IPsec与L2TP / IPsec

47

我有一个VPN服务,使我可以选择通过PPTP,IPsec或IPsec上的L2TP进行连接。我知道PPTP在安全性和加密方面逊色,但我不确定这两个IPsec选项之间有什么区别。

有趣的是,我注意到基于IPsec的L2TP似乎比普通IPsec慢得多,但这可能仅仅是服务器,它们的配置,甚至是我那端的设备。

安全方面有什么区别吗?一个是比另一个“好”,或者它们在功能上等效但实现方式不同?

ipsec  l2tp 
克里斯·普拉特
source

Answers:

42

思科IPsec与L2TP(通过IPsec)

术语Cisco IPsec只是一种营销策略,基本上意味着在隧道模式下使用ESP而不使用任何其他封装的简单IPsec,并使用Internet密钥交换 协议(IKE)建立隧道。IKE提供了几种身份验证选项,最常见的是预共享密钥(PSK)或X.509证书以及扩展身份验证(XAUTH)用户身份验证。

2层隧道协议L2TP)是具有其在PPTP起源。由于它不提供加密或强身份验证等安全功能,因此通常与IPsec结合使用。为了避免过多的额外开销,通常使用传输模式下的 ESP 。这意味着首先建立IPsec通道,再次使用IKE,然后使用该通道建立L2TP隧道。之后,IPsec连接也用于传输L2TP封装的用户数据。

与普通IPsec相比,L2TP的附加封装(添加了IP / UDP数据包和L2TP报头)使效率降低了一些(如果在隧道模式下也与ESP一起使用,则效率会更高)。

由于在传输模式下通常使用ESP,因此L2TP / IPsec的NAT穿越(NAT-T)也存在更多问题。

与普通IPsec相比,L2TP的一个优点是它可以传输IP以外的协议。

在安全方面,两者相似,但取决于身份验证方法,身份验证模式(主模式或积极模式),密钥的强度,使用的算法等。

ecdsa
source
2
因此,基本上,如果我只关心IP,则IPsec会比L2TP / IPsec具有更高的开销,并且开销可能会更大,并且总体上可能会更兼容。假设VPN提供商正确地实施了所有操作,则安全性没有区别,因为两者都来自IPsec层。正确?
克里斯·普拉特
正确。在提供商提供的所有VPN选项之间,纯IPsec无疑是赢家。
ecdsa 2012年
思科有很多营销策略,但我真的不认为这是一个策略。我已经在Cisco和其他设备上使用IPSec进行了大量工作。我没有给人以“ Cisco IPSec”的印象,就像它是一种产品一样。甚至在思科型号之间,IPSec配置也不相同。
belacqua
5
Cisco IPsec主要用于Apple产品中,以隧道模式(使用IKEv1处于主模式或积极模式)表示纯IPsec。如果选择了IPSec,则iOS中的VPN对话框会带有一个较大的Cisco徽标,而在Mac OS X上,该对话框显式地称为Cisco IPSec,即使两个操作系统都使用Racoon来实际实现它。
ecdsa
实际上,处于隧道模式(与传输模式相对)的IPsec 通过将原始IP数据包封装在安全IP数据包中来传输任何流量。原始IP数据包可以承载TCP,UDP或任何其他协议。这是否会使L2TP完全没有优势?
Alexey Polonsky
21

L2TP和PPTP

L2TP / IPSec和PPTP在以下方面相似:

提供一种逻辑传输机制来发送PPP有效载荷;提供隧道或封装,以便可以在IP网络上发送基于任何协议的PPP有效负载;依靠PPP连接过程来执行用户身份验证和协议配置。

关于PPTP的一些事实:

  • 好处
    • PPTP易于部署
    • PPTP使用TCP,这种可靠的解决方案允许重新传输丢失的数据包
    • PPTP支持
  • 缺点
    • 使用MPPE(最高128位)时PPTP的安全性较差
    • 数据加密在PPP连接过程(以及PPP身份验证)完成之后开始
    • PPTP连接仅需要通过基于PPP的身份验证协议进行用户级身份验证

有关L2TP(超过PPTP)的一些事实:

  • 好处
    • L2TP / IPSec数据加密在PPP连接过程之前开始
    • L2TP / IPSec连接使用AES(最大256位)或DESU(最多三个56位密钥)
    • L2TP / IPSec连接通过要求通过证书的计算机级身份验证和通过PPP身份验证协议的用户级身份验证来提供更强的身份验证
    • L2TP使用UDP。由于它不会重新传输丢失的数据包,因此速度更快,但可靠性较差,通常用于实时Internet通信中
    • L2TP比PPTP更“防火墙友好”-由于大多数防火墙都不支持GRE,因此Extranet协议的关键优势
  • 坏处
    • L2TP需要用于颁发计算机证书的证书基础结构

总结一下:

目前尚无明确的赢家,但PPTP较旧,重量更轻,在大多数情况下都可以使用,并且可以轻松地预先安装客户端,这使其具有通常很容易部署和配置(没有EAP)的优点。

但是对于大多数国家(如阿联酋,阿曼,巴基斯坦,也门,沙特阿拉伯,土耳其,中国,新加坡,黎巴嫩),PPPP被ISP或政府阻止,因此他们需要L2TP或SSL VPN

参考:http : //vpnblog.info/pptp-vs-l2tp.html

IPSec VS L2TP / IPSec

人们使用L2TP的原因是由于需要向用户提供登录机制。IPSec本身是指网关到网关方案中的隧道协议(仍然有两种模式,隧道模式和传输模式)。因此,供应商使用L2TP允许人们在客户端到网络的情况下使用他们的产品。因此,他们仅使用L2TP进行日志记录,其余会话将使用IPSec。您必须考虑其他两种模式;预共享密钥与证书。

参考:http : //seclists.org/basics/2005/Apr/139

IPsec隧道模式

在隧道模式下使用Internet协议安全性(IPsec)时,IPsec本身仅提供IP流量的封装。使用IPsec隧道模式的主要原因是与其他不支持L2TP over IPsec或PPTP VPN隧道的路由器,网关或终端系统的互操作性。互操作性信息在虚拟专用网络联盟网站上提供。

参考:http : //forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668

chmod
source
2
感谢您的详细答复,但是我已经理解PPTP和L2TP之间的区别。我的问题涉及Cisco IPsec与IPsec上的L2TP的比较/对比-除非您隐含的区别是Cisco IPsec使用PPTP,但我不认为这是我所读的内容。
克里斯·普拉特
1
对不起,我看不懂你的问题。Cisco IPSec只是普通的IPSec,没有任何新内容。因此,您的问题实际上是IPsec VS L2TP / IPsec。答案编辑
搭配chmod
2
较小的更正-L2TP 不需要证书基础结构。L2TP / IPSec支持不涉及证书的密码验证。
霍华德
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.