思科路由器之vpn兩種工作方式詳解

一般VPN服務(wù)器有兩種連接方式，即L2TP方式和PPTP方式，這兩種連接方式的區別與其協(xié)議和工作方式有關(guān)。

一、L2TP方式

(1)L2TP方式的VPN連接，VPN服務(wù)器保持著(zhù)1701端口與客戶(hù)端1701端口的UDP連接，將自動(dòng)為L(cháng)2TP連接創(chuàng )建一個(gè)使用證書(shū)方式認證IPsec策略，因此L2TP通訊就被裹在IPsec策略創(chuàng )建的Ipsec隧道內，用ipsecmon可以看清楚實(shí)際上還是1701-->1701的UDP通訊。

(2)VPN開(kāi)始連接時(shí)，需要雙方交換密鑰，這是通過(guò)UPD 500端口的ISAKMP來(lái)實(shí)現的，從此以后所有的VPN通訊，包括建立/斷開(kāi)連接請求、用戶(hù)驗證、數據傳輸都是通過(guò)ESP之上傳輸的。

二、PPTP方式

(1)PPTP方式的VPN連接，VPN客戶(hù)端的建立/斷開(kāi)連接請求都是通過(guò)和服務(wù)器的TCP 1723端口用PPTP協(xié)議聯(lián)系的，至于具體的用戶(hù)驗證、數據傳輸等都是通過(guò)PPP協(xié)議來(lái)通訊的，而PPP協(xié)議又是跑在GRE之上的。

(2)使用PPTP方式的VPN連接時(shí)，VPN服務(wù)器端保持著(zhù)1723端口與客戶(hù)端一任意端口的TCP連接,TCP端口1723上跑的是PPTP Control Message，包括了PPTP隧道創(chuàng )建,維護和終止之類(lèi)的日常管理工作，客戶(hù)端通過(guò)TCP與服務(wù)器1723端口建立連接后，進(jìn)入基于GRE的PPP協(xié)商，包括了用戶(hù)驗證,數據傳輸等所有通訊.斷開(kāi)VPN連接時(shí)又用到了基于1723端口的PPTP Control Message。

L2TP方式連接的VPN客戶(hù)端無(wú)法使用私有地址來(lái)連接具有合法地址的VPN服務(wù)器，而PPTP連接方式則可以直接連接。