|
隧道協(xié)議的類型 隨著VPN技術(shù)的不斷發(fā)展和在企業(yè)中的廣泛應(yīng)用��,隧道技術(shù)也在不斷的得到了完善,目前較為成熟的隧道技術(shù)主要有以下幾各種�����。 ?����。?)IP網(wǎng)絡(luò)上的SNA隧道技術(shù) 當(dāng)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)(System Network Architecture)的數(shù)據(jù)流通過(guò)企業(yè)IP網(wǎng)絡(luò)傳送時(shí)���,SNA數(shù)據(jù)包將被封裝在UDP和IP協(xié)議包頭中��。 ?����。?)IP網(wǎng)絡(luò)上的Novell NetWare 隧道技術(shù) 當(dāng)一個(gè)IPX數(shù)據(jù)包被發(fā)送到NetWare服務(wù)器或IPX路由器時(shí)����,服務(wù)器或路由器用UDP和IP包頭將其重新封裝打包后再通過(guò)IP網(wǎng)絡(luò)發(fā)送���。另一端的IP-TO-IPX路由器在去除UDP和IP包頭之后����,把數(shù)據(jù)包轉(zhuǎn)發(fā)到IPX目的地。 ?���。?)點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP) PPTP協(xié)議允許對(duì)IP、IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密���,然后封裝在IP包頭中通過(guò)企業(yè)IP網(wǎng)絡(luò)或公共互聯(lián)網(wǎng)絡(luò)發(fā)送����。 ?�。?)第2層隧道協(xié)議(L2TP) L2TP協(xié)議允許對(duì)IP��、IPX����、或NetBEUI數(shù)據(jù)流進(jìn)行加密,然后通過(guò)支持點(diǎn)對(duì)點(diǎn)的數(shù)據(jù)包傳遞的任意網(wǎng)絡(luò)發(fā)送�����,如IP��、X.25����、幀中繼或ATM等。 ?���。?)安全I(xiàn)P(IPSec)隧道模式 IPSec隧道模式允許對(duì)IP數(shù)據(jù)進(jìn)行加密,然后封裝在IP包頭中通過(guò)企業(yè)IP網(wǎng)絡(luò)或公共互聯(lián)網(wǎng)絡(luò)(如因特網(wǎng))發(fā)送��。 為創(chuàng)建隧道�,隧道的客戶機(jī)和服務(wù)器雙方必須使用相同的網(wǎng)絡(luò)隧道協(xié)議。目前能夠應(yīng)用在虛擬專用網(wǎng)中的隧道協(xié)議比較多����,但根據(jù)開(kāi)放系統(tǒng)互聯(lián)(OSI)的參考模型,可以分為二層隧道協(xié)議和三層隧道協(xié)議兩種類型���。其中第二層協(xié)議對(duì)應(yīng)OSI模型中的數(shù)據(jù)鏈路層�,它使用幀作為數(shù)據(jù)的交換單位�����,也就是說(shuō)將數(shù)據(jù)封裝在點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)幀中����,通過(guò)互聯(lián)網(wǎng)發(fā)送�����。而第三層隧道協(xié)議對(duì)應(yīng)OSI模型中的網(wǎng)絡(luò)層��,使用包作為數(shù)據(jù)交換單位�����,它將IP包封裝在附加的IP包頭中通過(guò)IP公共互聯(lián)網(wǎng)絡(luò)傳送�����。表列出了幾種隧道協(xié)議的比較����。 二層隧道協(xié)議和三層隧道協(xié)議的比較 | OSI七層模型 | 安全技術(shù) | 安全協(xié)議 | 協(xié)議優(yōu)點(diǎn) | 應(yīng)用層 |
應(yīng)用代理 |
|
| 表示層 |
會(huì)話層 |
會(huì)話代理 | SOCKS v5 | 能同低層協(xié)議如IPV4�、IPSec、PPTP����、L2TP一起使用 | 傳輸層 |
|
| 網(wǎng)絡(luò)層 |
包過(guò)濾 | IPSec | 可擴(kuò)充、安全�����、可靠 | 數(shù)據(jù)鏈路層 | PPTP�、L2TP | 端到端壓縮加密、雙向隧道配置 | 物理層 |
|
|
1 二層隧道協(xié)議 用于傳輸二層網(wǎng)絡(luò)協(xié)議的隧道協(xié)議稱為二層隧道協(xié)議�,目前,這種二層隧道協(xié)議主要有以下3種����。 PPTP協(xié)議:PPTP(Point to Point Tunneling Protocol,點(diǎn)對(duì)點(diǎn)隧道協(xié)議)協(xié)議是一種點(diǎn)對(duì)點(diǎn)的隧道協(xié)議��,得到了Microsoft�����、Ascend����、3COM等公司支持的,如 Windows NT 4.0以上版本的Microsoft操作系統(tǒng)中都增加了對(duì)該協(xié)議的支持��。PPP支持多種網(wǎng)絡(luò)協(xié)議�����,可把IP、IPX����、AppleTalk或NetBEUI的數(shù)據(jù)包封裝在PPP包中,再將整個(gè)報(bào)文封裝在PPTP隧道協(xié)議包中����,最后,再嵌入IP報(bào)文或幀中繼或ATM中進(jìn)行傳輸���。PPTP提供流量控制�����,降低了數(shù)據(jù)擁塞的可能性���,避免了由數(shù)據(jù)包丟失而引發(fā)報(bào)文重新傳輸?shù)臄?shù)量。PPTP的加密方法采用了Microsoft點(diǎn)對(duì)點(diǎn)加密(MPPE Microsoft Point-to-Point Encryption)算法�,可以選用較弱的40位密鑰或強(qiáng)度較大的128位密鑰。 L2F協(xié)議:L2F協(xié)議(Layer 2 Forwarding)是一種二層轉(zhuǎn)發(fā)的隧道協(xié)議��,它得到了Cisco��、北方電信等公司支持的����,主要用于Cisco的路由器和撥號(hào)訪問(wèn)服務(wù)器��。 L2TP協(xié)議:L2TP(Layer 2 Tunneling Protocol)協(xié)議是由IETF起草,Microsoft��、Ascend�、Cisco、3COM等公司參與的二層隧道協(xié)議���,它結(jié)合了上述兩種協(xié)議�,利用公共網(wǎng)絡(luò)封裝PPP幀�,可以實(shí)現(xiàn)和企業(yè)原有非IP網(wǎng)絡(luò)的兼容,同時(shí)L2TP還繼承了PPTP的流量控制技術(shù)���,支持MP(Multilink Protocol)���,把多個(gè)物理通道捆綁為單一的邏輯信道,并使用PPP可靠性發(fā)送(RFC1663)實(shí)現(xiàn)數(shù)據(jù)包的可靠傳輸���。L2TP隧道在兩端的VPN服務(wù)器之間采用口令握手協(xié)議CHAP來(lái)驗(yàn)證對(duì)方的身份�。L2TP作為更優(yōu)更新的標(biāo)準(zhǔn)���,目前已經(jīng)得到了如Microsoft�����、Ascend��、Cisco���、3COM等公司的支持�,以后還必將為更多的網(wǎng)絡(luò)廠商所支持��,將是應(yīng)用最為廣泛的虛擬專用網(wǎng)協(xié)議�。 PPTP/L2TP的優(yōu)點(diǎn)是:對(duì)Microsoft操作系統(tǒng)的用戶來(lái)說(shuō)非常方便,因?yàn)镸icrosoft已經(jīng)將這兩隧道協(xié)議作為了路由軟件的一部分��。另外,PPTP/L2TP使用IP幀在兩臺(tái)計(jì)算機(jī)之間創(chuàng)建和打開(kāi)數(shù)據(jù)通道,一旦通道打開(kāi)���,就不再需要源和目的用戶身份,這樣可能帶來(lái)某些安全方面的問(wèn)題,因?yàn)樗鼈儾粚?duì)兩個(gè)節(jié)點(diǎn)間的信息傳輸進(jìn)行監(jiān)視和控制����。PPTP和L2TP限制同時(shí)最多只能連接255個(gè)用戶�����,并且端點(diǎn)用戶需要在連接前通過(guò)手工方式建立加密通道,誰(shuí)證和加密受到了限制���。 PPTP和L2TP都使用點(diǎn)到點(diǎn)的PPP協(xié)議對(duì)數(shù)據(jù)進(jìn)行封裝��,然后添加附加包頭,用于數(shù)據(jù)在公共網(wǎng)絡(luò)上的傳輸����,因此,它們之間既有區(qū)別又有聯(lián)系�����。表列出了PPTP和L2TP之間的不同點(diǎn)�����。 PPTP和L2TP協(xié)議的區(qū)別 | 項(xiàng)目 | PPTP | L2TP | 對(duì)公共網(wǎng)絡(luò)的要求 | IP | IP��、幀中繼����、X.25�、ATM | 可建隧道的數(shù)量 | 單一隧道 | 多條隧道 | 壓縮包頭時(shí)系統(tǒng)的開(kāi)銷 | 6字節(jié) | 4字節(jié) | 隧道驗(yàn)證 | 不支持 | 支持 |
這里以L2TP協(xié)議為例介紹二層隧道協(xié)議�����。應(yīng)用L2TP二層隧道協(xié)議所構(gòu)建的虛擬專用網(wǎng)的網(wǎng)絡(luò)圖���。如圖所示��。 
其中���,LAC表示表示L2TP訪問(wèn)集中器(L2TP Access Concentrator),是附屬在交換網(wǎng)絡(luò)上的具有PPP端系統(tǒng)和L2TP協(xié)議處理能力的設(shè)備��。LAC一般就是一個(gè)網(wǎng)絡(luò)接入服務(wù)器NAS(Network Access Server)����,它的作用是為用戶提供通過(guò)PSTN/ISDN的網(wǎng)絡(luò)接入服務(wù)。LNS表示L2TP網(wǎng)絡(luò)服務(wù)器(L2TP Network Server)�����,實(shí)質(zhì)就是PPP端系統(tǒng)上用于處理L2TP協(xié)議的服務(wù)器軟件的���。 在通過(guò)L2TP構(gòu)建的VPN網(wǎng)絡(luò)中���,LNS和LAC對(duì)之間存在著兩種類型的連接�,一種是隧道(tunnel)連接���,它定義了一個(gè)LNS和LAC對(duì)�����;另一種是會(huì)話(session)連接��,它復(fù)用在隧道連接之上,用于表示承載在隧道連接中的每個(gè)PPP會(huì)話過(guò)程��。 L2TP連接的維護(hù)以及PPP數(shù)據(jù)的傳送都是通過(guò)L2TP消息的交換來(lái)完成的�,這些消息再通過(guò)UDP的 1701端口承載于TCP/IP之上。L2TP消息可以分為兩種類型����,一種是控制消息,另一種是數(shù)據(jù)消息�����?����?刂葡⒂糜谒淼肋B接和會(huì)話連接的建立與維護(hù),其中的參數(shù)用AVP(Attribute Value Pair)值對(duì)來(lái)表示��,使得協(xié)議具有很好的擴(kuò)展性���,同時(shí)在控制消息的傳輸過(guò)程中還應(yīng)用了消息丟失后重新傳送和定時(shí)檢測(cè)通道連通性等機(jī)制來(lái)保證L2TP傳輸?shù)目煽啃?���;?shù)據(jù)消息用于承載用戶的PPP會(huì)話數(shù)據(jù)包�,L2TP數(shù)據(jù)消息的傳輸不采用重新傳輸機(jī)制,所以它無(wú)法保證傳輸?shù)目煽啃?,但這一點(diǎn)可以通過(guò)上層協(xié)議如TCP等得到保證,另外�,數(shù)據(jù)消息的傳輸可以根據(jù)應(yīng)用的需要靈活地采用流量控制或非流量控制機(jī)制,甚至可以在傳輸過(guò)程中動(dòng)態(tài)地使用消息序列號(hào)��,從而動(dòng)態(tài)地激活消息順序檢測(cè)和流量控制的功能���。 L2TP還具有適用于VPN服務(wù)的以下幾個(gè)特性�����。 靈活的身份驗(yàn)證機(jī)制以及高度的安全性����。 L2TP繼承了PPP的所有安全特性,可以選擇多種身份驗(yàn)證機(jī)制(如CHAP�����、口令驗(yàn)證��、PAP等)��,L2TP還可以對(duì)隧道端點(diǎn)進(jìn)行驗(yàn)證��,這使得通過(guò)L2TP所傳輸?shù)臄?shù)據(jù)更加安全保密�����。而且����,L2TP還可以根據(jù)特定的網(wǎng)絡(luò)安全要求方便的采用隧道加密����、端對(duì)端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來(lái)提高數(shù)據(jù)的安全性。 內(nèi)部地址分配的支持 L2TP構(gòu)建的VPN網(wǎng)絡(luò)中,LNS可以放置于企業(yè)網(wǎng)絡(luò)的防火墻之后���,它可以對(duì)遠(yuǎn)端用戶的地址進(jìn)行動(dòng)態(tài)的分配和管理�,可以支持DHCP和私有地址應(yīng)用(RFC1918)等方案�����。遠(yuǎn)端用戶所分配的地址不是因特網(wǎng)地址而是企業(yè)內(nèi)部的私有地址�,這樣方便了地址的管理并可以增加安全性。 網(wǎng)絡(luò)計(jì)費(fèi)的靈活性�����。 L2TP構(gòu)建的VPN網(wǎng)絡(luò)中�,可以在LAC和LNS兩個(gè)環(huán)節(jié)同時(shí)計(jì)費(fèi)。在網(wǎng)絡(luò)服務(wù)提供商處計(jì)費(fèi)�,用于產(chǎn)生企業(yè)的付費(fèi)賬單;在企業(yè)處計(jì)費(fèi)�����,用于計(jì)費(fèi)及審計(jì)����。L2TP能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)��,字節(jié)數(shù)及連接的起始���、結(jié)束時(shí)間等用于計(jì)費(fèi)的數(shù)據(jù),可以根據(jù)這些數(shù)據(jù)方便地進(jìn)行網(wǎng)絡(luò)計(jì)費(fèi)���。 可靠性���。 L2TP協(xié)議可以支持備份的LNS,當(dāng)主LNS出現(xiàn)故障后��,LAC可以重新與備份LNS建立連接���,這樣增加了VPN服務(wù)的可靠性和容錯(cuò)性�。 2 三層隧道協(xié)議 用于傳輸三層網(wǎng)絡(luò)協(xié)議的隧道協(xié)議稱為三層隧道協(xié)議��。目前�,三層隧道協(xié)議主要包括GRE(Generic Routing Encapsulation)協(xié)議和IETF的IP層加密標(biāo)準(zhǔn)協(xié)議IPSec。下面以IPSecy為例進(jìn)行介紹���。 IPSec是IETF(Internet Engineering Task Force,互聯(lián)網(wǎng)工程任務(wù)組)提出的IP安全標(biāo)準(zhǔn)���。它在IP層對(duì)數(shù)據(jù)包進(jìn)行高強(qiáng)度的加密和驗(yàn)證�,使安全服務(wù)獨(dú)立于各種應(yīng)用程序,較好地保證了數(shù)據(jù)包在公共網(wǎng)絡(luò)上傳輸時(shí)的私有性���、完整性和真實(shí)性�����。因此����,IPSec提供的安全服務(wù)共享程度高��,利用IPSec構(gòu)筑VPN代價(jià)低廉�,可擴(kuò)展性強(qiáng)。 IPSec協(xié)議不是一個(gè)單獨(dú)的協(xié)議����,它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的整套用于認(rèn)證、保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議���,包括網(wǎng)絡(luò)安全協(xié)議Authentication Header(AH)和Encapsulating Security Payload(ESP)協(xié)議����、密鑰管理協(xié)議Internet Key Exchange(IKE)和用于網(wǎng)絡(luò)驗(yàn)證及加密的一些算法如DES、三重DES��、IDEA等��。IPSec規(guī)定了如何在對(duì)等層之間選擇安全協(xié)議�、確定安全算法和密鑰交換,向上提供了訪問(wèn)控制��、數(shù)據(jù)源驗(yàn)證�����、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)��。 ?��。?)IPSec的優(yōu)點(diǎn) 傳統(tǒng)的安全體系一般都建立在應(yīng)用層上�。這些完全體系雖然具有一定的可行性��,但也存在著巨大的安全隱患���。其原因是��,IP包本身不繼承任何安全特性��,很容易被修改����、偽造�、查看和重播。IPSec在IP層上對(duì)數(shù)據(jù)包進(jìn)行安全處理�,提供數(shù)據(jù)源地驗(yàn)證、無(wú)連接數(shù)據(jù)完整性��、數(shù)據(jù)機(jī)密性��、抗重播和有限業(yè)務(wù)流機(jī)密性等安全服務(wù)�。各種應(yīng)用程序可以享用IP層提供的安全服務(wù)和密鑰管理,而不必設(shè)計(jì)和實(shí)現(xiàn)自己的安全機(jī)制���,因此減少密鑰協(xié)商的開(kāi)銷�,也降低了產(chǎn)生安全漏洞的可能性���。 具體地說(shuō)�����,IPSec具有如下優(yōu)點(diǎn)����。 IPSec檢查傳輸?shù)臄?shù)據(jù)包的完整性,以確保數(shù)據(jù)沒(méi)有被修改���。 IPSec可用來(lái)在多個(gè)防火墻和服務(wù)器之間提供安全性���,以確保運(yùn)行在TCP/IP上的多個(gè)VPN網(wǎng)絡(luò)之間的互操作性。 IPSec在傳輸層之下��,對(duì)于應(yīng)用程序來(lái)說(shuō)是透明的�����。當(dāng)在路由器或防火墻上安裝IPSec時(shí)�����,無(wú)需更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置���。即使在終端系統(tǒng)中執(zhí)行IPSec����,應(yīng)用程序一類的上層軟件也不會(huì)受到影響。 IPSec對(duì)終端用戶來(lái)說(shuō)是透明的���,因此不必對(duì)用戶進(jìn)行安全機(jī)制的培訓(xùn)����。 如果需要��,IPSec可以為個(gè)別用戶提供安全保障�����,這樣做就可以保護(hù)企業(yè)內(nèi)部的重要信息��。 ?���。?)IPSec的實(shí)現(xiàn)方式 IPSec安全協(xié)議�,是一組開(kāi)放協(xié)議的總稱,它可以在特定的通信方之間提供數(shù)據(jù)的私有性���、完整性保護(hù)�,并能對(duì)數(shù)據(jù)源進(jìn)行驗(yàn)證�����。IPSec使用密鑰管理協(xié)議IKE進(jìn)行協(xié)議及算法的協(xié)商,并采用由IKE生成的密碼來(lái)加密和驗(yàn)證�,以便保證數(shù)據(jù)包在公共網(wǎng)絡(luò)上傳輸時(shí)的私有性、完整性和真實(shí)性���。IPSec通過(guò)兩個(gè)安全協(xié)議AH和ESP���,并配合一定的加密算法在IP層提供這些安全服務(wù),對(duì)IP及所承載的數(shù)據(jù)提供保護(hù)����。這些機(jī)制的實(shí)現(xiàn)不會(huì)對(duì)用戶、主機(jī)或其他Internet組件造成影響��;用戶可以選擇不同的加密算法���,而不會(huì)對(duì)實(shí)現(xiàn)的其他部分造成影響�����。IPSec提供以下幾種網(wǎng)絡(luò)安全服務(wù)���。 私有性:IPSec在數(shù)據(jù)包傳輸之前將其加密,以保證數(shù)據(jù)的私有性。 完整性:IPSec在目的地要驗(yàn)證數(shù)據(jù)包�,以保證該數(shù)據(jù)包在傳輸過(guò)程中沒(méi)有任何不可檢測(cè)的數(shù)據(jù)丟失與改變。 真實(shí)性:IPSec端要驗(yàn)證所有受IPSec保護(hù)的數(shù)據(jù)包��,以保證該數(shù)據(jù)包在傳輸過(guò)程中沒(méi)有被替換或修改�����。 反重復(fù):IPSec防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上���,即目的地會(huì)拒絕老的或重復(fù)的數(shù)據(jù)包;這個(gè)功能可以通過(guò)與AH或ESP一起工作的序列號(hào)實(shí)現(xiàn)�。 IPSec協(xié)議由3個(gè)基本要素來(lái)提供以上幾種安全保護(hù)服務(wù):認(rèn)證協(xié)議頭(AH)、安全加載封裝(ESP)和互聯(lián)網(wǎng)密匙管理協(xié)議(IKMP)��。認(rèn)證協(xié)議頭和安全加載封裝可以通過(guò)分開(kāi)或組合使用來(lái)達(dá)到所希望的保護(hù)等級(jí)����。 IPSec本身定義了如何在IP數(shù)據(jù)包中增加字段來(lái)保證IP包的完整性、私有性和真實(shí)性��,這些協(xié)議還規(guī)定了如何對(duì)數(shù)據(jù)包加密����。因此,使用IPSec協(xié)議,數(shù)據(jù)就可以在公共網(wǎng)絡(luò)上傳輸��,而不必?fù)?dān)心數(shù)據(jù)被監(jiān)視��、修改或偽造了�。IPSec提供了兩個(gè)主機(jī)之間、兩個(gè)安全網(wǎng)關(guān)之間或主機(jī)和安全網(wǎng)關(guān)主機(jī)的保護(hù)��。 IPSec定義了兩個(gè)新的數(shù)據(jù)包頭并將它們?cè)黾拥絀P包中��,這些數(shù)據(jù)包頭用于保護(hù)IP數(shù)據(jù)包的安全性���。這兩個(gè)數(shù)據(jù)包頭由AH(Authentication Header)和ESP(Encapsulating Security)和真實(shí)性����,防止黑客截?cái)鄶?shù)據(jù)包或向網(wǎng)絡(luò)中插入偽造的數(shù)據(jù)包���。AH采用了安全哈希算法來(lái)對(duì)數(shù)據(jù)包進(jìn)行保護(hù)���。ESP將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到IP包中,ESP可以保證數(shù)據(jù)的完整性��、真實(shí)性和私有性���。 IPSec有隧道和傳送兩種工作方式�����。在隧道方式中����,用戶的整個(gè)IP數(shù)據(jù)包被用來(lái)計(jì)算ESP頭,且被加密����,ESP頭和保密用戶數(shù)據(jù)被封裝在一個(gè)新的IP數(shù)據(jù)包中;在傳送方式中���,只是傳輸層(如TCP、IDP�����、ICMP)數(shù)據(jù)被用來(lái)計(jì)算ESP頭����,ESP頭和被加密的傳輸層數(shù)據(jù)被放置在原IP包頭后面。當(dāng)IPSec通信的一端為安全網(wǎng)關(guān)時(shí)�����,必須采用隧道方式。 Internet密鑰管理協(xié)議(IKE)用于在兩個(gè)通信實(shí)體協(xié)商和建立安全相關(guān)����,如交換密鑰。安全相關(guān)(Security Association)是IPSec中的一個(gè)重要概念�����。一個(gè)安全相關(guān)表示兩個(gè)或多個(gè)通信實(shí)體之間經(jīng)過(guò)了身份認(rèn)證�����,且這些通信實(shí)體都能支持相同的加密算法�,成功地交換了會(huì)話密鑰,可以開(kāi)始利用IPSec進(jìn)行安全通信����。IPSec協(xié)議本身沒(méi)有提供在通信實(shí)體間建立安全相關(guān)的方法,利用IKE建立安全相關(guān)���。IKE定義了通信實(shí)體間進(jìn)行身份認(rèn)證�����、協(xié)商加密算法以及生成共享的會(huì)話密鑰的方法����。IKE中身份認(rèn)證采用共享密鑰和數(shù)字簽名兩種方式,密鑰交換采用DiffieHellman協(xié)議��。 另外�����,安全相關(guān)也可以通過(guò)人工手動(dòng)的方式來(lái)建立���,人工手動(dòng)管理方式是指管理員使用自己的密鑰及其他系統(tǒng)的密鑰手工設(shè)備每個(gè)系統(tǒng)�����。這種方法在小型網(wǎng)絡(luò)環(huán)境中使用比較實(shí)際�。當(dāng)虛擬專用網(wǎng)中節(jié)點(diǎn)增多時(shí)����,手工配置將變得非常困難���。手工管理系統(tǒng)在有限的安全需要系統(tǒng)中可以工作得很好�。使用手工管理系統(tǒng),密匙由管理站點(diǎn)確定然后分發(fā)到所有的遠(yuǎn)程用戶����。真實(shí)的密匙可以用隨機(jī)數(shù)字生成器或簡(jiǎn)單的拼湊計(jì)算出來(lái),每一個(gè)密匙可以根據(jù)集團(tuán)的安全策略進(jìn)行修改���。
|
