CE(Customer Edge)，用户网络边缘设备，服务提供商所连接的用户端路由器。CE路由器通过连接一个或多个PE路由器，为用户提供服务接入。CE路由器通常是一台IP路由器，它与连接的PE路由器建立邻接关系。

CE设备

CE更多的是出现在VPN中的，与之对应的是PE。

CE（Customer Edge）设备：是用户网络边缘设备，有接口直接与服务提供商相连，可以是路由器，也可以是交换机等。CE是感知不到VPN的存在的。

PE是运营商边缘路由器（Provider Edge）。

CE和PE的划分主要都是从运营商和用户的管理范围来划分的。这两者是范围的边界。

接入控制功能的实现为业务提供商给用户基于策略的流量限制提供了可能,更好地满足网络成本与业务服务等级之间的公平性,同时提高了网络的安全性。

近年来，电子商务等网络应用的飞速发展，使网络安全问题体现得尤为突出。在这种背景下，VPN 的应用越来越广泛。当前实现 VPN的技术有多种，其中BGP / MPLS VPN 以其可扩展性好、 转发效率高、 灵活的地址策略等优势而得到广泛的部署。

BGP / MPLS VPN 中有3 种路由器，即用户边缘( Customer Edge，CE) 路由器，提供商边界 ( ProviderEdge，PE)路由器，提供商(Provider，P)路由器PE 路由器和 P路由器保存到达外网的全局路由表信息，而CE 路由器保存VPN 内网的路由信息PE 路由器上使用独立的虚拟路由转发实例 ( Virtual outing andForwarding Instance，V F)来保存并交换来自CE 路由器的 VPN路由信息，这些路由信息不与全局路由表交互 P路由器通常只根据数据包的标签执行快速转发，并不参与 VPN内网的路由信息交换。 这样，各VPN 路由信息只存在于各自独立的V F 下，PE 路由器和 P路由器的主路由表并没有各 VPN的路由信息，从而通过这样的路由隔离来实现流量隔离，提供了VPN 之间通信的安全性。由于采用了路由隔离，VPN中的用户不能访问Internet 。然而，VPN 中的某些用户除了需要安全的共享自身所在 VPN的网络资源，同时还需要能够访问Internet。 因此，在典型BGP / MPLS VPN 的基础上，结合使用 G E隧道技术，把特定的需要访问 Internet的流量通过隧道从 V F中分离出来，然后依据全局路由表的路由信息发往 Internet，而发往同一 VPN其它站点的流量仍依据 V F中的路由信息转发 ，应用各种仿真软件模拟网络环境已经得到广泛的应用。

基于CE-CE的路由认证机制重新应用了在CE-PE 路由认证过程中的MD5密钥，它的好处是不需要CE路由器或VPN站点改变或进行软件升级。机制运行时，PE路由器必须为每个VPN指明哪个MD5密钥是用来验证路由信息的，必须让每个VPN在所有的CE-PE 链路的路由认证过程使用同一个MD5密钥。MD5密钥必须唯一的对应一个VPN。VPN用户用此MD5密钥配置其所有的CE路由器。MPLS 服务提供商也用此密钥配置与客户CE连接的PE路由器。

路由信息发布过程为如下方式：

CE路由器向PE登记VPN的成员信息：一个PE有可能为多个VPN的CE服务，而PE必须能够辨别CE属于哪个VPN。每一个VPN都具有自己的VPN ID，VPN ID在提供者域内应该是唯一的，PE就是根据这个VPN ID来辨别CE属于哪个VPN。另外，CE路由器必须向PE路由器提供本VPN的路由认证密钥，因此如果在CE-PE之间采用动态路由协议，那么必须对路由协议进行MD5路由认证。一般只有经过MD5认证成功的路由信息才能够写入相应的VRF中，并且该VRF也是需要路由认证机制的。如果要在PE路由器上配置需要MD5认证的VRF时，必须确保先进行本地的路由认证然后才向其它PE路由上传播路由信息。此处的路由认证主要包括检查并确认在VRF中所有从连接的CE路由器上接收来的路由信息是否是正确的。

MD5加密，此处用到的MD5密钥是与该VRF对 应CE的 密 钥 ， 加 密

IF target VRF is configured for Verification

THEN

IF UPDATE-authenticator attribute is present

THEN

subroutine determine_MD5-key

verify UPDATE-authenticator with MD5-key

IF result = signature of received UPDATE-authenticator

THEN

import route into VRF

ELSE

mark routes as 'not authenticated'; log error

ELSE

mark routes as 'not authenticated'; log error

ELSE

mark routes as 'not authenticated'; log error

subroutine determine_MD5-key

IF key-identifier = 0

THEN

MD5-key = the MD5 key used for routing authentication with one of the

routing peers of the VRF.

ELSE

MD5-key = lookup_in_config (key-identifier)

RETURN MD5-key.

与RFC2547中定义的BGP/MPLS VPN的路由信息发布过程类似，每个CE还需要知道它所能达到的地址信息，它将从与PE路由器接口相对应的VRF表中获取路由信息。

这种基于CE-CE的路由认证机制，目的是保证PE路由器上路由目标的正确配置，以顺利地完成BGP/MPLS VPN网络中路由配置、实现路由隔离及VPN之间的访问控制。应用这个认证机制的结果是将不属于该VPN网络的CE路由器进行隔离，并且对于出现的错误进行报警。

在用户网络和提供商网络之间 ,即在客户边缘 (CE)设备和提供商边缘 (PE)设备之间通过用户网络接口 (UNI)相互连接 ,如图《边缘接入控制模型》所示。用户跨越 UNI进行网络访问,产生用户网络业务流(UNSF)映射为一个单一的业务会话虚连接(SCVC)。在提供商网络侧的 PE针对每个 SCVC部署接入控制策略 ,控制业务流允许进入网络的流量 ,从而实现占用网络资源与业务服务等级之间的合理匹配。

边缘 PE的每个接口都配有入方向和出方向的接入控制策略表 ,且相互独立。

接入控制是一个策略模块,用于控制业务数据流的转发和网络安全部署。接入控制策略是一个有序的语句集,它基于已建立的标准匹配报文中信息与接入控制表参数,来允许报文通过或拒绝报文通过某个接口。接入控制策略控制范围之外,设备将按默认方式工作,如默认转发。接入控制策略应用于接口,每个接口可以配置不同的接入控制策略表(即接入控制表) ,其对数据流的监控具有方向性—“向内”