PPTP VPN和L2TP VPN的異同與VPN協議和工作方式有關，如下我們給大家介紹一下PPTP VPN與L2TP VPN的區別。

使用PPTP方式的VPN連接時，VPN服務器端保持著1723端口與客戶端一任意端口的TCP連接，TCP端口1723上跑的是PPTPControlMessage，包括了PPTP隧道創建，維護和終止之類的日常管理工作(建立/斷開VPN連接的請求等)?？蛻舳送ㄟ^TCP與服務器1723端口建立連接后，進入基于GRE(通用路由協議--IP協議編號為47，TCP的IP協議編號為6)的PPP協商，包括了用戶驗證，數據傳輸等所有通訊。斷開VPN連接時又用到了基于1723端口的PPTPControlMessage。

也就是說，PPTP方式的VPN連接，VPN客戶端的建立/斷開連接請求都是通過和服務器的TCP1723端口用PPTP協議聯系的，至于具體的用戶驗證，數據傳輸等都是通過PPP協議來通訊的，而PPP協議又是跑在GRE(和TCP，UDP協議平行的協議，GRE的IP協議編號為47)之上的。

PPTP方式的VPN有以下幾個特點：

1.VPN客戶端可以使用私有地址通過NAT服務器來連接具有合法地址VPN服務器

2.VPN連接時只有一層驗證--就是用戶身份驗證

使用L2TP方式VPN連接時,VPN服務器保持著1701端口與客戶端1701端口的UDP"連接".由于Microsoft不鼓勵將L2TP直接暴露在網絡中,因此自動為L2TP連接創建一個使用證書方式認證IPsec策略(當然可以通過修改注冊表使證書認證變成與共享密鑰認證)

因此L2TP通訊就被裹在IPsec策略創建的Ipsec隧道內,用ipsecmon可以看清楚實際上還是1701<-->1701的UDP通訊

VPN開始通訊時,需要雙方交換密鑰,這是通過UPD500端口的ISAKMP來實現的.從此以后所有的VPN通訊,包括建立/斷開連接請求,用戶驗證,數據傳輸都是通過ESP(與TCP,UDP協議平行的協議,ESP的IP編號為50)之上傳輸的.

L2TP/IPsec方式的VPN有以下幾個特點:

1.VPN客戶端無法使用私有地址來連接具有合法地址的VPN服務器(2002年末經過Microsoft公司的努力(MicrosoftKnowledgeBaseArticle-818043),使用了NAT-T技術,可以讓L2TP/IPsec方式的VPN可以穿越內網)

2.VPN連接需要兩層驗證:密鑰驗證和用戶身份驗證(其中密鑰是Ipsec層面的認證)