Mạng máy tính ban đầu được triển khai với 2 kỹ thuật chính: đường thuê riêng (Leased Line) cho các kết nối cố định và đường quay số (Dial-up) cho các kết nối không thường xuyên. Các mạng này có tính bảo mật cao, nhưng khi lưu lượng thay đổi và đòi hỏi tốc độ cao nên đã thúc đẩy hình thành một kiểu mạng dữ liệu mới, mạng riêng ảo. Mạng riêng ảo được xây dựng trên các kênh lôgích có tính "ảo". Xu hướng hội tụ của các mạng trên nền NGN tạo điều kiện cho sự xuất hiện nhiều dịch vụ mới, trong đó có dịch vụ mạng riêng ảo.
Hình 1.19. Mô hình VPN cơ bản
Mạng riêng ảo là một mạng máy tính, trong đó các điểm của khách hàng được kết nối với nhau trên một cơ sở hạ tầng chia sẻ với cùng một chính sách truy nhập và bảo mật như trong mạng riêng. Có 2 dạng chính mạng riêng ảo VPN là: Remote Access VPN , Site - to - Site VPN (Intranet VPN và Extranet VPN).
Remote Access VPN (Client - to - LAN VPN) cho phép thực hiện các kết nối truy
nhập từ xa đối với người sử dụng di động (máy tính cá nhân hoặc các Personal Digital Assistant) với mạng chính (LAN hoặc WAN) qua đường quay số, ISDN, đường thuê bao số DSL.
36 nối VPN. Có thể chia loại này ra 2 loại khác: Intranet VPN và Extranet VPN. Intranet VPN kết nối các văn phòng ở xa với trụ sở chính thường là các mạng LAN với nhau. Extranet VPN là khi Intranet VPN của một khách hàng mở rộng kết nối với một Intranet VPN khác.
Bảo mật là một yếu tố quan trọng bảo đảm cho VPN hoạt động an toàn và hiệu quả. Kết hợp với các thủ tục xác thực ngưòi dùng, dữ liệu được bảo mật thông qua các kết nối đường hầm (Tunnel) được tạo ra trước khi truyền dữ liệu. Tunnel là kết nối ảo điểm - điểm (Point to Point) và làm cho mạng VPN hoạt động như một mạng riêng. Dữ liệu truyền trên VPN có thểđược mã hoá theo nhiều thuật toán khác nhau với các độ bảo mật khác nhau. Người quản trị mạng có thể lựa chọn tuỳ theo yêu cầu bảo mật và tốc độ truyền dẫn. Giải pháp VPN được thiết kế phù hợp cho những tổ chức có xu hướng tăng khả năng thông tin từ xa, các hoạt động phân bố trên phạm vi địa lý rộng và có các cơ sở dữ liệu, kho dữ liệu, hệ thống thông tin dùng riêng với yêu cầu đảm bảo an ninh cao.
Chất lượng dịch vụ QoS, các thoả thuận (Service Level Agreement-SLA) với các ISP liên quan đến độ trễ trung bình của gói trên mạng, hoặc kèm theo chỉ định về giới hạn dưới của băng thông. Bảo đảm cho QoS là một việc cần được thống nhất về phương diện quản lý đối với các ISP. Tất cả các giao thức sử dụng trong mạng VPN, các gói dữ liệu IP được mã hoá (RSA RC-4 trong PPTP hoặc mã khóa công khai khác trong L2TP, IPSec) và sau đó đóng gói (ESP), thêm tiêu đề IP mới để tạo đường hầm trên mạng IP công cộng. Như vậy, khi gói tin MTU bị thất lạc trên mạng IP công cộng thì thông tin trong đó đã được mã hoá nên kẻ phá hoại khó có thể dò tìm thông tin thực sự chứa trong bản tin. Trong các giao thức PPTP và L2TP, mã hoá gói tin đã được thực hiện từ người dùng cho đến máy chủ của VPN. Việc mất mát gói tin dẫn đến việc phải truyền lại toàn bộ gói tin, điều này gây nên độ trễ chung đối với VPN và ảnh hưởng đến QoS của mạng VPN.