二层隧道协议(PPP、PPTP、L2TP)
- PPP —— 点对点链路上的“链路层+会话层”协议,解决拨号认证、IP 分配和多协议封装。
- PPTP —— 在 IP 网络里开一条“PPP-over-GRE”隧道,把 PPP 封装进公共网络,速度快但已不安全。
- L2TP —— 在 IP/UDP 里再开一条“PPP-over-UDP”隧道,可单独用,也可与 IPsec 结合(L2TP/IPsec),兼顾兼容性与安全。
-
PPP(Point-to-Point Protocol)
- 工作层级:数据链路层 + 网络控制(NCP)
- 功能:链路建立(LCP)、身份认证(PAP/CHAP)、IP/IPv6 地址分配(IPCP)、支持多种网络层协议。
- 典型场景:传统拨号、串口直连、DSL 线路。
-
PPTP(Point-to-Point Tunneling Protocol)
- 封装方式:TCP 1723 控制通道 + GRE 数据通道
- 特点:把 PPP 帧直接塞进 GRE 包,在公网上跑“伪专线”;加密仅 MPPE,已被公开破解。
- 现状:Windows 早期 VPN 默认支持,因安全原因逐步淘汰。
-
L2TP(Layer 2 Tunneling Protocol)
- 封装方式:UDP 1701 承载 PPP 帧,可穿越 NAT;本身无加密,需与 IPsec 联合(L2TP/IPsec)实现加密/完整性/认证。
- 特点:跨平台支持好(Windows/macOS/Linux/手机),可跑在 IPv4/IPv6、以太网、3G/4G 之上。
- 现状:企业远程接入、运营商 VPN 仍广泛使用。
把“PPTP、L2TP、PPP”想象成寄快递的三种不同包装和路线:
| 协议 | 定位 | 简单比喻 | 一句话说明 |
|---|---|---|---|
| PPP | 原始包裹格式 | 快递袋本身 | 规定“袋里放什么、怎么封袋、如何验货(认证)”,直接跑在串口/拨号线路上。 |
| PPTP | 在 IP 网络里再套一条“老电话线” | 把 PPP 快递袋装进 IP 信封里发走 | 用 TCP 1723 建立控制通道,再用 GRE 封装 PPP 数据,速度快但只加密口令,已不安全。 |
| L2TP | 升级版隧道,可加 IPsec 锁 | 把 PPP 快递袋装进 UDP 信封,再套一层 IPsec 保险箱 | 用 UDP 1701 承载 PPP,可单独跑,也可再配合 IPsec 做加密(L2TP/IPsec),既兼容又安全。 |
- PPP 是袋子
- PPTP 是旧信封(GRE)
- L2TP 是新信封(UDP)+可选保险箱(IPsec)