本備忘錄狀態
ThisdocumentspecifiesanInternetstandardstrackPRotocolforthe
Internetcommunity,andrequestsdiscussionandsuggestionsfor
improvements.Pleaserefertothecurrenteditionofthe"Internet
OfficialProtocolStandards"(STD1)forthestandardizationstate
andstatusofthisprotocol.Distributionofthismemoisunlimited.

版權聲明
Copyright(C)TheInternetSociety(1999).AllRightsReserved.

摘要
虛擬專用ip網絡可能跨越多個自動系統（AS）和服務供給商（SP）。為了能表示
一個特定的虛擬專用網（VPN），需要使用一個全球唯一的VPN標志符。本文檔提出
了一種用于一個全球唯一的VPN標志符的格式。
1.介紹
因為公共因特網全球性地擴展和延伸它的基礎網，人們對其基礎網進行開發的決定
導致了對基于IP的虛擬專用網的普遍愛好。一個虛擬專用網就是在公共或共享的基礎
網上模擬一個專用的IP網絡。虛擬專用網對服務供給商和他的客戶都有利。對客戶而
言，一個虛擬專用網可以通過intranet、extranet、和撥號服務將一個公司網絡的IP容
量延伸到遠方辦公室和／或用戶。這種節約了設備投資、操作和服務的連接將以較低的
價格提供給用戶。服務供給商將更好的利用他的基礎網和網絡治理經驗為用戶提供IP
VPN連接和／或服務。
現在有許多種實現IPVPN服務的方法。這個基于IP的虛擬專用網文檔［1］標識
出四類可被支持的虛擬專用網：虛擬租用線路，虛擬專用路由網絡，虛擬專用撥號網絡，
和虛擬專用局域網段。此外，大量的draft和白皮書概述了服務供給商和／或服務供給
商的客戶用來得到這個服務的方法。解決方案可以是基于客戶的或是基于網絡的。基于
網絡的解決方案可以在第二層和／或第三層提供連接和服務。為了滿足這種解決方案而
包含的設備有客戶前提設備（CPE），服務供給商邊緣設備，服務供給商核心設備，或
這些設備的一些組合。
在各種不同的虛擬專用網服務實現方法被討論的同時，大家都同意下面兩個觀點：
因為一個VPN是專用的，它就可以使用一個與其它VPN或公共因特網的地址空
間相重疊的專用地址空間。
一個虛擬專用IP網絡可能跨越多個自動系統（AS）和服務供給商（SP）。
這第一點在一個VPN中的一個IP地址僅在此VPN內有意義。因此，有必要標識
出一特定IP地址在一個VPN中的意義，及此IP地址的“范圍”。
這第二點指出對一單一的VPN而言，可能有幾種VPN服務的方法被用于為它提
供連接和服務。不同的服務供給商可能根據他們的基礎網和經驗采用不同的策略。所以
希望能用同一個VPN標志符標識出任何存在于任意層和榮譽地點的特定虛擬專用網。
2.全球性的虛擬專用網標志符
　　　　一個VPN-ID的用途就是標識一個虛擬專用網。這個標志符，可以根據VPN服務
實現方法的不同而不同。例如，VPN-ID可以被包含：
　　－　在MIB中以為一個VPN配置屬性，或給一個特定的VPN分配一個物理的或
　　　　邏輯的訪問接口。
　　　　－　在一個控制或數據包中，以標識出一個專用IP地址的“范圍”和這個數據包
　　　　　　所屬的VPN。
　　　　
　　　　必須能標識出與一個數據包相關的VPN。這個VPN-ID可以被用于或者顯式地（如
通過在一個封裝頭中包含此VPN-ID［2］），或者模糊地（如通過在一個ATM信令交
換中包含此VPN-ID［3］）來作出這個關聯。必須慎重地評估以其它方式使用此VPN-
ID的恰當性。

　　　　此處有另一個此VPN-ID可適用的重要功能。這個VPN標志符可以被用于定義負
責協調由此VPN實現的連接和服務的“VPN權威”。這個VPN權威可以是專用網絡
的治理員或者是主要的服務供給商。這個VPN權威將作為此VPN聯接的主要節點來
治理這個VPN。這個VPN權威可以開放一些功能和連接，與此VPN包含的各個服務
供給商建立約定協議，并且協調此VPN的配置、性能和出錯治理。
　　這些功能要求一個虛擬專用網是全球范圍的，并且可用于各種解決方案。為了成
為一個真正的全球性的VPN標志符，此格式不能強制以共享網絡為前提，反之，此格
式將不能以禁止使用共享網絡的特性的方式來被定義。必須注重的是同一VPN可以在
同一共享網絡的不同層中被標識出來。如ATM和IP層。同一個VPN-ID格式和值應
該可適用于這兩層。
　　　　使用VPN-ID的方法超出了本文檔的范圍。
　　　　
3. 全球性的虛擬專用網標志符格式的要求
　此全球虛擬專用網標志符格式應該滿足下列的要求：
　－　跨越多個服務供給商提供一個可用的全球唯一的虛擬專用網標志符。
　－　可以支持一個不屬于IP的VPN-ID以用于第二層VPN中。
　－　在虛擬專用網標志符中標識出VPN權威。
4.全球性的虛擬專用網標志符格式
　　　　這個全球性的虛擬專用網標志符格式是：
　　　　3字節的VPN權威組織的唯一的標志符［4］后跟隨著4字節的根據組織的唯一
　　的標志符（OUI）標識VPN的VPN索引。
　　
012345678
+-+-+-+-+-+-+-+-+
VPNOUI(MSB)
+-+-+-+-+-+-+-+-+
VPNOUI
+-+-+-+-+-+-+-+-+
VPNOUI(LSB)
+-+-+-+-+-+-+-+-+
VPNIndex(MSB)
+-+-+-+-+-+-+-+-+
VPNIndex
+-+-+-+-+-+-+-+-+
VPNIndex
+-+-+-+-+-+-+-+-+
VPNIndex(LSB)
+-+-+-+-+-+-+-+-+

　　　　VPNOUI（IEEE802-1990組織的唯一的標志符）標識了VPN權威。這個VPN權
威將作為首要的VPN治理員。這個VPN權威可以是此VPN所屬的公司／組織，或是
使用它自己和／或其他供給商的共享網絡提供基礎網絡結構的一個服務供給商。這個
4字節的VPN索引標識了一個由此VPN權威服務的特定VPN。
5.安全方面的考慮
　　　　本文檔定義了全球性的VPN標志符的格式但沒有指定用法。然而，將特定的屬性
和性能與一個虛擬專用網標志符相關聯需要使用標準的帶有任何指定用法的安全的進
程。對虛擬專用網標志符的錯誤配置或蓄意強制可能導致包括不同的虛擬專用網互連
的不同的對安全的破壞。