在每一个场所A或B内部的通信量都不经过因特网。但如果场所A的主机X要和另一个场所B的主机Y通信，NC7NP04K8X那么就必须经过路由器R1和R2。主机X向主机Y发送的IP数据报的源地址是10.1.0.1，而目的地址是10.2.0.3。这个数据报先作为本机构的内部数据报从X

发送到与因特网连接的路由器R．。路由器Ri收到内部数据报后，发现其目的网络必须通过因特网才能到达，就把整个的内部数据报进行加密（这样就保证了内部数据报的安全），然后重新加上数据报的首部，封装成为在因特网上发送的外部数据报，其源地址是路由器Ri的全球地址125.1.2.3，而目的地址是路由器R2的全球地址194.4.5.6。路由器R2收到数据报后将其数据部分取出进行解密，恢复出原来的内部数据报（目的地址是10.2.0.3），交付主机Y。可见，虽然X向Y发送的数据报是通过了公用的因特网，怛在效果上就好像是在本部门的专用网上传送一样。如果主机Y要向X发送数据报，那么所经过的步骤也是类似的。

   请注意，数据报从R，传送到R2可能要经过因特网中的很多个网络和路由器。但从逻辑上看，在Ri到R2之间好像是一条直通的点对点链路，图4-52(a)中的“隧道”就是这个意思。

   如图4-52(b)所示的、由场所A和B的内部网络所构成的虚拟专用网VPN又称为内联网(intranet或intranet VPN，即内联网VPN)，表示场所A和B都属于同一个机构。

   有时一个机构的VPN需要有某些外部机构（通常就是合作伙伴）参加进来。这样的VPN就称为外联网(extranet或extranet VPN，即外联网VPN)。

   请注意，内联网和外联网都采用了因特网技术，即都是基于TCP/IP协议的。

   还有一种类型的VPN，就是远程接入VPN (remote access VPN)。我们知道，有的公司可能并没有分布在不同场所的部门，但却有很多流动员工在外地工作。公司需要和他们保持联系，有时还可能一起开电话会议或视频会议。远程接入VPN可以满足这种需求。在外地工作的员工通过拨号接入因特网，而驻留在员工PC中的VPN软件可以在员工的PC和公司的主机之间建立VPN隧道，因而外地员工与公司通信的内容是保密的，员工们感到好像就是使用公司内部的本地网络。