你好，这里是网络技术联盟站，我是瑞哥。

今天和大家聊聊L2TP 与 SSL。

L2TP VPN 和 SSL VPN 都用于 Internet 用户访问内部网络。那么，它们之间有什么区别，我们应该选择哪一个呢？

在这篇文章中，我将区分它们，以便您可以更轻松地做出决定。

L2TP 和 SSL 如何访问内部网络。

L2TP 是一种 VPN，它将 PPP 数据包封装在隧道中，以便移动员工可以从 DCHP 服务器获取 IP 地址。换言之，L2TP VPN 在移动用户和 L2TP 网络服务器之间创建了一条私有路径。L2TP VPN建立后，移动用户和内网服务器之间的所有流量都是使用获取的内网IP地址发起的。并且这些数据包将再次被移动用户的公共IP地址封装，以便它们可以传输到Internet。整个过程，移动用户直接访问内网服务器（无需L2TP LNS代理）。

图 1：L2TP VPN

对于 SSL VPN，移动用户登录虚拟网关，认证后建立 SSL VPN。与 L2TP VPN 不同的是，SSL VPN 可以通过配置 Web 代理、文件共享和端口转发功能来代理移动用户访问内网服务器。此外，管理员还可以配置网络扩展，让移动用户直接访问内网服务器（无需虚拟网关代理）。

图 2：SSL Web 代理和网络扩展之间的区别

L2TP VPN的优缺点

好处：

• L2TP VPN 通过 Internet 扩展 Intranet。
• L2TP VPN 允许多个用户使用一个帐户访问内网。
• 在NAT-initiated场景和Call-LNS场景下，L2TP VPN允许所有用户连接到NAS和LAC访问内网。方便分公司员工参观总部。

缺点：

• L2TP VPN 需要拨号客户端。
• 不管是额外的拨号客户端，还是系统自带的拨号软件，这个都不是手机用户用的。
• 对于某些特定场景不方便使用。
• 如果我们希望移动用户只使用 Web 服务器，我们应该配置安全策略来限制可用资源。多台服务器时，配置不方便。
• L2TP VPN 不加密用户数据。

L2TP VPN 不加密用户数据，虽然我们可以配置 L2TP over IPSec 来加强安全性，但额外的 IPSec VPN 会导致配置更加复杂。

SSL VPN 的优缺点

好处：

• SSL VPN 不需要额外的拨号软件。

SSL VPN 登录可以使用网络浏览器完成，并且网络浏览器安装在每台 PC 上。

• 很容易配置为只提供一些特定的功能。

SSL VPN提供网页代理功能让移动用户只使用网络服务器，文件共享只提供FTP服务，端口转发为移动用户提供特定的服务代理。

• SSL VPN 对用户数据进行加密。

缺点：

• 每个用户都必须独立登录。

这导致 SSL VPN 与分支机构和总部场景不兼容。

• 需要特定的 Web 浏览器版本。

如果不推荐使用 Web 浏览器，则会出现一些意外错误。

• 配置更复杂

L2TP 还是 SSL，我应该选择哪一个？

OSI 层

• L2TP VPN：传输层
• SSL VPN：应用层

额外拨号客户端

• L2TP VPN：是
• SSL VPN：否

加密数据

• L2TP VPN：否
• SSL VPN：是

兼容 IPv6

• L2TP VPN：否
• SSL VPN：否

可供多个用户同时访问一个帐户

• L2TP VPN：是
• SSL VPN：否

比较后，我们可以通过以下步骤来决定VPN：

• 如果使用 VPN 来桥接总部和分支机构，L2TP VPN 就是答案。
• 如果移动 PC 上没有安装额外的拨号客户端，建议使用 SSL VPN。
• 如果只允许移动用户使用一些特定的服务，例如Web服务、FTP服务和特定的服务器，推荐使用SSL VPN。
• 如果需要灵活的认证机制，推荐使用L2TP VPN。L2TP VPN 在 PPP 的基础上提供了更灵活的认证机制。