この記事では IOS Router での PPP Chap 認証の設定を簡単にまとめます。
PPP Chap 認証設定では、認証ユーザー名(hostname) や password の設定可能な箇所が複数あり、混乱しやすいかと思います。
ここではどの設定がどのような意味を持つのかを説明します。
まずは簡単に Chap 認証の流れを確認します。
上図のように R1(クライアント)とR2(認証サーバー)を想定します。
両筐体にはそれぞれ hostname と password の設定が必要となりますが、
認証が成功する為には password1 と password2 が一致する必要があります。
以下ではこの hostname と password が、どのような設定で、どのように認証使用されるかを
幾つかの設定例と共に紹介します。
以下では下記の構成例にて、Dialer interface 上での PPP 認証を例に説明します。
Example: Topology
Sample Config #1 (双方向認証, その1)
| Router1 | Router2 |
hostname Router1
username Router2 password 0 cisco
interface Dialer1
ip address 10.1.1.1 255.255.255.0
encapsulation ppp
ppp authentication chap
|
hostname Router2
username Router1 password 0 cisco
interface Dialer1
ip address 10.1.1.2 255.255.255.0
encapsulation ppp
ppp authentication chap
|
上記設定は、ベーシックな双方向認証の例となります。
上記設定のみで Router1-Router2間のPPP認証は成功します。
青文字が使用される設定となり、hostname/password はそれぞれ以下のように使用されます。
| Router1 | Router2 | |
| hostname | Router1 | Router2 |
| password | cisco | cisco |
Sample Config #2 (双方向認証, その2)
| Router1 | Router2 |
hostname Router1 username Router2 password 0 cisco username R2 password 0 cisco interface Dialer1 ip address 10.1.1.1 255.255.255.0 encapsulation ppp ppp authentication chap ppp chap hostname R1 ppp chap password 0 cisco2 |
hostname Router2 username Router1 password 0 cisco username R1 password 0 cisco interface Dialer1 ip address 10.1.1.2 255.255.255.0 encapsulation ppp ppp authentication chap ppp chap hostname R2 ppp chap password 0 cisco3 |
上記設定では、Sample Config #1 の設定に加え、Interface Dialer 配下に ppp chap hostname コマンドと ppp chap password を併用しています。
青文字が使用される設定となり、hostname/password はそれぞれ以下のように使用されます。
| Router1 | Router2 | |
| hostname | R1 | R2 |
| password | cisco | cisco |
password はまず username ... password ... コマンドから確認が行われます。
このため、ppp chap password コマンドの password が一致していなくても、認証は成功します。
Sample Config #3(単方向認証)
| Router1(クライアント) | Router2(認証サーバー) |
hostname Router1 username R2 password 0 cisco interface Dialer1 ip address 10.1.1.1 255.255.255.0 encapsulation ppp ppp authentication chap callin ppp chap password 0 cisco1 |
hostname Router2
username Router1 password 0 cisco1
interface Dialer1
ip address 10.1.1.2 255.255.255.0
encapsulation ppp
ppp authentication chap
|
ここでは単方向認証の例を紹介します。
これは通常、クライアント-認証サーバーのように、クライアント側が相手を認証する必要がないような場合に使用される設定となります。
R1 では password の選定にまず username … password … コマンドが確認されますが、
該当するものがない場合は interface の ppp chap password が使用されます。
青文字が使用される設定となり、hostname/password はそれぞれ以下のように使用されます。
| Router1 | Router2 | |
| hostname | Router1 | Router2 |
| password | cisco1 | cisco1 |
Command Summary
最後に登場したコマンドについてまとめます。
| コマンド | 設定場所 | 用途 |
| (config) hostname ... | クライアント 認証サーバー | 対向へ送る default のhostname として使用 |
| (config) username ... password ... | クライアント 認証サーバー | hostname を最初に照合するのに使用 hostname と password の照合に使用 |
| (config-if) ppp chap hostname ... | クライアント 認証サーバー | hostname として使用、hostname コマンドより優先される |
| (config-if) ppp chap password ... | クライアント | クライアントが使用する Chap の password |
* 認証サーバーには username ... password ... コマンドが必要になります。(local認証の場合)
* ppp chap password コマンドは Chap Response を受信した際の password として使用されます。
最後に
うまく認証設定が成功しない場合は debug コマンドで詳細を確認する必要があります。
debug ppp negotiation や debug ppp authentication 等を使用して解析してみてください。
これら動作の詳細については以下ドキュメントも参考にしてください。
コマンド詳細等の説明に差異がある場合は Cisco.com の内容を優先します。
PPP CHAP 認証の説明と設定
http://www.cisco.com/cisco/web/support/JP/100/1007/1007872_understanding_ppp_chap-j.html
ppp chap hostname コマンドおよび ppp authentication chap callin コマンドを使用する PPP 認証
http://www.cisco.com/cisco/web/support/JP/100/1008/1008349_ppp_callin_hostname-j.html
debug ppp negotiation の出力について
http://www.cisco.com/cisco/web/support/JP/100/1007/1007973_debug_ppp_negotiation-j.html
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
