存档

文章标签 ‘openvpn’

PPTP和L2TP/IPSec的区别

2015年11月26日 没有评论

选择远程访问VPN协议
PPTP和L2TP/IPSec的区别主要有:
PPTP使用MPPE进行加密,L2TP/IPSec和IPSec隧道模式使用IPSec ESP进行加密。
PPTP加密在PPP身份验证通过后处理连接时开始,因此,身份验证过程没有被MPPE加密。L2TP/IPSec会先进行安全协商再进行身份验证,并对PPP身份验证数据包进行加密,因此L2TP/IPSec比PPTP提供了更高的安全性。
PPTP使用MMPE和RC4,而L2TP/IPSec使用DES或3DES;
PPTP和L2TP/IPSec均要求用户使用基于PPP的身份验证协议进行身份验证;
L2TP/IPSec还要求使用计算机证书进行计算机验证。因此,L2TP/IPSec提供了更强壮的身份验证过程。但是,带来的不便之处是L2TP/IPSec需要公共密钥基础服务(PKI)或预共享的连接密钥,而PPTP则无需PKI。
IPSec ESP要求基于数据包的数据源验证和数据完整性验证,另外,IPSec ESP提供了中继保护,这防止了数据包的重现攻击;而PPTP没有提供这些保护。
IPSec ESP和PPTP(通过使用MPPE)提供了基于每个数据包的加密。
你可以将基于PPTP的VPN服务器部署在NAT网关后,但是不建议将基于L2TP/IPSec、IPSec的VPN服务器部署在NAT网关后。
L2TP/IPSec比PPTP更耗费CPU性能。
在选择VPN协议时,你应考虑以下几点:
是否存在公共密钥基础服务(PKI),如果不存在则选择PPTP;强烈建议不要在商用网络中通过预共享的连接密钥来使用L2TP,这样会极大的降低L2TP的安全性;
如果要求最高的安全级别,选择L2TP/IPSec;
只有在特别需要时才使用IPSec隧道模式;
如果企业安全策略要求DES或3DES,则使用L2TP/IPSec;
如果使用IPSec导致CPU负荷过重,使用PPTP;
如果VPN服务器部署在NAT网关后,选择PPTP;
部署PPTP比部署IPSec更为简单。