EAP-TLS è solo un'implementazione di SSL / TLS. Che non lega alcun particolare client a una macchina. EAP-TLS utilizza certificati X.509 per autenticare i client su un server. Ma i certificati non sono legati a una macchina specifica. Il certificato di ClientA non è associato all'indirizzo IP 1.1.1.1, è solo ciò che viene presentato per identificare il client.
L2TP / IPSec tuttavia fornisce sia l'autenticazione utente che quella macchina. IPSec stabilisce un tunnel sicuro utilizzando le politiche di sicurezza. Una politica di sicurezza IPSec è memorizzata in una tabella e viene referenziata mediante un Security Parameters Index (SPI). Ogni SPI è associato a un indirizzo IP. Se un pacchetto crittografato in entrata non ha sia l'SPI corretto sia l'indirizzo IP non verrà elaborato. L2TP fornisce il meccanismo di autenticazione dell'utente. Una volta stabilito il tunnel IPSec, viene creato un tunnel L2TP.
RFC2661 sezione 9.4 di L2TP :
IPsec also defines access control features that are required of a compliant IPsec implementation. These features allow filtering of packets based upon network and transport layer characteristics such as IP address, ports, etc. In the L2TP tunneling model, analogous filtering is logically performed at the PPP layer or network layer above L2TP. These network layer access control features may be handled at the LNS via vendor-specific authorization features based upon the authenticated PPP user, or at the network layer itself by using IPsec transport mode end-to-end between the communicating hosts. The requirements for access control mechanisms are not a part of the L2TP specification and as such are outside the scope of this document.
Ciò implica che IPSec fornisce controlli di accesso al livello di rete come ho affermato sopra, ma non eseguito da L2TP.
L2TP fornisce l'autenticazione dell'utente in una sorta di cugino di primo grado due volte una volta rimosso il tipo di strada. L2TP è un protocollo di tunneling che esegue Protocollo Point-to-Point (PPP) attraverso quel tunnel. PPP fornisce meccanismi per l'autenticazione dell'utente; utilizzando Protocollo di autenticazione della password (PAP, che è deprecato) o Sfida protocollo di autenticazione handshake (CHAP).