主流的VPN協(xié)議有PPTP、L2TP、IPSec、OpenVPN和SSTP，具體區(qū)別如下：

1、PPTP 點對點隧道協(xié)議 (PPTP) 是由包括微軟和3Com等公司組成的PPTP論壇開發(fā)的⼀種點對點隧道協(xié)，基于撥號使⽤的PPP 協(xié)議使⽤PAP或CHAP之類的加密算法，或者使⽤ Microsoft的點對點加密算法MPPE。其通過跨越基于 TCP/IP 的數(shù)據(jù) ⽹絡(luò)創(chuàng)建 VPN 實現(xiàn)了從遠程客戶端到專⽤企業(yè)服務(wù)器之間數(shù)據(jù)的安全傳輸。PPTP ⽀持通過公共⽹絡(luò)(例如 Internet) 建⽴按需的、多協(xié)議的、虛擬專⽤⽹絡(luò)。PPTP 允許加密 IP 通訊，然后在要跨越公司 IP ⽹絡(luò)或公共 IP ⽹絡(luò)(如 Internet)發(fā)送的 IP 頭中對其進⾏封裝。

2、L2TP 第 2 層隧道協(xié)議 (L2TP) 是IETF基于L2F (Cisco的第⼆層轉(zhuǎn)發(fā)協(xié)議)開發(fā)的PPTP的后續(xù)版本。是⼀種⼯業(yè)標準 Internet 隧道協(xié)議，其可以為跨越⾯向數(shù)據(jù)包的媒體發(fā)送點到點協(xié)議 (PPP) 框架提供封裝。PPTP和L2TP都使⽤PPP協(xié) 議對數(shù)據(jù)進⾏封裝，然后添加附加包頭⽤于數(shù)據(jù)在互聯(lián)⽹絡(luò)上的傳輸。PPTP只能在兩端點間建⽴單⼀隧道。 L2TP⽀ 持在兩端點間使⽤多隧道，⽤戶可以針對不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道。L2TP可以提供隧道驗證，⽽PPTP則不⽀持 隧道驗證。但是當L2TP 或PPTP與IPSEC共同使⽤時，可以由IPSEC提供隧道驗證，不需要在第2層協(xié)議上驗證隧道使 ⽤L2TP。 PPTP要求互聯(lián)⽹絡(luò)為IP⽹絡(luò)。L2TP只要求隧道媒介提供⾯向數(shù)據(jù)包的點對點的連接，L2TP可以在IP(使⽤ UDP)，楨中繼永久虛擬電路(PVCs),X.25虛擬電路(VCs)或ATM VCs⽹絡(luò)上使⽤。

3、IPSec IPSec 隧道模式隧道是封裝、路由與解封裝的整個過程。隧道將原始數(shù)據(jù)包隱藏(或封裝)在新的數(shù)據(jù)包內(nèi)部。該新的 數(shù)據(jù)包可能會有新的尋址與路由信息，從⽽使其能夠通 過⽹絡(luò)傳輸。隧道與數(shù)據(jù)保密性結(jié)合使⽤時，在⽹絡(luò)上竊聽通訊 的⼈將⽆法獲取原始數(shù)據(jù)包數(shù)據(jù)(以及原始的源和⽬標)。封裝的數(shù)據(jù)包到達⽬的地后，會刪除封裝，原始數(shù)據(jù)包頭⽤ 于將數(shù)據(jù)包路由到最終⽬的地。 隧道本⾝是封裝數(shù)據(jù)經(jīng)過的邏輯數(shù)據(jù)路徑，對原始的源和⽬的端，隧道是不可見的，⽽只能看到⽹絡(luò)路徑中的點對點連 接。連接雙⽅并不關(guān)⼼隧道起點和終點之間的任何路由器、交換機、代理服務(wù)器或其他安全⽹關(guān)。將隧道和數(shù)據(jù)保密性 結(jié)合使⽤時，可⽤于提供VPN。 封裝的數(shù)據(jù)包在⽹絡(luò)中的隧道內(nèi)部傳輸。在此⽰例中，該⽹絡(luò)是 Internet。⽹關(guān)可以是外部 Internet 與專⽤⽹絡(luò)間的周 界⽹關(guān)。周界⽹關(guān)可以是路由器、防⽕墻、代理服務(wù)器或其他安全⽹關(guān)。另外，在專⽤⽹絡(luò)內(nèi)部可使⽤兩個⽹關(guān)來保護 ⽹絡(luò)中不信任的通訊。 當以隧道模式使⽤ IPSec 時，其只為 IP 通訊提供封裝。使⽤ IPSec 隧道模式主要是為了與其他不⽀持 IPSec 上的 L2TP 或 PPTP VPN 隧道技術(shù)的路由器、⽹關(guān)或終端系統(tǒng)之間的相互操作。

4、OpenVPN SSL/TLS協(xié)議提供了數(shù)據(jù)私密性、端點驗證、信息完整性等特性。SSL/TLS協(xié)議由許多⼦協(xié)議組成，其中兩個主要的⼦ 協(xié)議是握⼿協(xié)議和記錄協(xié)議。握⼿協(xié)議允許服務(wù)器和客戶端在應(yīng)⽤協(xié)議傳輸?shù)?#12032;個數(shù)據(jù)字節(jié)以前，彼此確認，協(xié)商⼀種 加密算法和密碼鑰匙。在數(shù)據(jù)傳輸期間，記錄協(xié)議利⽤握⼿協(xié)議⽣成的密鑰加密和解密后來交換的數(shù)據(jù)。 SSL/TLS獨⽴于應(yīng)⽤，因此任何⼀個應(yīng)⽤程序都可以享受它的安全性⽽不必理會執(zhí)⾏細節(jié)。SSL/TLS置⾝于⽹絡(luò)結(jié)構(gòu)體 系的 傳輸層和應(yīng)⽤層之間。此外，SSL/TLS本⾝就被⼏乎所有的Web瀏覽器⽀持。這意味著客戶端不需要為了⽀持 SSL/TLS連接安裝額外的軟件。這兩個特征就是SSL/TLS能應(yīng)⽤于VPN的關(guān)鍵點。

典型的SSL VPN應(yīng)⽤如OpenVPN,是⼀個⽐較好的開源軟件。PPTP主要為那些經(jīng)常外出移動或家庭辦公的⽤戶考慮; ⽽OpenVPN主要是針對企業(yè)異地兩地總分公司之間的VPN不間斷按需連接，例如ERP在企業(yè)中的應(yīng)⽤。 OpenVPN 允許參與建⽴VPN的單點使⽤預(yù)設(shè)的私鑰，第三⽅證書，或者⽤戶名/密碼來進⾏⾝份驗證。它⼤量使⽤了 OpenSSL加密庫，以及SSLv3/TLSv1 協(xié)議。OpenVPN能在Linux、xBSD、Mac OS X與Windows 2000/XP上運⾏。它 并不是⼀個基于Web的VPN軟件，也不與IPsec及其他VPN軟件包兼容。 隧道加密 OpenVPN使⽤OpenSSL庫加密數(shù)據(jù)與控制信息：它使⽤了OpesSSL的加密以及驗證功能，意味著，它能夠使⽤任何 OpenSSL⽀持的算法。它提供了可選的數(shù)據(jù)包HMAC功能以提⾼連接的安全性。此外，OpenSSL的硬件加速也能提⾼ 它的性能。 驗證OpenVPN提供了多種⾝份驗證⽅式，⽤以確認參與連接雙⽅的⾝份，包括：預(yù)享私鑰，第三⽅證書以及⽤戶名/密碼組 合。預(yù)享密鑰最為簡單，但同時它只能⽤于建⽴點對點的VPN;基于PKI的第三⽅證書提供了最完善的功能，但是需要 額外的精⼒去維護⼀個PKI證書體系。OpenVPN2.0后引⼊了⽤戶名/⼝令組合的⾝份驗證⽅式，它可以省略客戶端證 書，但是仍有⼀份服務(wù)器證書需要被⽤作加密。 ⽹絡(luò)OpenVPN所有的通信都基于⼀個單⼀的IP端⼝，默認且推薦使⽤UDP協(xié)議通訊，同時TCP也被⽀持。OpenVPN連接 能通過⼤多數(shù)的代理服務(wù)器，并且能夠在NAT的環(huán)境中很好地⼯作。服務(wù)端具有向客戶端“推送”某些⽹絡(luò)配置信息的功 能，這些信息包括：IP地址、路由設(shè)置等。OpenVPN提供了兩種虛擬⽹絡(luò)接⼝：通⽤Tun/Tap驅(qū)動，通過它們，可以建 ⽴三層IP隧道，或者虛擬⼆層以太⽹，后者可以傳送任何類型的⼆層以太⽹絡(luò)數(shù)據(jù)。傳送的數(shù)據(jù)可通過LZO算法壓縮。 IANA(Internet Assigned Numbers Authority)指定給OpenVPN的官⽅端⼝為1194.OpenVPN 2.0以后版本每個進程 可以同時管理數(shù)個并發(fā)的隧道。 OpenVPN使⽤通⽤⽹絡(luò)協(xié)議(TCP與UDP)的特點使它成為IPsec等協(xié)議的理想替代，尤其是在ISP(Internet service provider)過濾某些特定VPN協(xié)議的情況下。在選擇協(xié)議時候，需要注意2個加密隧道之間的⽹絡(luò)狀況，如有⾼延遲或 者丟包較多的情況下，請選擇 TCP協(xié)議作為底層協(xié)議，UDP協(xié)議由于存在⽆連接和重傳機制，導致要隧道上層的協(xié)議 進⾏重傳，效率⾮常低下。 安全OpenVPN與⽣俱來便具備了許多安全特性：它在⽤戶空間運⾏，⽆須對內(nèi)核及⽹絡(luò)協(xié)議棧作修改;初始完畢后以 chroot⽅式運⾏，放棄root權(quán)限;使⽤mlockall以防⽌敏感數(shù)據(jù)交換到磁盤。 OpenVPN通過PKCS#11⽀持硬件加密標識，如智能卡。

5、SSTP 安全套接字隧道協(xié)議(Secure Socket Tunneling Protocol，SSTP)是⼀種VPN隧道的形式，提供了⼀種通過SSL3.0通道 傳輸PPP或L2TP流量的機制。SSL利⽤密鑰協(xié)商提供傳輸級別的安全性。通過TCP端⼝443使⽤SSL，允許SSTP通過 ⼏乎所有的防⽕墻和代理服務(wù)器，除了需要⾝份驗證的Web代理。 SSTP可⽤于Linux、BSD和Windows。MikroTik的RouterOS還包括⼀個SSTP客戶端和服務(wù)器端。對于 Windows，SSTP僅可⽤于⾃Windows Vista SP1之后的系統(tǒng)。 這種SSTP只適⽤于遠程訪問，通常不⽀持站點與站點之間的VPN隧道。RouterOS的版本有沒有這樣的限制。