講解VPN配置實例的邊緣設備部分，在網絡時代的今天，大家經常會遇到VPN配置實例的安裝問題，下面將介紹關于VPN配置實例的知識，包括如何了解有重疊地址空間的VPNs等等。

虛擬專用網VirtualPrivateNetworks

與被稱為主干網的公共網相連的是一個“站點”集合。我們基于某些原則創(chuàng)建該集合的若干子集，并附加如下規(guī)則：只有當兩個站點都同在某個子集里時，兩者間才可能存在經由該主干網的IP互連。

我們創(chuàng)建的這些子集就是“虛擬專用網”（VPNs）。只有同屬某個VPN時，兩個站點間才存在經公共主干網的IP連接。不屬同一個VPN配置實例的兩個站點間沒有經主干網的連接。如果一個VPN配置實例中的所有站點都屬同一個企業(yè)，這個VPN配置實例就是一個公司“內聯(lián)網”。

如果分屬不同企業(yè)，該VPN配置實例就是個“外聯(lián)網”。一個站點可在多個VPN配置實例中，如一個內聯(lián)網和多個外聯(lián)網中。內聯(lián)網和外聯(lián)網我們都視作VPN配置實例。一般而言，我們說的VPN配置實例并不區(qū)分內聯(lián)網或外聯(lián)網。

我們主要考慮主干網為一個或多個服務提供商（SPs）所擁有的情況。站點為SP的用戶所有，決定某些站點是否屬于一個VPN配置實例的策略由用戶制定。有些用戶可能希望完全由SP負責這些策略的執(zhí)行，有些用戶可能希望自己獨立承擔或與SP分擔這項任務。

在本文中，我們主要討論這些策略的執(zhí)行機制。這些機制既可以由SP單獨執(zhí)行，也可以由VPN配置實例用戶與SP共同完成。這里，我們主要討論前者。本文中所討論的機制可用于多種策略的執(zhí)行。如對給定的一個VPN配置實例，每個站點與其它所有站點都有直接連接（全連接），或者也可以限制某些站點間的直接連接（半連接）。

本文中我們感興趣的是公共主干網提供IP服務的情況。我們關注于在一定契約條件下，一個服務提供商SP或多個SP為企業(yè)提供主干網的情形，而并非是基于公共Internet的VPN。下面，我們將詳細說明VPN配置實例應有的特性。本文的其余部分我們描述了一個具備所有這些特性的VPN配置實例模型。該模型可視作[4]中描述的框架結構的實例。

邊緣設備

假定每個站點都有一個或多個用戶邊緣（CE）設備，并都通過某種數(shù)據(jù)連接方式（如PPP，ATM，ethernet,FrameRelay,GREtunnel等）與一個或多個供應商邊緣（PE）路由器相連。如果某個站點只有一個主機，這個主機可能就是CE設備。如果該站點有一個子網，CE設備可能是個交換機。一般而言，希望CE設備是路由器，我們稱之為CE路由器。

如果一個PE路由器與某個VPN的一個CE設備相連，我們就說這個路由器與該VPN配置實例相連。同樣，如果一個PE路由器與某個站點的一個CE設備相連，則稱這個路由器與該站點相連。如果CE設備是一個路由器。

它是其直接相連的PE的路由對等體，而不是其它站點上的CE路由器的路由對等體。不同站點上的路由器并不直接交換路由信息，它們甚至無需互相了解（除非因為安全的需要）。因為簡化了每個站點的路由策略，可以支持大型的VPN配置實例(有大量站點的VPN)。重要的一點是要保持SP和其用戶間明晰的界限(cf.[4])。PE和P路由器僅由SP，SP用戶無權介入。CE設備僅由用戶(除非用戶把服務委托給了SP)。

有重疊地址空間的VPNs

任何兩個不相交的VPN配置實例(如：無公共站點的VPN)可能有重疊的地址空間，而同一地址也可能用在不同VPN的不同系統(tǒng)中。只要端系統(tǒng)的地址在其所屬的VPN中是唯一的，該端系統(tǒng)無須對VPN有所了解。

在這種模式下，VPN配置實例的擁有者無須一個主干網或一個虛擬主干網。SP也無須為每個VPN一個單獨的主干網或虛擬主干網。主干網中站點間的路由是最優(yōu)化的(基于組建VPN的限制策略)，并不受限于任何人工的隧道虛擬拓撲。