3.1.8 最小隧道開銷
    減少隧道機制的開銷有許多好處，特別是傳輸諸如音頻視頻包等對抖動和時延比較敏感的
數據。另一方面，如果使用IPSec安全機制，也會強加自己的開銷，因此目標對象應該盡量減少
安全所需的開銷，不要加重那些對安全要求不太強烈的隧道負擔。
    當遠端撥號用戶使用自發隧道連接VPN時，由于撥入鏈接帶寬較低，開銷的大小就更顯得重
要了。6.3將討論這個問題。
3.1.9 流量和擁塞控制
    L2TP協議的開發過程已經制定了流量和擁塞控制的規程，這主要是因為在使用與IPComp
【28】不同的PPP壓縮時，要求在有損網絡上提供足夠的性能。另一個動機是讓設備盡量使用較
少的緩存，例如可以終止低速撥號線。然而，L2TP規范的最后版本僅僅為控制信道定義了流量
和擁塞控制機制，而沒有為數據信道定義。
    總的來說，多層流量和擁塞控制的交互作用是非常復雜的，但是當今占主導地位的TCP還是
有其自身的端到端流量和擁塞控制機制，但是真正在隧道協議中實現類似的機制卻不見得到底
會有多大好處，開發測試適應所有網絡條件的流量和擁塞控制方案是很困難的，有其自身的原
因，也有和其他類似方案理解上的原因。然而，讓發送者能夠知道接收者的接收能力，提供協
議機制、允許接收者把它的能力通過信令發送給發送方是很有幫助的。對該領域做進一步研究
可以獲益不少。
    也請我們注意一下IETF PILC工作組的工作，它正在對不同網絡鏈路的正確性如何影響
Internet協議在那些鏈路上的操作進行檢查。
3.1.10 QoS/流量管理
    如上所述，客戶可能要求VPN就丟失率、抖動、時延和帶寬保證等QoS參數提供同物理租用
線和專線一樣的保障，如何實現，是VPN節點自身和以及它所連接的接入和骨干網的流量管理功
能。
    對QoS和VPN的全面的討論超出了本文檔的范圍，然而如果把VPN隧道模型化為另一種類型的
鏈路層，許多為原來物理鏈路所開發的QoS機制仍然可以應用，如，可以在一個VPN節點上，用
VPN參數、隊列和接口把策略機制、標記機制、隊列機制、整形機制和進程機制和應用到VPN流
量上，就象非VPN流量一樣，Diffserv、Intserv和MPLS流量工程開發的技術在VPN流量上仍然可
用。見【29】對QoS和VPN的討論。
    然而，應該注意的是，這個隧道操作模型不必和現在已經模型化的隧道協議相一致，模型
只不過用來幫助理解，不是協議規范的一部分，如果模型不同會使討論復雜化，特別是當模型
作為協議規范的一部分或者作為實現方法的強制性選擇被曲解時，例如，IPSec隧道處理過程可
以模型化為接口，也可以模型化為特別數據包流屬性。
3.2 建議
    需要強加密或者強認證就需要IPSec，IPSec也支持復接和信令協議－－IKE，然而，為了支
持VPN環境的隧道要求，擴展IPSec使其可以覆蓋下面的領域將會有更多好處。
－－建立SA時，傳輸VPN－ID（3.1.2）
－－空加密和空認證（3.1.3)
－－多協議操作（3.1.4）
－－幀序列（3.1.5）
    L2TP自身不提供數據安全，PPP的任何安全機制并不應用到L2TP自身，因此，為了提供強安
全性，L2TP必須運行在IPSec之上，定義IPSec支持L2TP數據傳輸的專用操作模式將會有助于互
操作性，L2TP的工作組正在做這樣的事情。

4.0 VPN類型：虛擬租用線
    最簡單的VPN形式是"虛擬租用線"（VLL）業務，在這種情況下，用戶僅僅得到了點到點
鏈接，連接了兩個CPE設備，如下圖所示。連接CPE設備到ISP節點的鏈路層可以是任何類型，如
ATM VCC或者FR電路等，CPE設備可以路由器、橋或者主機。
    兩個ISP節點都連接在IP骨干網上，IP隧道建立在二者之間，每個ISP節點在第二層（如ATM 
VCC和IP隧道）配置綁定樁鏈路和IP隧道，幀在兩條鏈路之間中繼，例如，ATM AAL5載荷封裝在
IPSec隧道中，AAL5載荷的內容對ISP節點是不透明的，不被檢查。

               +--------+      -----------       +--------+
   +---+       | ISP    |     ( IP        )      | ISP    |      +---+
   |CPE|-------| edge   |-----( backbone  ) -----| edge   |------|CPE|
   +---+ ATM   | node   |     (           )      | node   |  ATM +---+
         VCC   +--------+      -----------       +--------+  VCC

                      <--------- IP Tunnel -------->

   10.1.1.5                subnet = 10.1.1.4/30              10.1.1.6
                    用戶所用地址（對業務提供者透明）
                        圖4.1:VLL用例
    對于用戶來說，就好像真的有一條ATM VCC或者FR電路連接兩個CPE似的，用戶感覺不到電
路部分實際上實現在IP骨干網上，這種做法有時候非常有好處，例如，業務提供者想用ATM作為
網絡接口提供LAN互聯業務，但是卻沒有直接連接所有用戶站點的ATM網絡。
    連接CPE設備到ISP節點的兩條鏈路可以不是同一種介質類型，但這時ISP節點不能以如上所
述的不透明方式進行數據傳輸。相反，ISP節點必須在兩種介質類型（如ATM和幀中繼）中間執
行設備互聯功能，如LLC/SNAP到NLPID轉換，進行不同的ARP協議轉換，執行CPE設備期望的任何
媒介處理，（如，ATM OAM信元或者幀中繼XID交換）。
    IP隧道協議必須支持多協議操作，如果序列功能對用戶數據傳輸很重要，可能還需要支持
序列。如果隧道是用信令協議建立的，當從用戶鏈路收到一個幀并且這時隧道不存在，它們可
能以數據驅動方式啟動，或者，也可以預分配并且永久保持隧道。
    注意這里用到的VLL和Diffserv EF－PHB（Expedited Forwarding Per Hop Behaviour）定
義不同，后者指的是低時延、低抖動、保證帶寬的通道，可以由PHB提供，因此它的重點放在鏈
路時間特性上。在這篇文檔里，VLL并不暗示任何特殊的如Diffserv或者其他的QoS機制，相反，
其重點是放在鏈路拓撲上，（如，建立一個包含一個IP隧道的鏈路）。對于完全的鏈路層仿真，
時間和拓撲特性都需要考慮。

5.0 VPN類型：虛擬路由網絡
5.1 VPRN特性
    VPRN定義為用IP設施仿真廣域路由網絡，本節介紹如何提供基于網絡的VPRN業務，基于CPE
的VPRN也是可能的，但在這兒不作特別討論。基于網絡的VPRN所要解決的問題主要是配置和操
作，必須在業務提供商和業務用戶之間劃分管理責任。
    VPRN和其他VPN的不同之處就在于數據包轉發在網絡層，VPRN就是由ISP路由器之間的隧道
網組成，每個VPRN節點轉發數據的路由能力。附著在ISP路由器上的是通過一條或者多條鏈路（稱
為樁鏈路）連接的CPE路由器。在每個ISP路由器中有一個VPRN專用轉發表，VPRN的成員都連接
在上面，通過路由轉發表，數據可以在ISP路由器之間、ISP路由器和用戶站點之間轉發，表中
包含網絡層可達性信息（可以和VPLS比較，它的轉發表中包含MAC層可達性信息，7.0小節）。
    下圖是了一個VPRN的例子，示意了3個ISP邊緣路由器通過IP隧道網絡連接，互聯了4個CPE
路由器，其中一個CPE路由器在網絡上有多宿，它有多條樁鏈路，所有的鏈路可以都激活，也可
以讓其中的主鏈路激活，如果發生意外，備用鏈路再激活，術語"后門"鏈路指的是兩個用戶
之間沒有通過ISP網絡的鏈路。

   10.1.1.0/30 +--------+                       +--------+ 10.2.2.0/30
   +---+       | ISP    |     IP tunnel         | ISP    |       +---+
   |CPE|-------| edge   |<--------------------->| edge   |-------|CPE|
   +---+ stub  | router |     10.9.9.4/30       | router |  stub +---+
         link  +--------+                       +--------+  link   :
                |   ^  |                         |   ^             :
                |   |  |     ---------------     |   |             :
                |   |  +----(               )----+   |             :
                |   |       ( IP BACKBONE   )        |             :
                |   |       (               )        |             :
                |   |        ---------------         |             :
                |   |               |                |             :
                |   |IP tunnel  +--------+  IP tunnel|             :
                |   |           | ISP    |           |             :
                |   +---------->| edge   |<----------+             :
                |   10.9.9.8/30 | router | 10.9.9.12/30            :
          backup|               +--------+                 backdoor:
           link |                |      |                    link  :
                |      stub link |      |  stub link               :
                |                |      |                          :
                |             +---+    +---+                       :
                +-------------|CPE|    |CPE|.......................:
                10.3.3.0/30   +---+    +---+      10.4.4.0/30


                               圖5.1:VPRN實例

    VPRN的主要好處是CPE路由器的配置及其復雜性得到簡化，對于一個CPE路由器，ISP邊緣路
由器好像是用戶網絡的鄰路由器，它用缺省路由向其發送數據。數據傳輸隧道網的建立僅延伸
到ISP邊緣路由器，而不是CPE路由器，在效果上，隧道建立、維護和路由配置的負擔都交給了
ISP，此外，VPN所要求的其他服務如防火墻的提供、QoS處理也可以由一小部分ISP邊緣路由器
處理，CPE設備種類繁多，不適合處理這些功能，引入和管理新的業務也可以很容易解決，不必
去為CPE設備升級，當本地使用VPN業務接入專用公司網絡的用戶非常多的時候，這樣做的好處
就更大了，該模型就像電話業務，不需改變用戶設備就可以引入新業務（如呼叫等待）。
    VPRN不同于那些把隧道口延伸到CPE路由器的VPN類型，那不過是由ISP提供層2連接罷了，
可以通過CPE路由器之間的VLL（見4.0)實現，即ISP網絡提供一系列的層2點到點鏈接；也可以
作為一個VPLS－－ISP仿真一個多接入LAN片，這種情況下用戶可能有更多的靈活性（如，任何
IGP或者任何協議可以運行在用戶站點），但是配置復雜性造成了成本的昂貴，因此，需要根據
用戶的具體要求，有可能是VPRN，也有可能是VPLS。
    因為VPRN在網絡層轉發，一個VPRN僅僅直接支持一個網絡層協議，對于多協議支持，可以
在各種網絡層協議上建立獨立的VPRN，或者讓一種協議在另一個網絡上（如，非IP網絡隧道到
IP VPRN）建立隧道，或者，讓ISP網絡僅僅提供層2連接，就像上面提到的VPLS。
    VPRN要解決的問題包括初始配置，就是ISP邊緣路由器所要確定的每個VPRN的鏈路集、在
VPRN擁有成員的其他路由器集、通過每個樁鏈路可達的IP地址前綴集，還包括CPE路由器確定的
準備轉發到ISP邊緣路由器的IP地址前綴集、正確發布樁鏈接可達性信息的機制和運載數據隧道
的建立和使用等等，還要注意的是，雖然我們在這里首先討論了VPRN，但是這里面的許多問題
也適合于后面的VPLS，只要把網絡層地址替換成鏈路層地址即可。
    注意，VPRN的操作類似于用戶站點訪問Internet的機制，一般情況情況是ISP邊緣路由器即
要為用戶提供VPRN連接，又要為用戶提供Internet連接，這時CPE路由器里有一個到ISP邊緣路
由器缺省的路由點，負責把私有數據轉送到VPRN，其他的數據流通轉送到Internet，在這兩個
域之間提供防火墻功能。當然，用戶也可以通過不涉及VPRN的ISP路由器建立Internet連接，甚