PPTP、L2TP、IPSec、OpenVPN和SSTP的區別

VPN （虛擬專用網）發展至今已經不在是一個單純的經過加密的訪問隧道，它已經融合了訪問控制、傳輸管理、加密、路由選擇、可用性管理等多種功能，並在全球的信息安全體系中發揮着重要的作用。

在網絡上，有關各種VPN協議優缺點的比較是仁者見仁，智者見智，很多技術人員由於出於使用目的考慮，包括訪問控制、安全和用戶簡單易用，靈活擴展等各方面，權衡利弊，難以取捨；尤其在VOIP語音環境中，網絡安全顯得尤為重要，因此現在越來越多的網絡電話和語音網關支持VPN協議。

主流的VPN協議有PPTP、L2TP、IPSec、OpenVPN和SSTP，具體區別如下：

（點擊圖片可放大）

一、PPTP

點對點隧道協議 (PPTP) 是由包括微軟和3Com等公司組成的PPTP論壇開發的一種點對點隧道協，基於撥號使用的PPP協議使用PAP或CHAP之類的加密算法，或者使用 Microsoft的點對點加密算法MPPE。其通過跨越基於 TCP/IP 的數據網絡創建 VPN 實現了從遠程客戶端到專用企業服務器之間數據的安全傳輸。PPTP 支持通過公共網絡（例如 Internet）建立按需的、多協議的、虛擬專用網絡。PPTP 允許加密 IP 通訊，然後在要跨越公司 IP 網絡或公共 IP 網絡（如 Internet）發送的 IP 頭中對其進行封裝。

二、L2TP

第 2 層隧道協議 (L2TP) 是IETF基於L2F （Cisco的第二層轉發協議）開發的PPTP的後續版本。是一種工業標準 Internet 隧道協議，其可以為跨越面向數據包的媒體發送點到點協議 (PPP) 框架提供封裝。PPTP和L2TP都使用PPP協議對數據進行封裝，然後添加附加包頭用於數據在互聯網絡上的傳輸。PPTP只能在兩端點間建立單一隧道。 L2TP支持在兩端點間使用多隧道，用戶可以針對不同的服務質量創建不同的隧道。L2TP可以提供隧道驗證，而PPTP則不支持隧道驗證。但是當L2TP 或PPTP與IPSEC共同使用時，可以由IPSEC提供隧道驗證，不需要在第2層協議上驗證隧道使用L2TP。 PPTP要求互聯網絡為IP網絡。L2TP只要求隧道媒介提供面向數據包的點對點的連接，L2TP可以在IP（使用UDP），楨中繼永久虛擬電路（PVCs),X.25虛擬電路（VCs）或ATM VCs網絡上使用。

三、IPSec

IPSec 隧道模式隧道是封裝、路由與解封裝的整個過程。隧道將原始數據包隱藏（或封裝）在新的數據包內部。該新的數據包可能會有新的尋址與路由信息，從而使其能夠通 過網絡傳輸。隧道與數據保密性結合使用時，在網絡上竊聽通訊的人將無法獲取原始數據包數據（以及原始的源和目標）。封裝的數據包到達目的地後，會刪除封裝，原始數據包頭用於將數據包路由到最終目的地。

隧道本身是封裝數據經過的邏輯數據路徑，對原始的源和目的端，隧道是不可見的，而只能看到網絡路徑中的點對點連接。連接雙方並不關心隧道起點和終點之間的任何路由器、交換機、代理服務器或其他安全網關。將隧道和數據保密性結合使用時，可用於提供VPN。

封裝的數據包在網絡中的隧道內部傳輸。在此示例中，該網絡是 Internet。網關可以是外部 Internet 與專用網絡間的周界網關。周界網關可以是路由器、防火牆、代理服務器或其他安全網關。另外，在專用網絡內部可使用兩個網關來保護網絡中不信任的通訊。

當以隧道模式使用 IPSec 時，其只為 IP 通訊提供封裝。使用 IPSec 隧道模式主要是為了與其他不支持 IPSec 上的 L2TP 或 PPTP VPN 隧道技術的路由器、網關或終端系統之間的相互操作。

四、OpenVPN

SSL/TLS協議提供了數據私密性、端點驗證、信息完整性等特性。SSL/TLS協議由許多子協議組成，其中兩個主要的子協議是握手協議和記錄協議。握手協議允許服務器和客戶端在應用協議傳輸第一個數據字節以前，彼此確認，協商一種加密算法和密碼鑰匙。在數據傳輸期間，記錄協議利用握手協議生成的密鑰加密和解密後來交換的數據。

SSL/TLS獨立於應用，因此任何一個應用程序都可以享受它的安全性而不必理會執行細節。SSL/TLS置身於網絡結構體系的 傳輸層和應用層之間。此外，SSL/TLS本身就被幾乎所有的Web瀏覽器支持。這意味着客戶端不需要為了支持SSL/TLS連接安裝額外的軟件。這兩個特徵就是SSL/TLS能應用於VPN的關鍵點。

典型的SSL VPN應用如OpenVPN,是一個比較好的開源軟件。PPTP主要為那些經常外出移動或家庭辦公的用戶考慮；而OpenVPN主要是針對企業異地兩地總分公司之間的VPN不間斷按需連接，例如ERP在企業中的應用。

OpenVPN 允許參與建立VPN的單點使用預設的私鑰，第三方證書，或者用戶名/密碼來進行身份驗證。它大量使用了OpenSSL加密庫，以及SSLv3/TLSv1 協議。OpenVPN能在Linux、xBSD、Mac OS X與Windows 2000/XP上運行。它並不是一個基於Web的VPN軟件，也不與IPsec及其他VPN軟件包兼容。

隧道加密

OpenVPN使用OpenSSL庫加密數據與控制信息：它使用了OpesSSL的加密以及驗證功能，意味着，它能夠使用任何OpenSSL支持的算法。它提供了可選的數據包HMAC功能以提高連接的安全性。此外，OpenSSL的硬件加速也能提高它的性能。

驗證

OpenVPN提供了多種身份驗證方式，用以確認參與連接雙方的身份，包括：預享私鑰，第三方證書以及用戶名/密碼組合。預享密鑰最為簡單，但同時它只能用於建立點對點的VPN；基於PKI的第三方證書提供了最完善的功能，但是需要額外的精力去維護一個PKI證書體系。OpenVPN2.0後引入了用戶名/口令組合的身份驗證方式，它可以省略客戶端證書，但是仍有一份服務器證書需要被用作加密。

網絡

OpenVPN所有的通信都基於一個單一的IP端口，默認且推薦使用UDP協議通訊，同時TCP也被支持。OpenVPN連接能通過大多數的代理服務器，並且能夠在NAT的環境中很好地工作。服務端具有向客戶端“推送”某些網絡配置信息的功能，這些信息包括：IP地址、路由設置等。OpenVPN提供了兩種虛擬網絡接口：通用Tun/Tap驅動，通過它們，可以建立三層IP隧道，或者虛擬二層以太網，後者可以傳送任何類型的二層以太網絡數據。傳送的數據可通過LZO算法壓縮。IANA（Internet Assigned Numbers Authority）指定給OpenVPN的官方端口為1194。OpenVPN 2.0以後版本每個進程可以同時管理數個並發的隧道。

OpenVPN使用通用網絡協議（TCP與UDP）的特點使它成為IPsec等協議的理想替代，尤其是在ISP（Internet service provider）過濾某些特定VPN協議的情況下。在選擇協議時候，需要注意2個加密隧道之間的網絡狀況，如有高延遲或者丟包較多的情況下，請選擇 TCP協議作為底層協議，UDP協議由於存在無連接和重傳機制，導致要隧道上層的協議進行重傳，效率非常低下。

安全

OpenVPN與生俱來便具備了許多安全特性：它在用戶空間運行，無須對內核及網絡協議棧作修改；初始完畢後以chroot方式運行，放棄root權限；使用mlockall以防止敏感數據交換到磁盤。

OpenVPN通過PKCS#11支持硬件加密標識，如智能卡。

五、SSTP

安全套接字隧道協議(Secure Socket Tunneling Protocol，SSTP)是一種VPN隧道的形式，提供了一種通過SSL3.0通道傳輸PPP或L2TP流量的機制。SSL利用密鑰協商提供傳輸級別的安全性。通過TCP端口443使用SSL，允許SSTP通過幾乎所有的防火牆和代理服務器，除了需要身份驗證的Web代理。

SSTP可用於Linux、BSD和Windows。MikroTik的RouterOS還包括一個SSTP客戶端和服務器端。對於Windows，SSTP僅可用於自Windows Vista SP1之後的系統。

這種SSTP只適用於遠程訪問，通常不支持站點與站點之間的VPN隧道。RouterOS的版本有沒有這樣的限制。