摘要：現(xiàn)代化電子信息技術(shù)的發(fā)展使得企事業(yè)單位重要信息資料由傳統(tǒng)的空間限制到電子資源方向的發(fā)展，并且電子資源的完備使得信息技術(shù)發(fā)生了質(zhì)的變化。現(xiàn)代化的電子信息資料以信息通路為傳輸載體、以專線方式為安全保證，通過檔案虛擬網(wǎng)絡(luò)的控制完成對信息以及資料的管理和加密，最終達(dá)到保護(hù)信息以及資料的安全性的目的。通過架設(shè)專用的虛擬網(wǎng)絡(luò)，讓企事業(yè)單位重要信息以及資料在安全環(huán)境下進(jìn)行資源信息的傳輸，避免了信息傳遞錯誤造成的損失。本文選自：《福建分析測試》(FUJIAN ANALYSIS & TESTING)于1992年10月創(chuàng)刊，是福建省分析測試協(xié)會、福建省測試技術(shù)研究所主辦的專業(yè)性期刊，以學(xué)術(shù)性和實(shí)用性相結(jié)合為特點(diǎn)，面向國內(nèi)外公開發(fā)行。現(xiàn)已被十余種國內(nèi)外主要檢索刊物和數(shù)據(jù)庫收錄，加入中國期刊網(wǎng)、全國數(shù)字化期刊群。 ，并載有色譜、光譜、無損檢驗(yàn)等方面的書訊、省內(nèi)學(xué)術(shù)活動簡訊、會議征文等內(nèi)容。

　　在網(wǎng)絡(luò)安全中MPLS虛擬專用網(wǎng)絡(luò)是建立MPLS技術(shù)之上的一種IP專用網(wǎng)絡(luò)，其基礎(chǔ)是寬帶IP網(wǎng)絡(luò)，該技術(shù)可以有效實(shí)現(xiàn)數(shù)據(jù)、語音以及圖像的跨地區(qū)、高速通訊，且業(yè)務(wù)的可靠性以及安全性較高，并且該技術(shù)是也是建立在差別服務(wù)以及流量工程之上的新型技術(shù)。另外，在公眾網(wǎng)絡(luò)的擴(kuò)展以及可靠性提高上具有較良好的作用，能夠有效提高專用網(wǎng)絡(luò)的優(yōu)勢，使得專用網(wǎng)絡(luò)更加的安全可靠、靈活高效，為用戶提供最大限度的優(yōu)質(zhì)服務(wù)。而MPLS技術(shù)則是需要三個步驟予以實(shí)現(xiàn)。首先，需要建立分層服務(wù)的提供商，網(wǎng)絡(luò)首先需要在PE路由器間通過CR-LDP的方式首先建立起LSP，一般情況下LSP包含的業(yè)務(wù)都較多。

　　現(xiàn)代企事業(yè)單位利用傳統(tǒng)的計(jì)算機(jī)信息安全管理方式已經(jīng)無法滿足管理辦公的需要，特別實(shí)在信息管理方面。信息管理精細(xì)化管理急需沖破傳統(tǒng)的空間限制，把每個部門的信息管理系統(tǒng)進(jìn)行有效連接，以實(shí)現(xiàn)單位各部門管理信息的同步性。通過VPN技術(shù)應(yīng)用在企事業(yè)單位信息管理工作中，很好地解決了傳統(tǒng)空間約束的信息通路問題，而且利用VPN技術(shù)可以安全、有效的進(jìn)行信息管理。

　　在IPSec協(xié)議中使用方式最常見的便是虛擬網(wǎng)絡(luò)，為計(jì)算機(jī)IP地址提供系統(tǒng)，并且保證系統(tǒng)的安全性能，這是IPSec協(xié)議最主要的作用。另外，虛擬專用網(wǎng)絡(luò)的構(gòu)成部分包括ESP協(xié)議，該協(xié)議的應(yīng)用范圍較廣，其提供的完整數(shù)據(jù)可以在同一時間段，具有抗重放攻擊以及數(shù)據(jù)保密的特點(diǎn)，ESP協(xié)議的加密算法較為常見主要包括AES以及3DES等，而數(shù)據(jù)的分析以及完整性識別主要是利用了MD5算法。第一種是Site-to-Site即網(wǎng)關(guān)到網(wǎng)關(guān)或者站點(diǎn)到站點(diǎn)，比如在一個單位中的三個部門或者三個機(jī)構(gòu)的互聯(lián)網(wǎng)在三個不同的地方，而且每一個網(wǎng)絡(luò)中各使用一個網(wǎng)關(guān)相互建立VPN隧道，內(nèi)部網(wǎng)絡(luò)(PC)之間的數(shù)據(jù)通過這些網(wǎng)關(guān)建立的IPSec隧道就能夠?qū)崿F(xiàn)單位各個地方的網(wǎng)絡(luò)相關(guān)安全連接。第二種是End-to-End即端到端或者PC到PC，其主要是指兩個網(wǎng)絡(luò)端點(diǎn)或者兩個PC之間的通信主要是有兩個PC之間的IPSee會話保護(hù)，而不是通過網(wǎng)關(guān)進(jìn)行保護(hù)。第三種是End-to-Site即為PC到網(wǎng)關(guān)，其主要是指兩個PC之間的通信由網(wǎng)關(guān)和異地PC之間的IPSee進(jìn)行保護(hù)。IPSee傳輸模式主要有傳輸Transport模式和隧道Tunnel模式兩種，其中兩者之前的主要區(qū)別為：隧道模式在ESP和AH處理之后又封裝了一個外網(wǎng)的IP頭地址，其主要應(yīng)用于站點(diǎn)到站點(diǎn)的場景中;而傳輸模式主要是在ESP和AH的處理前后部分，IP頭地址一直保持不變的態(tài)勢，其主要用于端到端的場景中。

　　主要包括呈對立關(guān)系的二、三層VPN，而這兩步對于網(wǎng)絡(luò)運(yùn)營商較為關(guān)鍵的主要原因便是為其提供MPLS。其次，需要將虛擬專用網(wǎng)絡(luò)的信息在PE路由器上予以實(shí)現(xiàn)。Provide邊緣設(shè)備及PE路由器的作用是在于為服務(wù)商的骨干網(wǎng)絡(luò)提供邊緣路由器，這個步驟的關(guān)鍵就是在于對虛擬專用網(wǎng)絡(luò)中的數(shù)據(jù)傳輸進(jìn)行控制，是對二層虛擬專用網(wǎng)絡(luò)實(shí)現(xiàn)的關(guān)鍵。通過在PE路由器上傳專用的虛擬網(wǎng)絡(luò)轉(zhuǎn)發(fā)數(shù)據(jù)表，以連接CE設(shè)備，數(shù)據(jù)表中主要包括CE設(shè)備的標(biāo)記值范圍以及識別碼等。然后將轉(zhuǎn)發(fā)表中的數(shù)據(jù)都安裝到CE設(shè)備中，并且標(biāo)記每一個數(shù)據(jù)轉(zhuǎn)發(fā)表中子接口ID。而PE2路由器則通過LDP協(xié)議向其它的虛擬專用網(wǎng)絡(luò)進(jìn)行連接表的發(fā)送，連接表即虛擬專用網(wǎng)絡(luò)轉(zhuǎn)發(fā)表子集。最后，實(shí)現(xiàn)虛擬專用網(wǎng)絡(luò)數(shù)據(jù)傳輸。數(shù)據(jù)向PEI傳輸?shù)闹饕问綖镈LCI.33。繼而在PEl的位置找到對應(yīng)的VFT，刪除數(shù)據(jù)幀的繼頭并壓入LSP標(biāo)記和虛擬專用網(wǎng)絡(luò)數(shù)據(jù)標(biāo)記，即虛擬專用網(wǎng)絡(luò)標(biāo)記的存在是未知的，一直至出口后，執(zhí)行最后第二個彈跳。最后PE2依照虛擬專用網(wǎng)絡(luò)標(biāo)記的數(shù)據(jù)，進(jìn)行對應(yīng)的VFT表的搜尋轉(zhuǎn)發(fā)到CE3。