的各种协议

的各种协议

篇一：常用的三种

常用Vpn技术

Vpn指的是虚拟专用网络（Virtualprivatenetwork，简称Vpn)指的是在公用网络上建立专用网络的技术。Vpn属于远程访问技术，简单地说就是利用公网链路架设私有网络。Vpn主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

实现Vpn，最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的，ip隧道的建立可以是在链路层和网络层。第二层隧道主要是ppp连接，如pptp，l2tp，其特点是协议简单，易于加密，适合远程拨号用户；第三层隧道是ipinip，如ipsec，其可靠性及扩展性优于第二层隧道，但没有前者简单直接。

隧道协议

1）pptp（点到点隧道协议）是一种用于让远程用户拨号连接到本地的isp，通过因特网安全远程访问公司资源的新型技术。它能将ppp（点到点协议）帧封装成ip数据包，以便能够在基于ip的互联网上进行传输。pptp使用tcp（传输控制协议）连接的创建，维护，与终止隧道，并使用gRe(通用路由封装）将ppp帧封装成隧道数据。被封装后的ppp帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。

2）l2tp协议：l2tp是pptp与l2F（第二层转发）的一种综合，他是由思科公司所推出的一种技术。

3）ipsec协议：是一个标准的第三层安全协议，它是在隧道外面再封装，保证了在传输过程中的安全。ipsec的主要特征在于它可以对所有ip级的通信进行加密。

4）openVpn的技术核心是虚拟网卡，其次是ssl协议实现。openVpn使用通用网络协议（tcp与udp）的特点使它成为ipsec等协议的理想替代，尤其是在isp （internetserviceprovider）过滤某些特定Vpn协议的情况下。

pptpVpn、l2tp/ipsecVpn、openVpn（sslVpn）是最常用的三种Vpn形式。

-------------------------------------------------------------------------------------

pptp(pointtopointtunnelingprotocol)——点对点隧道协议

技术背景:pptp是一个基于ppp的很基本的协议。

pptp(点对点隧道协议)是微软windows平台第一个支持的Vpn协议。

数据加密:基于拨号使用的ppp协议使用pap或chap之类的加密算法，或者使用microsoft的点对点加密算法mppe。pptp标准并没有实际描述加密和授权特性，并且依赖于ppp 协议的隧道来实现安全功能。ppp负载是使用微软点对点协

议（microsoft’spoint-to-pointencryptionprotocol，mppe）加密。mppe实现了RsaRc4加密算法，并使用最长128位密钥。

安装配置:windows所有版本和大多数其他操作系统包

括移动平台都内建了对pptp的支持。pptp只需要一个用户

名和密码，以及一个服务器地址，所以安装和配置相当简单。

速度效率:由于使用128位密钥，加密开销相比openVpn 使用256位密钥要小，所以速度感觉稍快一点，但这个差异微不足道。

协议端口:pptp使用tcp1723端口和gRe（协议47）。

稳定性/兼容性:通过gRe协议，pptp可以轻易地。pptp不如openVpn可靠，也不能像openVpn那样在不稳定网络中快速恢复。另外还有部分同gRe协议和一些路由器的兼容性问题。

安全弱点:微软实现的pptp有一个严重的安全问题（serioussecurity

vulnerabilities）。对于词典攻击来说mschap-v2是很脆弱的，并且Rc4算法也会遭到“位翻转攻击

（bit-flippingattack）”。如果保密是重要的，微软也强烈建议升级到ipsec。

兼容性:windows、macosx、linux、appleios、android、dd-wRt。

评价结论:由于主要的安全漏洞，除了兼容性以外没有好的理由选择使用pptp。如果你的设备既不支持l2tp/ipsec 又不支持openVpn，那么pptp是一个合理的选择。如果关心快速安装和简易配置，那么l2tp/ipsec值得考虑。

------------------------------------------------------------------------------------

l2tp(layer2tunnelingprotocol)——第二层隧道协议技术背景:l2tp是一个在ietFRFc3193中被正式标准化的高级协议。推荐在需要安全加密的地方用来替代pptp。l2tp第2层隧道协议(l2tp)是ietF基于l2F(cisco的第二层转发协议)开发的pptp的后续版本。是一种工业标准internet隧道协议，其可以为跨越面向数据包的媒体发送点到点协议(ppp)框架提供封装。pptp和l2tp都使用ppp协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。pptp只能在两端点间建立单一隧道。l2tp支持在两端点间使用多隧道，用户可以针对不同的服务质量创建不同的隧道。l2tp可以提供隧道验证，而pptp则不支持隧道验证。但是当l2tp或pptp与ipsec共同使用时，可以由ipsec 提供隧道验证，不需要在第2层协议上验证隧道使用l2tp。pptp要求互联网络为ip网络。l2tp只要求隧道媒介提供面向数据包的点对点的连接，l2tp可以在ip(使用udp)，桢中继永久虚拟电路(pVcs),x.25虚拟电路(Vcs)或atmVcs网络上使用。

数据加密:l2tp负载使用标准的ipsec协议加密。在RFc4835中指定了使用3des或aes加密算法作为保密方式。

安装配置:从2000/xp起的所有windows平台和

macosx10.3+都内建了l2tp/ipsec的支持。大多数现代的移动平台比如iphone和android也有内建的客户端。

速度效率:l2tp/ipsec将数据封装两次，所以相比其他竞争者效率稍低，速度也慢一些。

协议端口:l2tp/ipsec使用udp500端口用来初始化密钥交换，使用协议50用来传输ipsec加密的数据（esp），使用udp1701端口用来初始化l2tp的配置，还使用udp4500

端口来穿过nat。

稳定性/兼容性:l2tp/ipsec相比openVpn容易封锁，因为它依赖于固定的协议和端口。l2tp/ipsec比openVpn更复杂，为了使在nat路由器下的设备可靠地使用，配置可以会更加困难。但是，只要服务器和客户端都支持nat穿越，那么就没什么问题了。

安全弱点:ipsec没有明显的漏洞，当和安全加密算法如aes一起使用时，被认为是很安全的。

兼容性:windows、macosx、linux、appleios、android。

评价结论:l2tp/ipsec是优秀的，但相比openVpn的高效和杰出的稳定性要落后一点。如果你使用运行ios或android的移动设备，那么这就是最佳的选择，因为openVpn 目前还不支持这些平台。

另外，如果需要快速安装，l2tp/ipsec也是一个较佳的选择。ipsec隧道模式隧道是封装、路由与解封装的整个过程。隧道将原始数据包隐藏(或封装)在新的数据包内部。该新的数据包可能会有新的寻址与路由信息，从而使其能够通过网络传输。隧道与数据保密性结合使用时，在网络上窃听通讯的人将无法获取原始数据包数据(以及原始的源和目标)。封装的数据包到达目的地后，会删除封装，原始数据包头用于将数据包路由到最终目的地。当以隧道模式使用ipsec时，其只为ip通讯提供封装。使用ipsec隧道模式主要是为了与其他不支持ipsec上的l2tp或pptpVpn隧道技术的路由器、网关或终端系统之间的相互操作。

-----------------------------------------------------------------------------------

openVpn——linux下开源Vpn

技术背景:openVpn是一个高级的开源Vpn解决方案，由“openVpntechnologies”支持，并且已经成为开源网络领域里的事实标准。openVpn使用成熟的ssl/tls加密协议。

数据加密:openVpn使用openssl库来提供加密。openssl 支持好几种不同的加密算法，如：3des，aes，Rc5等。

安装配置:openVpn不包含在任何操作系统中，需要安装客户端软件，但安装也是相当简单，基本上协议端口:分钟可以完成。

速度效率:当使用默认的udp模式，openVpn的表现是最佳的。

协议端口:openVpn可以很容易的配置为使用任何端口运行，也可以使用udp或tcp协议。为了顺利穿越性的防火墙，可以将openVpn配置成使用tcp443端口，因为这样就无法和标准的https无法区分，从而极难。

稳定性/兼容性:无论是无线网络、蜂窝网络，还是丢包和拥塞经常发生的不可靠网络，openVpn都非常稳定、快速。对于那些相当不可以的连接，

openVpn有一个tcp模式可以使用，但是要牺牲一点速度，因为将tcp封装在tcp时效率不高。

安全弱点:openVpn也没有明显漏洞，当和安全加密算法如aes一起使用时，也被认为是相当安全的。

兼容性:windows、macosx、linux。

评价结论:对于所有的windows,macosx以及linux桌面用户来说，openVpn是最好的选择。openVpn速度快，并且安全可信。但劣势是缺乏对移动设备的支持，另外还需要安装第三方客户端。

篇二：常用Vpn的种类

常用Vpn的种类

最近几年，许多企业都部署的Vpn解决方案，通常可以分为三类：

首先是pptp（pointtopointtunnelingprotocol）点对点隧道协议，是一种支持多协议虚拟专用网络的协议。这类方案采用了一项名为通用路由封装（genericRoutingencapsulation，gRe）的技术。它是一种因特网协议，可以让发往某个网络的数据包经加密后，一个包接一个包地发送到可信服务器。然后，服务器拆开数据包，重新发送到专用网上。微软推出的pptp/gRe方案就利用了gRe，并采用微软的算法对数据进行加密。通过该协议，远程用户能够跨越microsoftwindowsnt工作

站、windows2000和windowsxp操作系统以及其它点对点激活系统安全访问共同网络，并通过拨号本地互联网服务提供商安全链接它们互联网上的共同网络。优点也是简单易配置，对于初阶应用安全性足以应用。pptp作为简单的Vpn 方案适合移动的用户(mobileuser)通过pptp拨号连接到公司网络，比如经常出差的员工，通过Vpn连接到公司的服务器上收发邮件，存取文档资料等；不适合作为点对点或者点对多点的Vpn架构(当然一定用pptp也是可以实现的)。

另一种是ipsecVpn(ipsecurity，ip协议安全)，它也依靠gRe（ipsec/gRe）以及另一种名为封装安全载荷（encapsulatingsecuritypayload，esp）的协议，ip 数据包进行封装和加密处理。不过，与pptp和l2tp相比，ipsec方案更安全、更可靠，这归功于ipsec选择及支持的加密算法。通常采用ipsec的Vpn方案来解决在多个分公司间构建稳定的Vpn的需求。

第三类是sslVpn，ssl的英文全称是

“securesocketslayer”，中文名为“安全套接层协议层”，它是网景（netscape）公司提出的基于web应用的安全协议。ssl协议指定了一种在应用程序协议（如http、telenet、nmtp和Ftp等）和tcp/ip协议之间提供数据安全性分层的机制，它为tcp/ip连接提供数据加密、服务器认证、消息完整性以及可选的客户认证。它的特点是无需客户端软件，使用方便，适用于用户安装配置不易或是特定应用情况。(安全套接层协议层)方案，它只允许通过安全的web 浏览器，访问某几种具有web功能的应用。它只能访问使用标准web创作工具如html和javascript的应用。这项技术可以分

析每个网页，确保从该网页引出的程序化的导航路径通过安全连接，转发到sslVpn服务器。

由于pptp/l2tp和ipsec两种Vpn解决方案因彼此相似而常常被归为一类，因为它们都使用客户软件，并依赖gRe，原理极为类似。我们可以把它们都视为ipsecVpn方案。ipsecVpn与sslVpn的区别和对比

Vpn建立了网上安全的加密隧道，还允许网络保密通信。它与任何在网上的监听者都可以读取的明文传送方式不同，Vpn传输的看起来就像是一批乱码。不同之处就在于如何建立这种隧

道。到现在为止，安全远程接入方案归结为两种选

择：ipsecVpn（第一代）和sslVpn（第二代），两者各有其优缺点。

基于ipsec方式的Vpn就是远程用户拨号接入的一套硬件设备。这与任何网络连接都被接受的一般方式不同。ipsecVpn设备只用来接受远程客户的连接。一个ipsecVpn 的操作运行在协议栈的ip层。ipsecVpn用户需要在客户端(无论是台式机或笔记本)上安装可以连接到Vpn服务器的软件。

sslVpn也是一套进行远程连接的专用设备。但是，它更像一个web服务器。它在协议栈的应用层(高于ip层)，更像是应用程序的执行而非网络设备。sslVpn用户只需要一个网络浏览器来访问的Vpn连接。他们会进入到注册了的公司Vpn网页。sslVpn主要让远程设备可以访问基于浏览器的应用。不过，通常说来，应用种类越多，sslVpn的吸引力也就越小。这涉及到ipsec客户软件安全和sslVpn定制间的取舍。

一个ipsecVpn把客户的机器连接到公司的网络。一个sslVpn把一个单独的用户连接到特定的应用程序上。一个通过ipsecVpn进行连接的台式机或笔记本只不过是网络上的另外一台设备。一个sslVpn是一个网络应用程序。用户通过浏览器访问的是网络上的特定应用程序而不是整个网络。

所以，ipsecVpn的强项恰恰是sslVpn的弱项，而sslVpn 的强项恰恰是ipsecVpn的弱项。

软件安全方面

对于ipsecVpn和sslVpn来说，尽管公司和用户之间的连接是安全的，但双方都有弱点。如果连接到ipsecVpn网络的用

户被植入了木马程序，他将影响整个网络。比如，如果一个公司的雇员通过她或他家的的没有安装防火墙或者防病毒软件的台式机进行连接，那么Vpn网络就会变成从没有保护的家用计算机传播病毒、特洛伊程序、间谍软件和木马程序的安全渠道。

sslVpns在安全方面有些不同。作为一个web应用系统，如果没有正确配置，一个sslVpn是容易受到各种网络攻击的，如sql注入，跨站点脚本，弱认证和参数操纵的情况。ipsec与ssl谁更适合中小企业？

对smb来讲，ssl方式更便宜，更容易维护，需要较少的员工培训。而ipsec方式需要在所有的远程客户端安装Vpn 网关，连接软件并进行相应的配置。它比sslVpn的成本要高。但是，还应该根据企业的需求来作决策。

如果远程用户需要访问整个网络，那么ipsec方式是不可避免的。如果用户只需要运行一个很小的应用程序，比如电子邮件、电子表格和演示，并且不需要访问整个网络，那么选择sslVpn就可以很好的工作。

篇三：远足Vpn各种协议的区别与使用方法

Vpn属于远程访问技术，简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。

Vpn虚拟专用网络的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。Vpn网关通过对数据包的加密和数据包目标地址的转换实现远程访问。

Vpn有多种分类方式，主要是按协议进行分类。Vpn可通过服务器、硬件、软件等多种方式实现。

Vpn使用的隧道协议主要有三种：点到点隧道协议pptp、第二层隧道协议l2tp以及ipsec。

pptp协议

pptp（pointtopointtunnelingprotocol），即点对点隧道协议。该协议是在ppp协议的基础上开发的一种新的增强型安全协议，支持多协议虚拟专用网

（Vpn），可以通过密码验证协议（pap）、可扩展认证协议（eap）等方法增强安全性。可以使远程用户通过拨入isp、通过直接连接internet或其他网络安全地访问企业网。

l2tp协议

l2tp是一种工业标准的internet隧道协议，功能大致和pptp协议类似，比如同样可以对网络数据流进行加密。不过也有不同之处，比如pptp要求网络为ip网络，l2tp要求面向数据包的点对点连接；pptp使用单一隧道，l2tp使用多隧道；

l2tp提供包头压缩、隧道验证，而

pptp不支持。

ipsec协议

ipsec是ietF（internetengineeringtaskForce，internet工程任务组）的ipsec小组建立的一组ip安全协议集。ipsec定义了在网际层使用的安全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。

使用方法：

pptp协议假定在pptp客户机和pptp服务器之间有连通并且可用的ip网络。因此如果pptp客户机本身已经是ip

网络的组成部分，那么即可通过该ip网络与pptp服务器取得连接；而如果pptp客户(的各种协议)机尚未连入网络，譬如在internet拨号用户的情形下，pptp客户机必须首先拨打nas以建立ip连接。这里所说的pptp客户机也就是使用pptp协议的Vpn客户机，而pptp服务器亦即使用pptp。

l2tp在Vpn

连接中要设置l2tp连接，方法同pptpVpn设置，同样是在Vpn连接属性窗口的“网络”选项卡中，将Vpn类型设置为“l2tpipsecVpn”即可。第二层隧道协议（l2tp）是用来整合多协议拨号服务至现有的因特网服务提供商点。ppp 定义了多协议跨越第二层点对点链接的一个封装机制。特别地，用户通过使用众多技术之一（如：拨号pots、isdn、adsl 等）获得第二层连接到网络访问服务器（nas），然后在此连接上运行ppp。在这样的配置中，第二层终端点和ppp会话终点处于相同的物理设备中（如：nas）。p协议的Vpn服务器。

ipsec的安全服务要求支持共享密钥完成认证和/或保密，并且手工输入密钥

的方式是必须要支持的，其目的是要保证ipsec协议的互操作性。当然，手工输入密钥方式的扩展能力很差，因此在ipsec协议中引入了一个密钥管理协议，称internet密钥交换协议——ike，该协议可以动态认证ipsec对等体，协商安全服务，并自动生成共享密钥。