Có thể nhận thấy rõ ràng rằng các mạng VPN truyền thống đều thực hiện thiết lập đờng hầm để trao đổi dữ liệu. Một đờng hầm đợc sử dụng để chuyển dữ liệu từ điểm này đến điểm kia qua hạ tầng liên mạng nh thể là chúng kết nối trực tiếp với nhau. Điều này có thể đạt đợc bằng cách bọc các khung vào gói và thêm một extra header cho gói đó. Nhờ thông tin trong extra header này mà các node trung gian chỉ việc chuyển tiếp dữ liệu trên đờng hầm mà không cần phân tích gói gốc.
Xét ví dụ minh hoạ trong hình dới đây, dữ liệu từ A gửi đến B thông qua đ- ờng hầm giữa X và Z. Node trung gian Z, không cần biết đến đích đến cuối cùng là B, mà chỉ việc forward dữ liệu đến đầu Z của đờng hầm.
Hình 4.5: Cơ chế đờng hầm Một số đặc tính của đờng hầm:
Thứ nhất là phải bảo mật, khách hàng VPN cần đợc đảm bảo rằng dữ liệu của họ truyền trên mạng phải an toàn. Sẽ là không tốt nếu nh các tài liệu về chiến lợc kinh doanh của một công ty lại bị đối thủ cạnh tranh của họ lấy đ- ợc.
Thứ hai là khả năng mở rộng, đó là số lợng đờng hầm phải cung cấp trên mạng lõi và lợng tài nguyên mạng mà các đờng hầm này tiêu thụ. Đặc biệt, một số công nghệ đờng hầm cho phép ghép kênh – ghép các dòng dữ liệu thành một luồng để truyền trên cùng một đờng hầm, và sau đó tách ra tại cuối đờng để đa đến đích.
Công nghệ đờng hầm có thể dựa trên các giao thức lập đờng hầm lớp 2 nh: PPTP, L2TP...hoặc các giao thức lập đờng hầm lớp 3 nh: GRE, IPSec...
Phần dới đây sẽ trình bày về một số giao thức kể trên.
