Easy ×××以及SSL ×××一样,PPTP ×××用在没有能够支持×××功能路由器的家庭网络、出差在外的没有使用路由器就接入Internet的移动办公人员。PPTP ×××的部署架构和 Easy ×××以及SSL ×××相同,都是使用远程拥有可路由公网IP地址的PC穿越Internet呼叫总部的××× Server,从而建立×××隧道以提供Client与总部之前的数据加密传输。

PPTP ×××Easy ×××SSL ×××也有着不同之处,使用PPTP ×××PC上不需要像Easy×××那样安装任何拨号软件,也不需要像SSL ×××那样安装任何插件,在运行Windows系统的PC上直接创建×××连接即可,非常方便。

通过PPTP ××× Server认证的Client同样会被自动分配一个IP地址,该地址就是×××隧道的地址,默认情况下,PC端的所有流量都从×××隧道接口发出,但这样一来,就会造成PC端所有的流量都被发到××× Server而不能上Internet,通常我们是通过隧道分离(Split Tunneling)将Client需要走×××隧道加密的流量和不需要走×××的普通流量区分开来,但遗憾的是PPTP ×××不支持在××× Server上配置隧道分离,因为PPTP ××× Server无法向Client推送隧道分离信息,所以将Client需要走×××隧道加密的流量和不需要走×××的普通流量区分开的工作需要在×××连接的PC上手动完成,这些设置将在后续实验中详细介绍。

PPTP ×××的数据包是PPP格式封装的,并且实现隧道功能的协议是二层协议Point to Point Tunneling Protocol (PPTP),所以PPTP ×××的隧道是在二层实现的。使用×××,安全是一个必不可少的环节,PPTP ×××同样需要加密协议,它使用的是Microsoft Point-to-Point Encryption (MPPE) 协议,MPPEMicrosoft的加密技术,使用的是RC4算法,有40 Bit128 Bit两种加密长度可选,双方加解密长度必须是一样的。

PPTP使用TCP 端口号1723,源端口是随机的,并且是扩展了GRE来封装数据的。

MPPE两种模式:

Stateful (工作性能好,但不稳定,数据容易丢包)

Stateless (工作性能不算好,但很稳定,数据不丢包)

在双方没有指定工作模式的情况下, stateless模式被优先选用,如果其中一方指定Stateful,而另一方不指定,则双方工作在Stateful模式。

从上面可以看出,隧道协议PPTP和加密协议MPPE结合工作从而形成PPTP ×××,因为PPTP是个隧道协议,隧道协议可以单独使用而不需要加密协议,

PPTPMPPE结合使用时,则最多支持500 条隧道会话,如果PPTP单独使用时,可最多支持2000条隧道会话。PPTP结合MPPE实现PPTP ×××时,呼叫的Client必须是Windows系统,并且在Windows中必须使用MS-CHAP认证。

PPTP ×××的认证中,如果要使用远程服务器认证,只支持RADIUS而不支持TACACS。 

在配置PPTP时,必须创建Virtual Template接口,当用户认证成功之后,会自动为该用户创建virtual-access 接口。

配置MPPE时,可以指定40 bit128 bit,也可以配置为auto自动协商加密位数,但是否加密也需要看配置,模式Passive表示不加密,如果对方需要加密,本端则起用加密,而Required则是必须加密,否则拒绝连接。

 注:

PIX防火墙支持PPTP ×××,但OS版本必须在version 5.16.X范围内,任何version 7.X之后都是不支持的。

ASA防火墙是不支持PPTP ×××的。

在路由器中默认为本地用户数据库认证,而PIX中必须指定认证方式。

PPTPVPDN的一种。