Linux操作系统下IP隧道深入研究（二） （3）

跨Internet的公司多个内部网之间进行通信，保密性并不重要直接使用原框架机制，无任何加密措施这样速度快、效率高，公司也不用申请多个IP地址，方便可行

一般性的商业应用，具有保密要求利用事先产生的序列密码，每次对原数据包加密安全度提高了，是一种十分实用的方法。只要强度足够，一般很难破译速度快

密码不变的方式你认为不够安全你可以自己实现一种密码传送方法，每隔一段时间更换一次密码。其中一些握手关系需要完善，有兴趣的欢迎探讨。如果发展成熟，此法相信很有前途。

高度机密领域:敬请使用一次一密，并进行每次签名。每次产生新密钥和签名十分费时，在目前我国Internet网络的速度下几乎不可行。但相信有此需要的部门也能够设法提高其网络带宽，让网络状况适合这种应用。另外，当然还可以就加密强度自身作出选择，比如选择128位，还是512位、1024位

四、待完善

主要牵涉到隧道的管理，在封包的传送过程中如果出现错误是十分正常的，当一台路由器检测到错误时，它会发送一个ICMP包给隧道的发送端，但遗憾的是ICMP返回的数据除了IP头外，只含8个字节的上层协议信息。只凭这个难以对ICMP信息作出反应，因此，在隧道端保留一些状态信息是必须的。这些信息主要包括：

隧道的另一端的可达性；

隧道的拥塞状况；

隧道的MTU。

同时所发送的封包信息也是需要保留的，举例说，当一个路由不可达信息到来时，封包的发送者要能够找出所封装的数据来自何方，并发送相应的ICMP包。