rfcrfc2764.txt

本程序为在linux下实现FTP传输文件的实现

组织：中国互动出版网（http://www.china-pub.com/）
RFC文档中文翻译计划（http://www.china-pub.com/compters/emook/aboutemook.htm）
E-mail：ouyang@china-pub.com
译者：于德雷（于德雷 ydl_ldy@sina.com）
译文发布时间：2001-7-1
版权：本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载，但必须保留本文档的翻译及版权信息。

IP VPN的框架体系
(A Framework for IP Based Virtual Private Networks)
文档状态：
为Internet社区提供信息，不描述任何形式的Internet标准。文档的发布不受限制。

版权声明：
    Copyright （C） The Internet Society（2000）。版权保留。
IESG 说明：本文不是IETF工作组的产品，IETF现在还没有进行特别的VPN框架体系标准化。


摘要：
    本文描述了基于IP骨干网的VPN框架体系，讨论了不同类型的VPN以及它们具体的要求，提
出了用当前的规范去实现这些VPN的机制。本文的目标是，为开发交互VPN解决方案的全范围规
范集提供相关协议开发的框架。

目录：
1.0 简介：	2
2.0 VPN应用和实现要求：	3
2.1 总的要求：	3
2.2 基于CPE和基于网络的VPN	4
2.3 VPN和外联网	4
3.0 隧道技术：	5
3.1 VPN的隧道协议要求	5
3.2 建议	9
4.0 VPN类型：虚拟租用线	9
5.0 VPN类型：虚拟路由网络	10
5.1 VPRN特性	10
5.1.3 转发	12
5.2 VPRN相关的网络	13
5.3 VPRN总要求	13
5.4 多宿桩路由器	19
5.5 多播支持	20
5.6 建议	21
6.0 VPN类型：虚拟专用拨号网	21
6.1 L2TP协议特性	21
6.2 强制隧道	23
6.3 自发隧道	24
6.4 网络主机支持	26
6.5 建议	27
7.0 VPN类型：虚拟专用LAN片（Segment）	27
7.1 VPLS要求	28
7.2 建议	30
8.0 建议总结	30
9.0 安全考虑	31
10.0 鸣谢	31
11.0 参考资料	31
13.0 完全版权声明	36
鸣谢	37


1.0 简介：
    本文描述了基于IP骨干网的VPN框架，讨论了不同类型的VPN以及它们具体的要求，提出了
用当前的规范去实现这些VPN的机制。本文的目标是，为开发交互VPN解决方案的全范围规范集
提供相关协议开发的框架。
    在IP骨干网设施上开发VPN有非常重要的现实意义，然而，由于VPN的定义和涉及范围缺乏
统一的要求，各种解决方案的描述有许多混淆，互操作性难以实现，VPN的开发也因此受到阻碍。
在众多的文档中，VPN经常只是简单的定义为"用IP设施仿真专用广域网"（这里所说的IP设施
包括公用Internet，以及专用IP骨干网），因而，VPN的类型就象广域网一样多，也因此产生了
好多混淆概念。
    在本文中，VPN模型化为一个连接对象，主机可以连接在VPN上，VPN之间可以互联，就像以
前的主机连接在物理网络上、物理网络之间可以互联（例如，通过桥或者路由器）一样。网络
特性的许多方面，如定址（Addressing）、转发机制（Forwarding Mechanism）、学习（Learning）
和广播可达性（Advertising Reachability）、业务质量（Quality of Service）、安全（Security）
和防火墙（Firewalling），在物理网络上和虚拟网络上都会有共同的解决方案，VPN中的许多
问题都会与原有的物理网络有着类似的实现，引入VPN不是要重新发明一个网络，不会与原来的
物理网络截然不同，相反，如果认真考虑一下在物理网络环境下问题的处理方法，再把相同的
原则应用在虚拟网络上将会很有帮助，物理网络和虚拟网络运行机制的相似性方便了VPN的引
入，减少了标准和协议的开发。
    本文档对各种VPN类型进行归类，列出各种类型具体的应用、具体的要求以及实现的具体机
制，目的在于作为一个框架体系，为开发全范围互操作VPN解决方案的相关讨论提供指导。
    本文首先介绍了一些可能的VPN特例以及它们的实现，同时也将介绍一下基于CPE的解决方
案和基于网络的解决方案的不同，然后呈现出VPN的各种类型和它们各自的要求，概要地描述它
们的实现方法，指出将来需要标准化的领域。
    需要注意的是，本文仅仅讨论在IP骨干网上实现VPN，不论是在专用IP骨干网上，还是在公
共Internte上。所描述的机制和模型适用于IPv4以及IPv6。本文不讨论用本地映射交换骨干网
手段构建VPN的方法－－例如用基于ATM的LAN仿真（LANE）或者多协议传输（MPOA）构建的VPN。
IP骨干网通过一些协议用互联路由器建立在交换网络之上，VPN讨论的只是在IP网络之上的操
作，因此不直接利用基础网络的本地机制。本地VPN限制在基础骨干网的范围之内，而基于IP
的VPN可以伸展到IP可达的任何地方。本地VPN协议显然超出IETF的范围，可以由象ATM论坛这样
的组织去应付。（笔者按：该段中的本地是指native，不是local，不当之处，还请指教。）

2.0 VPN应用和实现要求：
2.1 总的要求：
    现在人们非常希望用IP VPN作为建立多站点通信专用网络的有效手段，而不愿意继续使用
以前建立物理专用网络的方法。
    以前的专用网络大致可以分为两种：专线WAN，可以永久的把多个通信站点连接在一起；拨
号网络，可以通过PSTN按需地连接一个或者多个通信点。
    WAN一般用租用线路或者专用电路实现－－如，用FR和ATM连接多个通信点。处于不同通信
站点的CPE路由器或者交换机把这些专用设施连接在一起，进行网络互联。由于这种专用设施的
成本、复杂性以及CPE设施配置的复杂性问题，这种网络总起来说无法完全互联，只不过具有某
些形式的等级拓扑罢了，例如，远端办公室可以直接连接在最近的区域办公室，区域办公室再
进行全互联或者部分互联。
    专用拨号网络可以使远端用户通过PSTN或ISDN连接到企业网络上，这一般通过一个或者多
个中心站点的NAS来实现，用户拨入这样的NAS，NAS和AAA服务器验证用户身份和被授权接收的
业务集。
    现在，更多的企业希望自己的专用网络能够快速接入Internet，因此开发基于CPE的VPN的
很有意义，因为覆盖范围和通信距离不大影响Internet服务的费用，这样可以比专线和租线大
大降低成本。
    用Internet进行专用通信不是个新概念，以前就有许多技术能够支持这类应用，如控制路
由泄漏。只是在最近才有合适的IP机制来满足用户建立VPN。这些机制的要求包括：
2.1.1 不透明包传输：
    运载在VPN上的数据可能与IP骨干网上的毫无关系，一方面因为这些数据是多协议的，另一
方面，用户所使用的IP地址与IP骨干网数据传输所使用的IP地址可能就没有什么关系，特别是，
用户的IP网络可能使用非唯一IP专用定址方案。
2.1.2 数据安全性
    用户使用VPN需要一定形式的数据安全，不同VPN有不同的信任模型，一种模型是用户不相
信业务提供商提供的任何形式的安全，他们会用实现了防火墙，使用了安全隧道互联的CPE设备
去实现VPN，这种情况下业务提供商被仅仅用来传输IP包。
    另一种情况是用户相信业务提供商可以提供一个安全管理的VPN业务，就像用户相信公用FR
和ATM交换业务一样，用户相信数据包不会走错方向，不会不经过授权就进入网络，不会被窃听，
不会被修改，不会被非授权方进行流量分析。
    在第二个模型中，提供防火墙功能和保护包传输的安全是业务提供商的责任，提供商的骨
干网中在不同场合下可能需要不同的安全等级。如果VPN的数据交易只发生在一个业务提供商的
IP骨干网中，那么就不大需要太高的安全机制（如IPSec）来提供的骨干网节点的隧道安全，如
果VPN数据交易横跨了多个管理者的IP骨干网络，启用高安全机制就很有必要了。既然用户认为
IP传输网（特别是Internet）是不安全的，即使单个业务提供商也可以为用户数据交易建立高
水平安全机制，问题的理解取决于VPN的具体实现。
2.1.3 QoS保证
    除了保证通信的专有性，建立在物理层或者链路层上的专用网络技术也提供不同类型的QoS
保证，租用线和拨号线都能够提供带宽和时延的保证，ATM和FR的专用连接也能够提供类似的保
证，IP VPN在更广的范围采用之后，市场也需要这样的保证，以便能够保证端到端的应用透明
性。IP VPN的QoS保证主要依赖于基础IP骨干网相应的能力，随着它们的发展，VPN框架也必须
提供这样的手段，让VPN系统能够利用这种能力。
2.1.4 隧道机制
    前面的两条要求已经暗示了VPN的实现必须通过隧道机制，以便VPN的包格式和地址与IP骨
干网上的隧道包互不相干，隧道使用特定的格式，可以提供一定水平的数据安全，还可以通过
其他一些机制来加强（如IPSec）。
    另外，这样的隧道机制可以随着IP数据流量管理机制的发展而发展。现在已经定义了许多
IP隧道机制，其中一些非常适合VPN应用，在3.0节中将会有详细讨论。
2.2 基于CPE和基于网络的VPN
    现在大多数的VPN实现是基于CPE设备的，VPN的功能都集成在各种各样的CPE设备之中，从
防火墙到WAN边缘路由器以及特定的VPN终端设备，这样的设备可以由用户来购买和配置，也可
以由ISP以外包业务方式进行配置（常常是远端管理）。
    基于网络的VPN也很有意义，这时，VPN的整个操作作为一个ISP的外包资源实现在网络上，
而不是用户CPE上。使用这种方案，用户可能减少技术支持费用，ISP可以增加收入。支持基于
网络的VPN使得一些高效廉价的解决方案得以奏效，在众多用户之中支持普通的设备和操作。
    下面描述的好多机制即可应用于网络VPN也可以应用于CPE VPN，但是一些特殊的机制可能