Năm 1984, tổ chức kết nối hệ thống mở Open System Interconnect, một nhóm chuyên đưa ra các tiêu chuẩn quốc tế, đưa ra một khung tóm tắt các công nghệ phân lớp trong việc giao tiếp các máy tính gọi là mô hình OSI.
Nó bao gồm bảy lớp: - Lớp 7: Lớp ứng dụng - Lớp 6: Lớp trình diễn - Lớp 5: Lớp phiên - Lớp 4: Lớp vận chuyển - Lớp 3: Lớp mạng - Lớp 2: Lớp liên kết dữ liệu - Lớp 1: Lớp vật lý
Thông thường, đường hầm VPN được thực hiện ở lớp mạng hoặc lớp thấp hơn (ví dụ, IPSec thực hiện ở lớp mạng). Truy nhập từ xa được thực hiện để thiết lập kết nối mạng mã hóa giữa một nút mạng từ xa và một mạng bên trong, tạo ra kết nối từ xa mà các lớp trên lớp 4 không thể hiểu được. Các ứng dụng thực hiện được các chức năng khi người dùng ở cơ quan và khi họ ở một điểm từ xa, ngoại trừ rằng khi yêu cầu được chuyển xuống lớp dưới, chúng bị thay thế qua các kết nối mạng tương ứng ở các địa điểm xác định của người dùng. Thỉnh thoảng, kết nối là cục bộ và thỉnh thoảng nó bao gồm đường
hầm qua mạng Internet. Việc thiết lập các kết nối này cần phải cài đặt và cấu hình các phần mềm client trên máy tính người dùng. Phần mềm client này sẽ điều khiển đường hầm lớp mạng.
SSL VPN thì lại thực hiện khác. Nó thiết lập các kết nối sử dụng SSL, ở các chức năng lớp 4 và 5. Nó cũng đóng gói thông tin ở lớp 6 và 7 và giao tiếp ở lớp cao nhất của mô hình OSI. Ngày nay, một vài SSL VPN cũng có thể tạo đường hầm lớp mạng, và trở thành công nghệ truy cập VPN linh hoạt nhất.
Một điều quan trọng nữa là SSL không hoàn toàn là một giao thức web. Nó thực hiện ở lớp phiên và lớp vận chuyển của mô hình OSI và có thể thiết lập các đường hầm giao tiếp cho nhiều giao thức lớp ứng dụng và có thể được xếp trên lớp ứng dụng. Ví dụ, mặc dù SSL mã hóa phiên web (HTTPS), SSL cũng có thể mã hóa POP3 và FTP trong nhiều môi trường, cũng có thể sử dụng SSL để mã hóa tất cả các giao thức lớp ứng dụng.