3.1.8 最小隧道開銷
    減少隧道機(jī)制的開銷有許多好處，特別是傳輸諸如音頻視頻包等對抖動(dòng)和時(shí)延比較敏感的
數(shù)據(jù)。另一方面，如果使用IPSec安全機(jī)制，也會(huì)強(qiáng)加自己的開銷，因此目標(biāo)對象應(yīng)該盡量減少
安全所需的開銷，不要加重那些對安全要求不太強(qiáng)烈的隧道負(fù)擔(dān)。
    當(dāng)遠(yuǎn)端撥號(hào)用戶使用自發(fā)隧道連接VPN時(shí)，由于撥入鏈接帶寬較低，開銷的大小就更顯得重
要了。6.3將討論這個(gè)問題。
3.1.9 流量和擁塞控制
    L2TP協(xié)議的開發(fā)過程已經(jīng)制定了流量和擁塞控制的規(guī)程，這主要是因?yàn)樵谑褂门cIPComp
【28】不同的PPP壓縮時(shí)，要求在有損網(wǎng)絡(luò)上提供足夠的性能。另一個(gè)動(dòng)機(jī)是讓設(shè)備盡量使用較
少的緩存，例如可以終止低速撥號(hào)線。然而，L2TP規(guī)范的最后版本僅僅為控制信道定義了流量
和擁塞控制機(jī)制，而沒有為數(shù)據(jù)信道定義。
    總的來說，多層流量和擁塞控制的交互作用是非常復(fù)雜的，但是當(dāng)今占主導(dǎo)地位的TCP還是
有其自身的端到端流量和擁塞控制機(jī)制，但是真正在隧道協(xié)議中實(shí)現(xiàn)類似的機(jī)制卻不見得到底
會(huì)有多大好處，開發(fā)測試適應(yīng)所有網(wǎng)絡(luò)條件的流量和擁塞控制方案是很困難的，有其自身的原
因，也有和其他類似方案理解上的原因。然而，讓發(fā)送者能夠知道接收者的接收能力，提供協(xié)
議機(jī)制、允許接收者把它的能力通過信令發(fā)送給發(fā)送方是很有幫助的。對該領(lǐng)域做進(jìn)一步研究
可以獲益不少。
    也請我們注意一下IETF PILC工作組的工作，它正在對不同網(wǎng)絡(luò)鏈路的正確性如何影響
Internet協(xié)議在那些鏈路上的操作進(jìn)行檢查。
3.1.10 QoS/流量管理
    如上所述，客戶可能要求VPN就丟失率、抖動(dòng)、時(shí)延和帶寬保證等QoS參數(shù)提供同物理租用
線和專線一樣的保障，如何實(shí)現(xiàn)，是VPN節(jié)點(diǎn)自身和以及它所連接的接入和骨干網(wǎng)的流量管理功
能。
    對QoS和VPN的全面的討論超出了本文檔的范圍，然而如果把VPN隧道模型化為另一種類型的
鏈路層，許多為原來物理鏈路所開發(fā)的QoS機(jī)制仍然可以應(yīng)用，如，可以在一個(gè)VPN節(jié)點(diǎn)上，用
VPN參數(shù)、隊(duì)列和接口把策略機(jī)制、標(biāo)記機(jī)制、隊(duì)列機(jī)制、整形機(jī)制和進(jìn)程機(jī)制和應(yīng)用到VPN流
量上，就象非VPN流量一樣，Diffserv、Intserv和MPLS流量工程開發(fā)的技術(shù)在VPN流量上仍然可
用。見【29】對QoS和VPN的討論。
    然而，應(yīng)該注意的是，這個(gè)隧道操作模型不必和現(xiàn)在已經(jīng)模型化的隧道協(xié)議相一致，模型
只不過用來幫助理解，不是協(xié)議規(guī)范的一部分，如果模型不同會(huì)使討論復(fù)雜化，特別是當(dāng)模型
作為協(xié)議規(guī)范的一部分或者作為實(shí)現(xiàn)方法的強(qiáng)制性選擇被曲解時(shí)，例如，IPSec隧道處理過程可
以模型化為接口，也可以模型化為特別數(shù)據(jù)包流屬性。
3.2 建議
    需要強(qiáng)加密或者強(qiáng)認(rèn)證就需要IPSec，IPSec也支持復(fù)接和信令協(xié)議－－IKE，然而，為了支
持VPN環(huán)境的隧道要求，擴(kuò)展IPSec使其可以覆蓋下面的領(lǐng)域?qū)?huì)有更多好處。
－－建立SA時(shí)，傳輸VPN－ID（3.1.2）
－－空加密和空認(rèn)證（3.1.3)
－－多協(xié)議操作（3.1.4）
－－幀序列（3.1.5）
    L2TP自身不提供數(shù)據(jù)安全，PPP的任何安全機(jī)制并不應(yīng)用到L2TP自身，因此，為了提供強(qiáng)安
全性，L2TP必須運(yùn)行在IPSec之上，定義IPSec支持L2TP數(shù)據(jù)傳輸?shù)膶Ｓ貌僮髂Ｊ綄?huì)有助于互
操作性，L2TP的工作組正在做這樣的事情。

4.0 VPN類型：虛擬租用線
    最簡單的VPN形式是"虛擬租用線"（VLL）業(yè)務(wù)，在這種情況下，用戶僅僅得到了點(diǎn)到點(diǎn)
鏈接，連接了兩個(gè)CPE設(shè)備，如下圖所示。連接CPE設(shè)備到ISP節(jié)點(diǎn)的鏈路層可以是任何類型，如
ATM VCC或者FR電路等，CPE設(shè)備可以路由器、橋或者主機(jī)。
    兩個(gè)ISP節(jié)點(diǎn)都連接在IP骨干網(wǎng)上，IP隧道建立在二者之間，每個(gè)ISP節(jié)點(diǎn)在第二層（如ATM 
VCC和IP隧道）配置綁定樁鏈路和IP隧道，幀在兩條鏈路之間中繼，例如，ATM AAL5載荷封裝在
IPSec隧道中，AAL5載荷的內(nèi)容對ISP節(jié)點(diǎn)是不透明的，不被檢查。

               +--------+      -----------       +--------+
   +---+       | ISP    |     ( IP        )      | ISP    |      +---+
   |CPE|-------| edge   |-----( backbone  ) -----| edge   |------|CPE|
   +---+ ATM   | node   |     (           )      | node   |  ATM +---+
         VCC   +--------+      -----------       +--------+  VCC

                      <--------- IP Tunnel -------->

   10.1.1.5                subnet = 10.1.1.4/30              10.1.1.6
                    用戶所用地址（對業(yè)務(wù)提供者透明）
                        圖4.1:VLL用例
    對于用戶來說，就好像真的有一條ATM VCC或者FR電路連接兩個(gè)CPE似的，用戶感覺不到電
路部分實(shí)際上實(shí)現(xiàn)在IP骨干網(wǎng)上，這種做法有時(shí)候非常有好處，例如，業(yè)務(wù)提供者想用ATM作為
網(wǎng)絡(luò)接口提供LAN互聯(lián)業(yè)務(wù)，但是卻沒有直接連接所有用戶站點(diǎn)的ATM網(wǎng)絡(luò)。
    連接CPE設(shè)備到ISP節(jié)點(diǎn)的兩條鏈路可以不是同一種介質(zhì)類型，但這時(shí)ISP節(jié)點(diǎn)不能以如上所
述的不透明方式進(jìn)行數(shù)據(jù)傳輸。相反，ISP節(jié)點(diǎn)必須在兩種介質(zhì)類型（如ATM和幀中繼）中間執(zhí)
行設(shè)備互聯(lián)功能，如LLC/SNAP到NLPID轉(zhuǎn)換，進(jìn)行不同的ARP協(xié)議轉(zhuǎn)換，執(zhí)行CPE設(shè)備期望的任何
媒介處理，（如，ATM OAM信元或者幀中繼XID交換）。
    IP隧道協(xié)議必須支持多協(xié)議操作，如果序列功能對用戶數(shù)據(jù)傳輸很重要，可能還需要支持
序列。如果隧道是用信令協(xié)議建立的，當(dāng)從用戶鏈路收到一個(gè)幀并且這時(shí)隧道不存在，它們可
能以數(shù)據(jù)驅(qū)動(dòng)方式啟動(dòng)，或者，也可以預(yù)分配并且永久保持隧道。
    注意這里用到的VLL和Diffserv EF－PHB（Expedited Forwarding Per Hop Behaviour）定
義不同，后者指的是低時(shí)延、低抖動(dòng)、保證帶寬的通道，可以由PHB提供，因此它的重點(diǎn)放在鏈
路時(shí)間特性上。在這篇文檔里，VLL并不暗示任何特殊的如Diffserv或者其他的QoS機(jī)制，相反，
其重點(diǎn)是放在鏈路拓?fù)渖希ㄈ纾⒁粋€(gè)包含一個(gè)IP隧道的鏈路）。對于完全的鏈路層仿真，
時(shí)間和拓?fù)涮匦远夹枰紤]。

5.0 VPN類型：虛擬路由網(wǎng)絡(luò)
5.1 VPRN特性
    VPRN定義為用IP設(shè)施仿真廣域路由網(wǎng)絡(luò)，本節(jié)介紹如何提供基于網(wǎng)絡(luò)的VPRN業(yè)務(wù)，基于CPE
的VPRN也是可能的，但在這兒不作特別討論。基于網(wǎng)絡(luò)的VPRN所要解決的問題主要是配置和操
作，必須在業(yè)務(wù)提供商和業(yè)務(wù)用戶之間劃分管理責(zé)任。
    VPRN和其他VPN的不同之處就在于數(shù)據(jù)包轉(zhuǎn)發(fā)在網(wǎng)絡(luò)層，VPRN就是由ISP路由器之間的隧道
網(wǎng)組成，每個(gè)VPRN節(jié)點(diǎn)轉(zhuǎn)發(fā)數(shù)據(jù)的路由能力。附著在ISP路由器上的是通過一條或者多條鏈路（稱
為樁鏈路）連接的CPE路由器。在每個(gè)ISP路由器中有一個(gè)VPRN專用轉(zhuǎn)發(fā)表，VPRN的成員都連接
在上面，通過路由轉(zhuǎn)發(fā)表，數(shù)據(jù)可以在ISP路由器之間、ISP路由器和用戶站點(diǎn)之間轉(zhuǎn)發(fā)，表中
包含網(wǎng)絡(luò)層可達(dá)性信息（可以和VPLS比較，它的轉(zhuǎn)發(fā)表中包含MAC層可達(dá)性信息，7.0小節(jié)）。
    下圖是了一個(gè)VPRN的例子，示意了3個(gè)ISP邊緣路由器通過IP隧道網(wǎng)絡(luò)連接，互聯(lián)了4個(gè)CPE
路由器，其中一個(gè)CPE路由器在網(wǎng)絡(luò)上有多宿，它有多條樁鏈路，所有的鏈路可以都激活，也可
以讓其中的主鏈路激活，如果發(fā)生意外，備用鏈路再激活，術(shù)語"后門"鏈路指的是兩個(gè)用戶
之間沒有通過ISP網(wǎng)絡(luò)的鏈路。

   10.1.1.0/30 +--------+                       +--------+ 10.2.2.0/30
   +---+       | ISP    |     IP tunnel         | ISP    |       +---+
   |CPE|-------| edge   |<--------------------->| edge   |-------|CPE|
   +---+ stub  | router |     10.9.9.4/30       | router |  stub +---+
         link  +--------+                       +--------+  link   :
                |   ^  |                         |   ^             :
                |   |  |     ---------------     |   |             :
                |   |  +----(               )----+   |             :
                |   |       ( IP BACKBONE   )        |             :
                |   |       (               )        |             :
                |   |        ---------------         |             :
                |   |               |                |             :
                |   |IP tunnel  +--------+  IP tunnel|             :
                |   |           | ISP    |           |             :
                |   +---------->| edge   |<----------+             :
                |   10.9.9.8/30 | router | 10.9.9.12/30            :
          backup|               +--------+                 backdoor:
           link |                |      |                    link  :
                |      stub link |      |  stub link               :
                |                |      |                          :
                |             +---+    +---+                       :
                +-------------|CPE|    |CPE|.......................:
                10.3.3.0/30   +---+    +---+      10.4.4.0/30


                               圖5.1:VPRN實(shí)例

    VPRN的主要好處是CPE路由器的配置及其復(fù)雜性得到簡化，對于一個(gè)CPE路由器，ISP邊緣路
由器好像是用戶網(wǎng)絡(luò)的鄰路由器，它用缺省路由向其發(fā)送數(shù)據(jù)。數(shù)據(jù)傳輸隧道網(wǎng)的建立僅延伸
到ISP邊緣路由器，而不是CPE路由器，在效果上，隧道建立、維護(hù)和路由配置的負(fù)擔(dān)都交給了
ISP，此外，VPN所要求的其他服務(wù)如防火墻的提供、QoS處理也可以由一小部分ISP邊緣路由器
處理，CPE設(shè)備種類繁多，不適合處理這些功能，引入和管理新的業(yè)務(wù)也可以很容易解決，不必
去為CPE設(shè)備升級(jí)，當(dāng)本地使用VPN業(yè)務(wù)接入專用公司網(wǎng)絡(luò)的用戶非常多的時(shí)候，這樣做的好處
就更大了，該模型就像電話業(yè)務(wù)，不需改變用戶設(shè)備就可以引入新業(yè)務(wù)（如呼叫等待）。
    VPRN不同于那些把隧道口延伸到CPE路由器的VPN類型，那不過是由ISP提供層2連接罷了，
可以通過CPE路由器之間的VLL（見4.0)實(shí)現(xiàn)，即ISP網(wǎng)絡(luò)提供一系列的層2點(diǎn)到點(diǎn)鏈接；也可以
作為一個(gè)VPLS－－ISP仿真一個(gè)多接入LAN片，這種情況下用戶可能有更多的靈活性（如，任何
IGP或者任何協(xié)議可以運(yùn)行在用戶站點(diǎn)），但是配置復(fù)雜性造成了成本的昂貴，因此，需要根據(jù)
用戶的具體要求，有可能是VPRN，也有可能是VPLS。
    因?yàn)閂PRN在網(wǎng)絡(luò)層轉(zhuǎn)發(fā)，一個(gè)VPRN僅僅直接支持一個(gè)網(wǎng)絡(luò)層協(xié)議，對于多協(xié)議支持，可以
在各種網(wǎng)絡(luò)層協(xié)議上建立獨(dú)立的VPRN，或者讓一種協(xié)議在另一個(gè)網(wǎng)絡(luò)上（如，非IP網(wǎng)絡(luò)隧道到
IP VPRN）建立隧道，或者，讓ISP網(wǎng)絡(luò)僅僅提供層2連接，就像上面提到的VPLS。
    VPRN要解決的問題包括初始配置，就是ISP邊緣路由器所要確定的每個(gè)VPRN的鏈路集、在
VPRN擁有成員的其他路由器集、通過每個(gè)樁鏈路可達(dá)的IP地址前綴集，還包括CPE路由器確定的
準(zhǔn)備轉(zhuǎn)發(fā)到ISP邊緣路由器的IP地址前綴集、正確發(fā)布樁鏈接可達(dá)性信息的機(jī)制和運(yùn)載數(shù)據(jù)隧道
的建立和使用等等，還要注意的是，雖然我們在這里首先討論了VPRN，但是這里面的許多問題
也適合于后面的VPLS，只要把網(wǎng)絡(luò)層地址替換成鏈路層地址即可。
    注意，VPRN的操作類似于用戶站點(diǎn)訪問Internet的機(jī)制，一般情況情況是ISP邊緣路由器即
要為用戶提供VPRN連接，又要為用戶提供Internet連接，這時(shí)CPE路由器里有一個(gè)到ISP邊緣路
由器缺省的路由點(diǎn)，負(fù)責(zé)把私有數(shù)據(jù)轉(zhuǎn)送到VPRN，其他的數(shù)據(jù)流通轉(zhuǎn)送到Internet，在這兩個(gè)
域之間提供防火墻功能。當(dāng)然，用戶也可以通過不涉及VPRN的ISP路由器建立Internet連接，甚