Istnieją różne technologiczne sposoby łączenia oddziałów przedsiębiorstwa w bezpieczny sposób, aby zapewnić im komunikację w tej samej sieci niezależnie od położenia geograficznego. Tradycyjnym sposobem do tego celu, było wykorzystanie łączy dzierżawionych lub połączeń opartych na technologii Asynchronous Transfer Mode (ATM) i Frame Relay. Innym sposobem jest budowanie tuneli przez sieć Internet zarządzanych przez klientów (przedsiębiorstwa) by stworzyć Virtual Private Network (VPN). Oba sposoby są postrzegane jako sieć prywatna należąca do danego przedsiębiorstwa, pomimo, że zastała zbudowana na współdzielonej infrastrukturze należącej do dostawcy usług ISP.

VPN (Virtual Private Network) jest terminem, który odnosi się do wszystkich technologii umożliwiających bezpieczną komunikację poprzez sieć publiczną Internet. Technologie związane z VPN (Virtual Private Network) dostarczają takich funkcji jak tunelowanie, uwierzytelnianie oraz szyfrowanie.

VPN stosuje tzw. tunele pomiędzy bramami, by chronić prywatne dane w czasie ich przesyłania przez Internet. Tunelowanie jest procesem szyfrowania pakietów z danymi, tak by uczynić je niemożliwymi do przeczytania, gdy przechodzą przez sieć publiczną. Taki tunel VPN zestawiony przez Internet chroni wszystkie dane przechodzące przez niego, niezależnie od aplikacji.

Organizacja zajmująca się prywatnymi sieciami wirtualnymi (VPN Consortium – www.vpnc.org) wymienia trzy najważniejsze technologie VPN: trusted VPN, secure VPN i hybrid VPN.

Trusted VPN, czyli takie, którym można ufać, to sieci, w których klient VPN ufa dostawcy takiej usługi, że zarządza on integralnością łączy między oddziałami jego firmy i stosuje najlepsze sposoby zabezpieczenia ruchu sieciowego przed podsłuchiwaniem i podszywaniem się. Dostawca VPN, zapewnia klienta, że nikt oprócz niego nie wykorzystuje tego samego łącza do komunikacji. Dzięki temu klient może zachować własną adresację IP i własne polityki bezpieczeństwa.

Secure VPN, czyli bezpieczne, chronione VPN, to sieci zbudowane w oparciu o szyfrowanie ruchu. Stosują protokoły zapewniające szyfrowanie danych na brzegu sieci lub już w komputerze wysyłającym dane. Protokoły przenoszone są przez sieć Internet tak jak dane, a proces odszyfrowania zachodzi w miejscu osiągnięcia sieci korporacyjnej klienta lub w komputerze docelowym. Ruch szyfrowany działa jak tunel między dwoma sieciami, daje to taką właściwość, że, pomimo, że haker widzi ruch to nie może nic odczytać ani nie może zmodyfikować ruchu, bo będzie to widoczne przez odbiorcę, a jeśli to zrobi to ruch zostanie odrzucony przez niego.

Hybrid VPN, czyli mieszane VPN, powstają przez wykorzystanie secure VPN na działających już trusted VPN. Część chroniona mieszanego VPN może być zarządzana przez klienta albo przez dostawcę trusted VPN. Czasami cały mieszany VPN może być chroniony przez bezpieczny VPN, ale częściej tylko część mieszanego VPN jest chroniona.

Technologie bezpiecznych VPN (secure):

a.       IPsec z szyfrowaniem (RFC 2401, RFC 2406 do RFC 2409)

b.      IPsec wewnątrz L2TP (jak opisanoo w RFC 3193)

c.       SSL 3.0 lub TLS z szyfrowaniem (TLS opisano w RFC 2246)

Technologie ufnych VPN (trusted). Istnieje tu podział na VPN warstwy 2 i VPN warstwy 3:

A.     VPN layer 2 (warstwy 2):

a.       Łącza wirtualne ATM

b.      Łącza wirtualne Frame Relay

c.       Transport ramek warstwy 2 przez MPLS (draft-ietf-l2vpn-vpls-ldp-05)

B.     VPN layer 3 (warstwy 3):

a.       MPLS z ograniczoną dystrybucją informacji oo routingu przez BGP (draft-ietf-l3vpn-rfc2547bis-03)

Wraz z pojawieniem się nowej technologii, jaką jest MPLS (MultiProtocol Label Switching) stały się popularne nowe sposoby budowania sieci VPN (Virtual Private Network), włączając VPN oparty o warstwę 2 oraz warstwie 3 brzegu dostawcy (PE – Provider Edge L2 i L3 VPN).

W przypadku sieci wirtualnych w warstwie 2, dostawcy usług oferują połączenia w warstwie 2 pomiędzy oddziałami klienta z wykorzystaniem IP lub MPLS. Zastosowana jest tu technika opisana w początkowo w drafcie draft-martini-l2circuittrans-mpls, VPLS, czyli Virtual Private LAN Service jest emulacją sieci Ethernet (warstwa 2) przez szkielet IP lub MPLS dostawcy usług internetowych.

VPN (Virtual Private Network) warstwy 3 oparte o PE (Provider Edge) łączą kilka lokalizacji, umożliwiając im komunikację opartą na adresach IP. Routery PE odpowiedzialne są za utrzymywanie oddzielnych kontekstów IP dla każdego VPN oraz za izolację ruchu VPNów. Konsekwentnie, brzeg klienta, czyli Customer Edge (CE) nie wymaga żadnych zmian ani dodatkowych funkcjonalności by zostać przyłączonym do VPN (Virtual Private Network) .