當(dāng)您通過Internet使用VPN時(shí)痴颊,它會(huì)在兩個(gè)設(shè)備/網(wǎng)絡(luò)之間創(chuàng)建專用且加密的隧道〔鹈剩現(xiàn)在作為VPN洪己,你很難對(duì)數(shù)據(jù)進(jìn)行竊聽,即使它被侵入竟贯,因?yàn)檫@是數(shù)據(jù)被加密答捕,從這個(gè)加密數(shù)據(jù)中獲取任何信息幾乎是不可能的。有幾種VPN隧道協(xié)議屑那,如PPTP(點(diǎn)對(duì)點(diǎn)隧道協(xié)議)拱镐,L2TP(第二層隧道協(xié)議),IPSec(Internet協(xié)議安全)持际,SSL(安全套接字層)等沃琅,用于創(chuàng)建VPN隧道。
IPSec實(shí)現(xiàn)
工作于TCP/IP第三層IP層上網(wǎng)絡(luò)數(shù)據(jù)安全地一整套體系結(jié)構(gòu)选酗;包括網(wǎng)絡(luò)認(rèn)證協(xié)議AH(Authentication Header阵难,認(rèn)證頭)岳枷、ESP(Encapsulating Security Payload芒填,封裝安全載荷)呜叫、IKE(Internet Key Exchange,因特網(wǎng)密鑰交換又稱isakmp)和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等殿衰。其中朱庆,AH協(xié)議和ESP協(xié)議用于提供安全服務(wù),IKE協(xié)議用于密鑰交換闷祥。
整個(gè)IPSec VPN地實(shí)現(xiàn)基本簡化為兩個(gè)SA協(xié)商完成
SA(security association):是兩個(gè)通信實(shí)體經(jīng)協(xié)商建立起來地一種協(xié)議娱颊,它們決定了用來保護(hù)數(shù)據(jù)包安全地IPsec協(xié)議,轉(zhuǎn)碼方式凯砍,密鑰箱硕,以及密鑰地有效存在時(shí)間等等
IKE(isakmp)SA:協(xié)商對(duì)IKE數(shù)據(jù)流進(jìn)行加密以及對(duì)對(duì)等體進(jìn)行驗(yàn)證地算法(對(duì)密鑰地加密和peer地認(rèn)證)對(duì)等體之間只能存在一個(gè)
第一階段:建立ISAKMPSA協(xié)商的是以下信息:
1、對(duì)等體之間采用何種方式做認(rèn)證悟衩,是預(yù)共享密鑰還是數(shù)字證書剧罩。
2、雙方使用哪種加密算法(DES座泳、3DES)
3惠昔、雙方使用哪種HMAC方式,是MD5還是SHA
4挑势、雙方使用哪種Diffie-Hellman密鑰組
5镇防、使用哪種協(xié)商模式(主模式或主動(dòng)模式)
6、協(xié)商SA的生存期
IPSec SA:協(xié)商對(duì)對(duì)等體之間地IP數(shù)據(jù)流進(jìn)行加密地算法?對(duì)等體之間可以存在多個(gè)
第二階段:建立IPsecSA協(xié)商的是以下信息:
1潮饱、雙方使用哪種封裝技術(shù)来氧,AH還是ESP
2、雙方使用哪種加密算法
3香拉、雙方使用哪種HMAC方式饲漾,是MD5還是SHA
4、使用哪種傳輸模式缕溉,是隧道模式還是傳輸模式
5考传、協(xié)商SA的生存期
名詞解釋:
AH協(xié)議(IP協(xié)議號(hào)為51):提供數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能证鸥,它能保護(hù)通信免受篡改僚楞,但不能防止竊聽,適合用于傳輸非機(jī)密數(shù)據(jù)枉层。AH的工作原理是在每一個(gè)數(shù)據(jù)包上添加一個(gè)身份驗(yàn)證報(bào)文頭泉褐,此報(bào)文頭插在標(biāo)準(zhǔn)IP包頭后面,對(duì)數(shù)據(jù)提供完整性保護(hù)鸟蜡∧ぴ撸可選擇的認(rèn)證算法有MD5(Message Digest)、SHA-1(Secure Hash Algorithm)等揉忘。
ESP協(xié)議(IP協(xié)議號(hào)為50):提供加密跳座、數(shù)據(jù)源認(rèn)證端铛、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能。ESP的工作原理是在每一個(gè)數(shù)據(jù)包的標(biāo)準(zhǔn)IP包頭后面添加一個(gè)ESP報(bào)文頭疲眷,并在數(shù)據(jù)包后面追加一個(gè)ESP尾禾蚕。與AH協(xié)議不同的是,ESP將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到IP包中狂丝,以保證數(shù)據(jù)的機(jī)密性换淆。常見的加密算法有DES、3DES几颜、AES等倍试。同時(shí),作為可選項(xiàng)蛋哭,用戶可以選擇MD5易猫、SHA-1算法保證報(bào)文的完整性和真實(shí)性。
IPSec有兩種工作模式:
隧道(tunnel)模式:用戶的整個(gè)IP數(shù)據(jù)包被用來計(jì)算AH或ESP頭具壮,AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被封裝在一個(gè)新的IP數(shù)據(jù)包中准颓。通常,隧道模式應(yīng)用在兩個(gè)安全網(wǎng)關(guān)之間的通訊棺妓。
傳輸(transport)模式:只是傳輸層數(shù)據(jù)被用來計(jì)算AH或ESP頭攘已,AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被放置在原IP包頭后面。通常怜跑,傳輸模式應(yīng)用在兩臺(tái)主機(jī)之間的通訊样勃,或一臺(tái)主機(jī)和一個(gè)安全網(wǎng)關(guān)之間的通訊。
1. 數(shù)據(jù)認(rèn)證
數(shù)據(jù)認(rèn)證有如下兩方面的概念:
身份認(rèn)證:身份認(rèn)證確認(rèn)通信雙方的身份性芬。支持兩種認(rèn)證方法:預(yù)共享密鑰(pre-shared-key)認(rèn)證和基于PKI的數(shù)字簽名(rsa-signature)認(rèn)證峡眶。
身份保護(hù):身份數(shù)據(jù)在密鑰產(chǎn)生之后加密傳送,實(shí)現(xiàn)了對(duì)身份數(shù)據(jù)的保護(hù)植锉。
2. DH
DH(Diffie-Hellman辫樱,交換及密鑰分發(fā))算法是一種公共密鑰算法。通信雙方在不傳輸密鑰的情況下通過交換一些數(shù)據(jù)俊庇,計(jì)算出共享的密鑰狮暑。即使第三者(如黑客)截獲了雙方用于計(jì)算密鑰的所有交換數(shù)據(jù),由于其復(fù)雜度很高辉饱,不足以計(jì)算出真正的密鑰搬男。所以,DH交換技術(shù)可以保證雙方能夠安全地獲得公有信息彭沼。
3. PFS
PFS(Perfect Forward Secrecy缔逛,完善的前向安全性)特性是一種安全特性,指一個(gè)密鑰被破解,并不影響其他密鑰的安全性褐奴,因?yàn)檫@些密鑰間沒有派生關(guān)系按脚。對(duì)于IPsec,是通過在IKE階段2協(xié)商中增加一次密鑰交換來實(shí)現(xiàn)的歉糜。PFS特性是由DH算法保障的。
IKE的交換過程
IKE使用了兩個(gè)階段為IPsec進(jìn)行密鑰協(xié)商并建立SA:
第一階段望众,通信各方彼此間建立了一個(gè)已通過身份認(rèn)證和安全保護(hù)的通道匪补,即建立一個(gè)ISAKMP SA。第一階段有主模式(Main Mode)和野蠻模式(Aggressive Mode)兩種IKE交換方法烂翰。
第二階段夯缺,用在第一階段建立的安全隧道為IPsec協(xié)商安全服務(wù),即為IPsec協(xié)商具體的SA甘耿,建立用于最終的IP數(shù)據(jù)安全傳輸?shù)腎Psec SA踊兜。
如圖2-1所示,第一階段主模式的IKE協(xié)商過程中包含三對(duì)消息:
l 第一對(duì)叫SA交換佳恬,是協(xié)商確認(rèn)有關(guān)安全策略的過程捏境;
l 第二對(duì)消息叫密鑰交換,交換Diffie-Hellman公共值和輔助數(shù)據(jù)(如:隨機(jī)數(shù))毁葱,密鑰材料在這個(gè)階段產(chǎn)生垫言;
l 最后一對(duì)消息是ID信息和認(rèn)證數(shù)據(jù)交換,進(jìn)行身份認(rèn)證和對(duì)整個(gè)第一階段交換內(nèi)容的認(rèn)證倾剿。
野蠻模式交換與主模式交換的主要差別在于筷频,野蠻模式不提供身份保護(hù),只交換3條消息前痘。在對(duì)身份保護(hù)要求不高的場合凛捏,使用交換報(bào)文較少的野蠻模式可以提高協(xié)商的速度;在對(duì)身份保護(hù)要求較高的場合芹缔,則應(yīng)該使用主模式坯癣。
IKE在IPsec中的作用
l 因?yàn)橛辛薎KE,IPsec很多參數(shù)(如:密鑰)都可以自動(dòng)建立最欠,降低了手工配置的復(fù)雜度坡锡。
l IKE協(xié)議中的DH交換過程,每次的計(jì)算和產(chǎn)生的結(jié)果都是不相關(guān)的窒所。每次SA的建立都運(yùn)行DH交換過程鹉勒,保證了每個(gè)SA所使用的密鑰互不相關(guān)。
l IPsec使用AH或ESP報(bào)文頭中的序列號(hào)實(shí)現(xiàn)防重放吵取。此序列號(hào)是一個(gè)32比特的值禽额,此數(shù)溢出后,為實(shí)現(xiàn)防重放,SA需要重新建立脯倒,這個(gè)過程需要IKE協(xié)議的配合实辑。
l 對(duì)安全通信的各方身份的認(rèn)證和管理,將影響到IPsec的部署藻丢。IPsec的大規(guī)模使用剪撬,必須有CA(Certificate Authority,認(rèn)證中心)或其他集中管理身份數(shù)據(jù)的機(jī)構(gòu)的參與悠反。
l IKE提供端與端之間動(dòng)態(tài)認(rèn)證残黑。
IPsec與IKE的關(guān)系
圖 5 IPsec與IKE的關(guān)系圖
從圖2-2中我們可以看出IKE和IPsec的關(guān)系:
l IKE是UDP之上的一個(gè)應(yīng)用層協(xié)議,是IPsec的信令協(xié)議斋否;
l IKE為IPsec協(xié)商建立SA梨水,并把建立的參數(shù)及生成的密鑰交給IPsec;
l IPsec使用IKE建立的SA對(duì)IP報(bào)文加密或認(rèn)證處理茵臭。
SSL VPN簡介
SSL VPN是以SSL協(xié)議為安全基礎(chǔ)的VPN遠(yuǎn)程接入技術(shù)疫诽,移動(dòng)辦公人員(在SSL VPN中被稱為遠(yuǎn)程用戶)使用SSL VPN可以安全、方便的接入企業(yè)內(nèi)網(wǎng)旦委,訪問企業(yè)內(nèi)網(wǎng)資源奇徒,提高工作效率。
SSL VPN技術(shù)優(yōu)勢(shì):
無客戶端的便捷部署
應(yīng)用層接入的安全保護(hù)
企業(yè)延伸的效率提升
SSL協(xié)議從身份認(rèn)證缨硝、機(jī)密性逼龟、完整性三個(gè)方面確保了數(shù)據(jù)通信的安全。
SSL VPN實(shí)現(xiàn)私密性 完整性 不可否認(rèn) 源認(rèn)證
采用B/S架構(gòu)追葡,遠(yuǎn)程用戶無需安裝額外軟件腺律,可直接使用瀏覽器訪問內(nèi)網(wǎng)資源。
SSL VPN可根據(jù)遠(yuǎn)程用戶訪問內(nèi)網(wǎng)資源的不同宜肉,對(duì)其訪問權(quán)限進(jìn)行高細(xì)粒度控制匀钧。
提供了本地認(rèn)證、服務(wù)器認(rèn)證谬返、認(rèn)證匿名和證書挑戰(zhàn)多種身份認(rèn)證方式之斯,提高身份認(rèn)證的靈活性。
可以使用主機(jī)檢查策略遣铝。
緩存清理策略用于清理遠(yuǎn)程用戶訪問內(nèi)網(wǎng)過程中在終端上留下的訪問哼唧佑刷,加固用戶的信息安全。
PN類型詳解PPTP VPN
PPTP:點(diǎn)對(duì)點(diǎn)隧道協(xié)議酿炸,一種支持多協(xié)議虛擬專用網(wǎng)絡(luò)(VPN)的網(wǎng)絡(luò)技術(shù)瘫絮,工作在第二層數(shù)據(jù)鏈路層。以同樣工作在第二層的點(diǎn)對(duì)點(diǎn)傳輸協(xié)議(PPP)為基礎(chǔ)填硕,PPTP將PPP幀封裝成IP數(shù)據(jù)包麦萤,以便于在互聯(lián)網(wǎng)上傳輸并可以通過密碼驗(yàn)證協(xié)議(PAP)鹿鳖,可擴(kuò)展認(rèn)證協(xié)議(EAP)增加安全性。遠(yuǎn)程用戶能夠通過安裝有點(diǎn)對(duì)點(diǎn)協(xié)議的操作系統(tǒng)訪問公司網(wǎng)絡(luò)資源壮莹。
PPTP VPN的實(shí)現(xiàn)需要:客戶機(jī)和服務(wù)器之間必須有聯(lián)通并且可用的IP網(wǎng)絡(luò)翅帜。
該VPN可在Windows、Linux環(huán)境下搭建命满,或者通過配置路由器來實(shí)現(xiàn)涝滴。
L2F:第二層轉(zhuǎn)發(fā)協(xié)議。 用于建立跨越公共網(wǎng)絡(luò)的安全隧道來將ISP POP連接到企業(yè)內(nèi)部網(wǎng)關(guān)胶台。這個(gè)隧道建立了一個(gè)用戶與企業(yè)客戶網(wǎng)絡(luò)間的虛擬點(diǎn)對(duì)點(diǎn)連接歼疮。 L2F允許高層協(xié)議的鏈路層隧道技術(shù),使得把原始撥號(hào)服務(wù)器的位置和撥號(hào)協(xié)議連接終止與提供的網(wǎng)絡(luò)訪問位置分離成為可能概作。
L2TP VPN
L2TP:二層隧道協(xié)議腋妙,結(jié)合PPTP與L2F兩種二層隧道協(xié)議的優(yōu)點(diǎn)默怨,為眾多公司接受讯榕。 L2TP擴(kuò)展了PPP模型,它使用PPP來封裝用戶數(shù)據(jù)匙睹,允許多協(xié)議通過隧道傳送愚屁,作為安全性增強(qiáng),L2TP與IPSec(Internet協(xié)議安全性)結(jié)合——L2TP/IPsec痕檬, L2TP基于UDP協(xié)議霎槐,因此L2TP不保證數(shù)據(jù)消息的可靠投遞,若數(shù)據(jù)丟失梦谜,不予重傳丘跌。
L2TP 的實(shí)現(xiàn):與PPTP不同, PPTP要求網(wǎng)絡(luò)為IP網(wǎng)絡(luò)唁桩,L2TP要求面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)連接闭树。
該VPN可在Windows、Linux環(huán)境下搭建荒澡,或者通過配置防火墻报辱、路由器來實(shí)現(xiàn)。
MPLS VPN
MPLS:多協(xié)議標(biāo)簽交換(MPLS)是一種用于快速數(shù)據(jù)包交換和路由的體系单山,它為網(wǎng)絡(luò)數(shù)據(jù)流量提供了目標(biāo)碍现、路由地址、轉(zhuǎn)發(fā)和交換等能力米奸。更特殊的是昼接,它具有管理各種不同形式通信流的機(jī)制。
它提供了一種方式悴晰,將IP地址映射為簡單的具有固定長度的標(biāo)簽辩棒,用于不同的包轉(zhuǎn)發(fā)和包交換技術(shù)。
傳統(tǒng)的VPN是基于 PPTP L2TP等隧道協(xié)議來實(shí)現(xiàn)私有網(wǎng)絡(luò)間數(shù)據(jù)流在公網(wǎng)上的傳送。而LSP本身就是公網(wǎng)上的隧道一睁,所以用MPLS來實(shí)現(xiàn)VPN有天然的優(yōu)勢(shì)钻弄。
基于MPLS的VPN就是通過LSP將私有網(wǎng)絡(luò)的不同分支聯(lián)結(jié)起來,形成一個(gè)統(tǒng)一的網(wǎng)絡(luò)者吁【桨常基于MPLS的VPN還支持對(duì)不同VPN間的互通控制。
MPLSVPN網(wǎng)絡(luò)主要由CE复凳、PE和P等3部分組成:
CE(Customer Edge):用戶網(wǎng)絡(luò)邊緣設(shè)備瘤泪,可以是路由器 交換機(jī) 主機(jī)。
PE(Provider Edge):是服務(wù)商邊緣路由器育八,位于骨干網(wǎng)絡(luò)对途。
P(Provider):是服務(wù)提供商網(wǎng)絡(luò)中的骨干路由器
SSL工作Socket層,IPsec工作在網(wǎng)絡(luò)層.
SSL(安全套接層)是一個(gè)du基于標(biāo)準(zhǔn)的加密協(xié)議,提供加密和身份zhi識(shí)別服務(wù)髓棋。daoSSL廣泛應(yīng)用于在互聯(lián)網(wǎng)上提供加密的通訊实檀。SSL最普通的應(yīng)用是在網(wǎng)絡(luò)瀏覽器中通過HTTPS實(shí)現(xiàn)的。然而按声,SSL是一種透明的協(xié)議膳犹,對(duì)用戶基本上是不可見的,它可應(yīng)用于任何基于TCP/IP的應(yīng)用程序签则。
??通用路由封裝協(xié)議GRE(Generic Routing Encapsulation)提供了將一種協(xié)議的報(bào)文封裝在另一種協(xié)議報(bào)文中的機(jī)制须床,是一種隧道封裝技術(shù)。GRE可以封裝組播數(shù)據(jù)渐裂,并可以和IPSec結(jié)合使用豺旬,從而保證語音、視頻等組播業(yè)務(wù)的安全
? IPSec?用于在兩個(gè)端點(diǎn)之間提供安全的IP通信柒凉,但只能加密并傳播單播數(shù)據(jù)族阅,無法加密和傳輸語音、視頻扛拨、動(dòng)態(tài)路由協(xié)議信息等組播數(shù)據(jù)流量
? GRE屬于網(wǎng)絡(luò)層協(xié)議?IP協(xié)議號(hào)為47
GRE的優(yōu)點(diǎn)總結(jié):
? GRE實(shí)現(xiàn)機(jī)制簡單耘分,對(duì)隧道兩端的設(shè)備負(fù)擔(dān)小
? GRE隧道可以通過IPv4網(wǎng)絡(luò)連通多種網(wǎng)絡(luò)協(xié)議的本地網(wǎng)絡(luò),有效利用了原有的網(wǎng)絡(luò)架構(gòu)绑警,降低成本
? GRE隧道擴(kuò)展了跳數(shù)受限網(wǎng)絡(luò)協(xié)議的工作范圍求泰,支持企業(yè)靈活設(shè)計(jì)網(wǎng)絡(luò)拓?fù)?/p>
? GRE隧道可以封裝組播數(shù)據(jù),和IPSec結(jié)合使用時(shí)可以保證語音计盒、視頻等組播業(yè)務(wù)的安全
? GRE隧道支持使能MPLS LDP渴频,使用GRE隧道承載MPLS LDP報(bào)文,建立LDP LSP北启,實(shí)現(xiàn)MPLS骨干網(wǎng)的互通
? GRE隧道將不連續(xù)的子網(wǎng)連接起來卜朗,用于組建實(shí)現(xiàn)企業(yè)總部和分支間安全的連接
? GRE屬于網(wǎng)絡(luò)層協(xié)議?IP協(xié)議號(hào)為47
GRE的優(yōu)點(diǎn)總結(jié):
? GRE實(shí)現(xiàn)機(jī)制簡單拔第,對(duì)隧道兩端的設(shè)備負(fù)擔(dān)小
? GRE隧道可以通過IPv4網(wǎng)絡(luò)連通多種網(wǎng)絡(luò)協(xié)議的本地網(wǎng)絡(luò),有效利用了原有的網(wǎng)絡(luò)架構(gòu)场钉,降低成本
? GRE隧道擴(kuò)展了跳數(shù)受限網(wǎng)絡(luò)協(xié)議的工作范圍蚊俺,支持企業(yè)靈活設(shè)計(jì)網(wǎng)絡(luò)拓?fù)?/p>
? GRE隧道可以封裝組播數(shù)據(jù),和IPSec結(jié)合使用時(shí)可以保證語音逛万、視頻等組播業(yè)務(wù)的安全
? GRE隧道支持使能MPLS LDP泳猬,使用GRE隧道承載MPLS LDP報(bào)文,建立LDP LSP宇植,實(shí)現(xiàn)MPLS骨干網(wǎng)的互通
? GRE隧道將不連續(xù)的子網(wǎng)連接起來得封,用于組建,實(shí)現(xiàn)企業(yè)總部和分支間安全的連接
隧道接口
? GRE隧道是通過隧道兩端的Tunnel接口建立的,所以需要在隧道兩端的設(shè)備上分別配置Tunnel接口指郁。對(duì)于GRE的Tunnel接口忙上,需要指定其協(xié)議類型為GRE、源地址或源接口闲坎、目的地址和Tunnel接口IP地址
??隧道接口(tunnel接口)是為實(shí)現(xiàn)報(bào)文的封裝而提供的一種點(diǎn)對(duì)點(diǎn)類型的虛擬接口 與loopback接口類似 都是一種邏輯接
? GRE隧道接口包含源地址疫粥、目的地址和隧道接口IP地址和封裝類型
? Tunnel的源地址:配置報(bào)文傳輸協(xié)議中的源地址。
? 當(dāng)配置地址類型時(shí)箫柳,直接作為源地址使用
? 當(dāng)配置類型為源接口時(shí)手形,取該接口的IP地址作為源地址使用
??Tunnel的目的地址:配置報(bào)文傳輸協(xié)議中的目的地址
??Tunnel接口IP地址:為了在Tunnel接口上啟用動(dòng)態(tài)路由協(xié)議啥供,或使用靜態(tài)路由協(xié)議發(fā)布Tunnel接口悯恍,需要為Tunnel接口分配IP地址。Tunnel接口的IP地址可以不是公網(wǎng)地址伙狐,甚至可以借用其他接口的IP地址以節(jié)約IP地址涮毫。但是當(dāng)Tunnel接口借用IP地址后,該地址不能直接通過tunnel口互通贷屎,因此在借用IP地址情況下罢防,必須配置靜態(tài)路由或路由協(xié)議先實(shí)現(xiàn)借用地址的互通性,才能實(shí)現(xiàn)Tunnel的互通唉侄。
L2TP基本概念:
L2TP(Layer 2 Tunneling Protocol) VPN是一種用于承載PPP報(bào)文的隧道技術(shù)咒吐,該技術(shù)主要應(yīng)用在遠(yuǎn)程辦公場景中為出差員工遠(yuǎn)程訪問企業(yè)內(nèi)網(wǎng)資源提供接入服務(wù)。
L2TP VPN的優(yōu)點(diǎn):
身份驗(yàn)證機(jī)制属划,支持本地認(rèn)證恬叹,支持Radius服務(wù)器等認(rèn)證方式
多協(xié)議傳輸,L2TP傳輸PPP數(shù)據(jù)包同眯,PPP本身可以傳輸多協(xié)議绽昼,而不僅僅是IP可以在PPP數(shù)據(jù)包內(nèi)封裝多種協(xié)議
計(jì)費(fèi)認(rèn)證地址分配
可在LAC和LNS兩處同時(shí)計(jì)費(fèi),即ISP處(用于產(chǎn)生賬單)及企業(yè)網(wǎng)關(guān)(用于付費(fèi)及審計(jì))须蜗。L2TP能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)硅确、字節(jié)數(shù)以及連接的起始目溉、結(jié)束時(shí)間等計(jì)費(fèi)數(shù)據(jù),可根據(jù)這些數(shù)據(jù)方便地進(jìn)行網(wǎng)絡(luò)計(jì)費(fèi)
LNS可放置于企業(yè)網(wǎng)的USG之后菱农,對(duì)遠(yuǎn)端用戶地址進(jìn)行動(dòng)態(tài)分配和管理缭付,可支持私有地址應(yīng)用
不受NAT限制穿越,支持遠(yuǎn)程接入循未,靈活的身份驗(yàn)證及時(shí)以及高度的安全性蛉腌,L2TP協(xié)議本身并不提供連接的安全性,但它可以依賴于PPP提供的認(rèn)證(CHAP只厘、PAP等)烙丛,因此具有PP所具有的所有安全特性。
L2TP和PPTP區(qū)別:
L2TP:公有協(xié)議羔味、UDP1701河咽、支持隧道驗(yàn)證,支持多個(gè)協(xié)議赋元,多個(gè)隧道忘蟹,壓縮字節(jié),支持三種模式
PPTP:私有協(xié)議搁凸、TCP1723媚值、不支持隧道驗(yàn)證,只支持IP护糖、只支持點(diǎn)到點(diǎn)
PPTP:
點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)是由包括Microsoft和3com等公司組成的PPTP論壇開發(fā)的褥芒,一種點(diǎn)對(duì)點(diǎn)隧道協(xié)議,基于拔號(hào)使用的PPP協(xié)議使用PAP或CHAP之類的加密算法嫡良,或者使用Microsoft的點(diǎn)對(duì)點(diǎn)加密算法MPPE锰扶。
L2TP:
第二層隧道協(xié)議(L2TP)是IETF基于L2F(Cisco的2層轉(zhuǎn)發(fā)協(xié)議)開發(fā)的PPTP后續(xù)版本,是一種工業(yè)標(biāo)準(zhǔn)Internet隧道協(xié)議寝受。
兩者的主要區(qū)別主要有以下幾點(diǎn):
PPTP只能在兩端間建立單一隧道坷牛,L2TP支持在兩端點(diǎn)間使用多隧道,這樣可以針對(duì)不同的用戶創(chuàng)建不同的服務(wù)質(zhì)量
L2TP可以提供隧道驗(yàn)證機(jī)制很澄,而PPTP不能提供這樣的機(jī)制京闰,但當(dāng)L2TP或PPTP與IPSec共同使用時(shí),可以由IPSec提供隧道驗(yàn)證甩苛,不需要在第二層協(xié)議上提供隧道驗(yàn)證機(jī)制
PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)蹂楣,而L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)連接,L2TP可以在IP(使用UDP)浪藻,F(xiàn)R捐迫,ATM,x.25網(wǎng)絡(luò)上使用
L2TP可以提供包頭壓縮爱葵。當(dāng)壓縮包頭時(shí)施戴,系統(tǒng)開銷(voerhead)占用4個(gè)字節(jié)反浓,而PPTP協(xié)議下要占用6個(gè)字節(jié)
