分类: 系统运维
2008-03-25 09:39:27
本备忘录状态
ThisdocumentspecifiesanInternetstandardstrackprotocolforthe
Internetcommunity,andrequestsdiscussionandsuggestionsfor
improvements.Pleaserefertothecurrenteditionofthe"Internet
OfficialProtocolStandards"(STD1)forthestandardizationstate
andstatusofthisprotocol.Distributionofthismemoisunlimited.
版权声明
Copyright(C)TheInternetSociety(1999).AllRightsReserved.
摘要
虚拟专用IP网络可能跨越多个自动系统(AS)和服务供应商(SP)。为了能表示
一个特定的虚拟专用网(VPN),需要使用一个全球唯一的VPN标志符。本文档提出
了一种用于一个全球唯一的VPN标志符的格式。
1.介绍
因为公共因特网全球性地扩展和延伸它的基础网,人们对其基础网进行开发的决定
导致了对基于IP的虚拟专用网的普遍兴趣。一个虚拟专用网就是在公共或共享的基础
网上模拟一个专用的IP网络。虚拟专用网对服务供应商和他的客户都有利。对客户而
言,一个虚拟专用网可以通过intranet、extranet、和拨号服务将一个公司网络的IP容
量延伸到远方办公室和/或用户。这种节约了设备投资、操作和服务的连接将以较低的
价格提供给用户。服务供应商将更好的利用他的基础网和网络经验为用户提供IP
VPN连接和/或服务。
现在有许多种实现IPVPN服务的方法。这个基于IP的虚拟专用网文档[1]标识
出四类可被支持的虚拟专用网:虚拟租用线路,虚拟专用路由网络,虚拟专用拨号网络,
和虚拟专用局域网段。此外,大量的draft和白皮书概述了服务供应商和/或服务供应
商的客户用来得到这个服务的方法。解决方案可以是基于客户的或是基于网络的。基于
网络的解决方案可以在第二层和/或第三层提供连接和服务。为了满足这种解决方案而
包含的设备有客户前提设备(CPE),服务供应商边缘设备,服务供应商核心设备,或
这些设备的一些组合。
在各种不同的虚拟专用网服务实现方法被讨论的同时,大家都同意下面两个观点:
因为一个VPN是专用的,它就可以使用一个与其它VPN或公共因特网的地址空
间相重叠的专用地址空间。
一个虚拟专用IP网络可能跨越多个自动系统(AS)和服务供应商(SP)。
这第一点在一个VPN中的一个IP地址仅在此VPN内有意义。因此,有必要标识
出一特定IP地址在一个VPN中的意义,及此IP地址的“范围”。
这第二点指出对一单一的VPN而言,可能有几种VPN服务的方法被用于为它提
供连接和服务。不同的服务供应商可能根据他们的基础网和经验采用不同的策略。所以
希望能用同一个VPN标志符标识出任何存在于任意层和荣誉地点的特定虚拟专用网。
2.全球性的虚拟专用网标志符
一个VPN-ID的用途就是标识一个虚拟专用网。这个标志符,可以根据VPN服务
实现方法的不同而不同。例如,VPN-ID可以被包含:
- 在MIB中以为一个VPN配置属性,或给一个特定的VPN分配一个物理的或
逻辑的访问接口。
- 在一个控制或数据包中,以标识出一个专用IP地址的“范围”和这个数据包
所属的VPN。
必须能标识出与一个数据包相关的VPN。这个VPN-ID可以被用于或者显式地(如
通过在一个封装头中包含此VPN-ID[2]),或者模糊地(如通过在一个信令交
换中包含此VPN-ID[3])来作出这个关联。必须慎重地评估以其它方式使用此VPN-
ID的恰当性。
此处有另一个此VPN-ID可适用的重要功能。这个VPN标志符可以被用于定义负
责协调由此VPN实现的连接和服务的“VPN权威”。这个VPN权威可以是专用网络
的员或者是主要的服务供应商。这个VPN权威将作为此VPN联接的主要节点来
这个VPN。这个VPN权威可以开放一些功能和连接,与此VPN包含的各个服务
供应商建立约定,并且协调此VPN的配置、性能和出错。
这些功能要求一个虚拟专用网是全球范围的,并且可用于各种解决方案。为了成
为一个真正的全球性的VPN标志符,此格式不能强制以共享网络为前提,反之,此格
式将不能以禁止使用共享网络的特性的方式来被定义。必须注意的是同一VPN可以在
同一共享网络的不同层中被标识出来。如和IP层。同一个VPN-ID格式和值应
该可适用于这两层。
使用VPN-ID的方法超出了本文档的范围。
3. 全球性的虚拟专用网标志符格式的要求
此全球虚拟专用网标志符格式应该满足下列的要求:
- 跨越多个服务供应商提供一个可用的全球唯一的虚拟专用网标志符。
- 可以支持一个不属于IP的VPN-ID以用于第二层VPN中。
- 在虚拟专用网标志符中标识出VPN权威。
4.全球性的虚拟专用网标志符格式
这个全球性的虚拟专用网标志符格式是:
3字节的VPN权威组织的唯一的标志符[4]后跟随着4字节的根据组织的唯一
的标志符(OUI)标识VPN的VPN索引。
012345678
+-+-+-+-+-+-+-+-+
|VPNOUI(MSB)|
+-+-+-+-+-+-+-+-+
|VPNOUI|
+-+-+-+-+-+-+-+-+
|VPNOUI(LSB)|
+-+-+-+-+-+-+-+-+
|VPNIndex(MSB)|
+-+-+-+-+-+-+-+-+
|VPNIndex|
+-+-+-+-+-+-+-+-+
|VPNIndex|
+-+-+-+-+-+-+-+-+
|VPNIndex(LSB)|
+-+-+-+-+-+-+-+-+
VPNOUI(IEEE802-1990组织的唯一的标志符)标识了VPN权威。这个VPN权
威将作为首要的VPN员。这个VPN权威可以是此VPN所属的公司/组织,或是
使用它自己和/或其他供应商的共享网络提供基础网络结构的一个服务供应商。这个
4字节的VPN索引标识了一个由此VPN权威服务的特定VPN。
5.安全方面的考虑
本文档定义了全球性的VPN标志符的格式但没有指定用法。然而,将特定的属性
和性能与一个虚拟专用网标志符相关联需要使用标准的带有任何指定用法的安全的进
程。对虚拟专用网标志符的错误配置或蓄意强制可能导致包括不同的虚拟专用网互连
的不同的对安全的破坏。