发表于
2008-7-23 15:31:18
VPN 隧道协议
ISA Server 2004 支持两种用于远程客户端访问连接的虚拟专用网络 (VPN) 协议:
- 点对点隧道协议 (PPTP)
- 第二层隧道协议 (L2TP)
此外,支持 Internet 协议安全 (IPSec) 隧道模式,以便进行站点到站点 VPN 连接。
有关配置用于远程客户端访问的协议说明,请参阅配置远程客户端访问的隧道协议。
PPTP
点对点隧道协议 (PPTP) 是一种网络协议,其通过跨越基于 TCP/IP 的数据网络创建 VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP 支持通过公共网络(例如 Internet)建立按需的、多协议的、虚拟专用网络。PPTP 允许加密 IP 通讯,然后在要跨越公司 IP 网络或公共 IP 网络(如 Internet)发送的 IP 头中对其进行封装。
L2TP
第 2 层隧道协议 (L2TP) 是一种工业标准 Internet 隧道协议,其可以为跨越面向数据包的媒体发送点到点协议 (PPP) 框架提供封装。L2TP 允许加密 IP 通讯,然后在任何支持点到点数据报交付的媒体上(如 IP)进行发送。Microsoft 的 L2TP 实现使用 Internet 协议安全 (IPSec) 加密来保护从 VPN 客户端到 VPN 服务器之间的数据流。IPSec 隧道模式允许加密 IP 数据包,然后在要跨越公司 IP 网络或公共 IP 网络(如 Internet)发送的 IP 头中对其进行封装。
PPTP 连接只要求通过基于 PPP 的身份验证协议进行用户级身份验证。IPSec 上的 L2TP 连接不仅需要相同的用户级身份验证,而且还需要使用计算机凭据进行计算机级身份验证。
IPSec 隧道模式
隧道是封装、路由与解封装的整个过程。隧道将原始数据包隐藏(或封装)在新的数据包内部。该新的数据包可能会有新的寻址与路由信息,从而使其能够通过网络传输。隧道与数据保密性结合使用时,在网络上窃听通讯的人将无法获取原始数据包数据(以及原始的源和目标)。封装的数据包到达目的地后,会删除封装,原始数据包头用于将数据包路由到最终目的地。
隧道本身是封装数据经过的逻辑数据路径。对原始的源和目的端,隧道是不可见的,而只能看到网络路径中的点对点连接。连接双方并不关心隧道起点和终点之间的任何路由器、交换机、代理服务器或其他安全网关。将隧道和数据保密性结合使用时,可用于提供 VPN。
封装的数据包在网络中的隧道内部传输。在此示例中,该网络是 Internet。网关可以是外部 Internet 与专用网络间的周界网关。周界网关可以是路由器、防火墙、代理服务器或其他安全网关。另外,在专用网络内部可使用两个网关来保护网络中不信任的通讯。
当以隧道模式使用 IPSec 时,其只为 IP 通讯提供封装。使用 IPSec 隧道模式主要是为了与其他不支持 IPSec 上的 L2TP 或 PPTP VPN 隧道技术的路由器、网关或终端系统相互操作。
注意
- 如果停止或重新启动 IPSec PolicyAgent 服务,将丢失所有的动态 IPSec 配置信息,包括 ISA 服务器 VPN 站点到站点 IPSec 配置设置,而且 VPN 客户端也会断开连接。要还原设置,可以先启动 PolicyAgent 服务,然后重新启动 Microsoft 防火墙服务,或重新启动计算机。
VPN 协议比较
下表对 VPN 协议进行了比较。
| 协议 |
用途 |
安全级别 |
注释 |
| IPSec 隧道模式 |
连接到第三方 VPN 服务器 |
高 |
这是在您连接到非 Microsoft VPN 服务器时可以使用的唯一选项。 |
| IPSec 上的 L2TP |
连接到 ISA Server 2004 计算机、ISA Server 2000 计算机或 Windows VPN 服务器 |
高 |
使用路由和远程访问在复杂性方面比 IPSec 隧道解决方案低,但是需要远程 VPN 服务器是 ISA 服务器计算机或 Windows VPN 服务器。 |
| PPTP |
连接到 ISA Server 2004 计算机、ISA Server 2000 计算机或 Windows VPN 服务器 |
中 |
使用路由和远程访问在限制方面与 L2TP 相同,不同之处在于其更易于配置。由于使用 IPSec 加密,因此 L2TP 被视为是一种更加安全的解决方案。 |