不同路由同一系统的VPN如何进行配置

宽带普及后，同一系统不同路由的VPN配置实例经常面临VPN配置实例设置的问题。所以，今天我就来介绍一下VPN配置实例的设置技巧，希望这篇文章能教给大家更多的东西，给大家的生活带来便利。

一个站点可以有多个VPN配置实例，但是不同VPN配置实例到站点中系统的路由不必相同。例如，假设一个内部网包含站点A、B和C，一个外部网包含站点A、B和C以及一个外部站点D，如果站点A上有服务器，我们希望来自B、C和D的客户可以使用它。

同时，b站点有一个防火墙，为了控制来自外网的服务准入，所有连接到D站点服务器的服务都要经过这个防火墙。而来自站点C的业务是内网，不需要通过防火墙到达服务器。

也就是说，有两条到服务器的路径。站点B和C使用一条路径直接通向站点A，站点D使用第二条路径先到达站点B的防火墙。如果防火墙允许流量通过，该流量将像来自站点b的流量一样被发送到站点A。

PE上的转发表

每个PE路由器维护几个独立的转发表。连接到PE的每个站点必须对应一个转发表。当从一个站点接收到分组时，需要查找对应于该站点的转发表，以确定分组的转发路径。只有当路由的目的站点和站点S至少在一个VPN配置实例中时，才会生成站点S的转发表，这样可以防止不在同一个VPN配置实例中的两个站点之间的通信。而且，这样两个没有公共站点的VPN配置实例也可以使用重叠的地址空间。

SP骨干路由器

SP的骨干网包括PE路由器和其他不直接连接到CE设备的路由器(P路由器)。如果SP骨干网中的每台路由器都要维护所有VPN配置实例的路由信息，那么这种模式无疑扩展性很差，SP能够支持的站点数量取决于一台路由器能够存储的路由信息数量。

因此，一个重要的要求是，一个VPN的路由信息只保存在连接该VPN的PE路由器上，而P路由器不需要保存任何VPN配置实例的路由信息。一个VPN配置实例可以跨越多个服务提供商。如果两个服务提供商SP相互信任。

那么它们的PE路由器之间的路径可以根据专用对等体跨越SP网络之间的边界。特别是，每个提供商信任另一方，并向另一方传送正确的路由信息和带有可靠来源的标记数据包(在MPLS [9]的情况下)。这里，我们假设标签交换路径可以跨越sp之间的边界。

安全性

即使没有加密，VPN配置实例模型也应该提供相当于第二层主干网络(如帧中继)的保证。也就是说，即使不同的VPN配置实例被错误配置或故意互联，一个VPN的系统也无法进入另一个VPN配置实例的系统。同时，该模型还应采用标准措施。