站在客户的角度，假设客户具有扎实的技术能力。

如果您有多个办公室，您应该确认您提供的 L2VPN 产品是多点、任意对任意解决方案，如 VPLS。然后问每个站点可以有多少个MAC地址，bcast/mcast/unknown unicast是怎么限制的。如果没有限制，这可能不是一个好消息，那么这可能意味着如果其他客户填写 MAC 表，您也会受到影响。
谨慎地测试限制是否得到执行。

我会回避在 L2VPN 或 L3VPN 中访问 Internet，它可能包含由运营商实施的多个 SPOF，您可能更愿意自己控制这些 SPOF，因此您不必等待运营商解决某些问题，而您所有的办公室没有互联网。

话虽如此，L2VPN 和 L3VPN 通常都提供 Internet 访问。在 L2VPN（尤其是 ELAN/VPLS）中，它实际上非常简单，只要您使用可路由的 IP 地址，那么运营商将在 L2VPN 实例中插入 IRB 接口，作为您在运营商网络中的默认网关，HSRP/VRRP，如果需要。
在 L3VPN Internet Access 产品中，可能假定使用 RFC1918 地址，并且可能无法从最近的 PE 订购到每个站点的直接 INET 连接。唯一可能提供的选项是集中式防火墙，它可能包含也可能不包含大量的 SPOF。

无论哪种情况，请确保您了解 INET 访问是如何实现的，以及您是否准备好承担风险。如果没有，只需订购对一个或多个站点的额外 INET 访问权限并自己处理 INET，无论如何我更愿意这样做。

我对 WAAS 没有任何评论，我从未使用过它们，但可以理解它们在使用设计不良的应用程序的低速访问中如何有用。

如果监管机构没有强制要求加密，我个人不会这样做，它只会引起问题，需要维护并增加 CE 成本。
然而，我会积极了解我们在内部使用哪些应用程序，哪些应用程序正在使用加密，哪些可以迁移到加密，哪些不能使用加密，以及将所有应用程序迁移到加密的设备长期计划。
安全的成本不应高于违反安全所带来的风险。

我不确定我是否理解奖励积分问题，我当然不会在我的 CE 和运营商 PE 之间放置防火墙。状态应该被保留在最后可能的时刻。我个人只希望在人类局域网前面使用固件，在那里保证软件卫生是困难的。我不会将 FW 放在服务器前面，因为它会稀释我在可用性和性能方面的投资。企业界对 FW 有太多的爱。