VPN原理报文格式

('VPN原理报文格式vpn原理、报文格式点对点隧道协议（PPTP）-[网络]2021-03-13pptp将ppp（point-to-pointprotocol）帧封装进ip数据报中，通过ip网络如internet或其他企业专用intranet等发送。pptp具体文档请参阅rfc2637。PPTP通过PPTP控制连接创建、维护和终止隧道，并使用通用路由封装（GRE）封装PPP帧。在封装之前，PPP帧的有效载荷，即有效传输数据，必须首先进行加密、压缩或两者的混合。pptp协议假定在pptp客户机和pptp服务器之间有连通且可用的ip网络。因此如果pptp客户机本身已经是某ip网络的组成部分，那么即可通过该ip网络与pptp服务器取得连接；而如果pptp客户机尚未连入网络，譬如在internet拨号用户的情形下，pptp客户机必须首先拨打nas以建立ip连接。这里所说的pptp客户机也就是使用pptp协议的vpn客户机，而pptp服务器亦即使用pptp协议的vpn服务器。创建基于PPTP的VPN连接时使用的身份验证机制与创建PPP连接时使用的身份验证机制相同。这种认证机制主要包括：扩展身份认证协议（EAP）、微软挑战握手认证协议（MSCHAP）、CHAP、Shiva密码认证协议（SPAP）和密码认证协议（Pap）。PPTP继承了PPP有效负载的加密和压缩。在Windows2000中，由于PPP帧由Microsoft点对点加密技术MPPE（Microsoft点对点加密）加密，因此身份验证机制必须采用EAP或MSchap。mppe只提供连接加密（大概是隧道加密），而不提供端-端加密（大概是数据加密）。端-端加密属于应用层的加密技术，如果应用中要求实现端-端加密，则可在pptp隧道建立之后，使用ipsec对两端的ip数据流进行加密处理。基于internet的pptp服务器即使用pptp协议的vpn服务器，它的一个接口在internet上，另一个接口在intranet上。二、PPTP控制连接和隧道维护pptp控制连接建立在pptp客户机ip地址和pptp服务器ip地址之间，pptp客户机使用动态分配的tcp端口号，而pptp服务器则使用保留tcp端口号1723。pptp控制连接携带pptp呼叫控制和管理信息，用于维护pptp隧道，其中包括周期性地发送回送请求和回送应答消息，以期检测出客户机与服务器之间可能出现的连接中断。pptp控制连接数据包包括一个ip报头，一个tcp报头和pptp控制信息，数据包格式见图八。图八所示的pptp控制连接数据包还包括数据链路层报头和报尾。图八。PPTP控制连接数据包下表列出了pptp控制连接中用到的主要控制信息。表一PPTP呼叫控制和连接管理信息消息类型用途PPTP客户端发送启动控制连接请求以建立控制连接。PPTP隧道要求在发送任何其他PPTP消息之前建立控制连接。start-control-connection-reply由pptp服务器发出，回应start-control-connection-request消息。传出呼叫请求由PPTP客户端发送，以创建PPTP隧道。UTGONGcallrequest消息在GRE报头中包含呼叫ID，它唯一地标识一个隧道。outgoing-call-replypptp服务器对outgoing-call-request消息的回应作为一种连接保持机制，回送请求可以由PPTP客户端或服务器发送。如果回音请求没有应答，PPTP隧道将逐渐终止。Echoreply是对Echo请求的响应。注：PPTP的回送请求和回送回复消息与ICMP回送请求和回送回复消息无关。wan-error-notify由pptp服务器向所有vpn客户机发出，指示服务器的ppp接口处于错误状态。设置链接信息可以由PPTP客户端或服务器发送，以设置PPP协商选项。呼叫清除请求由PPTP客户端发送，以终止隧道。call-disconnect-notifypptp服务器回应call-clear-request，或因其他原因指示必须终止隧道。如果pptp服务器终止隧道，则发送出call-disconnect-notify消息。stop-control-connection-request可由pptp客户机或服务器任一方发出，通知对方控制连接将被终止。停止控制连接回复响应停止控制连接请求消息有关pptp控制连接消息的详细内容，请参阅rfc2637。三、PPTP数据封装pptp数据的隧道化过程采用多层封装的方法。图九显示了封装后在隧道中传输的数据包格式。图九。隧道中传输的PPTP数据包格式1）ppp帧的封装在初始PPP有效载荷（如IP数据报、IPX数据报或NetBEUI帧）加密后，添加并封装PPP报头以形成PPP帧。PPP帧还添加了GRE报头，该报头被封装在第二层中以形成GRE消息。GRE是一种使用第47号IP协议的客户端协议，它为IP网络上的数据封装提供了一种简单、轻量级的通用机制。有关GRE的详细文档，请参阅rfc1701和rfc1702。在GRE报头中，协议类型（即PPP帧的Ethertype值）应设置为0x880b。2）gre报文的封装PPP有效负载的第三层封装是向GRE消息添加IP头。IP报头包含数据包的源和目标的IP地址。3）数据链路层封装数据链路层封装是IP数据报多层封装的最后一层。根据不同的出站物理网络，添加相应的数据链路层头和尾。例如，如果IP数据报将在以太网上传输，则使用以太网头和尾将IP数据报封装在数据链路层中；如果IP数据报将在点对点Wan（如模拟电话网络或ISDN）上传输，则PPP头和尾将用于将IP数据报封装在数据链路层中。4）pptp数据包的接收处理收到PPTP数据包后，PPTP客户端或PPTP服务器将执行以下处理：1。处理并移除数据链路层的头部和尾部；2.处理并移除IP头3．处理并去除gre和ppp报头4.如有必要，解密或解压PPP有效载荷，即传输数据。5.接收或转发传输的数据四、pptp数据包和windows2000网络体系结构下图描述了Windows2000网络体系结构中VPN客户端数据报在VPN连接中使用模拟调制解调器进行远程访问的封装过程。图十、pptp数据包的封装流程具体步骤如下：1．ip数据报、ipx数据报或netbeui帧由各自协议提交给对应于vpn连接的虚拟接口。该接口符合网络驱动程序接口规范ndis。2.NDIS将数据报提交给ndiswan，ndiswan负责对数据进行加密和压缩，然后添加PPP头进行第一步封装。PPP报头仅包含一个PPP协议标识域，不附加任何帧校正序列FCS或其他标记。3．ndiswan将ppp帧提交给pptp协议驱动程序，该驱动程序负责在ppp帧外添加gre报头进行第二步封装。该gre报头中，callid域的值唯一地标识了一条隧道。4.PPTP协议驱动程序向TCP/IP协议驱动程序提交GRE消息。5．tcp/ip协议驱动程序再对gre报文添加ip报头进行第三步封装，封装后提交给拨往本地isp的拨号连接接口，该接口符合网络驱动程序接口规范ndis。6.NDIS再次向ndiswan提交数据报，ndiswan向数据报添加PPP头和尾，以进行最终的数据链路层封装。7．ndiswan将最终形成的ppp帧提交给与拨号硬件相对应的wan微端口驱动程序。（例如modem连接中的异步端口总结1）pptp原理（实现机制）概要（1）PPTP客户端与服务器建立控制连接；（2）通过控制连接来创建、维护、终止隧道；（3）PPP帧的有效载荷被加密、压缩或混合；（4）使用GRE封装PPP帧；（5）将ppp帧封装进ip数据报中，通过ip网络或其他专用intranet等发给服务器；（6）服务器接收到pptp数据包后进行常规处理。详细首先，PPTP客户端使用动态分配的TCP端口号和PPTP服务器使用的保留TCP端口号1723建立控制连接（pptp控制连接携带pptp呼叫控制和管理信息，用于维护pptp隧道）；其次，客户端和服务器通过控制连接创建、维护和终止隧道；然后，对PPP帧的有效载荷进行加密、压缩或混合；接着，使用通用路由封装gre（genericroutingencapsulation）对ppp帧进行封装；再者，将ppp（point-to-pointprotocol）帧封装进ip数据报中，通过ip网络如internet或其他专用于企业的内部网，等等，连接到PPTP服务器；最后，在接收到PPTP数据包后，服务器执行例行处理。2）PPTP控制连接数的数据包格式包括一个ip报头，一个tcp报头和pptp控制信息，还包括数据链路层报头和报尾。3）封装后在隧道中传输的数据包格式。（1）ppp帧的封装在初始PPP有效载荷（如IP数据报、IPX数据报或NetBEUI帧）加密后，添加并封装PPP报头以形成PPP帧。PPP帧还添加了GRE报头，该报头被封装在第二层中以形成GRE消息。GRE是一种使用第47号IP协议的客户端协议，它为IP网络上的数据封装提供了一种简单、轻量级的通用机制。（2）GRE消息的封装ppp有效载荷的第三层封装是在gre报文外，再添加ip报头。ip报头包含数据包源端及目的端ip地址。（3）数据链路层封装数据链路层封装是IP数据报多层封装的最后一层。根据不同的出站物理网络，添加相应的数据链路层头和尾。例如，如果IP数据报将在以太网上传输，则使用以太网头和尾将IP数据报封装在数据链路层中；如果IP数据报将在点对点Wan（如模拟电话网络或ISDN）上传输，则PPP头和尾将用于将IP数据报封装在数据链路层中。4）PPTP数据包的接收和处理pptp客户机或pptp服务器在接收到pptp数据包后，将做如下处理：1．处理并去除数据链路层报头和报尾2．处理并去除ip报头第3页4．如果需要的话，对ppp有效载荷即传输数据进行解密或解压缩。5．对传输数据进行接收或转发处理',)