Протокол PPTP

Схемы применения пртокола PPTP

В протоколе PPTP определено две схемы его применения.

Первая схема рассчитана на поддержание защищенного канала между сервером удаленного доступа ISP (Internet Service Provider - провайдера Internet) и пограничным маршрутизатором корпоративной сети (рис.2).

Рис.2. Защищенный канал "провайдер - маршрутизатор корпоративной сети" на основе протокола PPTP

В этом варианте компьютер удаленного пользователя не должен поддерживать протокол PPTP. Он связывается с сервером удаленного доступа RAS, установленного у ISP, с помощью стандартного протокола PPP и проходит первую аутентификацию у провайдера. RAS ISP должен поддерживать протокол PPTP. По имени пользователя RAS ISP должен найти в базе учетных данных пользователей IP-адрес маршрутизатора, являющегося пограничным маршрутизатором корпоративной сети данного пользователя. С этим маршрутизатором RAS ISP устанавливает сессию по протоколу PPTP. Протокол PPTP определяет некоторое количество служебных сообщений, которыми обмениваются взаимодействующие стороны, служебные сообщения передаются по протоколу TCP. RAS ISP передает маршрутизатору корпоративной сети идентификатор пользователя, по которому маршрутизатор снова аутентифицирует пользователя по протоколу CHAP. Если пользователь прошел вторичную аутентификацию (она для него прозрачна), то RAS ISP посылает ему сообщение об этом по протоколу РРР и пользователь начинает посылать свои данные в RAS ISP по протоколу IP, IPX или NetBIOS, упаковывая их в кадры РРР. RAS ISP осуществляет инкапсуляцию кадров РРР в пакеты IP, указывая в качестве адреса назначения адрес пограничного маршрутизатора, а в качестве адреса источника - свой собственный IP-адрес. Пакеты РРР шифруются с помощью секретного ключа, в качестве которого используется дайджест от пароля пользователя, который хранится в базе учетных данных RAS ISP для аутентификации по протоколу CHAP.

Пакеты, циркулирующие в рамках сессии PPTP, имеют следующий вид:

Для указания сведений о том, что внутри пакета IP находится инкапсулированный пакет РРР, используется стандартный для Internet заголовок GRE v.2 (RFC 1701 и 1702), используемый при инкапсуляции различного типа.

Внутренние серверы корпоративной сети также не должны поддерживать протокол PPTP, так как пограничный маршрутизатор извлекает кадры РРР из пакетов IP и посылает их по сети в необходимом формате - IP, IPX или NetBIOS.

Описанная схема пока вряд ли найдет применение, так протокол PPTP сейчас реализован только в продуктах Microsoft, в частности, в сервисах удаленного доступа RAS Windows NT 4.0, в клиентской и серверной их частях, а также в Windows 95. Провайдеры чаще всего используют в качестве сервера удаленного доступа более мощное средство, чем RAS Windows NT, поэтому компания Microsoft предложила также и другую схему использования протокола PPTP, с помощью которой образуется защищенный канал между компьютером удаленного пользователя и пограничным маршрутизатором корпоративной сети, в качестве которого должен использоваться RAS Windows NT 4.0.

Эта схема приведена на рисунке 3. Пользователь дважды устанавливает удаленное соединение с помощью утилиты Dial-Up Networking, представляющей собой клиентскую часть сервиса удаленного доступа Windows NT.

Рис.3. Защищенный канал "клиент - маршрутизатор" корпоративной сети на основе протокола PPTP

В первый раз он звонит на сервер RAS ISP и устанавливает с ним связь по протоколу PPP, проходя аутентификацию одним из способов, поддерживаемых провайдером - по протоколам PAP, CHAP или с помощью терминального диалога.

После аутентификации у провайдера, пользователь вторично "звонит", на этот раз в сервер удаленного доступа корпоративной сети. Этот "звонок" отличается от обычного тем, что вместо телефонного номера указывается IP-адрес RAS Windows NT, подключенного к Internet со стороны корпоративной сети. При этом устанавливается сессия по протоколу PPTP между клиентским компьютером и RAS корпоративной сети. Клиент еще раз аутентифицируется, теперь на сервере RAS его сети, а затем начинается передача данных, как и в первом варианте. Для сокращения ручного труда Microsoft предлагает пользоваться возможностями скриптов в RAS Windows NT.


previous  index  next