使用PPTP方式的VPN連接時(shí),VPN服務(wù)器端保持著1723端口與客戶端一任意端口的TCP連接,TCP端口1723上跑的是PPTPControlMessage,包括了PPTP隧道創(chuàng)建,維護(hù)和終止之類的日常管理工作(建立/斷開VPN連接的請求等).客戶端通過TCP與服務(wù)器1723端口建立連接后,進(jìn)入基于GRE(通用路由協(xié)議--IP協(xié)議編號為47,TCP的IP協(xié)議編號為6)的PPP協(xié)商,包括了用戶驗(yàn)證,數(shù)據(jù)傳輸?shù)人型ㄓ?斷開VPN連接時(shí)又用到了基于1723端口的PPTPControlMessage.

也就是說,PPTP方式的VPN連接,VPN客戶端的建立/斷開連接請求都是通過和服務(wù)器的TCP1723端口用PPTP協(xié)議聯(lián)系的,至于具體的用戶驗(yàn)證,數(shù)據(jù)傳輸?shù)榷际峭ㄟ^PPP協(xié)議來通訊的,而PPP協(xié)議又是跑在GRE(和TCP,UDP協(xié)議平行的協(xié)議,GRE的IP協(xié)議編號為47)之上的.

PPTP方式的VPN有以下幾個(gè)特點(diǎn):

1.VPN客戶端可以使用私有地址通過NAT服務(wù)器來連接具有合法地址VPN服務(wù)器;

2.VPN連接時(shí)只有一層驗(yàn)證--就是用戶身份驗(yàn)證

使用L2TP方式VPN連接時(shí),VPN服務(wù)器保持著1701端口與客戶端1701端口的UDP"連接".由于Microsoft不鼓勵將L2TP直接暴露在網(wǎng)絡(luò)中,因此自動為L2TP連接創(chuàng)建一個(gè)使用證書方式認(rèn)證IPsec策略(當(dāng)然可以通過修改注冊表使證書認(rèn)證變成與共享密鑰認(rèn)證)

因此L2TP通訊就被裹在IPsec策略創(chuàng)建的Ipsec隧道內(nèi),用ipsecmon可以看清楚實(shí)際上還是1701<-->1701的UDP通訊

VPN開始通訊時(shí),需要雙方交換密鑰,這是通過UPD500端口的ISAKMP來實(shí)現(xiàn)的.從此以后所有的VPN通訊,包括建立/斷開連接請求,用戶驗(yàn)證,數(shù)據(jù)傳輸都是通過ESP(與TCP,UDP協(xié)議平行的協(xié)議,ESP的IP編號為50)之上傳輸?shù)?

L2TP/IPsec方式的VPN有以下幾個(gè)特點(diǎn):

1.VPN客戶端無法使用私有地址來連接具有合法地址的VPN服務(wù)器(2002年末經(jīng)過Microsoft公司的努力(MicrosoftKnowledgeBaseArticle-818043),使用了NAT-T技術(shù),可以讓L2TP/IPsec方式的VPN可以穿越內(nèi)網(wǎng))

2.VPN連接需要兩層驗(yàn)證:密鑰驗(yàn)證和用戶身份驗(yàn)證(其中密鑰是Ipsec層面的認(rèn)證)

【編輯推薦】

1. VPS和VPN的相關(guān)介紹
2. MPLS-VPN簡介
3. VPN技術(shù)與DDNS專線比較的優(yōu)勢
4. 51CTO沙龍第十五期總結(jié)：從配置到設(shè)計(jì)兩小時(shí)理解VPN