rfcrfc2764.txt

本程序为在linux下实现FTP传输文件的实现

至通过一个不同的ISP，这时的CPE设备要完成不同域数据的分离以及提供防火墙功能。
5.1.1 拓扑
    VPRN的拓扑可能包括所有VPRN节点之间整个的隧道网，或者也可以是某些隧道的随机拓扑，
如一系列远端办公室连接到最近的地区站点，地区站点再进行整个或者部分的连接。在IP隧道
建立的VPRN中，使用全网拓扑可以比直接分配物理资源（如，租用线）节省很大的费用，也比
那种要求资源分配在设备上的隧道方法（如，FR DLCI）要好。全网拓扑产生出优化路由，消除
了经过第三个节点为两个直接相连的站点传输数据的必要性，全网拓扑的另一个吸引人的地方
是不需要配置VPRN的拓扑信息，对于VPRN的成员路由器来说，拓扑是隐式的。如果ISP边缘路由
器的数量十分巨大，全网拓扑可能不太适合，因为这时涉及到升级问题，如，站点之间的隧道
数目会随之增长，（n个站点，n（n－1）/2个隧道），每个路由器的路由对也会急剧增长。当
然也可能也会使用非全网拓扑的网络策略，如网络管理员可能希望两个站点的流量经过中心站
点，而不是直接传输数据。对于IP骨干网，也需要考虑到由于某些错误造成的部分连接问题（如，
A可到B，B可到达C，但是A不能直接到达C），可以运用策略路由来解决这个问题。
    对于一个面向网络的VPRN，假设用户通过一条或者多条点到点链路（如，租用线，ATM或者
FR连接）连接到ISP边缘路由器，ISP路由器要负责学习和发布它们之间可达性信息，CPE路由器
通过每条桩链路学习可达目的地集，虽然这可以象缺省路由一样简单。
    桩链路可以是预分配的专线，也可以是象用PPP、自发隧道（见6.3节）或者ATM信令等按需
分配的动态链路。动态链路需要认证用户，确定用户可以接入（如，用户可以加入VPRN）的授
权资源。VPRN机制和业务可以由任何类型的用户以任何方式使用，而不是让用户初始绑定VPRN，
（这种处理可能包括专门的考虑，如动态IP地址分配）。
5.1.2 定址
    VPRN里使用的地址和IP骨干网上的地址没有什么关系，特别是VPRN可以使用非唯一专用IP
地址，多个VPRN可以实现在同一套物理设备上，它们可以使用相同的或者交叠的地址空间。
5.1.3 转发
    对于一个VPRN，隧道网形成了IP骨干网上的交叠网络，在每个ISP边缘路由器中，必须有VPN
专用的转发状态来转发从桩链路接收到的信息包，传送到下一跳路由器，当ISP边缘路由器支持
属于同一VPRN的多链路时，作为本地事件，隧道可以终止在边缘路由器上，也可以终止在桩链
路上，前者需要VPN专用的转发路由表转发流出的数据，后者不需要。为了把接收到的数据流量
导向正确的隧道，在数据来的方向中需要VPN专用转发表。
    也因为VPRN工作在互联网的网络层，在隧道上发送的IP包也将有TTL域，以正常的模式操作，
防止信息包在VPRN的路由环中打转。
5.1.4 多并发VPRN连接
    注意一个用户站点也可能同时属于多个VPRN，可能同时传输数据到一个或者多个VPRN或者
到缺省的Internet上，这一切都可以发生在同一个桩链路上。对于这个问题有好多解决办法，
但是这超出本文的范围。
5.2 VPRN相关的网络
    VPRN的要求和机制在前面许多文档中讨论过了，其中的一个是【10】，讨论的是如何在MPLS
和非MPLS网络上实现相同的VPN功能，其他的一些在下面简单描述。
    提供VPRN成员资格和可达性功能的机制有两种主要的方式－－交叠式和背载式，下面的
5.3.2、5.3.3和5.3.4将详细讨论。【14】里描述了一个交叠式例子，讨论的是通过分离每个VPN
路由协议实例和路由转发表来实现VPRN功能，另一种办法是通过虚路由来实现。每个VPN的路由
实例隔离于另一个VPN的路由实例，也隔离于骨干网的路由实例，结果是任何路由协议（如，
OSPF,RIP2，IS－IS）都可以运行在任何VPRN上，独立于其他VPRN所运行的路由协议，也独立于
骨干网自身的路由协议。【12】中描述的VPN模型是一种使用虚路由的交叠VPRN模型，重点放在
了在MPLS骨干网上提供VPRN功能，描述了基于MPLS隧道网的VPRN成员如何实现MPLS骨干网上的
自治。【31】扩展了虚路由模型，包括VPN区域，以及在VPN区域之间负责路由的VPN边缘路由器，
VPN区域可以由管理以及技术原因定义，如不同的基础网络结构（如，ATM，MPLS，IP）。 
    相反，【15】描述了用背载方法提供成员资格和可达性信息发布等VPN功能，这些信息在BGP
【32】协议包上以背载方式操作，VPN用BGP策略构建，由它来控制哪些站点可以互相通信，【13】
也使用BGP背载成员信息和背载可达性信息来建立MPLS LSP（CR－LDP或者扩展RSVP），然而不
像其他的建议那样，这个建议需要CPE实现VPN的某些功能。
5.3 VPRN总要求
    基于网络的VPRN解决方案有许多的通用要求，也有许多机制可以用来满足这些要求：
    1）全局唯一的VPN标识符，用来指一个特定的VPN。
    2）VPRN成员资格的确定。一个边缘路由器必须学习本地每个VPRN桩链路，必须学习在该VPRN
中拥有成员的其他路由器集合。
    3）桩链路可达性信息。一个边界路由器通过每个桩链路必须学习可达地址集和地址前缀集。
    4）内联VPRN可达性信息，一旦边缘路由器确定关联于每个桩链路的地址前缀集，那么这个
信息必须发布到VPRN的每个边缘路由器。
    5）隧道机制，一个边缘路由器必须构建必要的隧道到另一个拥有VPRN成员的路由器，必须
执行必要的封装和解封装。
5.3.1 VPN标识符
    IETF和ATM论坛已经为标识VPN的全局唯一标识符标准化了一个独立的格式－－VPN－ID，现
在只定义了VPN－ID的格式，没有定义它的语法和用法。目标是允许它用于不同的目的，让不同
技术以及机制使用同一个标识符。例如，一个VPN－ID可以包含在MIB中，标识一个VPN；VPN－
ID也可以用在控制平面上起到控制作用，例如在隧道建立时间绑定一个隧道，所有穿过隧道的
包就会隐式地关联于标识了的VPN；VPN－ID也可以用在数据平面封装，显式地标识一个VPN包。
如果VPN用不同的技术实现，（如IP和ATM），可以用同一个VPN－ID在不同技术上标识VPN，同
样，如果VPN横跨几个管理域，同一个标识符可以在任何域使用。
    大多数的VPN方案（如，【11】，【12】，【13】，【14】）都要求使用VPN－ID，或载在
控制包里，或载在数据包里，其作用是和特定VPN关联一个数据包。虽然以这种方式VPN－ID的
使用非常普通，但是却并不普遍。【15】描述了一种没有VPN协议标识域的方案，这个方案里，
VPN由用户理解，行政式的构建，用BGP策略建立。有许多关联于VPN路由的属性，如路由区别符
号、源或者目标"VPN"，由基础协议机制使用，消除歧义，扩大使用范围，这在用BGP策略机
制构建VPN中也使用，但是在其他的文档中没有相应的VPN－ID。
    也请注意，【33】也定义了一种使用标准VPN－ID格式在ATM AAL5上进行多协议封装的格式。
5.3.2 VPN成员资格信息配置和发布
    为了建立一个VPRN，或者在VPRN中插入新的客户，ISP边缘路由器必须确定哪一个桩链路关
联于哪一个VPRN，对于静态链路（如，ATM VCC），这个信息必须配置进边缘路由器，由于边缘
路由器不能由自身推断这样的绑定，让SNMP MIB允许本地桩链路和VPN身份之间的绑定不失为一
个解决方法。
    对于用户来说，动态地连接在网络上（用PPP或者自发隧道），可以把桩链路和VPRN关联，
作为终端用户认证处理的一部分，例如用户所要绑定的VPRN可以继承PPP认证处理的域名。如果
用户成功的通过认证（如，用Radius服务器），新创建的动态链路可以绑定到正确的VPRN上，
注意，静态的配置信息仍然是必要的，如为了维护每个VPRN的授权用户表。但是静态信息的位
置可以是认证服务器，而不是ISP的边缘路由器，不论链路是静态创建还是动态创建，VPN－ID
都可以关联到那条链路上，标识绑定的VPRN。
    知道了哪条桩链路绑定在哪个VPRN上之后，每个边缘路由器必须学习每个边缘路由器支持
桩链路的身份，或者至少是可以到达它们的路由。后者隐示了这样一个概念，那就是当前的配
置边缘路由器所使用的机制，可以用边缘路由器和桩链路身份信息建立合适的隧道。边缘路由
器的VPRN成员资格发布问题，可以通过不同的途径解决，将在后面讨论。
5.3.2.1 目录查找
    特定VPRN的成员，即支持桩链路的边缘路由器身份，以及每个边缘路由器绑定在这个VPRN
的静态桩链路集，可以配置进一个目录，通过在启动时定义某些机制（如，LDAP），边缘路由
器可以查询它。
    使用目录允许配置全网拓扑或者随机拓扑，对于全网拓扑，VPRN中所有路由器成员表发布
到任何地方，对于一个随机拓扑，不同的路由器可能收到不同的成员表。
    使用目录也可以使认证校验优先于VPRN成员信息的发布，当VPRN跨过几个管理域时，这就
非常有必要了。这种情况下，目录到目录的协议机制可以在多管理域系统中传播授权的VPRN成
员信息。
    为了让所有的边缘路由器知道插入进激活VPRN的每一个新配置站点的身份，以及原有站点
从VPRN中的移出，需要某种数据库形式的同步机制（如，触发目录查询，信息更新）。
5.3.2.2 显式管理配置
    一个VPRN MIB定义为，允许一个管理系统把每个参与的边缘路由器的身份、每个静态桩链
路的身份配置每个边缘路由器。就象使用目录一样，这种机制允许全网配置和随机配置。另一
种机制是用一个中心管理系统，通过策略服务器和COPS协议【35】发布VPRN成员和策略信息，
如建立隧道时使用隧道属性，如【36】所述。
    注意，这个机制允许管理站加强严格的认证控制，另一方面，在管理域之外配置边缘路由
器却十分困难，管理配置模型可作为一个目录方法子集，这样管理目录可以用MIB把VPRN信息压
到参与的边缘路由器中，可以作为本地桩链路配置过程的结果或部分结果。
5.3.2.3 路由协议背载操作
    VPRN成员信息背载到边缘路由器在IP骨干网上运行的路由协议中，因为这是一种通过网络
向其他参与的边缘路由器传播信息的有效手段。特别是，每个边缘路由器的路由通告可以包含
关联于每个边缘路由器VPN标识符集，以便让另一个边缘路由器确定特定边缘路由器身份和路由
的足够信息。其他边缘路由器将检查接收到路由通告，确定是否包含了支持VPRN的相关信息，
可以通过查找匹配于本地配置VPN的VPN标识符来完成。背载信息的特性、相关的问题（如范围）
以及节点广播特定VPN成员资格的方法将会得到确定，都将是路由协议和基础传输的功能。
    使用这种方法，网络中所有的路由器都将拥有VPRN成员信息的相同视图，可以很容易的支
持全网拓扑，然而，要支持一个随机拓扑却是比较困难的，需要某些形式的剪除。
    背载方案的好处在于它有效的信息发布能力，但是它要求不仅仅参与到边缘路由器上的节
点，而是通道上所有的节点，都要接受修改的路由广播，这样做的不好之处在于，这可能要求
复杂的配置范围机制，既能允许又能限制背载广播，这会加重配置负担，特别是如果VPRN跨越
几个路由域（如，不同自治系统、ISP）。
    另外，除非为路由更新使用某些安全机制，允许所有相关的路由器读取背载广播，否则，
只能由这个方案隐含一种信任模型，所有的路由器必须绝对地被授权知道这个信息。根据路由
协议的特性，背载也要求中间路由器，特别是自治系统边缘路由器高速地缓冲这些广播，也要
求多路由协议之间重发布他们。
    每个方案都在特定场合下有它们自身的优点，注意在实际中，几乎总是有中心目录或者管
理系统来维护VPRN成员信息，如允许支持一个特定VPRN的边缘路由器集，支持静态桩链路到VPRN
的绑定，支持通过动态链路为用户接入网络的认证和授权信息。这些信息需要配置存储在某些
形式的数据库中，因此也需要额外的步骤方便这种信息到边缘路由器的配置，可能不是特别繁
重。
5.3.3 桩链路可达性信息
    桩站点可达性有两个方面－－VPRN边缘路由器确定VPRN地址集和地址前缀可达桩站点的手
段，以及CPE路由器通过桩链路学习目的地可达性的手段。无论是那一种情况，ISP边缘路由器
需要的信息都是一样的－－VPRN在客户站点的可达地址，但是CPE路由器需要的信息各异。
5.3.3.1 桩链路连接的不同情况
5.3.3.1.1 双VPRN和Internet连接
    CPE路由器通过一条链路连接到ISP边缘路由器，得到VPRN和Internet连接的服务。
    这对于CPE路由器是最简单的情况，它仅仅需要一个到ISP边缘路由器缺省的路由点。
5.3.3.1.2 VPRN连接
    CPE通过一条链路连接到ISP边缘路由器，仅仅得到VPRN连接，而不是Internet。
    CPE路由器必须知道通过那条链路可达的非本地VPRN目的地集，可能是一个简单的前缀，也
可能是一系列的非结合前缀。CPE路由器可以是静态配置，也可以通过IGP动态学习，为了简单，