test

Solaris のシステム管理 (ネットワークサービス)

第 16 章 PPP リンクの計画 (手順)

PPP リンクの設定には、作業計画や PPP と無関係な作業など、さまざまな個別の作業が含まれています。この章では、もっとも一般的な PPP リンク、認証、および PPPoE を計画する方法について説明します。

第 16 章PPP リンクの計画 (手順)に続く各章では、特定リンクの設定方法について構成例を使って説明します。これらの構成例はこの章で紹介します。

ここでは、次の内容を説明します。

全体的な PPP 計画 (作業マップ)

PPP では、実際にリンクを設定する前に作業計画を立てる必要があります。さらに、PPPoE トンネルを使用する場合は、まず PPP リンクを設定し、それからトンネルを提供する必要があります。次の作業マップは、この章で説明する大規模な作業計画を示しています。構成するリンクタイプによっては、一般的な作業だけで十分な場合があります。また、リンク、認証、および PPPoE の各作業が必要になる場合もあります。

表 16–1 PPP 計画 (作業マップ)

作業 

説明 

参照先 

ダイアルアップ PPP リンクを計画します 

ダイアルアウトマシンまたはダイアルインサーバーの設定に必要な情報を収集します 

「ダイアルアップ PPP リンクの計画」

専用回線リンクを計画します 

専用回線にクライアントを設定するための必要情報を収集します 

「専用回線リンクの計画」

PPP リンクの認証を計画します 

PPP リンクに PAP 認証または CHAP 認証を構成するための必要情報を収集します 

「リンクへの認証計画」

PPPoE トンネルを計画します 

PPP リンクが実行できる PPPoE トンネルを設定するための必要情報を収集します 

「PPPoE トンネルを介した DSL サポートの計画」

ダイアルアップ PPP リンクの計画

ダイアルアップリンクはもっともよく使用される PPP リンクです。この節では、次の内容について説明します。

通常は、マシンをダイアルアップ PPP リンク、ダイアルアウトマシン、またはダイアルインサーバーの一方の端に構成するだけです。ダイアルアップ PPP の概要については、「ダイアルアップ PPP の概要」を参照してください。

ダイアルアウトマシンを設定する前に

ダイアルアウトマシンを構成する前に、次の表に示されている情報を収集します。

注 –

この節の計画情報には、認証や PPPoE について収集する情報は含まれていません。認証計画については、「リンクへの認証計画」を参照してください。PPPoE 計画については、「PPPoE トンネルを介した DSL サポートの計画」を参照してください。

表 16–2 ダイアルアウトマシンの情報

情報 

動作 

最大モデム速度 

モデムの製造元が提供するマニュアルを参照します。 

モデム接続コマンド (AT コマンド) 

モデムの製造元が提供するマニュアルを参照します。 

リンクの一方の端で使用するダイアルインサーバーの名前 

ダイアルインサーバーの識別が簡単な名前を作成します。 

ダイアルインサーバーで必要なログインシーケンス 

ダイアルインサーバーの管理者に問い合わせるか、ダイアルインサーバーが ISP 側に存在すれば、ISP のマニュアルを参照します。 

ダイアルインサーバーを設定する前に

ダイアルインサーバーを構成する前に、次の表に示されている情報を収集します。

注 –

この節の計画情報には、認証や PPPoE について収集する情報は含まれていません。認証計画については、「リンクへの認証計画」を参照してください。PPPoE 計画については、「PPPoE トンネルを介した DSL サポートの計画」を参照してください。

表 16–3 ダイアルインサーバーの情報

情報 

動作 

最大モデム速度 

モデムの製造元が提供するマニュアルを参照します。 

ダイアルインサーバーの呼び出しが許可されている人のユーザー名 

「ダイアルインサーバーのユーザーを構成する方法」で説明するようなホームディレクトリを設定する前に、予想されるユーザーの名前を入手します。

PPP 通信の専用 IP アドレス 

会社での IP アドレスの委譲に責任を持つ担当者からアドレスを入手します。  

ダイアルアップ PPP の構成例

第 17 章ダイアルアップ PPP リンクの設定 (手順)で紹介する作業では、従業員に週に 2、3 日在宅勤務させるための小企業の要件を実行します。一部の従業員は、ホームマシンに Solaris OS が必要になります。また、社内イントラネット上にある作業マシンにリモートログインすることも必要になります。

作業では、次のような基本的なダイアルアップリンクを設定します。

次の図は、第 17 章ダイアルアップ PPP リンクの設定 (手順)で設定されているリンクを示します。

図 16–1 ダイアルアップリンクの例

この図は、ダイアルアップ作業で使用されるリンク例を示しています。このリンク例については次に説明します。

この図では、リモートホストが電話回線上のモデルを介して Big Company 社のイントラネットにダイアルアウトしています。もう 1 台のホストが Big Company 社にダイアルアウトするように構成されていますが、現在アクティブではありません。Big Company 社のダイアルインサーバーに接続されているモデムが、リモートユーザーからの呼び出しに順に応答しています。PPP 接続はピア間で確立しています。ダイアルアウトマシンは、イントラネット上のホストマシンにリモートログインできます。

ダイアルアップ PPP の詳細情報

次を参照してください。

専用回線リンクの計画

専用回線リンクの設定では、プロバイダからリースしているスイッチ型または非スイッチ型サービスの一方の端にピアを構成する必要があります。

この節では、次の内容について説明します。

専用回線リンクの概要については、「専用回線 PPP の概要」を参照してください。専用回線の設定作業については、第 18 章専用回線 PPP リンクの設定 (手順)を参照してください。

専用回線リンクを設定する前に

会社がネットワークプロバイダから専用回線リンクをレンタルしている場合は、リンクの自分側の端だけにシステムを構成します。リンクのもう一方の端にあるピアは、別の管理者が維持しています。この管理者は、会社から離れた場所にいるシステム管理者か、ISP 側のシステム管理者のどちらかです。

専用回線リンクに必要なハードウェア

リンク媒体の他に、リンクの端には次のハードウェアが必要です。

一部のネットワークプロバイダでは、顧客宅内機器 (CPE) として、ルーター、同期インタフェース、および CSU/DSU が必要です。ただし、必要な機器は、プロバイダや国別の政府規制によって変わります。ネットワークプロバイダでは、必要な装置で専用回線と共に提供されないものは、それに関する情報を提供しています。

専用回線のために収集する情報

ローカルピアを構成する前に、次の表に示されている項目を調べておく必要があります。

表 16–4 専用回線リンクの計画

情報 

動作 

インタフェースのデバイス名 

インタフェースカードのマニュアルを参照します。 

同期インタフェースカードの構成手順 

インタフェースカードのマニュアルを参照します。この情報は、HSI/S インタフェースを構成する場合に必要です。ほかのタイプのインタフェースカードでは、構成する必要がない場合があります。 

(任意) リモートピアの IP アドレス 

サービスプロバイダのマニュアルを参照するか、リモートピアのシステム管理者に問い合わせます。この情報は、2 つのピア間で IP アドレスがネゴシエートされない場合にだけ必要です。 

(任意) リモートピアの名前 

サービスプロバイダのマニュアルを参照するか、リモートピアのシステム管理者に問い合わせます。  

(任意) リンクの速度 

サービスプロバイダのマニュアルを参照するか、リモートピアのシステム管理者に問い合わせます。  

(任意) リモートピアで使用する圧縮 

サービスプロバイダのマニュアルを参照するか、リモートピアのシステム管理者に問い合わせます。  

専用回線リンクの構成例

第 18 章専用回線 PPP リンクの設定 (手順)の作業は、中規模会社 (LocalCorp 社) で従業員がインターネットにアクセスできるように、専用回線リンクの構成を実装する方法を示しています。現在、従業員のコンピュータは、会社の私設イントラネットに接続されています。

LocalCorp 社では、高速なトランザクションとイントラネット上の多くの資源に迅速にアクセスすることが必要となっています。LocalCorp 社は、サービスプロバイダの Far ISP 社との間に専用回線を設定する契約を結びます。これにより、LocalCorp 社は電話会社の Phone East 社から T1 回線をリースします。Phone East 社は LocalCorp 社と Far ISP 社との間に専用回線を設置します。その後 Phone East 社は LocalCorp 社に構成済みの CSU/DSU を提供します。

作業では、次のような専用回線リンクを設定します。

図 16–2 専用回線の構成例

この図は、専用回線の作業で使用されるリンクの例を示しています。このリンク例については次に説明します。

この図では、LocalCorp 社側の PPP にルーターが設定されています。ルーターは、hme0 インタフェースを介して社内イントラネットに接続されています。さらにマシンは、HSI/P インタフェース (hihp1) を介して CSU/DSU デジタル装置に接続されています。CSU/DSU は設置された専用回線に接続しています。LocalCorp 社の管理者が HSI/P インタフェースと PPP ファイルの構成を終了したあとで、/etc/init.d/pppd と入力すると、LocalCorp 社と Far ISP 社間でリンクが開始されます。

専用回線の詳細情報

次を参照してください。

リンクへの認証計画

この節では、PPP リンク上で認証を行うための計画情報を提供します。第 19 章PPP 認証の設定 (手順)は、自分のサイトで PPP 認証を実装するための作業を示しています。

PPP には、PAP と CHAP の 2 種類の認証があります。PAP の詳細は、「パスワード認証プロトコル (PAP)」を参照してください。CHAP の詳細は、「チャレンジハンドシェーク認証プロトコル (CHAP)」を参照してください。

認証をリンクに設定する前に、自分のサイトのセキュリティーポリシーに最適な認証プロトコルを選択する必要があります。認証プロトコルの選択が終了したら、ダイアルインマシンまたは呼び出し側のダイアルアウトマシンあるいは両方のマシンに秘密ファイルと PPP 構成ファイルを設定します。自分のサイトに最適な認証プロトコルを選択するには、「PPP 認証を使用する理由」を参照してください。

この節では、次の内容について説明します。

認証の設定作業については、第 19 章PPP 認証の設定 (手順)を参照してください。

PPP 認証を設定する前に

自分のサイトで認証を設定することを、全体的な PPP 計画の必須部分として組み込む必要があります。認証を実装する前に、ハードウェアの組み立てや、ソフトウェアの構成、リンクの動作確認を行なってください。

表 16–5 認証構成の前提条件

情報 

参照先 

ダイアルアップリンクの構成作業 

第 17 章ダイアルアップ PPP リンクの設定 (手順)

リンクのテスト作業 

第 21 章一般的な PPP 問題の解決 (手順)

サイトのセキュリティー要件 

会社のセキュリティーポリシー。ポリシーを設定していなければ、PPP 認証の設定を機にセキュリティーポリシーを設定します。 

自分のサイトに PAP または CHAP を選択する場合のヒント 

「PPP 認証を使用する理由」。これらのプロトコルについては、「接続時の呼び出し元の認証」を参照してください。

PPP の認証構成例

この節では、第 19 章PPP 認証の設定 (手順)の手順で使用されている認証事例について説明します。

PAP 認証による構成例

「PAP 認証の設定」での作業は、PPP リンク上で PAP 認証を設定する方法を示しています。手順では、「ダイアルアップ PPP の構成例」で紹介した架空の Big Company 社の PAP 事例を使用します。

Big Company 社では、自社のユーザーが自宅で仕事できるようにしたいと考えています。システム管理者は、ダイアルインサーバーに接続するシリアル回線にセキュリティー対策をしたいと考えています。NIS パスワードデータベースを使用する UNIX スタイルのログインは、これまで Big Company 社のネットワークで問題なく機能を果たしてきました。システム管理者は、PPP リンクを介してネットワークに進入してくる呼び出しに UNIX スタイルの認証機構を設定したいと考えています。その結果、システム管理者は PAP 認証を使用する次のシナリオを実装します。

図 16–3 PAP 認証のシナリオ (自宅で仕事する) の例

この図は、PAP 認証のシナリオ例を示しています。このリンクについては次で詳しく説明します。

システム管理者は専用のダイアルイン DMZ を作成します。これは、ルーターによって会社のネットワークの後方部と分離されています。DMZ という用語は、軍事用語の「非武装地帯」に由来しています。DMZ はセキュリティー目的のために分離されたネットワークです。通常、DMZ には、Web サーバー、匿名 (anonymous) ftp サーバー、データベース、モデムサーバーなど、会社が一般に公開する資源が含まれています。ネットワーク設計者は通常、DMZ をファイアウォールと会社のインターネット接続の中間に設置します。

図 16–3 に示すように、DMZ に存在するのは、ダイアルインサーバーの myserver とルーターだけです。ダイアルインサーバーはリンクの設定時に、呼び出し側に PAP 資格 (ユーザー名とパスワードを含む) の提出を要求します。さらに、ダイアルインサーバーは PAP の login オプションも使用します。したがって、呼び出し側の PAP のユーザー名とパスワードは、ダイアルインサーバーのパスワードデータベースにある UNIX のユーザー名とパスワードに正確に一致する必要があります。

PPP リンクが設定されたら、呼び出し側のパケットはルーターに転送されます。ルーターはパケットを会社のネットワーク上かインターネット上の宛先に転送します。

CHAP 認証による構成例

「CHAP 認証の設定」での作業は、CHAP 認証の設定方法を示しています。手順では、「専用回線リンクの構成例」で紹介した架空の LocalCorp 社の CHAP 事例を使用します。

LocalCorp 社は、ISP の専用回線を介してインターネットに接続できます。LocalCorp 社のテクニカルサポート部では、大量のネットワークトラフィックが発生するので、独立した私設ネットワークが必要になっています。部署のフィールドエンジニアは、問題解決のための情報を入手するために遠隔地からテクニカルサポートのネットワークに頻繁にアクセスする必要があります。私設ネットワークのデータベース内の機密情報を保護するには、リモートでの呼び出し側にログインの許可を与えるために、それらを認証する必要があります。

したがって、システム管理者は、ダイアルアップ PPP 構成に次の CHAP 認証シナリオを実装します。

図 16–4 CHAP 認証シナリオ (私設ネットワークを呼び出す) の例

この図は、CHAP 認証のシナリオ例を示しています。この例については前後の文中で詳しく説明しています。

テクニカルサポート部のネットワークから外部世界にリンクするのは、リンクのダイアルインサーバー側の端に接続しているシリアル回線だけです。システム管理者は、各フィールドサービスエンジニアが所持する PPP 用ラップトップコンピュータを CHAP シークレットなどを組み込んだ CHAP セキュリティーで構成します。ダイアルインサーバー上の CHAP シークレットデータベースには、テクニカルサポート内のネットワークに対する呼び出しが許されているすべてのマシンの CHAP 資格が含まれています。

認証の詳細情報

次を参照してください。

PPPoE トンネルを介した DSL サポートの計画

一部の DSL プロバイダは、プロバイダの DSL 回線と高速のデジタルネットワーク上で PPP を実行するために、ユーザーのサイトに PPPoE トンネルを設定するように要求しています。PPPoE の概要については、「PPPoE による DSL ユーザーのサポート」を参照してください。

PPPoE トンネルには、3 つの関係者が存在しています。 消費者、電話会社、および ISP です。PPPoE は、消費者 (会社の PPPoE クライアントや自宅の消費者など) 向けか ISP 側のサーバー上のどちらかに構成します。

この節では、クライアントとアクセスサーバーの両方で PPPoE を実行するための計画情報について説明します。次の項目について説明します。

PPPoE トンネルの設定作業については、第 20 章PPPoE トンネルの設定 (手順)を参照してください。

PPPoE トンネルを設定する前に

構成前の作業は、トンネルをクライアント側に構成するかサーバー側に構成するかによって異なります。どちらの場合も、電話会社と契約を結ぶ必要があります。電話会社では、クライアントには DSL 回線を提供し、アクセスサーバーにはある形式のブリッジと ATM パイプを提供します。ほとんどの契約では、電話会社はユーザーのサイトに機器を設置します。

PPPoE クライアントを構成する前に

PPPoE クライアントの実装は、通常、次の機器から構成されます。

多くの異なる DSL 構成が可能です。DSL 構成は、ユーザーや会社のニーズ、プロバイダが提供するサービスによって異なります。

表 16–6 PPPoE クライアントの計画

情報 

動作 

個人や自分自身のために自宅の PPPoE クライアントを設定する場合に、PPPoE の領域外の設定情報を入手します。 

設定の手続きが必要なら、電話会社や ISP に問い合わせます。 

会社のサイトに PPPoE クライアントを設定する場合に、PPPoE クライアントシステムが割り当てられているユーザーの名前を収集します。PPPoE リモートクライアントを構成する場合は、DSL 機器を自宅に設置するための情報をユーザーに提供する必要があります。 

認可されたユーザーのリストを会社の管理者に問い合わせます。 

PPPoE クライアント上で使用できるインタフェースを探します。 

各マシン上で ifconfig -a コマンドを実行し、インタフェース名を探します。

(任意) PPPoE クライアントのパスワードを入手します。 

ユーザーに、希望のパスワードを問い合わせます。または、ユーザーにパスワードを割り当てます。このパスワードは UNIX のログイン用ではなく、リンクの認証用に使用します。 

PPPoE サーバーを構成する前に

PPPoE アクセスサーバーの計画は、データサービスネットワークへの接続を提供する電話会社と共同で行います。電話会社はユーザーのサイトに回線 (通常は ATM パイプ) を設置し、ユーザーのアクセスサーバーに、ある形式のブリッジを提供します。会社が提供するサービスにアクセスする Ethernet インタフェースを構成する必要があります。たとえば、インターネットにアクセスするためのインタフェースのほか、電話会社のブリッジが提供する Ethernet インタフェースも構成します。

表 16–7 PPPoE アクセスサーバーの計画

情報 

動作 

データサービスネットワークの回線に使用するインタフェース 

ifconfig -a コマンドを実行して、インタフェースを特定します。

PPPoE サーバーが提供するサービスの種類 

管理者やネットワーク計画者に要件やヒントを問い合わせます。 

(任意) 消費者に提供するサービスの種類 

管理者やネットワーク計画者に要件やヒントを問い合わせます。 

(任意) リモートクライアントのホスト名とパスワード 

ネットワーク計画者や契約交渉の担当者に問い合わせます。ホスト名とパスワードは UNIX のログインではなく、PAP 認証や CHAP 認証に使用します。 

PPPoE トンネルの構成例

この節では、第 20 章PPPoE トンネルの設定 (手順)で説明する作業の例として、PPPoE トンネルの例を示します。図では、トンネル内のすべてのパーティシパントを示していますが、ユーザーはクライアント側かサーバー側のどちらかの端を管理するだけです。

図 16–5 PPPoE トンネルの例

この図は、PPPoE トンネルの例を示しています。このリンクについては次で詳しく説明します。

この例では、MiddleCo 社は従業員に高速なインターネットアクセスを提供することを望んでいます。MiddleCo 社は Phone East 社から DSL パッケージを購入し、Phone East 社はサービスプロバイダの Far ISP 社と契約を結びます。Far ISP 社は、Phone East 社から DSL を購入する顧客にインターネットサービスや IP サービスを提供します。

PPPoE クライアントの構成例

MiddleCo 社は、サイトに DSL の 1 回線を提供する Phone East 社からパッケージを購入します。パッケージには、MiddleCo 社の PPPoE クライアント用に認証された ISP への専用接続が含まれています。システム管理者は予想される PPPoE クライアントをハブに配線します。Phone East 社の技術者はハブを DSL 機器に配線します。

PPPoE サーバーの構成例

FarISP 社では、Phone East 社との契約を履行するために、同社のシステム管理者がアクセスサーバー (dslserve) を構成します。このサーバーには、次の 4 つのインタフェースがあります。

PPPoE の詳細情報

次を参照してください。