[转载]虚拟私用网（VPN）标记

信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

摘要

VPN可以跨越多个自治系统(AS)或服务提供商的作用。这就需要一个全局唯一的标记以确定是哪个VPN。本文提出一个全局唯一VPN标记。

1. 介绍

因为互联网及其相关设施的发展，开发基于IP的VPN也提上了日程。VPN在公用的网络设施上模拟一个私用的网络。VPN对网络服务提供者和客户都有好处。对于客户来说，他可以以相对少的成本完成对企业网，远程办公等服务。服务商也可以更有效地利用已有的设备，为客户提供更多的基于IP的服务。

实现IP VPN的方法有许多，以前的文档中定义了四种VPN：虚拟租用线路，虚拟私用路由网络，虚拟私用拨号网络和虚拟私用LAN段，近期还有许多文档提出了更新的使用。解决方法可以是基于网络的也可以是基于用户的。基于网络的解决方法提供在第二层和第二层的连接和服务，涉及到实现的设备是用户前提设备（Customer Premises Equipment，CPE）服务提供边缘（Service Provider Edge）设备，服务提供商核心设备（Service Provider Core）或是这些设备的组合。虽然VPN实现方法各有不同，但有两点共识：VPN是私用的，它可以使用私有的地址空间，这一空间可能和别的VPN空间重合，或与公共Internet的地址空间重合。VPN可以跨越多个自治系统或服务提供商。第一点说明VPN中的IP地址只在这个VPN中存在，因此必须有机制能够说明这个IP是哪一个VPN的。第二点说明一个VPN可以以不同的连接和服务实现。不同的服务提供商可以基于他们的经验提供不同的设备和服务，所以有必要在网络各层使用统一的标记。

2. 全局VPN标记

VPN-ID的作用是标记一个VPN。它的使用方法视实现不同而不同。例如，VPN-ID可以包括：

- 在一个MIB中设置VPN的属性，或指定特定VPN的物理或逻辑访问接口。

- 在控制或数据包中，标记IP地址属于哪一个VPN，以及此数据属于哪一个VPN。

需要能够以数据包确定相关的VPN。VPN-ID可以用于确定这种相互关系，无论是显式的还是隐式的。VPN标记还有另外一个重要功能，它还要能够定义VPN责任方，即谁负责组织连接和服务。VPN责任方可以是私用网络管理员或主要的服务提供商。它负责申请一些附加的功能和服务，还需要协调不同服务商，进行日常管理等事务。对于VPN标记来说，不能建立在它是一个共享网络的基础上，同时也不好完全禁止使用共享网络的一些特征。对于VPN来说，它在网络的不同层看起来应该是一致的。VPN-ID格式的值在两层都应该存在。

3. 全局VPN标记格式要求

具体要求如下：

- 在不同服务提供商下提供全局唯一的VPN标记；

- 为在第二层VPN中使用允许非IP依赖VPN-ID；

- 在VPN标记中定义VPN责任人。

4. 全局VPN格式

3字节VPN责任人OUI（Organizationally Unique Identifier），后面是根据OUI而来的VPN索引。

VPN OUI (MSB)

VPN OUI

VPN OUI (LSB)

VPN Index (MSB)

VPN Index

VPN Index

VPN Index (LSB)


VPN OUI定义了VPN责任人。VPN责任人成为VPN的主要管理者，它可以是VPN所属的公司或为VPN提供服务的服务商。第4个字节定义了由VPN责任人提供的特定VPN服务。

5. 安全

本文只说明了全局VPN标记的，而未说明它的使用。对它的错误配置和仿造将导致系统的安全问题。