讲解VPN配置实例的边缘设备部分，在网络时代的今天，大家经常会遇到VPN配置实例的安装问题，下面将介绍关于VPN配置实例的知识，包括如何了解有重叠地址空间的VPNs等等。

虚拟专用网VirtualPrivateNetworks

与被称为主干网的公共网相连的是一个“站点”集合。我们基于某些原则创建该集合的若干子集，并附加如下规则：只有当两个站点都同在某个子集里时，两者间才可能存在经由该主干网的IP互连。

我们创建的这些子集就是“虚拟专用网”（VPNs）。只有同属某个VPN时，两个站点间才存在经公共主干网的IP连接。不属同一个VPN配置实例的两个站点间没有经主干网的连接。如果一个VPN配置实例中的所有站点都属同一个企业，这个VPN配置实例就是一个公司“内联网”。

如果分属不同企业，该VPN配置实例就是个“外联网”。一个站点可在多个VPN配置实例中，如一个内联网和多个外联网中。内联网和外联网我们都视作VPN配置实例。一般而言，我们说的VPN配置实例并不区分内联网或外联网。

我们主要考虑主干网为一个或多个服务提供商（SPs）所拥有的情况。站点为SP的用户所有，决定某些站点是否属于一个VPN配置实例的策略由用户制定。有些用户可能希望完全由SP负责这些策略的执行，有些用户可能希望自己独立承担或与SP分担这项任务。

在本文中，我们主要讨论这些策略的执行机制。这些机制既可以由SP单独执行，也可以由VPN配置实例用户与SP共同完成。这里，我们主要讨论前者。本文中所讨论的机制可用于多种策略的执行。如对给定的一个VPN配置实例，每个站点与其它所有站点都有直接连接（全连接），或者也可以限制某些站点间的直接连接（半连接）。

本文中我们感兴趣的是公共主干网提供IP服务的情况。我们关注于在一定契约条件下，一个服务提供商SP或多个SP为企业提供主干网的情形，而并非是基于公共Internet的VPN。下面，我们将详细说明VPN配置实例应有的特性。本文的其余部分我们描述了一个具备所有这些特性的VPN配置实例模型。该模型可视作[4]中描述的框架结构的实例。

边缘设备

假定每个站点都有一个或多个用户边缘（CE）设备，并都通过某种数据连接方式（如PPP，ATM，ethernet,FrameRelay,GREtunnel等）与一个或多个供应商边缘（PE）路由器相连。如果某个站点只有一个主机，这个主机可能就是CE设备。如果该站点有一个子网，CE设备可能是个交换机。一般而言，希望CE设备是路由器，我们称之为CE路由器。

如果一个PE路由器与某个VPN的一个CE设备相连，我们就说这个路由器与该VPN配置实例相连。同样，如果一个PE路由器与某个站点的一个CE设备相连，则称这个路由器与该站点相连。如果CE设备是一个路由器。

它是其直接相连的PE的路由对等体，而不是其它站点上的CE路由器的路由对等体。不同站点上的路由器并不直接交换路由信息，它们甚至无需互相了解（除非因为安全的需要）。因为简化了每个站点的路由策略，可以支持大型的VPN配置实例(有大量站点的VPN)。重要的一点是要保持SP和其用户间明晰的界限(cf.[4])。PE和P路由器仅由SP，SP用户无权介入。CE设备仅由用户(除非用户把服务委托给了SP)。

有重叠地址空间的VPNs

任何两个不相交的VPN配置实例(如：无公共站点的VPN)可能有重叠的地址空间，而同一地址也可能用在不同VPN的不同系统中。只要端系统的地址在其所属的VPN中是唯一的，该端系统无须对VPN有所了解。

在这种模式下，VPN配置实例的拥有者无须一个主干网或一个虚拟主干网。SP也无须为每个VPN一个单独的主干网或虚拟主干网。主干网中站点间的路由是最优化的(基于组建VPN的限制策略)，并不受限于任何人工的隧道虚拟拓扑。