VPN隧道协议是什么?

　　大家在学习VPN隧道协议的时候，是不是会接触到PPTP、L2TP、IPSec词汇?那么到底是什么意思，它们之间有什么联系?

　　VPN(虚拟网络)发展至今已经不再是一个单纯经过加密的访问隧道了，它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等对中功能，并在全球的信息安全体系中发挥着重要作用。通过隧道可以将来自一种协议类型的数据包封装在其它协议的数据报内。例如，VPN使用PPTP封装通过公用网络(例如Internet)传输的IP数据包，可以配置基于点对点隧道协议(PPTP)、第二层隧道协议(L2TP)或安全套接字隧道协议(SSTP)的VPN解决方案。

　　1、PPTP

　　点对点隧道协议 (PPTP) 是由包括微软和3Com等公司组成的PPTP论坛开发的一种点对点隧道协，基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法，或者使用Microsoft的点对点加密算法MPPE。其通过跨越基于TCP/IP 的数据网络创建 VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP允许对多种协议通信进行加密，然后封装在IP标头中，以通过IP网络或公用IP网络(例如Internet)发送。PPTP可以用于远程访问连接和站点到站点的VPN连接。使用Internet作为VPN的公用网络时，PPTP服务器是启用PPTP的VPN服务器，一个接口在Internet上，一个在Intranet上。

　　封装

　　PPTP 将 PPP 帧封装在 IP 数据报中，以便通过网络传输。PPTP 使用 TCP 连接进行隧道管理，使用修订版的通用路由封装 (GRE) 封装隧道数据的 PPP 帧。封装的 PPP 帧的有效负载可以加密、压缩或加密并压缩。下图显示包含 IP 数据报的 PPTP 数据包的结构。

　　包含 IP 数据报的 PPTP 数据包的结构

　　加密

　　可使用 MS-CHAP v2 或 EAP-TLS 身份验证进程生成的加密密钥，通过 Microsoft 点对点加密 (MPPE) 对 PPP 帧进行加密。虚拟专用网络客户端只有使用 MS-CHAP v2 或 EAP-TLS 身份验证协议才能对 PPP 帧的有效负载进行加密。PPTP 利用基础 PPP 加密并封装以前加密的 PPP 帧。

　　2、L2TP

　　L2TP第 2 层隧道协议 (L2TP) 是IETF基于L2F (Cisco的第二层转发协议)开发的PPTP的后续版本。是一种工业标准 Internet 隧道协议，L2TP允许对多协议通信进行加密，然后通过任何支持点对点数据报传输(例如IP或异步传输模式(ATM)的媒体发送)。TP 是 PPTP 和第 2 层转发 (L2F) 的组合，L2TP 代表了 PPTP 和 L2F 的最佳功能。PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。PPTP只能在两端点间建立单一隧道。 L2TP支持在两端点间使用多隧道，用户可以针对不同的服务质量创建不同的隧道。L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP 或PPTP与IPSEC共同使用时，可以由IPSEC提供隧道验证，不需要在第2层协议上验证隧道使用L2TP。PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接，L2TP可以在IP(使用UDP)，桢中继永久虚拟电路 (PVCs),X.25虚拟电路(VCs)或ATM VCs网络上使用。

　　封装

　　L2TP/IPsec 数据包的封装分为两层：

　　第一层：L2TP 封装

　　PPP 帧(IP 数据报)使用 L2TP 标头和 UDP 标头封装。

　　包含 IP 数据报的 L2TP 数据包的结构

　　第二层：IPsec 封装

　　使用 IPsec 封装安全有效负载 (ESP) 标头和尾端、提供消息完整性和身份验证的 IPsec 身份验证尾部以及最终的 IP 标头来封装生成的 L2TP 消息。IP 标头中是与 VPN 客户端和 VPN 服务器对应的源 IP 地址和目标 IP 地址。

　　使用 IPsec ESP 对 L2TP 通信进行加密

      加密

　　使用 Internet 密钥交换 (IKE) 协商进程生成的加密密钥，通过数据加密标准 (DES) 或三重 DES (3DES) 对 L2TP 消息进行加密。

　　3、SSTP

　　安全套接字隧道协议 (SSTP) 是一种新的隧道协议，在 TCP 端口 443 上使用 HTTPS 协议，使通信可以通过可能阻止 PPTP 通信和 L2TP/IPsec 通信的防火墙和 Web 代理。SSTP 提供了一种机制，用于封装通过 HTTPS 协议的安全套接字层 (SSL) 通道传输的 PPP 通信。使用 PPP 可以支持强大的身份验证方法(例如 EAP-TLS)。SSL 提供了增强的密钥协商、加密和完整性检查，从而确保了传输级的安全性。

　　客户端尝试建立基于 SSTP 的 VPN 连接时，SSTP 首先与 SSTP 服务器建立双向 HTTPS 层。通过此 HTTPS 层，协议数据包作为数据有效负载传输。

　　封装

　　SSTP 将 PPP 帧封装在 IP 数据报中，以便通过网络传输。SSTP 使用 TCP 连接(在端口 443 上)进行隧道管理，并使用 PPP 数据帧。

　　加密

　　SSTP 消息使用 HTTPS 协议的 SSL 通道进行加密。

　　选择隧道协议

　　在 PPTP、L2TP/IPsec 和 SSTP 远程访问 VPN 解决方案之间进行选择时，请考虑下列事项：

　　PPTP 可以用于各种 Microsoft 客户端(包括 Microsoft Windows 2000、Windows XP、Windows Vista 和 Windows Server 2008)。与 L2TP/IPsec 不同，PPTP 不要求使用公钥结构 (PKI)。基于 PPTP 的 VPN 连接使用加密来提供数据保密性(没有加密密钥无法解释捕获的数据包)。但是，基于 PPTP 的 VPN 连接不提供数据完整性(保证数据在传输中未更改)或数据源身份验证(保证数据由经过授权的用户发送)。

　　L2TP 只能用于运行 Windows 2000、Windows XP 或 Windows Vista 的客户端计算机。L2TP 支持将计算机证书或预共享密钥作为 IPsec 的身份验证方法。计算机证书身份验证是建议的身份验证方法，要求使用 PKI 来向 VPN 服务器计算机和所有 VPN 客户端计算机颁发计算机证书。L2TP/IPsec VPN 连接使用 IPsec 来提供数据保密性、数据完整性和数据身份验证。

　　与 PPTP 和 SSTP 不同，L2TP/IPsec 启用 IPsec 层的计算机身份验证和 PPP 层的用户级身份验证。SSTP 只能用于运行 Windows Vista Service Pack 1 (SP1) 或 Windows Server 2008 的客户端计算机。SSTP VPN 连接使用 SSL 来提供数据保密性、数据完整性和数据身份验证。

　　三种隧道类型均在网络协议堆栈顶部传送 PPP 帧。因此，三种隧道类型的 PPP 常用功能(例如身份验证方案、Internet 协议第 4 版 (IPv4) 协商和 Internet 协议第 6 版 (IPV6) 协商以及网络访问保护 (NAP))保持相同。

　　L2TP与PPTP的不同:

　　PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据。在互联网络上的传输。尽管两个协议非常相似，但是仍存在以下几方面的不同：

　　1)PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP(使用UDP)，桢中继永久虚拟电路(PVCs),X.25虚拟电路(VCs)或ATM VCs网络上使用。

　　2)PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道。

　　3)L2TP可以提供包头压缩。当压缩包头时，系统开销(overhead)占用4个字节，而PPTP协议下要占用6个字节。

　　4)L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时，可以由IPSEC提供隧道验证，不需要在第2层协议上验证隧道

　　5)L2TP访问集中器(L2TP Network Server，LNS)是一种附属在网络上的具有PPP端系统和L2Tpv2协议处理能力的设备，它一般就是一个网络接入服务器软件，在远程客户端完成网络接入服务的功能。

　　6)L2TP网络服务器(L2TP Network Server，LNS)是用于处理L2TP协议服务器端的软件。

　　如果您还想了解更多关于VPN的相关知识，可以自己深入学习。课课家教育有众多实用的视频等您来学习，欢迎加入!