我们可以将每个VPN隧道可以看作是替代了专用网络的一条逻辑上的“专用线路”,因此路由器包括机构内部目的站的明确路由。以下图所示的网络结构为例,我们来分析VPN编址和路由的方式。
图中描述了一个机构的两个网点通过Internet构建的VPN网络,每个网点的主机不仅需要与机构内部的主机通信,而且需要与Internet的其它主机通信,因此,网点1和网点2的主机和路由器均采用了全局分配的IP地址。
从路由器R1的路由表内容可以看出,一个主机数据报的路由可以分为三种情况:
■ 当目的主机与源主机在同一个网点时,路由器的下一跳为本地网点的某个路由器或直接交付;
■ 当目的主机与源主机分别在不同的网点时,路由器的下一跳为VPN隧道另一端的路由器;
■ 当目的主机为机构之外的Internet上的某个主机时,路由器的下一跳为某个Internet的路由器,通常是ISP的路由器。