思科路由器之vpn兩種工作方式詳解

一般VPN服務器有兩種連接方式，即L2TP方式和PPTP方式，這兩種連接方式的區別與其協議和工作方式有關。

一、L2TP方式

(1)L2TP方式的VPN連接，VPN服務器保持著1701端口與客戶端1701端口的UDP連接，將自動為L2TP連接創建一個使用證書方式認證IPsec策略，因此L2TP通訊就被裹在IPsec策略創建的Ipsec隧道內，用ipsecmon可以看清楚實際上還是1701-->1701的UDP通訊。

(2)VPN開始連接時，需要雙方交換密鑰，這是通過UPD 500端口的ISAKMP來實現的，從此以后所有的VPN通訊，包括建立/斷開連接請求、用戶驗證、數據傳輸都是通過ESP之上傳輸的。

二、PPTP方式

(1)PPTP方式的VPN連接，VPN客戶端的建立/斷開連接請求都是通過和服務器的TCP 1723端口用PPTP協議聯系的，至于具體的用戶驗證、數據傳輸等都是通過PPP協議來通訊的，而PPP協議又是跑在GRE之上的。

(2)使用PPTP方式的VPN連接時，VPN服務器端保持著1723端口與客戶端一任意端口的TCP連接,TCP端口1723上跑的是PPTP Control Message，包括了PPTP隧道創建,維護和終止之類的日常管理工作，客戶端通過TCP與服務器1723端口建立連接后，進入基于GRE的PPP協商，包括了用戶驗證,數據傳輸等所有通訊.斷開VPN連接時又用到了基于1723端口的PPTP Control Message。

L2TP方式連接的VPN客戶端無法使用私有地址來連接具有合法地址的VPN服務器，而PPTP連接方式則可以直接連接。