ign="justify"> вихідний пакет РРР, що включає пакет IP, IPX або NetBEUI.
Рисунок 2.1 - Структура даних для пересилання по тунелю PPTP.
Далі, PPTP інкапсулює PPP-кадр в пакет Generic Routing Encapsulation (GRE), який належить мережному рівню. GRE інкапсулює мережевий рівень. Однак GRE не має можливості встановлювати сесії і забезпечувати захист даних від зловмисників. Для цього використовується здатність PPTP створювати з'єднання для управління тунелем. Застосування GRE в якості методу інкапсуляції обмежує поле дії PPTP тільки мережами IP.
Після того як кадр PPP був инкапсулирован в кадр із заголовком GRE, виконується інкапсуляція в кадр з IP-заголовком. IP-заголовок містить адреси відправника і одержувача пакета. На закінчення PPTP додає PPP заголовок і закінчення.
Система-відправник посилає дані через тунель. Система-одержувач видаляє всі службові заголовки, залишаючи тільки дані PPP.
Оскільки вся ідея дистанційної доступу полягає у розв'язанні машині клієнта підключатися по мережі до машини сервера, з'єднання PPTP ініціюється клієнтом, який використовує службове засіб Windows NT - Remote Access Service (RAS) - для встановлення PPP-з'єднання з постачальником послуг Інтернет. Потім при активізованому з'єднанні PPP за допомогою сервера, підключеного до Інтернет та чинного як сервер RAS, клієнт застосовує RAS для виконання другого з'єднання. На цей раз в поле номера телефону вказується IP-адресу (або доменне ім'я), і клієнт, для того щоб здійснити з'єднання, замість COM-порту використовує VPN-порт (VPN-порти конфігуруються на машинах клієнта і сервера в процесі інсталяції PPTP). Введення IP-адреси ініціює передачу запиту серверу на початок сеансу. Клієнт очікує від сервера підтвердження імені користувача і пароля і відповіді повідомленням, що з'єднання встановлено. У цей момент починає свою роботу канал PPTP, і клієнт може приступити до ТУНЕЛЮВАННЯ пакетів серверу. Оскільки вони можуть бути пакетами IPX і NetBEUI, сервер може виконувати з ними свої звичайні процедури забезпечення захисту. В основі обміну даними по протоколу PPTP лежить керуюче з'єднання PPTP - послідовність керуючих повідомлень, які встановлюють і обслуговують тунель. Повне з'єднання PPTP складається тільки з одного з'єднання TCP/IP, яке вимагає передачі луна-команд для підтримки його відкритим, поки виконуються транзакції. У протоколі PPTP визначено дві схеми його застосування. Перша схема розрахована на підтримку захищеного каналу між сервером віддаленого доступу ISP і прикордонним маршрутизатором корпоративної мережі представлена ??на малюнку 2.2.
Малюнок 2.2 - Захищений канал провайдер-маршрутизатор корпоративної мережі на основі протоколу PPTP
У цьому варіанті комп'ютер віддаленого користувача не повинен підтримувати протокол PPTP. Він зв'язується з сервером віддаленого доступу RAS, встановленого у ISP, за допомогою стандартного протоколу PPP і проходить першу аутентифікацію у провайдера. RAS ISP повинен підтримувати протокол PPTP. По імені користувача RAS ISP повинен знайти в базі облікових даних користувачів IP-адреса маршрутизатора, що є прикордонним маршрутизатором корпоративної мережі даного користувача. З цим маршрутизатором RAS ISP встановлює сесію по протоколу PPTP. Протокол PPTP визначає деяку кількість службових повідомлень, якими обмінюються взаємодіючі сторони, службові повідомлення передаються по протоколу TCP. RAS ISP передає маршрутизатора корпоративної мережі ідентифікатор користувача, за яким маршрутизатор знову аутентифікує користувача по протоколу CHAP. Якщо користувач пройшов вторинну аутентифікацію (вона для нього прозора), то RAS ISP посилає йому повідомлення про це по протоколу РРР і користувач починає посилати свої дані в RAS ISP по протоколу IP, IPX або NetBIOS, упаковуючи їх в кадри РРР. RAS ISP здійснює інкапсуляцію кадрів РРР в пакети IP, вказуючи як адреса призначення адреса прикордонного маршрутизатора, а в якості адреси джерела - свій власний IP-адресу. Пакети РРР шифруються за допомогою секретного ключа, в якості якого використовується дайджест від пароля користувача, який зберігається в базі облікових даних RAS ISP для аутентифікації по протоколу CHAP.
Внутрішні сервери корпоративної мережі також не повинні підтримувати протокол PPTP, оскільки прикордонний маршрутизатор витягує кадри РРР з пакетів IP і посилає їх по мережі в необхідному форматі - IP, IPX або NetBIOS.предложіла також й іншу схему використання протоколу PPTP, за допомогою якої утворюється захищений канал між комп'ютером віддаленого користувача і прикордонним маршрутизатором корпоративної мережі, в якості якого повинен використовуватися RAS Windows NT/2000. Дана схема наведена на малюнку 2.3
Малюнок 2.3 - Захищений канал клієнт - маршрутиз...
