PPTP协议简介
PPTP(Point to Point Tunneling Protocol),即点对点隧道协议。该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网(VPN),可以通过密码验证协议(PAP)、可扩展认证协议(EAP)等方法增强安全性。它允许企业通过私人“隧道”在公共网络上扩展自己的企业网络,可以使远程用户通过拨入ISP、直接连接Internet或其他网络安全地访问企业网。直接一点就是它主要用于在公用网络上建立专用网络,进行加密通讯。
PPTP工作原理
假设某企业总部A网络中搭建的ERP系统服务器为192.168.1.251,位于总部的计算机可以直接通过内网地址进行访问,但位于外地的分公司B无法访问该内网地址,这时候,pptp就起到了相当重要的作用,分公司B可以通过搭建的虚拟专用网络接入到总部A的局域网内来访问这台服务器。
位于分公司B的员工是如何通过虚拟专用网络实现对总部内网地址的访问呢?下面我们就详细讲述这其中蕴含的奥妙。
1、pptp网关一般采用双网卡结构,内网卡接入公司总部A的内部局域网络,外网卡使用公共IP接入Internet。假设分公司B的终端192.168.2.2需要访问总部A的服务器192.168.1.252,其发出的访问数据包的目标地址便为192.168.1.252。
2、分公司B局域网的pptp网关在接收到终端192.168.2.2发出的访问数据包①时对其目标地址192.168.1.252进行检查,发现目标地址属于总部A网络的地址,于是将数据包①根据所采用的PPTP技术进行封装,同时pptp网关会构造一个新的PPTP数据包②,并将封装后的原数据包①作为pptp数据包②的负载,PPTP数据包的目标地址为公司总部A网络的pptp网关的公共IP地址。
3、分公司B局域网的pptp网关将pptp数据包发送到Internet外网中,由于PPTP数据包的目标地址是总部A网络的pptp网关的外部地址,所以该数据包将被Internet中的路由正确地发送到总部A网络的pptp网关。
4、总部A网络的pptp网关对接收到的数据包②进行检查,如果发现该数据包是从分公司B网络的pptp网关发出的,即可判定该数据包为pptp数据包,并对该数据包进行解包。解包的过程主要是将PPTP数据包的包头剥离,将负载通pptp技术反向处理还原成原始的数据包①。
5、总部A网络的pptp网关将还原后的原始数据包发送至目标服务器192.168.1.252。在服务器192.168.1.252看来,它收到的数据包就跟从终端192.168.2.2直接发过来的一样。
6、从服务器192.168.1.252返回终端192.168.2.2的数据包处理过程与上述过程原理是一样的。这样就完成了整个通过pptp的访问。
L2F简介
L2F,或第二层转发协议(Layer 2 Forwarding Protocol),是由思科系统公司开发的,创建在互联网上的虚拟专用网络连接的隧道协议。L2F协议本身并不提供加密或保密;它依赖于协议被传输以提供保密。L2F是专为隧道点对点协议(PPP)通信。
第二层转发协议(L2F)是一种用来建立跨越公用结构组织(如因特网)的安全隧道,为企业家庭通路连接一个 ISP POP 的协议。这个隧道建立了一个用户与企业客户网路间的虚拟点对点连接。它允许链路层协议隧道技术。使用这样的隧道,使得分离原始拨号服务器位置即拨号协议连接终止的位置与提供的网络访问的位置成为可能。L2F 允许在 L2F 中封装 PPP/SLIP 包。ISP NAS 与家庭通路都需要请求一种常规封装协议,所以可以成功地传输或接收 SLIP/PPP 包。
L2TP简介
L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。
L2TP本身并不保证连接的安全性,但它可利用PPP提供的认证机制(如CHAP、PAP),因此具有PPP的所有安全特性。
同其他VPN技术一样,L2TP能够通过隧道技术将用户网络的私有数据进行封装并在公网上进行传输。
同3层VPN(IPSec、GRE)有所区别的是,L2TP是将来自用户网络的私有数据从二层PPP头部开始进行封装,而三层VPN是将来自用户网络的私有数据从三层IP报头开始进行封装。
L2TP只能对PPP数据帧进行封装,将其封装在UDP报文中。
L2TP两个重要组件
LAC:L2TP访问集中器(L2TP Access Concentrator)
LNS:L2TP网络服务器(L2TP Network Server)
L2TP两种隧道模式
强制隧道模式
自发隧道模式
L2TP工作原理
原始用户数据为IP报文,先经过PPP封装,然后链路层将PPP帧进行L2TP封装,将其封装成UDP,并继续封装成可以在internet上传输的IP报文,此时的结果就是IP报文中有PPP帧,PPP帧中还有IP报文,但两个IP地址不同,里面的IP头部是私有地址(原地址为L2TP服务器动态分配的地址,目的地址为公司内网服务器的地址),外层IP头部的原IP是客户端的原始地址,目的IP是L2TP服务器的地址,至此完成客户端数据封装,然后通过L2TP隧道将报文发送到L2TP服务器,L2TP服务器收到封装的IP报文,发现外层IP头部的目的地址是指定自己的,然后L2TP服务器解封装报文,得到里面的IP报文,然后根据IP头部的的目的IP地址将数据包发送到内网局域网服务器。
PPTP和L2TP的区别
1、网络环境:PPTP适合大部分网络
L2TP适合特殊网络或重视网络安全行业
2、连接速度:PPTP连接速度快稳定,服务器近+给力的情况下,点一下立马连接
L2TP没有PPTP快
3、安全性:PPTP安全性较差
L2TP安全兼容性好
在PPTP不支持或屏蔽PPTP情况下可以使用L2TP(如苹果10以上系统)
4、L2TP是IETF标准协议bai,意味着各种设备du厂商的设备之间用L2TP一般不会有问题;而PPTP是微软出的,有些非微软的设备不一定支持。
5、PPTP使用TCP协议,适合没有防火墙限制的网络;L2TP使用UDP协议,一般可以穿透防火墙,适合有防火墙限制、局域网用户。二个连接类型在性能上差别不大,在使用动态IP软件的时候应该首先尝试PPTP模式,若连接不了再用L2TP模式,一般来说都是可以连接成功的。