Hình 2.5 Đường hầm PPTP và ba thành phần của giao dịch dựa trên PPTP PPTP Client cũng phải được kết nối tới một thiết bị VPN và như vậy nó có thể định đường hầm yêu cầu tới thiết bị VPN trên mạng từ xa. Liên kết đến thiết bị VPN từ xa trước hết sử dụng kết nối quay số tới NAS của ISP để thiết lập một đường hầm giữa các thiết bị VPN qua Internet hoặc qua mạng trung gian khác. Không giống như yêu cầu từ xa cho phiên VPN, yêu cầu cho một phiên VPN tới Server cục bộ không đòi hỏi một kết nối tới NAS của ISP. Cả Client và Server đều được kết nối vật lý đến cùng một mạng LAN, việc tạo ra một kết nối tới NAS của nhà cung cấp là không cần thiết. Client trong trường hợp này chỉ cần yêu cầu một phiên quay số đến thiết bị VPN trên Server. Như vậy thủ tục định tuyến của các gói PPTP cho một yêu cầu từ xa và một yêu cầu cục bộ là khác nhau, các gói của hai yêu cầu được xử lý khác nhau. Các gói PPTP đến Server cục bộ được đặt trên thiết bị vật lý gắn kèm với card mạng của PPTP Client. Gói PPTP đến Server từ xa được định tuyến qua một thiết bị vật lý gắn với một thiết bị truyền thông như một Router. Tất cả được minh hoạ như trong hình 2.6. Hình 2.6 Truyền các gói PPTP đến Node đích 2. Các Server PPTP Server truy cập PPTP là một Node mạng có hỗ trợ PPTP và có khả năng bảo quản các yêu cầu cho phiên VPN từ các Node từ xa hay cục bộ. Để phản hồi các yêu cầu từ xa, các Server này cũng phải hỗ trợ khả năng định tuyến. Một RAS và hệ điều hành mạng khác có hỗ trợ PPTP, chẳng hạn WinNT 4.0 có khả năng hoạt động như một Server PPTP. 3. Các Server truy cập mạng PPTP (PPTP NAS) Các NAS PPTP được đặt tại Site PPTP và cung cấp kết nối Internet tới các Client đang sử dụng đường quay số PPP. Xác suất nhiều Client cùng đồng thời yêu cầu một phiên VPN là rất cao. Các Server này phải có khả năng hỗ trợ các Client này. Ngoài ra, các PPTP Client không chỉ hạn chế với hệ điều hành mạng của Microsoft, vì vậy các NAS PPTP phải có khả năng hỗ trợ các Client dựa trên Window, các máy Unix. Tuy nhiên, điều quan trọng là các Client này hỗ trợ kết nối PPTP tới NAS. 2.2.1.3. Các tiến trình PPTP Bao gồm ba tiến trình để truyền thông an toàn dựa trên PPTP qua phương tiện không an toàn. Ba tiến trình đó là: Thiết lập kết nối dựa trên PPP. Kiểm soát kết nối. Tạo đường hầm PPTP và truyền dữ liệu. 1. Kiểm soát kết nối PPTP Sau khi một kết nối vật lý dựa trên PPP được thiết lập giữa PPTP Client và Server, quá trình kiểm soát kết nối PPTP bắt đầu. Như trong hình 2.7, Kiểm soát kết nối PPTP được thiết lập dựa trên địa chỉ IP của PPTP Client và Server. Nó sử dụng cổng TCP phân phối động và cổng TCP giành riêng số 1723. Sau khi kiểm soát kết nối được thiết lập, nó thực hiện việc kiểm soát và quản lý các thông điệp được trao đổi giữa các nhóm truyền thông. Các thông điệp này có nhiệm vụ duy trì, quản lý và kết thúc đường hầm PPTP. Các thông điệp này bao gồm cả chu kỳ giao dịch của các thông điệp "PPTP-Echo-Request, PPTP-Echo-Reply" chúng giúp phát hiện lỗi kết nối giữa PPTP Server và Client. Hình 2.7 Các thông điệp kiểm soát trao đổi dữ liệu PPTP qua PPP Một số thông điệp thường dùng để kiểm soát PPTP được liệt kê trong bảng sau đây: Bảng 2.1 Các thông điệp kiểm soát PPTP thông dụng Name Description Start-Control- Connection-Request Yêu cầu từ PPTP Client để thiết lập kết nối Start-Control- Connection-Reply Phản hồi từ PPTP server tới thông điệp Start-Control- Connection-Request của Client Outgoing-Call- Request Yêu cầu từ PPTP client tới server để thiết lập một đường hầm PPTP. Outgoing-Call-Reply Phản hồi từ PPTP server tới thông điệp Outgoing-Call-Request của Client. Echo-Request Cơ chế duy trì hoạt động từ Server hoặc Client. Nếu nhóm đối diện không trả lời thông điệp này thì đường hầm bị kết thúc. Echo-Reply Phản hồi tới thông điệp Echo-Request từ thực thể cuối đối diện. Set-Link-Info Thông điệp từ phía khác tới thiết lập các lựa chọn liên quan đ ến PPP. Call-Clear-Request Thông điệp từ PPTP client bắt đầu kết thúc đường hầm. Call-Disconnect- Notify Phản hồi từ PPTP server tới Call-Clear-Request của Client. Nó cũng là thông điệp khởi tạo việc kết thúc đường hầm từ Server WAN-Error-Notify Thông điệp từ PPTP server đến tất cả các PPTP Client đã kết nối để thông báo lỗi trong giao diện PPP của server. Stop-Control- Connection-Request Thông điệp từ PPTP client hoặc server để thông báo đến thực thể cuối khác để kết thúc kiểm soát kết nối. Stop-Control- Connection-Reply Phản hồi từ thực thể cuối bên kia tới thông điệp Stop-Control- Connection-Request. Như đã mô tả trong hình 2.8, các thông điệp kiểm soát PPTP được đóng gói vào trong các gói TCP. Vì vậy, sau khi đã thiết lập một kết nối PPP với Server hoặc Client từ xa, một kết nối TCP được thiết lập. Kết nối này sau đó thường được dùng để trao đổi các thông điệp kiểm soát PPTP. Data Link Header IP Header TCP Header TCP PPTP Control Message Data Link Trailer Hình 2.8 Kiểm soát PPTP trong gói dữ liệu TCP 2. Xử lý và định đường hầm dữ liệu PPTP Một gói dữ liệu PPTP phải trải qua nhiều giai đoạn đóng gói. Đó là các giai đoạn sau: Bao gói dữ liệu: Thông tin gốc được mã hoá và sau đó bao gói vào bên trong một Frame PPP. Một tiêu đề PPP được thêm vào Frame. Bao gói Frame PPP: Frame PPP kết quả sau đó được bao gói vào trong một sự đóng gói định tuyến chung(GRE) đã sửa đổi. Tiêu đề GRE sửa đổi chứa một trường ACK 4 byte và một bit ACK tương ứng thông báo sự có mặt của trường ACK. Hơn nữa, trường khoá trong frame GRE được thay bởi một trường có độ dài 2 byte gọi là độ dài tải và một trường có độ dài 2 byte gọi là định danh cuộc gọi. PPTP client thiết lập các trường này khi nó tạo đường hầm PPTP. Bao gói các gói dữ liệu GRE: Tiếp theo, một tiêu đề IP được thêm vào khung PPP, và được bao gói vào trong gói GRE. Tiêu đề IP này chứa địa chỉ IP của PPTP client nguồn và PPTP Server đích. Bao gói tầng liên kết dữ liệu: Như chúng ta đã biết, PPTP là một giao thức tạo đường hầm tầng 2, vì vậy, tiêu đề tầng liên kết dữ liệu và lần theo sự đánh dấu là các quy luật quan trọng trong đường hầm dữ liệu. trước khi được đặt lên các phương tiện truyền phát, tầng liên kết dữ liệu thêm vào tiêu đề của chính nó và đánh dấu cho các gói dữ liệu. Nếu gói dữ liệu phải chuyển qua một đường hầm PPTP cục bộ, gói dữ liệu sẽ được đóng gói vào trong một đánh dấu và tiêu đề theo công nghệ - LAN(như Ethenet chẳng hạn). Mặt khác, nếu đường hầm được trải qua một liên kết WAN, tiêu đề và đánh dấu luôn được thêm vào gói dữ liệu một lần. GRE Header PPP Header IP Header Data Link Header GRE Header PPP Header IP Header GRE Header PPP Header PPP Header Encryption PPP Payload Encryption PPP Payload Encryption PPP Payload Encryption PPP Payload Encryption PPP Payload Encryption PPP Payload Data Link Trailer Hình 2.9 Mô tả tiến trình xử lý dữ liệu PPTP đường hầm Chú ý: GRE là một cơ chế đóng gói thông dụng đơn giản cho các dữ liệu dựa trên IP. GRE thường được dùng bởi các ISP để chuyển tiếp thông tin định tuyến trong Intranet của họ. Tuy nhiên, các Router backbone thuộc Internet của ISP sẽ . Description Start-Control- Connection-Request Yêu cầu từ PPTP Client để thiết lập kết nối Start-Control- Connection-Reply Phản hồi từ PPTP server tới thông điệp Start-Control- Connection-Request của. Outgoing-Call- Request Yêu cầu từ PPTP client tới server để thiết lập một đường hầm PPTP. Outgoing-Call-Reply Phản hồi từ PPTP server tới thông điệp Outgoing-Call-Request của Client. Echo-Request. thúc. Echo-Reply Phản hồi tới thông điệp Echo-Request từ thực thể cuối đối diện. Set-Link-Info Thông điệp từ phía khác tới thiết lập các lựa chọn liên quan đ ến PPP. Call-Clear-Request Thông