詳細(xì)講解接入主干網(wǎng)的VPN配置實例，向大家介紹VPN配置實例的方法，可能好多人還不了解怎么對VPN配置實例進(jìn)行優(yōu)化，沒有關(guān)系，看完本文你肯定有不少收獲，希望本文能教會你更多東西。

站點和CE

從主干網(wǎng)的角度看，如果一系列IP系統(tǒng)相互連接且它們之間的通信無需主干網(wǎng)參與，則這些IP系統(tǒng)組成了一個站點。一般來說，一個站點由一些地理位置相近的系統(tǒng)組成，當(dāng)然并非總是這樣。如果地理位置較遠(yuǎn)的兩地間用一根運行OSPF的專線相連，也可以組成一個站點，因為兩地間的通信無須主干網(wǎng)的參與。

一個CE設(shè)備常被視為在一個單獨的站點上(但一個站點可能由多個“虛擬站點”組成)。而一個站點可能在多個VPN配置實例中。一個PE路由器可能與多個站點中的CE設(shè)備相連，無論它們是否在同一個VPN配置實例中。出于魯棒性的考慮，一個CE設(shè)備也可能與多個PE路由器相連，這些路由器可能屬于同一個或不同的服務(wù)提供商。

如果這個CE設(shè)備是路由器，則它與相連的PE路由器互為鄰接路由器。如果互連的基本單元是站點，這里描述的體系結(jié)構(gòu)可以實現(xiàn)更為精細(xì)的互連控制粒度。例如，一個站點上的某個系統(tǒng)可能是一個內(nèi)聯(lián)網(wǎng)的成員，同時也是一個或多個外聯(lián)網(wǎng)的成員，而該站點上的其它系統(tǒng)卻只限于是內(nèi)聯(lián)網(wǎng)的成員。

PE中基于站點的轉(zhuǎn)發(fā)表

每個PE路由器維護(hù)一個或多個“站點轉(zhuǎn)發(fā)表”，與PE相連的每個站點都對應(yīng)于其中的一個表。當(dāng)從某站點接收到一個包時，從與該站點相應(yīng)的轉(zhuǎn)發(fā)表中查找該包的目的地址。站點轉(zhuǎn)發(fā)表是如何產(chǎn)生的呢？如，PE1，PE2，PE3是三個PE路由器，CE1，CE2，CE3是三個CE路由器。

PE1從CE1了解站點CE1可達(dá)的路由信息。如果PE2和PE3分別與CE2、CE3相連，且VPN配置實例V包括CE1、CE2、CE3，PE1用BGP向PE2、PE3分發(fā)它從CE1得到的路由信息。PE2，PE3使用這些路由信息產(chǎn)生與CE2、CE3相應(yīng)的轉(zhuǎn)發(fā)表。來源于VPN配置實例V以外站點的路由不出現(xiàn)在這些轉(zhuǎn)發(fā)表中，也就是說，CE2，CE3發(fā)出的包不會發(fā)送到VPN配置實例以外的站點。

如果一個站點在多個VPN配置實例中，其對應(yīng)的轉(zhuǎn)發(fā)表將包含其在所有VPN配置實例中的路由信息。一般，一個PE只為每個站點維護(hù)一個轉(zhuǎn)發(fā)表，即使它與該站點間有多個連接。如果幾個不同的站點共用相同的路由，它們共享同一個轉(zhuǎn)發(fā)表。假設(shè)一個PE路由器從一直接相連的站點收到一個包，但在相應(yīng)的站點轉(zhuǎn)發(fā)表中找不到這個包的目的地址。

如果SP在該站點處并不提供Internet接入服務(wù)，那么該包因為無法發(fā)送而被丟棄。否則，將會查詢PE的Internet轉(zhuǎn)發(fā)表。也就是說，即使提供Internet接入，一般每個PE也只需要維護(hù)一個Internet路由轉(zhuǎn)發(fā)表。要保持VPN配置實例間的隔離，重要的一點就是主干網(wǎng)中的路由器不接收來自于鄰接的非主干設(shè)備的帶標(biāo)簽的包，除非：
◆標(biāo)簽棧頂?shù)臉?biāo)簽是主干網(wǎng)路由器分配給該設(shè)備的；
◆主干網(wǎng)路由器能確定由于該標(biāo)簽的使用，這個包在離開主干網(wǎng)之前，不會檢查IP包頭和標(biāo)簽棧中的其余標(biāo)簽。

這些限制對于防止包進(jìn)入其它VPN配置實例相當(dāng)有必要。PE中的站點轉(zhuǎn)發(fā)表只用于那些從PE直接相連的站點發(fā)來的包，而不用于來自于SP主干網(wǎng)的包。因此，到同一系統(tǒng)可能有多個不同的路由。

包從哪一個站點接入主干網(wǎng)，就由哪一個站點決定選用何種路由。如，你可以為由外聯(lián)網(wǎng)發(fā)往指定系統(tǒng)的包指定一個路由（通向防火墻），為內(nèi)聯(lián)網(wǎng)發(fā)往同一系統(tǒng)的包（包括那些已經(jīng)通過防火墻的包）指定另一路由。