VPN 隧道协议

ISA Server 2004 支持两种用于远程客户端访问连接的虚拟专用网络 (VPN) 协议：

• 
  
• 点对点隧道协议 (PPTP)
  
• 第二层隧道协议 (L2TP)

此外，支持 Internet 协议安全 (IPSec) 隧道模式，以便进行站点到站点 VPN 连接。

有关配置用于远程客户端访问的协议说明，请参阅配置远程客户端访问的隧道协议。

PPTP

点对点隧道协议 (PPTP) 是一种网络协议，其通过跨越基于 TCP/IP 的数据网络创建 VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP 支持通过公共网络（例如 Internet）建立按需的、多协议的、虚拟专用网络。PPTP 允许加密 IP 通讯，然后在要跨越公司 IP 网络或公共 IP 网络（如 Internet）发送的 IP 头中对其进行封装。

L2TP

第 2 层隧道协议 (L2TP) 是一种工业标准 Internet 隧道协议，其可以为跨越面向数据包的媒体发送点到点协议 (PPP) 框架提供封装。L2TP 允许加密 IP 通讯，然后在任何支持点到点数据报交付的媒体上（如 IP）进行发送。Microsoft 的 L2TP 实现使用 Internet 协议安全 (IPSec) 加密来保护从 VPN 客户端到 VPN 服务器之间的数据流。IPSec 隧道模式允许加密 IP 数据包，然后在要跨越公司 IP 网络或公共 IP 网络（如 Internet）发送的 IP 头中对其进行封装。

PPTP 连接只要求通过基于 PPP 的身份验证协议进行用户级身份验证。IPSec 上的 L2TP 连接不仅需要相同的用户级身份验证，而且还需要使用计算机凭据进行计算机级身份验证。

IPSec 隧道模式

隧道是封装、路由与解封装的整个过程。隧道将原始数据包隐藏（或封装）在新的数据包内部。该新的数据包可能会有新的寻址与路由信息，从而使其能够通过网络传输。隧道与数据保密性结合使用时，在网络上窃听通讯的人将无法获取原始数据包数据（以及原始的源和目标）。封装的数据包到达目的地后，会删除封装，原始数据包头用于将数据包路由到最终目的地。

隧道本身是封装数据经过的逻辑数据路径。对原始的源和目的端，隧道是不可见的，而只能看到网络路径中的点对点连接。连接双方并不关心隧道起点和终点之间的任何路由器、交换机、代理服务器或其他安全网关。将隧道和数据保密性结合使用时，可用于提供 VPN。

封装的数据包在网络中的隧道内部传输。在此示例中，该网络是 Internet。网关可以是外部 Internet 与专用网络间的周界网关。周界网关可以是路由器、防火墙、代理服务器或其他安全网关。另外，在专用网络内部可使用两个网关来保护网络中不信任的通讯。

当以隧道模式使用 IPSec 时，其只为 IP 通讯提供封装。使用 IPSec 隧道模式主要是为了与其他不支持 IPSec 上的 L2TP 或 PPTP VPN 隧道技术的路由器、网关或终端系统相互操作。

注意

• 
  
• 如果停止或重新启动 IPSec PolicyAgent 服务，将丢失所有的动态 IPSec 配置信息，包括 ISA 服务器 VPN 站点到站点 IPSec 配置设置，而且 VPN 客户端也会断开连接。要还原设置，可以先启动 PolicyAgent 服务，然后重新启动 Microsoft 防火墙服务，或重新启动计算机。

VPN 协议比较

下表对 VPN 协议进行了比较。