一 基本定義
PPTP(Point to Point Tunneling Protocol)即點對點隧道協議。該協議是在PPP協議的基礎上開發的一種新的增強型安全協議,支持多協議虛擬專用網(VPN),可以通過密碼身份驗證協議(PAP)、可擴展身份驗證協議(EAP)等方法增強安全性。
L2TP(Layer 2 Tunneling Protocol)即第二層隧道協議,是一種工業標準的Internet隧道協議,功能大致和PPTP協議類似,比如同樣可以對網絡數據流進行加密。L2TP協議是由IETF起草,微軟、Ascend、Cisco、3COM等公司參予制定的二層隧道協議,它結合了PPTP和L2F兩種二層隧道協議的優點,為眾多公司所接受,已經成為IETF有關2層通道協議的工業標準,此協議基於微軟的點對點隧道協議(PPTP)和思科2層轉發協議(L2F)之上,這種虛擬私有網絡可以被因特網服務提供商和公司通過因特網使用。
二 兩者不同之處
PPTP和L2TP都屬於第二層隧道協議,使用PPP協議對數據進行封裝,然後添加附加包頭用於數據在互聯網絡上的傳輸。儘管兩個協議非常相似,但是仍存在以下幾方面的不同:
1、PPTP要求互聯網絡為IP網絡。L2TP只要求隧道媒介提供面向數據包的點對點的連接。L2TP可以在IP(使用UDP),幀中繼永久虛擬電路(PVCs)、X.25虛擬電路(VCs)或ATM網絡上使用
2、PPTP只能在兩端點間建立單一隧道。L2TP支持在兩端點間使用多隧道。使用L2TP,用戶可以針對不同的服務質量創建不同的隧道
3、L2TP可以提供包頭壓縮。當壓縮包頭時,系統開銷(overhead)佔用4個字節,而PPTP協議下要佔用6個字節
4、L2TP可以提供隧道驗證,而PPTP則不支持隧道驗證。但是當L2TP或PPTP與IPsec共同使用時,可以由IPsec提供隧道驗證,不需要在第2層協議上驗證隧道
三 如何設置
1.PPTP VPN如何設置
1)PPTP PC到站點VPN配置
PPTP VPN的PC到站點模式可以為終端提供接入總部網絡的安全隧道。如果您出差在外可以接入Internet,使用終端自帶的VPN客戶端撥號連接,建立安全隧道進行數據傳輸。
設置方法
A、設置PPTP VPN服務器
[1] 添加VPN地址池,如10.10.0.100-10.10.0.200
[2] 添加用戶,如賬戶flysky520 密碼1111
VPN客戶端遠程登錄賬號密碼
注意:本地地址禁止與LAN/WAN接口的IP相同,可以用其他任意不衝突的IP。
[3] 添加PPTP服務器
服務接口為WAN出口網絡
注意:服務接口為可以上網的出接口。VPN客戶端使用該接口的IP地址域名進行VPN撥號。
[4] 添加NAPT規則
NAT設置,添加出口規則,目的是能讓撥號客戶端通過本路由器上網
注意:源地址範圍填寫VPN地址池的地址,出接口選擇可以上網的接口。
B、設置PPTP客戶端撥號
1、在桌面右下角右鍵點擊網絡圖標,選擇 打開網絡和共享中心,點擊 設置新的連接或網絡,設置新的連接。
2、按照設置嚮導開始設置,選擇 連接到工作區
3、選擇連接方式
選擇 使用我的Internet連接(VPN)(I),如下圖:
4、設置 VPN服務器IP地址 與 VPN客戶端名稱(此處舉例為總部VPN服務器),如下圖:
5、填寫剛才設置的PPTP VPN賬號、密碼,填寫完成後點擊連接
6、跳過當前的連接,點擊跳過
下一步參數配置
在 網絡和共享中心 >> 更改適配器設置 中找到VPN客戶端,右鍵 並選擇 屬性,在 網絡 中選擇VPN類型為 點對點隧道(PPTP),並選擇 需要加密,
保存參數設置後,嘗試VPN連接,繼續下一步。
雙擊VPN客戶端,填寫PPTP賬號、密碼,點擊 連接,
連接成功後,在VPN客戶端會變為藍色。可以右鍵點擊VPN客戶端,選擇 狀態 >> 詳細信息,查看到獲取到的IP地址、協商信息等參數。
至此,PPTP VPN設置連接成功,VPN客戶端可以上網並訪問公司內網。
2)PPTP站點到站點VPN設置
PPTP VPN可以實現企業站點之間搭建安全的數據傳輸通道,將接入Internet的企業分支機構與總部網絡通過安全隧道互聯,實現資源、信息共享。
某公司的總部與分部在北京和上海。需要實現將北京總部與廣州分公司通過VPN互聯,實現資源相互訪問,同時要求數據傳輸的安全性。需求參數如下:
設置方法
1.總部-添加VPN地址池 10.10.0.1-10.10.0.10
2.總部-設置PPTP用戶管理flysky520/1111
注意:本地地址為VPN隧道的本地虛擬IP地址,對端撥通後可通過此IP管理路由器。此地址可以任意設置,但不能設置為LAN/WAN口地址。
3.總部-設置PPTP服務器
4.分部-設置PPTP客戶端
注意:服務器地址要設置成總部路由器WAN口的IP地址。
注意:如果分部需要通過總部的寬帶上網,可以將上圖中的“模式”選擇為“NAT模式”,同時還需要在總部路由器上設置一條NAPT規則:出接口為總部路由器上連接寬帶線的WAN口、源地址範圍為總部路由器上設置的VPN地址池範圍。
點擊“確定”後,將自動連接VPN。PPTP VPN隧道搭建成功,兩端內網可以相互訪問
2.L2TP VPN如何設置
L2TP VPN設置方法和PPTP VPN設置方法基本上一樣,就是多了加密設置,IPSec加密保障VPN隧道安全.
L2TP VPN用戶到站點,用戶設置時本地地址為VPN客戶端訪問路由器的管理地址。
四.如何選擇
PPTP連接方式:最常用的連接方式,連接速度快而穩定,適合大部分網絡。
L2TP連接方式:適合少數網吧網絡/教育網/鐵通網/公司局域網等多樣化網絡。
對比三種VPN
安全性:L2TP和OpenVPN安全性高
連接速度:PPTP>L2TP>OpenVPN
防封鎖:OpenVPN最好
閱讀更多 flysky520 的文章
