1.1 Khái niệm:
Một VPN là một mạng lưới mà giả lập một mạng riêng trên một cơ sở hạ tầng chung. Các VPN có thể cung cấp thông tin liên lạc tại Layer 2 hoặc 3 trong mô hình OSI. VPN thường phụ thuộc vào một công ty và có một số trang web kết nối với nhau trên cơ sở hạ tầng cung cấp dịch vụ phổ biến. Các mạng riêng yêu cầu tất cả các trang web của khách hàng có thể kết nối và hoàn toàn tách biệt với VPN khác. Đó là yêu cầu kết nối tối thiểu. Tuy nhiên, các mô hình VPN ở lớp IP có thể đòi hỏi nhiều hơn thế. Họ có thể cung cấp kết nối giữa các VPN khác nhau khi đó là muốn và thậm chí cung cấp kết nối với Internet. MPLS VPN cung cấp tất cả những điều này. MPLS VPN có thể được thực hiện bởi vì MPLS cung cấp dịch vụ chạy trong mạng trục, trong đó cung cấp một mặt phẳng chuyển tiếp và mặt phẳng kiểm soát mà IP không có.
1.2 Mô hình VPN:
VPN đã tồn tại trước khi sự xuất hiện của MPLS. Phổ biến nhất là Frame Relay hoặc công nghệ ATM, cung cấp dịch vụ VPN ở lớp 2. Các nhà cung cấp đã có một Frame Relay hoặc ATM đường trục và cung cấp kết nối Layer 2 với router của khách hàng. Đây thường được gọi là mô hình overlay.
Các nhà cung cấp dịch vụ có thể đã thực sự sở hữu hoặc quản lý các bộ định tuyến biên đã được kết nối với mạng lưới khách hàng. Vấn đề là các router đã được vật lý tại các cơ sở của khách hàng.
Mạng VPN peer-to-peer tồn tại, nhưng chúng không phổ biến. Lý do chính là chúng không dễ dàng triển khai và duy trì bởi vì họ cần phân phối danh sách, bộ lọc gói tin IP, hoặc GRE tunnels. MPLS VPN là một ví dụ của một mô hình có tính khả mở peer-to-peer VPN.
VPN được giới thiệu để cho phép các nhà cung cấp dịch vụ sử dụng cơ sở hạ tầng công cộng có sẵn để thực thi các kết nối point-to-point giữa các site khách hàng. Một mạng khách hàng thực thi với bất kỳ công nghệ VPN nào sẽ nằm trong vùng điều khiển của khách hàng được gọi là các site khách hàng, các site này được kết nối với nhau thông qua mạng của nhà cung cấp dịch vụ (SP - service provider). Trong các mạng dựa trên bộ định tuyến truyền thống (traditional router-based network), các site khác nhau của cùng khách hàng được kết nối với nhau bằng các kết nối point-to-point chuyên dụng (lease line, Frame Relay,...). Chi phí thực hiện phụ thuộc vào so lượng site khách hàng. Các site kết nối dạng full mesh sẽ làm gia tăng chi phí theo cấp số mũ. Frame Relay và ATM là những công nghệ đi đầu thích hợp thực thi VPN. Các mạng này bao gồm các thiết bị khác nhau thuộc về khách hàng hoặc nhà cung cấp dịch vụ, đó là các thành phần của giải pháp VPN.
VPN gồm các vùng sau: