重點(diǎn)講解用目標(biāo)和源屬性組建VPN屬性，在向大家詳細(xì)介紹VPN屬性之前，首先讓大家了解下VPN屬性配置模式中相應(yīng)參數(shù)，然后全面介紹共享上網(wǎng)，選擇使用寬帶路由器這種最簡(jiǎn)單方案。

源VPN屬性

一個(gè)VPN-IPv4路由可以選擇性地通過(guò)源屬性與一個(gè)VPN屬性相關(guān)。這個(gè)屬性唯一地代表了一系列站點(diǎn)的集合，并代表了相應(yīng)的來(lái)自于該集合的一個(gè)站點(diǎn)的路由。這個(gè)屬性的典型用途是表明了路由指向的站點(diǎn)的擁有者---某企業(yè)，或表明了該站點(diǎn)的內(nèi)聯(lián)網(wǎng)。當(dāng)然，還可能有其它用途。這個(gè)屬性可以象一個(gè)擴(kuò)展的BGP群體屬性一樣來(lái)編碼。

當(dāng)需要確定一路由的來(lái)源時(shí)，應(yīng)當(dāng)使用源屬性，而不是RD。如下文所述，這個(gè)屬性可以用于構(gòu)建VPN屬性。更確切地說(shuō)，這個(gè)屬性應(yīng)稱(chēng)為“源路由”屬性而不是“源VPN屬性屬性。它只確定路由來(lái)自于某一站點(diǎn)集合中的一個(gè)站點(diǎn)，并不關(guān)心這些站點(diǎn)是否組成一個(gè)VPN屬性。

用目標(biāo)和源屬性組建VPN屬性

如果正確地設(shè)置了目標(biāo)VPN和源VPN屬性，就可以組建各種不同的VPN。如果想組建一個(gè)包含特定站點(diǎn)集合的封閉用戶(hù)群CUG，可以用一個(gè)指定的目標(biāo)VPN屬性值來(lái)代表該CUG。這個(gè)值應(yīng)該與CUG中每個(gè)站點(diǎn)的轉(zhuǎn)發(fā)表，以及從CUG中每個(gè)站點(diǎn)中學(xué)習(xí)的路由相關(guān)聯(lián)。

任何有該目標(biāo)VPN屬性的路由都應(yīng)該重新分發(fā)，以到達(dá)每一個(gè)與CUG中任一站點(diǎn)相連的PE路由器。如果是想組建一種"hubandspoke"VPN，可以使用兩個(gè)目標(biāo)屬性值，一個(gè)代表“Hub”，一個(gè)代表“Spoke”。從spoke發(fā)出的路由被分發(fā)到hub,但hub發(fā)出的路由并不被分發(fā)到spoke.

如果一些站點(diǎn)既在內(nèi)聯(lián)網(wǎng)上也在外聯(lián)網(wǎng)上，而另一些站點(diǎn)只在內(nèi)聯(lián)網(wǎng)上，那么，有一些內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的路由具有代表全體站點(diǎn)的目標(biāo)VPN屬性。那些有內(nèi)聯(lián)網(wǎng)路由的站點(diǎn)只能過(guò)濾有“錯(cuò)誤”源VPN屬性的路由。利用這兩個(gè)屬性，可以靈活地控制路由信息在不同站點(diǎn)集合間的分發(fā)，在VPN屬性的組建上也提供了很好的靈活性。

在主干網(wǎng)上的轉(zhuǎn)發(fā)

如果主干網(wǎng)上的中間路由對(duì)到VPN屬性的路由一無(wú)所知，數(shù)據(jù)包如何從VPN屬性的一個(gè)站點(diǎn)轉(zhuǎn)發(fā)到另一個(gè)站點(diǎn)呢？這是利用MPLS的兩層標(biāo)簽棧來(lái)實(shí)現(xiàn)的。PE路由器(和重新分發(fā)VPN-IPv4地址的ASBR)要在主干網(wǎng)的IGP路由表中插入/32地址前綴。

這樣，在主干網(wǎng)的每一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)上，都可以用MPLS為到每個(gè)PE路由器的路由指定一個(gè)標(biāo)簽。(在主干網(wǎng)上建立標(biāo)簽交換路徑LSP的過(guò)程中不需要/32地址前綴)當(dāng)PE從一個(gè)CE設(shè)備接收到一個(gè)包時(shí)，它選擇一個(gè)站點(diǎn)轉(zhuǎn)發(fā)表來(lái)查找包的目的地址。

假設(shè)找到了匹配項(xiàng)。如果該包的目的地是連接在同一PE上的一個(gè)CE設(shè)備，就直接發(fā)送到該CE設(shè)備。如果該包的目的地不是連接在同一PE上，則找到該包的“BGP下一跳”和BGP下一跳為包的目的地址分配的標(biāo)簽。先把標(biāo)簽壓入包的標(biāo)簽棧，成為棧底標(biāo)簽。

接著PE查找到BGP下一跳的IGP路由，確定IGP下一跳和IGP下一跳為BGP下一跳地址分配的標(biāo)簽。這個(gè)標(biāo)簽也被壓入包的標(biāo)簽棧，成為棧頂標(biāo)簽。然后這個(gè)包被轉(zhuǎn)發(fā)往IGP下一跳。(如果BGP下一跳就是IGP下一跳，第二個(gè)標(biāo)簽就用不著入棧了。)由MPLS攜帶這個(gè)包經(jīng)主干網(wǎng)到達(dá)適當(dāng)?shù)腃E設(shè)備。

也就是說(shuō)，所有的P和PE路由器做出的轉(zhuǎn)發(fā)決定現(xiàn)在都以MPLS方式給出，直到包到達(dá)該CE設(shè)備，不需再查看包的IP包頭。最后的PE路由器將在把包發(fā)送到CE設(shè)備前從標(biāo)簽棧中彈出最后的標(biāo)簽，這樣，CE設(shè)備看到的仍是一個(gè)普通的IP包。（第8節(jié)將討論CE能接收帶標(biāo)簽的包的情況）當(dāng)一個(gè)包通過(guò)一個(gè)PE路由器從某站點(diǎn)進(jìn)入主干網(wǎng)時(shí)，根據(jù)PE路由器中與該站點(diǎn)相關(guān)的轉(zhuǎn)發(fā)表內(nèi)容決定包的路由。

與包離開(kāi)主干網(wǎng)的PE路由器中的轉(zhuǎn)發(fā)表是無(wú)關(guān)的。因此，到同一系統(tǒng)可以有多個(gè)路由，為包選擇哪一個(gè)路由取決于包從哪一個(gè)站點(diǎn)進(jìn)入主干網(wǎng)。注意，兩層標(biāo)簽的運(yùn)用使保持所有VPN屬性路由與P路由器的隔離成為可能，這對(duì)于保證該模型的擴(kuò)展性相當(dāng)重要。主干網(wǎng)甚至只需到PE的路由而無(wú)需到CE的路由。