1990 yilning boshida virtual xususiy tarmoq VPN kontseptsiyasi
yaratildi. "Virtual" iborasi VPN atamasiga ikkita uzel o’rtasidagi ulanishni vaqtincha
deb ko’rilishini ta’kidlash maqsadida kiritilgan. Haqiqatan, bu ulanish doimiy, qat’iy
bo’lmay, faqat ochiq tarmoq bo’yicha trafik o’tganida mavjud bo’ladi.
Virtual tarmoq VPNlarni qurish kontseptsiyasi asosida yetarlicha oddiy g’oya yotadi: agal global tarmoqda axborot almashinuvchi ikkita uzel bo’lsa, bu uzellar orasida ochiq tarmoq orqali uzatilayotgan axborotning konfidentsialligini va yaxlitligini ta’minlovchi virtual himoyalangan tunnel qurish zarur va bu virtual tunneldan barcha mumkin bo’lgan tashqi faol va passiv kuzatuvchilarning foydalanishi xaddan tashqariqiyin bo’lishi lozim.SHunday qilib, VPN tunneli ochiq tarmoq orqali o’tkazilgan ulanish bo’lib, u
orqali virtual tarmoqning kriptografik himoyalangan axborot paketlari uzatiladi. Axborotni VPN tunneli bo’yicha uzatilishi jarayonidagi himoyalash quyidagi
vazifalarni bajarishga asoslangan:
- o’zaro aloqadagi taraflarni autentifikatsiyalash;
- uzatiluvchi ma’lumotlarni kriptografik berkitish (shifrlash);
- etkaziladigan axborotning haqiqiyligini va yaxlitligini tekshirish.
Bu vazifalar bir biriga bog’liq bo’lib, ularni amalga oshirishda axborotni
kriptografik himoyalash usullaridan foydalaniladi. Bunday himoyalashning
samaradorligi simmetrik va asimmetrik kriptografik tizimlarning birgalikda ishlatilishi evaziga ta’minlanadi. VPN qurilmalari tomonidan shakllantiriluvchi VPN tunneli himoyalangan ajratilgan liniya xususiyatlariga ega bo’lib, bu himoyalangan ajratilgan
liniyalar umumfoydalanuvchi tarmoq, masalan Internet doirasida, saflanadi. VPN qurilmalari virtual xususiy tarmoqlarda VPN-mijoz, VPN-server yoki VPN xavfsizligi shlyuzi vazifasini o’tashi mumkin.VPN-mijoz odatda shaxsiy kompyuter asosidagi dasturiy yoki dasturiy-apparat
kompleksi bo’lib, uning tarmoq dasturiy ta’minoti u boshqa VPN-mijoz, VPN-server
yoki VPN xavfsizligi shlyuzlari bilan almashinadigan trafikni shifrlash va
autentifikatsiyalash uchun modifikatsiyalanadi.
- 41 -VPN-server server vazifasini o’tovchi, kompyuterga o’rnatiluvchi dasturiy yoki
dasturiy-apparat kompleksidan iborat. VPN-server tashqi tarmoqlarning ruxsatsiz
foydalanishidan serverlarni himoyalashni hamda alohida kompyuterlar va mos VPNmahsulotlari orqali himoyalangan lokal tarmoq segmentlaridagi kompyuterlar bilan
himoyalangan ulanishlarni tashkil etishni ta’minlaydi. VPN-server VPN-mijozning
server platformalari uchun funktsional analog hisoblanadi. U avvalo VPN-mijozlar
bilan ko’pgina ulanishlarni madadlovchi kengaytirilgan resurslari bilan ajralib turadi.
VPN-server mobil foydalanuvchilar bilan ulanishlarni ham madadlashi mumkin.
VPN xavfsizlik shlyuzi. (Security gateway) ikkita tarmoqqa ulanuvchi tarmoq
qurilmasi bo’lib, o’zidan keyin joylashgan ko’p sonli xostlar uchun shifrlash va
autentifikatsiyalash vazifalarini bajaradi. VPN xavfsizligi shlyuzi shunday
joylashtiriladiki, ichki korporativ tarmoqqa atalgan barcha trafik u orqali o’tadi. VPN
xavfsizligi shlyuzining adresi kiruvchi tunnellanuvchi paketning tashqi adresi sifatida
ko’rsatiladi, paketning ichki adresi esa shlyuz orqasidagi muayyan xost adresi
hisoblanadi. VPN xavfsizligi shlyuzi alohida dasturiy yechim, alohida apparat
qurilmasi, hamda VPN vazifalari bilan to’ldirilgan marshrutizatorlar yoki tarmoqlararo
ekran ko’rinishida amalga oshirilishi mumkin.
Axborot uzatishning ochiq tashqi muhiti ma’lumot uzatishning tezkor kanallarini
(Internet muhiti) va aloqaning sekin ishlaydigan umumfoydalanuvchi kanallarini
(masalan, telefon tarmog’i kanallarini) o’z ichiga oladi. Virtual xususiy tarmoq
VPNning samaradorligi aloqaning ochiq kanallari bo’yicha aylanuvchi axborotning
himoyalanish darajasiga bog’liq. Ochiq tarmoq orqali ma’lumotlarni xavfsiz uzatish
uchun inkapsulyatsiyalash va tunnellash keng ishlatiladi. Tunnellash usuli bo’yicha
ma’lumotlar paketi umumfoydalanuvchi tarmoq orqali xuddi oddiy ikki nuqtali ulanish
bo’yicha uzatilganidek uzatiladi. Har bir "jo’natuvchi-qabul qiluvchi" juftligi orasiga bir
protokol ma’lumotlarini boshqasining paketiga inkapsulyatsiyalashga imkon beruvchi
o’ziga xos tunnel-mantiqiy ulanish o’rnatiladi.
Tunnellashga binoan, uzatiluvchi ma’lumotlar portsiyasi xizmatchi hoshiyalar
bilan birga yangi "konvert"ga "joylash" amalga oshiriladi. Bunda pastroq sath protokoli
paketi yuqoriroq yoki xudi shunday sath protokoli paketi ma’lumotlari maydoniga
joylashtiriladi. Ta’kidlash lozimki, tunnelashning o’zi ma’lumotlarni ruxsatsiz
foydalanishdan yoki buzishdan himoyalamaydi, ammo tunnellash tufayli
inkapsulyatsiyalanuvchi dastlabki paketlarni to’la kriptografik himoyalash imkoniyati
paydo bo’ladi. Uzatiluvchi ma’lumotlar konfidentsialligini ta’minlash maqsadida
jo’natuvchi dastlabki paketlarni shifrlaydi, ularni, yangi IP- sarlavha bilan tashqi
paketga joylaydi va tranzit tarmoq bo’yicha jo’natadi