L2TP VPN 和 SSL VPN 都用于 Internet 用戶訪問內部網絡。那么,它們之間有什么區別,我們應該選擇哪一個呢?
在這篇文章中,我將區分它們,以便您可以更輕松地做出決定。
L2TP 和 SSL 如何訪問內部網絡。
L2TP 是一種 VPN,它將 PPP 數據包封裝在隧道中,以便移動員工可以從 DCHP 服務器獲取 IP 地址。換言之,L2TP VPN 在移動用戶和 L2TP 網絡服務器之間創建了一條私有路徑。L2TP VPN建立后,移動用戶和內網服務器之間的所有流量都是使用獲取的內網IP地址發起的。并且這些數據包將再次被移動用戶的公共IP地址封裝,以便它們可以傳輸到Internet。整個過程,移動用戶直接訪問內網服務器(無需L2TP LNS代理)。
圖 1:L2TP VPN
對于 SSL VPN,移動用戶登錄虛擬網關,認證后建立 SSL VPN。與 L2TP VPN 不同的是,SSL VPN 可以通過配置 Web 代理、文件共享和端口轉發功能來代理移動用戶訪問內網服務器。此外,管理員還可以配置網絡擴展,讓移動用戶直接訪問內網服務器(無需虛擬網關代理)。
圖 2:SSL Web 代理和網絡擴展之間的區別
L2TP VPN的優缺點
好處:
- L2TP VPN 通過 Internet 擴展 Intranet。
- L2TP VPN 允許多個用戶使用一個帳戶訪問內網。
- 在NAT-initiated場景和Call-LNS場景下,L2TP VPN允許所有用戶連接到NAS和LAC訪問內網。方便分公司員工參觀總部。
缺點:
- L2TP VPN 需要撥號客戶端。
- 不管是額外的撥號客戶端,還是系統自帶的撥號軟件,這個都不是手機用戶用的。
- 對于某些特定場景不方便使用。
- 如果我們希望移動用戶只使用 Web 服務器,我們應該配置安全策略來限制可用資源。多臺服務器時,配置不方便。
- L2TP VPN 不加密用戶數據。
L2TP VPN 不加密用戶數據,雖然我們可以配置 L2TP over IPSec 來加強安全性,但額外的 IPSec VPN 會導致配置更加復雜。
SSL VPN 的優缺點
好處:
- SSL VPN 不需要額外的撥號軟件。
SSL VPN 登錄可以使用網絡瀏覽器完成,并且網絡瀏覽器安裝在每臺 PC 上。
- 很容易配置為只提供一些特定的功能。
SSL VPN提供網頁代理功能讓移動用戶只使用網絡服務器,文件共享只提供FTP服務,端口轉發為移動用戶提供特定的服務代理。
- SSL VPN 對用戶數據進行加密。
缺點:
- 每個用戶都必須獨立登錄。
這導致 SSL VPN 與分支機構和總部場景不兼容。
- 需要特定的 Web 瀏覽器版本。
如果不推薦使用 Web 瀏覽器,則會出現一些意外錯誤。
- 配置更復雜
L2TP 還是 SSL,我應該選擇哪一個?
OSI 層
- L2TP VPN:傳輸層
- SSL VPN:應用層
額外撥號客戶端
- L2TP VPN:是
- SSL VPN:否
加密數據
- L2TP VPN:否
- SSL VPN:是
兼容 IPv6
- L2TP VPN:否
- SSL VPN:否
可供多個用戶同時訪問一個帳戶
- L2TP VPN:是
- SSL VPN:否
比較后,我們可以通過以下步驟來決定VPN:
- 如果使用 VPN 來橋接總部和分支機構,L2TP VPN 就是答案。
- 如果移動 PC 上沒有安裝額外的撥號客戶端,建議使用 SSL VPN。
- 如果只允許移動用戶使用一些特定的服務,例如Web服務、FTP服務和特定的服務器,推薦使用SSL VPN。
- 如果需要靈活的認證機制,推薦使用L2TP VPN。L2TP VPN 在 PPP 的基礎上提供了更靈活的認證機制。
