Туннельные протоколы VPN
ISA Server поддерживает 2 протокола для работы с удаленными клиентами VPN:
- Point-to-Point Tunneling Protocol (PPTP)
- Layer Two Tunneling Protocol (L2TP)
Помимо того, для VPN соединений поддерживается протокол IPSec в туннельном режиме.
Для подробных инструкций по настройке протоколов удаленного доступа смотрите настройка протоколов удаленного доступа.
PPTP
Протокол PPTP (Point-to-Point Tunneling Protocol) - сетевой протокол, обеспечивающий безопасный обмен данными с удаленного клиента к серверу с помощью создания VPN (частные сети поверх открытых сетей). Протокол PPTP может шифровать IP трафик и пересылать его через Internet.
L2TP
Протокол L2TP (Layer Two Tunneling Protocol) - индустриальный стандарт Интернет, туннельный протокол, который обеспечивает инкапсуляцию и пересылку кадров протокола PPP. Протокол L2TP шифрует IP трафик и пересылает через среду, поддерживающую доставку point-to-point датаграмм, как IP. Реализация протокола Microsoft L2TP использует IPSec шифрованеи для защиты потоков данных на всем пути от VPN клиента до VPN сервера. Туннельный режим протокола IPSec поддерживает шифрование IP пакетов, которые затем пересылаются через Internet.
Соединения по протоколу PPTP требуют аутентификацию лишь пользовательского уровня через протокол, основанный на PPP. Соединения по протоколу L2TP/IPSec требуют помимо этого еще и аутентификации, основанной на сертификатах.
IPSec в туннельном режиме
Туннелирование включает инкапсуляцию, маршрутизации и развертывания. Оригинальные пакеты оборачиваются (инкапсулируются) в новые пакеты. Новый пакет может иметь новую адресную и маршрутизируемую информацию, которая позволяет ему двигаться внутри сети. После достижения адресата назначения - пакеты распаковываются и создаются старые пакеты (как были до инкапсуляции), и оригинальный заголовок служит для достижения настоящего адреса.
Туннель сам по себе - логический путь данных, через который пересылаются пакеты. Для источника и объекта назначения туннель является прозрачным и выглядит как обычное соединение между хостами. Оконечные точки не имеют понятия о маршрутизации, прокси-серверах и иных шлюзых, через которых пакеты проходят по туннелю. Когда туннель обеспечивает безопасную пересылку данных - он может использоваться для предоставления услуг VPN.
Инкапсулированные пакеты проходят сеть вдоль туннеля. В этом примере сетью является Internet.
Когда используется IPSec в туннельном режиме, протокол IPSec обеспечивает инкапсуляцию только IP трафика. Основная причина для использования IPSec в туннельном режиме - взаимодействие с остальными маршрутизаторами, шлюзами или конечными системами, которые не поддерживают протоколы L2TP поверх IPSec или PPTP.
Замечание
- Если вы остановите или перезапустите службу IPSec PolicyAgent, динамическая конфигурация IPSec будет потеряна, включая ISA Server VPN IPSec настройки и VPN клиенты будут отключены. Для возобновления настроек либо запустите службу PolicyAgent, либо перезапустите службу Firewall, либо перезапустите компьютер.
Сравнение протоколов VPN
Таблица, сравнивающая VPN протоколы.
| Протокол | Когда использовать | Уровень безопасности | Комментарии |
|---|---|---|---|
| IPSec в туннельном режиме | Соединение с сервером VPN других производителей | Высокий | Это единственный выбор при соединении с VPN серверами, произведенными не Microsoft. |
| L2TP поверх IPSec | Соединение с ISA Server 2000, ISA Server 2004 или Windows VPN сервером | Высокий | Использует маршрутизируемый и удаленный доступ. Менее сложный, чем IPSec в туннельном режиме, но требует, чтобы удаленный VPN сервер был из семейства ISA Server или Windows VPN сервер. |
| PPTP | Соединение с ISA Server 2000, ISA Server 2004 или Windows VPN сервером | Настраиваемый | Использует маршрутизируемый и удаленный доступ. Такие же ограничения, как и для протокола L2TP, но более простой в конфигурировании. Протокол L2TP считается более безопасным, т.к. использует IPSec шифрование. |
Перевод документации осуществлен силами компании Red Line Software
