使用Linux L2TP/IPsec VPN 服务器7、支持TCP/IP和IPX隧道。使用L2TP,你可以建立一个第二层的隧道,因此从理论上任何三层协议都可以通过隧道。可是多数情况下 TCP/IP协议被使用到VPN隧道中,据报道,IPX也能很好地工作。微软客户端支持NetBEUI,但pppd不支持,看来NetBEUI大概不能工作。 8、L2TP over IPsec是IETE的一个正式标准(RFC2661)。这意味着许多厂商支持这个协议,像PPTP、MPPE、PEAP、L2sec和OpenVPN等这些相关的VPN方案仍然不是正式标准。 9、NAT-Travelsal。多数IPsec客户端支持它(但像Windows 2000/XP等只有更新后才支持。 劣势: 1、可能在服务器上比较难安装。L2TP/IPsec或许在客户端比较容易安装,但比较来看,它在服务器上安装要比PPTP和简单的IPsec难。因此,很大程度上取决于你的操作技巧和你选择的Linux发行版。 2、较少的特性。比如一般情况下微软的客户端不支持AES加密,很多商业的客户端和Mac OS X支持AES加密,它要比3DES快得多。 3、支持。在客户端,你可以请求谁来为你提供支持?微软吗?微软转售者吗?Openswan和l2tpd的邮件列表对人们非常有用,但是如果你微软客户端的臭虫,只有微软能修补它。像Astaro和Xelerance这样的公司对它们的VPN产品提供支持。 4、需要一个L2TP服务。Openswan提供了IPsec服务,但你还需要一个L2TP服务。还有许多执行者,但它们在Linux/Unix下不常用。 5、需要证书。除非你的客户端有固定IP地址,否则需要X.509证书。换句话说,你需要一个公钥基础设施(PKI:Public Key Infrastructure),另一方面,PPP仅需要口令。 6、没有更多可用的经验。带L2TP和IPsec的结合使用在Linux上还算比较新。大概很少有人会立即使用这样的配置。 7、不稳定的升级路线。2003年6月微软对它们Windows 2000/XP自带的IPsec客户端进行了升级。MSL2TP基本上是1.0 版,尽管它是基于SoftRemote客户端的。或许微软不会再更新了,因为Windows版的客户端已经处于“不支持阶段”了。 8、信息包的顶部装置。通信负载被多次封装(IPsec、L2TP、PPP),这就需要更多的带宽,这就导致了一个MTU大小的问题,如果我没有记错的话,简单的IPsec每个数据包有56个字节的顶部装置,L2TP会在每个数据包上再增加16个字节,如果使用NAT-Traversal (IPsec被封装到UDP里)顶部装置会更大。我无法做更多的性能测试, 9、慢。L2TP和PPP协议需要在Linux服务器上运行额外的守护进程。这些守护进程运行在用户态,这意味着信息包的额外处理和更多的延迟。一般情况情况下,在ADSL线路上,线路速度是瓶颈,不是VPN,但如果VPN运行在LAN上,那么VPN是瓶颈。 10、在非微软的客户端事上比较复杂。L2TP在IPsec顶上对Windows的本地客户端来说设置比较容易,但不是所有的第三方客户端都支持 L2TP。比如如果你有Linux用户,让他们运行L2TP客户端有点无聊,也意味着你需要做更多的工作,因为你希望提供的支持不只一个,而是不同的 VPN选项,也就是IPsec和L2TP/IPsec。 11、NAT-Travelsal。有L2TP/IPsec的NAT-Traversal在Linux上现在是实验性的。NAT-T由IETE批准,但多数厂商的执行者比草案要早。 12、没有“完美的安全传送”PFS是一个可以被IPsec通信启用的安全特征,但是Windows和Mac的L2TP/IPsec客户端不支持(除非用户手工建立一个IPsec策略,但是那样用户界面又不友好,而且容易出错)。 13、专利问题。Cisco拥有L2F协议的专利,L2TP本质上是由Cisco的L2F协议和微软的PPTP协议组合而成的。Cisco在 L2TP协议上同样有专利。人们都知道,不排除Cisco想寻求版税或什么的。同样一些公司拥有NAT-Traversal的专利。这个专利问题也许只对美国、日本等软件专利法非常愚蠢的国家的用户有影响。 就像你看到的,有这么多好的原因使你不使用带L2TP的IPsec,但是,在像IKEv2和DHCP over IPsec这样更好的解决方案更普遍地使用前,它还因为相当安全这一面和价格影响使人有兴趣来考虑它。 8 Road Warrior支持 VPN用户经常使用动态IP:在他们连接的每一次IP地址都可能不同。比如,一个旅行者用它的笔记本电脑从宾馆或会议室发起的连接;一些cable/ADSL提供商使用DHCP来分配有规律地改变的动态IP地址。 使用IPsec有多种方法来支持这种设想: • 每个用户共享的“预共享密钥”(PSK:PreShared Key)。 • RSA认证。 • 在“好斗模式”(Aggressive Mode)下的“多重预共享密钥”(Multiple PreShared Key)。 • DHCP over IPsec。 • IKEv2 • X.509证书。 “预共享密钥”(PSK:PreShared Key)是一个IPsec隧道两端共享的安全口令。PSK的分发是“脱离网络” (out of band)的,也就是,不通过不友好的网络(Internet),例如,你可以面对面地把写在纸片上的PSK交给用户。PSK使用起来比较简单,但是当用户数量较多并且你想为Road Warrior使用PSK时,就不太好衡量了,所有使用动态IP地址的用户使用相同的PSK (“group secret”),当然这是重大的安全风险,假如一个用户离开了公司或丢失了他的手提电脑,其他所有的用户必须更换新的PSK。另一种方法是给每个用户一个不同的PSK,但在IPsec下要求所有用户都是固定IP地址。因为这些限制,PSK不能用于Road Warrior,除非只有一个用户或每个用户都有固定IP地址。 使用RSA认证。你在Openswan的配置中为用户指定一个处于自然状态的RSA公钥。RSA认证支持静态IP和动态IP地址,RSA认证执行起来也相对光明有份量,并且使用起来几乎同口令一样简单。因为口令不可能被猜出,所以RSA密钥自然更加安全,这是它的优势所在。不像口令那样,用户记不住RSA密钥,需要剪切到配置中。不幸的是,支持RSA认证像支持L2TP/IPSec那样的IPsec客户端,反之亦然。 一些IPsec客户端支持“好斗模式”(Aggressive Mode)。允许动态IP地址使用PSK。尤其是设备只有很小处理能力的客户端(像Pocket PC和Palm)使用“好斗模式”,因为RSA加密要比对称密钥更加慢。FreeS/WAN需要一个补丁才能支持“好斗模式”,但 Openswan 1.x和SuperFreeS/WAN已经包含了这个补丁。使用“好斗模式”的麻烦是,安全依赖于口令本身的强度(PPTP有同样的问题)。像IKEcrack(http://ikecrack.sourceforge.net/)和Cain&Abel(http: //www.oxid.it/cain.html)的程序尝试截取会话并破解“预共享密钥”。http: //www.ernw.de/download/pskattack.pdf有解释。 上一篇:让Linux NAT服务器支持UPnP 下一篇:利用IP 别名托管多个SSL 站点 更多相关文章
|
推荐文章
精彩文章
|
