Điều khiển truy nhập (AC: Access Control) trong kết nối mạng số liệu được
định nghĩa là tập các chính sách và các kỹ thuật điều khiển truy nhập đến các tài nguyên nối mạng riêng cho các phía được trao quyền. Các cơ chế AC hoạt động độc lập với nhận thực và an ninh và cơ bản định nghĩa các tài nguyên nào khả dụng cho một người sử dụng cụ thể sau khi người này đã được nhận thực. Trong thế giới IP- VPN, các thực thể vật lí như các máy trạm ở xa, tường lửa và cổng IP-VPN trong các mạng thuộc hãng tham dự vào phiên thơng tin thường chịu trách nhiệm (hay ít nhất chỉ
trách nhiệm) cho quá trình tham dựđảm bảo trạng thái kết nối IP-VPN. Thí dụ các quyết định bao gồm: • Khởi đầu • Cho phép • Tiếp tục • Từ chối • Kết thúc
Mục đích chính của IP-VPN là cho phép truy nhập cĩ đảm bảo an ninh và cĩ chọn lựa đến các tài nguyên nối mạng từ xa. Nếu chỉ cĩ an ninh và nhận thực mà khơng cĩ AC, IP-VPN chỉ bảo vệ tính tồn vẹn, tính bí mật của lưu lượng được truyền và ngăn cản các người sử dụng vơ danh sử dụng mạng, nhưng khơng quản lí truy nhập các tài nguyên nối mạng. AC thường phụ thuộc vào thơng tin mà thực thể yêu cầu kết nối ở dạng nhận dạng hay chứng chỉ cũng như các quy tắc định nghĩa AC. Chẳng hạn một số IP-VPN cĩ thểđược điều hành bởi một server tập trung hay thiết bịđiều khiển IP-VPN khác đặt tại trung tâm số liệu của nhà cung cấp dịch vụ, hay cĩ thể cổng IP- VPN quản lí địa phương trong các mạng liên quan đến thơng tin IP-VPN.
Tập các quy tắc và các quy luật quy định các quyền truy nhập đến các tài nguyên mạng được gọi là chính sách điều khiển truy nhập. Chính sách truy cập đảm bảo mục đích kinh doanh, chẳng hạn, chính sách “Cho phép truy nhập cho các thuê bao chưa vượt quá 60 giờ sử dụng” cĩ thể thực hiện bằng cách sử dụng nhận thực dựa trên RADIUS (Remote Authentication Dial-in User Service: Dịch vụ nhận thực người dùng quay số từ xa) và sử dụng một bộ đếm thời gian mỗi khi người sử dụng truy nhập. Về mặt lí thuyết cĩ thể sử dụng bản tin RADIUS DISCONNECT (tháo gỡ kết nối radius) để ngắt phiên của người sử dụng khi đã vượt quá 60 giờ, tuy nhiên đơi khi chính sách này chỉđược áp dụng tại thời gian đăng nhập, khi tin tưởng người sử dụng khơng thường xuyên ở trình trạng đăng nhập, hay bằng cách đặt ra một giới hạn phiên
như bên trên của mức độ sử dụng khi vượt quá thời gian cho phép cực đại. Cĩ thể thực hiện các chính sách tương tự bằng cách thay giới hạn thời gian bằng một giới hạn tính chỉ cĩ thể liên quan đến tài khoản trả trước.