网络安全实验原理3.docVIP

实验原理 ? 一．点对点隧道协议（PPTP）??? 点对点隧道协议（PPTP）是在PPP协议的基础上开发的一种增强型安全协议，支持多协议虚拟专用网（VPN），可以通过密码身份验证协议（PAP）、可扩展身份验证协议（EAP）等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。??? PPTP是微软，Ascend，3COM等公司所支持的，而另外一种隧道协议第二层转发协议（L2F）是由Cisco,北方电信等公司所支持的，至于L2TP协议结合了上述两个协议的优点，是由IETF起草，微软，Cisco，3COM等公司共同制定的。??? PPTP用于PPTP客户端和PPTP服务器之间的安全通信，它被嵌入到NT4.0和Windows98操作系统以及后继的Windows系统中，用于Microsoft的路由和远程访问服务。对于数据加密，PPTP采用了PPP点到点协议的身份验证方法和微软的MPPE点到点加密协议。二．PPTP控制连接与隧道维护???? PPTP控制连接建立在PPTP客户机IP地址和PPTP服务器IP地址之间，PPTP客户机使用动态分配的TCP端口号，而PPTP服务器则使用保留TCP端口号1723。PPTP控制连接携带PPTP呼叫控制和管理信息，用于维护PPTP隧道，其中包括周期性地发送回送请求和回送应答消息，用于检测出客户机与服务器之间可能出现的连接中断。PPTP控制连接数据包包括一个IP报头，一个TCP报头和PPTP控制信息，数据包格式见图29-2-1。图中所示的PPTP控制连接数据包还包括数据链路层报头和报尾。 图29-2-1 PPTP控制连接数据包 ??? 表29-2-1列出了PPTP控制连接中用到的主要控制信息。 表29-2-1? PPTP控制连接 Start-Control-Connection-Request 由PPTP客户机发出，请求建立控制连接。PPTP隧道要求在发送任何其他PPTP消息之前，先建立一条控制连接。 Start-Control-Connection-Reply 由PPTP服务器发出，回应Start-Control-Connection-Request消息。 Outgoing-Call-Request 由PPTP客户机发出，请求创建PPTP隧道。Outgoing-Call-Request消息包含GRE报头中的Call ID，该ID可唯一地标识一条隧道。 Outgoing-Call-Reply PPTP服务器对Outgoing-Call-Request消息的回应。 Echo-Request 作为保持连线机制，可由PPTP客户机或服务器任一方发出。若Echo-Request没有应答，则PPTP隧道逐渐终止。 Echo-Reply 对Echo-Request的应答。注：PPTP的Echo-Request和Echo-Reply消息与ICMP回送请求和回送应答消息无关。 WAN-Error-Notify 由PPTP服务器向所有VPN客户机发出，指示服务器的PPP接口处于错误状态。 Set-Link-Info 可由PPTP客户机或服务器任一方发出，设置PPP协商选项。 Call-Clear-Request 由PPTP客户机发出，请求终止隧道。 Call-Disconnect-Notify PPTP服务器回应Call-Clear-Request，或因其他原因指示必须终止隧道。如果PPTP服务器终止隧道，则发送出Call-Disconnect-Notify消息。 Stop-Control-Connection-Request 可由PPTP客户机或服务器任一方发出，通知对方控制连接将被终止。 Stop-Control-Connection-Reply 回应Stop-Control-Connection-Request消息。 三．PPTP数据封装???? PPTP数据的隧道化过程采用多层封装的方法。如图29-2-2显示了封装后在隧道中传输的数据包格式。 图29-2-2 在隧道中传输的PPTP数据包格式 ??? ●? PPP帧的封装 ??? 初始PPP有效载荷如IP数据报、IPX数据报或NetBEUI帧等经过加密后，添加PPP报头，封装形成PPP帧。PPP帧再进一步添加GRE报头，经过第二层封装形成GRE报文。GRE是采用第47号IP协议的客户端协议，为在IP网络上进行数据封装提供了一种简单，轻巧的通用机制。???? ●? GRE报文的封装 ??? PPP有效载荷的第三层封装是在GRE报文外，再添加IP报头。IP报头包含数据包源端及目的端IP地址。???? ●? 数据链路层封装 ??? 数据链路层封装是IP数据报多层封装的的最后一层，依据不同的物理网