Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
PPPoE クライアントの設定
PPPoE クライアントの設定
発行日;2012/02/01 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

PPPoE クライアントの設定

PPPoE クライアントの概要

PPPoE クライアントのユーザ名とパスワードの設定

PPPoE のイネーブル化

固定 IP アドレスによる PPPoE の使用

PPPoE クライアントの監視とデバッグ

コンフィギュレーションのクリア

関連するコマンドの使用

PPPoE クライアントの設定

この項では、適応型セキュリティ アプライアンスが提供する PPPoE クライアントの設定方法について説明します。次の項目について説明します。

「PPPoE クライアントの概要」

「PPPoE クライアントのユーザ名とパスワードの設定」

「PPPoE のイネーブル化」

「固定 IP アドレスによる PPPoE の使用」

「PPPoE クライアントの監視とデバッグ」

「関連するコマンドの使用」

PPPoE クライアントの概要

PPPoE では、一般的に使用されているイーサネットと PPP の 2 つの標準技術を組み合せ、クライアント システムに IP アドレスを割り当てる場合の認証方式を提供します。一般的な PPPoE クライアントは、DSL やケーブル サービスなどのリモート ブロードバンド接続によって ISP に接続されているパーソナル コンピュータです。既存のリモート アクセス インフラストラクチャを使用した高速ブロードバンド アクセスをサポートするために、またカスタマーにとって使いやすいことから、ISP では PPPoE を導入しています。

PPPoE は、イーサネット ネットワーク上で Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)による認証方式を使用するための標準方式です。ISP が使用する場合は、PPPoE で IP アドレスを割り当ててから認証できます。このタイプの実装では、PPPoE クライアントとサーバが、DSL または他のブロードバンド接続上で実行されているレイヤ 2 ブリッジング プロトコルによって相互に接続されます。

PPPoE は、次の 2 つの主要フェーズで構成されています。

アクティブ ディスカバリ フェーズ:このフェーズでは、PPPoE クライアントが、アクセス コンセントレータと呼ばれる PPPoE サーバの場所を探索します。このフェーズの期間にセッション ID が割り当てられ、PPPoE レイヤが確立されます。

PPP セッション フェーズ:このフェーズでは、PPP オプションがネゴシエートされ、認証処理が実行されます。リンクのセットアップが完了すると、PPPeE がレイヤ 2 カプセル化方式としての機能を開始し、PPPoE ヘッダーにデータを入れて PPP リンク経由で転送できるようになります。

 

PPPoE クライアントは、システムの初期化時に一連のパケットを交換して、アクセス コンセントレータとのセッションを確立します。セッションが確立されると PPP リンクがセットアップされます。これには Password Authentication Protocol(PAP; パスワード認証プロトコル)による認証が含まれます。PPP セッションが確立されると、各パケットは PPPoE ヘッダーと PPP ヘッダーでカプセル化されます。


) 適応型セキュリティ アプライアンスでフェールオーバーが設定されている場合、またはマルチコンテキストまたはトランスペアレント モードの場合、PPPoE はサポートされません。PPPoE は、フェールオーバーなしのシングル ルーテッド モードでだけサポートされます。


PPPoE クライアントのユーザ名とパスワードの設定

適応型セキュリティ アプライアンスがアクセス コンセントレータにアクセスするときの認証で使用されるユーザ名とパスワードを設定するには、 vpdn コマンドを使用します。 vpdn コマンドを使用するには、まず VPDN グループを定義し、次にグループ内で個々のユーザを作成します。

PPPoE ユーザ名とパスワードを設定するには、次の手順を実行します。


ステップ 1 次のコマンドを使用して、PPPeE で使用される VPDN グループを定義します。

hostname(config)# vpdn group group_name request dialout pppoe
 

このコマンド例では、 group_name の部分を、「pppoe-sbc」などのわかりやすいグループ名で置き換えます。

ステップ 2 利用する ISP が認証を要求する場合は、次のコマンドを入力して認証プロトコルを選択します。

hostname(config)# vpdn group group_name ppp authentication {chap | mschap | pap}
 

group_name の部分を、前のステップで定義したグループ名と同じ名前で置き換えます。ISP で使用する認証方式に応じた適切なキーワードを入力します。

CHAP:Challenge Handshake Authentication Protocol(チャレンジ ハンドシェイク認証プロトコル)

MS-CHAP:Microsoft Challenge Handshake Authentication Protocol Version 1(Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 1)

PAP:Password Authentication Protocol(パスワード認証プロトコル)


) CHAP または MS-CHAP を使用する場合は、ユーザ名がリモート システム名として参照され、パスワードが CHAP シークレットとして参照されます。


ステップ 3 次のコマンドを入力して、ISP で割り当てられたユーザ名を VPDN グループに関連付けます。

hostname(config)# vpdn group group_name localname username
 

group_name の部分を VPDN グループ名で置き換え、 username の部分を ISP によって割り当てられたユーザ名で置き換えます。

ステップ 4 次のコマンドを入力して、PPPoE 接続用のユーザ名とパスワードのペアを 1 組作成します。

hostname(config)# vpdn username username password password [store-local]
 

username の部分をユーザ名で置き換え、 password の部分を ISP によって割り当てられたパスワードで置き換えます。


) store-local オプションを指定すると、ユーザ名とパスワードが適応型セキュリティ アプライアンスの NVRAM の特別な場所に保存されます。Auto Update Server が clear config コマンドを適応型セキュリティ アプライアンスに送信し、その後に接続が中断された場合、適応型セキュリティ アプライアンスは、ユーザ名とパスワードを NVRAM から読み取り、アクセス コンセントレータに対して再認証できます。



 

PPPoE のイネーブル化


PPPoE クライアントのユーザ名とパスワードの設定の説明に従い、PPPeE をイネーブルにする前に、vpdn コマンドを使用してコンフィギュレーションを完了する必要があります。


PPPoE クライアント機能は、デフォルトでオフになっています。PPPoE をイネーブルにするには、次の手順を実行します。


ステップ 1 インターフェイス コンフィギュレーション モードで次のコマンドを入力して、PPPoE クライアントをイネーブルにします。

hostname(config-if)# ip address pppoe [setroute]
 

setroute オプションを指定すると、PPPoE クライアントが接続をまだ確立していない場合に、デフォルト ルートが設定されます。 setroute オプションを使用する場合は、スタティックに定義されたルートをコンフィギュレーションに含めることはできません。

PPPoE では IP アドレスが PPP によって割り当てられるため、PPPoE は DHCP と併用できません。デフォルト ルートが存在しない場合には、setroute オプションによってデフォルト ルートが作成されます。デフォルト ルータは、アクセス コンセントレータのアドレスです。Maximum Transmission Unit(MTU; 最大伝送ユニット)サイズは自動的に 1492 バイトに設定されます。これは、イーサネット フレーム内で PPPoE 伝送する場合の正しい値です。

このコマンドを再入力すると、DHCP リースがリセットされて新しいリースが要求されます。


) 2 つのインターフェイス(プライマリとバックアップのインターフェイスなど)で PPPeE がイネーブルになっているときに、デュアル ISP サポートを設定しない場合(「スタティック ルートまたはデフォルト ルートの監視」を参照)、適応型セキュリティ アプライアンスでは、最初のインターフェイスに限り、IP アドレスを取得するためにトラフィックを送信できます。


次に例を示します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ip address pppoe
 

ステップ 2 インターフェイス コンフィギュレーション モードで次のコマンドを入力して、使用する PPPoE クライアントの VPDN グループを指定します(オプション)。

hostname(config-if)# pppoe client vpdn group grpname
 

grpname は、 VPDN グループの 名前です。


) 複数の VPDN グループが設定されているときに、pppoe client vpdn group コマンドでグループを指定しないと、適応型セキュリティ アプライアンスは VPDN グループをランダムに選択します。これを避けるには、VPDN グループを指定してください。



 

固定 IP アドレスによる PPPoE の使用

インターフェイス コンフィギュレーション モードで次の形式の ip address コマンドを使用し、IP アドレスを手動で入力することで、PPPoE をイネーブルにすることもできます。

hostname(config-if)# ip address ipaddress mask pppoe
 

このコマンドを入力すると、適応型セキュリティ アプライアンスは、PPPoE サーバとネゴシエートしてアドレスをダイナミックに割り当てる代わりに、指定されたアドレスを使用します。 ipaddress mask の部分を、適応型セキュリティ アプライアンスに割り当てられた IP アドレスとサブネット マスクで置き換えます。

次に例を示します。

hostname(config-if)# ip address outside 201.n.n.n 255.255.255.0 pppoe

setroute オプションは ip address コマンドのオプションで、PPPeE クライアントがまだ接続を確立していない場合に、アクセス コンセントレータでデフォルト ルートを設定できるようにするために使用できます。setroute オプションを使用する場合は、スタティックに定義されたルートをコンフィギュレーションに含めることはできません。


PPPoE クライアントの監視とデバッグ

次のコマンドを使用して、現在の PPPoE クライアント コンフィギュレーション情報を表示します。

hostname# show ip address outside pppoe
 

次のコマンドを使用して、PPPoE クライアントでのデバッグをイネーブルまたはディセーブルにします。

hostname# [no] debug pppoe {event | error | packet}
 

次に、各キーワードの機能をまとめます。

event:プロトコル イベント情報を表示します。

error:エラー メッセージを表示します。

packet:パケット情報を表示します。

次のコマンドを使用して、PPPoE セッションのステータスを表示します。

hostname# show vpdn session [l2tp | pppoe] [id sess_id | packets | state | window]
 

次の例は、このコマンドで提供される情報のサンプルです。

hostname# show vpdn
 
Tunnel id 0, 1 active sessions
time since change 65862 secs
Remote Internet Address 10.0.0.1
Local Internet Address 199.99.99.3
6 packets sent, 6 received, 84 bytes sent, 0 received
Remote Internet Address is 10.0.0.1
Session state is SESSION_UP
Time since event change 65865 secs, interface outside
PPP interface id is 1
6 packets sent, 6 received, 84 bytes sent, 0 received
hostname#
hostname# show vpdn session
PPPoE Session Information (Total tunnels=1 sessions=1)
Remote Internet Address is 10.0.0.1
Session state is SESSION_UP
Time since event change 65887 secs, interface outside
PPP interface id is 1
6 packets sent, 6 received, 84 bytes sent, 0 received
hostname#
hostname# show vpdn tunnel
PPPoE Tunnel Information (Total tunnels=1 sessions=1)
Tunnel id 0, 1 active sessions
time since change 65901 secs
Remote Internet Address 10.0.0.1
Local Internet Address 199.99.99.3
6 packets sent, 6 received, 84 bytes sent, 0 received
hostname#

コンフィギュレーションのクリア

コンフィギュレーションからすべての vpdn group コマンドを削除するには、グローバル コンフィギュレーション モードで clear configure vpdn group コマンドを使用します。

hostname(config)# clear configure vpdn group
 

すべての vpdn username コマンドを削除するには、 clear configure vpdn username コマンドを使用します。

hostname(config)# clear configure vpdn username
 

これらのコマンドのいずれを入力しても、アクティブな PPPoE 接続には影響しません。

関連するコマンドの使用

次のコマンドを使用して、PPP/IPCP ネゴシエーションの一環としてアクセス コンセントレータが提供した WINS アドレスと DNS アドレスが DHCP サーバで使用されるようにします。

hostname(config)# dhcpd auto_config [client_ifx_name]
 

このコマンドは、サービス プロバイダーが RFC 1877 の規定に従ってこの情報を提供する場合に限り必要になります。 client_ifx_name パラメータを使用して、DHCP auto_config オプションによってサポートされるインターフェイスを指定します。PPPoE クライアントは 1 つの外部インターフェイスだけでサポートされるため、このキーワードはこの時点では不要です。