HCIE数通-WAN技术篇之PPP与MP,广域网链路中的“可靠”与“提速”艺术
HCIE数通-WAN技术篇之PPP与MP,广域网链路中的“可靠”与“提速”艺术
大家好。前几篇文章我们深入探讨了局域网中的二层破环技术,从STP到RSTP,从MSTP到RRPP,从SEP到ERPS,几乎把交换网络的所有环网保护技术都讲透了。
今天,我们把目光从局域网转向广域网,从交换机的“内部世界”走向路由器的“外部连接”。广域网链路承载着跨地域的数据通信,而PPP协议,就是这条“高速公路”上最基础的通信语言。
作为一名合格的网络工程师,你对PPP的了解不能只停留在“点到点协议”这个层面。你知道它是如何建立连接的?LCP和NCP协商了什么?PAP和CHAP认证有什么区别?当一条链路带宽不够时,如何通过MP将多条链路捆绑,实现带宽的“1+1=2”?
今天,我们就从理论到实践,再到HCIE考题,把PPP和MP彻底讲透。
一、PPP是什么?它解决了什么问题?
1. 定义
PPP(Point-to-Point Protocol,点到点协议) 是一种工作在数据链路层的协议,主要用于在全双工的同异步链路上进行点到点的数据传输。它是TCP/IP协议栈中数据链路层的重要成员,广泛应用于拨号接入、专线连接、路由器互联等场景。
2. 为什么需要PPP?
在PPP出现之前,串行线路上的主要协议是SLIP(Serial Line IP,串行线路IP协议) 。SLIP虽然简单,但存在诸多缺陷:
| 缺陷 | 说明 |
|---|---|
| 仅支持异步链路 | 无法适应同步链路传输 |
| 无协商过程 | 无法协商网络层属性(如IP地址) |
| 仅支持IP | 只能承载IP一种网络层协议 |
| 无认证机制 | 无法保证网络安全 |
正是为了克服SLIP的这些不足,PPP协议应运而生。根据RFC 1661的定义,PPP具备以下核心优势:
| 优势 | 说明 |
|---|---|
| 链路类型兼容 | 既支持同步链路(如POS、E1/T1),又支持异步链路(如拨号) |
| 扩展性强 | 协议设计具有良好的可扩展性,支持新增功能 |
| LCP协商 | 通过链路控制协议协商链路层参数(MRU、认证方式、魔术字等) |
| NCP协商 | 通过网络控制协议协商网络层参数,支持多种网络层协议(IP、IPX、AppleTalk等) |
| 安全认证 | 支持PAP和CHAP两种认证协议,保障网络安全 |
| 无重传机制 | 网络开销小,传输速度快 |
一句话总结 :PPP是点到点链路的“通用语言”,它让不同厂商的设备可以在串行链路上可靠地通信。
二、PPP的协议栈与报文结构
1. PPP在TCP/IP协议栈中的位置
PPP协议处于TCP/IP协议栈的数据链路层 ,位于物理层之上、网络层之下:
| 层级 | 协议 |
|---|---|
| 网络层 | IP、IPX、AppleTalk... |
| 数据链路层 | PPP(LCP、NCP、认证协议) |
| 物理层 | 同步链路(E1/T1、POS)、异步链路(RS-232、V.35) |
2. PPP的三大协议族
PPP并非单一协议,而是由三类协议组成的协议族:
| 协议族 | 全称 | 作用 |
|---|---|---|
| LCP | Link Control Protocol | 建立、拆除和监控PPP数据链路,协商链路层参数 |
| NCP | Network Control Protocol | 协商网络层协议参数,如IPCP(IP控制协议)协商IP地址 |
| 认证协议 | PAP/CHAP | 实现网络安全验证 |
3. PPP报文结构
PPP报文采用HDLC(高级数据链路控制)帧格式封装,结构如下:
| 字段 | 长度(字节) | 说明 |
|---|---|---|
| Flag | 1 | 帧起始标志,固定为0x7E |
| Address | 1 | 地址字段,固定为0xFF(广播地址) |
| Control | 1 | 控制字段,固定为0x03(无序号帧) |
| Protocol | 2 | 协议字段,标识上层协议类型(如0x0021表示IP,0xC021表示LCP) |
| Information | 可变 | 信息字段,承载协议数据 |
| FCS | 2 | 帧校验序列,用于差错检测 |
| Flag | 1 | 帧结束标志,固定为0x7E |
三、PPP的建链过程:从物理连接到网络通信
PPP链路建立需要经历五个阶段:Dead → Establish → Authenticate → Network → Terminate 。
1. Dead阶段(链路不可用)
- 物理层不可用,链路处于关闭状态
- 当检测到物理线路激活(载波信号出现),跃迁至Establish阶段
2. Establish阶段(链路建立)
此阶段进行LCP协商 ,协商内容包括:
| 协商参数 | 说明 |
|---|---|
| MRU(最大接收单元) | 协商链路能接收的最大数据包长度,默认1500字节 |
| 认证方式 | 协商是否启用认证、采用PAP还是CHAP |
| 魔术字(Magic Number) | 用于检测链路自环,防止环路 |
LCP协商过程 :
- 一端发送Configure-Request 报文,携带本端支持的参数
- 对端收到后,根据自身配置响应:
- Configure-Ack :全部参数可接受
- Configure-Nak :部分参数需调整
- Configure-Reject :部分参数不支持
- 双方反复协商,直至达成一致或超时
协商成功后,LCP状态变为Opened ,进入下一阶段。
3. Authenticate阶段(认证)
如果LCP协商中启用了认证,进入此阶段。认证方式有PAP和CHAP两种:
PAP(Password Authentication Protocol)——两次握手,明文传输
PAP认证过程 :
- 被认证方发送用户名+密码 (明文)到认证方
- 认证方查询本地用户表:
- 用户名存在且密码匹配 → 认证通过
- 否则 → 认证失败
特点 :
- 简单、开销小
- 安全性低(密码明文传输)
- 认证完成后,被认证方会持续发送用户名/密码直到认证成功
CHAP(Challenge-Handshake Authentication Protocol)——三次握手,密码不传输
CHAP认证过程 :
- 认证方发送Challenge报文 (包含随机数+本端用户名)给被认证方
- 被认证方:
- 若接口配置了CHAP密码,直接使用该密码
- 若未配置,则根据认证方的用户名在本地用户表中查找密码
- 用MD5哈希算法 对“Challenge随机数 + 密码 + 报文ID”进行计算
- 将计算结果和本端用户名封装在Response报文 中返回
- 认证方用同样的算法计算哈希值,与收到的Response比较:
- 一致 → 认证通过
- 不一致 → 认证失败
特点 :
- 安全性高(密码不在链路上传输)
- 支持双向认证(双方互为认证方)
- 复杂度稍高
CHAP vs PAP对比 :
| 维度 | PAP | CHAP |
|---|---|---|
| 握手次数 | 2次 | 3次 |
| 密码传输 | 明文 | 不传输(传输哈希值) |
| 安全性 | 低 | 高 |
| 复杂度 | 简单 | 中等 |
| 适用场景 | 对安全性要求不高的场景 | 对安全性要求高的场景 |
4. Network阶段(网络层协商)
认证成功后(或未配置认证),进入Network阶段,进行NCP协商 。
以最常用的IPCP(IP Control Protocol) 为例,协商内容包括:
- 本端IP地址
- 对端IP地址
- DNS服务器地址(可选)
IPCP协商过程 :
- 发送方发送Configure-Request ,携带本端希望使用的IP地址
- 对端响应:
- 若地址合法且未被占用 → 返回Configure-Ack
- 若地址不合法 → 返回Configure-Nak,建议一个可用地址
- 双方协商确定后,IPCP状态变为Opened,可以开始传输IP报文
5. Terminate阶段(链路终止)
任何情况下,链路可以被终止:
- 物理链路断开
- 认证失败
- 管理员执行
<span leaf="">shutdown</span> - 超时定时器到期
终止过程:一方发送Terminate-Request ,对方回复Terminate-Ack ,链路回到Dead阶段。
四、MP:多条链路捆绑的“提速”方案
1. 什么是MP?
MP(MultiLink PPP,多链路PPP) 是一种将多条PPP链路捆绑使用的技术,旨在增加带宽、提高可靠性。
2. 为什么需要MP?
单个PPP链路带宽有限,当用户对带宽要求较高时,单链路无法满足需求。MP将多条物理链路捆绑成一条逻辑链路,实现:
- 带宽叠加 :N条链路捆绑,理论带宽为N倍单链路带宽
- 负载分担 :流量在多条链路上均衡传输
- 链路冗余 :部分链路故障不影响整体连接
3. MP协商过程
MP的协商分为两个阶段:
第一阶段:LCP协商
在Establish阶段,除了协商常规LCP参数外,还要验证对端是否也工作在MP模式。需要协商的关键参数包括:
| 参数 | 说明 |
|---|---|
| MRRU(最大接收重组单元) | 接收端能重组的最大报文长度,区别于MRU(单链路接收单元) |
| ED(Endpoint Discriminator) | 终端标识符,用于标识同一MP捆绑组的成员链路 |
如果两端都支持MP且ED匹配,则进入MP模式;否则按普通PPP处理。
第二阶段:NCP协商
按照MP-Group接口(逻辑接口)的NCP参数(如IP地址)进行协商,物理接口的NCP参数不起作用。
4. 分片与重组
MP的核心机制是分片与重组 :
- 发送方向 :将IP报文按一定大小分片,分别从各成员链路上发送
- 接收方向 :将从不同链路收到的分片重组为完整的IP报文,再递交给上层
注意 :当报文长度小于最小分片包长时,不分片,直接发送。
5. MP配置示例
# 创建MP-Group逻辑接口[Router] interface mp-group 1[Router-Mp-group1] ip address 10.1.1.1 255.255.255.0[Router-Mp-group1] quit
# 将物理接口加入MP-Group[Router] interface serial 1/0/0[Router-Serial1/0/0] link-protocol ppp[Router-Serial1/0/0] ppp mp mp-group 1[Router-Serial1/0/0] quit
[Router] interface serial 1/0/1[Router-Serial1/0/1] link-protocol ppp[Router-Serial1/0/1] ppp mp mp-group 1[Router-Serial1/0/1] quit
# 对端配置相同,MP-Group IP地址为10.1.1.2
五、PPP配置实战(基于华为设备)
1. PAP认证配置
认证方(Server端) :
# 创建本地用户[Router] aaa[Router-aaa] local-user huawei password cipher Huawei@123[Router-aaa] local-user huawei service-type ppp[Router-aaa] quit
# 接口使能PAP认证[Router] interface serial 1/0/0[Router-Serial1/0/0] link-protocol ppp[Router-Serial1/0/0] ppp authentication-mode pap[Router-Serial1/0/0] ip address 10.1.1.1 255.255.255.0
被认证方(Client端) :
[Router] interface serial 1/0/0[Router-Serial1/0/0] link-protocol ppp[Router-Serial1/0/0] ppp pap local-user huawei password simple Huawei@123[Router-Serial1/0/0] ip address 10.1.1.2 255.255.255.0
2. CHAP认证配置
认证方(Server端) :
# 创建本地用户(CHAP需要双方都有对方的用户信息)[Router] aaa[Router-aaa] local-user huawei password cipher Huawei@123[Router-aaa] local-user huawei service-type ppp[Router-aaa] quit
[Router] interface serial 1/0/0[Router-Serial1/0/0] link-protocol ppp[Router-Serial1/0/0] ppp authentication-mode chap[Router-Serial1/0/0] ip address 10.1.1.1 255.255.255.0
被认证方(Client端) :
# 配置CHAP用户名和密码[Router] interface serial 1/0/0[Router-Serial1/0/0] link-protocol ppp[Router-Serial1/0/0] ppp chap user huawei[Router-Serial1/0/0] ppp chap password cipher Huawei@123[Router-Serial1/0/0] ip address 10.1.1.2 255.255.255.0
3. 双向CHAP认证配置
双向认证时,双方既是认证方又是被认证方:
# RouterA配置[RouterA] aaa[RouterA-aaa] local-user RouterB password cipher Huawei@123[RouterA-aaa] local-user RouterB service-type ppp[RouterA-aaa] quit[RouterA] interface serial 1/0/0[RouterA-Serial1/0/0] link-protocol ppp[RouterA-Serial1/0/0] ppp authentication-mode chap[RouterA-Serial1/0/0] ppp chap user RouterA[RouterA-Serial1/0/0] ppp chap password cipher Huawei@123[RouterA-Serial1/0/0] ip address 10.1.1.1 255.255.255.0
# RouterB配置[RouterB] aaa[RouterB-aaa] local-user RouterA password cipher Huawei@123[RouterB-aaa] local-user RouterA service-type ppp[RouterB-aaa] quit[RouterB] interface serial 1/0/0[RouterB-Serial1/0/0] link-protocol ppp[RouterB-Serial1/0/0] ppp authentication-mode chap[RouterB-Serial1/0/0] ppp chap user RouterB[RouterB-Serial1/0/0] ppp chap password cipher Huawei@123[RouterB-Serial1/0/0] ip address 10.1.1.2 255.255.255.0
4. 验证命令
# 查看PPP接口状态display interface serial 1/0/0
# 查看LCP协商状态display ppp state interface serial 1/0/0
# 查看MP-Group成员display interface mp-group 1
六、HCIE考题实例分析
考题描述(HCIE综合题)
某企业总部与分支机构通过运营商提供的E1专线互联,两端路由器通过Serial接口连接。网络管理员配置了PPP协议和CHAP认证。某日,网络管理员在总部路由器上执行
<span leaf="">display interface serial 1/0/0</span>命令,发现接口物理层Up,但链路层状态为Down。请分析可能的原因,并给出排查步骤和解决方案。
分析思路
- 检查物理层状态
- 物理层Up说明物理链路正常,问题出在链路层或上层
- 检查LCP协商状态
- 链路层Down,说明LCP协商失败
- 执行
<span leaf="">display ppp state interface serial 1/0/0</span>查看详细状态
- 可能原因分析
| 可能原因 | 说明 |
|---|---|
| 认证配置不一致 | 一端配置了CHAP认证,另一端未配置或配置了PAP |
| 用户名/密码错误 | CHAP认证的用户名或密码不匹配 |
| 本地用户缺失 | 认证方未创建对端的本地用户 |
| 魔术字检测失败 | 链路存在自环,导致魔术字检测失败 |
| MTU/MRU不匹配 | 双方协商的MRU不一致 |
- 排查步骤
# 步骤1:检查接口配置display current-configuration interface serial 1/0/0
# 步骤2:查看PPP状态display ppp state interface serial 1/0/0
# 步骤3:查看PPP统计信息display ppp statistics interface serial 1/0/0
# 步骤4:检查AAA本地用户配置display aaa local-user
# 步骤5:抓包分析(debugging ppp all)
- 解决方案
- 确保两端认证方式一致
- 确认本地用户名和密码配置正确
- 检查并调整MRU参数(如需)
- 排除链路自环问题
答案要点
- 原因 :CHAP认证配置不一致,或用户名/密码错误
- 解决方案 :统一认证方式,修正用户名密码配置,确保两端本地用户表正确
七、总结与思考
| 关键点 | 说明 |
|---|---|
| PPP定位 | 点到点链路层协议,支持同步/异步链路,承载多种网络层协议 |
| 建链五阶段 | Dead → Establish(LCP协商) → Authenticate(PAP/CHAP) → Network(NCP协商) → Terminate |
| LCP协商 | MRU、认证方式、魔术字 |
| NCP协商 | IP地址、DNS等网络层参数(IPCP) |
| PAP | 两次握手,明文传输密码,安全性低 |
| CHAP | 三次握手,密码不传输,安全性高 |
| MP | 多条PPP链路捆绑,带宽叠加、负载分担、链路冗余 |
| HCIE考点 | PPP建链过程、PAP/CHAP配置、MP配置、故障排查 |
💡 文末互动 :你在实际工作中遇到过PPP认证失败的故障吗?当时是如何排查和解决的?欢迎在评论区分享你的经验!
📌 关注公众号,后台回复【HCIE数通】获取本文笔记、教程、实验拓扑文件,最新版ENSP PRO的朋友请订阅后续系列文章。
下期预告 :PPPoE专题 | 宽带接入的“最后一公里”,你了解多少?
我们将从PPPoE的诞生背景讲起,拆解发现阶段(PADI/PADO/PADR/PADS)与会话阶段的全流程,带你掌握PPPoE客户端的配置、服务端的部署,以及它在运营商宽带、企业认证中的实战应用。从原理到排错,一次性讲透这个让无数网工又爱又恨的“拨号”协议!
标题:HCIE数通-WAN技术篇之PPP与MP,广域网链路中的“可靠”与“提速”艺术
作者:shuaiqijun
地址:https://shuaiqijun.com/articles/2026/03/26/1774506097069.html