Die Filialen bauen Netzbeziehungen zu den Vermittlungsknoten und zur Zentrale auf, was durch die entsprechenden Regeln abgedeckt sein muss. Dazu müssen entweder alle denkbaren Netzbeziehungen einzeln hinterlegt werden oder aber die Netzwerke werden so definiert, dass mit einer Regel alle erforderlichen Netzbeziehungen erlaubt werden können. Das gelingt, wenn die Netzwerke z. B. die folgende Struktur von IP-Adressen verwenden:
- Zentralnetz 10.1.1.0/255.255.255.0
- Vermittlungsknoten 10.x.1.0/255.255.255.0
- Filialen 10.x.y.0/255.255.255.0
Mit der folgenden VPN-Regel in den VPN-Gateways der Zentrale können alle erforderlichen Netzbeziehungen zugelassen werden, d. h. alle Gegenstellen aus dem gesamten 10er-Adressraum können Verbindungen zu allen Gateways aufbauen:
- Quelle 10.0.0.0/255.0.0.0
- Ziel 10.0.0.0/255.0.0.0
Da die Filialen über die Zwischenstufe der Vermittlungsknoten mit der Zentrale kommunizieren, müssen auch in den Vermittlungsknoten entsprechende VPN-Regeln angelegt werden. Wenn dabei auch eine Kommunikation mit anderen Unterknoten und Filialen möglich sein soll, werden mit der folgenden VPN-Regel in den Vermittlungsknoten alle erforderlichen Netzbeziehungen zugelassen:
- Quelle 10.x.0.0/255.255.0.0
- Ziel 10.0.0.0/255.0.0.0