組織：中國互動出版網（http://www.china-pub.com/）
RFC文檔中文翻譯計劃（http://www.china-pub.com/compters/emook/aboutemook.htm）
E-mail：ouyang@china-pub.com
譯者：于德雷（于德雷 ydl_ldy@sina.com）
譯文發(fā)布時間：2001-7-1
版權：本中文翻譯文檔版權歸中國互動出版網所有?？梢杂糜诜巧虡I(yè)用途自由轉載，但必須保留本文檔的翻譯及版權信息。

IP VPN的框架體系
(A Framework for IP Based Virtual Private Networks)
文檔狀態(tài)：
為Internet社區(qū)提供信息，不描述任何形式的Internet標準。文檔的發(fā)布不受限制。

版權聲明：
    Copyright （C） The Internet Society（2000）。版權保留。
IESG 說明：本文不是IETF工作組的產品，IETF現在還沒有進行特別的VPN框架體系標準化。


摘要：
    本文描述了基于IP骨干網的VPN框架體系，討論了不同類型的VPN以及它們具體的要求，提
出了用當前的規(guī)范去實現這些VPN的機制。本文的目標是，為開發(fā)交互VPN解決方案的全范圍規(guī)
范集提供相關協(xié)議開發(fā)的框架。

目錄：
1.0 簡介：	2
2.0 VPN應用和實現要求：	3
2.1 總的要求：	3
2.2 基于CPE和基于網絡的VPN	4
2.3 VPN和外聯(lián)網	4
3.0 隧道技術：	5
3.1 VPN的隧道協(xié)議要求	5
3.2 建議	9
4.0 VPN類型：虛擬租用線	9
5.0 VPN類型：虛擬路由網絡	10
5.1 VPRN特性	10
5.1.3 轉發(fā)	12
5.2 VPRN相關的網絡	13
5.3 VPRN總要求	13
5.4 多宿樁路由器	19
5.5 多播支持	20
5.6 建議	21
6.0 VPN類型：虛擬專用撥號網	21
6.1 L2TP協(xié)議特性	21
6.2 強制隧道	23
6.3 自發(fā)隧道	24
6.4 網絡主機支持	26
6.5 建議	27
7.0 VPN類型：虛擬專用LAN片（Segment）	27
7.1 VPLS要求	28
7.2 建議	30
8.0 建議總結	30
9.0 安全考慮	31
10.0 鳴謝	31
11.0 參考資料	31
13.0 完全版權聲明	36
鳴謝	37


1.0 簡介：
    本文描述了基于IP骨干網的VPN框架，討論了不同類型的VPN以及它們具體的要求，提出了
用當前的規(guī)范去實現這些VPN的機制。本文的目標是，為開發(fā)交互VPN解決方案的全范圍規(guī)范集
提供相關協(xié)議開發(fā)的框架。
    在IP骨干網設施上開發(fā)VPN有非常重要的現實意義，然而，由于VPN的定義和涉及范圍缺乏
統(tǒng)一的要求，各種解決方案的描述有許多混淆，互操作性難以實現，VPN的開發(fā)也因此受到阻礙。
在眾多的文檔中，VPN經常只是簡單的定義為"用IP設施仿真專用廣域網"（這里所說的IP設施
包括公用Internet，以及專用IP骨干網），因而，VPN的類型就象廣域網一樣多，也因此產生了
好多混淆概念。
    在本文中，VPN模型化為一個連接對象，主機可以連接在VPN上，VPN之間可以互聯(lián)，就像以
前的主機連接在物理網絡上、物理網絡之間可以互聯(lián)（例如，通過橋或者路由器）一樣。網絡
特性的許多方面，如定址（Addressing）、轉發(fā)機制（Forwarding Mechanism）、學習（Learning）
和廣播可達性（Advertising Reachability）、業(yè)務質量（Quality of Service）、安全（Security）
和防火墻（Firewalling），在物理網絡上和虛擬網絡上都會有共同的解決方案，VPN中的許多
問題都會與原有的物理網絡有著類似的實現，引入VPN不是要重新發(fā)明一個網絡，不會與原來的
物理網絡截然不同，相反，如果認真考慮一下在物理網絡環(huán)境下問題的處理方法，再把相同的
原則應用在虛擬網絡上將會很有幫助，物理網絡和虛擬網絡運行機制的相似性方便了VPN的引
入，減少了標準和協(xié)議的開發(fā)。
    本文檔對各種VPN類型進行歸類，列出各種類型具體的應用、具體的要求以及實現的具體機
制，目的在于作為一個框架體系，為開發(fā)全范圍互操作VPN解決方案的相關討論提供指導。
    本文首先介紹了一些可能的VPN特例以及它們的實現，同時也將介紹一下基于CPE的解決方
案和基于網絡的解決方案的不同，然后呈現出VPN的各種類型和它們各自的要求，概要地描述它
們的實現方法，指出將來需要標準化的領域。
    需要注意的是，本文僅僅討論在IP骨干網上實現VPN，不論是在專用IP骨干網上，還是在公
共Internte上。所描述的機制和模型適用于IPv4以及IPv6。本文不討論用本地映射交換骨干網
手段構建VPN的方法－－例如用基于ATM的LAN仿真（LANE）或者多協(xié)議傳輸（MPOA）構建的VPN。
IP骨干網通過一些協(xié)議用互聯(lián)路由器建立在交換網絡之上，VPN討論的只是在IP網絡之上的操
作，因此不直接利用基礎網絡的本地機制。本地VPN限制在基礎骨干網的范圍之內，而基于IP
的VPN可以伸展到IP可達的任何地方。本地VPN協(xié)議顯然超出IETF的范圍，可以由象ATM論壇這樣
的組織去應付。（筆者按：該段中的本地是指native，不是local，不當之處，還請指教。）

2.0 VPN應用和實現要求：
2.1 總的要求：
    現在人們非常希望用IP VPN作為建立多站點通信專用網絡的有效手段，而不愿意繼續(xù)使用
以前建立物理專用網絡的方法。
    以前的專用網絡大致可以分為兩種：專線WAN，可以永久的把多個通信站點連接在一起；撥
號網絡，可以通過PSTN按需地連接一個或者多個通信點。
    WAN一般用租用線路或者專用電路實現－－如，用FR和ATM連接多個通信點。處于不同通信
站點的CPE路由器或者交換機把這些專用設施連接在一起，進行網絡互聯(lián)。由于這種專用設施的
成本、復雜性以及CPE設施配置的復雜性問題，這種網絡總起來說無法完全互聯(lián)，只不過具有某
些形式的等級拓撲罷了，例如，遠端辦公室可以直接連接在最近的區(qū)域辦公室，區(qū)域辦公室再
進行全互聯(lián)或者部分互聯(lián)。
    專用撥號網絡可以使遠端用戶通過PSTN或ISDN連接到企業(yè)網絡上，這一般通過一個或者多
個中心站點的NAS來實現，用戶撥入這樣的NAS，NAS和AAA服務器驗證用戶身份和被授權接收的
業(yè)務集。
    現在，更多的企業(yè)希望自己的專用網絡能夠快速接入Internet，因此開發(fā)基于CPE的VPN的
很有意義，因為覆蓋范圍和通信距離不大影響Internet服務的費用，這樣可以比專線和租線大
大降低成本。
    用Internet進行專用通信不是個新概念，以前就有許多技術能夠支持這類應用，如控制路
由泄漏。只是在最近才有合適的IP機制來滿足用戶建立VPN。這些機制的要求包括：
2.1.1 不透明包傳輸：
    運載在VPN上的數據可能與IP骨干網上的毫無關系，一方面因為這些數據是多協(xié)議的，另一
方面，用戶所使用的IP地址與IP骨干網數據傳輸所使用的IP地址可能就沒有什么關系，特別是，
用戶的IP網絡可能使用非唯一IP專用定址方案。
2.1.2 數據安全性
    用戶使用VPN需要一定形式的數據安全，不同VPN有不同的信任模型，一種模型是用戶不相
信業(yè)務提供商提供的任何形式的安全，他們會用實現了防火墻，使用了安全隧道互聯(lián)的CPE設備
去實現VPN，這種情況下業(yè)務提供商被僅僅用來傳輸IP包。
    另一種情況是用戶相信業(yè)務提供商可以提供一個安全管理的VPN業(yè)務，就像用戶相信公用FR
和ATM交換業(yè)務一樣，用戶相信數據包不會走錯方向，不會不經過授權就進入網絡，不會被竊聽，
不會被修改，不會被非授權方進行流量分析。
    在第二個模型中，提供防火墻功能和保護包傳輸的安全是業(yè)務提供商的責任，提供商的骨
干網中在不同場合下可能需要不同的安全等級。如果VPN的數據交易只發(fā)生在一個業(yè)務提供商的
IP骨干網中，那么就不大需要太高的安全機制（如IPSec）來提供的骨干網節(jié)點的隧道安全，如
果VPN數據交易橫跨了多個管理者的IP骨干網絡，啟用高安全機制就很有必要了。既然用戶認為
IP傳輸網（特別是Internet）是不安全的，即使單個業(yè)務提供商也可以為用戶數據交易建立高
水平安全機制，問題的理解取決于VPN的具體實現。
2.1.3 QoS保證
    除了保證通信的專有性，建立在物理層或者鏈路層上的專用網絡技術也提供不同類型的QoS
保證，租用線和撥號線都能夠提供帶寬和時延的保證，ATM和FR的專用連接也能夠提供類似的保
證，IP VPN在更廣的范圍采用之后，市場也需要這樣的保證，以便能夠保證端到端的應用透明
性。IP VPN的QoS保證主要依賴于基礎IP骨干網相應的能力，隨著它們的發(fā)展，VPN框架也必須
提供這樣的手段，讓VPN系統(tǒng)能夠利用這種能力。
2.1.4 隧道機制
    前面的兩條要求已經暗示了VPN的實現必須通過隧道機制，以便VPN的包格式和地址與IP骨
干網上的隧道包互不相干，隧道使用特定的格式，可以提供一定水平的數據安全，還可以通過
其他一些機制來加強（如IPSec）。
    另外，這樣的隧道機制可以隨著IP數據流量管理機制的發(fā)展而發(fā)展?，F在已經定義了許多
IP隧道機制，其中一些非常適合VPN應用，在3.0節(jié)中將會有詳細討論。
2.2 基于CPE和基于網絡的VPN
    現在大多數的VPN實現是基于CPE設備的，VPN的功能都集成在各種各樣的CPE設備之中，從
防火墻到WAN邊緣路由器以及特定的VPN終端設備，這樣的設備可以由用戶來購買和配置，也可
以由ISP以外包業(yè)務方式進行配置（常常是遠端管理）。
    基于網絡的VPN也很有意義，這時，VPN的整個操作作為一個ISP的外包資源實現在網絡上，
而不是用戶CPE上。使用這種方案，用戶可能減少技術支持費用，ISP可以增加收入。支持基于
網絡的VPN使得一些高效廉價的解決方案得以奏效，在眾多用戶之中支持普通的設備和操作。
    下面描述的好多機制即可應用于網絡VPN也可以應用于CPE VPN，但是一些特殊的機制可能