對不同路由同一系統(tǒng)的VPN配置實(shí)例，寬帶普及以后，經(jīng)常面臨VPN配置實(shí)例設(shè)置的問題。所以，今天我準(zhǔn)備向大家介紹VPN配置實(shí)例的設(shè)置技巧，希望本文能教會你更多東西，為大家的生活帶來方便。

一個(gè)站點(diǎn)可以在多個(gè)VPN配置實(shí)例中，但不同VPN配置實(shí)例到該站點(diǎn)中某一系統(tǒng)的路由無須相同。例如，假設(shè)一個(gè)內(nèi)聯(lián)網(wǎng)中包含站點(diǎn)A、B、C，一個(gè)外聯(lián)網(wǎng)中包含A、B、C和一個(gè)外部站點(diǎn)D。若在站點(diǎn)A上有一個(gè)服務(wù)器，我們希望來自于B、C、D的客戶能使用該服務(wù)器。

同時(shí)，在站點(diǎn)B上有一個(gè)防火墻，為了對來自外聯(lián)網(wǎng)的業(yè)務(wù)進(jìn)行接納控制，所有站點(diǎn)D連到服務(wù)器的業(yè)務(wù)都要通過這個(gè)防火墻。而來自站點(diǎn)C的業(yè)務(wù)是內(nèi)聯(lián)網(wǎng)的，無須經(jīng)由該防火墻到達(dá)服務(wù)器。

也就是說，到服務(wù)器有兩條路徑。站點(diǎn)B和C使用一條路徑直接通向站點(diǎn)A，站點(diǎn)D使用第二條路徑，先到達(dá)站點(diǎn)B的防火墻，如果防火墻允許該業(yè)務(wù)流通過，該業(yè)務(wù)就象從站點(diǎn)B發(fā)出的業(yè)務(wù)流一樣發(fā)往站點(diǎn)A。

PE上的轉(zhuǎn)發(fā)表

每個(gè)PE路由器都要維護(hù)若干獨(dú)立的轉(zhuǎn)發(fā)表。每個(gè)與PE相連的站點(diǎn)必須對應(yīng)于其中的一個(gè)轉(zhuǎn)發(fā)表。當(dāng)從某個(gè)站點(diǎn)收取一個(gè)包時(shí)，需查找與該站點(diǎn)相應(yīng)的轉(zhuǎn)發(fā)表以確定該包的轉(zhuǎn)發(fā)路徑。只有當(dāng)路由的目標(biāo)站點(diǎn)與站點(diǎn)S同在至少一個(gè)VPN配置實(shí)例中時(shí)，才產(chǎn)生站點(diǎn)S的轉(zhuǎn)發(fā)表，這可以防止兩個(gè)不在同一VPN配置實(shí)例的站點(diǎn)間的通信，而且，這樣兩個(gè)沒有公共站點(diǎn)的VPN配置實(shí)例也可以使用重疊的地址空間。

SP主干網(wǎng)路由器

SP的主干網(wǎng)包括PE路由器和未直接與CE設(shè)備相連的其它路由器(P路由器)。如果SP主干網(wǎng)中的每個(gè)路由器都得為所有VPN配置實(shí)例維護(hù)路由信息，那么無疑這個(gè)模式的擴(kuò)展能力很差，SP能支持的站點(diǎn)數(shù)取決于一個(gè)路由器上可保存的路由信息的數(shù)量。

因此，一個(gè)重要的要求就是，一個(gè)VPN的路由信息只保存在與該VPN相連的PE路由器上，而P路由器無需保存任何VPN配置實(shí)例的路由信息。VPN配置實(shí)例可以跨越多個(gè)服務(wù)提供商。如果兩個(gè)服務(wù)提供商SP之間是相互信任的。

那么它們的PE路由器間的通路可根據(jù)一個(gè)專用的對等穿越SP網(wǎng)絡(luò)間的邊界。特別是，每個(gè)提供商信任對方并把正確的路由信息和來源可靠的帶有標(biāo)簽的包(在MPLS情況下[9])傳遞給對方。在此，我們假定標(biāo)簽交換路徑可以穿越SP間的邊界。

安全Security

即使不加密，一個(gè)VPN配置實(shí)例模型也應(yīng)當(dāng)提供相當(dāng)于第二層主干網(wǎng)(如FrameRelay)的保證。也就是說，即使在誤配置或故意將不同VPN配置實(shí)例間互連的情況下，一個(gè)VPN的系統(tǒng)也不能進(jìn)入另一個(gè)VPN配置實(shí)例的系統(tǒng)。同時(shí)，該模型應(yīng)該也可以采用標(biāo)準(zhǔn)的措施。