相信大家一定有过重新连接VPN的经历,当Internet界面发生更改时,Windows7中新增加的IKEv2(基于VPN通道)可以自动无缝切换到有效的VPN连接。
这样确实很有用,就像VPN用户从wifi切换到WAN,然后又转回来,实现内部网络真正的移动连接。
这意味着Windows7内置VPN客户端和Windows 2008 R2 内置VPN服务器(又名RRAS)支持以下VPN渠道:
・ PPTP
・ L2TP/IPSec
・ SSTP
・ VPN Reconnect (或者IKEv2)
用户一定想知道这四种不同类型tunnel各有什么用途,在特定情况下使用哪种通道技术,本文将明确解析:
让我们看看技术规格表来归纳总结这几种通道的特征(基于不同的部署因素):
首先比较网络相关的参数
现在让我们来看看安全方面的参数:
* 所有基于PPP的用户验证都支持密码(MSCHAPv2)以及证书(位于本地存储或者智能卡的基于EAP的用户证书)验证
** VPN reconnect支持基于机器证书的验证方式以及用户验证,用户验证可以使用密码(EAP-MSCHAPv2)或者证书(位于本地存储或者智能卡的基于EAP的用户证书)
*** Vista之前的系统支持40/56/128 bit RC4加密PPTP,Vista系统开始只能支持128 bit RC4的加密
**** Vista之前的系统支持DES、3DES 加密L2TP,Vista系统开始只能支持3DES 和AES加密
注意:所有其他功能,如Winlogon over VPN(又PLAP),Radius连接,基于NAP的健康检查等,仍然会支持所有VPN渠道。
总结:
从上表我们可以看出,不同的部署因素(如操作系统的选择、PKI基础设施等)以及部署需求(如支持防火墙traversal、支持移动性、需要机器验证、远程访问或者站点对站点访问等)最终将决定选择哪个VPN通道。
如果你不想理会这些技术术语,也可以使用简单的法则:在所有地方都使用VPN reconnect ,也可以配置SSTP。这样的话,你就能通过IKEv2渠道在任何地方获取安全不间断并且无处不在的VPN连接(如支持IKEv2的两个端点,而 IKEv2流量能够在端点间通过),否则VPN连接将倒退到SSTP通道,该通道可以穿越任何形式的防火墙、NAT和网络代理服务器。以后我们也将讨论, 什么情况下会发生通VPN道倒退以及如何作出相同配置。
如果你想知道,为什么认为VPN reconnect要比L2TP更好,虽然他们都是在IPSec上运行,以下是我的解释:
・ L2TP/IPSec要求在机器验证后进行用户验证,假设没有人使用预共享密钥,这使在每台基于L2TP的VPN客户端机器上部署机器验证时受到限制,(例如需要PKI基础设置),从而增加部署成本。
然而,VPN reconnect支持简单的密码用户验证(EAP-MSCHAPv2),这样简化了部署:
・ VPN reconnect支持IP地址连续性,以防基本联系上升或者下降,或者新的链接出现(通过流动性管理器)。这样在VPN通道上面运行的应用程序就不会感觉有连接中断。
・ VPN reconnect在建立连接阶段(较短的往返时间)要比L2TP/IPSec 更短。
—————————————————————————————————————————
需要翻墙利器? 请安装Wuala,查找和添加gfwblog为好友,就可高速下载翻墙软件,或访问http://tinyurl.com/gfwblog直接下载。
推特用户请点击这里免翻墙上推特
请点击这里下载翻墙软件
更多翻墙方法请发电邮(最好用Gmail)到:fanqiang70ma@gmail.com
请阅读和关注中国数字时代、翻墙技术博客GFW BLOG(免翻墙)
--
Posted By GFW BLOG 功夫网与翻墙 to GFW BLOG(功夫网与翻墙) at 6/10/2011 07:36:00 AM --
1、我们的订阅地址:http://feeds2.feedburner.com/chinagfwblog。2、发一封标题为GFW的邮件到fanqiang70ma@gmail.com,就可获取翻墙利器赛风新地址。附《数字时代》赠阅版。3、本站热烈欢迎各位朋友投稿或推荐文章,请发邮件至chinagfwblog[at]gmail.com。
停止订阅,请发邮件到
gfw-blog+unsubscribe@googlegroups.com
博文
没有评论:
发表评论