VPN з'єднання завжди складається з каналу типу точка-точка, також відомого під назвою тунель. Тунель створюється у незахищеній мережі, в якості якої найчастіше виступає Інтернет. З'єднання точка-точка увазі, що воно завжди встановлюється між двома комп'ютерами, які називаються вузлами або peers. Кожен peer відповідає за шифрування даних до того, як вони потраплять в тунель і розшифровку цих даних після того, як вони тунель покинуть. Хоча VPN-тунель завжди встановлюється між двома точками, кожен peer може встановлювати додаткові тунелі з іншими вузлами. Для прикладу, коли трьом віддаленим станціям необхідно зв'язатися з одним і тим же офісом, буде створено три окремих VPN-тунелю до цього офісу. Для всіх тунелів peer на стороні офісу може бути одним і тим же. Це можливо завдяки тому, що вузол може шифрувати і розшифровувати дані від імені всієї мережі, як це показано на малюнку 1. br/>В
Малюнок 1. VPN-шлюз до мережі
У цьому випадку VPN-вузол називається VPN-шлюзом, а мережа за ним - доменом шифрування (encryption domain). Використання шлюзів зручно з кількох причин. По-перше, всі користувачі повинні пройти через один пристрій, який полегшує завдання управління політикою безпеки і контролю вхідного і вихідного трафіку мережі. По-друге, персональні тунелі до кожної робочої станції, до якої користувачеві треба отримати доступ, дуже швидко стануть некерованими (так як тунель - це канал типу точка-точка). За наявності шлюзу, користувач встановлює з'єднання з ним, після чого користувачеві відкривається доступ до мережі (домену шифрування). p align="justify"> Цікаво відзначити, що всередині домену шифрування самого шифрування не відбувається. Причина в тому, що ця частина мережі вважається безпечною і, що знаходиться під безпосереднім контролем на противагу Інтернет. Це справедливо і при з'єднанні офісів за допомогою VPN-шлюзів. Таким чином гарантується шифрування тільки тієї інформації, яка передається по небезпечному каналу між офісами. Малюнок показує VPN, що сполучає два офіси. br/>В
Малюнок 2. Захищена мережа на основі незахищеною мережі
Мережа A вважається доменом шифрування VPN-шлюзу A, а мережа B - доменом шифрування VPN-шлюзу B, відповідно. Коли користувач мережі A виявляє бажання відправити дані в мережу B, VPN шлюз A зашифрує їх і відішле через VPN-тунель. VPN шлюз B розшифрує інформацію і передасть одержувачу в мережі B. Всякий раз, коли з'єднання мереж обслуговують два VPN-шлюзу, вони використовують режим тунелю. Це означає, що шифрується весь пакет IP, після чого до нього додається новий IP-заголовок. Новий заголовок містить IP-адреси двох VPN-шлюзів, які і побачить пакетний сніффер при перехопленні. Неможливо визначити комп'ютер-джерело в першому домені шифрування і комп'ютер-одержувач у другому домені. p align="justify"> назавісімо від використовуваного ПЗ, всі VPN працюють ...
