和Easy ×××以及SSL ×××一样,PPTP ×××用在没有能够支持×××功能路由器的家庭网络、出差在外的没有使用路由器就接入Internet的移动办公人员。PPTP ×××的部署架构和 Easy ×××以及SSL ×××相同,都是使用远程拥有可路由公网IP地址的PC穿越Internet呼叫总部的××× Server,从而建立×××隧道以提供Client与总部之前的数据加密传输。
PPTP ×××和Easy ×××与SSL ×××也有着不同之处,使用PPTP ×××的PC上不需要像Easy×××那样安装任何拨号软件,也不需要像SSL ×××那样安装任何插件,在运行Windows系统的PC上直接创建×××连接即可,非常方便。
通过PPTP ××× Server认证的Client同样会被自动分配一个IP地址,该地址就是×××隧道的地址,默认情况下,PC端的所有流量都从×××隧道接口发出,但这样一来,就会造成PC端所有的流量都被发到××× Server而不能上Internet,通常我们是通过隧道分离(Split Tunneling)将Client需要走×××隧道加密的流量和不需要走×××的普通流量区分开来,但遗憾的是PPTP ×××不支持在××× Server上配置隧道分离,因为PPTP ××× Server无法向Client推送隧道分离信息,所以将Client需要走×××隧道加密的流量和不需要走×××的普通流量区分开的工作需要在×××连接的PC上手动完成,这些设置将在后续实验中详细介绍。
PPTP ×××的数据包是PPP格式封装的,并且实现隧道功能的协议是二层协议Point to Point Tunneling Protocol (PPTP),所以PPTP ×××的隧道是在二层实现的。使用×××,安全是一个必不可少的环节,PPTP ×××同样需要加密协议,它使用的是Microsoft Point-to-Point Encryption (MPPE) 协议,MPPE是Microsoft的加密技术,使用的是RC4算法,有40 Bit或128 Bit两种加密长度可选,双方加解密长度必须是一样的。
PPTP使用TCP 端口号1723,源端口是随机的,并且是扩展了GRE来封装数据的。
MPPE两种模式:
Stateful (工作性能好,但不稳定,数据容易丢包)
Stateless (工作性能不算好,但很稳定,数据不丢包)
在双方没有指定工作模式的情况下, stateless模式被优先选用,如果其中一方指定Stateful,而另一方不指定,则双方工作在Stateful模式。
从上面可以看出,隧道协议PPTP和加密协议MPPE结合工作从而形成PPTP ×××,因为PPTP是个隧道协议,隧道协议可以单独使用而不需要加密协议,
当PPTP和MPPE结合使用时,则最多支持500 条隧道会话,如果PPTP单独使用时,可最多支持2000条隧道会话。当PPTP结合MPPE实现PPTP ×××时,呼叫的Client必须是Windows系统,并且在Windows中必须使用MS-CHAP认证。
在PPTP ×××的认证中,如果要使用远程服务器认证,只支持RADIUS而不支持TACACS。
在配置PPTP时,必须创建Virtual Template接口,当用户认证成功之后,会自动为该用户创建virtual-access 接口。
配置MPPE时,可以指定40 bit或128 bit,也可以配置为auto自动协商加密位数,但是否加密也需要看配置,模式Passive表示不加密,如果对方需要加密,本端则起用加密,而Required则是必须加密,否则拒绝连接。
注:
★PIX防火墙支持PPTP ×××,但OS版本必须在version 5.1到6.X范围内,任何version 7.X之后都是不支持的。
★ASA防火墙是不支持PPTP ×××的。
★在路由器中默认为本地用户数据库认证,而PIX中必须指定认证方式。
★PPTP是VPDN的一种。
转载于:https://blog.51cto.com/370220760/1714399