PPTPLTP协议详解以及应用部署.doc

PPTP/L2TP协议讲述以及应用部署 一、基本概念 PPTP PPTPPPP）的一种扩展，它采用了PPP所提供的身份验证、压缩与加密机制。PPTP能够随TCP/IP协议一道自动进行安装。PPTP与Microsoft端对端加密（MPPE）技术提供了用以对保密数据进行封装与加密的VPN服务。?MPPE将通过由MS-CHAP、MS-CHAP v2身份验证过程所生成的加密密钥对PPP帧进行加密。为对PPP帧中所包含的有效数据进行加密，虚拟专用网络客户端必须使用MS-CHAP、MS-CHAP v2身份验证协议。 L2TP 与PPTP不同，Windows所支持的L2TP协议并非利用MPPE对PPP帧进行加密。L2TP依靠Internet协议安全性（IPSec）技术提供加密服务。L2TP与IPSec的结合产物称为L2TP IPSEC VPN。VPN客户端与VPN服务器都必须支持L2TP和IPSec。也可以单独使用L2TP，这就需要修改windows主机的注册表，具体的修改过程，在建立简单的L2TP隧道中讲述。 二、数据封装 PPTP ???? 1.控制连接和隧道维护 PPTP控制连接建立在PPTP客户端机IP地址和PPTP服务器IP之间，PPTP客户端机使用动态分配的TCP端口号，而PPTP服务器则使用保留TCP端口号1723。PPTP控制连接携带PPTP呼叫控制和管理信息，用于维护PPTP隧道，其中包括周期性地的发送回送请求和回送应答消息，用于检测出客户端与服务器之间可能出现的连接中断。PPTP控制连接数包包括一个IP报头，一个TCP报头和PPTP控制消息。 Star-Control-Connection-Request：由PPTP客户机发出，请求建立控制连接 Star-Control-Connection-Reply：PPTP服务器对Star-Control-Connection-Request回应 Outgoing-Call- Request:由PPTP客户机发出，请求创建PPTP隧道，该消息包含GRE报头中call id，该id可唯一地标识一条隧道 Outgoing-Call- ReplPPTP服务器对Outgoing-Call- Request t回应 Set-Link-Info：由PPTP客户机或服务器任一方发出，设置PPP协商选项 Call-Clear-Request：由PPTP客户机发出，请求终止隧道 Call-Disconnect-Notify：PPTP服务器对Call-Clear-Request回应或者其他原因指示必须终止隧道 Stop-Control-Connection-Request：由PPTP客户机或者服务器任一方发出，通知对端控制连接将被终止 Stop-Control-Connection-Reply：回应Stop-Control-Connection-Request消息 ? 2.PPTP数据封装 将原来Ethernet数据包先封装成PPP packet，再由GRE封装，通过Internet传送至接收端（注意：当身份认证协议选择MS-chap以及MS-chapv2的时候，ppp payload将被加密） ? ? L2TP L2TP控制连接 L2TP控制连接建立在L2TP客户端机IP地址和L2TP服务器IP之间，PPTP客户端机使用动态分配的UDP端口号，而L2TP服务器则使用保留UDP端口号1701。L2TP控制连接用于隧道和会话连接的建立、维护以及传输控制。L2TP控制连接数包包括一个IP报头，一个UDP报头和L2TP控制消息。 控制连接建立和会话建立 首先由客户端发起隧道建立请求SCCRQ（start-control-connection-request） 服务器收到后用SCCRP（start-control-connection-reply） 客户端收到应答后返回确认SCCCN（start-control-connection-conneted） 服务器收到之后用ZLB（zero-length boby）消息作为最后应答，其中ZLB消息是一个只有L2TP头的控制消息，其作用是作为一个明确应答，以确保控制消息的可靠传输 客户端发起建立请求ICRQ（incoming-call-request） 服务器收到请求后返回应答ICRP（incoming-call-reply） 客户端收到应答会返回确认ICCN（incoming-call-conneted） 服务器收到ICCN后，用ZLB消息作为最后的应答，会话建立 L2TP数据连接 L2TP数据消息用于封装PPP帧，并在隧道上传输。 工作原理 原始用户数据为IP报文，先经过PPP封装，然后链路层将PPP帧进行L2TP封装，将其封装成UDP，并继续封装成可以在int