پروتكل هاي اين نام مجاز نمي باشد امن شامل موارد زير است:
• امنيت پروتكل اينترنت (IPsec) در اصل توسط كارگروه مهندسي اينترنت (IETF) براي IPv6 ساخته شده است ، كه قبل از توصيه RFC 6434 در تمام استانداردهاي سازگار IPv6 لازم است. اين پروتكل امنيتي مبتني بر استانداردها همچنين به طور گسترده اي با IPv4 و پروتكل تونل سازي لايه 2 مورد استفاده قرار مي گيرد. طراحي آن بيشترين اهداف امنيتي را برآورده مي كند: در دسترس بودن ، يكپارچگي و رازداري. IPsec از رمزگذاري استفاده مي كند ، يك بسته IP را درون يك بسته IPsec قرار مي دهد. كپسول زدايي در انتهاي تونل اتفاق مي افتد ، جايي كه بسته IP اصلي رمزگشايي شده و به مقصد مورد نظر خود هدايت مي شود.
• Transport Layer Security (SSL / TLS) مي تواند تمام ترافيك شبكه را تونل كند (مانند پروژه Openاين نام مجاز نمي باشد و پروژه SoftEther اين نام مجاز نمي باشد) يا اتصال جداگانه اي را ايجاد كند. بسياري از ارائه دهندگان قابليت هاي اين نام مجاز نمي باشد را براي دسترسي از راه دور از طريق SSL فراهم مي كنند. SSL اين نام مجاز نمي باشد مي تواند از مكانهايي متصل شود كه IPsec در ترجمه آدرسهاي شبكه و قوانين ديوار آتش مشكل دارد.
• Datagram Transport Layer Security (DTLS) - مورد استفاده در Cisco AnyConnect اين نام مجاز نمي باشد و OpenConnect اين نام مجاز نمي باشد براي حل مشكلاتي كه SSL / TLS با تونل TCP دارد (تونل TCP از طريق TCP مي تواند منجر به تاخير طولاني و قطع اتصال شود).
• رمزگذاري Microsoft Point to Point (MPPE) با پروتكل نقطه به نقطه Tunneling و در چندين پياده سازي سازگار در سيستم عامل هاي ديگر كار مي كند.
• پروتكل نقطه به نقطه پروتكل مايكروسافت (SSTP) پروتكل نقطه به نقطه (PPP) يا پروتكل تونل سازي لايه 2 از طريق كانال SSL / TLS (SSTP در Windows Server 2008 و Windows Vista Service Pack 1 پياده سازي شده است).
• شبكه خصوصي مجازي چند راهي (MPاين نام مجاز نمي باشد). شركت توسعه سيستم هاي راگولا داراي مارك تجاري ثبت شده "MPاين نام مجاز نمي باشد" است.
• اين نام مجاز نمي باشد Secure Shell (SSH) - OpenSSH تونل اين نام مجاز نمي باشد (به غير از انتقال پورت) را براي تأمين اتصالات از راه دور به شبكه يا اتصال به اتصالات ارائه مي دهد. سرور OpenSSH تعداد محدودي تونل همزمان را فراهم مي كند. ويژگي اين نام مجاز نمي باشد خود تأييد اعتبار شخصي را پشتيباني نمي كند.
• WireGuard يك پروتكل است. در سال 2020 ، پشتيباني از WireGuard به Linux و Androidkernel اضافه شد ، كه اين امر باعث پذيرش ارائه دهندگان اين نام مجاز نمي باشد مي شود. به طور پيش فرض ، WireGuard از Curve25519 براي تبادل كليد و ChaCha20 براي رمزگذاري استفاده مي كند ، اما همچنين شامل توانايي اشتراك اوليه كليد متقارن بين سرويس گيرنده و سرور نيز مي باشد. تقريباً تمام اين نام مجاز نمي باشد هاي تجاري اين پروتكل را به عنوان پيش فرض خود پذيرفته اند.
احراز هويت
قبل از ايجاد تونل هاي اين نام مجاز نمي باشد ايمن بايد نقاط پاياني تونل احراز هويت شوند. اين نام مجاز نمي باشد هاي دسترسي از راه دور ايجاد شده توسط كاربر مي توانند از رمزهاي عبور ، بيومتريك ، احراز هويت دو عاملي يا ساير روش هاي رمزنگاري استفاده كنند. تونل هاي شبكه به شبكه اغلب از رمزهاي عبور يا گواهينامه هاي ديجيتالي استفاده مي كنند. آنها كليد را به طور دائمي ذخيره مي كنند تا تونل به طور خودكار و بدون هيچ گونه مداخله اي از سوي مدير تاسيس شود
مسيريابي
پروتكل هاي تونل زني مي توانند در يك توپولوژي شبكه به نقطه اي كار كنند كه از نظر تئوري اين نام مجاز نمي باشد در نظر گرفته نشود ، زيرا طبق تعريف پيش بيني مي شود اين نام مجاز نمي باشد از مجموعه هاي تصادفي و متغير گره هاي شبكه پشتيباني كند. اما از آنجا كه اكثر پياده سازي هاي روتر از يك رابط تونل تعريف شده توسط نرم افزار پشتيباني مي كنند ، اين نام مجاز نمي باشد هاي ارائه شده توسط سرويس گيرنده اغلب تونل هايي هستند كه پروتكل هاي معمول مسيريابي را اجرا مي كنند.
گرافيك اين نام مجاز نمي باشد ارائه شده توسط ارائه دهنده
بسته به اينكه اين نام مجاز نمي باشد (PPاين نام مجاز نمي باشد) تهيه شده در لايه 2 يا 3 كار كند ، بلوك هاي ساختاري شرح داده شده در زير ممكن است فقط L2 ??، فقط L3 يا تركيبي از هر دو باشد. ويژگي Multi-Protocol Label Switching (MPLS) هويت L2-L3 را پنهان مي كند.
RFC 4026 براي پوشش اين نام مجاز نمي باشد هاي L2 MPLS و L3 (BGP) اصطلاحات زير را خلاصه مي كند ، اما آنها در RFC 2547 معرفي مي شوند.
دستگاه هاي مشتري (C)
دستگاهي كه در شبكه مشتري است و مستقيماً به شبكه ارائه دهنده خدمات متصل نيست. دستگاه هاي C از اين نام مجاز نمي باشد اطلاع ندارند.
دستگاه مشتري (CE)
دستگاهي در لبه شبكه سرويس گيرنده كه امكان دسترسي به PPاين نام مجاز نمي باشد را فراهم مي كند. گاهي اوقات اين فقط يك نقطه تمايز بين مسئوليت تأمين كننده و مشتري است. ساير ارائه دهندگان به مشتريان امكان پيكربندي آن را مي دهند.
دستگاه نهايي تأمين كننده (PE)
دستگاه يا مجموعه اي از دستگاه ها واقع در لبه شبكه ارائه دهنده كه از طريق دستگاه هاي CE به شبكه هاي مشتري متصل مي شوند و نماي ارائه دهنده سايت سايت مشتري را ارائه مي دهند. PE ها از اين نام مجاز نمي باشد هايي كه از طريق آنها متصل مي شوند و حالت اين نام مجاز نمي باشد را حفظ مي كنند آگاه هستند.
دستگاه تأمين كننده (P)
دستگاهي كه در شبكه اصلي ارائه دهنده كار مي كند و با هيچ نقطه پاياني مشتري رابط مستقيم ندارد. به عنوان مثال ، اين مي تواند مسيريابي بسياري از تونل هايي را كه توسط فروشندگاني اداره مي شوند و متعلق به PPاين نام مجاز نمي باشد هستند براي مشتريان مختلف فراهم كند.