VPN (Virtual Private Network) jest prywatną siecią, która używa publicznej sieci (najczęściej Internetu) do łączenia zdalnych punktów i użytkowników.

Oprócz wykorzystywania dedykowanych połączeń, takich jak na przykład linie dzierżawione, VPN stosują połączenia internetowe przebiegające od sieci prywatnej lub korporacyjnej do punktu zdalnego albo zdalnego użytkownika. Wyróżnia się dwa typy sieci VPN: Remote-Access i Site-to-Site.

Remote-Access

Czyli zdalny dostęp - sieć ta jest nazywana także VPDN (Virtual Private Dial-up Network). Łączy ona użytkownika z siecią lokalną. Ten typ sieci jest szczególnie użyteczny dla przedsiębiorstw, które mają zdalnych, często przemieszczających się pracowników.

Site-to-site

Stosując skomplikowane techniki szyfrowania oraz dedykowany sprzęt, firma może połączyć wiele swoich rozproszonych sieci lokalnych za pośrednictwem sieci publicznej. Ten typ VPN dzieli się na dwa podtypy: oparty na intranecie i na ekstranecie. O sieci typu pierwszego mówi się zazwyczaj wtedy, gdy przedsiębiorstwo ma centralę i jeden lub kilka punktów zdalnych, które chce połączyć. Intranetowa VPN łączy sieć lokalną centrali z siecią lokalną punktu zdalnego. Natomiast sieci wirtualne z wykorzystaniem ekstranetu stosuje się wtedy, kiedy przedsiębiorstwo zachowuje silne powiązania ze swoim podwykonawcą, klientem lub innym przedsiębiorstwem. Dzięki połączeniu sieci lokalnych obydwu firm przedsiębiorstwa mogą pracować we współdzielonym środowisku.

Niezależnie od wybranego typu VPN przewidziano kilka metod zabezpieczenia danych. Jedną z nich jest zapora ogniowa, która stanowi rodzaj przegrody między siecią prywatną a Internetem. Innym sposobem jest szyfrowanie.

Składniki VPN

W zależności od typu VPN - Remote-Access lub Site-to-Site - do zbudowania sieci VPN potrzebne są pewne urządzenia oraz oprogramowanie. Oto one:

• oprogramowanie klient rezydujące na komputerze osobistym każdego zdalnego użytkownika;

• dedykowane urządzenia, jak np. zapora ogniowa;

• dedykowany serwer VPN dla usług dial-up;

• NAS (Network Access Server), używany przez dostawcę do zapewnienia dostępu do VPN przez zdalnego użytkownika.

Tunelowanie

Wiele sieci VPN opiera się na tunelowaniu w Internecie. Jest to proces umieszczania całego pakietu w innym pakiecie i wysyłanie go przez sieć. W procesie tym biorą udział trzy rodzaje protokołów:

• transportowy (Carrier Protocol), używany przez sieć do transportu informacji;

• kapsułkowania lub tunelowania (Tunneling Protocol), w rodzaju GRE, IPSec, L2F, PPTP czy L2TP, który niejako "owija" oryginalne dane;

• przenoszony (Passenger), czyli oryginalny, taki jak NetBEUI, IP czy inny.

Tunelowanie ma istotne znaczenie dla sieci VPN. Przykładowo użytkownik może umieścić pakiet używający protokołu nie wspierającego Internetu, np. NetBEUI, wewnątrz pakietu IP i przesyłać go bezpiecznie przez Internet.

W konfiguracji dwupunktowej stosuje się protokół kapsułkowania GRE (Generic Routing Encapsulation). Określono w nim sposób przygotowania do transportu protokołu oryginalnego za pośrednictwem protokołu transportowego, którym jest typowo protokół na bazie IP. Zawiera on informacje o typie kapsułkowanego pakietu oraz o połączeniu między klientem a serwerem. Oprócz GRE w trybie tunelowym czasem używa się IPSec do kapsułkowania pakietów. IPSec sprawdza się dobrze w obydwu typach sieci VPN - Remot-Access i Site-to-Site.

Do popularnych protokołów używanych przez VPN zdalnego dostępu i opracowanych z wykorzystaniem struktury PPP należą PPTP (Point-to-Point Tunneling Protocol) i L2TP (Layer 2 Tunneling Protocol).