PPTP协议

PPTP协议

　　PPTP(Point-to-Point Tunneling Protocol)点对点隧道协议是PPP协议的一种扩展，它将PPP帧封装进IP包中，通过IP网络进行传输。它通过PPTP控制连接来创建、维护、终止一条隧道，同时使用通用路由封装GRE（Generic Routing Encapsulation）对PPP帧进行封装用来传输数据。
　　PPTP协议假定在PPTP客户机和服务器之间有连通且可用的IP网络，因此如果PPTP客户机还没有接入网络，则首先需要建立从客户机到服务器的IP网络（可以通过拨号连接或者dhcp）。

PPTP控制连接过程和隧道维护

　　PPTP控制连接建立在PPTP客户机IP地址和PPTP服务器IP地址之间，PPTP客户机使用动态分配的TCP端口号，PPTP服务器使用固定端口号1723,。在连接建立之后，客户机和服务器之间会周期性的发送回送请求和应答消息，以期检测出客户机与服务器之间可能出现的连接中断。PPTP控制连接的数据包格式如下所示：

Data-link Header	IP Header	Tcp Header	PPTP Control Message	Data link Trailer

PPTP的控制连接过程可以分为如下几步：
（1）建立TCP连接

三次握手建立TCP连接

（2）PPTP控制连接和GRE隧道建立

建立控制连接，同时分配CallID，该ID可以唯一标识一条隧道

（3）PPP协议的LCP协商

配置链路层参数，以及认证方法（比如MS-CHAP, MS-CHAP v2）

（4）PPP协议的身份认证

认证身份，可以通过LCP协商好的认证方法

（5）PPP协议的NCP协商

配置网络层参数，如分配IP地址，miniport信息

（6）PPP协议的CCP协商

双方协商加密协议（确定是否使用加密），MPPE加密的加密位数

如果LCP过程中确定了认证方法（比如MS-CHAP, MS-CHAP v2），同时CCP协商好要加密，则双方需要协商MPPE的 RC4 算法的密钥。

PPTP数据隧道传输

　　PPTP客户端和服务器之间通过连接过程建立隧道之后，就可以通过隧道传输数据。
（1）用户的IP包经过PPP协议封装成为PPP包；
（2）PPTP对PPP帧的有效载荷进行加密（MPPE）、压缩（MPPC），加密和压缩都是可选的；
（3）PPTP使用通用路由封装协议GRE协议对PPP帧进行封装；
（4）将GRE帧放入IP报文中，通过IP网络发送给PPTP服务器
PPTP数据报文格式如下：

MPPE将通过由MS-CHAP、MS-CHAP v2或EAP-TLS身份验证过程所生成的加密密钥对PPP帧进行加密。PPTP将利用底层PPP加密功能并直接对原先经过加密的PPP帧进行封装。

MPPE (Microsoft Point-to-Point Encryption) 是一种将点到点协议（PPP）包用加密形式表示的方法，通常用来实现PPTP 中的加密。 MPPE 的加密算法是固定的，只能使用RC4 算法。

PPTP数据包的封装过程
（1）应用层数据封装成IP包
（2）将IP包发送到VPN的虚拟接口
（3）VPN的虚拟接口将IP数据包压缩和加密（压缩和加密可选），并增加PPP头。对于加密了的PPP包，其PPP类型是0x00FD
（4）VPN的虚拟接口将PPP帧发送给PPTP协议驱动程序
（5）PPTP协议驱动程序在PPP帧外加GRE报头
（6）PPTP协议驱动程序将GRE报头提交给TCP/IP协议驱动程序
（7）TCP/IP协议驱动程序为GRE添加IP头
（8）为IP数据包进行数据链路层封装后通过物理网卡发出