RFC2685 虚拟专用网标志符

本备忘录状态
ThisdocumentspecifiesanInternetstandardstrackprotocolforthe
Internetcommunity,andrequestsdiscussionandsuggestionsfor
improvements.Pleaserefertothecurrenteditionofthe"Internet
OfficialProtocolStandards"(STD1)forthestandardizationstate
andstatusofthisprotocol.Distributionofthismemoisunlimited.

版权声明
Copyright(C)TheInternetSociety(1999).AllRightsReserved.

摘要
虚拟专用IP网络可能跨越多个自动系统（AS）和服务供应商（SP）。为了能表示
一个特定的虚拟专用网（VPN），需要使用一个全球唯一的VPN标志符。本文档提出
了一种用于一个全球唯一的VPN标志符的格式。
1.介绍
因为公共因特网全球性地扩展和延伸它的基础网，人们对其基础网进行开发的决定
导致了对基于IP的虚拟专用网的普遍兴趣。一个虚拟专用网就是在公共或共享的基础
网上模拟一个专用的IP网络。虚拟专用网对服务供应商和他的客户都有利。对客户而
言，一个虚拟专用网可以通过intranet、extranet、和拨号服务将一个公司网络的IP容
量延伸到远方办公室和／或用户。这种节约了设备投资、操作和服务的连接将以较低的
价格提供给用户。服务供应商将更好的利用他的基础网和网络管理经验为用户提供IP
VPN连接和／或服务。
现在有许多种实现IPVPN服务的方法。这个基于IP的虚拟专用网文档［1］标识
出四类可被支持的虚拟专用网：虚拟租用线路，虚拟专用路由网络，虚拟专用拨号网络，
和虚拟专用局域网段。此外，大量的draft和白皮书概述了服务供应商和／或服务供应
商的客户用来得到这个服务的方法。解决方案可以是基于客户的或是基于网络的。基于
网络的解决方案可以在第二层和／或第三层提供连接和服务。为了满足这种解决方案而
包含的设备有客户前提设备（CPE），服务供应商边缘设备，服务供应商核心设备，或
这些设备的一些组合。
在各种不同的虚拟专用网服务实现方法被讨论的同时，大家都同意下面两个观点：
因为一个VPN是专用的，它就可以使用一个与其它VPN或公共因特网的地址空
间相重叠的专用地址空间。
一个虚拟专用IP网络可能跨越多个自动系统（AS）和服务供应商（SP）。
这第一点在一个VPN中的一个IP地址仅在此VPN内有意义。因此，有必要标识
出一特定IP地址在一个VPN中的意义，及此IP地址的“范围”。
这第二点指出对一单一的VPN而言，可能有几种VPN服务的方法被用于为它提
供连接和服务。不同的服务供应商可能根据他们的基础网和经验采用不同的策略。所以
希望能用同一个VPN标志符标识出任何存在于任意层和荣誉地点的特定虚拟专用网。
2.全球性的虚拟专用网标志符
　　　　一个VPN-ID的用途就是标识一个虚拟专用网。这个标志符，可以根据VPN服务
实现方法的不同而不同。例如，VPN-ID可以被包含：
　　－　在MIB中以为一个VPN配置属性，或给一个特定的VPN分配一个物理的或
　　　　逻辑的访问接口。
　　　　－　在一个控制或数据包中，以标识出一个专用IP地址的“范围”和这个数据包
　　　　　　所属的VPN。
　　　　
　　　　必须能标识出与一个数据包相关的VPN。这个VPN-ID可以被用于或者显式地（如
通过在一个封装头中包含此VPN-ID［2］），或者模糊地（如通过在一个ATM信令交
换中包含此VPN-ID［3］）来作出这个关联。必须慎重地评估以其它方式使用此VPN-
ID的恰当性。

　　　　此处有另一个此VPN-ID可适用的重要功能。这个VPN标志符可以被用于定义负
责协调由此VPN实现的连接和服务的“VPN权威”。这个VPN权威可以是专用网络
的管理员或者是主要的服务供应商。这个VPN权威将作为此VPN联接的主要节点来
管理这个VPN。这个VPN权威可以开放一些功能和连接，与此VPN包含的各个服务
供应商建立约定协议，并且协调此VPN的配置、性能和出错管理。
　　这些功能要求一个虚拟专用网是全球范围的，并且可用于各种解决方案。为了成
为一个真正的全球性的VPN标志符，此格式不能强制以共享网络为前提，反之，此格
式将不能以禁止使用共享网络的特性的方式来被定义。必须注意的是同一VPN可以在
同一共享网络的不同层中被标识出来。如ATM和IP层。同一个VPN-ID格式和值应
该可适用于这两层。
　　　　使用VPN-ID的方法超出了本文档的范围。
　　　　
3. 全球性的虚拟专用网标志符格式的要求
　此全球虚拟专用网标志符格式应该满足下列的要求：
　－　跨越多个服务供应商提供一个可用的全球唯一的虚拟专用网标志符。
　－　可以支持一个不属于IP的VPN-ID以用于第二层VPN中。
　－　在虚拟专用网标志符中标识出VPN权威。
4.全球性的虚拟专用网标志符格式
　　　　这个全球性的虚拟专用网标志符格式是：
　　　　3字节的VPN权威组织的唯一的标志符［4］后跟随着4字节的根据组织的唯一
　　的标志符（OUI）标识VPN的VPN索引。
　　
012345678
+-+-+-+-+-+-+-+-+
|VPNOUI(MSB)|
+-+-+-+-+-+-+-+-+
|VPNOUI|
+-+-+-+-+-+-+-+-+
|VPNOUI(LSB)|
+-+-+-+-+-+-+-+-+
|VPNIndex(MSB)|
+-+-+-+-+-+-+-+-+
|VPNIndex|
+-+-+-+-+-+-+-+-+
|VPNIndex|
+-+-+-+-+-+-+-+-+
|VPNIndex(LSB)|
+-+-+-+-+-+-+-+-+

　　　　VPNOUI（IEEE802-1990组织的唯一的标志符）标识了VPN权威。这个VPN权
威将作为首要的VPN管理员。这个VPN权威可以是此VPN所属的公司／组织，或是
使用它自己和／或其他供应商的共享网络提供基础网络结构的一个服务供应商。这个
4字节的VPN索引标识了一个由此VPN权威服务的特定VPN。
5.安全方面的考虑
　　　　本文档定义了全球性的VPN标志符的格式但没有指定用法。然而，将特定的属性
和性能与一个虚拟专用网标志符相关联需要使用标准的带有任何指定用法的安全的进
程。对虚拟专用网标志符的错误配置或蓄意强制可能导致包括不同的虚拟专用网互连
的不同的对安全的破坏。

• · 基于IPX协议的SNMP
• · FTP安全考虑
• · 标准互联网络管理框架第三版介绍
• · SMTP服务认证扩展
• · RFC2547 BGP/MPLS VPNs
• · DNS安全操作考虑
• · BSD 的远程登陆
• · IPv6保留的子网任意传送地址
• · 基准术语用于网络互连设备
• · 在以太网上传输PPP的方法（PPPoE）
• · 实验性MIB到标准MIB的重新分配
• · 文本IPv6地址在URL上的格式
• · 为使用SNMP定义Trap的惯例
• · IS-IS(中间系统)主机名动态交换机制
• · 超文本缓存协议(HTCP/0.0)
• · TCP/IP指南
• · 使用KEA和SKIPJACK加密
• · HTTP扩展框架
• · 用于文本交谈的RTP负载
• · IP地址分配（4）
• · BGP路由反射
• · 因特网延迟交谈：体系结构
• · Internet延迟交谈：通道管理
• · Internet 交换交谈：服务器协议
• · TLS之上的HTTP
• · 呼叫处理语言的构架与必要条件
• · IP地址分配（2）
• · 针对LDAP的验证方法
• · IP地址分配（1）
• · IEEE 1394的DHCP
• · 用于实时指针的RTP负载格式
• · RADIUS（远程用户拨号认证系统）记帐协议
• · RADIUS计费对于支持隧道协议的修正
• · 基于TCP/IP网络的管理结构和标记
• · 一个IP电话路由框架
• · 局域网（LAN）交换设备基准（测试）方法
• · GRE的Key和Sequence Number扩展
• · OSI IS-IS 域内路由协议（4）