至通過一個不同的ISP，這時的CPE設備要完成不同域數據的分離以及提供防火墻功能。
5.1.1 拓撲
    VPRN的拓撲可能包括所有VPRN節點之間整個的隧道網，或者也可以是某些隧道的隨機拓撲，
如一系列遠端辦公室連接到最近的地區站點，地區站點再進行整個或者部分的連接。在IP隧道
建立的VPRN中，使用全網拓撲可以比直接分配物理資源（如，租用線）節省很大的費用，也比
那種要求資源分配在設備上的隧道方法（如，FR DLCI）要好。全網拓撲產生出優化路由，消除
了經過第三個節點為兩個直接相連的站點傳輸數據的必要性，全網拓撲的另一個吸引人的地方
是不需要配置VPRN的拓撲信息，對于VPRN的成員路由器來說，拓撲是隱式的。如果ISP邊緣路由
器的數量十分巨大，全網拓撲可能不太適合，因為這時涉及到升級問題，如，站點之間的隧道
數目會隨之增長，（n個站點，n（n－1）/2個隧道），每個路由器的路由對也會急劇增長。當
然也可能也會使用非全網拓撲的網絡策略，如網絡管理員可能希望兩個站點的流量經過中心站
點，而不是直接傳輸數據。對于IP骨干網，也需要考慮到由于某些錯誤造成的部分連接問題（如，
A可到B，B可到達C，但是A不能直接到達C），可以運用策略路由來解決這個問題。
    對于一個面向網絡的VPRN，假設用戶通過一條或者多條點到點鏈路（如，租用線，ATM或者
FR連接）連接到ISP邊緣路由器，ISP路由器要負責學習和發布它們之間可達性信息，CPE路由器
通過每條樁鏈路學習可達目的地集，雖然這可以象缺省路由一樣簡單。
    樁鏈路可以是預分配的專線，也可以是象用PPP、自發隧道（見6.3節）或者ATM信令等按需
分配的動態鏈路。動態鏈路需要認證用戶，確定用戶可以接入（如，用戶可以加入VPRN）的授
權資源。VPRN機制和業務可以由任何類型的用戶以任何方式使用，而不是讓用戶初始綁定VPRN，
（這種處理可能包括專門的考慮，如動態IP地址分配）。
5.1.2 定址
    VPRN里使用的地址和IP骨干網上的地址沒有什么關系，特別是VPRN可以使用非唯一專用IP
地址，多個VPRN可以實現在同一套物理設備上，它們可以使用相同的或者交疊的地址空間。
5.1.3 轉發
    對于一個VPRN，隧道網形成了IP骨干網上的交疊網絡，在每個ISP邊緣路由器中，必須有VPN
專用的轉發狀態來轉發從樁鏈路接收到的信息包，傳送到下一跳路由器，當ISP邊緣路由器支持
屬于同一VPRN的多鏈路時，作為本地事件，隧道可以終止在邊緣路由器上，也可以終止在樁鏈
路上，前者需要VPN專用的轉發路由表轉發流出的數據，后者不需要。為了把接收到的數據流量
導向正確的隧道，在數據來的方向中需要VPN專用轉發表。
    也因為VPRN工作在互聯網的網絡層，在隧道上發送的IP包也將有TTL域，以正常的模式操作，
防止信息包在VPRN的路由環中打轉。
5.1.4 多并發VPRN連接
    注意一個用戶站點也可能同時屬于多個VPRN，可能同時傳輸數據到一個或者多個VPRN或者
到缺省的Internet上，這一切都可以發生在同一個樁鏈路上。對于這個問題有好多解決辦法，
但是這超出本文的范圍。
5.2 VPRN相關的網絡
    VPRN的要求和機制在前面許多文檔中討論過了，其中的一個是【10】，討論的是如何在MPLS
和非MPLS網絡上實現相同的VPN功能，其他的一些在下面簡單描述。
    提供VPRN成員資格和可達性功能的機制有兩種主要的方式－－交疊式和背載式，下面的
5.3.2、5.3.3和5.3.4將詳細討論。【14】里描述了一個交疊式例子，討論的是通過分離每個VPN
路由協議實例和路由轉發表來實現VPRN功能，另一種辦法是通過虛路由來實現。每個VPN的路由
實例隔離于另一個VPN的路由實例，也隔離于骨干網的路由實例，結果是任何路由協議（如，
OSPF,RIP2，IS－IS）都可以運行在任何VPRN上，獨立于其他VPRN所運行的路由協議，也獨立于
骨干網自身的路由協議。【12】中描述的VPN模型是一種使用虛路由的交疊VPRN模型，重點放在
了在MPLS骨干網上提供VPRN功能，描述了基于MPLS隧道網的VPRN成員如何實現MPLS骨干網上的
自治。【31】擴展了虛路由模型，包括VPN區域，以及在VPN區域之間負責路由的VPN邊緣路由器，
VPN區域可以由管理以及技術原因定義，如不同的基礎網絡結構（如，ATM，MPLS，IP）。 
    相反，【15】描述了用背載方法提供成員資格和可達性信息發布等VPN功能，這些信息在BGP
【32】協議包上以背載方式操作，VPN用BGP策略構建，由它來控制哪些站點可以互相通信，【13】
也使用BGP背載成員信息和背載可達性信息來建立MPLS LSP（CR－LDP或者擴展RSVP），然而不
像其他的建議那樣，這個建議需要CPE實現VPN的某些功能。
5.3 VPRN總要求
    基于網絡的VPRN解決方案有許多的通用要求，也有許多機制可以用來滿足這些要求：
    1）全局唯一的VPN標識符，用來指一個特定的VPN。
    2）VPRN成員資格的確定。一個邊緣路由器必須學習本地每個VPRN樁鏈路，必須學習在該VPRN
中擁有成員的其他路由器集合。
    3）樁鏈路可達性信息。一個邊界路由器通過每個樁鏈路必須學習可達地址集和地址前綴集。
    4）內聯VPRN可達性信息，一旦邊緣路由器確定關聯于每個樁鏈路的地址前綴集，那么這個
信息必須發布到VPRN的每個邊緣路由器。
    5）隧道機制，一個邊緣路由器必須構建必要的隧道到另一個擁有VPRN成員的路由器，必須
執行必要的封裝和解封裝。
5.3.1 VPN標識符
    IETF和ATM論壇已經為標識VPN的全局唯一標識符標準化了一個獨立的格式－－VPN－ID，現
在只定義了VPN－ID的格式，沒有定義它的語法和用法。目標是允許它用于不同的目的，讓不同
技術以及機制使用同一個標識符。例如，一個VPN－ID可以包含在MIB中，標識一個VPN；VPN－
ID也可以用在控制平面上起到控制作用，例如在隧道建立時間綁定一個隧道，所有穿過隧道的
包就會隱式地關聯于標識了的VPN；VPN－ID也可以用在數據平面封裝，顯式地標識一個VPN包。
如果VPN用不同的技術實現，（如IP和ATM），可以用同一個VPN－ID在不同技術上標識VPN，同
樣，如果VPN橫跨幾個管理域，同一個標識符可以在任何域使用。
    大多數的VPN方案（如，【11】，【12】，【13】，【14】）都要求使用VPN－ID，或載在
控制包里，或載在數據包里，其作用是和特定VPN關聯一個數據包。雖然以這種方式VPN－ID的
使用非常普通，但是卻并不普遍。【15】描述了一種沒有VPN協議標識域的方案，這個方案里，
VPN由用戶理解，行政式的構建，用BGP策略建立。有許多關聯于VPN路由的屬性，如路由區別符
號、源或者目標"VPN"，由基礎協議機制使用，消除歧義，擴大使用范圍，這在用BGP策略機
制構建VPN中也使用，但是在其他的文檔中沒有相應的VPN－ID。
    也請注意，【33】也定義了一種使用標準VPN－ID格式在ATM AAL5上進行多協議封裝的格式。
5.3.2 VPN成員資格信息配置和發布
    為了建立一個VPRN，或者在VPRN中插入新的客戶，ISP邊緣路由器必須確定哪一個樁鏈路關
聯于哪一個VPRN，對于靜態鏈路（如，ATM VCC），這個信息必須配置進邊緣路由器，由于邊緣
路由器不能由自身推斷這樣的綁定，讓SNMP MIB允許本地樁鏈路和VPN身份之間的綁定不失為一
個解決方法。
    對于用戶來說，動態地連接在網絡上（用PPP或者自發隧道），可以把樁鏈路和VPRN關聯，
作為終端用戶認證處理的一部分，例如用戶所要綁定的VPRN可以繼承PPP認證處理的域名。如果
用戶成功的通過認證（如，用Radius服務器），新創建的動態鏈路可以綁定到正確的VPRN上，
注意，靜態的配置信息仍然是必要的，如為了維護每個VPRN的授權用戶表。但是靜態信息的位
置可以是認證服務器，而不是ISP的邊緣路由器，不論鏈路是靜態創建還是動態創建，VPN－ID
都可以關聯到那條鏈路上，標識綁定的VPRN。
    知道了哪條樁鏈路綁定在哪個VPRN上之后，每個邊緣路由器必須學習每個邊緣路由器支持
樁鏈路的身份，或者至少是可以到達它們的路由。后者隱示了這樣一個概念，那就是當前的配
置邊緣路由器所使用的機制，可以用邊緣路由器和樁鏈路身份信息建立合適的隧道。邊緣路由
器的VPRN成員資格發布問題，可以通過不同的途徑解決，將在后面討論。
5.3.2.1 目錄查找
    特定VPRN的成員，即支持樁鏈路的邊緣路由器身份，以及每個邊緣路由器綁定在這個VPRN
的靜態樁鏈路集，可以配置進一個目錄，通過在啟動時定義某些機制（如，LDAP），邊緣路由
器可以查詢它。
    使用目錄允許配置全網拓撲或者隨機拓撲，對于全網拓撲，VPRN中所有路由器成員表發布
到任何地方，對于一個隨機拓撲，不同的路由器可能收到不同的成員表。
    使用目錄也可以使認證校驗優先于VPRN成員信息的發布，當VPRN跨過幾個管理域時，這就
非常有必要了。這種情況下，目錄到目錄的協議機制可以在多管理域系統中傳播授權的VPRN成
員信息。
    為了讓所有的邊緣路由器知道插入進激活VPRN的每一個新配置站點的身份，以及原有站點
從VPRN中的移出，需要某種數據庫形式的同步機制（如，觸發目錄查詢，信息更新）。
5.3.2.2 顯式管理配置
    一個VPRN MIB定義為，允許一個管理系統把每個參與的邊緣路由器的身份、每個靜態樁鏈
路的身份配置每個邊緣路由器。就象使用目錄一樣，這種機制允許全網配置和隨機配置。另一
種機制是用一個中心管理系統，通過策略服務器和COPS協議【35】發布VPRN成員和策略信息，
如建立隧道時使用隧道屬性，如【36】所述。
    注意，這個機制允許管理站加強嚴格的認證控制，另一方面，在管理域之外配置邊緣路由
器卻十分困難，管理配置模型可作為一個目錄方法子集，這樣管理目錄可以用MIB把VPRN信息壓
到參與的邊緣路由器中，可以作為本地樁鏈路配置過程的結果或部分結果。
5.3.2.3 路由協議背載操作
    VPRN成員信息背載到邊緣路由器在IP骨干網上運行的路由協議中，因為這是一種通過網絡
向其他參與的邊緣路由器傳播信息的有效手段。特別是，每個邊緣路由器的路由通告可以包含
關聯于每個邊緣路由器VPN標識符集，以便讓另一個邊緣路由器確定特定邊緣路由器身份和路由
的足夠信息。其他邊緣路由器將檢查接收到路由通告，確定是否包含了支持VPRN的相關信息，
可以通過查找匹配于本地配置VPN的VPN標識符來完成。背載信息的特性、相關的問題（如范圍）
以及節點廣播特定VPN成員資格的方法將會得到確定，都將是路由協議和基礎傳輸的功能。
    使用這種方法，網絡中所有的路由器都將擁有VPRN成員信息的相同視圖，可以很容易的支
持全網拓撲，然而，要支持一個隨機拓撲卻是比較困難的，需要某些形式的剪除。
    背載方案的好處在于它有效的信息發布能力，但是它要求不僅僅參與到邊緣路由器上的節
點，而是通道上所有的節點，都要接受修改的路由廣播，這樣做的不好之處在于，這可能要求
復雜的配置范圍機制，既能允許又能限制背載廣播，這會加重配置負擔，特別是如果VPRN跨越
幾個路由域（如，不同自治系統、ISP）。
    另外，除非為路由更新使用某些安全機制，允許所有相關的路由器讀取背載廣播，否則，
只能由這個方案隱含一種信任模型，所有的路由器必須絕對地被授權知道這個信息。根據路由
協議的特性，背載也要求中間路由器，特別是自治系統邊緣路由器高速地緩沖這些廣播，也要
求多路由協議之間重發布他們。
    每個方案都在特定場合下有它們自身的優點，注意在實際中，幾乎總是有中心目錄或者管
理系統來維護VPRN成員信息，如允許支持一個特定VPRN的邊緣路由器集，支持靜態樁鏈路到VPRN
的綁定，支持通過動態鏈路為用戶接入網絡的認證和授權信息。這些信息需要配置存儲在某些
形式的數據庫中，因此也需要額外的步驟方便這種信息到邊緣路由器的配置，可能不是特別繁
重。
5.3.3 樁鏈路可達性信息
    樁站點可達性有兩個方面－－VPRN邊緣路由器確定VPRN地址集和地址前綴可達樁站點的手
段，以及CPE路由器通過樁鏈路學習目的地可達性的手段。無論是那一種情況，ISP邊緣路由器
需要的信息都是一樣的－－VPRN在客戶站點的可達地址，但是CPE路由器需要的信息各異。
5.3.3.1 樁鏈路連接的不同情況
5.3.3.1.1 雙VPRN和Internet連接
    CPE路由器通過一條鏈路連接到ISP邊緣路由器，得到VPRN和Internet連接的服務。
    這對于CPE路由器是最簡單的情況，它僅僅需要一個到ISP邊緣路由器缺省的路由點。
5.3.3.1.2 VPRN連接
    CPE通過一條鏈路連接到ISP邊緣路由器，僅僅得到VPRN連接，而不是Internet。
    CPE路由器必須知道通過那條鏈路可達的非本地VPRN目的地集，可能是一個簡單的前綴，也
可能是一系列的非結合前綴。CPE路由器可以是靜態配置，也可以通過IGP動態學習，為了簡單，