Tweet
III.3.2.2. PPTP and GRE
PPPTP được định nghĩa bởi IETF trong RFC 2673. Protocol này đưọc thiết kế bởi Microsoft để cho phép các kết nối chi phi thấp đến các mạng của doanh nghiệp thông qua mạng Internet công cộng. Các phiên kết nối PPTP bảo mật cho phép kết nối vào mạng doanh nghiệp thông qua Internet. Các cuộc gọi này thường được gọi vào các thiết bị phần cứng, sau đó thiết bị này kết nối vào một Windows NT server. FEP sẽ truyền các gói PPP từ người dùng cuối và sau đó đóng gói các gói đó vào mạng WAN. Bởi vì PPP hỗ trợ nhiều giao thức khác nhau (IP, IPX, NetBEUI), nó có thể truy cập các hạ tầng mạng rất khác nhau. Kiến trúc này bao gồm các ứng dụng client/server trong đó client là các PC của người dùng, chạy PPTP. Về phía server, sẽ có các dial-in routers, VPN concentrator.
Cả hai đầu đều có thể khởi tạo tunnel. Khi người dùng ở xa khởi tạo một tunnel, nó được gọi là chế độ xung phong (voluntary mode). Khi tunnel được tạo từ server, chế độ này được gọi là compulsory mode. Một NAS có thể khởi tạo một tunnel ngay cả khi một client không có chạy PPTP.
PPTP sẽ đóng gói các frame PPP vào các IP datagrams để truyền trên hệ thống mạng IP, chẳng hạn như mạng Internet/Intranet. PPTP sẽ kế thừa các đặc tính của PPP như mã hóa, nén…PPTP yêu cầu một hạ tầng mạng IP giữa một PPTP clients và một PPTP server. PPTP client có thể được kết nối vào một mạng IP mà PPTP server cũng kết nối vào mạng IP này. Hoặc PPTP clients cũng có thể quay vào một NAS để thiết lập kết nối IP.
PPTP dùng TCP để tạo và hủy các tunnel. PPTP cũng dùng một phiên bản bổ sung của GRE để đóng gói PPP như là dữ liệu của tunnel. Tải của khung PPP có thể được mã hóa hoặc nén hoặc cả hai.
GRE được định nghĩa trong RFC 1701 và 1702, đơn giản chỉ là một cơ chế để thực hiện quá trình đóng gói một giao thức lớp network tùy ý vào một giao thức khác. GRE cung cấp một cơ chế đơn giản, gọn nhẹ để đóng gói data để gửi trên mạng IP. Vì vậy PPTP có thể truyền các giao thức khác nhau ở lớp network, chẳng hạn như IP, IPX và NetBEUI.
Quá trình xác thực diễn ra trong giai đoạn tạo các kết nối VPN PPTP sử dụng cùng một cơ chế nhưng các kết nối PPP; nghĩa là cũng dùng PAP hoặc CHAP. Một phiên bản nâng cao của CHAP, được gọi là MS-CHAP được tạo ra bởi Microsoft dùng các thông tin trong NT domain. Một chọn lựa khác cho quá trình xác thực là IETF PPP (Extensible Authentication Protocol –EAP). Microsoft cũng đã tích hợp một giao thức khác gọi là
Microsoft Point-to-Point Encryption (MPPE)4 để mã hóa traffic trên các kết nối PPP.MPPE dựa trên thuật toán RSA R4 (Rovest, Shamir, and Adelman (RSA) RC4).
Nếu quá trình mã hóa trên toàn bộ kết nối là cần thiết, IPSEC có thể mã hóa IP traffic từ đầu kết nối cho đến cuối kết nối (end-to-end) sau khi một kênh PPTP đã được thiết lập.
Đối với Windows 2000, cả hai giao thức EAP-Transport Level Security (EAP-TLS) hoặc MS-CHAP phải được dùng cho dữ liệu bên trong các PPP frame.
PPTP Control Connection and Tunnel Maintenance:
Kết nối PPTP giữa địa chỉ IP của PPTP client và IP address của PPTP server dùng port 1723. Các gói dữ liệu PPTP mang các thông tin điều khiển kết nối để duy trì PPTP tunnel.
Sau giai đoạn bắt tay ban đầu, hai bên sẽ trao đổi một loạt các thông điệp bao gồm 12 thông điệp thiết lập và duy trì kết nối.
PPTP Data Tunneling PPTP
Quá trình đóng gói dữ liệu thông qua nhiều mức đóng gói khác nhau. Cấu trúc được thể hiện trong hình sau:
Dữ liệu ban đầu được mã hóa và đóng gói trong các PPP header để tạo ra các frame PPP. Frame PPP này sau đó sẽ được đóng gói với các GRE header.
PPPTP được định nghĩa bởi IETF trong RFC 2673. Protocol này đưọc thiết kế bởi Microsoft để cho phép các kết nối chi phi thấp đến các mạng của doanh nghiệp thông qua mạng Internet công cộng. Các phiên kết nối PPTP bảo mật cho phép kết nối vào mạng doanh nghiệp thông qua Internet. Các cuộc gọi này thường được gọi vào các thiết bị phần cứng, sau đó thiết bị này kết nối vào một Windows NT server. FEP sẽ truyền các gói PPP từ người dùng cuối và sau đó đóng gói các gói đó vào mạng WAN. Bởi vì PPP hỗ trợ nhiều giao thức khác nhau (IP, IPX, NetBEUI), nó có thể truy cập các hạ tầng mạng rất khác nhau. Kiến trúc này bao gồm các ứng dụng client/server trong đó client là các PC của người dùng, chạy PPTP. Về phía server, sẽ có các dial-in routers, VPN concentrator.
Cả hai đầu đều có thể khởi tạo tunnel. Khi người dùng ở xa khởi tạo một tunnel, nó được gọi là chế độ xung phong (voluntary mode). Khi tunnel được tạo từ server, chế độ này được gọi là compulsory mode. Một NAS có thể khởi tạo một tunnel ngay cả khi một client không có chạy PPTP.
PPTP sẽ đóng gói các frame PPP vào các IP datagrams để truyền trên hệ thống mạng IP, chẳng hạn như mạng Internet/Intranet. PPTP sẽ kế thừa các đặc tính của PPP như mã hóa, nén…PPTP yêu cầu một hạ tầng mạng IP giữa một PPTP clients và một PPTP server. PPTP client có thể được kết nối vào một mạng IP mà PPTP server cũng kết nối vào mạng IP này. Hoặc PPTP clients cũng có thể quay vào một NAS để thiết lập kết nối IP.
PPTP dùng TCP để tạo và hủy các tunnel. PPTP cũng dùng một phiên bản bổ sung của GRE để đóng gói PPP như là dữ liệu của tunnel. Tải của khung PPP có thể được mã hóa hoặc nén hoặc cả hai.
GRE được định nghĩa trong RFC 1701 và 1702, đơn giản chỉ là một cơ chế để thực hiện quá trình đóng gói một giao thức lớp network tùy ý vào một giao thức khác. GRE cung cấp một cơ chế đơn giản, gọn nhẹ để đóng gói data để gửi trên mạng IP. Vì vậy PPTP có thể truyền các giao thức khác nhau ở lớp network, chẳng hạn như IP, IPX và NetBEUI.
Quá trình xác thực diễn ra trong giai đoạn tạo các kết nối VPN PPTP sử dụng cùng một cơ chế nhưng các kết nối PPP; nghĩa là cũng dùng PAP hoặc CHAP. Một phiên bản nâng cao của CHAP, được gọi là MS-CHAP được tạo ra bởi Microsoft dùng các thông tin trong NT domain. Một chọn lựa khác cho quá trình xác thực là IETF PPP (Extensible Authentication Protocol –EAP). Microsoft cũng đã tích hợp một giao thức khác gọi là
Microsoft Point-to-Point Encryption (MPPE)4 để mã hóa traffic trên các kết nối PPP.MPPE dựa trên thuật toán RSA R4 (Rovest, Shamir, and Adelman (RSA) RC4).
Nếu quá trình mã hóa trên toàn bộ kết nối là cần thiết, IPSEC có thể mã hóa IP traffic từ đầu kết nối cho đến cuối kết nối (end-to-end) sau khi một kênh PPTP đã được thiết lập.
Đối với Windows 2000, cả hai giao thức EAP-Transport Level Security (EAP-TLS) hoặc MS-CHAP phải được dùng cho dữ liệu bên trong các PPP frame.
PPTP Control Connection and Tunnel Maintenance:
Kết nối PPTP giữa địa chỉ IP của PPTP client và IP address của PPTP server dùng port 1723. Các gói dữ liệu PPTP mang các thông tin điều khiển kết nối để duy trì PPTP tunnel.
Sau giai đoạn bắt tay ban đầu, hai bên sẽ trao đổi một loạt các thông điệp bao gồm 12 thông điệp thiết lập và duy trì kết nối.
PPTP Data Tunneling PPTP
Quá trình đóng gói dữ liệu thông qua nhiều mức đóng gói khác nhau. Cấu trúc được thể hiện trong hình sau:
Dữ liệu ban đầu được mã hóa và đóng gói trong các PPP header để tạo ra các frame PPP. Frame PPP này sau đó sẽ được đóng gói với các GRE header.
Comment