PPTP-vpn與L2TP-vpn的區別
使用PPTP方式的VPN連接時,VPN服務器端保持著1723端口與客戶端一任意端口的TCP連接,TCP端口1723上跑的是PPTPControlMessage,包括了PPTP隧道創建,維護和終止之類的日常管理工作(建立/斷開VPN連接的請求等).客戶端通過TCP與服務器1723端口建立連接后,進入基于GRE(通用路由協議--IP協議編號為47,TCP的IP協議編號為6)的PPP協商,包括了用戶驗證,數據傳輸等所有通訊.斷開VPN連接時又用到了基于1723端口的PPTPControlMessage.
也就是說,PPTP方式的VPN連接,VPN客戶端的建立/斷開連接請求都是通過和服務器的TCP1723端口用PPTP協議聯系的,至于具體的用戶驗證,數據傳輸等都是通過PPP協議來通訊的,而PPP協議又是跑在GRE(和TCP,UDP協議平行的協議,GRE的IP協議編號為47)之上的.
PPTP方式的VPN有以下幾個特點:
1.VPN客戶端可以使用私有地址通過NAT服務器來連接具有合法地址VPN服務器;
2.VPN連接時只有一層驗證--就是用戶身份驗證
使用L2TP方式VPN連接時,VPN服務器保持著1701端口與客戶端1701端口的UDP"連接".由于Microsoft不鼓勵將L2TP直接暴露在網絡中,因此自動為L2TP連接創建一個使用證書方式認證IPsec策略(當然可以通過修改注冊表使證書認證變成與共享密鑰認證)
因此L2TP通訊就被裹在IPsec策略創建的Ipsec隧道內,用ipsecmon可以看清楚實際上還是1701<-->1701的UDP通訊
VPN開始通訊時,需要雙方交換密鑰,這是通過UPD500端口的ISAKMP來實現的.從此以后所有的VPN通訊,包括建立/斷開連接請求,用戶驗證,數據傳輸都是通過ESP(與TCP,UDP協議平行的協議,ESP的IP編號為50)之上傳輸的.
L2TP/IPsec方式的VPN有以下幾個特點:
1.VPN客戶端無法使用私有地址來連接具有合法地址的VPN服務器(2002年末經過Microsoft公司的努力(MicrosoftKnowledgeBaseArticle-818043),使用了NAT-T技術,可以讓L2TP/IPsec方式的VPN可以穿越內網)
2.VPN連接需要兩層驗證:密鑰驗證和用戶身份驗證(其中密鑰是Ipsec層面的認證)
【編輯推薦】
