假定用于IGP的是RIP，其實也可以是其他IGP。ISP邊緣路由器將插入VPRN路由RIP的實例，該實
例就是通過5.3.4描述的內聯VPRN可達性機制學習獲得的。注意運行載CPE的RIP實例以及任何用
于學習內聯VPRN可達性（甚至RIP）的路由協議實例都是獨立的，由ISP邊緣路由器從一個實例
把路由重發布到另一個邊緣路由器。
5.3.3.1.3 多宿連接
    CPE路由器對于ISP網絡來說是多宿的，提供VPRN連接性。
    這種情況下，所有的ISP邊緣路由器可以把相同的VPRN路由廣播到CPE路由器，后者便可以
通過所有鏈路認知所有可達VPRN前綴。當然還有其他特殊的重發布，ISP邊緣路由器對CPE路由
器廣播不同的前綴集。
5.3.3.1.4 后門連接
    CPE路由器連接到ISP網絡上，后者提供VPRN連接，但也可以由一個后門鏈接直接通往客戶
站點。
    這種情況下，ISP邊緣路由器將廣播VPRN路由到CPE設備上。然而現在相同的目的地是如何
通過ISP邊緣路由器和后門鏈接達到的呢？如果連接到后門鏈路上的CPE路由器運行了客戶IGP，
那么后門鏈路總是作為優先鏈路，就像一個內部鏈路一樣，而通過ISP邊緣路由器插入的目的地
就好像是外部通道（對于客戶IGP來說），為了避免這種情況，假設客戶希望自己的數據流量通
過ISP網絡，就需要一個獨立的RIP運行在后門鏈路兩端的CPE路由器上，就如RIP運行在樁鏈路
或者備份鏈路（在CPE路由器和ISP邊緣路由器之間）一樣，這便使得后門鏈路像向外部通路一
樣，通過適當調整該鏈路的費用，ISP通道可以總是可以優先，除非它關閉，后門鏈路才啟用。
    上面就等于描述了ISP邊緣路由器和CPE路由器各自的可達性信息要求，以及傳送這些信息
的機制。下面的小節將詳細介紹這些機制。
5.3.3.2 路由協議實例
    路由協議可以運行在CPE邊緣路由器和ISP邊緣路由器之間，交換可達性信息，這樣可以使
ISP邊緣路由器在客戶站點學習可達VPRN前綴，以及讓CPE路由器通過業務提供商網絡學習可達
目的地。
    雖然客戶也運行相同的協議，就像它的IGP，但是這個協議路由域的只擴展到ISP邊緣路由
器和CPE路由器，域可以擴展到客戶站點，如果客戶站點正在運行一個不同的路由協議，CPE在
ISP邊緣路由器實例和客戶站點實例之間重發布路由。
    考慮到這個路由實例的限制，一個簡單的協議就足夠了，RIP可能是最普通的協議，其他也
可，如OSPF或者BGP運行在內部模式（IBGP）。
    注意樁鏈路路由協議的實例是不同于內聯VPRN可達性路由協議實例的，例如，如果ISP邊緣
路由器用路由協議背載操作，通過內核發布VPRN成員資格和可達性信息，那么它就可以由CPE
路由實例到核心路由協議實例重發布合適標簽的路由，用于每個實例的路協議弱化了，任何合
適的協議可以用在每個場合。不需要相同的協議，甚至不需要相同的樁鏈路可達性信息收集機
制，不需要它運行在CPE路由器和某一VPRN關聯的ISP邊緣路由器之間，因為這純粹是本地事務。
    這種弱化允許ISP使用一種普通的內聯VPRN機制，通過這些機制，各個VPRN互相隔離，也隔
離于客戶網絡的IGP。在第一種情況中，ISP可以不和樁鏈路操作，就能獲得和內聯VPRN可達性
機制的隔離；第二種情況，ISP不需要知道客戶站點的IGP。還有其他一些情況，如ISP邊緣路由
器和客戶站點運行相同的IGP，但這很不實際，因為這樣便失去了VPRN簡化CPE路由器配置的目
的。如果要讓客戶在多站點上運行IGP，VPLS方案比較合適。
    注意，如果某一客戶站點同時屬于幾個VPRN（或者希望同時與VPRN和Internet通信），ISP
邊緣路由器必須映射樁鏈路地址前綴到特定的VPRN。簡單一點，可以在每個VPRN中使用多條樁
鏈路，通過確保（或者，通過配置ISP邊緣路由器，使其知道）某一非結合的地址前綴映射到單
個的VPRN，或者由用合適的VPN標識標記來自于CPE路由器的路由廣播，從而可以在同一條樁鏈
路上運行多個VPRN。如，MPLS傳送樁鏈路可達性信息，不同的MPLS標記將用來區別不同的VPRN
所分配的前綴。不論如何，這種協同都需要一些管理規程。
5.3.3.3 配置
    跨過每一個樁鏈路的可達性信息可以手工配置，當地址集和前綴集很小或者為靜態時比較
合適。
5.3.3.4 ISP管理的地址
    每一個樁站點的地址集可以由VPRN的邊緣路由器管理和分配，當客戶站點比較小的時候比
較合適，特別是包含單主機或者單子集。地址分配可以由PPP或者DHCP【37】來完成，如，邊緣
路由器作為一個Radius客戶，檢索客戶IP地址，或者作為一個DHCP中繼，檢查DHCP消息，中繼
給客戶站點，這時的邊緣路由器需要建立樁鏈路可達性信息表。雖然這些IP地址分配機制一般
用于分配給單個的主機，一些銷售商加了一些擴展，使其可以分配地址前綴。在某些情況下，
讓CPE設備可以作為一個小型DHCP服務器，在客戶站點為主機分配地址。
    注意在這些方案下，地址分配服務器有責任保證VPN的每個站點收到不同的地址空間，也要
注意，ISP通常只為小的樁站點使用這種機制，小站點不太可能有后門鏈路。
5.3.3.5 MPLS LDP
    CPE路由器運行MPLS時，LDP可以在樁站點傳送前綴集給VPRN邊緣路由器。用下行標記發布
的主動模式，CPE可以從頭站點的每個路由器發布一個標記。然而需要注意的是，由于是LDP學
習新路由，而不是從存在的路由器學習標記－－通過標準路由機制學習，邊緣路由器執行的處
理就不僅僅是普通的LDP處理過程。
5.3.4 內聯VPN可達性信息
    一旦邊緣路由器確定了聯結每個樁鏈路的前綴集，這個信息便必須馬上發布到每個邊緣路
由器。這里也有一個隱含的要求，那就是可達地址集本地唯一，也就是說，每個VPRN樁鏈路（不
執行負載共享）維護與任何其他地址空間無關的一個地址空間。實際中雖然不是要求這樣，但
至少希望這樣，這個地址空間要很好的分割開，如，每個邊緣路由器用一個特殊的地址前綴，
以便消除維護發布大數量主機路由的必要。
    內聯VPN可達性信息的發布可以通過許多途徑解決，下面將分別敘述一下它們其中的幾個。
5.3.4.1 直接查找
    和VPRN成員信息一起，中心目錄可以維護連接每一個客戶站點的地址前綴列表，這樣的信
息可以由服務器通過邊緣路由器協議的交互作用獲得，注意5.3.2討論到的目錄同步問題也可以
應用在這個場合。
5.3.4.2 顯式配置
    地址空間可以顯式配置，但是這樣不容易升級，特別是當使用隨機拓撲時，同時這也提出
了管理系統如何學習這些信息的問題。
5.3.4.3 本地內聯VPRN路由實例化
    在這種方法中，每個邊緣路由器運行一個路由協議（一個"虛路由"）的實例，通過VPRN
隧道到每個對端邊緣路由器，發布內聯VPRN可達性信息。由于路由協議自身可以運行在任何拓
撲上，全網拓撲和隨機拓撲都可以很容易的得到支持。內聯VPRN路由廣播可能不同于普通的隧
道數據包，它可以直接定址對端邊緣路由器，或者使用隧道特殊機制。
    注意這里的內聯VPRN路由協議可以和任何客戶站點的IGP協議以及ISP在IP骨干網的其他路
由協議不發生任何關系。根據VPRN尺寸的大小和規模，不論是簡單的RIP協議還是復雜的OSPF
協議都可以使用。由于內聯VPRN路由協議運行在IP骨干網之上，對于任何中間路由器完全透明，
對于不在VPRN內的任何其他邊緣路由器也完全透明，這也暗示了這樣的路由信息可以對這樣的
路由器保持不透明，在一些場合下這提供了必要的安全要求。也要注意，如果路由協議象數據
一樣直接運行在同一個隧道上，那么它和數據流量有同等水平的安全，例如強加密或者認證。
    如果內聯VPRN路由協議所運行的隧道對于特定VPN（如，一個不同的復接域）是專用的，那
么就不需要改變路由協議自身；另一方面，如果使用了共享隧道，那么就很有必要擴展路由協
議，以允許VPN－ID包含在路由更新包中，允許前綴集連接到特定的VPN上。
5.3.4.4 鏈路可達性協議
    鏈路可達性協議就是允許兩個節點通過點到點鏈路連接，相互交換可達性信息，對于全網
拓撲，每個邊緣路由器可以運行鏈路可達性協議，例如MPLS CR－LDP的一些變種，通過隧道到
每個對端邊緣路由器，在兩個邊緣路由器之間通過隧道運載VPN－ID和可達性信息。如果VPRN
成員信息已經發布到邊緣路由器，那么就不再需要傳統的鄰路由發現協議，因為鄰節點集已經
知道了。TCP連接可以用來互聯鄰接點，提供可達性。這個方法可以減少每個VPRN的路由協議實
例的處理負擔，可以支持多VPRN使用共享隧道機制連接邊緣路由器時。
    另一個鏈路可達性協議的方法可以基于IBGP，這時鏈路可達性協議需要解決的問題與IBGP
非常相似－－在邊緣路由器之間可靠傳送地址前綴。
    用鏈路可達性協議可以直接支持全網拓撲－－每個邊緣路由器傳送它的本地可達性信息到
其他所有的路由器上，但是卻決不把從其他路由器接收來的信息重發布。然而，一旦需要支持
隨機拓撲，鏈路可達性協議需要開發成一個全路由協議，由于需要避免死環，重新發明一種路
由協議沒有什么好處。為什么在一個隧道環境中也需要部分連接網已經在5.1.1中討論過。
5.3.4.5 IP骨干網路由協議的背載操作
    VPRN成員資格和關聯于每個頭接口的地址前綴也背載在從每個邊緣路由器的路由廣播和網
絡的傳播中。其他路由器就像它們獲得VPRN成員資格信息那樣（隱含在每個路由廣播源的標識
中）抽取該信息。注意，由于所設計路由協議的特性，這個方案可能要求中間路由器－－如邊
緣路由器，緩存內聯VPRN路由信息，以便重發；同時，這也隱含了安全要求，提出了內聯VPRN
路由信息可能的安全水平。
    注意，上面所說的任何情況，邊緣路由器都要以某種方式發布樁鏈路前綴，以允許從遠端
邊緣路由器直接流出樁鏈路的隧道傳輸。它也可以發布這些信息，以便讓邊緣路由器關聯所有
的前綴，而不是特定的樁鏈路。這種情況下，邊緣路由器需要實現一個VPN特殊轉發機制以導出
流量，確定正確的樁鏈路。這樣做的一個好處就是可以很大程度上減少不同隧道的數目以及需
要創建和維護隧道的標簽信息。注意，這個選擇只是本地事件，對于遠端邊緣路由器是不可見
的。
5.3.5 隧道機制
    一旦VPRN成員資格信息得到發布，包含VPRN內核的隧道就可以構建了。
    建立隧道網的一種方法是用點到點IP隧道，這種隧道的要求和存在的問題已經在3.0節中討
論過了，例如，雖然隧道的建立可以通過手工配置，但是卻不容易升級，（數量級O（n^2））。
象這樣的話，隧道的建立需要用某些形式的信令協議，以允許兩個節點構建隧道，能夠知道雙
方的身份。
    另一種方法是用多點到點的隧道，如MPLS。如【38】所提到的，MPLS可以視為某種形式的
IP隧道，由于MPLS包的標記允許路由，弱化了數據包本身地址信息的作用。MPLS標記發布機制
可以用來關聯MPLS標記集和出口點（如樁鏈路和邊緣路由器)的VPRN地址前綴，因而允許其他路
由器顯式地標記和路由，把流量導向特定的VPRN頭鏈路。
    MPLS的引人之處在于，作為一種隧道機制，它僅僅要求很少的處理，這主要是因為MPLS網
絡的數據安全隱含在顯式的標記綁定中，而不象面向網絡的連接，如幀中繼。因而使得用戶不
必為數據安全的處理做過多考慮，比如IPSec。然而，MPLS卻有其他潛在的安全問題，它沒有直
接的認證、機密性和完整性這樣的安全特性，MPLS的信任模型意味著需要通過中間路由器，（可
能屬于不同管理域）來傳送成員資格和前綴可達性信息，因而中間路由器必須得到信任，而不
僅是邊緣路由器本身。

5.4 多宿樁路由器
    這里假定樁路由器僅僅連在一個VPRN邊緣路由器，總起說來，如果市場因為可靠性或者其
他原因，這個限制可以減少VPRN操作。特別是如果樁路由器支持多宿冗余鏈路，一次只有一個
運行，鏈路連在同一個VPRN邊緣路由器上，或者兩個或多個不同VPRN邊緣路由器上，那么樁鏈
路可達性機制既要能夠發現活動鏈路的丟失，又要主要備份鏈路的活動。在前一種情況，前一
個連接的VPRN邊緣路由器將停止廣播可達性信息，而帶有活動鏈路地VPRN邊緣路由器將開始廣
播可達性，然后存儲連接