至通過一個不同的ISP，這時的CPE設(shè)備要完成不同域數(shù)據(jù)的分離以及提供防火墻功能。
5.1.1 拓?fù)?    VPRN的拓?fù)淇赡馨ㄋ蠽PRN節(jié)點(diǎn)之間整個的隧道網(wǎng)，或者也可以是某些隧道的隨機(jī)拓?fù)洌?如一系列遠(yuǎn)端辦公室連接到最近的地區(qū)站點(diǎn)，地區(qū)站點(diǎn)再進(jìn)行整個或者部分的連接。在IP隧道
建立的VPRN中，使用全網(wǎng)拓?fù)淇梢员戎苯臃峙湮锢碣Y源（如，租用線）節(jié)省很大的費(fèi)用，也比
那種要求資源分配在設(shè)備上的隧道方法（如，F(xiàn)R DLCI）要好。全網(wǎng)拓?fù)洚a(chǎn)生出優(yōu)化路由，消除
了經(jīng)過第三個節(jié)點(diǎn)為兩個直接相連的站點(diǎn)傳輸數(shù)據(jù)的必要性，全網(wǎng)拓?fù)涞牧硪粋€吸引人的地方
是不需要配置VPRN的拓?fù)湫畔ⅲ瑢τ赩PRN的成員路由器來說，拓?fù)涫请[式的。如果ISP邊緣路由
器的數(shù)量十分巨大，全網(wǎng)拓?fù)淇赡懿惶m合，因?yàn)檫@時涉及到升級問題，如，站點(diǎn)之間的隧道
數(shù)目會隨之增長，（n個站點(diǎn)，n（n－1）/2個隧道），每個路由器的路由對也會急劇增長。當(dāng)
然也可能也會使用非全網(wǎng)拓?fù)涞木W(wǎng)絡(luò)策略，如網(wǎng)絡(luò)管理員可能希望兩個站點(diǎn)的流量經(jīng)過中心站
點(diǎn)，而不是直接傳輸數(shù)據(jù)。對于IP骨干網(wǎng)，也需要考慮到由于某些錯誤造成的部分連接問題（如，
A可到B，B可到達(dá)C，但是A不能直接到達(dá)C），可以運(yùn)用策略路由來解決這個問題。
    對于一個面向網(wǎng)絡(luò)的VPRN，假設(shè)用戶通過一條或者多條點(diǎn)到點(diǎn)鏈路（如，租用線，ATM或者
FR連接）連接到ISP邊緣路由器，ISP路由器要負(fù)責(zé)學(xué)習(xí)和發(fā)布它們之間可達(dá)性信息，CPE路由器
通過每條樁鏈路學(xué)習(xí)可達(dá)目的地集，雖然這可以象缺省路由一樣簡單。
    樁鏈路可以是預(yù)分配的專線，也可以是象用PPP、自發(fā)隧道（見6.3節(jié)）或者ATM信令等按需
分配的動態(tài)鏈路。動態(tài)鏈路需要認(rèn)證用戶，確定用戶可以接入（如，用戶可以加入VPRN）的授
權(quán)資源。VPRN機(jī)制和業(yè)務(wù)可以由任何類型的用戶以任何方式使用，而不是讓用戶初始綁定VPRN，
（這種處理可能包括專門的考慮，如動態(tài)IP地址分配）。
5.1.2 定址
    VPRN里使用的地址和IP骨干網(wǎng)上的地址沒有什么關(guān)系，特別是VPRN可以使用非唯一專用IP
地址，多個VPRN可以實(shí)現(xiàn)在同一套物理設(shè)備上，它們可以使用相同的或者交疊的地址空間。
5.1.3 轉(zhuǎn)發(fā)
    對于一個VPRN，隧道網(wǎng)形成了IP骨干網(wǎng)上的交疊網(wǎng)絡(luò)，在每個ISP邊緣路由器中，必須有VPN
專用的轉(zhuǎn)發(fā)狀態(tài)來轉(zhuǎn)發(fā)從樁鏈路接收到的信息包，傳送到下一跳路由器，當(dāng)ISP邊緣路由器支持
屬于同一VPRN的多鏈路時，作為本地事件，隧道可以終止在邊緣路由器上，也可以終止在樁鏈
路上，前者需要VPN專用的轉(zhuǎn)發(fā)路由表轉(zhuǎn)發(fā)流出的數(shù)據(jù)，后者不需要。為了把接收到的數(shù)據(jù)流量
導(dǎo)向正確的隧道，在數(shù)據(jù)來的方向中需要VPN專用轉(zhuǎn)發(fā)表。
    也因?yàn)閂PRN工作在互聯(lián)網(wǎng)的網(wǎng)絡(luò)層，在隧道上發(fā)送的IP包也將有TTL域，以正常的模式操作，
防止信息包在VPRN的路由環(huán)中打轉(zhuǎn)。
5.1.4 多并發(fā)VPRN連接
    注意一個用戶站點(diǎn)也可能同時屬于多個VPRN，可能同時傳輸數(shù)據(jù)到一個或者多個VPRN或者
到缺省的Internet上，這一切都可以發(fā)生在同一個樁鏈路上。對于這個問題有好多解決辦法，
但是這超出本文的范圍。
5.2 VPRN相關(guān)的網(wǎng)絡(luò)
    VPRN的要求和機(jī)制在前面許多文檔中討論過了，其中的一個是【10】，討論的是如何在MPLS
和非MPLS網(wǎng)絡(luò)上實(shí)現(xiàn)相同的VPN功能，其他的一些在下面簡單描述。
    提供VPRN成員資格和可達(dá)性功能的機(jī)制有兩種主要的方式－－交疊式和背載式，下面的
5.3.2、5.3.3和5.3.4將詳細(xì)討論。【14】里描述了一個交疊式例子，討論的是通過分離每個VPN
路由協(xié)議實(shí)例和路由轉(zhuǎn)發(fā)表來實(shí)現(xiàn)VPRN功能，另一種辦法是通過虛路由來實(shí)現(xiàn)。每個VPN的路由
實(shí)例隔離于另一個VPN的路由實(shí)例，也隔離于骨干網(wǎng)的路由實(shí)例，結(jié)果是任何路由協(xié)議（如，
OSPF,RIP2，IS－IS）都可以運(yùn)行在任何VPRN上，獨(dú)立于其他VPRN所運(yùn)行的路由協(xié)議，也獨(dú)立于
骨干網(wǎng)自身的路由協(xié)議。【12】中描述的VPN模型是一種使用虛路由的交疊VPRN模型，重點(diǎn)放在
了在MPLS骨干網(wǎng)上提供VPRN功能，描述了基于MPLS隧道網(wǎng)的VPRN成員如何實(shí)現(xiàn)MPLS骨干網(wǎng)上的
自治。【31】擴(kuò)展了虛路由模型，包括VPN區(qū)域，以及在VPN區(qū)域之間負(fù)責(zé)路由的VPN邊緣路由器，
VPN區(qū)域可以由管理以及技術(shù)原因定義，如不同的基礎(chǔ)網(wǎng)絡(luò)結(jié)構(gòu)（如，ATM，MPLS，IP）。 
    相反，【15】描述了用背載方法提供成員資格和可達(dá)性信息發(fā)布等VPN功能，這些信息在BGP
【32】協(xié)議包上以背載方式操作，VPN用BGP策略構(gòu)建，由它來控制哪些站點(diǎn)可以互相通信，【13】
也使用BGP背載成員信息和背載可達(dá)性信息來建立MPLS LSP（CR－LDP或者擴(kuò)展RSVP），然而不
像其他的建議那樣，這個建議需要CPE實(shí)現(xiàn)VPN的某些功能。
5.3 VPRN總要求
    基于網(wǎng)絡(luò)的VPRN解決方案有許多的通用要求，也有許多機(jī)制可以用來滿足這些要求：
    1）全局唯一的VPN標(biāo)識符，用來指一個特定的VPN。
    2）VPRN成員資格的確定。一個邊緣路由器必須學(xué)習(xí)本地每個VPRN樁鏈路，必須學(xué)習(xí)在該VPRN
中擁有成員的其他路由器集合。
    3）樁鏈路可達(dá)性信息。一個邊界路由器通過每個樁鏈路必須學(xué)習(xí)可達(dá)地址集和地址前綴集。
    4）內(nèi)聯(lián)VPRN可達(dá)性信息，一旦邊緣路由器確定關(guān)聯(lián)于每個樁鏈路的地址前綴集，那么這個
信息必須發(fā)布到VPRN的每個邊緣路由器。
    5）隧道機(jī)制，一個邊緣路由器必須構(gòu)建必要的隧道到另一個擁有VPRN成員的路由器，必須
執(zhí)行必要的封裝和解封裝。
5.3.1 VPN標(biāo)識符
    IETF和ATM論壇已經(jīng)為標(biāo)識VPN的全局唯一標(biāo)識符標(biāo)準(zhǔn)化了一個獨(dú)立的格式－－VPN－ID，現(xiàn)
在只定義了VPN－ID的格式，沒有定義它的語法和用法。目標(biāo)是允許它用于不同的目的，讓不同
技術(shù)以及機(jī)制使用同一個標(biāo)識符。例如，一個VPN－ID可以包含在MIB中，標(biāo)識一個VPN；VPN－
ID也可以用在控制平面上起到控制作用，例如在隧道建立時間綁定一個隧道，所有穿過隧道的
包就會隱式地關(guān)聯(lián)于標(biāo)識了的VPN；VPN－ID也可以用在數(shù)據(jù)平面封裝，顯式地標(biāo)識一個VPN包。
如果VPN用不同的技術(shù)實(shí)現(xiàn)，（如IP和ATM），可以用同一個VPN－ID在不同技術(shù)上標(biāo)識VPN，同
樣，如果VPN橫跨幾個管理域，同一個標(biāo)識符可以在任何域使用。
    大多數(shù)的VPN方案（如，【11】，【12】，【13】，【14】）都要求使用VPN－ID，或載在
控制包里，或載在數(shù)據(jù)包里，其作用是和特定VPN關(guān)聯(lián)一個數(shù)據(jù)包。雖然以這種方式VPN－ID的
使用非常普通，但是卻并不普遍。【15】描述了一種沒有VPN協(xié)議標(biāo)識域的方案，這個方案里，
VPN由用戶理解，行政式的構(gòu)建，用BGP策略建立。有許多關(guān)聯(lián)于VPN路由的屬性，如路由區(qū)別符
號、源或者目標(biāo)"VPN"，由基礎(chǔ)協(xié)議機(jī)制使用，消除歧義，擴(kuò)大使用范圍，這在用BGP策略機(jī)
制構(gòu)建VPN中也使用，但是在其他的文檔中沒有相應(yīng)的VPN－ID。
    也請注意，【33】也定義了一種使用標(biāo)準(zhǔn)VPN－ID格式在ATM AAL5上進(jìn)行多協(xié)議封裝的格式。
5.3.2 VPN成員資格信息配置和發(fā)布
    為了建立一個VPRN，或者在VPRN中插入新的客戶，ISP邊緣路由器必須確定哪一個樁鏈路關(guān)
聯(lián)于哪一個VPRN，對于靜態(tài)鏈路（如，ATM VCC），這個信息必須配置進(jìn)邊緣路由器，由于邊緣
路由器不能由自身推斷這樣的綁定，讓SNMP MIB允許本地樁鏈路和VPN身份之間的綁定不失為一
個解決方法。
    對于用戶來說，動態(tài)地連接在網(wǎng)絡(luò)上（用PPP或者自發(fā)隧道），可以把樁鏈路和VPRN關(guān)聯(lián)，
作為終端用戶認(rèn)證處理的一部分，例如用戶所要綁定的VPRN可以繼承PPP認(rèn)證處理的域名。如果
用戶成功的通過認(rèn)證（如，用Radius服務(wù)器），新創(chuàng)建的動態(tài)鏈路可以綁定到正確的VPRN上，
注意，靜態(tài)的配置信息仍然是必要的，如為了維護(hù)每個VPRN的授權(quán)用戶表。但是靜態(tài)信息的位
置可以是認(rèn)證服務(wù)器，而不是ISP的邊緣路由器，不論鏈路是靜態(tài)創(chuàng)建還是動態(tài)創(chuàng)建，VPN－ID
都可以關(guān)聯(lián)到那條鏈路上，標(biāo)識綁定的VPRN。
    知道了哪條樁鏈路綁定在哪個VPRN上之后，每個邊緣路由器必須學(xué)習(xí)每個邊緣路由器支持
樁鏈路的身份，或者至少是可以到達(dá)它們的路由。后者隱示了這樣一個概念，那就是當(dāng)前的配
置邊緣路由器所使用的機(jī)制，可以用邊緣路由器和樁鏈路身份信息建立合適的隧道。邊緣路由
器的VPRN成員資格發(fā)布問題，可以通過不同的途徑解決，將在后面討論。
5.3.2.1 目錄查找
    特定VPRN的成員，即支持樁鏈路的邊緣路由器身份，以及每個邊緣路由器綁定在這個VPRN
的靜態(tài)樁鏈路集，可以配置進(jìn)一個目錄，通過在啟動時定義某些機(jī)制（如，LDAP），邊緣路由
器可以查詢它。
    使用目錄允許配置全網(wǎng)拓?fù)浠蛘唠S機(jī)拓?fù)洌瑢τ谌W(wǎng)拓?fù)洌琕PRN中所有路由器成員表發(fā)布
到任何地方，對于一個隨機(jī)拓?fù)洌煌穆酚善骺赡苁盏讲煌某蓡T表。
    使用目錄也可以使認(rèn)證校驗(yàn)優(yōu)先于VPRN成員信息的發(fā)布，當(dāng)VPRN跨過幾個管理域時，這就
非常有必要了。這種情況下，目錄到目錄的協(xié)議機(jī)制可以在多管理域系統(tǒng)中傳播授權(quán)的VPRN成
員信息。
    為了讓所有的邊緣路由器知道插入進(jìn)激活VPRN的每一個新配置站點(diǎn)的身份，以及原有站點(diǎn)
從VPRN中的移出，需要某種數(shù)據(jù)庫形式的同步機(jī)制（如，觸發(fā)目錄查詢，信息更新）。
5.3.2.2 顯式管理配置
    一個VPRN MIB定義為，允許一個管理系統(tǒng)把每個參與的邊緣路由器的身份、每個靜態(tài)樁鏈
路的身份配置每個邊緣路由器。就象使用目錄一樣，這種機(jī)制允許全網(wǎng)配置和隨機(jī)配置。另一
種機(jī)制是用一個中心管理系統(tǒng)，通過策略服務(wù)器和COPS協(xié)議【35】發(fā)布VPRN成員和策略信息，
如建立隧道時使用隧道屬性，如【36】所述。
    注意，這個機(jī)制允許管理站加強(qiáng)嚴(yán)格的認(rèn)證控制，另一方面，在管理域之外配置邊緣路由
器卻十分困難，管理配置模型可作為一個目錄方法子集，這樣管理目錄可以用MIB把VPRN信息壓
到參與的邊緣路由器中，可以作為本地樁鏈路配置過程的結(jié)果或部分結(jié)果。
5.3.2.3 路由協(xié)議背載操作
    VPRN成員信息背載到邊緣路由器在IP骨干網(wǎng)上運(yùn)行的路由協(xié)議中，因?yàn)檫@是一種通過網(wǎng)絡(luò)
向其他參與的邊緣路由器傳播信息的有效手段。特別是，每個邊緣路由器的路由通告可以包含
關(guān)聯(lián)于每個邊緣路由器VPN標(biāo)識符集，以便讓另一個邊緣路由器確定特定邊緣路由器身份和路由
的足夠信息。其他邊緣路由器將檢查接收到路由通告，確定是否包含了支持VPRN的相關(guān)信息，
可以通過查找匹配于本地配置VPN的VPN標(biāo)識符來完成。背載信息的特性、相關(guān)的問題（如范圍）
以及節(jié)點(diǎn)廣播特定VPN成員資格的方法將會得到確定，都將是路由協(xié)議和基礎(chǔ)傳輸?shù)墓δ堋?    使用這種方法，網(wǎng)絡(luò)中所有的路由器都將擁有VPRN成員信息的相同視圖，可以很容易的支
持全網(wǎng)拓?fù)洌欢С忠粋€隨機(jī)拓?fù)鋮s是比較困難的，需要某些形式的剪除。
    背載方案的好處在于它有效的信息發(fā)布能力，但是它要求不僅僅參與到邊緣路由器上的節(jié)
點(diǎn)，而是通道上所有的節(jié)點(diǎn)，都要接受修改的路由廣播，這樣做的不好之處在于，這可能要求
復(fù)雜的配置范圍機(jī)制，既能允許又能限制背載廣播，這會加重配置負(fù)擔(dān)，特別是如果VPRN跨越
幾個路由域（如，不同自治系統(tǒng)、ISP）。
    另外，除非為路由更新使用某些安全機(jī)制，允許所有相關(guān)的路由器讀取背載廣播，否則，
只能由這個方案隱含一種信任模型，所有的路由器必須絕對地被授權(quán)知道這個信息。根據(jù)路由
協(xié)議的特性，背載也要求中間路由器，特別是自治系統(tǒng)邊緣路由器高速地緩沖這些廣播，也要
求多路由協(xié)議之間重發(fā)布他們。
    每個方案都在特定場合下有它們自身的優(yōu)點(diǎn)，注意在實(shí)際中，幾乎總是有中心目錄或者管
理系統(tǒng)來維護(hù)VPRN成員信息，如允許支持一個特定VPRN的邊緣路由器集，支持靜態(tài)樁鏈路到VPRN
的綁定，支持通過動態(tài)鏈路為用戶接入網(wǎng)絡(luò)的認(rèn)證和授權(quán)信息。這些信息需要配置存儲在某些
形式的數(shù)據(jù)庫中，因此也需要額外的步驟方便這種信息到邊緣路由器的配置，可能不是特別繁
重。
5.3.3 樁鏈路可達(dá)性信息
    樁站點(diǎn)可達(dá)性有兩個方面－－VPRN邊緣路由器確定VPRN地址集和地址前綴可達(dá)樁站點(diǎn)的手
段，以及CPE路由器通過樁鏈路學(xué)習(xí)目的地可達(dá)性的手段。無論是那一種情況，ISP邊緣路由器
需要的信息都是一樣的－－VPRN在客戶站點(diǎn)的可達(dá)地址，但是CPE路由器需要的信息各異。
5.3.3.1 樁鏈路連接的不同情況
5.3.3.1.1 雙VPRN和Internet連接
    CPE路由器通過一條鏈路連接到ISP邊緣路由器，得到VPRN和Internet連接的服務(wù)。
    這對于CPE路由器是最簡單的情況，它僅僅需要一個到ISP邊緣路由器缺省的路由點(diǎn)。
5.3.3.1.2 VPRN連接
    CPE通過一條鏈路連接到ISP邊緣路由器，僅僅得到VPRN連接，而不是Internet。
    CPE路由器必須知道通過那條鏈路可達(dá)的非本地VPRN目的地集，可能是一個簡單的前綴，也
可能是一系列的非結(jié)合前綴。CPE路由器可以是靜態(tài)配置，也可以通過IGP動態(tài)學(xué)習(xí)，為了簡單，