在每一個場所A或B內(nèi)部的通信量都不經(jīng)過因特網(wǎng)。但如果場所A的主機X要和另一個場所B的主機Y通信，NC7NP04K8X那么就必須經(jīng)過路由器R1和R2。主機X向主機Y發(fā)送的IP數(shù)據(jù)報的源地址是10.1.0.1，而目的地址是10.2.0.3。這個數(shù)據(jù)報先作為本機構(gòu)的內(nèi)部數(shù)據(jù)報從X

發(fā)送到與因特網(wǎng)連接的路由器R．。路由器Ri收到內(nèi)部數(shù)據(jù)報后，發(fā)現(xiàn)其目的網(wǎng)絡(luò)必須通過因特網(wǎng)才能到達(dá)，就把整個的內(nèi)部數(shù)據(jù)報進(jìn)行加密（這樣就保證了內(nèi)部數(shù)據(jù)報的安全），然后重新加上數(shù)據(jù)報的首部，封裝成為在因特網(wǎng)上發(fā)送的外部數(shù)據(jù)報，其源地址是路由器Ri的全球地址125.1.2.3，而目的地址是路由器R2的全球地址194.4.5.6。路由器R2收到數(shù)據(jù)報后將其數(shù)據(jù)部分取出進(jìn)行解密，恢復(fù)出原來的內(nèi)部數(shù)據(jù)報（目的地址是10.2.0.3），交付主機Y�？梢�，雖然X向Y發(fā)送的數(shù)據(jù)報是通過了公用的因特網(wǎng)，怛在效果上就好像是在本部門的專用網(wǎng)上傳送一樣。如果主機Y要向X發(fā)送數(shù)據(jù)報，那么所經(jīng)過的步驟也是類似的。

   請注意，數(shù)據(jù)報從R，傳送到R2可能要經(jīng)過因特網(wǎng)中的很多個網(wǎng)絡(luò)和路由器。但從邏輯上看，在Ri到R2之間好像是一條直通的點對點鏈路，圖4-52(a)中的“隧道”就是這個意思。

   如圖4-52(b)所示的、由場所A和B的內(nèi)部網(wǎng)絡(luò)所構(gòu)成的虛擬專用網(wǎng)VPN又稱為內(nèi)聯(lián)網(wǎng)(intranet或intranet VPN，即內(nèi)聯(lián)網(wǎng)VPN)，表示場所A和B都屬于同一個機構(gòu)。

   有時一個機構(gòu)的VPN需要有某些外部機構(gòu)（通常就是合作伙伴）參加進(jìn)來。這樣的VPN就稱為外聯(lián)網(wǎng)(extranet或extranet VPN，即外聯(lián)網(wǎng)VPN)。

   請注意，內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)都采用了因特網(wǎng)技術(shù)，即都是基于TCP/IP協(xié)議的。

   還有一種類型的VPN，就是遠(yuǎn)程接入VPN (remote access VPN)。我們知道，有的公司可能并沒有分布在不同場所的部門，但卻有很多流動員工在外地工作。公司需要和他們保持聯(lián)系，有時還可能一起開電話會議或視頻會議。遠(yuǎn)程接入VPN可以滿足這種需求。在外地工作的員工通過撥號接入因特網(wǎng)，而駐留在員工PC中的VPN軟件可以在員工的PC和公司的主機之間建立VPN隧道，因而外地員工與公司通信的內(nèi)容是保密的，員工們感到好像就是使用公司內(nèi)部的本地網(wǎng)絡(luò)。