PPPoE クライアントの概要
PPPoE は、イーサネットと PPP という広く受け入れられている 2 つの標準を結合して、IP アドレスをクライアント システムに割り当てる認証方式を提供します。一般的な PPPoE クライアントは、DSL やケーブル サービスなどのリモート ブロードバンド接続によって ISP に接続されているパーソナル コンピュータです。ISP は、既存のリモート アクセス インフラストラクチャを使用して高速ブロードバンド アクセスをサポートするためと、顧客の使い勝手向上のために、PPPoE を配置します。
PPPoE は、イーサネット ネットワーク上で Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)による認証方式を使用するための標準方式です。ISP が使用する場合は、PPPoE で IP アドレスを割り当ててから認証できます。このタイプの実装では、PPPoE クライアントとサーバが、DSL または他のブロードバンド接続上で実行されているレイヤ 2 ブリッジング プロトコルによって相互に接続されます。
PPPoE は、次の 2 つの主要フェーズで構成されています。
• アクティブ ディスカバリ フェーズ:このフェーズでは、PPPoE クライアントが、アクセス コンセントレータと呼ばれる PPPoE サーバの場所を探索します。このフェーズの期間にセッション ID が割り当てられ、PPPoE レイヤが確立されます。
• PPP セッション フェーズ:このフェーズでは、PPP オプションがネゴシエートされ、認証処理が実行されます。リンクのセットアップが完了すると、PPPeE がレイヤ 2 カプセル化方式としての機能を開始し、PPPoE ヘッダーにデータを入れて PPP リンク経由で転送できるようになります。
PPPoE クライアントは、システムの初期化時に一連のパケットを交換して、アクセス コンセントレータとのセッションを確立します。セッションが確立されると PPP リンクがセットアップされます。これには Password Authentication Protocol(PAP; パスワード認証プロトコル)による認証が含まれます。PPP セッションが確立されると、各パケットは PPPoE ヘッダーと PPP ヘッダーでカプセル化されます。
(注) PPPoE は、ASAでフェールオーバーを設定している場合、またはマルチ コンテキスト モードやトランスペアレント モードではサポートされません。PPPoE がサポートされるのは、フェールオーバーを設定していない、シングル モード、ルーテッド モードの場合だけです。
PPPoE クライアントのユーザ名とパスワードの設定
ASAがアクセス コンセントレータにアクセスするときの認証で使用されるユーザ名とパスワードを設定するには、 vpdn コマンドを使用します。 vpdn コマンドを使用するには、まず VPDN グループを定義し、次にグループ内で個々のユーザを作成します。
PPPoE ユーザ名とパスワードを設定するには、次の手順を実行します。
ステップ 1 次のコマンドを使用して、PPPeE で使用される VPDN グループを定義します。
hostname(config)# vpdn group group_name request dialout pppoe
このコマンド例では、 group_name の部分を、「pppoe-sbc」などのわかりやすいグループ名で置き換えます。
ステップ 2 利用する ISP が認証を要求する場合は、次のコマンドを入力して認証プロトコルを選択します。
hostname(config)# vpdn group group_name ppp authentication {chap | mschap | pap}
group_name の部分を、前のステップで定義したグループ名と同じ名前で置き換えます。ISP で使用する認証方式に応じた適切なキーワードを入力します。
• CHAP:Challenge Handshake Authentication Protocol(チャレンジ ハンドシェイク認証プロトコル)
• MS-CHAP:Microsoft Challenge Handshake Authentication Protocol Version 1(Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 1)
• PAP:Password Authentication Protocol(パスワード認証プロトコル)
(注) CHAP または MS-CHAP を使用する場合は、ユーザ名がリモート システム名として参照され、パスワードが CHAP シークレットとして参照されます。
ステップ 3 次のコマンドを入力して、ISP で割り当てられたユーザ名を VPDN グループに関連付けます。
hostname(config)# vpdn group group_name localname username
group_name の部分を VPDN グループ名で置き換え、 username の部分を ISP によって割り当てられたユーザ名で置き換えます。
ステップ 4 次のコマンドを入力して、PPPoE 接続用のユーザ名とパスワードのペアを 1 組作成します。
hostname(config)# vpdn username username password password [store-local]
username の部分をユーザ名で置き換え、 password の部分を ISP によって割り当てられたパスワードで置き換えます。
(注) store-local オプションを指定すると、ユーザ名とパスワードがASAの NVRAM の特別な場所に保存されます。Auto Update Server が clear config コマンドをASAに送信し、その後に接続が中断された場合、ASAは、ユーザ名とパスワードを NVRAM から読み取り、アクセス コンセントレータに対して再認証できます。
PPPoE のイネーブル化
(注) PPPoE クライアントのユーザ名とパスワードの設定の説明に従い、PPPeE をイネーブルにする前に、vpdn コマンドを使用してコンフィギュレーションを完了する必要があります。
PPPoE クライアント機能は、デフォルトでオフになっています。PPPoE をイネーブルにするには、次の手順を実行します。
ステップ 1 インターフェイス コンフィギュレーション モードで次のコマンドを入力して、PPPoE クライアントをイネーブルにします。
hostname(config-if)# ip address pppoe [setroute]
setroute オプションを指定すると、PPPoE クライアントが接続をまだ確立していない場合に、デフォルト ルートが設定されます。 setroute オプションを使用する場合は、スタティックに定義されたルートをコンフィギュレーションに含めることはできません。
PPPoE では IP アドレスが PPP によって割り当てられるため、PPPoE は DHCP と併用できません。setroute オプションを指定すると、デフォルト ルートが存在しない場合にデフォルト ルートが作成されます。デフォルト ルータは、アクセス コンセントレータのアドレスです。最大伝送単位(MTU)サイズは、自動的に 1492 バイトに設定されます。これは、イーサネット フレーム内で PPPoE 伝送を許可する正しい値です。
DHCP リースをリセットし、新規リースを要求するには、このコマンドを再入力します。
(注) 2 つのインターフェイス(プライマリとバックアップのインターフェイスなど)で PPPeE がイネーブルになっているときに、デュアル ISP サポートを設定しない場合(一般的な操作のコンフィギュレーション ガイドのを参照)、ASA では、最初のインターフェイスに限り、IP アドレスを取得するためにトラフィックを送信できます。
たとえば、次のように入力します。
hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ip address pppoe
ステップ 2 インターフェイス コンフィギュレーション モードで次のコマンドを入力して、使用する PPPoE クライアントの VPDN グループを指定します(任意)。
hostname(config-if)# pppoe client vpdn group grpname
grpname は、 VPDN グループの 名前です。
(注) 複数の VPDN グループが設定されているときに、pppoe client vpdn group コマンドでグループを指定しないと、ASAは VPDN グループをランダムに選択します。これを避けるには、VPDN グループを指定してください。
固定 IP アドレスによる PPPoE の使用
インターフェイス コンフィギュレーション モードで次の形式の ip address コマンドを使用し、IP アドレスを手動で入力することで、PPPoE をイネーブルにすることもできます。
hostname(config-if)# ip address ipaddress mask pppoe
このコマンドを入力すると、ASAは、PPPoE サーバとネゴシエートしてアドレスをダイナミックに割り当てる代わりに、指定されたアドレスを使用します。 ipaddress と mask の部分を、ASAに割り当てられた IP アドレスとサブネット マスクで置き換えます。
たとえば、次のように入力します。
hostname(config-if)# ip address outside 201.n.n.n 255.255.255.0 pppoe
(注) setroute オプションは ip address コマンドのオプションで、PPPoE クライアントがまだ接続を確立していない場合に、アクセス コンセントレータでデフォルト ルートを設定できるようにするために使用できます。setroute オプションを使用する場合は、スタティックに定義されたルートをコンフィギュレーションに含めることはできません。
PPPoE クライアントのモニタリングとデバッグ
次のコマンドを使用して、現在の PPPoE クライアント コンフィギュレーション情報を表示します。
hostname# show ip address outside pppoe
次のコマンドを使用して、PPPoE クライアントでのデバッグをイネーブルまたはディセーブルにします。
hostname# [no] debug pppoe {event | error | packet}
次に、各キーワードの機能をまとめます。
• event:プロトコル イベント情報を表示します。
• error:エラー メッセージを表示します。
• packet:パケット情報を表示します。
次のコマンドを使用して、PPPoE セッションのステータスを表示します。
hostname# show vpdn session [l2tp | pppoe] [id sess_id | packets | state | window]
次の例は、このコマンドで提供される情報のサンプルです。
Tunnel id 0, 1 active sessions
time since change 65862 secs
Remote Internet Address 10.0.0.1
Local Internet Address 199.99.99.3
6 packets sent, 6 received, 84 bytes sent, 0 received
Remote Internet Address is 10.0.0.1
Session state is SESSION_UP
Time since event change 65865 secs, interface outside
6 packets sent, 6 received, 84 bytes sent, 0 received
hostname# show vpdn session
PPPoE Session Information (Total tunnels=1 sessions=1)
Remote Internet Address is 10.0.0.1
Session state is SESSION_UP
Time since event change 65887 secs, interface outside
6 packets sent, 6 received, 84 bytes sent, 0 received
hostname# show vpdn tunnel
PPPoE Tunnel Information (Total tunnels=1 sessions=1)
Tunnel id 0, 1 active sessions
time since change 65901 secs
Remote Internet Address 10.0.0.1
Local Internet Address 199.99.99.3
6 packets sent, 6 received, 84 bytes sent, 0 received
設定の消去
コンフィギュレーションからすべての vpdn group コマンドを削除するには、グローバル コンフィギュレーション モードで clear configure vpdn group コマンドを使用します。
hostname(config)#
clear configure vpdn group
すべての vpdn username コマンドを削除するには、 clear configure vpdn username コマンドを使用します。
hostname(config)#
clear configure vpdn username
これらのコマンドのいずれを入力しても、アクティブな PPPoE 接続には影響しません。
関連するコマンドの使用
次のコマンドを使用して、PPP/IPCP ネゴシエーションの一環としてアクセス コンセントレータが提供した WINS アドレスと DNS アドレスが DHCP サーバで使用されるようにします。
hostname(config)# dhcpd auto_config [client_ifx_name]
このコマンドは、サービス プロバイダーが RFC 1877 の規定に従ってこの情報を提供する場合に限り必要になります。 client_ifx_name パラメータを使用して、DHCP auto_config オプションによってサポートされるインターフェイスを指定します。PPPoE クライアントは 1 つの外部インターフェイスだけでサポートされるため、このキーワードはこの時点では不要です。