摘要：現(xiàn)代化電子信息技術(shù)的發(fā)展使得企事業(yè)單位重要信息資料由傳統(tǒng)的空間限制到電子資源方向的發(fā)展，并且電子資源的完備使得信息技術(shù)發(fā)生了質(zhì)的變化?，F(xiàn)代化的電子信息資料以信息通路為傳輸載體、以專線方式為安全保證，通過檔案虛擬網(wǎng)絡的控制完成對信息以及資料的管理和加密，最終達到保護信息以及資料的安全性的目的。通過架設專用的虛擬網(wǎng)絡，讓企事業(yè)單位重要信息以及資料在安全環(huán)境下進行資源信息的傳輸，避免了信息傳遞錯誤造成的損失。本文選自：《福建分析測試》(FUJIAN ANALYSIS & TESTING)于1992年10月創(chuàng)刊，是福建省分析測試協(xié)會、福建省測試技術(shù)研究所主辦的專業(yè)性期刊，以學術(shù)性和實用性相結(jié)合為特點，面向國內(nèi)外公開發(fā)行?，F(xiàn)已被十余種國內(nèi)外主要檢索刊物和數(shù)據(jù)庫收錄，加入中國期刊網(wǎng)、全國數(shù)字化期刊群。 ，并載有色譜、光譜、無損檢驗等方面的書訊、省內(nèi)學術(shù)活動簡訊、會議征文等內(nèi)容。

　　在網(wǎng)絡安全中MPLS虛擬專用網(wǎng)絡是建立MPLS技術(shù)之上的一種IP專用網(wǎng)絡，其基礎(chǔ)是寬帶IP網(wǎng)絡，該技術(shù)可以有效實現(xiàn)數(shù)據(jù)、語音以及圖像的跨地區(qū)、高速通訊，且業(yè)務的可靠性以及安全性較高，并且該技術(shù)是也是建立在差別服務以及流量工程之上的新型技術(shù)。另外，在公眾網(wǎng)絡的擴展以及可靠性提高上具有較良好的作用，能夠有效提高專用網(wǎng)絡的優(yōu)勢，使得專用網(wǎng)絡更加的安全可靠、靈活高效，為用戶提供最大限度的優(yōu)質(zhì)服務。而MPLS技術(shù)則是需要三個步驟予以實現(xiàn)。首先，需要建立分層服務的提供商，網(wǎng)絡首先需要在PE路由器間通過CR-LDP的方式首先建立起LSP，一般情況下LSP包含的業(yè)務都較多。

　　現(xiàn)代企事業(yè)單位利用傳統(tǒng)的計算機信息安全管理方式已經(jīng)無法滿足管理辦公的需要，特別實在信息管理方面。信息管理精細化管理急需沖破傳統(tǒng)的空間限制，把每個部門的信息管理系統(tǒng)進行有效連接，以實現(xiàn)單位各部門管理信息的同步性。通過VPN技術(shù)應用在企事業(yè)單位信息管理工作中，很好地解決了傳統(tǒng)空間約束的信息通路問題，而且利用VPN技術(shù)可以安全、有效的進行信息管理。

　　在IPSec協(xié)議中使用方式最常見的便是虛擬網(wǎng)絡，為計算機IP地址提供系統(tǒng)，并且保證系統(tǒng)的安全性能，這是IPSec協(xié)議最主要的作用。另外，虛擬專用網(wǎng)絡的構(gòu)成部分包括ESP協(xié)議，該協(xié)議的應用范圍較廣，其提供的完整數(shù)據(jù)可以在同一時間段，具有抗重放攻擊以及數(shù)據(jù)保密的特點，ESP協(xié)議的加密算法較為常見主要包括AES以及3DES等，而數(shù)據(jù)的分析以及完整性識別主要是利用了MD5算法。第一種是Site-to-Site即網(wǎng)關(guān)到網(wǎng)關(guān)或者站點到站點，比如在一個單位中的三個部門或者三個機構(gòu)的互聯(lián)網(wǎng)在三個不同的地方，而且每一個網(wǎng)絡中各使用一個網(wǎng)關(guān)相互建立VPN隧道，內(nèi)部網(wǎng)絡(PC)之間的數(shù)據(jù)通過這些網(wǎng)關(guān)建立的IPSec隧道就能夠?qū)崿F(xiàn)單位各個地方的網(wǎng)絡相關(guān)安全連接。第二種是End-to-End即端到端或者PC到PC，其主要是指兩個網(wǎng)絡端點或者兩個PC之間的通信主要是有兩個PC之間的IPSee會話保護，而不是通過網(wǎng)關(guān)進行保護。第三種是End-to-Site即為PC到網(wǎng)關(guān)，其主要是指兩個PC之間的通信由網(wǎng)關(guān)和異地PC之間的IPSee進行保護。IPSee傳輸模式主要有傳輸Transport模式和隧道Tunnel模式兩種，其中兩者之前的主要區(qū)別為：隧道模式在ESP和AH處理之后又封裝了一個外網(wǎng)的IP頭地址，其主要應用于站點到站點的場景中;而傳輸模式主要是在ESP和AH的處理前后部分，IP頭地址一直保持不變的態(tài)勢，其主要用于端到端的場景中。

　　主要包括呈對立關(guān)系的二、三層VPN，而這兩步對于網(wǎng)絡運營商較為關(guān)鍵的主要原因便是為其提供MPLS。其次，需要將虛擬專用網(wǎng)絡的信息在PE路由器上予以實現(xiàn)。Provide邊緣設備及PE路由器的作用是在于為服務商的骨干網(wǎng)絡提供邊緣路由器，這個步驟的關(guān)鍵就是在于對虛擬專用網(wǎng)絡中的數(shù)據(jù)傳輸進行控制，是對二層虛擬專用網(wǎng)絡實現(xiàn)的關(guān)鍵。通過在PE路由器上傳專用的虛擬網(wǎng)絡轉(zhuǎn)發(fā)數(shù)據(jù)表，以連接CE設備，數(shù)據(jù)表中主要包括CE設備的標記值范圍以及識別碼等。然后將轉(zhuǎn)發(fā)表中的數(shù)據(jù)都安裝到CE設備中，并且標記每一個數(shù)據(jù)轉(zhuǎn)發(fā)表中子接口ID。而PE2路由器則通過LDP協(xié)議向其它的虛擬專用網(wǎng)絡進行連接表的發(fā)送，連接表即虛擬專用網(wǎng)絡轉(zhuǎn)發(fā)表子集。最后，實現(xiàn)虛擬專用網(wǎng)絡數(shù)據(jù)傳輸。數(shù)據(jù)向PEI傳輸?shù)闹饕问綖镈LCI.33。繼而在PEl的位置找到對應的VFT，刪除數(shù)據(jù)幀的繼頭并壓入LSP標記和虛擬專用網(wǎng)絡數(shù)據(jù)標記，即虛擬專用網(wǎng)絡標記的存在是未知的，一直至出口后，執(zhí)行最后第二個彈跳。最后PE2依照虛擬專用網(wǎng)絡標記的數(shù)據(jù)，進行對應的VFT表的搜尋轉(zhuǎn)發(fā)到CE3。