お世話になります。山口です。

新規にWAN接続を構築する予定で作業をしており、CHAP認証の動作について、

いろいろ調査しても分からない点があるため、ご教示いただければと思います。

特に動作試験の具体的な部分について、どういう確認をすれば良いかも

ご教示いたただければと思います。

現在、下記の環境でWAN接続をするための設定をしようとしております。

【ハード環境】

・Cisco1812J（自分側）・・・WAN側ポートはBRI0を設定

・Cisco2911（相手側）・・・お客様設置場所にあります。

【各ルータへの設定】

・ホスト名

　Cisco1812J（自分側）・・・RT-A

　Cisco2911（相手側） ・・・RT-B

【回線】

・INS64

【認証方式】

・CHAP（双方向）

【動作確認試験内容（予定）】

【正常系】

１．（１）Cisco1812J（自分側）のWAN側ケーブルを抜けたまま（LAN側は接続済み）

　　（２）Cisco2911のWAN側ケーブルは結線してある状態（LAN側も接続済み）

　　（３）お互いのルータで下記コマンドを実施しておく。

　　　　 debug ppp authentication

　　（4）Cisco1812J（自分側）のWAN側ケーブルを結線する（ここで双方向が物理的に接続されている状態になる）

　　（５）（４）でWAN側ケーブル結線後、認証が始まる？のでしょうか？

　　　　ここから認証が始まるのであれば、下記メッセージが各ルータに出力されるかと思っているのですが、

　　　　合ってますでしょうか。例としてですが。。。

　　03:13:20: BRI0 PPP: Treating connection as a dedicated line

　　03:13:20: BRI0 CHAP: O CHALLENGE id 21 len 28 from "RT-A"

　　03:13:20: BRI0 CHAP: I CHALLENGE id 32 len 28 from "RT-B"

　　03:13:20: BRI0 CHAP: O RESPONSE id 32 len 28 from "RT-A"

　　03:13:20: BRI0 CHAP: I RESPONSE id 21 len 28 from "RT-B"

　　03:13:20: BRI0 CHAP: O SUCCESS id 21 len 4   ← 認証成功

　　03:13:20: BRI0 CHAP: I SUCCESS id 32 len 4   ← 認証成功

　　（6）上記メッセージ以外で出力されるものがありますでしょうか。

【異常系】

異常系の試験として、２つのパターンで実施予定

１．Cisco1812J（自分側）のWAN側ケーブルを抜いてみてCHAP認証を失敗させる。

　（１）Cisco1812J（自分側）のWAN側ケーブルは結線してある状態

　（２）Cisco2911のWAN側ケーブルは結線してある状態

　（３）お互いのルータで下記コマンドを実施しておく。

　　　 debug ppp authentication

　（４）Cisco1812J（自分側）のWAN側ケーブルを抜く

　（５）下記メッセージが出力される？ので合ってますでしょうか。

　01:41:17: BRI0 PPP: Treating connection as a dedicated line

　01:41:17: BRI0 CHAP: O CHALLENGE id 83 len 28 from "RT-A"

　01:41:17: BRI0 CHAP: I CHALLENGE id 79 len 28 from "RT-B"

　01:41:17: BRI0 CHAP: O RESPONSE id 79 len 28 from "RT-A"

　01:41:17: BRI0 CHAP: I RESPONSE id 83 len 28 from "RT-B"

　01:41:17: BRI0 CHAP: O FAILURE id 83 len 25 msg is "MD/DES compare failed"   ← 認証失敗

２．Cisco1812J（自分側）のCHAP認証用のパスワードを変更して、CHAP認証を失敗させる。

（１）Cisco1812J（自分側）のWAN側ケーブルは結線してある状態

　　（２）Cisco2911のWAN側ケーブルは結線してある状態

　　（３）お互いのルータで下記コマンドを実施しておく。

　　　　 debug ppp authentication

　　（４）Cisco1812J（自分側）のWAN側ケーブルを抜く

　　（５）下記メッセージが出力される？ので合ってますでしょうか。

　　01:41:17: BRI0 PPP: Treating connection as a dedicated line

　　01:41:17: BRI0 CHAP: O CHALLENGE id 83 len 28 from "RT-A"

　　01:41:17: BRI0 CHAP: I CHALLENGE id 79 len 28 from "RT-B"

　　01:41:17: BRI0 CHAP: O RESPONSE id 79 len 28 from "RT-A"

　　01:41:17: BRI0 CHAP: I RESPONSE id 83 len 28 from "RT-B"

　　01:41:17: BRI0 CHAP: O FAILURE id 83 len 25 msg is "MD/DES compare failed"   ← 認証失敗

【質問】

１．正常系・異常系試験において、CHAP認証を確認するにあたり、debugコマンドを

　実施してそのメッセージにより確認する予定です。

　（１）debugコマンドを実施しておいて、メッセージ出力されるタイミングと

　　　出力されるメッセージが知りたいため、ご教示いただきたいです。

　　　メッセージに監視しては、上記の試験内容の箇所で記載しております。

　　　他にもあるようでしたら、ご教示いただきたいです。

　（２）物理結線がされた状態からCHAP認証が始まるという意識でおりますが、

　　　認識は合ってますでしょうか。

　　　CHAP認証が始まるタイミングが分からないため、ご教示いただきたいです。

　（３）debug ppp authenticationコマンドでCHAP認証のメッセージ確認をする際、

　　　出力されるタイミングは下記のタイミングが多いようですが、合っているので

　　　しょうか。

　　　１．WAN側ポート接続状態で、対象インターフェースを設定をshutdownにする。

　　　２．shutdownからno shutdownでポートを開放する。

　　　３．この状態からCHAP認証失敗時のメッセージを確認する。

　　　※パスワード変更の際も同様に正しい状態から違うものを意図的に設定し、

　　　　戻した後、CHAP認証のエラーを確認する。

　（４）（３）の補足ですが、異常の確認は正常状態に戻さないとdebugの結果メッセージは

　　　出力されないのでしょうか。

上記のとおり、長くなりましたが、ご教示いただけますでしょうか。

実際に設定するのが、いきなりお客様本番環境で設定することになっており、

開発環境などで試すことが出来れば良いのですが、何も実機で確認するが

出来ないため、ご教示いただければと思います。

また、何か不足している情報などございましたら、ご指摘いただければと思います。

ちなみに下記のサイトを参考にしております。

http://jukenki.com/contents/cisco/ccna-lab-scenario/lab4-01.html

以上ですが、よろしくお願いします。