Для доступа устройств СЕ к услугам NAT лучше, когда эти устройства принадлежат сервис-провайдеру, который ими и управляет. Такая схема позволяет просто и легко предоставлять услуги NAT устройствам CE.

На рисунке 20 показаны услуги NAT, предоставляемые устройствам CE для связи с сетями общего доступа и для связи с собственной сетью интранет через тот же физический канал. В принципе, это вариант экстранет-доступа (заказчик-заказчик), хотя здесь чаще используется динамическое, а не статическое преобразование адресов. Заметим, что «сетью общего доступа» здесь может быть все что угодно - от серверной фермы до сети Интернет-провайдера (ISP) или провайдера прикладных услуг (ASP).

У заказчика в таблице VRF содержатся все адреса C, которые импортируются и экспортируются между всеми другими таблицами VRF, принадлежащими к сети интранет этого заказчика. Все таблицы VRF, действующие на всех сайтах данного заказчика, определяют адресное пространство его сети Intranet VPN.

В этой таблице VRF также содержится преобразованное зарегистрированное адресное пространство CT. На рисунке видно, что этот заказчик подписался на две услуги - P1 и P3 - и импортировал в свою таблицу VRF все маршруты, относящиеся к этим услугам.

Кроме того, адресное пространство CT также экспортируется в каждую таблицу VRF, относящуюся к услугам, чтобы обеспечить двустороннюю связь между провайдером приложений (ASP) и заказчиком.

Карты маршрутов, виртуальные интерфейсы и списки доступа настраиваются таким образом, чтобы па кет с адресом назначения из пространства C мог общаться с другим хостом интранет VPN без преобразований адресов, поскольку CE-маршрутизатор будет и без этого (в «родном» режиме) направлять IP-пакет на устройство PE.

Если заказчик с исходным адресом C1 отправляет запрос хост-системе с адресом P1, CE-маршутизатор преобразует C1 в C1T, и PE-маршрутизатор, согласно таблице VRF, направит пакет к P1.

Недостаток этого дизайна в том, что каждое устройство CE должно иметь пул зарегистрированных адресов. Эту проблему можно смягчить, если одно устройство CE будет выступать в качестве концентратора доступа к услугам для данного заказчика, как в топологии Hub-and-Spoke. Подход Hub-and-Spoke обычно будет использоваться для Интернет-доступа, когда трафик проходит через прокси-серверы и межсетевые экраны, установленные в информационном центре заказчика.

Заказчики с частными адресами | Построение виртуальных частных сетей | Доступ к услугам через шлюз (с ориентацией на заказчика)