2024年3月27日发(作者:)

一、 关于VPN封装协议。

1、

PPTP。

PPTP是由微软、Ascend、3COM、ECI、USR公司合組之PPTP论坛(PPTP

Forum)所提出的

帧通过通用路由封装(Generic Routing Encapsulation,GRE,协议ID

47)报头和IP报头(tcp 1723)进行封装,在IP报头中提供了与VPN客户

端和VPN服务器相对应的源IP地址和目标IP地址。

使用microsoft端到端加密(MPPE)技术来对多种协议的数据包进行加密、

封装和在IP网络上进行隧道传输。

PPTP隧道连接协商身份验证、压缩与加密。

PPTP支持VPN客户端IP地址的动态分配。

MPPE使用RSA/RC4算法和40位、56位或128位的密钥进行加密。

2、

L2TP。

微软PPTP隧道协议和CISCO第二层转发协议(L2F)的结合体,在RFC

2661中进行定义(最新的版本是L2TPv3,在RFC 3931中定义)。与PPTP

利用MPPE进行数据包加密不同,L2TP依靠Internet协议安全性(IPSec)

技术提供加密服务。L2TP与IPSec的结合产物称为L2TP/IPSec,VPN客户

端与VPN服务器都必须支持L2TP和IPSec才能使用L2TP/IPSec。L2TP将

随同路由与远程访问服务一起自动进行安装。

L2TP使用UDP协议来进行隧道管理;

L2TP基于UDP协议发送封装的PPP数据包;

负载数据可以被加密和压缩;

对于计算机验证,要求计算机证书。VPN客户端和VPN服务器(远程访问VPN)、

或两端的VPN服务器(站点到站点VPN)都必须具有有效的证书。可以配置使

用预共享的L2TP密钥,这样就无需计算机证书,但是由于所有VPN客户都必

须配置相同的预共享密钥,这样带来的后果是极大的降低了L2TP的安全性。

每一端都必须能够验证另一端提供的证书是否有效,如果计算机证书是由不同

的证书权威颁发,那么会出现问题。

L2TP/IPSec使用UDP端口500、1701

3、

PPTP和L2TP/IPSec的区别。

PPTP使用MPPE进行加密,L2TP/IPSec和IPSec隧道模式使用IPSec ESP

进行加密。

PPTP加密在PPP身份验证通过后处理连接时开始,因此,身份验证过程没有

被MPPE加密。L2TP/IPSec会先进行安全协商再进行身份验证,并对PPP身

份验证数据包进行加密,因此L2TP/IPSec比PPTP提供了更高的安全性。

PPTP使用MMPE和RC4,而L2TP/IPSec使用DES或3DES;

L2TP/IPSec还要求使用计算机证书进行计算机验证。因此,L2TP/IPSec提

供了更强壮的身份验证过程。但是,带来的不便之处是L2TP/IPSec需要公共

密钥基础服务(PKI)或预共享的连接密钥,而PPTP则无需PKI。

可以将基于PPTP的VPN服务器部署在NAT网关后,但是不建议将基于

L2TP/IPSec、IPSec的VPN服务器部署在NAT网关后。

L2TP/IPSec比PPTP更耗费CPU性能。

4、

选择VPN封装协议时应考虑的问题。

是否存在公共密钥基础服务(PKI),如果不存在则选择PPTP;强烈建议不要

在商用网络中通过预共享的连接密钥来使用L2TP,这样会极大的降低L2TP的

安全性;

如果要求最高的安全级别,选择L2TP/IPSec;

如果企业安全策略要求DES或3DES,则使用L2TP/IPSec;

如果使用IPSec导致CPU负荷过重,使用PPTP;

如果VPN服务器部署在NAT网关后,选择PPTP;

部署PPTP比部署IPSec更为简单。

微软不推荐在NAT网关后的windows server 2003上使用IPSec NAT-T,

并且修改了windows XP SP2中的IPSec通讯行为,使其默认情况下不再支持

NAT网关后的IPSec NAT-T。