VPN 隧道协议PPTP、L2TP、IPSec和SSLVPN的区别

标签: 网络软件 IPSec L2TP OpenVPN PPTP | 发表时间:2011-09-23 09:36 | 作者:Mr·K QQ
出处:http://www.x-berry.com

最近软矿频繁地介绍了各种VPN,有免费的PacketiX.NETHotspot Shield,有付费的Astrill VPNiVPNPureVPN。在介绍这些VPN的时候,常常会说到PPTP、L2TP、IPSec和SSLVPN等定义,到底这些词汇的意思是什么,它们之前有何区别呢?

ssl vpn access anywhere

下面借用一下中国IT实验室的一篇文章,里面详细介绍了PPTP、L2TP、IPSec和SSLVPN的定义和它们之间的不同之处和相同的地方。

VPN (虚拟专用网)发展至今已经不在是一个单纯的经过加密的访问隧道了,它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能,并在全球的 信息安全体系中发挥着重要的作用。也在网络上,有关各种VPN协议优缺点的比较是仁者见仁,智者见智,很多技术人员由于出于使用目的考虑,包括访问控制、 安全和用户简单易用,灵活扩展等各方面,权衡利弊,难以取舍;尤其在VOIP语音环境中,网络安全显得尤为重要,因此现在越来越多的网络电话和语音网关支 持VPN协议。

vipnet office ip vpn encryption

PPTP

点对点隧道协议 (PPTP) 是由包括微软和3Com等公司组成的PPTP论坛开发的一种点对点隧道协,基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法,或者使用 Microsoft的点对点加密算法MPPE。其通过跨越基于 TCP/IP 的数据网络创建 VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP 支持通过公共网络(例如 Internet)建立按需的、多协议的、虚拟专用网络。PPTP 允许加密 IP 通讯,然后在要跨越公司 IP 网络或公共 IP 网络(如 Internet)发送的 IP 头中对其进行封装。

Site to site pptp example

L2TP

L2TP第 2 层隧道协议 (L2TP) 是IETF基于L2F (Cisco的第二层转发协议)开发的PPTP的后续版本。是一种工业标准 Internet 隧道协议,其可以为跨越面向数据包的媒体发送点到点协议 (PPP) 框架提供封装。PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。PPTP只能在两端点间建立单一隧道。 L2TP支持在两端点间使用多隧道,用户可以针对不同的服务质量创建不同的隧道。L2TP可以提供隧道验证,而PPTP则不支持隧道验证。但是当L2TP 或PPTP与IPSEC共同使用时,可以由IPSEC提供隧道验证,不需要在第2层协议上验证隧道使用L2TP。 PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接,L2TP可以在IP(使用UDP),桢中继永久虚拟电路 (PVCs),X.25虚拟电路(VCs)或ATM VCs网络上使用。

L2TP

IPSec

IPSec 隧道模式隧道是封装、路由与解封装的整个 过程。隧道将原始数据包隐藏(或封装)在新的数据包内部。该新的数据包可能会有新的寻址与路由信息,从而使其能够通 过网络传输。隧道与数据保密性结合使用时,在网络上窃听通讯的人将无法获取原始数据包数据(以及原始的源和目标)。封装的数据包到达目的地后,会删除封 装,原始数据包头用于将数据包路由到最终目的地。

ipsec vpn

隧道本身是封装数据经过的逻辑数据路径,对原始的源和目的端,隧道是不可见的,而只能看到网络路径中的点对点连接。连接双方并不关心隧道起点和终点之间的任何路由器、交换机、代理服务器或其他安全网关。将隧道和数据保密性结合使用时,可用于提供VPN。

封装的数据包在网络中的隧道内部传输。在此示例中,该网络是 Internet。网关可以是外部 Internet 与专用网络间的周界网关。周界网关可以是路由器、防火墙、代理服务器或其他安全网关。另外,在专用网络内部可使用两个网关来保护网络中不信任的通讯。

当以隧道模式使用 IPSec 时,其只为 IP 通讯提供封装。使用 IPSec 隧道模式主要是为了与其他不支持 IPSec 上的 L2TP 或 PPTP VPN 隧道技术的路由器、网关或终端系统之间的相互操作。

SSLVPN

SSL VPNSSL VPN, SSL协议提供了数据私密性、端点验证、信息完整性等特性。SSL协议由许多子协议组成,其中两个主要的子协议是握手协议和记录协议。握手协议允许服务器 和客户端在应用协议传输第一个数据字节以前,彼此确认,协商一种加密算法和密码钥匙。在数据传输期间,记录协议利用握手协议生成的密钥加密和解密后来交换 的数据。

ssl vpn

SSL独立于应用,因此任何一个应用程序都可以享受它的安全性而不必理会执行细节。SSL置身于网络结构体系的 传输层和应用层之间。此外,SSL本身就被几乎所有的Web浏览器支持。这意味着客户端不需要为了支持SSL连接安装额外的软件。这两个特征就是SSL能 应用于VPN的关键点。

典型的SSL VPN应用如OpenVPN,是一个比较好的开源软件。我们的产品提供了PPTP和OpenVPN两种应用,PPTP主要为那些经常外出移动或家庭办公的 用户考虑;而OpenVPN主要是针对企业异地两地总分公司之间的VPN不间断按需连接,例如ERP在企业中的应用。

OpenVPN 允许参与建立VPN的单点使用预设的私钥,第三方证书,或者用户名/密码来进行身份验证。它大量使用了OpenSSL加密库,以及SSLv3/TLSv1 协议。OpenVPN能在Linux、xBSD、Mac OS X与Windows 2000/XP上运行。它并不是一个基于Web的VPN软件,也不与IPsec及其他VPN软件包兼容。

隧道加密

OpenVPN使用OpenSSL库加密数据与控制信息:它使用了OpesSSL的加密以及验证功能,意味着,它能够使用任何OpenSSL支持的算法。它提供了可选的数据包HMAC功能以提高连接的安全性。此外,OpenSSL的硬件加速也能提高它的性能。

验证

OpenVPN提供了多种身份验证方式,用以确认参与连接双方的身份,包括:预享私钥,第三方证书以及用户名/密码组合。预享密钥最为简单,但同时它 只能用于建立点对点的VPN;基于PKI的第三方证书提供了最完善的功能,但是需要额外的精力去维护一个PKI证书体系。OpenVPN2.0后引入了用 户名/口令组合的身份验证方式,它可以省略客户端证书,但是仍有一份服务器证书需要被用作加密.

网络

OpenVPN所有的通信都基于一个单一的IP端口,默认且推荐使用UDP协议通讯,同时TCP也被支持。OpenVPN连接能通过大多数的代理服务 器,并且能够在NAT的环境中很好地工作。服务端具有向客户端“推送”某些网络配置信息的功能,这些信息包括:IP地址、路由设置等。OpenVPN提供 了两种虚拟网络接口:通用Tun/Tap驱动,通过它们,可以建立三层IP隧道,或者虚拟二层以太网,后者可以传送任何类型的二层以太网络数据。传送的数 据可通过LZO算法压缩。IANA(Internet Assigned Numbers Authority)指定给OpenVPN的官方端口为1194。OpenVPN 2.0以后版本每个进程可以同时管理数个并发的隧道。

OpenVPN使用通用网络协议(TCP与UDP)的特点使它成为IPsec等协议的理想替代,尤其是在ISP(Internet service provider)过滤某些特定VPN协议的情况下。在选择协议时候,需要注意2个加密隧道之间的网络状况,如有高延迟或者丢包较多的情况下,请选择 TCP协议作为底层协议,UDP协议由于存在无连接和重传机制,导致要隧道上层的协议进行重传,效率非常低下。

安全

OpenVPN与生俱来便具备了许多安全特性:它在用户空间运行,无须对内核及网络协议栈作修改;初始完毕后以chroot方式运行,放弃root权限;使用mlockall以防止敏感数据交换到磁盘。

OpenVPN通过PKCS#11支持硬件加密标识,如智能卡。(via 中国IT实验室)

如果你想了解更多关于VPN的知识,可以阅读一下微软技术资源库提供的关于虚拟专用网络的知识介绍:包括什么叫VPN,VPN隧道协议,VPN 和防火墙,VPN 的网络访问保护强制和配置 VPN 远程访问服务器。
还有维基百科和百度百科对虚拟专用网络的介绍。

http://baike.baidu.com/view/19735.htm
http://zh.wikipedia.org/zh/虛擬私人網路

本站文章除注明转载外,均为本站原创编译。转载请注明本文链接!
本文链接:http://www.x-berry.com/vpn-tunneling-protocol
订阅本站:http://feed.x-berry.com/

相关日志

相关 [vpn 隧道协议 pptp] 推荐:

VPN 隧道协议PPTP、L2TP、IPSec和SSLVPN的区别

- QQ - 软矿
最近软矿频繁地介绍了各种VPN,有免费的PacketiX.NET和Hotspot Shield,有付费的Astrill VPN,iVPN和PureVPN. 在介绍这些VPN的时候,常常会说到PPTP、L2TP、IPSec和SSLVPN等定义,到底这些词汇的意思是什么,它们之前有何区别呢. 下面借用一下中国IT实验室的一篇文章,里面详细介绍了PPTP、L2TP、IPSec和SSLVPN的定义和它们之间的不同之处和相同的地方.

安装PPTP VPN

- - C1G军火库
其它VPN还有IPSEC VPN,L2TP VPN几种,PPTP最简便,IPSEC VPN最通用,各个平台都支持,L2TP VPN最安全. 由于Linux本身并没有集成PPTP功能,所以需要安装相关组件以让我们的RedHat支持PPP,根据内核的版本,下载相应的安装包. 我这里是centos5.8 64位.

在 Ubuntu 上搭建 VPN (PPTP)

- - keakon的涂鸦馆
前些日子公司买了个 Linode 的 VPS 用来测试,今天客户需要用 VPN,于是就决定在 VPS 上搭个用用了. 以 root 账户登录 VPS,或者当你运行下列命令提示权限不够时,加上 sudo 再运行. 编辑 /etc/pptpd.conf 文件,取消注释以下 2 行:. 添加 PPTP 账户:.

VPN三合一安装包(PPTP,L2TP,OpenVPN)

- bill boy - iGFW
2011.7.2更新:添加验证已安装mysql的root用户密码是否正确;添加Daloradius,RadiusManager,apache. 2011.5.8更新:添加可选使用本机freeradius服务或者使用远程freeradius服务器,如果使用远程则不会在本机安装freeradius及mysql服务; 提高Mysql是否安装识别,去除Nginx,phpMyAdmin,daloradius安装,这些功能建议单独安装,还原OPENVPN端口为1194.

两个免费美国PPTP VPN

- 勇 - iGFW
是的,我们提供最好的免费VPN服务. 您没有使用我们高品质的免费VPN服务. 既然我们是在VPN服务多年的专家,我们的免费服务是非常快速和可靠的的. 使用免费的VPN安全的互联网访问隐私和匿名. 在您的计算机和设备中使用我们的PPTP的免费VPN很容易,只需使用内置PPTP协议的免费VPN客户端,在大多数的操作系统,手机和网络设备,而无需安装任何额外的VPN软件:.

一个牙买加的免费PPTP VPN

- 勇 - iGFW
一个牙买加的免费VPN,测试可用速度很慢,. 连接VPN后如果不能浏览网页,设置浏览器代理为192.168.4.2:3128后再试,其他限制看官网. 这类网络上不知底细的免费VPN或SSH等各类代理,不知道有没有在服务器上做什么手脚,安全性未知,. 注重安全者还是配合Tor、无界之类使用为好. 下载地址:http://down.qiannao.com/space/file/lxvoip/share/2011/10/12/-6613-98ceVPN_-514d-8d39-7248.exe/.page.

PPTP、L2TP、IPSec和SSL VPN(如OpenVPN)的区别

- 建军 - iGFW
VPN (虚拟专用网)发展至今已经不在是一个单纯的经过加密的访问隧道了,它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能,并在全球的 信息安全体系中发挥着重要的作用. 也在网络上,有关各种VPN协议优缺点的比较是仁者见仁,智者见智,很多技术人员由于出于使用目的考虑,包括访问控制、 安全和用户简单易用,灵活扩展等各方面,权衡利弊,难以取舍;尤其在VOIP语音环境中,网络安全显得尤为重要,因此现在越来越多的网络电话和语音网关支 持VPN协议.

"sshour提供免费美国pptp vpn服务

- Miro - Cao Liu
密码不定期更换,如果不能连接了,可以去其网站查看最新密码. 更多信息请访问官网: http://sshour.com/. 不错,支持了~ 好久没用VPN 是个好东西,不过不用 顶下了 1024 支持了 支持啊.

免费的 VPN服务 VPNCUP(现已开通PPTP,L2TP IPSec和OpenVPN服务)

- 伤心狼X - HaoRuan.net
VPNCUP是专业在线VPN服务商,提供PPTP服务,L2TP服务,OpenVPN服务. 继续阅读《免费的 VPN服务 VPNCUP(现已开通PPTP,L2TP IPSec和OpenVPN服务)》的全文内容.... 分类: 网络科技 | Tags: VPN   免费   网络   | 添加评论(12).