- このマニュアルについて
- サイトツーサイトおよびクライアント VPN
- IPsec および ISAKMP
- L2TP over IPsec
- 全般 VPN パラメータ
- 接続プロファイル、グループ ポリシー、およびユーザ
- VPN の IP アドレス
- リモート アクセス IPSec VPN
- ネットワーク アドミッション コントロール
- PPPoE クライアント
- LAN-to-LAN IPsec VPN
- AnyConnect VPN Client 接続
- AnyConnect ホスト スキャン
- 認可および認証用の外部サーバ
- クライアントレス SSL VPN
- クライアントレス SSL VPN の概要
- 基本的なクライアントレス SSL VPN のコンフィギュレーション
- 高度なクライアントレス SSL VPN のコンフィギュレーション
- ポリシー グループ
- クライアントレス SSL VPN リモート ユーザ
- クライアントレス SSL VPN ユーザ
- モバイル デバイスでのクライアントレス SSL VPN
- クライアントレス SSL VPN のカスタマイズ
- クライアントレス SSL VPN のトラブルシューティング
- クライアントレス SSL VPN ライセンス
Cisco ASA シリーズ VPN CLI コンフィギュレーション ガイド ソフトウェア バージョン 9.3
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月6日
章のタイトル: PPPoE クライアント
PPPoE クライアント
この項では、ASA が提供する PPPoE クライアントの設定方法について説明します。説明する項目は次のとおりです。
PPPoE クライアントの概要
PPPoE は、イーサネットと PPP という広く受け入れられている 2 つの標準を結合して、IP アドレスをクライアント システムに割り当てる認証方式を提供します。一般的な PPPoE クライアントは、DSL やケーブル サービスなどのリモート ブロードバンド接続によって ISP に接続されているパーソナル コンピュータです。ISP は、既存のリモート アクセス インフラストラクチャを使用して高速ブロードバンド アクセスをサポートするためと、顧客の使い勝手向上のために、PPPoE を配置します。
PPPoE は、イーサネット ネットワーク上でポイントツーポイント プロトコル PPP による認証方式を使用するための標準方式です。ISP が使用する場合は、PPPoE で IP アドレスを割り当ててから認証できます。このタイプの実装では、PPPoE クライアントとサーバが、DSL または他のブロードバンド接続上で実行されているレイヤ 2 ブリッジング プロトコルによって相互に接続されます。
PPPoE は、次の 2 つの主要フェーズで構成されています。
•
アクティブ ディスカバリ フェーズ:このフェーズでは、PPPoE クライアントが、アクセス コンセントレータと呼ばれる PPPoE サーバの場所を探索します。このフェーズの期間にセッション ID が割り当てられ、PPPoE レイヤが確立されます。
• PPP セッション フェーズ:このフェーズでは、PPP オプションがネゴシエートされ、認証処理が実行されます。リンクのセットアップが完了すると、PPPoE がレイヤ 2 カプセル化方式としての機能を開始し、PPPoE ヘッダーにデータを入れて PPP リンク経由で転送できるようになります。
PPPoE クライアントは、システムの初期化時に一連のパケットを交換して、アクセス コンセントレータとのセッションを確立します。セッションが確立されると PPP リンクがセットアップされます。これにはパスワード認証プロトコル(PAP)による認証が含まれます。PPP セッションが確立されると、各パケットは PPPoE ヘッダーと PPP ヘッダーでカプセル化されます。
(注) PPPoE は、ASA でフェールオーバーを設定している場合、またはマルチ コンテキスト モードやトランスペアレント モードではサポートされません。PPPoE がサポートされるのは、フェールオーバーを設定していない、シングル モード、ルーテッド モードの場合だけです。
PPPoE クライアントのユーザ名とパスワードの設定
ASA がアクセス コンセントレータにアクセスするときの認証で使用されるユーザ名とパスワードを設定するには、 vpdn コマンドを使用します。 vpdn コマンドを使用するには、まず VPDN グループを定義し、次にグループ内で個々のユーザを作成します。
PPPoE ユーザ名とパスワードを設定するには、次の手順を実行します。
ステップ 1 次のコマンドを使用して、PPPoE で使用される VPDN グループを定義します。
このコマンド例では、 group_name の部分を、「pppoe-sbc」などのわかりやすいグループ名で置き換えます。
ステップ 2 利用する ISP が認証を要求する場合は、次のコマンドを入力して認証プロトコルを選択します。
group_name の部分を、前のステップで定義したグループ名と同じ名前で置き換えます。ISP で使用する認証方式に応じた適切なキーワードを入力します。
• CHAP:Challenge Handshake Authentication Protocol(チャレンジ ハンドシェイク認証プロトコル)
• MS-CHAP:Microsoft Challenge Handshake Authentication Protocol Version 1(Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 1)
• PAP:Password Authentication Protocol(パスワード認証プロトコル)
(注) CHAP または MS-CHAP を使用する場合は、ユーザ名がリモート システム名として参照され、パスワードが CHAP シークレットとして参照されます。
ステップ 3 次のコマンドを入力して、ISP で割り当てられたユーザ名を VPDN グループに関連付けます。
group_name の部分を VPDN グループ名で置き換え、 username の部分を ISP によって割り当てられたユーザ名で置き換えます。
ステップ 4 次のコマンドを入力して、PPPoE 接続用のユーザ名とパスワードのペアを 1 組作成します。
username の部分をユーザ名で置き換え、 password の部分を ISP によって割り当てられたパスワードで置き換えます。
(注) store-local オプションを指定すると、ユーザ名とパスワードが ASA の NVRAM の特別な場所に保存されます。Auto Update Server が clear config コマンドを ASA に送信し、その後に接続が中断された場合、ASA は、ユーザ名とパスワードを NVRAM から読み取り、アクセス コンセントレータに対して再認証できます。
PPPoE のイネーブル化
(注) 「 PPPoE クライアントのユーザ名とパスワードの設定」の説明に従い、PPPoE をイネーブルにする前に、vpdn コマンドを使用してコンフィギュレーションを完了する必要があります。
PPPoE クライアント機能は、デフォルトでオフになっています。PPPoE をイネーブルにするには、次の手順を実行します。
ステップ 1 インターフェイス コンフィギュレーション モードで次のコマンドを入力して、PPPoE クライアントをイネーブルにします。
setroute オプションを指定すると、PPPoE クライアントが接続をまだ確立していない場合に、デフォルト ルートが設定されます。 setroute オプションを使用する場合は、スタティックに定義されたルートをコンフィギュレーションに含めることはできません。
PPPoE では IP アドレスが PPP によって割り当てられるため、PPPoE は DHCP と併用できません。setroute オプションを指定すると、デフォルト ルートが存在しない場合にデフォルト ルートが作成されます。デフォルト ルータは、アクセス コンセントレータのアドレスです。最大伝送単位(MTU)サイズは、自動的に 1492 バイトに設定されます。これは、イーサネット フレーム内で PPPoE 伝送を許可する正しい値です。
DHCP リースをリセットし、新規リースを要求するには、このコマンドを再入力します。
(注) 2 つのインターフェイス(プライマリ インターフェイスとバックアップ インターフェイスなど)で PPPoE がイネーブルになっているときに、デュアル ISP サポートを設定しない場合(一般的な操作のコンフィギュレーション ガイドの「Monitoring a Static or Default Route」)を参照)、ASA では、最初のインターフェイスに限り、IP アドレスを取得するためにトラフィックを送信できます。
ステップ 2 インターフェイス コンフィギュレーション モードで次のコマンドを入力して、使用する PPPoE クライアントの VPDN グループを指定します(オプション)。
(注) 複数の VPDN グループが設定されているときに、pppoe client vpdn group コマンドでグループを指定しないと、ASA は VPDN グループをランダムに選択します。これを避けるには、VPDN グループを指定してください。
固定 IP アドレスによる PPPoE の使用
インターフェイス コンフィギュレーション モードで次の形式の ip address コマンドを使用し、IP アドレスを手動で入力することで、PPPoE をイネーブルにすることもできます。
このコマンドを入力すると、ASA は、PPPoE サーバとネゴシエートしてアドレスをダイナミックに割り当てる代わりに、指定されたアドレスを使用します。 ipaddress と mask の部分を、ASA に割り当てられた IP アドレスとサブネット マスクで置き換えます。
(注) setroute オプションは ip address コマンドのオプションで、PPPoE クライアントがまだ接続を確立していない場合に、アクセス コンセントレータでデフォルト ルートを設定できるようにするために使用できます。setroute オプションを使用する場合は、スタティックに定義されたルートをコンフィギュレーションに含めることはできません。
PPPoE クライアントのモニタリングとデバッグ
次のコマンドを使用して、現在の PPPoE クライアント コンフィギュレーション情報を表示します。
次のコマンドを使用して、PPPoE クライアントでのデバッグをイネーブルまたはディセーブルにします。
次のコマンドを使用して、PPPoE セッションのステータスを表示します。
設定の消去
コンフィギュレーションからすべての vpdn group コマンドを削除するには、グローバル コンフィギュレーション モードで clear configure vpdn group コマンドを使用します。
hostname(config)# clear configure vpdn group
すべての vpdn username コマンドを削除するには、 clear configure vpdn username コマンドを使用します。
hostname(config)# clear configure vpdn username
関連するコマンドの使用
次のコマンドを使用して、PPP/IPCP ネゴシエーションの一環としてアクセス コンセントレータが提供した WINS アドレスと DNS アドレスが DHCP サーバで使用されるようにします。
このコマンドは、サービス プロバイダーが RFC 1877 の規定に従ってこの情報を提供する場合に限り必要になります。 client_ifx_name パラメータを使用して、DHCP auto_config オプションによってサポートされるインターフェイスを指定します。PPPoE クライアントは 1 つの外部インターフェイスだけでサポートされるため、このキーワードはこの時点では不要です。
フィードバック