IPsec 与 L2TP/IPsec

Cisco IPsec 与 L2TP (基于 IPsec)

期限思科 IPsec只是一种营销策略，基本上意味着IPsec使用ESP在隧道模式下无需任何额外的封装，并使用互联网密钥交换 协议 (IKE) 来建立隧道。IKE 提供了几种身份验证选项，预共享密钥 (PSK) 或 X.509 证书与扩展身份验证 (XAUTH) 用户身份验证相结合是最常见的。

这第 2 层隧道协议（L2TP）起源于 PPTP。由于它不提供加密或强身份验证等安全功能，因此通常与 IPsec 结合使用。为了避免过多的额外开销，ESP运输方式是常用的。这意味着首先建立 IPsec 通道，同样使用 IKE，然后使用此通道建立 L2TP 隧道。之后，IPsec 连接还用于传输 L2TP 封装的用户数据。

与普通的 IPsec 相比，使用 L2TP 的额外封装（添加了 IP/UDP 数据包和 L2TP 标头）会使其效率稍低（如果它也在隧道模式下与 ESP 一起使用，则效率会更低，有些实现就是这样的）。

由于在传输模式下通常使用 ESP，因此 NAT 穿越 (NAT-T) 对于 L2TP/IPsec 来说也更加成问题。

L2TP 相对于普通 IPsec 的一个优势是它可以传输除 IP 之外的其他协议。

从安全性方面来看，两者相似，但取决于身份验证方法、身份验证模式（主模式或积极模式）、密钥的强度、所使用的算法等。

L2TP 与 PPTP

L2TP/IPSec 与 PPTP 有以下相似之处：

提供逻辑传输机制来发送 PPP 有效负载；提供隧道或封装，以便基于任何协议的 PPP 有效负载都可以通过 IP 网络发送；依靠 PPP 连接过程来执行用户身份验证和协议配置。

关于PPTP的一些事实：

• 优点
  • PPTP 易于部署
  • PPTP 使用 TCP，这种可靠的解决方案允许重新传输丢失的数据包
  • PPTP 支持
• 缺点
  • PPTP 使用 MPPE 安全性较低（最高 128 位）
  • 数据加密在 PPP 连接过程（以及 PPP 身份验证）完成后开始
  • PPTP 连接仅需要通过基于 PPP 的身份验证协议进行用户级身份验证

关于 L2TP (通过 PPTP) 的一些事实：

• 优点
  • L2TP/IPSec 数据加密在 PPP 连接过程之前开始
  • L2TP/IPSec 连接使用 AES（最高 256 位）或 DESU（最高三个 56 位密钥）
  • L2TP/IPSec 连接要求通过证书进行计算机级身份验证，并通过 PPP 身份验证协议进行用户级身份验证，从而提供更强大的身份验证
  • L2TP 使用 UDP。它速度更快，但可靠性较差，因为它不会重新传输丢失的数据包，常用于实时互联网通信
  • L2TP 比 PPTP 更“防火墙友好”——这对于外联网协议来说是一个关键优势，因为大多数防火墙不支持 GRE
• 坏处
  • L2TP 需要证书基础设施来颁发计算机证书

总结一下：

没有明显的赢家，但 PPTP 更老，更轻量，在大多数情况下都能工作，并且客户端可以很容易地预先安装，这使其具有通常非常容易部署和配置（无需 EAP）的优势。

但对于阿联酋、阿曼、巴基斯坦、也门、沙特阿拉伯、土耳其、中国、新加坡、黎巴嫩等大多数国家来说，PPTP 被 ISP 或政府封锁，因此他们需要 L2TP 或 SSL VPN

参考 ：http://vpnblog.info/pptp-vs-l2tp.html

---

IPSec 与 L2TP/IPSec

人们使用 L2TP 的原因是需要为用户提供登录机制。IPSec 本身是一种网关到网关场景中的隧道协议（仍然有两种模式，隧道模式和传输模式）。因此，供应商使用 L2TP 允许人们在客户端到网络场景中使用他们的产品。因此，他们仅将 L2TP 用于日志记录，其余会话将使用 IPSec。您必须考虑另外两种模式：预共享密钥与证书。

参考 ：http://seclists.org/basics/2005/Apr/139

IPsec 隧道模式

当 Internet 协议安全 (IPsec) 在隧道模式下使用时，IPsec 本身仅为 IP 流量提供封装。使用 IPsec 隧道模式的主要原因是与不支持 L2TP over IPsec 或 PPTP VPN 隧道的其他路由器、网关或终端系统进行互操作。虚拟专用网络联盟网站上提供了互操作性信息。

参考 ：http://forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668