上網(wǎng)行為管理系統(tǒng)：PPTP、L2TP、IPSec、VPN的區(qū)別

申請免費試用、咨詢電話：400-8352-114

VPN (虛擬專用網(wǎng))發(fā)展至今已經(jīng)不在是一個單純的經(jīng)過加密的訪問隧道了，它已經(jīng)融合了訪問控制、傳輸管理、加密、路由選擇、可用性管理等多種功能，并在全球的 信息安全體系中發(fā)揮著重要的作用。也在網(wǎng)絡(luò)上，有關(guān)各種VPN協(xié)議優(yōu)缺點的比較是仁者見仁，智者見智，很多技術(shù)人員由于出于使用目的考慮，包括訪問控制、 安全和用戶簡單易用，靈活擴展等各方面，權(quán)衡利弊，難以取舍;尤其在VOIP語音環(huán)境中，網(wǎng)絡(luò)安全顯得尤為重要，因此現(xiàn)在越來越多的網(wǎng)絡(luò)電話和語音網(wǎng)關(guān)支 持VPN協(xié)議。

一、PPTP

點對點隧道協(xié)議 (PPTP) 是由包括微軟和3Com等公司組成的PPTP論壇開發(fā)的一種點對點隧道協(xié)，基于撥號使用的PPP協(xié)議使用PAP或CHAP之類的加密算法，或者使用 Microsoft的點對點加密算法MPPE。其通過跨越基于 TCP/IP 的數(shù)據(jù)網(wǎng)絡(luò)創(chuàng)建 VPN 實現(xiàn)了從遠程客戶端到專用企業(yè)服務(wù)器之間數(shù)據(jù)的安全傳輸。PPTP 支持通過公共網(wǎng)絡(luò)(例如 Internet)建立按需的、多協(xié)議的、虛擬專用網(wǎng)絡(luò)。PPTP 允許加密 IP 通訊，然后在要跨越公司 IP 網(wǎng)絡(luò)或公共 IP 網(wǎng)絡(luò)(如 Internet)發(fā)送的 IP 頭中對其進行封裝。

二、L2TP

第 2 層隧道協(xié)議 (L2TP) 是IETF基于L2F (Cisco的第二層轉(zhuǎn)發(fā)協(xié)議)開發(fā)的PPTP的后續(xù)版本。是一種工業(yè)標準 Internet 隧道協(xié)議，其可以為跨越面向數(shù)據(jù)包的媒體發(fā)送點到點協(xié)議 (PPP) 框架提供封裝。PPTP和L2TP都使用PPP協(xié)議對數(shù)據(jù)進行封裝，然后添加附加包頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸。PPTP只能在兩端點間建立單一隧道。 L2TP支持在兩端點間使用多隧道，用戶可以針對不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道。L2TP可以提供隧道驗證，而PPTP則不支持隧道驗證。但是當L2TP 或PPTP與IPSEC共同使用時，可以由IPSEC提供隧道驗證，不需要在第2層協(xié)議上驗證隧道使用L2TP。 PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)。L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點對點的連接，L2TP可以在IP(使用UDP)，楨中繼永久虛擬電路 (PVCs),X.25虛擬電路(VCs)或ATM VCs網(wǎng)絡(luò)上使用。

三、IPSec

IPSec 隧道模式隧道是封裝、路由與解封裝的整個過程。隧道將原始數(shù)據(jù)包隱藏(或封裝)在新的數(shù)據(jù)包內(nèi)部。該新的數(shù)據(jù)包可能會有新的尋址與路由信息，從而使其能夠 通 過網(wǎng)絡(luò)傳輸。隧道與數(shù)據(jù)保密性結(jié)合使用時，在網(wǎng)絡(luò)上竊聽通訊的人將無法獲取原始數(shù)據(jù)包數(shù)據(jù)(以及原始的源和目標)。封裝的數(shù)據(jù)包到達目的地后，會刪除封 裝，原始數(shù)據(jù)包頭用于將數(shù)據(jù)包路由到最終目的地。

隧道本身是封裝數(shù)據(jù)經(jīng)過的邏輯數(shù)據(jù)路徑，對原始的源和目的端，隧道是不可見的，而只能看到網(wǎng)絡(luò)路徑中的點對點連接。連接雙方并不關(guān)心隧道起點和終點之間的任何路由器、交換機、代理服務(wù)器或其他安全網(wǎng)關(guān)。將隧道和數(shù)據(jù)保密性結(jié)合使用時，可用于提供VPN。

封裝的數(shù)據(jù)包在網(wǎng)絡(luò)中的隧道內(nèi)部傳輸。在此示例中，該網(wǎng)絡(luò)是 Internet。網(wǎng)關(guān)可以是外部 Internet 與專用網(wǎng)絡(luò)間的周界網(wǎng)關(guān)。周界網(wǎng)關(guān)可以是路由器、防火墻、代理服務(wù)器或其他安全網(wǎng)關(guān)。另外，在專用網(wǎng)絡(luò)內(nèi)部可使用兩個網(wǎng)關(guān)來保護網(wǎng)絡(luò)中不信任的通訊。

當以隧道模式使用 IPSec 時，其只為 IP 通訊提供封裝。使用 IPSec 隧道模式主要是為了與其他不支持 IPSec 上的 L2TP 或 PPTP VPN 隧道技術(shù)的路由器、網(wǎng)關(guān)或終端系統(tǒng)之間的相互操作。

四、SSL VPN

SSL協(xié)議提供了數(shù)據(jù)私密性、端點驗證、信息完整性等特性。SSL協(xié)議由許多子協(xié)議組成，其中兩個主要的子協(xié)議是握手協(xié)議和記錄協(xié)議。握手協(xié)議允許 服務(wù)器和客戶端在應(yīng)用協(xié)議傳輸?shù)谝粋€數(shù)據(jù)字節(jié)以前，彼此確認，協(xié)商一種加密算法和密碼鑰匙。在數(shù)據(jù)傳輸期間，記錄協(xié)議利用握手協(xié)議生成的密鑰加密和解密后 來交換的數(shù)據(jù)。

SSL獨立于應(yīng)用，因此任何一個應(yīng)用程序都可以享受它的安全性而不必理會執(zhí)行細節(jié)。SSL置身于網(wǎng)絡(luò)結(jié)構(gòu)體系的 傳輸層和應(yīng)用層之間。此外，SSL本身就被幾乎所有的Web瀏覽器支持。這意味著客戶端不需要為了支持SSL連接安裝額外的軟件。這兩個特征就是SSL能 應(yīng)用于VPN的關(guān)鍵點。

典型的SSL VPN應(yīng)用如OpenVPN,是一個比較好的開源軟件。PPTP主要為那些經(jīng)常外出移動或家庭辦公的用戶考慮;而OpenVPN主要是針對企業(yè)異地兩地總分公司之間的VPN不間斷按需連接，例如ERP在企業(yè)中的應(yīng)用。

【推薦閱讀】

◆上網(wǎng)行為運維管理專區(qū)

◆上網(wǎng)行為運維一體化管理的內(nèi)涵如何把握？

◆上網(wǎng)行為運維管理的七大內(nèi)容和四個技巧

◆部署全移動網(wǎng)絡(luò)環(huán)境 提升企業(yè)移動管理價值

◆網(wǎng)管軟件專區(qū)