VPN 隧道协议PPTP、L2TP、IPSec和SSLVPN的区别

VPN 隧道协议PPTP、L2TP、IPSec和SSLVPN的区别

VPN (虚拟专用网)发展至今已经不在是一个单纯的经过加密的访问隧道了,它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能,并在全球的信息安全体系中发挥着重要的作用。也在网络上,有关各种VPN协议优缺点的比较是仁者见仁,智者见智,很多技术人员由于出于使用目的考虑,包括访问控制、 安全和用户简单易用,灵活扩展等各方面,权衡利弊,难以取舍;尤其在VOIP语音环境中,网络安全显得尤为重要,因此现在越来越多的网络电话和语音网关支持VPN协议。

PPTP

点对点隧道协议 (PPTP) 是由包括微软和3Com等公司组成的PPTP论坛开发的一种点对点隧道协,基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法,或者使用Microsoft的点对点加密算法MPPE。其通过跨越基于 TCP/IP 的数据网络创建 VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP 支持通过公共网络(例如 Internet)建立按需的、多协议的、虚拟专用网络。PPTP 允许加密 IP 通讯,然后在要跨越公司 IP 网络或公共 IP 网络(如 Internet)发送的 IP 头中对其进行封装。

Site-to-site-pptp-example

L2TP

第 2 层隧道协议 (L2TP) 是IETF基于L2F (Cisco的第二层转发协议)开发的PPTP的后续版本。是一种工业标准 Internet 隧道协议,其可以为跨越面向数据包的媒体发送点到点协议 (PPP) 框架提供封装。PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。PPTP只能在两端点间建立单一隧道。 L2TP支持在两端点间使用多隧道,用户可以针对不同的服务质量创建不同的隧道。L2TP可以提供隧道验证,而PPTP则不支持隧道验证。但是当L2TP 或PPTP与IPSEC共同使用时,可以由IPSEC提供隧道验证,不需要在第2层协议上验证隧道使用L2TP。 PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接,L2TP可以在IP(使用UDP),桢中继永久虚拟电路 (PVCs),X.25虚拟电路(VCs)或ATM VCs网络上使用。

L2TP

IPSec

IPSec 的隧道是封装、路由与解封装的整个过程。隧道将原始数据包隐藏(或封装)在新的数据包内部。该新的数据包可能会有新的寻址与路由信息,从而使其能够通过网络传输。隧道与数据保密性结合使用时,在网络上窃听通讯的人将无法获取原始数据包数据(以及原始的源和目标)。封装的数据包到达目的地后,会删除封装,原始数据包头用于将数据包路由到最终目的地。

ipsec-vpn

隧道本身是封装数据经过的逻辑数据路径,对原始的源和目的端,隧道是不可见的,而只能看到网络路径中的点对点连接。连接双方并不关心隧道起点和终点之间的任何路由器、交换机、代理服务器或其他安全网关。将隧道和数据保密性结合使用时,可用于提供VPN。

封装的数据包在网络中的隧道内部传输。在此示例中,该网络是 Internet。网关可以是外部 Internet 与专用网络间的周界网关。周界网关可以是路由器、防火墙、代理服务器或其他安全网关。另外,在专用网络内部可使用两个网关来保护网络中不信任的通讯。

当以隧道模式使用 IPSec 时,其只为 IP 通讯提供封装。使用 IPSec 隧道模式主要是为了与其他不支持 IPSec 上的 L2TP 或 PPTP VPN 隧道技术的路由器、网关或终端系统之间的相互操作。

SSLVPN

SSL协议提供了数据私密性、端点验证、信息完整性等特性。SSL协议由许多子协议组成,其中两个主要的子协议是握手协议和记录协议。握手协议允许服务器 和客户端在应用协议传输第一个数据字节以前,彼此确认,协商一种加密算法和密码钥匙。在数据传输期间,记录协议利用握手协议生成的密钥加密和解密后来交换 的数据。

ssl-vpn

SSL独立于应用,因此任何一个应用程序都可以享受它的安全性而不必理会执行细节。SSL置身于网络结构体系的传输层和应用层之间。此外,SSL本身就被几乎所有的Web浏览器支持。这意味着客户端不需要为了支持SSL连接安装额外的软件。这两个特征就是SSL能 应用于VPN的关键点。

OpenVPN

典型的SSL VPN应用如OpenVPN,是一个比较好的开源软件。PPTP主要为那些经常外出移动或家庭办公的用户考虑;而OpenVPN主要是针对企业异地两地总分公司之间的VPN不间断按需连接,例如ERP在企业中的应用。

OpenVPN 允许参与建立VPN的单点使用预设的私钥,第三方证书,或者用户名/密码来进行身份验证。它大量使用了OpenSSL加密库,以及SSLv3/TLSv1 协议。OpenVPN能在Linux、xBSD、Mac OS X与Windows 2000/XP上运行。它并不是一个基于Web的VPN软件,也不与IPsec及其他VPN软件包兼容。

隧道加密

OpenVPN使用OpenSSL库加密数据与控制信息:它使用了OpesSSL的加密以及验证功能,意味着,它能够使用任何OpenSSL支持的算法。它提供了可选的数据包HMAC功能以提高连接的安全性。此外,OpenSSL的硬件加速也能提高它的性能。

验证

OpenVPN提供了多种身份验证方式,用以确认参与连接双方的身份,包括:预享私钥,第三方证书以及用户名/密码组合。预享密钥最为简单,但同时它 只能用于建立点对点的VPN;基于PKI的第三方证书提供了最完善的功能,但是需要额外的精力去维护一个PKI证书体系。OpenVPN2.0后引入了用 户名/口令组合的身份验证方式,它可以省略客户端证书,但是仍有一份服务器证书需要被用作加密.

网络

OpenVPN所有的通信都基于一个单一的IP端口,默认且推荐使用UDP协议通讯,同时TCP也被支持。OpenVPN连接能通过大多数的代理服务 器,并且能够在NAT的环境中很好地工作。服务端具有向客户端“推送”某些网络配置信息的功能,这些信息包括:IP地址、路由设置等。OpenVPN提供 了两种虚拟网络接口:通用Tun/Tap驱动,通过它们,可以建立三层IP隧道,或者虚拟二层以太网,后者可以传送任何类型的二层以太网络数据。传送的数 据可通过LZO算法压缩。IANA(Internet Assigned Numbers Authority)指定给OpenVPN的官方端口为1194。OpenVPN 2.0以后版本每个进程可以同时管理数个并发的隧道。

OpenVPN使用通用网络协议(TCP与UDP)的特点使它成为IPsec等协议的理想替代,尤其是在ISP(Internet service provider)过滤某些特定VPN协议的情况下。在选择协议时候,需要注意2个加密隧道之间的网络状况,如有高延迟或者丢包较多的情况下,请选择 TCP协议作为底层协议,UDP协议由于存在无连接和重传机制,导致要隧道上层的协议进行重传,效率非常低下。

安全

OpenVPN与生俱来便具备了许多安全特性:它在用户空间运行,无须对内核及网络协议栈作修改;初始完毕后以chroot方式运行,放弃root权限;使用mlockall以防止敏感数据交换到磁盘。

OpenVPN通过PKCS#11支持硬件加密标识,如智能卡。

原文发布时间:2014-07-16

本文来自云栖合作伙伴“linux中国”

时间: 2024-10-29 16:00:32

VPN 隧道协议PPTP、L2TP、IPSec和SSLVPN的区别的相关文章

VPN隧道协议PPTP、L2TP、IPSec和SSLVPN

整理自网络: VPN (虚拟专用网)发展至今已经不在是一个单纯的经过加密的访问隧道了,它已经融合了访问控制.传输管理.加密.路由选择.可用性管理等多种功能,并在全球的 信息安全体系中发挥着重要的作用.也在网络上,有关各种VPN协议优缺点的比较是仁者见仁,智者见智,很多技术人员由于出于使用目的考虑,包括访问控制. 安全和用户简单易用,灵活扩展等各方面,权衡利弊,难以取舍;尤其在VOIP语音环境中,网络安全显得尤为重要,因此现在越来越多的网络电话和语音网关支 持VPN协议. 目前比较常见的VPN隧道

Mac OS系统PPTP/L2TP设置的详细步骤

  苹果电脑的操作系统是Mac OS系统,与我们熟悉的win系统的操作界面完全不同.那么,Mac OS系统想要进行PPTP/L2TP设置自然与win系统的完全不同.下面,我们一起来学习一下Mac OS系统PPTP/L2TP设置的详细步骤.对了,如果设置连接后VPN无效,比如连接后IP地址不变.无法访问墙网之类的,这种检查一下"通过VPN发送所有流量"这项是否勾选,具体设置步骤下文有提及. Mac OS系统 Mac OS PPTP/L2TP设置教程: 1.任务栏苹果图标里点击"

Ubuntu上搭建 L2TP/IPSec VPN的步骤详解

1.L2TP第二层隧道协议 是需要证书的一种访问方式.需要在VPN服务器内网安装一证书服务器,然后让VPN服务器信任该证书颁布机构,然后发布证书服务器,下载证书.VPN客户端需要访问需要先下载安装证书才可进行连接 2.IPSEC网际安全协议 是智能卡访问模式.  Linode使用有一段时间了,上面一直都搭着PPTP作为翻墙VPN,实际上使用蛮少的.最近想躺在床上就可以通过ipad翻墙看看新闻,但是查了下方法,大家都一直建议使用L2TP/IPSec VPN. 翻阅了不少人博客上的搭建方法,本来以为

企业路由器 PPTP/L2TP VPN配置图文教程

TL-ER6110/6120是TP-LINK专为企业应用而开发的VPN路由器,具备强大的数据处理能力,并且支持丰富的软件功能,包括VPN.IP/MAC 地址绑定.常见攻击防护.访问控制列表.QQ/MSN/迅雷/金融软件限制.IP带宽控制.连接数限制及电子公告等功能,适合企业.小区.酒店等组建安全.高效.易管理的网络. 需求介绍 某公司总公司位于深圳,经常还有员工出差到全国各地,现需要组建一个网络,出差员工都能够安全的访问公司内部邮件服务器和文件服务器,本文将通过一个实例来展示TL-ER6120的

在Linux中使用Openswan搭建站点到站点的IPsec VPN 隧道

在Linux中使用Openswan搭建站点到站点的IPsec VPN 隧道 虚拟私有网络(VPN)隧道是通过Internet隧道技术将两个不同地理位置的网络安全的连接起来的技术.当两个网络是使用私有IP地址的私有局域网络时,它们之间是不能相互访问的,这时使用隧道技术就可以使得两个子网内的主机进行通讯.例如,VPN隧道技术经常被用于大型机构中不同办公区域子网的连接. 有时,使用VPN隧道仅仅是因为它很安全.服务提供商与公司会使用这样一种方式架设网络,他们将重要的服务器(如,数据库,VoIP,银行服

CentOS 安装 L2TP/Ipsec VPN 方法详解

经过近半个月的无数次尝试,试验了好多个网络流传的安装方法,现将成功的方法记录如下. L2TP 一键安装包 Zed Lau的一键安装包装 http://www.vpseek.com/automated-l2tp-over-ipsec-implement-script,用此安装方法,特别省事. 安装环境:Linode Centos 5.6 32bit,Linode CentOS 6.2 64bit 安装步骤: wget http://mirror.vpseek.com/auto-l2tp/1.2/c

Windows 8系统PPTP/L2TP设置详细图文步骤

  目前很多用户的电脑都是安装了Windows 8系统,当用户要设置 PPTP/L2TP链接的时候,会发现,与Win7系统的链接方式有一些不同,Windows 8 PPTP/L2TP设置的步骤简化了一些,而另外就是某些设置选项打开入口不一样.下面将配合截图为大家介绍每一步操作. Windows 8 PPTP/L2TP设置步骤: 1.鼠标移至桌面边缘,弹出菜单选项,点击"设置". Windows 8 PPTP/L2TP设置步骤 2.打开系统"控制面板"(默认控制面板是

Windows XP系统下设置PPTP/L2TP连接的正确步骤

  虽然说,微软已经宣布:Windows XP系统退出历史舞台,但是,仍然有许多用户的电脑中安装着Windows XP系统.一些Windows XP系统用户发现想设置PPTP/L2TP连接的时候,按照Windows 7系统的教程去设置是不行的,那么,Windows XP系统用户该怎么正确设置PPTP/L2TP连接呢?一起来看看今天的教程吧! 第一步,您要有一个VPN帐号; 第二步,点击任务栏"开始"→"设置"→"控制面板",双击"网络连

《CCNP安全VPN 642-648认证考试指南(第2版)》——1.3节支持VPN的协议

1.3 支持VPN的协议 CCNP安全VPN 642-648认证考试指南(第2版) 正如本小节的标题所点明的,下面将介绍不同的协议,这些协议可以独立工作,也可以一起工作,它们为远程用户和远程站点访问公司的内部资源提供了一个安全的隧道和数据传输的方法.不过,这种访问方法是以一种无需危害内部安全策略的方式实现的.当你学习本书的其余的章节和配置示例时,请注意每种协议的角色和它们是如何工作的,从而提供了VPN连接的整体方法. 1.3.1 对称和非对称密钥算法 下面的小节将讨论IPSec.SSL/TLS和