一般VPN服務(wù)器有兩種連接方式,即L2TP方式和PPTP方式,這兩種連接方式的區(qū)別與其協(xié)議和工作方式有關(guān)。
一、L2TP方式
(1)L2TP方式的VPN連接,VPN服務(wù)器保持著1701端口與客戶端1701端口的UDP連接,將自動為L2TP連接創(chuàng)建一個(gè)使用證書方式認(rèn)證IPsec策略,因此L2TP通訊就被裹在IPsec策略創(chuàng)建的Ipsec隧道內(nèi),用ipsecmon可以看清楚實(shí)際上還是1701<-->1701的UDP通訊。
(2)VPN開始連接時(shí),需要雙方交換密鑰,這是通過UPD 500端口的ISAKMP來實(shí)現(xiàn)的,從此以后所有的VPN通訊,包括建立/斷開連接請求、用戶驗(yàn)證、數(shù)據(jù)傳輸都是通過ESP之上傳輸?shù)摹?/p>
二、PPTP方式
(1)PPTP方式的VPN連接,VPN客戶端的建立/斷開連接請求都是通過和服務(wù)器的TCP 1723端口用PPTP協(xié)議聯(lián)系的,至于具體的用戶驗(yàn)證、數(shù)據(jù)傳輸?shù)榷际峭ㄟ^PPP協(xié)議來通訊的,而PPP協(xié)議又是跑在GRE之上的。
(2)使用PPTP方式的VPN連接時(shí),VPN服務(wù)器端保持著1723端口與客戶端一任意端口的TCP連接,TCP端口1723上跑的是PPTP Control Message,包括了PPTP隧道創(chuàng)建,維護(hù)和終止之類的日常管理工作,客戶端通過TCP與服務(wù)器1723端口建立連接后,進(jìn)入基于GRE的PPP協(xié)商,包括了用戶驗(yàn)證,數(shù)據(jù)傳輸?shù)人型ㄓ?斷開VPN連接時(shí)又用到了基于1723端口的PPTP Control Message。
L2TP方式連接的VPN客戶端無法使用私有地址來連接具有合法地址的VPN服務(wù)器,而PPTP連接方式則可以直接連接。
京公網(wǎng)安備 11010502049343號