作者：    来源：    点击：    日期：2007-11-1 8:44:14   

　　L2TP还可以提供比PPTP更强大的身份识别功能。L2TP能够对用户和计算机都进行身份识别。而且在用户级身份识别期间交换的数据包总是被加密的。

　　虽然表面上看L2TP也许是隧道协议的选择，但是，PPTP也有一些超过L2TP的优点。我已经谈到过这些优点之一，就是兼容性。PPTP比L2TP兼容更多的Windows系统。如果你有一些仍在使用版本比较老的Windows操作系统的VPN用户，那么，除了使用PPTP之外，你没有别的选择。

　　PPTP优于L2TP的另一个优势是L2TP是以IPSec为基础的。在L2TP的优点这一节，我谈到IPSec喜欢L2TP是一件好事，而且事情确实如此。然而，使用IPSec有一个重大缺陷。IPSec要求你的网络具有认证中心。

　　这个好消息是Windows Server 2003有自己的认证中心。认证中心的设置是相对简单的。坏消息是，从安全的观点看，认证中心不是你要处理的事情。保持认证中心完整性的惟一方法是在一台安全保护增强到最大限度的专用服务器上运行认证中心。这就意味着必须要额外投资购买一台服务器、额外的Windows服务器软件许可证、以及增加与你的网络增加一台服务器有关的额外管理负担。不过，按照我的意见，额外的成本和管理负担是值得的。L2TP能够为你提供比PPTP更好的安全性。此外，你还可以利用认证中心做其它的事情，如通过IPSec加密本地通信等。

　　身份识别协议

　　在我谈论协议话题的时候，我要用一些时间谈一谈身份识别协议的问题。在设置VPN的过程中，系统将要求你选择一个身份识别协议。大多数人会选择MS-CHAP v2选项。MS-CHAP是一个相对安全的选项，它兼容运行在过去的10年里制作的任何版本的Windows操作系统的VPN客户机。MS-CHAP最大的优点是容易设置。

　　如果你计划使用L2TP并且要更好的安全性，你应该选择EAP-TLS作为你的身份识别协议。只有运行Windows 2003或者Windows XP操作系统的客户机才能支持EAP-TLS协议。而且，必须设置VPN服务器之后认证中心才能办法用户认证。EAP-TLS协议的设置比较复杂，如果最终用户已经获得了智能卡，这个协议会工作得更好。但是，EAP-TLS协议确实能够为你提供最佳的安全。简单地说，MS-CHAP是基于口令的协议。EAP-TLS是基于证书的协议。

　　结论

　　在你创建一个VPN之前，需要做许多规划工作。在这篇文章中，我谈了设计一个VPN必须要做的一些规划，还谈了一些你必须要做出的一些决策。

首页 上一页 [1] [2]  下一页 尾页