VPN接入一般用于有多个分支机构的大型企业。如图1-7所示，企业在深圳和北京具有两个分支机构，每个分支机构中都分为绿区和黄区两个VPN网络，绿区允许用户使用固定终端和移动终端接入网络，黄区只允许用户使用固定终端接入网络。汇聚层交换机作为认证控制点，是MPLS VPN网络中的PE设备。

图1-7 VPN接入场景下的业务随行

VPN接入场景中，全网统一规划安全组，但需要在不同的VPN网络中配置不同的策略，同一用户在不同VPN网络中接入权限不同。此外，除在整个VPN网络中配置统一策略，还希望可以在某些特定设备上配置设备独有策略。

控制器中通过全局策略和本地策略实现全网通用策略和部分设备特殊策略的部署。

• 全局策略：在全网设备或者指定设备组上配置和部署的策略，分别在全网设备和指定设备组内的设备中生效。在VPN接入场景中，分别在绿区和黄区设备组上配置、部署全局策略。
• 本地策略：本地策略是指在指定设备上配置和部署的策略，只在该设备生效。在设备继承了全局策略仍无法满足需求时配置。