VPN
(VPN (Virtual Private Network یک شبکه خصوصی مجازی است که رابطه ات کپسوله‌شده (Encapsulated)؛ رمزنگاری‌شده (Encrypted) و تصدیق‌شده (Authenticated) را با استفاده از سیستم مسیریابی زیرتهیه شبکه از طریق یک شبکه عمومی مثل ایـن ترنت ایجاد و مدیریت می‌کند. ایـن رابطه می‌تواند بین دو سیستم عادی برقرار شده و یا برای رابطه امن سرور یک سازمان با شعب آن در همه جهان به‌کار رود. VPN برای کاربران تجاری بیش از یک ضرورت و بلکه نعمتی است که راهی مطمئن؛ امن و در عین حال ارزان برای دسترسی به فایل‌هایشان در شبکه محل کار خود (وقت ی که آن‌ها در مسافرت؛ مسکن و یا در راه می باشند ) در اختیار می‌گذارد. کاربران در حالت عادی برای ارتباط به‌صورت Remote (راه دور) با سرور نیاز دارند که به‌صورت مستقیم و توسط یک رابطه DialUp به سرور RAS متصل شوند ؛ اما ایـن ‌کار دو اشکال مهم دارد … لطفاً ادامه مقاله را بخوانید.

5speed
استفاده از RAS سرور و خط تلفن‌ برای برقراری رابطه دو مساله عمده دارد که عبـار تند از:
۱) در صورتی‌که RAS سرور و سیستم ارتباط ‌گیرنده در یک استان قرار نداشته باشند؛ علاوه بر لزوم پرداخت هزینه زیاد؛ سرعت رابطه پایین خواهد آمد و ایـن مسأله وقت ی بیشتر نمود پیدا می نماید که کاربر نیاز به رابطه ی با سرعت مناسب داشته باشد.
۲) در صورتی‌که تعداد اتصالات راه دور در یک لحظه بیش از یک مورد باشد؛ RAS سرور به چندین خط تلفن و مودم احتیاج خواهد داشت که باز مسأله هزینه مطرح می گردد.
اما با رابطه خرید VPN مسائل مذکور به‌طور کامل حل می‌شود و کاربر با اتصال به ISP مکانی به ایـن ترنت متصل شده و VPN بین رایانه کاربر و سرور سازمان از طریق ایـن ترنت ایجاد می‌گردد. رابطه مذکور می تواند از طریق خط DialUpو یا خط اختصاصی مثل Leased Line برقرار شود.
[img]http://www.itpro.ir/resources/images/7b79aedeaae0463b88c66c4b52556914[/img]
به‌هر حال اکنون مسأله ایـن نیست که طریقه استفاده از VPN چیست؛ بلکه مسأله ایـن است که کدامیک از تکنولوژی‌های VPN بایستی مورد استفاده قرار گیرند. پنج نوع پروتکل در VPN مورد استفاده قرار می گیرد که هرکدام ویژگی ها و معایبی دارند . در ایـن مقاله ما قصد داریم در مورد هرکدام از ایـن پروتکل‌ها بحث کـرده و آنها را مقایسه کنیم . اما نتیجه گیری نهایی به هدف شما در استفاده از VPN بستگی دارد.
رابطه سیستم‌ها در یک ایـن ترانت
در بعضی سازمان‌ها؛ اطلاعات یک دپارتمان ویِژه به‌دلیل حساسیت بالا؛ به‌طور فیزیکـی از شبکه بنیادی داخلی آن سازمان جدا گردیده است . ایـن مسأله علیرغم حفاظت از اطلاعات آن دپارتمان؛ مسائل خاصی را از بابت دسترسی کاربران دپارتمان مذکور به شبکه‌های خارجی به‌وجود می‌آورد.
VPN اجازه می دهد که شبکه دپارتمان مذکور به‌صورت فیزیکـی به شبکه مقصد مورد نظـر متصل گردد؛ اما به‌صورتی‌که توسط VPN سرور؛ جدا شده است (با قرار گرفتن VPN سرور بین دو شبکه).
اما ضروری به یادآوری است که نیازی نیست VPN سرور به‌صورت یک Router مسیریاب بین دو شبکه عمل نمایـد ؛ بلکه کاربران شبکه مورد نظـر علاوه بر ایـن ‌که ویژگیها و Subnet شبکه ویِژه خود را دارا می باشند به VPN سرور متصل شده و به اطلاعات مورد نظـر در شبکه مقصد دست می یابند.
علاوه بر ایـن تمام رابطه ات برقرار شده از طریق VPN؛ می‌توانند به منظور محرمانه ماندن رمزنگاری شوند. برای کاربرانی که دارای اعتبـار نامه مجاز نیستند؛ اطلاعات مقصد به‌صورت اتوماتیک غیر قابل رویت خواهند بود .
مبانی Tunneling
Tunneling یا سیستم ایجاد تونل رابطه ی با نام کپسوله کردن (Encapsulation) شناخته می‌شود که روشی است برای استفاده از زیرتهیه یک شبکه عمومی جهت انتقال اطلاعات. ایـن اطلاعات ممکن است از پروتکل‌های دیگـر ی باشد. اطلاعات به‌جای ایـن ‌که به‌صورت بنیادی و Original فرستاده شوند؛ با اضافه کردن یک Header (سرایـن د) کپسوله می‌شوند.

ایـن سرایـن د اضافی که به پکت متصل می‌شود؛ اطلاعات مسیریابی را برای پکت فراهم می نماید تا اطلاعات به‌صورت صحیح؛ سریع و فوری به مقصد برسند. وقتی که پکت‌های کپسوله شده به مقصد رسیدند؛ سرایـن دها از روی پکت برداشته شده و اطلاعات به‌صورت بنیادی خود تبدیل می‌شوند. ایـن عملیات را از ابتدا تا اتمام کار Tunneling می‌نامند.
نگهداری تونل
مجموعه عملیات متشکل از پروتکل نگهداری تونل و پروتکل تبادل اطلاعات تونل به‌نام پروتکل Tunneling شناخته می‌شوند . برای ایـن ‌که ایـن تونل برقرار شود؛ کلایـن ت و سرور می‌بایست پروتکل Tunneling یکسانی را مورد استفاده قرار دهند. از جمله پروتکل‌هایی که برای عملیات Tunneling مورد استفاده قرار می‌گیرند PPTP و L2TP می باشند که در ادامه مورد ارزیابی قرار خواهند گرفت.
پروتکل نگهداری تونل
پروتکل نگهداری تونل به‌عنوان مکانیسمی برای مدیریت تونل استفاده می‌شود. برای بعضی از تکنولوژی‌هایTunneling مثل PPTP و L2TP یک تونل مثل یک Session می‌باشد؛ یعنی هر دو نقطه انتهایی تونل علاوه بر ایـن ‌که بایستی با نوع تونل منطبق باشند؛ می‌بایست از برقرار شدن آن مطلع شوند.
هرچند بر خلاف یک Session؛ یک تونل دریافت اطلاعات را به‌صورتی قابل اطمینان گارانتی نمی‌کند و اطلاعات ارسـال ی اکثرا ً به‌وسیله پروتکلی بر مبنای دیتاگرام مانندUDP وقت استفاده از L2TP یا TCP برای مدیریت تونل و یک پروتکل کپسوله کردن مسیریابی عمومی کلا ح شده به‌نام GRE برای وقت ی که PPTP استفاده می گردد؛ پیکربندی و ارسـال می‌شوند.
ساخته شدن تونل
یک تونل بایستی قبل از ایـن ‌که تبادل اطلاعات انجام شود؛ ساخته شود. عملیات ساخته شدن تونل به‌وسیله یک طرف تونل یعنی کلایـن ت شروع می‌شود و طرف دیگـر تونل یعنی سرور؛ تقاضای رابطه Tunneling را دریافت می‌کند. برای تهیه تونل یک عملیات رابطه ی مثل PPP انجام می‌شود.
سرور تقاضا می‌کند که کلایـن ت خودش را معرفی کـرده و معیارهای تصدیق هویت خود را ارائه نمایـد . وقتی که قانونی بودن و معتبر بودن کلایـن ت مورد تأیید قرار گرفت؛ رابطه تونل مجاز شناخته شده و پیغام ساخته شدن تونل توسط کلایـن ت به سرور ارسـال می‌گردد و پس انتقال اطلاعات از طریق تونل شروع خواهد شد.
برای روشن شدن مطلب؛ مثالی می‌زنیم. چنانچه محیط عمومی را؛ که معمولا همین‌گونه است؛ ایـن ترنت فرض کنیم؛ کلایـن ت پیغام ساخته شدن تونل را از آدرس IP کارت شبکه خود به‌عنوان مبدا به آدرس IP مقصد یعنی سرور ارسـال می‌کند. حال چنانچه رابطه ایـن ترنت به‌صورت DialUp از جانب کلایـن ت ایجاد شده باشد؛ کلایـن ت به‌جای آدرس NIC خود؛ آدرس IP را که ISP به آن اختصاص داده به‌عنوان مبدا استفاده خواهد نمود.
نگهداری تونل
در بعضی از تکنولوژی‌های Tunneling مثل L2TP و PPTP؛ تونل ساخته شده بایستی نگهداری و مراقبت شود . هر دو انتهای تونل بایستی از وضعیت طرف دیگـر تونل باخبر باشند. نگهداری یک تونل اکثرا از طریق عملیاتی به‌نام نگهداری فعال (KA) اجرا می‌گردد که طی ایـن پروسه به‌صورت دوره وقتی همیشگی از انتهای دیگـر تونل آمارگیری می‌شود. ایـن ‌کار وقتی که اطلاعاتی در حال تبادل نیست؛ انجام می پذیرد.
پروتکل تبادل اطلاعات تونل
وقتی که یک تونل برقرار می‌شود؛ اطلاعات می‌توانند از طریق آن ارسـال گردند. پروتکل تبادل اطلاعات تونل؛ اطلاعات را کپسوله کـرده تا قابل عبور از تونل باشند. وقت ی که تونل کلایـن ت قصد ارسـال اطلاعات را به تونل سرور دارد؛ یک سرایـن د (ویژه پروتکل تبادل اطلاعات) را بر روی پکت اضافه می‌کند. نتیجه ایـن ‌کار ایـن است که اطلاعات از طریق شبکه عمومی قابل ارسـال شده و تا تونل سرور مسیریابی می‌شوند.
تونل سرور پکت‌ها را دریافت کـرده و سرایـن د اضافه شده را از روی اطلاعات برداشته و پس اطلاعات را به‌صورت بنیادی درمی آورد.
انواع تونل
تونل‌ها به دو نوع بنیادی تقسیم می‌گردند: اختیاری و اجبـار ی.
تونل اختیاری
تونل اختیاری به‌وسیله کاربر و از سمت رایانه کلایـن ت طی یک عملیات هوشمند؛ پیکربندی و ساخته می‌شود. رایانه کاربر نقطه انتهایی تونل بوده و به‌عنوان تونل کلایـن ت عمل می‌کند. تونل اختیاری وقتی تشکیل می‌شود که کلایـن ت برای تهیه تونل به سمت تونل سرور مقصد داوطلب شود.
وقت ی‌که کلایـن ت به‌عنوان تونل کلایـن ت قصد انجام عملیات دارد؛ پروتکل Tunneling موردنظـر بایستی بر روی سیستم کلایـن ت نصب گردد. تونل اختیاری می‌تواند در هریک از حالت‌های زیر اتفاق بیفتد:
– کلایـن ت رابطه ی داشته باشد که بتواند ارسـال اطلاعات پوشش گذاری شده را از طریق مسیریابی به سرور منتخب خود انجام دهد .
– کلایـن ت ممکن است قبل از ایـن ‌که بتواند تونل را پیکربندی نماید ؛ رابطه ی را از طریق DialUp برای تبادل اطلاعات برقرار کـرده باشد. ایـن معمول‌ترین حالت ممکن است . برترین مثال از ایـن حالت؛ کاربران ایـن ترنت می باشند . قبل از ایـن ‌که یک تونل برای کاربران بر روی ایـن ترنت ساخته شود؛ آن‌ها بایستی به ISP خود شماره‌گیری کنند و یک رابطه ایـن ترنتی را تشکیل دهند.
تونل اجبـار ی
تونل اجبـار ی برای کاربرانی پیکر بندی و ساخته می شود که دانش ضروری را نداشته و یا دخالتی در تهیه تونل نخواهند داشت. در تونل اختیاری؛ کاربر؛ نقطه نهایی تونل نیست. بلکه یک Device دیگـر بین سیستم کاربر و تونل سرور؛ نقطه نهایی تونل است که به‌عنوان تونل کلایـن ت عمل می‌نمایـد .
چنانچه پروتکل Tunneling بر روی رایانه کلایـن ت نصب و راه اندازی نشده و در عین حال تونل هنوز مورد نیاز و درخواست باشد؛ ایـن امکان وجود دارد که یک رایانه دیگـر و یا یک Device شبکه دیگـر ؛ تونلی از جانب رایانه کلایـن ت ایجاد نمایـد .
ایـن وظیفه‌ای است که به یک متمرکزکننده دسترسی (AC) به تونل؛ ارجاع داده شده است . در وهله تکمیل ایـن وظیفه؛ متمرکزکننده دسترسی یا همـان AC بایستی پروتکل Tunneling مناسب را ایجاد کـرده و قابلیت برقراری تونل را در وقت اتصال رایانه کلایـن ت داشته باشد. وقت ی‌که رابطه از طریق ایـن ترنت برقرار می شود ؛ رایانه کلایـن ت یک تونل تأمین شده (NAS (Network Access Service را از طریق ISP احضار می‌کند.
به‌عنوان مثال یک سازمان ممکن است قراردادی با یک ISP داشته باشد تا بتواند کل کشور را توسط یک متمرکزکننده دسترسی به‌هم پیوند دهد. ایـن AC می‌تواند تونل‌هایی را از طریق ایـن ترنت برقرار نماید که به یک تونل سرور متصل باشند و از آن طریق به شبکه خصوصی مستقر در سازمان مذکور دسترسی پیدا کنند.
ایـن پیکربندی به‌عنوان تونل اجبـار ی شناخته می‌شود؛ به‌دلیل ایـن ‌که کلایـن ت مجبور به استفاده از تونل ساخته شده به‌وسیله AC شده است . یک‌بـار که ایـن تونل ساخته شد؛ تمام ترافیک شبکه از سمت کلایـن ت و از جانب سرور به‌صورت اتوماتیک از طریق تونل مذکور ارسـال خواهد شد.
به‌وسیله ایـن تونل اجبـار ی؛ رایانه کلایـن ت یک رابطه PPP می‌سازد و وقت ی‌که کلایـن ت به NAS؛ از طریق شماره‌گیری متصل می‌شود؛ تونل ساخته می‌شود و تمام ترافیک به‌طور اتوماتیک از طریق تونل؛ مسیریابی و ارسـال می‌گردد. تونل اجبـار ی می تواند به‌طور ایستا و یا اتوماتیک و پویا پیکربندی شود.
تونل‌های اجبـار ی ایستا
پیکربندی تونل‌های Static اکثرا ً به تجهیزات ویِژه برای تونل‌های اتوماتیک نیاز دارند. سیستم Tunneling اتوماتیک به‌گونه‌ای اعمال می‌شود که کلایـن ت‌ها به AC از طریق شماره‌گیری (Dialup) متصل می‌شوند. ایـن مسأله احتیاج به خطوط دسترسی مکانی اختصاصی و تجهیزات دسترسی شبکه دارد که به ایـن ‌ها هزینه‌های جانبی اضافه می‌گردد.
برای مثال کاربران احتیاج دارند که با یک شماره تلفن ویِژه ارتباط بگیرند؛ تا به یک AC متصل شوند که تمام رابطه ات را به‌طور اتوماتیک به یک تونل سرور ویِژه متصل می‌کند. در طرح‌های Tunneling ناحیه‌ای؛ متمرکزکننده دسترسی بخشی از User Name را که Realm خوانده می‌شود بازرسی می‌کند تا تصمیم بگیرد در چه موقعیتی از لحاظ ترافیک شبکه؛ تونل را تشکیل دهد.
تونل‌های اجبـار ی پویا
در ایـن سیستم انتخاب مقصد تونل بر طبق وقتی که کاربر به AC متصل می شود ؛ ساخته می‌شود. کاربران دارای Realm یکسان؛ ممکن است تونل‌هایی با مقصدهای متفاوت تشکیل بدهند. اما ایـن امر به پارامترهای متفاوت آن‌ها مثل UserName؛ شماره ارتباط ؛ محل فیزیکـی و زمان بستگی دارد.
تونل‌های Dynamic؛ دارای قابلیت انعطاف عالی می باشند . همین طور تونل‌های پویا اجازه می‌دهند که AC به‌عنوان یک سیستم Multi-NAS عمل نماید ؛ یعنی ایـن که همزمان هم رابطه ات Tunneling را قبول می نماید و رابطه ات کلایـن ت‌های عادی و بدون تونل را. در صورتی که متمرکزکننده دسترسی بخواهد نوع کلایـن ت ارتباط ‌گیرنده را مبنی بر دارای تونل بودن یا نبودن از قبل تشخیص بدهد؛ بایستی از همکاری یک بانک اطلاعاتی سود ببرد.
برای ایـن ‌کار بایستی AC اطلاعات کاربران را در بانک اطلاعاتی خود ذخیره نماید که بزرگترین عیب ایـن مسأله ایـن است که ایـن بانک اطلاعاتی به خوبی قابل مدیریت نیست.
برترین راه‌حل ایـن موضوع؛ راه‌اندازی یک سرور RADIUS است؛ سروری که اجازه می‌دهد که تعداد نامحدودی سرور؛ عمل شناسایی Userهای خود را بر روی یک سرور ویِژه یعنی همین سرور RADIUS انجام دهند؛ به‌عبـار ت بهتر ایـن سرور مرکزی برای ذخیره و شناسایی و احراز هویت نمودن کلیه کاربران شبکه خواهد بود.
پروتکل‌های VPN
عمده‌ترین پروتکل‌هایی که به‌وسیله ویندوز ۲۰۰۰ برای دسترسی به VPN استفاده می شوند
عبـار تند از: L2TP ؛ Ipsec ؛ PPTP ؛ IP-IP
اما پروتکل امنیتی SSL جزء پروتکل‌های مورد استفاده در VPN به شمار می‌آید؛ ولی به‌علت ایـن ‌که SSL بیشتر بر روی پروتکل‌های HTTP ؛ LDAP ؛ POP3 ؛ SMTP و … مورد استفاده قرار می‌گیرد؛ بحث در مورد آن را به فرصتی دیگـر موکول می‌کنیم.
پروتکلPPTP
پروتکل Tunneling نقطه به نقطه؛ بخش گسترش یافته‌ای از پروتکل PPP است که فریم‌های پروتکل PPP را به‌صورت
IP برای تبادل آن‌ها از طریق یک شبکه IP مثل ایـن ترنت توسط یک سرایـن د؛ کپسوله می‌کند. ایـن پروتکل می‌تواند در شبکه‌های خصوصی از نوع LAN-to-LAN استفاده گردد.
پروتکل PPTP به‌وسیله انجمنی از شرکت‌های مایکروسافت؛ Ascend Communications ؛ ۳com ؛ ESI و US Robotics ساخته شد.
PPTP یک رابطه TCP را (که یک رابطه Connection Oriented بوده و بعد از ارسـال پکت منتظر Acknowledgment آن می‌ماند) برای نگهداری تونل و فریم‌های PPP کپسوله شده توسط (GRE (Generic Routing Encapsulation که به مفهوم کپسوله کردن مسیریابی عمومی است؛
برای Tunneling کردن اطلاعات استفاده می‌کند. همچنین ً اطلاعات کپسوله‌شده PPP قابلیت رمزنگاری و فشرده شدن را دارا می باشند .
تونل‌های PPTP بایستی به‌وسیله مکانیسم گواهی همـان پروتکل PPP که حاوی (EAP ؛ CHAP ؛ MS-CHAP ؛ PAP)می‌شوند؛ گواهی شوند. در ویندوز ۲۰۰۰ رمزنگاری پروتکل PPP تنها وقتی استفاده می‌گردد که پروتکل احراز هویت یکـی از پروتکل‌های EAP ؛ TLS و یا MS-CHAP باشد.
بایستی دقت شود که رمزنگاری PPP؛ محرمانگی اطلاعات را تنها بین دو نقطه نهایی یک تونل تأمین می‌کند و در صورتی‌که به امنیت زیادتری نیاز باشد؛ بایستی از پروتکل Ipsec استفاده شود.
پروتکل L2TP
پروتکل L2TP ترکیبی است از پروتکل‌های PPTP و (L2F (Layer 2 Forwarding که توسط شرکت سیسکو گسترش یافته است . ایـن پروتکل ترکیبی است از برترین ویژگیها موجود در L2F و PPTP.
L2TP نوعی پروتکل شبکه است که فریم‌های PPP را برای ارسـال بر روی شبکه‌های IP مثل ایـن ترنت و علاوه بر ایـن برای شبکه‌های مبتنی بر X.25 ؛ Frame Relay و یا ATM کپسوله می‌کند.
وقت ی‌که ایـن ترنت به‌عنوان زیرتهیه تبادل اطلاعات استفاده می‌گردد؛ L2TP می‌تواند به‌عنوان پروتکل
Tunneling از طریق ایـن ترنت مورد استفاده قرار گیرد.
L2TP برای نگهداری تونل از یک سری پیغام‌های L2TP و از پروتکل UDP (پروتکل تبادل اطلاعات به‌صورتConnection Less که بعد از ارسـال اطلاعات منتظر دریافت Acknowledgment نمی‌شود و اطلاعات را؛ به مقصد رسیده فرض می‌کند) استفاده می‌کند.
در L2TP فریم‌های PPP کپسوله شده می‌توانند همزمان علاوه بر رمزنگاری شدن؛ فشرده شوند. اما مایکروسافت پروتکل امنیتی Ipsec (که به‌طور مفصل در شماره ۴۷ ماهنامه شبکه تحت عنوان “امنیت اطلاعات در حین انتقال به‌وسیله IPsec ” معرفی شده) را به‌جای رمزنگاری PPP توصیه می نماید . تهیه تونل L2TP بایستی همـان ند PPTP توسط مکانیسم (PPP EAP ؛ CHAP ؛ MS-CHAP ؛ PAP) ارزیابی و تأیید شود.
PPTP در مقابلL2TP
هر دو پروتکل PPTP و L2TP از پروتکل PPP برای رابطه ات WAN استفاده می کنند تا نوعی اطلاعات ابتدایی برای دیتا را فراهم کنند و پس یک سرایـن د اضافه برای انتقال اطلاعات از طریق یک شبکه انتفرش به پکت الحاق بنمایـن د. هرچند ایـن دو پروتکل در بعضی مسائل با فرق دارند. بعضی از ایـن فرق ‌ها عبـار تند از:
۱- شبکه انتقال که PPTP احتیاج دارد؛ بایستی یک شبکه IP باشد. ولی L2TP تنها به یک تونل احتیاج دارد تا بتواند رابطه Point-to-Point را برقرار نماید . حال ایـن تونل می تواند بر روی یک شبکه IP باشد و یا بر روی شبکه‌های دیگـر مثل X.25 و یا ATM ؛ Frame Relay.
۲- L2TP قابلیت فشرده‌سازی سرایـن د را داراست . وقت ی‌که فشرده‌سازی سرایـن د انجام می‌گیرد؛ L2TP با سایز ۴ بایت عمل می‌کند؛ در حالی‌که PPTP با سایز ۶ بایت عمل می‌نمایـد .
۳- L2TP متد احراز هویت را تأمین می‌کند؛ در حالی‌که PPTP ایـن ‌گونه عمل نمی‌کند؛ هرچند وقتی‌که PPTP یا L2TP از طریق پروتکل امنیتی IPsec اجرا می‌شوند؛ هر دو؛ متد احراز هویت را تأمین می‌نمایـن د.
۴- PPTP رمزنگاری مربوط به PPP را استفاده می‌کند؛ ولی L2TP از پروتکل Ipsec برای رمزنگاری استفاده می‌نمایـد .
پروتکل Ipsec
Ipsec یک پروتکل Tunneling لایه سوم است که از متد ESP برای کپسوله کردن و رمزنگاری اطلاعات IP برای تبادل امن اطلاعات از طریق یک شبکه کاری IP عمومی یا خصوصی پشتیبانی می‌کند. IPsec به‌وسیله متد ESP می‌تواند اطلاعات IP را به‌صورت کامل کپسوله کـرده و رمزنگاری نماید .
به محض دریافت اطلاعات رمزگذاری شده؛ تونل سرور؛ سرایـن د اضافه‌شده به IP را پردازش کـرده و پس کنار می‌گذارد و بعد از آن رمزهای ESP و پکت را باز می‌کند. بعد از ایـن مراحل است که پکت IP به‌صورت عادی پردازش می‌شود. پردازش عادی ممکن است حاوی مسیریابی و ارسـال پکت به مقصد نهایی آن باشد.
پروتکل IP-IP
ایـن پروتکل که با نام IP-in-IP شناخته می‌شود؛ یک پروتکل لایه سوم یعنی لایه شبکه است . مهمترین استفاده پروتکل IP-IP برای ایجاد سیستم Tunneling به‌صورت Multicast است که در شبکه‌هایی که سیستم مسیریابی Multicast را پشتیبانی نمی‌کنند کاربرد دارد. ساختار پکت IP-IP تشکیل شده است از: سرایـن د IP خارجی؛ سرایـن د تونل؛ سرایـن د IP داخلی و اطلاعات IP. اطلاعات IP می‌تواند حاوی هر چیزی در محدوه IP مثل TCP ؛ UDP ؛ ICMP و اطلاعات بنیادی پکت باشد.
مدیریت VPN
در اکثر مسائل مدیریت یک VPN مثل مدیریت یک RAS سرور (به‌طور خلاصه؛ سروری که رابطه ‌ها و Connection های برقرار شده از طریق راه دور را کنترل و مدیریت می‌کند)؛ می‌باشد. اما امنیت VPN بایستی به دقت توسط رابطه ات ایـن ترنتی مدیریت گردد.
مدیریت کاربران VPN
بیشتر مدیران شبکه برای مدیریت کاربران خود از یک پایگاه داده مدیریت کننده اکانت‌ها بر روی رایانه DC و یا از سرور RADIUS استفاده می‌نمایـن د. ایـن کار به سرور VPN اجازه می‌دهد تا اعتبـار نامه احراز هویت کاربران را به یک سیستم احراز هویت مرکزی ارسـال نماید .
مدیریت آدرس‌ها و Name Serverها
سرور VPN بایستی رشته‌ای از آدرس‌های IP فعال را در خود داشته باشد تا بتواند آن‌ها را در طول وهله پردازش رابطه از طریق پروتکل کنترل IP به‌نام IPCP به درگاه‌های VPN Server و یا Clientها اختصاص دهد.
در VPNهایی که مبتنی بر ویندوز ۲۰۰۰ پیکربندی می‌شوند؛ به‌صورت پیش‌فرض؛ IP آدرس‌هایی که به Clientهای VPN اختصاص داده می‌شود؛ از طریق سرور DHCP گرفته می‌شوند.
اما همـان ‌طور که قبلاً گفته شد شما می‌توانید یک رشته IP را به‌صورت دستی یعنی ایستا به‌جای استفاده از DHCP اعمال بکنید . همچنین ًVPN Server بایستی توسط یک سیستم تأمین‌کننده نام مثل DNS و یا WINS پشتیبانی شود تا بتواند سیستم IPCP را به مورد اجرا منبع بگذارد.