每一个 VPN 到 Internet 的接口都是通过设置该 VPN 的一台路由器作为 Gateway 路由器来完成， Gateway 路由器有两个 logical interface 连接到 PE 上，其中一个 interface 上跑 IPv4 的 traffic ，另一个 interface 上跑 VPN 的 traffic 。

和 Gateway 路由连接的 PE 路由器发起一个 default route 到该 Gateway 路由器。因为一般 VPN 都采用保留 IP 地址块，所以在 Gateway 路由器上需要运行 NAT 功能。

参见下图的连接方式：

下面的 configuration 以电信 PE 7507 路由器为例，说明 PE 和 Gateway 路由器的连接配置：

PE Router (M-DX-7507-A):

ip vrf education

rd 65001:101

route-target export 65001:101

route-target import 65001:101

interface gigabitethernet 5/0

interface gigabitethernet 5/0.1

encapsulation dot1q 1

ip address 1.1.1 .1 255.255.255.252

interface gigabitethernet 5/0.2

encapsulation dot1q 2

ip address 2.2.2 .1 255.255.255.252

ip vrf forwarding education

Internet Gateway CE Router:

interface gigabitethernet 0/0

interface gigabitethernet 0/0.1

encapsulation dot1q 1

ip address 1.1.1 .2 255.255.255.252

ip nat outside

interface gigabitethernet 0/0.2

Encapsulation dot1q 2

Ip address 2.2.2 .2 255.255.255.252

Ip nat inside

ip route 0.0.0 .0 0.0.0.0 1.1.1.1

逻辑上，这样配置后的网络连接结构如下图所示：