Chúng ta xem xét khái niệm về các thành phần cơ bản trong mạng VPN như sau:
1.4.1. Máy chủ phục vụ truy cập mạng (Network Access Server -NAS)
NAS là thiết bị mạng có khả năng cung cấp dịch vụ truy cập mạng. Nếu NAS đặt tại mạng riêng của một cơng ty thì nó gọi là máy phục vụ truy cập từ xa (RAS – Remote Access Server). Nếu được đặt trong mạng cơng cộng thì nó cung cấp dịch vụ truy cập tới hạ tầng mạng dùng chung được quản lý bởi SP. Một SP có thể cung cấp các điểm truy cập dịch vụ (PoP – Point of Presence) để mở rộng khả năng truy cập tới mạng riêng của một công ty. Điều này cho phép các người sử dụng từ xa có thể truy cập tới mạng riêng của cơng ty mình thơng qua SP với giá cước nội hạt. Định tuyến và lọc gói là các chức năng chính được hỗ trợ bởi các thiết bị này.
1.4.2. Bộ định tuyến (Router)
Tất cả các dạng của VPN đều dựa vào các bộ định tuyến. Các giải pháp VPN hiện thời là các bộ định tuyến được kết hợp với các chức năng khác. Các bộ định tuyến có thể được đặt cả ở phía mạng của một cơng ty và phía SP. Chúng ta có thể phân biệt các bộ định tuyến trong, ngồi và thậm chí các bộ định tuyến ngầm định.
Một hệ tự trị (AS – Autonomous System) bao gồm các mạng được đặt dưới một sự quản trị duy nhất. Các bộ định tuyến trong và ngoài là một phần của một AS. Các bộ định tuyến ngoài của một AS cho phép liên lạc với các bộ định tuyến ngoài của một AS khác, trong khi các bộ định tuyến trong cho phép các mạng trong một AS liên lạc với nhau.
1.4.3. Máy nguồn và máy đích đường hầm.
Các máy nguồn và máy đích đuờng hầm có thể thiết lập hoặc huỷ bỏ các đường hầm. Tất cả người sử dụng dịch vụ VPN được xác thực sẽ truy cập các tài nguyên trên mạng riêng của công ty thông qua một đường hầm, đường hầm này được kết thúc tại máy đích đường hầm. Máy nguồn đường hầm có thể hỗ trợ đồng thời nhiều đường hầm cùng một lúc. Phía cịn lại của đường hầm là một thiết bị sẽ kết thúc đường hầm. Sau đó nó sẽ chuyển các gói tin nhận được từ đường hầm tới máy tương ứng. Nếu đây là phiên khởi tạo thì đầu tiên người gửi sẽ được xác thực, dựa vào đó người sử dụng sẽ được chấp nhận hoặc bị loại bỏ.
1.4.4. Máy chủ phục vụ xác thực (Authentication Server)
Khi một máy khách kết nối vào NAS, NAS phải xác định xem máy khách muốn truy cập tới Internet hay là sử dụng dịch vụ VPN để truy cập vào tài nguyên trong mạng riêng của công ty họ. Các SP và các cơng ty có thể chọn lựa các cách xác thực. Phía cơng ty sẽ hoạch định các chính sách và cung cấp các quyền truy cập đến các tài nguyên khác nhau trên mạng của họ cho những người sử dụng khác nhau.
Trong nhiều trường hợp một máy phục vụ được sử dụng cho việc xác thực, cấp phép và ghi lại các thơng tin truy cập. Có hai loại chính được sử dụng là:
+ Terminal Access Controller Access Control System (TACACS)
+ Remote Authentication Dial In User Server (RADIUS)
Một NAS hoặc một máy đích đường hầm sử dụng giao thức TACACS để liên lạc với máy phục vụ TACACS. RADIUS cũng làm việc theo cơ chế như vậy. Sự khác nhau ở chỗ RADIUS là phiên bản ra sau và mã hố dữ liệu
trao đổi giữa nó với NAS hoặc máy đích đường hầm, trong khi TACACS khơng mã hố dữ liệu được trao đổi. Các máy phục vụ này có một cơ sở dữ liệu cùng với các hồ sơ người sử dụng. Những người sử dụng được cấp phép sẽ được gán các quyền riêng để truy cập vào các thiết bị hoặc các dịch vụ mạng cụ thể.
1.4.5. Tường lửa - Firewall
Firewall được dùng để bảo vệ mạng riêng khỏi bị các truy cập bất hợp pháp, tất cả các gói tin vào hoặc ra khỏi mạng sẽ được kiểm tra và firewall sẽ quyết định cho qua hay cấm các gói tin này. Thơng thường một Firewall gồm có các bộ định tuyến và các gateway ứng dụng. Một Firewall thông thường chỉ cung cấp dịch vụ cấp phép. Nó khơng phân phối các dịch vụ đảm bảo tính tồn vẹn dữ liệu, tính bí mật dữ liệu và các dịch vụ xác thực. Tuy nhiên Firewall có thể được thực hiện với các kỹ thuật mã hố và xác thực. Có ba loại Firewall chính, đó là:
- Các Firewall mức mạng: Thực tế đây là một bộ lọc gói tin. Nó sẽ kiểm tra phần header của gói tin như là địa chỉ, giao thức giao vận được mang theo trong gói tin. Một danh sách kiểm tra (checklist) định ra các gói tin nhận được từ một địa chỉ nào đó hoặc đi đến một địa chỉ nào đó có thể được chuyển tiếp hay khơng. Có hai loại là các Firewall khơng kiểm tra trạng thái và các Firewall kiểm tra trạng thái. Sự khác nhau ở chỗ các Firewall kiểm tra trạng thái sử dụng thông tin về trạng thái thu được từ các lần truyền thông trước (thông tin trạng thái truyền thông) và từ các ứng dụng khác (thông tin trạng thái ứng dụng), trong khi các Firewall không kiểm tra trạng thái chỉ kiểm tra từng gói tin một cách riêng lẻ.
- Các Firewall mức ứng dụng: Kiểu Firewall này được coi là an tồn nhất vì chỉ có những dữ liệu của ứng dụng cụ thể được kiểm tra.
- Các firewall chuyển mạch: Hoạt động giữa lớp mạng và lớp ứng dụng. Các Firewall kiểu này an toàn hơn Firewall mức mạng và không cần nhiều gateway cho mỗi ứng dụng.
1.4.6. Máy phục vụ chính sách (Policy Server)
Kiểu máy phục vụ này quản lý một cơ sở dữ liệu tập trung, cơ sở dữ liệu này có thể chứa tất cả các loại thơng tin, ví dụ như các thuật toán bảo mật để sử dụng cho các phiên truyền thông riêng biệt, số lần làm tươi khoá, chứng chỉ khố cơng khai, thơng tin về hồ sơ người sử dụng,...
Các thông tin được lưu trữ dưới dạng đã được chuẩn hố sao cho các thơng tin này có thể được truy cập bằng cách sử dụng LDAP (Lightweight Directory Access Protocol). Máy phục vụ chính sách cịn được gọi là máy phục vụ thư mục LDAP
1.4.7. VPN Gateway
Nhìn chung các thiết bị này thực hiện các nhiệm vụ như định tuyến, cung cấp các kỹ thuật bảo mật (IPSec), cung cấp các chính sách bảo mật để chỉ ra một cách chính xác ai có thể truy cập vào cái gì dựa trên địa chỉ IP, cung cấp chức năng chuyển dịch địa chỉ NAT và thậm chí thực hiện cả chức năng của Firewall.
Các thiết bị này còn được gọi là các hộp IPSec. Nhiều nhà cung cấp xây dựng các thiết bị như vậy nhưng tất cả có một kiến trúc khác nhau. Các sản phẩm VPN gồm có một hộp IPSec, phần mềm quản lý và có thể bao gồm các thành phần mạng như là máy phục vụ xác định chính sách.