詳細講解接入主干網的VPN配置實例，向大家介紹VPN配置實例的方法，可能好多人還不了解怎么對VPN配置實例進行優化，沒有關系，看完本文你肯定有不少收獲，希望本文能教會你更多東西。

站點和CE

從主干網的角度看，如果一系列IP系統相互連接且它們之間的通信無需主干網參與，則這些IP系統組成了一個站點。一般來說，一個站點由一些地理位置相近的系統組成，當然并非總是這樣。如果地理位置較遠的兩地間用一根運行OSPF的專線相連，也可以組成一個站點，因為兩地間的通信無須主干網的參與。

一個CE設備常被視為在一個單獨的站點上(但一個站點可能由多個“虛擬站點”組成)。而一個站點可能在多個VPN配置實例中。一個PE路由器可能與多個站點中的CE設備相連，無論它們是否在同一個VPN配置實例中。出于魯棒性的考慮，一個CE設備也可能與多個PE路由器相連，這些路由器可能屬于同一個或不同的服務提供商。

如果這個CE設備是路由器，則它與相連的PE路由器互為鄰接路由器。如果互連的基本單元是站點，這里描述的體系結構可以實現更為精細的互連控制粒度。例如，一個站點上的某個系統可能是一個內聯網的成員，同時也是一個或多個外聯網的成員，而該站點上的其它系統卻只限于是內聯網的成員。

PE中基于站點的轉發表

每個PE路由器維護一個或多個“站點轉發表”，與PE相連的每個站點都對應于其中的一個表。當從某站點接收到一個包時，從與該站點相應的轉發表中查找該包的目的地址。站點轉發表是如何產生的呢？如，PE1，PE2，PE3是三個PE路由器，CE1，CE2，CE3是三個CE路由器。

PE1從CE1了解站點CE1可達的路由信息。如果PE2和PE3分別與CE2、CE3相連，且VPN配置實例V包括CE1、CE2、CE3，PE1用BGP向PE2、PE3分發它從CE1得到的路由信息。PE2，PE3使用這些路由信息產生與CE2、CE3相應的轉發表。來源于VPN配置實例V以外站點的路由不出現在這些轉發表中，也就是說，CE2，CE3發出的包不會發送到VPN配置實例以外的站點。

如果一個站點在多個VPN配置實例中，其對應的轉發表將包含其在所有VPN配置實例中的路由信息。一般，一個PE只為每個站點維護一個轉發表，即使它與該站點間有多個連接。如果幾個不同的站點共用相同的路由，它們共享同一個轉發表。假設一個PE路由器從一直接相連的站點收到一個包，但在相應的站點轉發表中找不到這個包的目的地址。

如果SP在該站點處并不提供Internet接入服務，那么該包因為無法發送而被丟棄。否則，將會查詢PE的Internet轉發表。也就是說，即使提供Internet接入，一般每個PE也只需要維護一個Internet路由轉發表。要保持VPN配置實例間的隔離，重要的一點就是主干網中的路由器不接收來自于鄰接的非主干設備的帶標簽的包，除非：
◆標簽棧頂的標簽是主干網路由器分配給該設備的；
◆主干網路由器能確定由于該標簽的使用，這個包在離開主干網之前，不會檢查IP包頭和標簽棧中的其余標簽。

這些限制對于防止包進入其它VPN配置實例相當有必要。PE中的站點轉發表只用于那些從PE直接相連的站點發來的包，而不用于來自于SP主干網的包。因此，到同一系統可能有多個不同的路由。

包從哪一個站點接入主干網，就由哪一個站點決定選用何種路由。如，你可以為由外聯網發往指定系統的包指定一個路由（通向防火墻），為內聯網發往同一系統的包（包括那些已經通過防火墻的包）指定另一路由。