イントラネットの基本的なシステム構成を図表4に示す。
イントラネットにおける事業所間を接続する形態としては、通信事業者の閉域網を使用する方法と、インターネットを経由する方法がある。
  専用線を利用する場合は、第三者が使用できないプライベートな回線であるため、伝送中の情報の盗聴や、外部からの不正アクセスなどの危険が少ない通信手段である。しかし、専用線のリース料金はかなり高額なため、複数の事業所間を接続する場合、複数の回線を使ったメッシュ状の接続となりコストが増加する。
  近年では専用線やフレームリレーよりもコストメリットの高い公衆網を使いながらもセキュリティを確保したIP-VPNや、インターネットを経由したインターネットVPNの利用がイントラネットにおける事業所間接続において増えてきている。

以下、IP-VPN、インターネットVPN、広域イーサネットについて説明する。

IP-VPNは、電気通信事業者が運用管理する閉域IPネットワークを使ったLAN間接続を提供するサービスである。IP-VPNを利用するには、IP-VPN利用料金とIP-VPNにアクセスするための回線費用がコストとして必要であるが、専用線のようにメッシュ状接続になることはなく、多数の事業所間での接続でもコストが爆発的に増加することはない。また、IP-VPNは導入が簡単であることがメリットとして大きく、電気通信事業者が運用管理するネットワークであるため、安定した通信速度を確保できるという特徴がある。

IP-VPNは、IPネットワーク内でのルーティングにMPLS（Multi Protocol Label Switching）を使用する。MPLSはIETF（Internet Engineering Task Force）で規定された方式であり、IPパケットなどに識別子（ラベル：Label）を付与することで、IPアドレスではなく識別子（ラベル）により転送を行うIPルーティング技術のひとつである。MPLSの使用により、IPネットワーク上でのIPパケットの高速転送および閉域性の確保を実現できる。

以下、IP-VPNの特徴について説明する。

IP-VPNの導入に際しては、企業側はCE（Customer Edge）ルーターと呼ばれるルーター、もしくはレイヤー3スイッチをネットワークの出口に設置するだけである。IPアドレスは、ネットワークを設計し決定した段階で、あらかじめIP-VPNサービスを提供するプロバイダに伝えておく。IP-VPN網側の設定が済めば、CEルーターに対して決定したIPアドレスを設定するだけでIP-VPN網を経由した通信が可能となる。

IP-VPNはMPLSを利用して転送しているため、通信できるプロトコルはIPに限られる。したがって、IP以外のプロトコル（AppleTalkやSNA（Systems Network Architecture））を利用したい場合は、後述の広域イーサネットを利用しなければならない。

IP-VPNサービスでは、使用できるルーティングプロトコルが制限されている場合が多く、多くの場合RIP（Routing Information Protocol）やOSPF（Open Shortest Path First）といったルーティングプロトコルは使用できないため、IP-VPNを利用する前に確認することが必要である。

インターネットを経由した通信は、伝送データの盗聴や改ざんなどによるセキュリティ上のリスクを伴う。インターネットVPNは、各事業所のLANをインターネット経由で接続しながら、VPN（Virtual Private Network：仮想プライベート網／仮想専用線）技術を使うことで盗聴や改ざんを未然に防止し、インターネット経由でも安全に情報を伝送することができる技術である。インターネットVPNを使用することにより、インターネットへのアクセス回線だけで各事業所のLANを接続することができるため、コストメリットが大きい。

ただし、インターネットVPNは、通常のインターネット通信が有する短所と同様の短所を併せ持つことになる。つまり、常に安定した通信品質を得ることができず、通信が混雑している場合は通信速度が低下する。また、インターネット上で障害が発生し通信を継続できない場合も、自身で責任を負わなければならない。

しかし、接続相手先のLANにVPN機器が設置されていればLAN間接続することができるため、IP-VPNに比べて接続における自由度が高い。このため、インターネットVPNは接続先がある程度流動的なネットワークの構築であっても使うことができ、取引先の企業との企業間通信網を構築するのに利用されることが多い。インターネットVPNは、通信コストの削減が可能なことや、企業間接続あるいはインターネットを利用した決済などに利用できることなどから注目が高まっている。

インターネットVPNを提供するための選択肢としては、IPsec、SSL-VPNが代表的である。IPsecはIPレイヤー以上のプロトコルについては透過的であるため、常時接続用途に向いている。一方、SSL-VPNはブラウザにより手軽に利用できるが、アプリケーションや機能に制限があることが多く、常時接続には向かない。以下、IPsecを用いたインターネットVPNについて説明する。

IPsec（RFC2402、RFC2406、RFC4301、RFC4302、RFC4303、RFC4305他）はIPレベルでトンネル構築、暗号化、認証を行うための技術であり、IETFで標準化されている。現在、IPsecは多くのファイアウォール製品やルーター製品に組み込まれている。

IPsecでは、AH（Authentication Header認証ヘッダ）、ESP（Encapsulation Security Payload暗号ペイロード）という２つのセキュリティプロトコルが規定されている。それぞれはセキュリティ機能に違いがある。AHのセキュリティ機能としては、パケット送信者の認証、送信側および受信側それぞれの本人認証、伝送中のパケットの改ざん検知などがある。ESPのセキュリティ機能は、パケット送信者の認証を除いたAHのセキュリティ機能に加えてIPパケットのデータの暗号化の機能が含まれる（ただし伝送中のパケットの改ざん検知はオプションの機能である）。IPパケットを暗号化して送信する場合はESPを使用することになる。IPsecは、これらのセキュリティ機能をIPレイヤで実現する。このため、IPsecを使用すれば、上位のアプリケーションはこれらのセキュリティ機能を意識する必要がなくなる。なお、IPv6（IP version 6）にはIPsecが標準で組み込まれている。

VPN機器には、ファイアウォールにVPN機能が組み込まれた「ファイアウォール一体型」、単独でVPN機能を提供する専用機器としての「VPNコンセントレータ」がある。VPNコンセントレータは、一般的にファイアウォールより内側に設置し、必要となる接続先からの通信だけを許可するようファイアウォールを設定することで、攻撃者からの様々な攻撃からVPN機器を保護することが望ましい。

VPNコンセントレータがファイアウォールより内側に設置されている場合、ファイアウォールではIPsecで使用するポートを開けておく必要がある（図表5）

VPNコンセントレータがファイアウォールより内側に設置された場合は、上記に示したポートもしくはプロトコルの通過をファイアウォールで許可すればよいが、ファイアウォールでNAPT（Network Address Port Translation）を利用している場合は注意が必要である。TCPもしくはUDPポートが既にIPsecにより暗号化されているため、NAPTが機能しないためである。この場合、「NATトラバーサル」機能を利用することで解決することができる。NATトラバーサルは、NAPTを通過できるように、IPsecデータグラムを4500番UDPデータグラムでカプセル化して送受信する機能である。
  NATトラバーサルを利用する場合は、IPsecのクライアント、VPN機器の両方がNATトラバーサルに対応している必要がある。また、ファイアウォールでは4500番のUDPデータグラムを通過させるよう設定する必要がある（図表6）。

広域イーサネットは、IP-VPNと同様、電気通信事業者が運用管理する閉域IPネットワークを使ったLAN間接続を提供するサービスである。IP-VPNがMPLSを使ったサービスであるのに対し、広域イーサネットはレイヤー2の技術であるVLAN（Virtual LAN）を使ったサービスである。IP-VPNに比べサービス料金が安価である。電気通信事業者が運用管理するネットワークである点はIP-VPNと同じであり、安定した通信速度を確保できる。広域イーサネットもIP-VPNと同様、VLANを利用した網内の高速転送と、VLANタグによる閉域性を確保している。

以下、広域イーサネットの特徴について説明する。

広域イーサネットはレイヤー2スイッチで広域イーサネット網に接続できるため、レイヤー3のネットワーク機器が必要となるIP-VPNを利用するのに比べて、初期投資が少なくて済むメリットがある。

広域イーサネットはレイヤー2の技術であるため、レイヤー3以上のプロトコルに依存しない。IP-VPNではIPしか通信できない制限があったが、広域イーサネットではIPに限らず、さまざまなレイヤー3のプロトコルを通信することができる。

ルーティングプロトコルの制限がないことも広域イーサネットの特長である。

IP-VPNではCEルーターに指定のIPアドレスを設定するだけで通信が可能となるが、広域イーサネットを利用する場合は、IPルーティングを含めたネットワーク設計を自前で行う必要がある。同一のネットワークセグメントにすることも可能であるが、事業所が多い場合はブロードキャスト通信による通信帯域への影響があるため、なるべくネットワークセグメントを分けることが望ましい。