在每一個(gè)場(chǎng)所A或B內(nèi)部的通信量都不經(jīng)過(guò)因特網(wǎng)。但如果場(chǎng)所A的主機(jī)X要和另一個(gè)場(chǎng)所B的主機(jī)Y通信，NC7NP04K8X那么就必須經(jīng)過(guò)路由器R1和R2。主機(jī)X向主機(jī)Y發(fā)送的IP數(shù)據(jù)報(bào)的源地址是10.1.0.1，而目的地址是10.2.0.3。這個(gè)數(shù)據(jù)報(bào)先作為本機(jī)構(gòu)的內(nèi)部數(shù)據(jù)報(bào)從X

發(fā)送到與因特網(wǎng)連接的路由器R．。路由器Ri收到內(nèi)部數(shù)據(jù)報(bào)后，發(fā)現(xiàn)其目的網(wǎng)絡(luò)必須通過(guò)因特網(wǎng)才能到達(dá)，就把整個(gè)的內(nèi)部數(shù)據(jù)報(bào)進(jìn)行加密（這樣就保證了內(nèi)部數(shù)據(jù)報(bào)的安全），然后重新加上數(shù)據(jù)報(bào)的首部，封裝成為在因特網(wǎng)上發(fā)送的外部數(shù)據(jù)報(bào)，其源地址是路由器Ri的全球地址125.1.2.3，而目的地址是路由器R2的全球地址194.4.5.6。路由器R2收到數(shù)據(jù)報(bào)后將其數(shù)據(jù)部分取出進(jìn)行解密，恢復(fù)出原來(lái)的內(nèi)部數(shù)據(jù)報(bào)（目的地址是10.2.0.3），交付主機(jī)Y�？梢�(jiàn)，雖然X向Y發(fā)送的數(shù)據(jù)報(bào)是通過(guò)了公用的因特網(wǎng)，怛在效果上就好像是在本部門(mén)的專用網(wǎng)上傳送一樣。如果主機(jī)Y要向X發(fā)送數(shù)據(jù)報(bào)，那么所經(jīng)過(guò)的步驟也是類似的。

   請(qǐng)注意，數(shù)據(jù)報(bào)從R，傳送到R2可能要經(jīng)過(guò)因特網(wǎng)中的很多個(gè)網(wǎng)絡(luò)和路由器。但從邏輯上看，在Ri到R2之間好像是一條直通的點(diǎn)對(duì)點(diǎn)鏈路，圖4-52(a)中的“隧道”就是這個(gè)意思。

   如圖4-52(b)所示的、由場(chǎng)所A和B的內(nèi)部網(wǎng)絡(luò)所構(gòu)成的虛擬專用網(wǎng)VPN又稱為內(nèi)聯(lián)網(wǎng)(intranet或intranet VPN，即內(nèi)聯(lián)網(wǎng)VPN)，表示場(chǎng)所A和B都屬于同一個(gè)機(jī)構(gòu)。

   有時(shí)一個(gè)機(jī)構(gòu)的VPN需要有某些外部機(jī)構(gòu)（通常就是合作伙伴）參加進(jìn)來(lái)。這樣的VPN就稱為外聯(lián)網(wǎng)(extranet或extranet VPN，即外聯(lián)網(wǎng)VPN)。

   請(qǐng)注意，內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)都采用了因特網(wǎng)技術(shù)，即都是基于TCP/IP協(xié)議的。

   還有一種類型的VPN，就是遠(yuǎn)程接入VPN (remote access VPN)。我們知道，有的公司可能并沒(méi)有分布在不同場(chǎng)所的部門(mén)，但卻有很多流動(dòng)員工在外地工作。公司需要和他們保持聯(lián)系，有時(shí)還可能一起開(kāi)電話會(huì)議或視頻會(huì)議。遠(yuǎn)程接入VPN可以滿足這種需求。在外地工作的員工通過(guò)撥號(hào)接入因特網(wǎng)，而駐留在員工PC中的VPN軟件可以在員工的PC和公司的主機(jī)之間建立VPN隧道，因而外地員工與公司通信的內(nèi)容是保密的，員工們感到好像就是使用公司內(nèi)部的本地網(wǎng)絡(luò)。