پروتکل هاي VPN امن شامل موارد زير است:
• امنيت پروتکل اينترنت (IPsec) در اصل توسط کارگروه مهندسي اينترنت (IETF) براي IPv6 ساخته شده است ، که قبل از توصيه RFC 6434 در تمام استانداردهاي سازگار IPv6 لازم است. اين پروتکل امنيتي مبتني بر استانداردها همچنين به طور گسترده اي با IPv4 و پروتکل تونل سازي لايه 2 مورد استفاده قرار مي گيرد. طراحي آن بيشترين اهداف امنيتي را برآورده مي کند: در دسترس بودن ، يکپارچگي و رازداري. IPsec از رمزگذاري استفاده مي کند ، يک بسته IP را درون يک بسته IPsec قرار مي دهد. کپسول زدايي در انتهاي تونل اتفاق مي افتد ، جايي که بسته IP اصلي رمزگشايي شده و به مقصد مورد نظر خود هدايت مي شود.
• Transport Layer Security (SSL / TLS) مي تواند تمام ترافيک شبکه را تونل کند (مانند پروژه OpenVPN و پروژه SoftEther VPN) يا اتصال جداگانه اي را ايجاد کند. بسياري از ارائه دهندگان قابليت هاي VPN را براي دسترسي از راه دور از طريق SSL فراهم مي کنند. SSL VPN مي تواند از مکانهايي متصل شود که IPsec در ترجمه آدرسهاي شبکه و قوانين ديوار آتش مشکل دارد.
• Datagram Transport Layer Security (DTLS) - مورد استفاده در Cisco AnyConnect VPN و OpenConnect VPN براي حل مشکلاتي که SSL / TLS با تونل TCP دارد (تونل TCP از طريق TCP مي تواند منجر به تاخير طولاني و قطع اتصال شود).
• رمزگذاري Microsoft Point to Point (MPPE) با پروتکل نقطه به نقطه Tunneling و در چندين پياده سازي سازگار در سيستم عامل هاي ديگر کار مي کند.
• پروتکل نقطه به نقطه پروتکل مايکروسافت (SSTP) پروتکل نقطه به نقطه (PPP) يا پروتکل تونل سازي لايه 2 از طريق کانال SSL / TLS (SSTP در Windows Server 2008 و Windows Vista Service Pack 1 پياده سازي شده است).
• شبکه خصوصي مجازي چند راهي (MPVPN). شرکت توسعه سيستم هاي راگولا داراي مارک تجاري ثبت شده "MPVPN" است.
• VPN Secure Shell (SSH) - OpenSSH تونل VPN (به غير از انتقال پورت) را براي تأمين اتصالات از راه دور به شبکه يا اتصال به اتصالات ارائه مي دهد. سرور OpenSSH تعداد محدودي تونل همزمان را فراهم مي کند. ويژگي VPN خود تأييد اعتبار شخصي را پشتيباني نمي کند.
• WireGuard يک پروتکل است. در سال 2020 ، پشتيباني از WireGuard به Linux و Androidkernel اضافه شد ، که اين امر باعث پذيرش ارائه دهندگان VPN مي شود. به طور پيش فرض ، WireGuard از Curve25519 براي تبادل کليد و ChaCha20 براي رمزگذاري استفاده مي کند ، اما همچنين شامل توانايي اشتراک اوليه کليد متقارن بين سرويس گيرنده و سرور نيز مي باشد. تقريباً تمام VPN هاي تجاري اين پروتکل را به عنوان پيش فرض خود پذيرفته اند.
احراز هويت
قبل از ايجاد تونل هاي VPN ايمن بايد نقاط پاياني تونل احراز هويت شوند. VPN هاي دسترسي از راه دور ايجاد شده توسط کاربر مي توانند از رمزهاي عبور ، بيومتريک ، احراز هويت دو عاملي يا ساير روش هاي رمزنگاري استفاده کنند. تونل هاي شبکه به شبکه اغلب از رمزهاي عبور يا گواهينامه هاي ديجيتالي استفاده مي کنند. آنها کليد را به طور دائمي ذخيره مي کنند تا تونل به طور خودکار و بدون هيچ گونه مداخله اي از سوي مدير تاسيس شود
مسيريابي
پروتکل هاي تونل زني مي توانند در يک توپولوژي شبکه به نقطه اي کار کنند که از نظر تئوري VPN در نظر گرفته نشود ، زيرا طبق تعريف پيش بيني مي شود VPN از مجموعه هاي تصادفي و متغير گره هاي شبکه پشتيباني کند. اما از آنجا که اکثر پياده سازي هاي روتر از يک رابط تونل تعريف شده توسط نرم افزار پشتيباني مي کنند ، VPN هاي ارائه شده توسط سرويس گيرنده اغلب تونل هايي هستند که پروتکل هاي معمول مسيريابي را اجرا مي کنند.
گرافيک VPN ارائه شده توسط ارائه دهنده
بسته به اينکه VPN (PPVPN) تهيه شده در لايه 2 يا 3 کار کند ، بلوک هاي ساختاري شرح داده شده در زير ممکن است فقط L2 ??، فقط L3 يا ترکيبي از هر دو باشد. ويژگي Multi-Protocol Label Switching (MPLS) هويت L2-L3 را پنهان مي کند.
RFC 4026 براي پوشش VPN هاي L2 MPLS و L3 (BGP) اصطلاحات زير را خلاصه مي کند ، اما آنها در RFC 2547 معرفي مي شوند.
دستگاه هاي مشتري (C)
دستگاهي که در شبکه مشتري است و مستقيماً به شبکه ارائه دهنده خدمات متصل نيست. دستگاه هاي C از VPN اطلاع ندارند.
دستگاه مشتري (CE)
دستگاهي در لبه شبکه سرويس گيرنده که امکان دسترسي به PPVPN را فراهم مي کند. گاهي اوقات اين فقط يک نقطه تمايز بين مسئوليت تأمين کننده و مشتري است. ساير ارائه دهندگان به مشتريان امکان پيکربندي آن را مي دهند.
دستگاه نهايي تأمين کننده (PE)
دستگاه يا مجموعه اي از دستگاه ها واقع در لبه شبکه ارائه دهنده که از طريق دستگاه هاي CE به شبکه هاي مشتري متصل مي شوند و نماي ارائه دهنده سايت سايت مشتري را ارائه مي دهند. PE ها از VPN هايي که از طريق آنها متصل مي شوند و حالت VPN را حفظ مي کنند آگاه هستند.
دستگاه تأمين کننده (P)
دستگاهي که در شبکه اصلي ارائه دهنده کار مي کند و با هيچ نقطه پاياني مشتري رابط مستقيم ندارد. به عنوان مثال ، اين مي تواند مسيريابي بسياري از تونل هايي را که توسط فروشندگاني اداره مي شوند و متعلق به PPVPN هستند براي مشتريان مختلف فراهم کند.