回答:
Cisco IPsecとL2TP(over IPsec)
Cisco IPsecという用語は、追加のカプセル化なしでトンネルモードでESPを使用し、インターネットキー交換 プロトコル(IKE)を使用してトンネルを確立するプレーンなIPsecを基本的に意味する単なるマーケティング策略です。IKEは複数の認証オプションを提供します。事前共有キー(PSK)または拡張認証(XAUTH)ユーザー認証と組み合わせたX.509証明書が最も一般的です。
レイヤ2トンネリングプロトコル(L2TP)だったPPTPで、その起源を持っています。暗号化や強力な認証などのセキュリティ機能を提供しないため、通常はIPsecと組み合わされます。過剰なオーバーヘッドを避けるため、トランスポートモードでの ESP が一般的に使用されます。これは、まずIKEを使用してIPsecチャネルが確立され、次にこのチャネルを使用してL2TPトンネルが確立されることを意味します。その後、IPsec接続は、L2TPでカプセル化されたユーザーデータの転送にも使用されます。
プレーンなIPsecと比較して、L2TP(IP / UDPパケットとL2TPヘッダーを追加する)による追加のカプセル化により、効率が少し低下します(一部の実装が行うトンネルモードのESPでも使用される場合)。
NATトラバーサル(NAT-T)は、トランスポートモードでESPが一般的に使用されるため、L2TP / IPsecでも問題が多くなります。
L2TPがプレーンIPsecより優れている1つの利点は、IP以外のプロトコルを転送できることです。
セキュリティ面ではどちらも似ていますが、認証方法、認証モード(メインモードまたはアグレッシブモード)、キーの強度、使用されるアルゴリズムなどに依存します。
L2TPとPPTP
L2TP / IPSecとPPTPは、次の点で類似しています。
PPPペイロードを送信する論理トランスポートメカニズムを提供します。任意のプロトコルに基づいたPPPペイロードをIPネットワーク経由で送信できるように、トンネリングまたはカプセル化を提供します。PPP接続プロセスに依存して、ユーザー認証とプロトコル構成を実行します。
PPTPに関するいくつかの事実:
L2TPに関するいくつかの事実(PPTP経由):
要約する:
明確な勝者はありませんが、PPTPはより古く、より軽量で、ほとんどの場合に機能し、クライアントは容易に事前インストールされるため、通常、展開と構成が非常に簡単です(EAPなし)。
しかし、UAE、オマーン、パキスタン、イエメン、サウジアラビア、トルコ、中国、シンガポールなどのほとんどの国では、ISPまたは政府によってレバノンPPTPがブロックされているため、L2TPまたはSSL VPNが必要です。
リファレンス:http : //vpnblog.info/pptp-vs-l2tp.html
IPSec VS L2TP / IPSec
ユーザーがL2TPを使用する理由は、ユーザーにログインメカニズムを提供する必要があるためです。IPSec自体は、ゲートウェイツーゲートウェイシナリオでのトンネリングプロトコルを目的としています(トンネルモードとトランスポートモードの2つのモードがまだあります)。そのため、ベンダーはL2TPを使用して、クライアントからネットワークへのシナリオで人々が製品を使用できるようにします。したがって、彼らはロギングにのみL2TPを使用し、セッションの残りはIPSecを使用します。他の2つのモードを考慮する必要があります。事前共有キーと証明書。
参照:http : //seclists.org/basics/2005/Apr/139
IPsecトンネルモード
インターネットプロトコルセキュリティ(IPsec)がトンネルモードで使用される場合、IPsec自体はIPトラフィックのみのカプセル化を提供します。IPsecトンネルモードを使用する主な理由は、L2TP over IPsecまたはPPTP VPNトンネリングをサポートしない他のルーター、ゲートウェイ、またはエンドシステムとの相互運用性です。相互運用性に関する情報は、Virtual Private Network ConsortiumのWebサイトで提供されています。
参照:http : //forums.isaserver.org/m_2002098668/mpage_1/key_/tm.htm#2002098668