaustausch erfolgt mit Hilfe der Techniken DDE und OLE. Windows ist multi-taskingfähig und unterstützt Plug & Play. Eine automatische Geräteerkennung und eine Treiberdatenbank sind ebenfalls an Bord.  Integriert sind der Internet Explorer und der Windows Mediaplayer (WMP), was auch gerichtliche Streitereien zwischen Microsoft und den Kartellbehörden (in einigen US-Bundesstaaten und der EU) nach sich zog. Streitpunkt war die Ausnutzung der  Quasi-Monopolstellung, um den Netscape Navigator oder andere Konkurrenzprodukte in die Knie zu zwingen.

Windows 1.0 bis Windows for Workgroups 3.11
Windows 1.0 (1985) war die erste GUI für DOS und sehr stark DOS-orientiert, ebenso wie Windows 2.0  (1987). Windows 3.0 kam 1992 in die Läden und ist ebenfalls eine grafische DOS-Erweiterung, enthält jedoch schon soviele Elemente eines Betriebssystems, dass es als eigenständiges Betriebssystem auf DOS-Basis angesehen werden kann.  Windows 3.0 verfügt über einen Real Mode (Kompatibilitätsmodus für Windows 2.0 Anwendungen bzw. für eine 8086-Architektur), einen Standard Mode (für  die Intel 80826 Architektur) und einen Extended Mode (für die Intel 80386 Architektur: kooperatives Multitasking, Adressierung grösserer Speicherbereiche). Windows 3.0 mit Multimedia Extensions (1991) bot Media Erweiterungen für digitalen Sound,  CD-Player, Bildschirmschoner und eine erweiterte Uhr. Windows 3.1 (1992) war kommerziell sehr erfolgreich und beinhaltete eine 32-Bit Farbpalette, Sound-Unterstützung, TrueType Typos und eine OLE-Schnittstelle welche Drag & Drop unterstützte.  Windows for Workgroups 3.1 (1992) und 3.11 (1993) stellten Netzwerkschnittstellen und Netzwerksoftware zur Verfügung: ein Peer-to-Peer Windows-Netzwerk über ein Microsoft-proprietäres NetBEUI-Protokoll sowie ab 3.11 auch TCP/IP, Windows Sockets  (Winsocks) für den Internetzugang via Standardmodem mit AT-Befehlssatz von Hayes Communications.

Windows NT
Mit Windows NT (Versionen 3.1 (1993), 3.5 (1994), 3.51 (1995) und 4.0 (1996)) wurde ein neuer Kernel eingeführt (NT-Kernel) und zukünftige  Windows Versionen basieren auf dem NT-Kernel und nicht mehr auf MS-DOS: Windows 2000 (NT 5.0, 1999: Professional, Server, Advanced Server, Datacenter Server), Windows Server 2003 (NT 5.2: Standard Edition, x64 Standard Edition (2005),  Enterprise Edition, x64 Enterprise Edition, Datacenter Edition, x64 Datacenter Edition, Web Edition), Windows XP (Codename: Whistler: NT 5.1, 2001: Starter Center Edition, Home Edition, Home Edition N (ohne Windows Media Player) Professional,  Professional N, Media Center Edition, PE (Preinstallation Environment/XP-Kernel), XP-x64 Edition (2005), WinFLP (Microsoft Windows Fundamentals for Legacy PCs (2006): Thin-Client Versionen von XP, Codename: Mönch, Eiger), XP Embedded)  und Vista (NT 6.0, 2007)). Auch bei so genannten Embedded PC-Lösungen kommt Windows zum Einsatz.  Hierfür gibt es die speziell angepassten Versionen der Reihe Windows Embedded. Die Funktionsweise unterscheidet sich nicht sonderlich vom normalen Betriebssystem,  lässt sich aber ohne die standardisierte Tastatur, die Maus oder den Bildschirm bedienen. Zum Einsatz kommen diese Systeme zum Beispiel in Kassen, in Bankautomaten, in Autos oder auch Digitalkameras. Meist wird der Kunde gar nicht mitbekommen,  dass er mit dem Betriebssystem Windows arbeitet, da sich die Benutzeroberfläche so sehr vom heimischen Computer unterscheidet.  Die Architektur von Windows NT 4.0 besteht nach Angaben von Microsoft aus einem modifizierten Mikrokernel. Dieser stelle eine Kombination aus einer Mikrokernel-Architektur mit einem mehrschichtigen Betriebssystem dar. 

Windows 9x, Neuerungen bei NT, Windows 2000 und Windows XP
Microsoft verfolgte eine Weile noch neben der NT-Linie weiterhin die DOS-basierten Windows-Versionen  (Windows 9x, ME) aus Gründen der Kompatibilität und wegen der besseren Eignung für Spiele. Windows 95 ist weitestgehend ein 32-Bit Betriebsystem und beruht auf MS-DOS. Technische Eigenschaften sind präemptives Multitasking bei 32-Bit Anwendungen.  Obwohl Windows 95 mit GDI (Graphics Device Interface) über eine Grafik-Programmierschnittstelle verfügt gilt die GUI eher als grafische Erweiterung von MS-DOS. Die Dateisystemerweiterung VFAT erlaubt längere Dateinamen (255 Zeichen  inklusive Speicherpfad). Vor allem die GUI und das Startmenü inklusive Taskleiste wurden zum Vorgänger erweitert. Ein erweiterter Windows-Explorer wurde eingeführt und ab Windows 95B gibt es auch eine FAT32-Unterstützung.  Windows 98 untertützt ebenso präemptives Multitasking und ist auch wie Windows 95 ein 32 Bit-Betriebssystem, dass aber auch 16-Bit Anwendungen unterstützt. Windows 98 hat als Grundlage MS-DOS 7.1 (16-Bit) und führte die WDM-Treiberarchitektur  (Windows Driver Model) ein, bessere USB- und AGP-Unterstützung sowie Advanced Configuration and Power Management Interface (ACPI) zur Unterstützung mehrerer Monitore und die Möglichkeit zur Partitionierung von Festplatten mit Partitionen > 2 GB durch  FAT32. Weitere Neuerungen sind der Active Desktop, eine neuer Windows Explorer (Uniform Naming Convention, besseres Networking via Explorer-Adresszeile, Integration des Internet Explorers). Windows 98 SE (Second Edition) enthielt weitere Verbesserungen  wie eine bessere USB-Unterstützung und ein besseres Netzwerkmanagement (Internetverbindungsfreigabe (Internet Connection Sharing (ICS). Mit Windows XP (eXPerience) wurden die zwei Linien  (NT, MS-DOS) zusammengeführt. Neuerungen bei NT (New Technology) waren das Filesystem NTFS oder die Portabilität auf andere Systeme. NT-Nachfolger Windows 2000 führte ADS (Active Directory Service), Kerberos, EFS (Encrypting  File System), L2TP (Layer 2 Tunneling Protocol), IPSEC, ACPI (Advanced Configuration and Power Interface), SmartCard-Unterstützung und eine erweiterte Treiberdatenbank ein. Windows 2000 und Windows 98 benutzen das gleiche  Treibermodell (WDM, Windows Driver Model). Windows XP bietet eine neue Benutzeroberfläche (GUI) "Luna", eine überarbeitete Systemsteuerung, ein Werkzeug zur Systemwiederherstellung, ein erweitertes Startmenü, die Möglichkeit zur Fernwartung über  Terminal Services (Remote Desktop Protocol (RDP)), NTFS 3.1, neue Funktionen zur Multimediadatenbearbeitung und -verwaltung uvam. Neuester Vertreter der Windows-Linie ist Windows Vista (ehemals Codename Longhorn) und Windows 7.

Unter Hybrider Verschlüsselung versteht man die sequentielle Verwendung von asymmetrischer und symmetrischer Verschlüsselung.  Wegen der unterschiedlichen Rechenzeiten für die beiden Verfahren wird Hybride Verschlüsselung oft bei der Datenübertragung in Netzwerken verwendet.  Die Phase des Verbindungsaufbaus geschieht mit asymmtrischen Schlüselpaaren, die Phase der Datenübertragung mit einer symmetrischen Verschlüselung, also demselben Schlüssel für beide Seiten.  Dabei wird die hohe Datenübertragungsrate bei symmetrischen Schlüsseln ausgenutzt. Der Session Key wird asymmetrisch übertragen.  Hybride Verschlüsselung kommt bei TLS, SSL oder IPSec zur Anwendung.                                                 

Virtuelles Privates Netzwerk (Virtual Private Network (VPN)). Ein VPN ermöglicht den Remotezugriff und die Verbindung eines privaten Netzwerkes über das Internet. Die Verbindung erfolgt gekapselt und verschlüsselt.  Hardware Devices aus benachbarten Netzen können so angesprochen werden, ohne dass die Netzwerke kompatibel zu einander sind.

VPN-Topologien 
Es existieren unterschiedliche VPN-Topologien und Konstellationen: Wenn ein physisches Netz über ein Gateway sich an das zugeordnete VPN-Netz bindet, dann spricht man von einem Site-to-End-VPN.  Zeigt das jeweilige Gateway auf ein virtuelles Netz mit weiteren VPN-Geräten, dann spricht man von einem End-to-End VPN.  Eine weitere Möglichkeit ist es, mehrere zu einander kompatible Netze, die jeweils an das benachbarte Netzwerk angrenzen, über eine VPN-Konstruktion zu verbinden: Site-to-Site-VPN.  Ein VPN-Teilnehmer in einem benachbarten Netz ist, falls es sich um ein physisches Netz handelt, direkt in diesem Netzwerk adressierbar: deshalb heisst es auch virtuelles Netzwerk.  Ein heutiges VPN-Netzwerk basiert meist auf einem virtuellen Netzwerk welches sich über ein physisches TCP/IP Netz erstreckt. Virtuelle Teilnetze können auch aus Netzen mit dem X.25 Protokoll oder ISDN oder anderen  Kommunikationsprotokollen bestehen. Um ein VPN zu realisieren benötigt man neben der VPN-Hardware aus mehreren benachbarten Netzen auch eine VPN-Software, welche Geräte aus Nachbarschaften an das zugeordnete VPN-Netz binden.  Diese VPN-Software wird auf dem Gerät installiert, das die Netzwerke miteinander verbindet sowie auf dem zu integrierenden VPN-Gerät auf dem Nachbarnetz. Die Hardware Device welche die VPN-Netze jeweils miteinander verbindet wird dann auch  VPN-Einwahlknoten oder VPN-Gateway genannt.

Kommunikation in VPN-Netzen 
Damit ein VPN-Netzwerk reibungslos mit den Geräten auf den Nachbarnetzen kommunizieren kann, werden die Netzwerkpakete mit einem VPN-Protokoll versehen und in ein entsprechendes Datenpaket verwandelt. Daher kommt bei einem  VPN-Netzwerk auch der Ausdruck VPN-Tunnel. Die VPN-Pakete werden dann mit einer sekundären Adressierung versehen, so dass sich die VPN-Datenpakete unabhängig von ihrem Inhalt versenden lassen.  Beim VPN-Partner Gerät wird eine entsprechende VPN-Client-Software installiert, welche in der Lage ist, die Topologie des zugeordneten Netzwerkes abzubilden, die VPN-Datenpakete zu empfangen und zu entpacken, so dass diese mit ihrer  ursprünglichen primären Adressierung dem Empfänger zu geordnet werden können.  Ein VPN-Tunnel ist generell unabhängig von höheren Protokollen wie HTTP oder FTP, SNMP oder ähnliches und leitet die Pakete entsprechend den VPN-Vorgaben weiter. 

Protokolle
VPN basiert auf folgenden Protokollen: IPsec (End-to-Site-VPN, Site-to-Site-VPN), ViPNet (End-to-End-VPN, aber auch End-to-Site-VPN und Site-to-Site-VPN),  TLS/SSL (End-to-Site-VPN), PPTP und Layer 2 VPN Protokolle (L2TP), PPPD (PPP-Daemon) und SSH --> Leitung des VPN-Datenpaket-Traffics durch einen VPN-Tunnel.                         

Das Layer 2 Tunneling Protokoll (L2TP) ist ein Tunneling-Protokoll auf PPP-Ebene welches von der Internet Engineering Task Force (IETF) in RFC 2661 definiert wurde. Cisco Systems trieb die Entwicklung voran und sorgte damit für den Status als  Industriestandard. L2TP ist eine Weiterentwicklung der Protokolle L2F (Layer 2 Forwarding) und PPTP (Point-to-Point-Tunneling Protocol) und verbindet die Vorteile der beiden miteinander.  Das L2TP kann im Unterschied zu PPTP jedes Netzwerkprotokoll im PPP-Umfeld unterstützen, während PPTP nur IP, IPX und NetBEUI unterstützt. 

L2TP und VPN
Das L2TP wird zur Integration von Einzelrechnern im VPN-Routing eingesetzt. Konkret werden PPP-Verbindungen (Point-to-Point-Protocol) zwischen 2 Netzwerkteilnehmern oder 2 Netzen über ein IP-Netzwerk ermöglicht.  In einem VPN verfügt beispielsweise ein mobiler Teilnehmer über eine mobile Internetverbindung und über eine getunnelte Verbindung zum Firmennetzwerk (VPN).  Damit ein VPN-Netzwerk reibungslos mit den Geräten auf den Nachbarnetzen kommunizieren kann, werden die Netzwerkpakete mit einem VPN-Protokoll  versehen und in ein entsprechendes Datenpaket verwandelt. Daher kommt bei einem VPN-Netzwerk auch der Ausdruck VPN-Tunnel.  Die VPN-Pakete werden dann mit einer sekundären Adressierung versehen, so dass sich die VPN-Datenpakete unabhängig von ihrem Inhalt versenden lassen.  Auch Dial-Up-Lösungen zu Service Providern werden unterstützt. Aufgrund seiner Protokollvielfalt entstehen bei dem L2TP viele Kontroll- und Steuerungsdaten so dass der Nutzdatendurchsatz dementsprechend reduziert ist. 

L2TP-Architektur
Bevor eine Verbindung aufgebaut wird muss vom LAC (L2TP Access Concentrator, Eingangskonzentrator) und dem L2TP-Network-Server (LNS, Ausstiegspunkt) eine Kontrollverbindung hergestellt werden (in-band-Lösung).  Die L2TP-Architektur besteht aus einem L2TP-Server und dem LAC (L2TP Access Concentrator).  Der L2TP- Network-Server (LNS) fungiert als Knoten und formt das Peer zum L2TP Access Concentrator (LAC). Zum Aufbau eines L2TP-Tunnels kann entweder eine Dial-In-Lösung (Kommunikationsanforderung an einen Endteilnehmer) oder eine Dial-Out-Lösung  (Mandanten-Tunnel) fungieren. Zwischen dem LAC und dem LNS können mehrere Tunnel mit eigenen Kontrollverbindungen aufgebaut werden. Innerhalb eines L2TP-Tunnels können mehrere logische PPP-Verbindungen  errichtet werden. Der LAC ist zuständig für die Verbindungsverwaltung und stellt den Kontakt zum LNS her. Aufgaben des LAC-Servers sind das Routing und die Kontrolle der Datenpakete. Im L2TP wird  der Austausch des Kontroll- und Datenflusses zwischen LAC und LNS definiert. Innerhalb eines PPP-Tunnels befinden sich also 2 Kanäle: für Kontrolldaten und für Nutzdaten. Die Kontrolldaten laufen in einer gesicherten Verbindung,  die Nutzdaten in einer ungesicherten. Innerhalb des LAC kann ein Network Access Server implementiert sein, der eine temporäre Remote-Verbindung herstellt.  Die PPP-Session wird vom L2TP-Server logisch abgeschlossen und vom VPN zum Eingangskonzentrator getunnelt.  Der LAC-Client ist in der Lage, einen L2TP-Tunnel auf zu bauen, der über PPP mit dem LAC-Concentrator interagiert.  Dem Nutzdatenpaket werden vier Protokoll-Header hinzugefügt: L2TP-Tunnel-Header: zur Bestimmung des Eingangs (LAC) und Ausgangs (LNS), L2TP-Header (Tunnel-ID, Session-ID), UDP-Header (Ports: Absender und Empfänger (1701) und der  PPP-Header (Protokolltyp). Die genaue Identifizierung einer PPP-Session innherhalb des L2TP-Tunnels erfolgt über die Session-ID und die Tunnel-ID.  Der L2TP-Concentrator sendet die Daten an den L2TP-Server. Letzterer ist mit dem Firmen-Netzwerk verbunden und erhält auch von dort seine IP-Adressen.  Es können paketvermittelnde Protokolle wie PPP, Frame Relay, X25, Ethernet und ATM eingesetzt werden. Zur Verschlüsselung wird IPSec eingesetzt.  Die Authentifizierung erfolgt über das Password Authentification Protocol (PAP) und das Challenge Handshake Authentification Protocol (CHAP).  Um den Durchsatz zu verbessern wird der Kontrolldatenverkehr durch einn Kompressionsalgorithmus beschleunigt. Eine aktive Datenflusskontrolle soll Kollisionen vermeiden und den notwendigen Verkehr minimieren.  Für den eigentlichen Tunnel-Aufbau gibt es 2 Methoden: Compulsory Tunneling (vom L2F-Protokoll abgeleitet) und Voluntary Tunneling (vom PPTP Protokoll abgeleitet). 

Compulsory Tunneling
Ausgangspunkt des Compulsory Tunneling ist der LAC des ISP, welcher für den Tunnelaufbau verantwortlich ist. Der L2TP-Tunnel findet im LNS des Kundennetzwerkes seinen Endpunkt. 

Voluntary Tunneling
Beim Voluntary Tunneling wird das Layer 2 Tunneling Protocol im Ende-zu-Ende-Prinzip umgesetzt. Das Voluntary Tunneling wurde vom PPTP-Protokoll abgeleitet. Hier besteht kein Zwang des Client, die Daten über den Tunnel zu  senden, der vom Provider aufgebaut werden muss. Ein sogenannter 'Virtual LAC' errichtet den L2TP-Tunnel zm LNS. Die LAC-Eigenschaften des Remote Access Concentrators des ISP werden auf den Client übertragen.  Da der Client L2TP-fähig ist, übernimmt er das Tunneling. Der Tunnel geht vom Client aus; dieser entscheidet auch, ob und wann der Tunnel aufgebaut wird. Für den Service Provider enthält der Tunnel keine verdeckten Daten, da er nicht mehr über  L2TP-spezifische Voraussetzungen verfügen muss: es werden lediglich die IP-Datenpakete zwischen dem LNS und dem Client übertragen.