手工密钥

    配置vpn最简单的办法是使用称为手工密钥的方法。使用这种方法时根本不需要使用ike，在vpn通道两端直接配置加密和认证密钥以及其他参数。

    优点：

    因为该密钥很直接，所以共同操作性很大。目前大多数共同操作问题都出在ike上。手册密钥完全避开ike，只设置自己的ipsec sa。

    缺点：

    这种方法陈旧，是ike产生之前使用的方法，缺少ike具有的所有功能。因此此法有诸多限制，如总要使用相同的加密/认证密钥，无防止重放攻击服务，非常死板，不够灵活。也无法保证远端主机和网关的真实性。

    这种连接也易受某些重放攻击的攻击，这意味着访问加密数据流的恶意实体能够记录一些包，并把包储存下来并在以后发到目的地址。目的vpn端点无法辨别此包是不是重放的包。用ike就可避免这种攻击。

    pre-shared密钥, psk

    pre-shared密钥是vpn端点间共享一个密钥的方法，是由ike提供的服务，所以具有ike的所有优点，比手工密钥灵活许多。

    优点：

    pre-shared密钥具有比手工密钥多得多的优点。包括端点认证，psk是真正进行端点认证的。还包括ike的所有优点。相反，在使用固定加密密钥时，一个新的对话密钥在使用后，有一定的时间周期限制。

    缺点：

    使用pre-shared密钥时需要考虑的一件事是密钥的分配。如何把pre-shared密钥分配给远端vpn客户和网关呢？这个问题很重要，因为psk系统的安全性是基于psk的机密性的。如果在某些情况下危及到psk的安全性时，就需要改动配置，使用新的psk。

    证书

    每个vpn网关都有自己的证书，和一或多个可信任根证书。

    此认证基于几种理论：

    1 每个端点都有私有密钥，在证书里有与该私有密钥相对应的公有密钥，而且任何人无法访问私有密钥。

    2 证书已经过远端网关信任人员的签署。

    优点：

    增加了灵活性。例如许多vpn客户端在没有配置相同pre-shared密钥时也能够得到管理，使用pre-shared密钥和漫游客户端时经常是这种情况。相反，如果某客户端不安全时，就可以轻松地取消该客户端证书。无需对每个客户进行重新配置。

    缺点：

    增加了复杂性。基于证书的认证可作为庞大的公有密钥体系结构的一部分，使vpn客户端和网关可依赖于第三方。换言之，要配置更多内容，也可能会出现更多错误。