下载安卓APP箭头
箭头给我发消息

客服QQ:3315713922

PPTP-VPN与L2TP-VPN

作者:课课家教育     来源: http://www.kokojia.com点击数:1322发布时间: 2018-02-11 15:00:34

标签: PPTPL2TPVPN数据通信隧道协议

  PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似,但还是有所区别,希望能够对大家的学习有所帮助。
  PPTP(Point to Point Tunnel Protocal,点对点隧道协议),这是一个最流行的Internet协议,它提供PPTP客户机与PPTP服务器之间的加密通信,它允许公司使用专用的“隧道”,通过公共Internet来扩展公司的网络。通过Internet的数据通信,需要对数据流进行封装和加密,PPTP就可以实现这两个功能,从而可以通过Internet实现多功能通信。这就是说,通过PPTP的封装或“隧道”服务,使非IP网络可以获得进行Internet通信的优点。但是PPTP会话不可通过代理器进行,PPTP是Microsoft和其它厂家支持的标准,它是PPTP协议的扩展,它可以通过Internet建立多协议VPN。
  L2TP(Layer 2 Tunneling Protocol,第二层隧道协议),是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。
  IPSec ((Internet Protocol Security,Internet 协议安全性) ,IPsec协议工作在OSI 模型的第三层,支持IP网络上数据的安全传输。除了对IP数据流的加密机制进行了规定之外,IPSEC还制定了IPoverIP隧道模式的数据包格式,一般被称作IPSEC隧道模式。一个IPSEC隧道由一个隧道客户和隧道服务器组成,两端都配置使用IPSEC隧道技术,采用协商加密机制。为实现在专用或公共IP网络上的安全传输,IPSEC隧道模式使用的安全方式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理,在去除明文IP包头,对内容进行解密之后,获的最初的负载IP包。负载IP包在经过正常处理之后被路由到位于目标网络的目的地。

PPTP-VPN与L2TP-VPN_PPTP_L2TP_VPN_数据通信_隧道协议_课课家教育
  使用PPTP方式的VPN连接时,VPN服务器端保持着1723端口与客户端一任意端口的TCP连接,TCP端口1723上跑的是PPTP Control Message,包括了PPTP隧道创建,维护和终止之类的日常管理工作(建立/断开VPN连接的请求等).客户端通过TCP与服务器1723端口建立连接后,进入基于GRE(通用路由协议--IP协议编号为47,TCP的IP协议编号为6)的PPP协商,包括了用户验证,数据传输等所有通讯.断开VPN连接时又用到了基于1723端口的PPTP Control Message.
  也就是说,PPTP方式的VPN连接,VPN客户端的建立/断开连接请求都是通过和服务器的TCP 1723端口用PPTP协议联系的,至于具体的用户验证,数据传输等都是通过PPP协议来通讯的,而PPP协议又是跑在GRE(和TCP,UDP协议平行的协议,GRE的IP协议编号为47)之上的.
  PPTP方式的VPN有以下几个特点:
  1.VPN客户端可以使用私有地址通过NAT服务器来连接具有合法地址VPN服务器;
  2.VPN连接时只有一层验证--就是用户身份验证
  使用L2TP方式VPN连接时,VPN服务器保持着1701端口与客户端1701端口的UDP"连接".由于Microsoft不鼓励将L2TP直接暴露在网络中,因此自动为L2TP连接创建一个使用证书方式认证IPsec策略(当然可以通过修改注册表使证书认证变成与共享密钥认证)
  因此L2TP通讯就被裹在IPsec策略创建的Ipsec隧道内,用ipsecmon可以看清楚实际上还是1701<-->1701的UDP通讯
  VPN开始通讯时,需要双方交换密钥,这是通过UPD 500端口的ISAKMP来实现的.从此以后所有的VPN通讯,包括建立/断开连接请求,用户验证,数据传输都是通过ESP(与TCP,UDP协议平行的协议,ESP的IP编号为50)之上传输的.
  L2TP/IPsec方式的VPN有以下几个特点:
  1.VPN客户端无法使用私有地址来连接具有合法地址的VPN服务器(2002年末经过Microsoft公司的努力(Microsoft Knowledge Base Article - 818043),使用了NAT-T技术,可以让L2TP/IPsec方式的VPN可以穿越内网)
  2.VPN连接需要两层验证:密钥验证和用户身份验证(其中密钥是Ipsec层面的认证)

赞(0)
踩(0)
分享到:
华为认证网络工程师 HCIE直播课视频教程