rfc2764.txt

RFC规范的翻译稿

3.1.8 最小隧道开销
    减少隧道机制的开销有许多好处，特别是传输诸如音频视频包等对抖动和时延比较敏感的
数据。另一方面，如果使用IPSec安全机制，也会强加自己的开销，因此目标对象应该尽量减少
安全所需的开销，不要加重那些对安全要求不太强烈的隧道负担。
    当远端拨号用户使用自发隧道连接VPN时，由于拨入链接带宽较低，开销的大小就更显得重
要了。6.3将讨论这个问题。
3.1.9 流量和拥塞控制
    L2TP协议的开发过程已经制定了流量和拥塞控制的规程，这主要是因为在使用与IPComp
【28】不同的PPP压缩时，要求在有损网络上提供足够的性能。另一个动机是让设备尽量使用较
少的缓存，例如可以终止低速拨号线。然而，L2TP规范的最后版本仅仅为控制信道定义了流量
和拥塞控制机制，而没有为数据信道定义。
    总的来说，多层流量和拥塞控制的交互作用是非常复杂的，但是当今占主导地位的TCP还是
有其自身的端到端流量和拥塞控制机制，但是真正在隧道协议中实现类似的机制却不见得到底
会有多大好处，开发测试适应所有网络条件的流量和拥塞控制方案是很困难的，有其自身的原
因，也有和其他类似方案理解上的原因。然而，让发送者能够知道接收者的接收能力，提供协
议机制、允许接收者把它的能力通过信令发送给发送方是很有帮助的。对该领域做进一步研究
可以获益不少。
    也请我们注意一下IETF PILC工作组的工作，它正在对不同网络链路的正确性如何影响
Internet协议在那些链路上的操作进行检查。
3.1.10 QoS/流量管理
    如上所述，客户可能要求VPN就丢失率、抖动、时延和带宽保证等QoS参数提供同物理租用
线和专线一样的保障，如何实现，是VPN节点自身和以及它所连接的接入和骨干网的流量管理功
能。
    对QoS和VPN的全面的讨论超出了本文档的范围，然而如果把VPN隧道模型化为另一种类型的
链路层，许多为原来物理链路所开发的QoS机制仍然可以应用，如，可以在一个VPN节点上，用
VPN参数、队列和接口把策略机制、标记机制、队列机制、整形机制和进程机制和应用到VPN流
量上，就象非VPN流量一样，Diffserv、Intserv和MPLS流量工程开发的技术在VPN流量上仍然可
用。见【29】对QoS和VPN的讨论。
    然而，应该注意的是，这个隧道操作模型不必和现在已经模型化的隧道协议相一致，模型
只不过用来帮助理解，不是协议规范的一部分，如果模型不同会使讨论复杂化，特别是当模型
作为协议规范的一部分或者作为实现方法的强制性选择被曲解时，例如，IPSec隧道处理过程可
以模型化为接口，也可以模型化为特别数据包流属性。
3.2 建议
    需要强加密或者强认证就需要IPSec，IPSec也支持复接和信令协议－－IKE，然而，为了支
持VPN环境的隧道要求，扩展IPSec使其可以覆盖下面的领域将会有更多好处。
－－建立SA时，传输VPN－ID（3.1.2）
－－空加密和空认证（3.1.3)
－－多协议操作（3.1.4）
－－帧序列（3.1.5）
    L2TP自身不提供数据安全，PPP的任何安全机制并不应用到L2TP自身，因此，为了提供强安
全性，L2TP必须运行在IPSec之上，定义IPSec支持L2TP数据传输的专用操作模式将会有助于互
操作性，L2TP的工作组正在做这样的事情。

4.0 VPN类型：虚拟租用线
    最简单的VPN形式是"虚拟租用线"（VLL）业务，在这种情况下，用户仅仅得到了点到点
链接，连接了两个CPE设备，如下图所示。连接CPE设备到ISP节点的链路层可以是任何类型，如
ATM VCC或者FR电路等，CPE设备可以路由器、桥或者主机。
    两个ISP节点都连接在IP骨干网上，IP隧道建立在二者之间，每个ISP节点在第二层（如ATM 
VCC和IP隧道）配置绑定桩链路和IP隧道，帧在两条链路之间中继，例如，ATM AAL5载荷封装在
IPSec隧道中，AAL5载荷的内容对ISP节点是不透明的，不被检查。

               +--------+      -----------       +--------+
   +---+       | ISP    |     ( IP        )      | ISP    |      +---+
   |CPE|-------| edge   |-----( backbone  ) -----| edge   |------|CPE|
   +---+ ATM   | node   |     (           )      | node   |  ATM +---+
         VCC   +--------+      -----------       +--------+  VCC

                      <--------- IP Tunnel -------->

   10.1.1.5                subnet = 10.1.1.4/30              10.1.1.6
                    用户所用地址（对业务提供者透明）
                        图4.1:VLL用例
    对于用户来说，就好像真的有一条ATM VCC或者FR电路连接两个CPE似的，用户感觉不到电
路部分实际上实现在IP骨干网上，这种做法有时候非常有好处，例如，业务提供者想用ATM作为
网络接口提供LAN互联业务，但是却没有直接连接所有用户站点的ATM网络。
    连接CPE设备到ISP节点的两条链路可以不是同一种介质类型，但这时ISP节点不能以如上所
述的不透明方式进行数据传输。相反，ISP节点必须在两种介质类型（如ATM和帧中继）中间执
行设备互联功能，如LLC/SNAP到NLPID转换，进行不同的ARP协议转换，执行CPE设备期望的任何
媒介处理，（如，ATM OAM信元或者帧中继XID交换）。
    IP隧道协议必须支持多协议操作，如果序列功能对用户数据传输很重要，可能还需要支持
序列。如果隧道是用信令协议建立的，当从用户链路收到一个帧并且这时隧道不存在，它们可
能以数据驱动方式启动，或者，也可以预分配并且永久保持隧道。
    注意这里用到的VLL和Diffserv EF－PHB（Expedited Forwarding Per Hop Behaviour）定
义不同，后者指的是低时延、低抖动、保证带宽的通道，可以由PHB提供，因此它的重点放在链
路时间特性上。在这篇文档里，VLL并不暗示任何特殊的如Diffserv或者其他的QoS机制，相反，
其重点是放在链路拓扑上，（如，建立一个包含一个IP隧道的链路）。对于完全的链路层仿真，
时间和拓扑特性都需要考虑。

5.0 VPN类型：虚拟路由网络
5.1 VPRN特性
    VPRN定义为用IP设施仿真广域路由网络，本节介绍如何提供基于网络的VPRN业务，基于CPE
的VPRN也是可能的，但在这儿不作特别讨论。基于网络的VPRN所要解决的问题主要是配置和操
作，必须在业务提供商和业务用户之间划分管理责任。
    VPRN和其他VPN的不同之处就在于数据包转发在网络层，VPRN就是由ISP路由器之间的隧道
网组成，每个VPRN节点转发数据的路由能力。附着在ISP路由器上的是通过一条或者多条链路（称
为桩链路）连接的CPE路由器。在每个ISP路由器中有一个VPRN专用转发表，VPRN的成员都连接
在上面，通过路由转发表，数据可以在ISP路由器之间、ISP路由器和用户站点之间转发，表中
包含网络层可达性信息（可以和VPLS比较，它的转发表中包含MAC层可达性信息，7.0小节）。
    下图是了一个VPRN的例子，示意了3个ISP边缘路由器通过IP隧道网络连接，互联了4个CPE
路由器，其中一个CPE路由器在网络上有多宿，它有多条桩链路，所有的链路可以都激活，也可
以让其中的主链路激活，如果发生意外，备用链路再激活，术语"后门"链路指的是两个用户
之间没有通过ISP网络的链路。

   10.1.1.0/30 +--------+                       +--------+ 10.2.2.0/30
   +---+       | ISP    |     IP tunnel         | ISP    |       +---+
   |CPE|-------| edge   |<--------------------->| edge   |-------|CPE|
   +---+ stub  | router |     10.9.9.4/30       | router |  stub +---+
         link  +--------+                       +--------+  link   :
                |   ^  |                         |   ^             :
                |   |  |     ---------------     |   |             :
                |   |  +----(               )----+   |             :
                |   |       ( IP BACKBONE   )        |             :
                |   |       (               )        |             :
                |   |        ---------------         |             :
                |   |               |                |             :
                |   |IP tunnel  +--------+  IP tunnel|             :
                |   |           | ISP    |           |             :
                |   +---------->| edge   |<----------+             :
                |   10.9.9.8/30 | router | 10.9.9.12/30            :
          backup|               +--------+                 backdoor:
           link |                |      |                    link  :
                |      stub link |      |  stub link               :
                |                |      |                          :
                |             +---+    +---+                       :
                +-------------|CPE|    |CPE|.......................:
                10.3.3.0/30   +---+    +---+      10.4.4.0/30


                               图5.1:VPRN实例

    VPRN的主要好处是CPE路由器的配置及其复杂性得到简化，对于一个CPE路由器，ISP边缘路
由器好像是用户网络的邻路由器，它用缺省路由向其发送数据。数据传输隧道网的建立仅延伸
到ISP边缘路由器，而不是CPE路由器，在效果上，隧道建立、维护和路由配置的负担都交给了
ISP，此外，VPN所要求的其他服务如防火墙的提供、QoS处理也可以由一小部分ISP边缘路由器
处理，CPE设备种类繁多，不适合处理这些功能，引入和管理新的业务也可以很容易解决，不必
去为CPE设备升级，当本地使用VPN业务接入专用公司网络的用户非常多的时候，这样做的好处
就更大了，该模型就像电话业务，不需改变用户设备就可以引入新业务（如呼叫等待）。
    VPRN不同于那些把隧道口延伸到CPE路由器的VPN类型，那不过是由ISP提供层2连接罢了，
可以通过CPE路由器之间的VLL（见4.0)实现，即ISP网络提供一系列的层2点到点链接；也可以
作为一个VPLS－－ISP仿真一个多接入LAN片，这种情况下用户可能有更多的灵活性（如，任何
IGP或者任何协议可以运行在用户站点），但是配置复杂性造成了成本的昂贵，因此，需要根据
用户的具体要求，有可能是VPRN，也有可能是VPLS。
    因为VPRN在网络层转发，一个VPRN仅仅直接支持一个网络层协议，对于多协议支持，可以
在各种网络层协议上建立独立的VPRN，或者让一种协议在另一个网络上（如，非IP网络隧道到
IP VPRN）建立隧道，或者，让ISP网络仅仅提供层2连接，就像上面提到的VPLS。
    VPRN要解决的问题包括初始配置，就是ISP边缘路由器所要确定的每个VPRN的链路集、在
VPRN拥有成员的其他路由器集、通过每个桩链路可达的IP地址前缀集，还包括CPE路由器确定的
准备转发到ISP边缘路由器的IP地址前缀集、正确发布桩链接可达性信息的机制和运载数据隧道
的建立和使用等等，还要注意的是，虽然我们在这里首先讨论了VPRN，但是这里面的许多问题
也适合于后面的VPLS，只要把网络层地址替换成链路层地址即可。
    注意，VPRN的操作类似于用户站点访问Internet的机制，一般情况情况是ISP边缘路由器即
要为用户提供VPRN连接，又要为用户提供Internet连接，这时CPE路由器里有一个到ISP边缘路
由器缺省的路由点，负责把私有数据转送到VPRN，其他的数据流通转送到Internet，在这两个
域之间提供防火墙功能。当然，用户也可以通过不涉及VPRN的ISP路由器建立Internet连接，甚