對不同路由同一系統(tǒng)的VPN配置實例，寬帶普及以后，經常面臨VPN配置實例設置的問題。所以，今天我準備向大家介紹VPN配置實例的設置技巧，希望本文能教會你更多東西，為大家的生活帶來方便。

一個站點可以在多個VPN配置實例中，但不同VPN配置實例到該站點中某一系統(tǒng)的路由無須相同。例如，假設一個內聯(lián)網中包含站點A、B、C，一個外聯(lián)網中包含A、B、C和一個外部站點D。若在站點A上有一個服務器，我們希望來自于B、C、D的客戶能使用該服務器。

同時，在站點B上有一個防火墻，為了對來自外聯(lián)網的業(yè)務進行接納控制，所有站點D連到服務器的業(yè)務都要通過這個防火墻。而來自站點C的業(yè)務是內聯(lián)網的，無須經由該防火墻到達服務器。

也就是說，到服務器有兩條路徑。站點B和C使用一條路徑直接通向站點A，站點D使用第二條路徑，先到達站點B的防火墻，如果防火墻允許該業(yè)務流通過，該業(yè)務就象從站點B發(fā)出的業(yè)務流一樣發(fā)往站點A。

PE上的轉發(fā)表

每個PE路由器都要維護若干獨立的轉發(fā)表。每個與PE相連的站點必須對應于其中的一個轉發(fā)表。當從某個站點收取一個包時，需查找與該站點相應的轉發(fā)表以確定該包的轉發(fā)路徑。只有當路由的目標站點與站點S同在至少一個VPN配置實例中時，才產生站點S的轉發(fā)表，這可以防止兩個不在同一VPN配置實例的站點間的通信，而且，這樣兩個沒有公共站點的VPN配置實例也可以使用重疊的地址空間。

SP主干網路由器

SP的主干網包括PE路由器和未直接與CE設備相連的其它路由器(P路由器)。如果SP主干網中的每個路由器都得為所有VPN配置實例維護路由信息，那么無疑這個模式的擴展能力很差，SP能支持的站點數取決于一個路由器上可保存的路由信息的數量。

因此，一個重要的要求就是，一個VPN的路由信息只保存在與該VPN相連的PE路由器上，而P路由器無需保存任何VPN配置實例的路由信息。VPN配置實例可以跨越多個服務提供商。如果兩個服務提供商SP之間是相互信任的。

那么它們的PE路由器間的通路可根據一個專用的對等穿越SP網絡間的邊界。特別是，每個提供商信任對方并把正確的路由信息和來源可靠的帶有標簽的包(在MPLS情況下[9])傳遞給對方。在此，我們假定標簽交換路徑可以穿越SP間的邊界。

安全Security

即使不加密，一個VPN配置實例模型也應當提供相當于第二層主干網(如FrameRelay)的保證。也就是說，即使在誤配置或故意將不同VPN配置實例間互連的情況下，一個VPN的系統(tǒng)也不能進入另一個VPN配置實例的系統(tǒng)。同時，該模型應該也可以采用標準的措施。