Mittels VPN wird unter Verwendung einer bestehenden, potenziell unsicheren Netzwerkverbindung eine virtuelle, sichere Netzwerkverbindung zwischen Hosts oder Netzwerken realisiert. Die Netzwerkkommunikation zwischen den beidenen verbundenen Segmenten kann entweder auf Layer 2 oder Layer 3 stattfinden.
Bei einem Layer 2-VPN bedeutet das, dass sich die beiden verbundenen Abschnitte verhalten, als wären sie an einen gemeinsamen Switch angeschlossen. Layer 2-Pakete, wie z. B. DHCP-Verkehr oder ARP-Auflösung passieren bei einem Layer 2-VPN den Tunnel und erreichen die Netzteilnehmer auf beiden Seiten. Ein Host auf einer Seite des Tunnels kann seine IP-Adresse von einem DHCP-Server auf der anderen Seite des Tunnels beziehen. Es werden keine separaten IP-Adressbereiche für unterschiedliche Subnetze benötigt.
Bei einem Layer 3-VPN verhalten sich die beiden verbundenen Abschnitte so, als wären sie über Router miteinander verbunden. Auf jeder Seite des VPN-Tunnels existieren unterschiedliche IP-Subnetze und die VPN-Gateways fungieren als Router dazwischen. Das bedeutet, dass ein Teilnehmer auf einer Seite des Tunnels einen Teilnehmer auf der anderen Seite nur über mindestens einen Routing-Hop erreichen kann. In vielen Fällen wird die logische Verbindung zwischen den beiden VPN-Gateways als ein weiteres Subnetz ausgeführt. Dieses bezeichnet man auch als Transfernetzwerk.