PE还是CE上internet？
两种方式都可以。
通过集中式上internet还是分布式上internet？
两者方式都可以。
PE分布式上internet
每台PE都与internet直接相连，在PE的VRF中配置指向global的缺省路由。
在PE上配置静态路由（目的网段为NAT转换后的公网），下一跳指向VRF的接口。
在PE的VRF中做NAT转换。
PE集中式上internet
在每台PE上的VRF中配置指向global地址的缺省路由。
在PE上配置静态路由（目的网段为私网地址），下一跳指向VRF的接口。
所有的访问internet的流量通过缺省路由发给连接internet的那台PE，由它统一做NAT转换。
由于所有的私网路由泄漏到所有的PE上，会导致不同的VPN通过PE互访，需要在每台PE上配置ACL，丢弃源地址和目的地址都是私网的流量。
CE分布式上internet
每个VRF中选择一台CE连接internet，并且做NAT转换。
由该CE发布一条缺省路由给本VPN内的所有CE。
CE集中式上internet
选择一台健壮的CE连接internet，并且做地址转换。
将该CE所属的VRF配置成与所有VRF都可以互通的超级VPN（How can do that？）
由该CE发布一条缺省路由给全网的所有VPN的所有CE。
由于有超级VPN以及缺省路由的存在，会导致不同的VPN通过超级VPN互访，需要在该PE连接超级VPN的VRF上配置 ACL，丢弃源地址和目的地址都是私网的流量。
选择哪种方式？
PE分布式是运营商常用的（因为运营商的每台PE都直接与internet相连），企业网不会使用。
PE集中式太繁琐（每台PE上都要配置ACL），且不支持VPN地址重叠。
CE分布式无需ACL，且支持VPN地址重叠。
CE集中式只需配置一条ACL，但不支持VPN地址重叠。
希望节省资源，选择CE集中式；希望支持VPN地址重叠，选择CE分布式