如果VPN中的主机不需要访问Internet,则VPN可以配置为内部的IP地址。这时,每个网点只需要一个全局IP地址,用来进行隧道传输,而网点内部则只需要分配内部的IP地址,如图所示。
如果VPN中的主机需要访问Internet,则可以采用混合网络结构。在这种应用模式下,VPN中的主机需要分配全局IP地址。
那么,能否在不给VPN内部主机分配全局IP地址的情况下,又能让内部的主机访问Internet呢?答案是肯定的。这依赖于两种解决方案。
第一种解决方案是应用网关(application gateway)。在这种方案中,每个网点内部有一个多地址的主机,它同时拥有全局IP地址和VPN内部的IP地址,并且在该主机上运行一系列应用网关程序。每个程序处理一种Internet服务。网点内的主机需要获得Internet服务时,并不把数据报直接发到Internet,而是将数据报发送给多地址主机上的应用网关,由多地址主机访问Internet上的服务,然后将获得的数据报通过内部网络转发给请求的主机。
这种方案的优点是不需要改变网络底层结构和编址方式。缺点是缺乏普适性,必须针对每个具体的服务提供相应的网关,多个服务就需要多个网关。
第二种解决方案是网络地址转换NAT,我们将在下一节给大家介绍。