由Windows 7探讨如何选择VPN通道类型
转自: http://igfw.tk/archives/3237 相信大家一定有过重新连接VPN的经历,当Internet界面发生更改时,Windows7中新增加的IKEv2(基于VPN通道)可以自动无缝切换到有效的VPN连接。 这样确实很有用,就像VPN用户从wifi切换到WAN,然后又转回来,实现内部网络真正的移动连接。 这意味着Windows7内置VPN客户端和Windows 2008 R2 内置VPN服务器(又名RRAS)支持以下VPN渠道: ・ PPTP ・ L2TP/IPSec ・ SSTP ・ VPN Reconnect (或者IKEv2) 用户一定想知道这四种不同类型tunnel各有什么用途,在特定情况下使用哪种通道技术,本文将明确解析: 让我们看看技术规格表来归纳总结这几种通道的特征(基于不同的部署因素): 首先比较网络相关的参数 现在让我们来看看安全方面的参数: * 所有基于PPP的用户验证都支持密码(MSCHAPv2)以及证书(位于本地存储或者智能卡的基于EAP的用户证书)验证 ** VPN reconnect支持基于机器证书的验证方式以及用户验证,用户验证可以使用密码(EAP-MSCHAPv2)或者证书(位于本地存储或者智能卡的基于EAP的用户证书) *** Vista之前的系统支持40/56/128 bit RC4加密PPTP,Vista系统开始只能支持128 bit RC4的加密 **** Vista之前的系统支持DES、3DES 加密L2TP,Vista系统开始只能支持3DES 和AES加密 注意:所有其他功能,如Winlogon over VPN(又PLAP),Radius连接,基于NAP的健康检查等,仍然会支持所有VPN渠道。 总结: 从上表我们可以看出,不同的部署因素(如操作系统的选择、PKI基础设施等)以及部署需求(如支持防火墙traversal、支持移动性、需要机器验证、远程访问或者站点对站点访问等)最终将决定选择哪个VPN通道。 如果你不想理会这些技术术语,也可以使用简单的法则:在所有地方都使用VPN reconnect ,也可以配置SSTP。这样的话,你就能通过IKEv2渠道在任何地方获取安全不间断并且无处不在的VPN连接(如支持IKEv2的两个端点,而 IKEv2流量能够在端点间通过),否则VPN连接将倒退到SSTP通道,该通道可以穿越任何形式的防火墙、NAT和网络代理服务器。以后我们也将讨论, 什么情况下会发生通VPN道倒退以及如何作出相同配置。 如果你想知道,为什么认为VPN reconnect要比L2TP更好,虽然他们都是在IPSec上运行,以下是我的解释: ・ L2TP/IPSec要求在机器验证后进行用户验证,假设没有人使用预共享密钥,这使在每台基于L2TP的VPN客户端机器上部署机器验证时受到限制,(例如需要PKI基础设置),从而增加部署成本。 然而,VPN reconnect支持简单的密码用户验证(EAP-MSCHAPv2),这样简化了部署: ・ VPN reconnect支持IP地址连续性,以防基本联系上升或者下降,或者新的链接出现(通过流动性管理器)。这样在VPN通道上面运行的应用程序就不会感觉有连接中断。 ・ VPN reconnect在建立连接阶段(较短的往返时间)要比L2TP/IPSec 更短。 原文 : http://www.3ppt.com/os/windows7/29079.html
阅读更多
