Solaris のシステム管理 (ネットワークサービス)

パート V シリアルネットワーキング (トピック)

シリアルネットワーキングについてのこのパートでは、PPP と UUCP の概要、作業、リファレンス情報について説明します。

第 15 章 Solaris PPP 4.0 (概要)

このパートでは、シリアルネットワーキングのトピックについて説明します。シリアルネットワーキングとは、RS-232 ポートや V.35 ポートのようなシリアルインタフェースを使用して、データ転送のために 2 つ以上のコンピュータを接続することをいいます。Ethernet などの LAN インタフェースとは異なり、これらのシリアルインタフェースは、距離の離れたシステムを接続するために使用します。PPP (ポイントツーポイントプロトコル) および UUCP (UNIX 間コピープログラム) は、シリアルネットワークを実装するために使用できる個別の技術です。シリアルインタフェースをネットワーク用に構成すると、複数のユーザーが、Ethernet などのほかのネットワークインタフェースとほぼ同様に使用できるようになります。

この章では、Solaris PPP 4.0 について紹介します。PPP のこのバージョンでは、PPP を使用することで、物理的に離れた場所にある 2 つのコンピュータがさまざまな媒体を介して互いに通信することができます。Solaris 9 リリースより、Solaris PPP 4.0 は基本インストールの一部に組み込まれています。

この章では、次の内容について説明します。

Solaris PPP 4.0 の基本

Solaris PPP 4.0 は、TCP/IP プロトコル群に含まれるデータリンクプロトコルとしてポイントツーポイントプロトコル (PPP) を実装しています。PPP は、2 つの端点にあるマシン間でデータを電話回線などの通信媒体を介して転送する方法について記述しています。

PPP は、1990 年代の初期から、通信リンクを介してデータグラムを送信するために幅広く使用されてきたインターネット標準です。PPP 標準は、Internet Engineering Task Force (IETF) のポイントツーポイントワーキンググループによって RFC 1661 に定義されています。PPP は一般に、リモートコンピュータがインターネットサービスプロバイダ (ISP) を呼び出したり、着呼を受信するように構成されている企業サーバーを呼び出したりするときに使用されます。

Solaris PPP 4.0 は、広く普及している Australian National University (ANU) PPP–2.4 に基づいて PPP 標準を実装しています。PPP リンクは非同期と同期の両方をサポートしています。

Solaris PPP 4.0 の互換性

さまざまなバージョンの PPP 標準がインターネットコミュニティーで広く使用されています。ANU PPP-2.4 は、Linux、Tru64 UNIX、および次の BSD 系統の主要 OS で採用されています。

FreeBSD
OpenBSD
NetBSD

Solaris PPP 4.0 は、Solaris オペレーティングシステムで実行されているマシンに ANU PPP-2.4 の高度な構成機能を提供します。Solaris PPP 4.0 が実行されているマシンでは、PPP 標準が実行されているマシンに PPP リンクを簡単に設定できます。

ANU ベースの PPP 以外で Solaris PPP 4.0 と正常に相互運用できるものは、次のとおりです。

Solaris 2.4 から Solaris 8 までで稼働する Solaris PPP (別名 asppp)
Solstice PPP 3.0.1
Microsoft Windows 98 DUN
Cisco IOS 12.0 (同期)

使用する Solaris PPP のバージョン

Solaris 9 より、Solaris PPP 4.0 がサポート対象の PPP となりました。Solaris 9 および Solaris 10 には、以前の非同期 Solaris PPP (asppp) ソフトウェアは組み込まれていません。詳細は、次を参照してください。

第 23 章非同期 Solaris PPP から Solaris PPP 4.0 への移行 (手順)
Solaris 8 System Administrator Collection (http://docs.sun.com)

Solaris PPP 4.0 を使用する理由

現在 asppp を使用しているユーザーには、Solaris PPP 4.0 への移行をお薦めします。2 つの Solaris PPP 間の技術的な相違点は次のとおりです。

転送モード

asppp は非同期通信だけに対応します。Solaris PPP 4.0 は非同期通信と同期通信の両方に対応します。
構成プロセス

asppp の設定には、asppp.cf 構成ファイル、3 つの UUCP ファイル、および ifconfig コマンドが必要です。さらに、マシンにログインするユーザーのために、あらかじめインタフェースを構成しておく必要があります。

Solaris PPP 4.0 の設定では、PPP 構成ファイルのオプションを定義するか、オプションを指定して pppd コマンドを発行します。また、構成ファイルとコマンド行の両方の方法を組み合わせて使用することもできます。Solaris PPP はインタフェースを動的に作成して削除します。各ユーザーのために PPP インタフェースを構成する必要はありません。
asppp が提供しない Solaris PPP 4.0 の機能
- MS-CHAPv1 および MS-CHAPv2 認証
- ADSL ブリッジをサポートする PPP over Ethernet (PPPoE)
- PAM 認証
- プラグインモジュール群
- IPv6 アドレス指定
- Deflate 圧縮または BSD 圧縮を使用するデータ圧縮
- Microsoft のクライアント側のコールバックのサポート

Solaris PPP 4.0 のアップグレードパス

既存の asppp 構成を Solaris PPP 4.0 に変換する場合は、このリリースが提供する変換スクリプトを使用できます。詳細は、「asppp から Solaris PPP 4.0 に変換する方法」を参照してください。

PPP の詳細情報

PPP に関する多くの情報は印刷物やオンラインで入手可能です。参考資料のいくつかを以降で示します。

PPP に関する専門技術者向けのリファレンスブック

ANU PPP など、幅広く使用されている PPP については、次の図書を参照してください。

Carlson, James 著、『PPP Design, Implementation, and Debugging』第 2 版、Addison-Wesley、2000
Sun, Andrew 著、『Using and Managing PPP』、O'Reilly & Associates、1999

PPP に関する Web サイト

PPP の一般的な情報については、次の Web サイトを参照してください。

技術情報、FAQ、Solaris システム管理、および前バージョンの PPP については、Sun Microsystems のシステム管理者の資源 (http://www.sun.com/bigadmin/home/index.html ) を参照してください。
さまざまな PPP のモデム構成とアドバイスについては、Stokely Consulting が提供する Web Project Management & Software Development の Web サイト (http://www.stokely.com/unix.serial.port.resources/ppp.slip.html) を参照してください。

PPP に関する RFC (Requests for Comments)

PPP に関する有用な Internet RFC は次のとおりです。

RFC 1661 と RFC 1662。PPP の主な機能を解説しています
RFC 1334。パスワード認証プロトコル (PAP) とチャレンジハンドシェーク認証プロトコル (CHAP) などの認証プロトコルを解説しています
RFC 1332。PPP over Ethernet (PPPoE) を解説しています

PPP RFC のコピーを入手するには、IETF RFC の Web ページ (http://www.ietf.org/rfc.html) で RFC の番号を指定してください。

PPP に関するマニュアルページ

Solaris PPP 4.0 の実装については、次のマニュアルページを参照してください。

また、pppdump(1M) のマニュアルページも参照してください。PPP のマニュアルページについては、man コマンドを使用してください。

PPP 構成と用語

この節では、PPP 構成について説明します。また、このマニュアルで使用する用語についても説明します。

Solaris PPP 4.0 は次の構成をサポートします。

スイッチ型のアクセス構成 (ダイアルアップ)
固定型の構成 (専用回線)

図 15–1 PPP リンクの構成要素

この図は、基本的な PPP リンクの構成要素を示しています。このリンクについては次で詳しく説明します。

上図は、基本的な PPP リンクを示しています。リンクの構成要素は、次のようになります。

2 つのマシン。通常、ピアと呼ばれ、物理的に互いに離れた場所に配置されています。ピアは、サイトの要件によってパーソナルコンピュータ、エンジニアリングワークステーション、大規模サーバー、商用ルーターなどが考えられます。
各ピアに対するシリアルインタフェース。Solaris マシンのインタフェースは、構成する PPP が非同期か同期かによって、cua、hihp などが考えられます。
シリアルケーブル、モデム接続などの物理リンク、またはネットワークプロバイダが提供する T1 回線や T3 回線などの専用回線。

ダイアルアップ PPP の概要

もっともよく使用される PPP 構成は、ダイアルアップリンクです。ダイアルアップリンクでは、ローカルピアがリモートピアをダイアルアップして接続を確立し、PPP を実行します。ダイアルアッププロセスでは、ローカルピアがリモートピアの電話番号を呼び出してリンクを開始します。

一般的なダイアルアップの使用例では、ユーザーの自宅にあるコンピュータが、着呼を受信するように構成されている ISP 側のピアを呼び出します。別のダイアルアップの使用例では、企業サイトでローカルマシンが PPP リンクを使用して、別の建物内にあるピアにデータを転送します。

このマニュアルでは、ダイアルアップ接続を開始するローカルピアは、ダイアルアウトマシンと呼びます。着呼を受信するピアは、ダイアルインサーバーと呼びます。このマシンは実際にはダイアルアウトマシンがターゲットにするマシンに過ぎず、真の意味でのサーバーではない場合もあります。

PPP はクライアントサーバープロトコルではありません。PPP のドキュメントの中には、通話の確立に言及する場合に「クライアント」や「サーバー」という用語を使っているものもあります。ダイアルインサーバーは、ファイルサーバーやネームサーバーのような真の意味でのサーバーではありません。ダイアルインサーバーという用語は、ダイアルインマシンが複数のダイアルアウトマシンにネットワークでのアクセス可能性を「提供」していることから、PPP 用語として幅広く使用されています。それでもダイアルインサーバーは、現実には、ダイアルアウトマシンのターゲットピアにすぎません。

ダイアルアップ PPP リンクの構成要素

次の図を参照してください。

図 15–2 基本的なアナログダイアルアップ PPP リンク

この図は、場所 1 と場所 2 との基本的なダイアルアップリンクを示しています。このリンクについては次で詳しく説明します。

リンクのダイアルアウト側 (場所 1) の構成は、次の要素から成ります。

ダイアルアウトマシン。一般に、個々の家庭のパーソナルコンピュータやワークステーション。
ダイアルアウトマシン上のシリアルインタフェース。 /dev/cua/a または/dev/cua/b は、Solaris ソフトウェアが実行されているマシン上で発呼に使用する標準のシリアルインタフェースです。
電話のジャックに接続される非同期モデムまたは ISDN 端末アダプタ (TA)。
電話会社の電話回線やサービス。

リンクのダイアルイン側 (場所 2) の構成は、次の要素から成ります。

電話ネットワークに接続される電話のジャックまたは類似のコネクタ
非同期モデムまたは ISDN TA
ダイアルインサーバー上のシリアルインタフェース。ttya または ttyb は、ダイアルインサーバー上で着呼に使用するシリアルインタフェースです
ダイアルインサーバー。企業のイントラネットなどのネットワークや ISP のインスタンス内からグローバルインターネットに接続されます

ダイアルアウトマシンで ISDN 端末アダプタを使用する

外付けの ISDN TA はモデムよりも高速ですが、両者の構成方法は基本的に同じです。両者の主な相違は chat スクリプト間の構成にあります。ISDN TA の場合、chat スクリプトの記述では、TA の製造元に固有のコマンドが必要になります。ISDN TA 用の chat スクリプトについては、「外部 ISDN TA 用 chat スクリプト」を参照してください。

ダイアルアップ通信中の動作

ダイアルアウトとダイアルインの両方のピアにある PPP 構成ファイルには、リンクを設定するための命令群が含まれています。ダイアルアップリンクが開始されると、次のプロセスが発生します。

ダイアルアウトマシン上のユーザーまたはプロセスは、pppd コマンドを実行してリンクを開始します。
ダイアルアウトマシンは PPP 構成ファイルを読み取ります。次に、シリアル回線を介して、ダイアルインサーバーの電話番号などの命令群をモデムに送信します。
モデムは電話番号をダイアルして、ダイアルインサーバー側のモデムと電話接続を確立します。

ダイアルアウトマシンが、モデムとダイアルインサーバーに送信する一連のテキスト文字列は、chat スクリプトと呼ばれるファイルに格納されています。ダイアルアウトマシンは、必要に応じて、ダイアルインサーバーにコマンドを送信し、サーバー側の PPP を呼び出します。
ダイアルインサーバーに接続されているモデムは、ダイアルアウトマシン側のモデムとリンクのネゴシエーションを開始します。
モデム同士のネゴシエーションが完了すると、ダイアルアウトマシン側のモデムは「CONNECT」を通知します。
両方のピア側の PPP は確立フェーズに入ります。このフェーズでは、リンク制御プロトコル (LCP) が基本的なリンクパラメータと認証の使用をネゴシエートします。
ピアは、必要に応じて、互いを認証します。
PPP のネットワーク制御プロトコル (NCP) は、IPv4 や IPv6 などのネットワークプロトコルの使用をネゴシエートします。

ダイアルアウトマシンでは、ダイアルインサーバーを通って到達可能なホストに telnet または類似のコマンドを実行できます。

専用回線 PPP の概要

固定型の専用回線の PPP 構成には、リンクで接続された 2 つのピアが含まれます。リンクは、プロバイダからリースされたスイッチ型または非スイッチ型のデジタルサービスで構成されています。Solaris PPP 4.0 は、全二重でポイントツーポイントの専用回線媒体を介して動作します。通常、会社では、ネットワークプロバイダから専用リンクをレンタルして、ISP またはほかのリモートサイトに接続します。

ダイアルアップリンクと専用回線リンクの比較

ダイアルアップと専用回線のリンクはともに、通信媒体で接続されている 2 つのピアから成っています。次の表は、2 つのリンクタイプの相違をまとめています。

専用回線	ダイアルアップ回線
システム管理者による電源切断または電源障害による電源切断がないかぎり常時接続されています。	ユーザーがリモートピアを呼び出そうとするとき開始されます。
同期通信と非同期通信を使用します。非同期通信では、多くの場合長距離モデムを使用します。	非同期通信を使用します。
プロバイダからレンタルします。	既存の電話回線を使用します。
同期装置を必要とします。	低コストのモデムを使用します。
ほとんどの SPARC システムで一般的に使用されている同期ポートを必要とします。ただし、同期ポートは、 x86 システムおよび最新の SPARC システムでは通常使用されません。	通常のコンピュータに組み込まれている標準のシリアルインタフェースを使用します。

専用回線 PPP リンクの構成要素

次の図を参照してください。

図 15–3 専用回線の基本的な構成

この図は、専用回線リンクの構成要素を示しています。このリンクについては次で詳しく説明します。

専用回線リンクの構成要素は次のとおりです。

2 つのピア。リンクの両端に 1 つずつ存在します。各ピアは、ワークステーションかサーバーです。通常ピアは、ネットワークまたはインターネットともう一方の側のピアとの間のルーターとして機能します。
各ピア上の同期インタフェース。Solaris ソフトウェアが実行されている一部のマシンは、専用回線に接続するために、HSI/S などの同期インタフェースカードを購入する必要があります。UltraSPARC ワークステーションなどのマシンには同期インタフェースが内蔵されています。
各ピア上の CSU/DSU 同期デジタル装置。同期ポートを専用回線に接続します。

現場の事情によって、CSU は DSU に組み込まれていたり、個人で所有していたり、プロバイダからリースしていたりします。DSU はマシンに標準の同期シリアルインタフェースを提供します。フレームリレーを使用する場合、フレームリレーアクセスデバイス (FRAD) が、シリアルインタフェースに適合するように調整します。
専用回線。スイッチ型または非スイッチ型のデジタルサービスを提供します。専用回線のデジタルサービスには、SONET/SDH、Frame Relay PVC、T1 などがあります。

専用回線通信中の動作

ほとんどのタイプの専用回線では、ピアは互いにダイアルすることはありません。会社では専用回線サービスを購入して、2 つの定められた場所の間を明示的に接続します。場合によって、専用回線の各端にある 2 つのピアは同じ会社でも物理的に離れた場所に存在することもあります。別の事例では、会社が、ISP に接続されている専用回線上にルーターを設定している場合があります。

専用回線の固定型のリンクは設定が簡単ですが、ダイアルアップリンクほどは普及していません。固定型のリンクは chat スクリプトを必要としません。専用回線の場合、両方のピアは互いを知っているので、認証を使用しないのが普通です。2 つのピアがリンクを介して PPP を開始すると、リンクはアクティブな状態を続けます。専用回線に障害が発生したり、どちらかのピアが明示的にリンクを終了したりしないかぎり、専用回線の固定型のリンクはアクティブな状態を続けます。

Solaris PPP 4.0 が実行されている専用回線上のピアは、ダイアルアップリンクを定義する構成ファイルとほぼ同じものを使用します。

専用回線を介した通信を開始する場合、次のプロセスが発生します。

各ピアマシンは、pppd コマンドを起動プロセスや別の管理スクリプトの一部として実行します。
両方のピアは自分の PPP 構成ファイルを読み取ります。
両方のピアは通信パラメータをネゴシエートします。
IP リンクが確立されます。

PPP 認証

認証は、要求しているのがユーザー本人であることを確認するためのプロセスです。UNIX のログインの流れは、次のように簡単な認証形式です。

login コマンドを入力すると、ユーザーに名前とパスワードの入力を求めるプロンプトが表示されます。
次に login は、ユーザーを認証するために、入力された名前とパスワードをパスワードデータベースから探そうとします。
データベース中にユーザー名とパスワードが存在する場合、ユーザーは認証されて、システムへのアクセスが許可されます。データベース中にユーザー名とパスワードが存在しない場合、ユーザーはシステムへのアクセスを拒否されます。

デフォルトでは、Solaris PPP 4.0 は、デフォルトの経路が指定されていないマシン上では認証を要求しません。したがって、デフォルトの経路が指定されていないローカルマシンはリモート呼び出しを認証しません。逆に、マシンにデフォルトの経路が定義されていれば、マシンは、常にリモート呼び出しを認証します。

必要な場合、自分のマシンに PPP リンクを設定しようとしている呼び出し側の識別情報を、PPP 認証プロトコルを使って確認できます。逆に、呼び出し側を認証するピアをローカルマシンが呼び出す必要がある場合は、PPP 認証情報をローカルマシンに構成しておく必要があります。

認証する側と認証される側

PPP リンク上の呼び出し側マシンは、リモートピアに対して識別情報を示す必要があるので、認証される側とみなされます。ピアは、認証する側とみなされます。認証する側は、呼び出し側の識別情報をセキュリティープロトコル用の適切な PPP ファイルから探し、その呼び出し側を認証したり認証を拒否したりします。

多くの場合、PPP 認証をダイアルアップリンクに構成します。呼び出しが開始されると、ダイアルアウトマシンが認証される側になります。ダイアルインサーバーは認証する側になります。サーバーはデータベースを秘密ファイルの形式で保持します。このファイルには、サーバーに PPP リンクを設定する許可が与えられているすべてのユーザーが記述されています。許可が与えられているユーザーは信頼できる呼び出し側とみなされます。

一部のダイアルアウトマシンには、ダイアルアウトマシンの呼び出しに対する応答でリモートピアに認証情報の提供を要求するものがあります。このような場合は、役割が逆転し、リモートピアは認証される側になり、ダイアルアウトマシンは認証する側になります。

注 –

PPP 4.0 は専用回線でピアによる認証を禁止していませんが、通常は専用回線で認証を使用することはありません。専用回線規約では、回線の両端に存在する両者が互いをよく知っており、信頼していることが特徴となっています。しかし、PPP 認証は管理が簡単なので、専用回線にも認証を実装することをまじめに検討する必要があります。

PPP の認証プロトコル

PPP の認証プロトコルは、パスワード認証プロトコル (PAP) とチャレンジハンドシェーク認証プロトコル (CHAP) です。各プロトコルは、ローカルマシンにリンクする許可が与えられている各呼び出し側に対して、識別情報が格納された「秘密データベース」や「セキュリティー資格情報」を使用します。PAP については、「パスワード認証プロトコル (PAP)」を参照してください。CHAP については、「チャレンジハンドシェーク認証プロトコル (CHAP)」を参照してください。

PPP 認証を使用する理由

PPP リンクでの認証は任意です。また、認証では、ピアが信頼されていることは確認しますが、PPP 認証に機密保護を提供していません。機密保護では、IPsec、PGP、SSL、Kerberos、Solaris セキュアシェルなどの暗号化ソフトウェアを使用します。

注 –

Solaris PPP 4.0 は、RFC 1968 に記述されている PPP Encryption Control Protocol (ECP) を実装していません。

次の場合に、PPP 認証の実装を検討してください。

会社が、公衆電話交換網を介してユーザーから着呼を受け取る。
会社のファイアウォールを介してネットワークにアクセスする場合やセキュリティーで保護されたトランザクションに関係する場合に、会社のセキュリティーポリシーでリモートユーザーに認証資格情報の提供を要求している。
標準の UNIX パスワードデータベース (/etc/passwd、NIS、LDAP、または PAM) と照合して呼び出し側を認証したいとする。この場合は PAP 認証を使用する。
会社のダイアルインサーバーがネットワークのインターネット接続も提供する。この場合は PAP 認証を使用する。
シリアル回線が、リンクのどちらか端にあるネットワークやマシン上のパスワードデータベースよりもセキュリティーの保護が弱い。この場合は CHAP 認証を使用する。

PPPoE による DSL ユーザーのサポート

多くのネットワークプロバイダと自宅で仕事をしている個人は、デジタル加入者回線 (DSL) 技術を使用して、高速なネットワークアクセスを実現します。DSL ユーザーをサポートするために、Solaris PPP 4.0 は PPP over Ethernet (PPPoE) 機能を組み込んでいます。PPPoE 技術を使用することで、複数のホストが 1 つの Ethernet リンクを介して 1 つ以上の地点に PPP セッションを実行できます。

次の場合に、PPPoE を使用する必要があります。

DSL ユーザー (自分自身も含む場合もある) をサポートする。DSL サービスプロバイダは、DSL 回線を介してサービスを受け取るために、ユーザーに PPPoE トンネルの構成を要求することがある。
サイトが、顧客に PPPoE を提供する ISP である。

この節では、PPPoE に関連する用語と基本的な PPPoE 技術の概要について説明します。

PPPoE の概要

PPPoE は、RedBack Networks が生み出した独自のプロトコルです。PPPoE は、別バージョンの標準 PPP ではなく検出プロトコルです。PPPoE のシナリオでは、最初に PPP 通信を開始するマシンが、PPPoE を実行しているピアを検出する必要があります。PPPoE プロトコルは、Ethernet ブロードキャストパケットを使ってピアを検出します。

検出プロセスを終了したら、PPPoE は、開始したホスト (PPPoE クライアント) からピア (PPPoE アクセスサーバー) まで Ethernet ベースのトンネルを設定します。トンネリングとは、あるプロトコルを、別のプロトコルで実行する方法です。PPPoE を使用して、Solaris PPP 4.0 は PPP に Ethernet IEEE 802.2 を介したトンネルを作成します。PPP と Ethernet IEEE 802.2 はともにデータリンクプロトコルです。設定された PPP 接続は、PPPoE クライアントとアクセスサーバーの間で専用リンクのように動作します。PPPoE については、「DSL サポート用の PPPoE トンネルの作成」を参照してください。

PPPoE の構成要素

次の図に示すように、PPPoE 構成には、消費者、電話会社、およびサービスプロバイダという 3 つの関係者が存在します。

図 15–4 PPPoE トンネル内の関係者

この図は、企業、電話会社、およびサービスプロバイダで PPPoE をどのように実装するかを示しています。

PPPoE の消費者

システム管理者として、消費者の PPPoE 構成を助けることがあります。PPPoE 消費者の一般的なタイプは、DSL 回線を介して PPPoE を実行する個人です。別の PPPoE 消費者は、上図に示すように、従業員が PPPoE トンネルを実行できるように DSL 回線を購入する会社です。

企業消費者が PPPoE を使用する主な理由は、高速の DSL 機器を介して多くのホストに PPP 通信を提供するためです。通常、単独の PPPoE クライアントは、個人で DSL モデムを持ちます。また、ハブに接続されているクライアントのグループは、Ethernet 回線によって同じハブに接続されている DSL モデムを共有することがあります。

注 –

DSL 機器は技術的にはモデムではなくブリッジです。ただし、実際にはこれらのデバイスをモデムと呼んでいるので、このマニュアルでは、「DSL モデム」という用語を使用します。

PPPoE は、DSL モデムに接続されている Ethernet 回線上のトンネルを介して PPP を実行します。その回線はスプリッタに接続され、スプリッタは電話回線に接続しています。

電話会社の PPPoE

PPPoE のシナリオでは、電話会社は中間に位置します。電話会社は、電話回線を介して受信する信号を、デジタル加入者線アクセスマルチプレクサ (DSLAM) と呼ばれるデバイスを使って分割します。DSLAM は分割した信号を別の線、電話サービス用アナログ線、および PPPoE 用デジタル線に送り出します。デジタル線は ATM データネットワークを介してトンネルを DSLAM から ISP まで延長します。

サービスプロバイダの PPPoE

ISP は、ATM データネットワークから渡される PPPoE 転送をブリッジを介して受信します。ISP では、PPPoE が実行されているアクセスサーバーが PPP リンクのピアとして機能します。アクセスサーバーは、図 15–2 で紹介したダイアルインサーバーと機能的に類似していますが、アクセスサーバーがモデムを使用しない点が異なります。アクセスサーバーは、個々の PPPoE セッションをインターネットアクセスなどの通常の IP トラフィックに変換します。

ISP のシステム管理者は、アクセスサーバーの構成と維持を行います。

PPPoE トンネルのセキュリティー

PPPoE トンネルは最初からセキュリティー対策が行われていません。PAP または CHAP を使用することで、トンネルを介して実行している PPP リンクにユーザー認証を提供できます。

第 16 章 PPP リンクの計画 (手順)

PPP リンクの設定には、作業計画や PPP と無関係な作業など、さまざまな個別の作業が含まれています。この章では、もっとも一般的な PPP リンク、認証、および PPPoE を計画する方法について説明します。

第 16 章PPP リンクの計画 (手順)に続く各章では、特定リンクの設定方法について構成例を使って説明します。これらの構成例はこの章で紹介します。

ここでは、次の内容を説明します。

全体的な PPP 計画 (作業マップ)

PPP では、実際にリンクを設定する前に作業計画を立てる必要があります。さらに、PPPoE トンネルを使用する場合は、まず PPP リンクを設定し、それからトンネルを提供する必要があります。次の作業マップは、この章で説明する大規模な作業計画を示しています。構成するリンクタイプによっては、一般的な作業だけで十分な場合があります。また、リンク、認証、および PPPoE の各作業が必要になる場合もあります。

表 16–1 PPP 計画 (作業マップ)


作業	説明	参照先
ダイアルアップ PPP リンクを計画します	ダイアルアウトマシンまたはダイアルインサーバーの設定に必要な情報を収集します	「ダイアルアップ PPP リンクの計画」
専用回線リンクを計画します	専用回線にクライアントを設定するための必要情報を収集します	「専用回線リンクの計画」
PPP リンクの認証を計画します	PPP リンクに PAP 認証または CHAP 認証を構成するための必要情報を収集します	「リンクへの認証計画」
PPPoE トンネルを計画します	PPP リンクが実行できる PPPoE トンネルを設定するための必要情報を収集します	「PPPoE トンネルを介した DSL サポートの計画」

ダイアルアップ PPP リンクの計画

ダイアルアップリンクはもっともよく使用される PPP リンクです。この節では、次の内容について説明します。

ダイアルアップリンクの計画情報
第 17 章ダイアルアップ PPP リンクの設定 (手順)で使用されるリンク例の説明

通常は、マシンをダイアルアップ PPP リンク、ダイアルアウトマシン、またはダイアルインサーバーの一方の端に構成するだけです。ダイアルアップ PPP の概要については、「ダイアルアップ PPP の概要」を参照してください。

ダイアルアウトマシンを設定する前に

ダイアルアウトマシンを構成する前に、次の表に示されている情報を収集します。

注 –

この節の計画情報には、認証や PPPoE について収集する情報は含まれていません。認証計画については、「リンクへの認証計画」を参照してください。PPPoE 計画については、「PPPoE トンネルを介した DSL サポートの計画」を参照してください。

表 16–2 ダイアルアウトマシンの情報


情報	動作
最大モデム速度	モデムの製造元が提供するマニュアルを参照します。
モデム接続コマンド (AT コマンド)	モデムの製造元が提供するマニュアルを参照します。
リンクの一方の端で使用するダイアルインサーバーの名前	ダイアルインサーバーの識別が簡単な名前を作成します。
ダイアルインサーバーで必要なログインシーケンス	ダイアルインサーバーの管理者に問い合わせるか、ダイアルインサーバーが ISP 側に存在すれば、ISP のマニュアルを参照します。

ダイアルインサーバーを設定する前に

ダイアルインサーバーを構成する前に、次の表に示されている情報を収集します。

注 –

表 16–3 ダイアルインサーバーの情報


情報	動作
最大モデム速度	モデムの製造元が提供するマニュアルを参照します。
ダイアルインサーバーの呼び出しが許可されている人のユーザー名	「ダイアルインサーバーのユーザーを構成する方法」で説明するようなホームディレクトリを設定する前に、予想されるユーザーの名前を入手します。
PPP 通信の専用 IP アドレス	会社での IP アドレスの委譲に責任を持つ担当者からアドレスを入手します。

ダイアルアップ PPP の構成例

第 17 章ダイアルアップ PPP リンクの設定 (手順)で紹介する作業では、従業員に週に 2、3 日在宅勤務させるための小企業の要件を実行します。一部の従業員は、ホームマシンに Solaris OS が必要になります。また、社内イントラネット上にある作業マシンにリモートログインすることも必要になります。

作業では、次のような基本的なダイアルアップリンクを設定します。

ダイアルアウトマシンが、社内イントラネットを呼び出す従業員の自宅に存在する。
ダイアルインサーバーは、従業員からの着呼を受信するように構成された社内イントラネット上のマシンである。
UNIX スタイルのログインを使用して、ダイアルアウトマシンを認証する。Solaris PPP 4.0 の強力な認証方法は、この会社のセキュリティーポリシーには必要ない。

次の図は、第 17 章ダイアルアップ PPP リンクの設定 (手順)で設定されているリンクを示します。

図 16–1 ダイアルアップリンクの例

この図は、ダイアルアップ作業で使用されるリンク例を示しています。このリンク例については次に説明します。

この図では、リモートホストが電話回線上のモデルを介して Big Company 社のイントラネットにダイアルアウトしています。もう 1 台のホストが Big Company 社にダイアルアウトするように構成されていますが、現在アクティブではありません。Big Company 社のダイアルインサーバーに接続されているモデムが、リモートユーザーからの呼び出しに順に応答しています。PPP 接続はピア間で確立しています。ダイアルアウトマシンは、イントラネット上のホストマシンにリモートログインできます。

ダイアルアップ PPP の詳細情報

次を参照してください。

ダイアルアウトマシンを設定する手順については、表 17–2 を参照してください。
ダイアルインマシンを設定する手順については、表 17–3 を参照してください。
ダイアルアップリンクの概要については、「ダイアルアップ PPP の概要」を参照してください。
PPP のファイルとコマンドの詳細については、「ファイルおよびコマンド行での PPP オプションの使用」を参照してください。

専用回線リンクの計画

専用回線リンクの設定では、プロバイダからリースしているスイッチ型または非スイッチ型サービスの一方の端にピアを構成する必要があります。

この節では、次の内容について説明します。

専用回線リンクの計画情報
図 16–2 に示されているリンク例の説明

専用回線リンクの概要については、「専用回線 PPP の概要」を参照してください。専用回線の設定作業については、第 18 章専用回線 PPP リンクの設定 (手順)を参照してください。

専用回線リンクを設定する前に

会社がネットワークプロバイダから専用回線リンクをレンタルしている場合は、リンクの自分側の端だけにシステムを構成します。リンクのもう一方の端にあるピアは、別の管理者が維持しています。この管理者は、会社から離れた場所にいるシステム管理者か、ISP 側のシステム管理者のどちらかです。

専用回線リンクに必要なハードウェア

リンク媒体の他に、リンクの端には次のハードウェアが必要です。

システム用の同期インタフェース
同期装置 (CSU/DSU)
自分のシステム

一部のネットワークプロバイダでは、顧客宅内機器 (CPE) として、ルーター、同期インタフェース、および CSU/DSU が必要です。ただし、必要な機器は、プロバイダや国別の政府規制によって変わります。ネットワークプロバイダでは、必要な装置で専用回線と共に提供されないものは、それに関する情報を提供しています。

専用回線のために収集する情報

ローカルピアを構成する前に、次の表に示されている項目を調べておく必要があります。

表 16–4 専用回線リンクの計画


情報	動作
インタフェースのデバイス名	インタフェースカードのマニュアルを参照します。
同期インタフェースカードの構成手順	インタフェースカードのマニュアルを参照します。この情報は、HSI/S インタフェースを構成する場合に必要です。ほかのタイプのインタフェースカードでは、構成する必要がない場合があります。
(任意) リモートピアの IP アドレス	サービスプロバイダのマニュアルを参照するか、リモートピアのシステム管理者に問い合わせます。この情報は、2 つのピア間で IP アドレスがネゴシエートされない場合にだけ必要です。
(任意) リモートピアの名前	サービスプロバイダのマニュアルを参照するか、リモートピアのシステム管理者に問い合わせます。
(任意) リンクの速度	サービスプロバイダのマニュアルを参照するか、リモートピアのシステム管理者に問い合わせます。
(任意) リモートピアで使用する圧縮	サービスプロバイダのマニュアルを参照するか、リモートピアのシステム管理者に問い合わせます。

専用回線リンクの構成例

第 18 章専用回線 PPP リンクの設定 (手順)の作業は、中規模会社 (LocalCorp 社) で従業員がインターネットにアクセスできるように、専用回線リンクの構成を実装する方法を示しています。現在、従業員のコンピュータは、会社の私設イントラネットに接続されています。

LocalCorp 社では、高速なトランザクションとイントラネット上の多くの資源に迅速にアクセスすることが必要となっています。LocalCorp 社は、サービスプロバイダの Far ISP 社との間に専用回線を設定する契約を結びます。これにより、LocalCorp 社は電話会社の Phone East 社から T1 回線をリースします。Phone East 社は LocalCorp 社と Far ISP 社との間に専用回線を設置します。その後 Phone East 社は LocalCorp 社に構成済みの CSU/DSU を提供します。

作業では、次のような専用回線リンクを設定します。

LocalCorp 社はシステムをゲートウェイルーターとして設定する。これにより、パケットは専用回線を介してインターネット上のホストに転送される。
Far ISP 社でも顧客からの専用回線を接続するルーターとしてピアを設定する。

図 16–2 専用回線の構成例

この図は、専用回線の作業で使用されるリンクの例を示しています。このリンク例については次に説明します。

この図では、LocalCorp 社側の PPP にルーターが設定されています。ルーターは、hme0 インタフェースを介して社内イントラネットに接続されています。さらにマシンは、HSI/P インタフェース (hihp1) を介して CSU/DSU デジタル装置に接続されています。CSU/DSU は設置された専用回線に接続しています。LocalCorp 社の管理者が HSI/P インタフェースと PPP ファイルの構成を終了したあとで、/etc/init.d/pppd と入力すると、LocalCorp 社と Far ISP 社間でリンクが開始されます。

専用回線の詳細情報

次を参照してください。

リンクへの認証計画

この節では、PPP リンク上で認証を行うための計画情報を提供します。第 19 章PPP 認証の設定 (手順)は、自分のサイトで PPP 認証を実装するための作業を示しています。

PPP には、PAP と CHAP の 2 種類の認証があります。PAP の詳細は、「パスワード認証プロトコル (PAP)」を参照してください。CHAP の詳細は、「チャレンジハンドシェーク認証プロトコル (CHAP)」を参照してください。

認証をリンクに設定する前に、自分のサイトのセキュリティーポリシーに最適な認証プロトコルを選択する必要があります。認証プロトコルの選択が終了したら、ダイアルインマシンまたは呼び出し側のダイアルアウトマシンあるいは両方のマシンに秘密ファイルと PPP 構成ファイルを設定します。自分のサイトに最適な認証プロトコルを選択するには、「PPP 認証を使用する理由」を参照してください。

この節では、次の内容について説明します。

PAP 認証と CHAP 認証の計画情報
図 16–3 と図 16–4 に示されている認証事例の説明

認証の設定作業については、第 19 章PPP 認証の設定 (手順)を参照してください。

PPP 認証を設定する前に

自分のサイトで認証を設定することを、全体的な PPP 計画の必須部分として組み込む必要があります。認証を実装する前に、ハードウェアの組み立てや、ソフトウェアの構成、リンクの動作確認を行なってください。

表 16–5 認証構成の前提条件


情報	参照先
ダイアルアップリンクの構成作業	第 17 章ダイアルアップ PPP リンクの設定 (手順)
リンクのテスト作業	第 21 章一般的な PPP 問題の解決 (手順)
サイトのセキュリティー要件	会社のセキュリティーポリシー。ポリシーを設定していなければ、PPP 認証の設定を機にセキュリティーポリシーを設定します。
自分のサイトに PAP または CHAP を選択する場合のヒント	「PPP 認証を使用する理由」。これらのプロトコルについては、「接続時の呼び出し元の認証」を参照してください。

PPP の認証構成例

この節では、第 19 章PPP 認証の設定 (手順)の手順で使用されている認証事例について説明します。

PAP 認証による構成例

「PAP 認証の設定」での作業は、PPP リンク上で PAP 認証を設定する方法を示しています。手順では、「ダイアルアップ PPP の構成例」で紹介した架空の Big Company 社の PAP 事例を使用します。

Big Company 社では、自社のユーザーが自宅で仕事できるようにしたいと考えています。システム管理者は、ダイアルインサーバーに接続するシリアル回線にセキュリティー対策をしたいと考えています。NIS パスワードデータベースを使用する UNIX スタイルのログインは、これまで Big Company 社のネットワークで問題なく機能を果たしてきました。システム管理者は、PPP リンクを介してネットワークに進入してくる呼び出しに UNIX スタイルの認証機構を設定したいと考えています。その結果、システム管理者は PAP 認証を使用する次のシナリオを実装します。

図 16–3 PAP 認証のシナリオ (自宅で仕事する) の例

この図は、PAP 認証のシナリオ例を示しています。このリンクについては次で詳しく説明します。

システム管理者は専用のダイアルイン DMZ を作成します。これは、ルーターによって会社のネットワークの後方部と分離されています。DMZ という用語は、軍事用語の「非武装地帯」に由来しています。DMZ はセキュリティー目的のために分離されたネットワークです。通常、DMZ には、Web サーバー、匿名 (anonymous) ftp サーバー、データベース、モデムサーバーなど、会社が一般に公開する資源が含まれています。ネットワーク設計者は通常、DMZ をファイアウォールと会社のインターネット接続の中間に設置します。

図 16–3 に示すように、DMZ に存在するのは、ダイアルインサーバーの myserver とルーターだけです。ダイアルインサーバーはリンクの設定時に、呼び出し側に PAP 資格 (ユーザー名とパスワードを含む) の提出を要求します。さらに、ダイアルインサーバーは PAP の login オプションも使用します。したがって、呼び出し側の PAP のユーザー名とパスワードは、ダイアルインサーバーのパスワードデータベースにある UNIX のユーザー名とパスワードに正確に一致する必要があります。

PPP リンクが設定されたら、呼び出し側のパケットはルーターに転送されます。ルーターはパケットを会社のネットワーク上かインターネット上の宛先に転送します。

CHAP 認証による構成例

「CHAP 認証の設定」での作業は、CHAP 認証の設定方法を示しています。手順では、「専用回線リンクの構成例」で紹介した架空の LocalCorp 社の CHAP 事例を使用します。

LocalCorp 社は、ISP の専用回線を介してインターネットに接続できます。LocalCorp 社のテクニカルサポート部では、大量のネットワークトラフィックが発生するので、独立した私設ネットワークが必要になっています。部署のフィールドエンジニアは、問題解決のための情報を入手するために遠隔地からテクニカルサポートのネットワークに頻繁にアクセスする必要があります。私設ネットワークのデータベース内の機密情報を保護するには、リモートでの呼び出し側にログインの許可を与えるために、それらを認証する必要があります。

したがって、システム管理者は、ダイアルアップ PPP 構成に次の CHAP 認証シナリオを実装します。

図 16–4 CHAP 認証シナリオ (私設ネットワークを呼び出す) の例

この図は、CHAP 認証のシナリオ例を示しています。この例については前後の文中で詳しく説明しています。

テクニカルサポート部のネットワークから外部世界にリンクするのは、リンクのダイアルインサーバー側の端に接続しているシリアル回線だけです。システム管理者は、各フィールドサービスエンジニアが所持する PPP 用ラップトップコンピュータを CHAP シークレットなどを組み込んだ CHAP セキュリティーで構成します。ダイアルインサーバー上の CHAP シークレットデータベースには、テクニカルサポート内のネットワークに対する呼び出しが許されているすべてのマシンの CHAP 資格が含まれています。

認証の詳細情報

次を参照してください。

PPPoE トンネルを介した DSL サポートの計画

一部の DSL プロバイダは、プロバイダの DSL 回線と高速のデジタルネットワーク上で PPP を実行するために、ユーザーのサイトに PPPoE トンネルを設定するように要求しています。PPPoE の概要については、「PPPoE による DSL ユーザーのサポート」を参照してください。

PPPoE トンネルには、3 つの関係者が存在しています。消費者、電話会社、および ISP です。PPPoE は、消費者 (会社の PPPoE クライアントや自宅の消費者など) 向けか ISP 側のサーバー上のどちらかに構成します。

この節では、クライアントとアクセスサーバーの両方で PPPoE を実行するための計画情報について説明します。次の項目について説明します。

PPPoE ホストとアクセスサーバーの計画情報
「PPPoE トンネルの構成例」で紹介されている PPPoE シナリオの説明

PPPoE トンネルの設定作業については、第 20 章PPPoE トンネルの設定 (手順)を参照してください。

PPPoE トンネルを設定する前に

構成前の作業は、トンネルをクライアント側に構成するかサーバー側に構成するかによって異なります。どちらの場合も、電話会社と契約を結ぶ必要があります。電話会社では、クライアントには DSL 回線を提供し、アクセスサーバーにはある形式のブリッジと ATM パイプを提供します。ほとんどの契約では、電話会社はユーザーのサイトに機器を設置します。

PPPoE クライアントを構成する前に

PPPoE クライアントの実装は、通常、次の機器から構成されます。

個人が使用するパーソナルコンピュータまたはシステム
DSL モデム。通常は、電話会社かインターネットのアクセスプロバイダが設置する
(任意) ハブ。複数のクライアントが関係するような会社の DSL 消費者向け
(任意) スプリッタ。通常はプロバイダが設置する

多くの異なる DSL 構成が可能です。DSL 構成は、ユーザーや会社のニーズ、プロバイダが提供するサービスによって異なります。

表 16–6 PPPoE クライアントの計画


情報	動作
個人や自分自身のために自宅の PPPoE クライアントを設定する場合に、PPPoE の領域外の設定情報を入手します。	設定の手続きが必要なら、電話会社や ISP に問い合わせます。
会社のサイトに PPPoE クライアントを設定する場合に、PPPoE クライアントシステムが割り当てられているユーザーの名前を収集します。PPPoE リモートクライアントを構成する場合は、DSL 機器を自宅に設置するための情報をユーザーに提供する必要があります。	認可されたユーザーのリストを会社の管理者に問い合わせます。
PPPoE クライアント上で使用できるインタフェースを探します。	各マシン上で `ifconfig -a` コマンドを実行し、インタフェース名を探します。
(任意) PPPoE クライアントのパスワードを入手します。	ユーザーに、希望のパスワードを問い合わせます。または、ユーザーにパスワードを割り当てます。このパスワードは UNIX のログイン用ではなく、リンクの認証用に使用します。

PPPoE サーバーを構成する前に

PPPoE アクセスサーバーの計画は、データサービスネットワークへの接続を提供する電話会社と共同で行います。電話会社はユーザーのサイトに回線 (通常は ATM パイプ) を設置し、ユーザーのアクセスサーバーに、ある形式のブリッジを提供します。会社が提供するサービスにアクセスする Ethernet インタフェースを構成する必要があります。たとえば、インターネットにアクセスするためのインタフェースのほか、電話会社のブリッジが提供する Ethernet インタフェースも構成します。

表 16–7 PPPoE アクセスサーバーの計画


情報	動作
データサービスネットワークの回線に使用するインタフェース	`ifconfig -a` コマンドを実行して、インタフェースを特定します。
PPPoE サーバーが提供するサービスの種類	管理者やネットワーク計画者に要件やヒントを問い合わせます。
(任意) 消費者に提供するサービスの種類	管理者やネットワーク計画者に要件やヒントを問い合わせます。
(任意) リモートクライアントのホスト名とパスワード	ネットワーク計画者や契約交渉の担当者に問い合わせます。ホスト名とパスワードは UNIX のログインではなく、PAP 認証や CHAP 認証に使用します。

PPPoE トンネルの構成例

この節では、第 20 章PPPoE トンネルの設定 (手順)で説明する作業の例として、PPPoE トンネルの例を示します。図では、トンネル内のすべてのパーティシパントを示していますが、ユーザーはクライアント側かサーバー側のどちらかの端を管理するだけです。

図 16–5 PPPoE トンネルの例

この図は、PPPoE トンネルの例を示しています。このリンクについては次で詳しく説明します。

この例では、MiddleCo 社は従業員に高速なインターネットアクセスを提供することを望んでいます。MiddleCo 社は Phone East 社から DSL パッケージを購入し、Phone East 社はサービスプロバイダの Far ISP 社と契約を結びます。Far ISP 社は、Phone East 社から DSL を購入する顧客にインターネットサービスや IP サービスを提供します。

PPPoE クライアントの構成例

MiddleCo 社は、サイトに DSL の 1 回線を提供する Phone East 社からパッケージを購入します。パッケージには、MiddleCo 社の PPPoE クライアント用に認証された ISP への専用接続が含まれています。システム管理者は予想される PPPoE クライアントをハブに配線します。Phone East 社の技術者はハブを DSL 機器に配線します。

PPPoE サーバーの構成例

FarISP 社では、Phone East 社との契約を履行するために、同社のシステム管理者がアクセスサーバー (dslserve) を構成します。このサーバーには、次の 4 つのインタフェースがあります。

eri0 – ローカルネットワークと接続する主要なネットワークインタフェース
hme0 – FarISP 社が顧客にインターネットサービスを提供するためのインタフェース
hme1 – 認証された PPPoE トンネル用に MiddleCo 社が使用するインタフェース
hme2 – PPPoE トンネル用に別の顧客が使用するインタフェース

PPPoE の詳細情報

次を参照してください。

「PPPoE クライアントの設定」
「PPPoE アクセスサーバーの設定」
「DSL サポート用の PPPoE トンネルの作成」および pppoed(1M)、pppoec(1M)、sppptun(1M) のマニュアルページ

第 17 章ダイアルアップ PPP リンクの設定 (手順)

この章では、もっとも一般的な PPP リンクであるダイアルアップリンクの構成作業について説明します。ここでは、次の内容を説明します。

ダイアルアップの PPP リンクを設定する主な作業 (作業マップ)

ダイアルアップ PPP の設定は、モデムの構成、ネットワークデータベースファイルの変更、および表 22–1 で説明している PPP 構成ファイルの変更によって行います。

次の表は、ダイアルアップ PPP リンクの両側を構成するための主な作業を示しています。通常は、リンクのどちらか一方 (ダイアルアウトマシンかダイアルインサーバー) だけを構成します。

表 17–1 ダイアルアップの PPP リンクの設定 (作業マップ)


作業	説明	参照先
1. 構成前の情報を収集する	リンクを設定する前に、ピアのホスト名、ターゲットの電話番号、モデムの速度など必要なデータを集める	「ダイアルアップ PPP リンクの計画」
2. ダイアルアウトマシンを構成する	リンクを介して呼び出しを行うマシンに PPP を設定する	表 17–2
3. ダイアルインサーバーを構成する	着呼を受信するマシンに PPP を設定する	表 17–3
4. ダイアルインサーバーを呼び出す	`pppd` コマンドを入力して、通信を開始する	「ダイアルインサーバーの呼び出し方法」

ダイアルアウトマシンの構成

この節の作業では、ダイアルアウトマシンの構成方法について説明します。この作業では、図 16–1 で紹介した自宅からのダイアルイン事例を使用します。予想されるユーザーにマシンを渡す前に、会社での作業があります。経験豊富なユーザーであれば、自宅のマシンの設定を指導することもできます。ダイアルアウトマシンを設定する人は必ずそのマシンのスーパーユーザー権限を持つ必要があります。

ダイアルアウトマシンの構成作業 (作業マップ)

表 17–2 ダイアルアウトマシンの設定 (作業マップ)


作業	説明	参照先
1. 構成前の情報を収集する	リンクを設定する前に、ピアのホスト名、ターゲットの電話番号、モデムの速度など必要なデータを集める	「ダイアルアップ PPP リンクの計画」
2. モデムとシリアルポートを構成する	モデムとシリアルポートを設定する	「モデムとシリアルポートの構成方法 (ダイアルアウトマシン)」
3. シリアル回線通信を構成する	シリアル回線上の伝送特性を構成する	「シリアル回線を介した通信を定義する方法」
4. ダイアルアウトマシンとピア間の対話を定義する	chat スクリプトを作成するときに使用する通信データを収集する	「ピアを呼び出すための命令群を作成する方法」
5. 特定のピア情報を構成する	個々のダイアルインサーバーを呼び出すための PPP オプションを構成する	「個々のピアとの接続を定義する方法」
6. ピアを呼び出す	`pppd` コマンドを入力して、通信を開始する	「ダイアルインサーバーの呼び出し方法」

ダイアルアップ PPP のテンプレートファイル

Solaris PPP 4.0 はテンプレートファイルを提供します。各テンプレートファイルには、特定の PPP 構成ファイルのために一般的なオプションが含まれています。次の表は、ダイアルアップリンクの設定に使用できるテンプレートのサンプルと、それらと同等の Solaris PPP 4.0 ファイルを示します。

テンプレートファイル	PPP 構成ファイル	参照先
`/etc/ppp/options.tmpl`	`/etc/ppp/options`	「`/etc/ppp/options.tmpl` テンプレート」
`/etc/ppp/options.ttya.tmpl`	`/etc/ppp/options.ttyname`	「`options.ttya.tmpl` テンプレートファイル」
`/etc/ppp/myisp-chat.tmpl`	chat スクリプトを格納するためのユーザー指定の名前を持つファイル	「`/etc/ppp/myisp-chat.tmpl` chat スクリプトテンプレート」
`/etc/ppp/peers/myisp.tmpl`	`/etc/ppp/peers/peer-name`	「`/etc/ppp/peers/myisp.tmpl` テンプレートファイル」

テンプレートファイルを使用するように決めたら、そのテンプレートファイルの名前を同等の PPP 構成ファイルの名前に変更します。chat ファイルのテンプレート (/etc/ppp/myisp-chat.tmpl) だけは例外です。chat スクリプトには任意の名前を選択できます。

ダイアルアウトマシン上にデバイスを構成する

ダイアルアウト PPP マシンを設定するための最初の作業は、シリアル回線にデバイス (モデムとシリアルポート) を構成することです。

注 –

モデムに適用する作業は、通常 ISDN TA にも適用します。

以降の手順を実行する前に、次の作業を終了しておく必要があります。

Solaris 9 または Solaris 10 をダイアルアウトマシンにインストールする
モデムの最適速度を決定する
ダイアルアウトマシンに使用するシリアルポートを決定する
ダイアルアウトマシンのルートパスワードを取得する

計画情報については、表 16–2 を参照してください。

モデムとシリアルポートの構成方法 (ダイアルアウトマシン)

モデムの設定を行います。

さまざまなタイプのモデムを使用できますが、通常のモデムは Solaris PPP 4.0 用に正しく設定されて出荷されています。次は、Solaris PPP 4.0 を使用するモデムの基本的なパラメータ設定を示しています。
- DCD – キャリアの指示に従う
- DTR – モデムがハングアップするように Low に設定する (モデムをオンフックにする)
- Flow Control – 全二重ハードウェアのフロー制御用 RTS/CTS を設定する
- Attention Sequences – 使用不可
リンクの設定で問題が発生し、原因がモデムにあれば、まずモデムの製造元のマニュアルを参照します。また、多くの Web サイトが、役に立つモデムの設定情報を提供しています。最後に、「モデムの問題を診断する方法」でモデム問題を解決するためのヒントを見つけることができます。

モデムケーブルをダイアルアウトマシンのシリアルポートと電話ジャックに接続します。

ダイアルアウトマシン上のスーパーユーザー、またはそれと同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

Setting Up Terminals and Modems With Serial Ports Tool (Overview)『Solaris のシステム管理 (上級編)』の「シリアルポートツールによる端末とモデムの設定 (概要)」コマンドを実行します。このコマンドによって、Solaris 管理コンソールが開きます。

Solaris 管理コンソールを使用して、次を行います。
1. モデムを接続しているポートを選択します。
2. モデム方向を「発信専用」として指定します。
  
  モデムを「発着信両用」としても設定できます。「発信専用」を選択すると、侵入者に対してセキュリティーが強力になります。
注 –
/usr/sadm/bin/smc でボーレートやタイムアウトを設定できますが、pppd デーモンはこれらの設定を無視します。

「OK」をクリックして変更を有効にします。

ダイアルアウトマシン上に通信を構成する

この節の手順では、ダイアルアウトマシンのシリアル回線に通信を構成する方法を示します。これらの手順を使用する前に、「モデムとシリアルポートの構成方法 (ダイアルアウトマシン)」で説明しているように、モデムとシリアルポートを設定しておく必要があります。

次の作業は、ダイアルアウトマシンがダイアルインサーバーとの通信を正常に開始できるようにする方法を示します。通信は、PPP 構成ファイルで定義されているオプションに基づいて開始されます。次のファイルを作成する必要があります。

/etc/ppp/options
/etc/ppp/options.ttyname
chat スクリプト
/etc/ppp/peers/peer-name

Solaris PPP 4.0 は、PPP 構成ファイルにテンプレートを提供します。これらのテンプレートは要求に合わせてカスタマイズできます。これらのファイルについては、「ダイアルアップ PPP のテンプレートファイル」を参照してください。

シリアル回線を介した通信を定義する方法

ダイアルアウトマシン上のスーパーユーザー、またはそれと同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

次のオプションを指定して、/etc/ppp/options と呼ばれるファイルを作成します。
lock
/etc/ppp/options ファイルは、ローカルマシンが実行するすべての通信に適用されるグローバルパラメータの定義に使用されます。lock オプションによって、/var/spool/locks/LK.xxx.yyy.zzz 形式の UUCP スタイルのロックが可能です。

注 –
ダイアルアウトマシンが /etc/ppp/options ファイルを持たない場合は、スーパーユーザーだけが pppd コマンドを実行できます。ただし、/etc/ppp/options は空でもかまいません。

/etc/ppp/options については、「/etc/ppp/options 構成ファイル」を参照してください。

(省略可能) 特定のシリアルポートから通信を起動する方法を定義するために、/etc/ppp/options.ttyname と呼ばれるファイルを作成します。

次の例は、デバイス名として /dev/cua/a を持つポートの /etc/ppp/options.ttyname ファイルを示しています。
# cat /etc/ppp/options.cua.a crtscts
PPP オプション crtscts は、pppd デーモンに、シリアルポート a のハードウェアフロー制御をオンにするように指示します。

/etc/ppp/options.ttyname ファイルについては、「 /etc/ppp/options. ttyname 構成ファイル」を参照してください。

モデム速度を「モデム速度を設定する方法」で説明しているとおりに設定します。

ピアを呼び出すための命令群を作成する方法

ダイアルアウトマシンが PPP リンクを開始する前に、ピアになるダイアルインサーバーの情報を収集する必要があります。情報を収集したら、この情報を使用して chat スクリプトを作成します。chat スクリプトには、ダイアルアウトマシンとピア間の実際の対話を記述します。

ダイアルアウトマシンのモデムの実行速度を決定します。

詳細は、「ダイアルアップリンクのモデム速度の設定」を参照してください。

ダイアルインサーバーのサイトから次の情報を入手します。
- サーバーの電話番号
- 必要な場合、使用している認証プロトコル
- chat スクリプトでピアが必要とするログインシーケンス

ダイアルインサーバーサイトのネームサーバーの名前と IP アドレスを入手します。

chat スクリプトに、特定ピアへの呼び出しを開始するための命令群を指定します。

たとえば、次の chat スクリプト (/etc/ppp/mychat) を作成して、ダイアルインサーバー (myserver) を呼び出します。

SAY "Calling the peer\n"
        TIMEOUT 10
        ABORT BUSY
        ABORT 'NO CARRIER'
        ABORT ERROR
        REPORT CONNECT
        "" AT&F1&M5S2=255
        TIMEOUT 60
        OK ATDT1-123-555-1234 
        CONNECT \c
        SAY "Connected; logging in.\n"
        TIMEOUT 5
        ogin:--ogin: pppuser
        TIMEOUT 20
        ABORT 'ogin incorrect'
        ssword: \qmypassword
        "% " \c
        SAY "Logged in.  Starting PPP on peer system.\n" 
        ABORT 'not found'
        "" "exec pppd"
        ~ \c

スクリプトには、ログインシーケンスを必要とする Solaris ダイアルインサーバーを呼び出すための命令群が含まれています。各命令については、「UNIX 方式ログイン用に拡張された基本の chat スクリプト」を参照してください。chat スクリプトの作成については、「ダイアルアップリンクでの会話の定義」を参照してください。

注 –

chat スクリプトを直接呼び出さないでください。chat コマンドの引数に chat スクリプトのファイル名を指定して、スクリプトを呼び出します。

ピアが Solaris または類似のオペレーティングシステムを実行する場合は、ダイアルアウトマシンのテンプレートとして前述の chat スクリプトの利用をお薦めします。

個々のピアとの接続を定義する方法

ダイアルアウトマシン上のスーパーユーザー、またはそれと同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

次の /etc/resolv.conf ファイルを作成して、DNS データベースを更新します。
domain bigcompany.com nameserver 10.10.111.15 nameserver 10.10.130.8
domain bigcompany.com

ピアの DNS ドメインが bigcompany.com であることを示す

nameserver 10.10.111.15 および nameserver 10.10.130.8

bigcompany.com 側にあるネームサーバーの IP アドレスの一覧を示す

ホスト情報として最初に DNS データベースが検索されるように、/etc/nsswitch.conf ファイルを編集します。
hosts: dns [NOTFOUND=return] files

ピア用のファイルを作成します。

たとえば、次のファイルを作成して、ダイアルインサーバー (myserver) を定義します。
# cat /etc/ppp/peers/myserver /dev/cua/a 57600 noipdefault defaultroute idle 120 noauth connect "chat -U 'mypassword' -T 1-123-555-1213 -f /etc/ppp/mychat"
/dev/cua/a

myserver を呼び出すためのシリアルインタフェースとして、デバイス (/dev/cua/a) を使用する必要があることを示す

57600

リンクの速度を定義する

noipdefault

ピア (myserver) のトランザクションでは、ダイアルアウトマシンは最初に 0.0.0.0 の IP アドレスを持つことを示す。myserver は、すべてのダイアルアップセッションのダイアルアウトマシンに IP アドレスを割り当てる

idle 120

120 秒のアイドル時間が経過するとリンクがタイムアウトになることを示す

noauth

ダイアルアウトマシンとの接続をネゴシエートするとき、ピア (myserver) は認証資格を提供する必要がないことを示す

connect "chat -U 'mypassword' -T 1-123-555-1213 -f /etc/ppp/mychat"

connect オプションとその引数を示す。引数には、ピアの電話番号、呼び出しの命令群を持つ chat スクリプト (/etc/ppp/mychat) などが指定されている

参照

関連情報の参照先は次のとおりです。

別のダイアルアウトマシンを構成する手順については、「モデムとシリアルポートの構成方法 (ダイアルアウトマシン)」を参照
別のコンピュータにダイアルアウトすることでモデムの接続性をテストする手順については、cu(1C) と tip(1) のマニュアルページを参照。これらのユーティリティーを使用すると、モデムが正しく構成されているかをテストできる。また、別のマシンとの接続が確立できるかもテストできる
構成ファイルとオプションの詳細については、「ファイルおよびコマンド行での PPP オプションの使用」を参照
ダイアルインサーバーの構成手順については、「ダイアルインサーバーにデバイスを構成する」を参照

ダイアルインサーバーの構成

この節の作業では、ダイアルインサーバーを構成します。ダイアルインサーバーは、ダイアルアウトマシンからの呼び出しを PPP リンクを介して受信するピアマシンです。作業では、図 16–1 で紹介したダイアルインサーバー (myserver) の構成方法を示します。

ダイアルインサーバーの構成作業 (作業マップ)

表 17–3 ダイアルインサーバーの設定 (作業マップ)


作業	説明	参照先
1. 構成前の情報を収集する	リンクを設定する前に、ピアのホスト名、ターゲットの電話番号、モデムの速度など必要なデータを集める	「ダイアルアップ PPP リンクの計画」
2. モデムとシリアルポートを構成する	モデムとシリアルポートを設定する	「モデムとシリアルポートの構成方法 (ダイアルインサーバー)」
3. ピア情報の呼び出しを構成する	ダイアルインサーバーへの呼び出しが許可されているすべてのダイアルアウトマシンにユーザー環境と PPP オプションを設定する	「ダイアルインサーバーのユーザーを構成する方法」
4. シリアル回線通信を構成する	シリアル回線上の伝送特性を構成する	「シリアル回線を介した通信を定義する方法 (ダイアルインサーバー)」

ダイアルインサーバーにデバイスを構成する

次の手順では、モデムとシリアルポートをダイアルインサーバーに構成する方法について説明します。

手順を実行する前に、ピアであるダイアルインサーバー上で次の作業を終了しておく必要があります。

Solaris 9 または Solaris 10 のインストール
モデムの最適速度を決定する
使用するシリアルポートの決定

モデムとシリアルポートの構成方法 (ダイアルインサーバー)

モデムの製造元が発行するマニュアルに従ってモデムのプログラムを作成します。

詳細は、「モデムとシリアルポートの構成方法 (ダイアルアウトマシン)」を参照してください。

モデムをダイアルインサーバー上のシリアルポートに接続します。

ダイアルインサーバー上のスーパーユーザー、またはそれと同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

『Solaris のシステム管理 (上級編)』の「シリアルポートツールによる端末とモデムの設定 (概要)」で説明しているように、Solaris 管理コンソールの /usr/sadm/bin/smc コマンドを使ってシリアルポートを構成します。

Solaris 管理コンソールを使用して、次を行います。
1. モデムを接続しているシリアルポートを選択します。
2. モデム方向を「着信専用」として指定します。
  
  注 –
  Solaris PPP 4.0 は、モデムに対して双方向通信をサポートしています。
3. 「OK」をクリックして変更を有効にします。

モデム速度を設定する方法

次の手順では、ダイアルインサーバーのモデム速度を設定する方法について説明します。Sun Microsystems のコンピュータを使用する際のモデム速度については、「ダイアルアップリンクのモデム速度の設定」を参照してください。

ダイアルインサーバーにログインします。

tip コマンドを使用して、モデムにアクセスします。

tip によるモデム速度の設定については、tip(1) のマニュアルページを参照してください。

固定 DTE レートでモデムを構成します。

『Solaris のシステム管理 (上級編)』の「シリアルポートツールによる端末とモデムの設定 (概要)」で説明しているように、ttymon または /usr/sadm/bin/smc を使ってシリアルポートをそのレートで固定します。

参照

関連情報の参照先は次のとおりです。

ダイアルインサーバーのユーザーを設定する

ダイアルインサーバーの設定プロセスでは、既知の各リモート呼び出し側に関する情報を構成する必要があります。

この節の手順を開始する前に、次の作業を終了しておく必要があります。

リモートダイアルアウトマシンからログインが許されているすべてのユーザーの UNIX ユーザー名を入手する
「モデムとシリアルポートの構成方法 (ダイアルインサーバー)」で説明しているとおりに、モデムとシリアル回線を設定する
IP アドレスを専用化して、リモートユーザーからの着呼に割り当てる。呼び出し側の数がダイアルインサーバー上のモデムとシリアルポートの数を超える可能性がある場合、着呼専用の IP アドレスの作成を検討する。専用 IP アドレスについては、「呼び出し元の IP アドレス指定スキーマの作成」を参照

ダイアルインサーバーのユーザーを構成する方法

ダイアルインサーバー上のスーパーユーザー、またはそれと同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

各リモート PPP ユーザーに対して、ダイアルインサーバー上で新しいアカウントを作成します。

Solaris 管理コンソールを使用して、新しいユーザーを作成できます。/usr/sadm/bin/smc コマンドによって、Solaris 管理コンソールが開きます。Solaris 管理コンソールを使って新しいユーザーを作成するには、『Solaris のシステム管理 (基本編)』の「ユーザーアカウントの設定 (作業マップ)」を参照してください。

Solaris 管理コンソールを使用して、新しいユーザーにパラメータを割り当てます。

たとえば、次の表は、ダイアルアウトマシン (myhome) 上の user1 に対する pppuser と呼ばれるアカウントのパラメータを示しています。

パラメータ	値	定義
ユーザー名	`pppuser`	リモートユーザーのユーザーアカウント名。このアカウント名は、chat スクリプトのログインシーケンスで指定されているアカウント名と一致する必要がある。たとえば、`pppuser` は、「ピアを呼び出すための命令群を作成する方法」の chat スクリプトにあるアカウント名である
ログインシェル	`/usr/bin/pppd`	リモートユーザーのデフォルトのログインシェル。ログインシェル (`/usr/bin/pppd`) は最初から呼び出し側を専用 PPP 環境に制限する
「ホームディレクトリの作成」のパス	`/export/home/pppuser`	ホームディレクトリ (`/export/home/pppuser`) は、呼び出し側が正常にダイアルインサーバーにログインするとき設定される

各呼び出し側に対して、$HOME/.ppprc ファイルを作成します。このファイルには、ユーザーの PPP セッションに固有のさまざまなオプションが格納されています。

たとえば、pppuser に対して、次の .ppprc ファイルを作成します。
# cat /export/home/pppuser/.ppprc noccp
noccp は、リンク上で圧縮制御をオフにします。

参照

関連情報の参照先は次のとおりです。

ダイアルインサーバーを介した通信を構成する

次の作業は、ダイアルインサーバーが任意のダイアルアウトマシンと通信を開始できるようにする方法を示します。通信がどのように確立されるかは、次の PPP 構成ファイルで定義されているオプションに基づいて決まります。

/etc/ppp/options
/etc/ppp/options.ttyname

これらのファイルについては、「ファイルおよびコマンド行での PPP オプションの使用」を参照してください。

先に進む前に、次の作業を終了しておく必要があります。

「モデムとシリアルポートの構成方法 (ダイアルインサーバー)」で説明しているとおりに、ダイアルインサーバーにシリアルポートとモデムを構成する
「ダイアルインサーバーのユーザーを構成する方法」で説明しているとおりに、ダイアルインサーバーの予想されるユーザー情報を構成する

シリアル回線を介した通信を定義する方法 (ダイアルインサーバー)

ダイアルインサーバー上のスーパーユーザー、またはそれと同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

次の引数を指定して、/etc/ppp/options ファイルを作成します。
nodefaultroute
nodefaultroute は、ローカルシステム上の pppd セッションが、root 権限がないとデフォルトの経路を確立できないことを示します。

注 –
ダイアルインサーバーが /etc/ppp/options ファイルを持たない場合は、スーパーユーザーだけが pppd コマンドを実行できます。ただし、/etc/ppp/options ファイルは空でもかまいません。

/etc/options. ttyname ファイルを作成して、シリアルポート (ttyname) を介して受信される呼び出しの制御方法を定義します。

次の /etc/options.ttya ファイルでは、ダイアルインサーバーのシリアルポート (/dev/ttya) が着呼を制御する方法を定義しています。
:10.0.0.80 xonxoff
:10.0.0.80

シリアルポート (ttya) を介して呼び出しているすべてのピアに IP アドレス (10.0.0.80) を割り当てる

xonxoff

ソフトウェアのフロー制御を有効にすることで、シリアル回線はモデムからの通信を制御できる

参照

この章のすべての手順を実行すると、ダイアルアップリンクの構成が完成します。関連情報の参照先は次のとおりです。

別のコンピュータにダイアルアウトすることでモデムの接続性をテストする手順については、cu(1C) と tip(1) のマニュアルページを参照。これらのユーティリティーを使用すると、モデムが正しく構成されているかをテストできる。また、別のマシンとの接続が確立できるかもテストできる
ダイアルインサーバーのオプションを追加して構成する手順については、「ダイアルインサーバーの構成」
ダイアルアウトマシンを追加して構成する手順については、「ダイアルアウトマシンの構成」
リモートマシンがダイアルインサーバーを呼び出す手順については、「ダイアルインサーバーの呼び出し」

ダイアルインサーバーの呼び出し

ダイアルアウトマシンがダイアルインサーバーを呼び出すことで、ダイアルアップ PPP リンクを確立します。ローカルの PPP 構成ファイルに demand オプションを指定することで、ダイアルアウトマシンがサーバーを呼び出すように指示できます。リンクの確立でもっとも一般的な方法は、ユーザーがダイアルアウトマシン上で pppd コマンドを実行することです。

次の作業に進む前に、次のどちらかの作業か両方の作業を終了しておく必要があります。

「ダイアルアウトマシンの構成」で説明しているとおりに、ダイアルアウトマシンを設定する
「ダイアルインサーバーの構成」で説明しているとおりに、ダイアルインサーバーを設定する

ダイアルインサーバーの呼び出し方法

root ではなく、通常のユーザーアカウントを使用して、ダイアルアウトマシンにログインします。

pppd コマンドを実行して、ダイアルインサーバーを呼び出します。

たとえば、次のコマンドは、ダイアルアウトマシンとダイアルインサーバー (myserver) 間のリンクを開始します。
% pppd 57600 call myserver
pppd

pppd デーモンを呼び出すことで呼び出しを開始する

57600

ホストとモデム間の回線速度を設定する

call myserver

pppd の call オプションを呼び出して、「個々のピアとの接続を定義する方法」で作成された /etc/ppp/peers/myserver ファイルのオプション群を読み取る

サーバーのネットワーク上にあるホスト (図 16–1 に示されている lindyhop ホストなど) にアクセスします。
ping lindyhop
リンクが正しく動作しない場合、第 21 章一般的な PPP 問題の解決 (手順)を参照してください。

PPP セッションを終了します。
% pkill -x pppd

参照

この章のすべての手順を実行すると、ダイアルアップリンクの構成が完成します。関連情報の参照先は次のとおりです。

ユーザーがダイアルアウトマシン上で作業を開始する手順については、「ダイアルインサーバーの呼び出し方法」
リンク上の問題を修正する手順については、第 21 章一般的な PPP 問題の解決 (手順)
この章で使用するファイルとオプションについてさらに学習するときは、「ファイルおよびコマンド行での PPP オプションの使用」

第 18 章専用回線 PPP リンクの設定 (手順)

この章では、専用回線を使用した、ピア間での PPP リンクを設定する方法について説明します。主に次の内容について説明します。

専用回線の設定 (作業マップ)

専用回線リンクの設定は、ダイアルアップリンクのそれに比べて、比較的簡単です。ほとんどの場合、CSU/DSU、ダイアルサービス、または認証を設定する必要はありません。CSU/DSU の設定は複雑なので、これを設定する必要がある場合は、製造元のマニュアルを参照してください。

次の表の作業マップでは、基本的な専用回線リンクの設定に必要な作業について説明しています。

注 –

専用回線の中には、対するピアのアドレスを「ダイアル」するために、CSU/DSU を必要とするものもあります。たとえば、SVC (Switched Virtual Circuit) や Switched 56 サービスを使用するフレームリレーなどがあります。

表 18–1 専用回線リンクの設定 (作業マップ)


作業	説明	参照先
1. 構成前の情報を収集する	接続の設定に必要な情報を収集する	表 16–4
2. 専用回線への接続に使用するハードウェアを設定する	CSU/DSU および同期インタフェースカードを取り付ける	「同期デバイスの設定方法」
3. 必要に応じて、インタフェースカードを設定する	専用回線への接続を開始する際に使用するインタフェーススクリプトを設定する	「同期デバイスの設定方法」
4. リモートピアに関する情報に基づいて設定する	ローカルマシンとリモートピア間の通信方法を定義する	「専用回線上のマシンの設定方法」
5. 専用回線への接続を開始する	起動プロセスの一部として、PPP が専用回線を介して開始されるようにマシンを設定する	「専用回線上のマシンの設定方法」

専用回線上の同期デバイスの設定

この節では、専用回線のトポロジに必要な機器を設定する方法について説明します。専用回線のトポロジについては、「専用回線リンクの構成例」で紹介しています。専用回線への接続に必要な同期デバイスには、インタフェースとモデムが含まれています。

同期デバイスを設定する際の前提条件

次の手順に従う前に、下記の項目を確認する必要があります。

プロバイダによって設置された専用回線が動作していること
同期装置 (CSU/DSU)
システムに Solaris 9 または Solaris 10 がインストールされていること
システムに必要な同期インタフェースカード

同期デバイスの設定方法

必要に応じて、インタフェースカードをローカルマシンに取り付けます。

製造元のマニュアルの手順に従います。

CSU/DSU とインタフェースをケーブルで接続します。

必要に応じて、CSU/DSU と専用回線のジャックまたは同等のコネクタをケーブルで接続します。

製造元またはネットワークプロバイダのマニュアルの手順に従って、CSU/DSU を設定します。

注 –
専用回線を貸し出しているプロバイダが、接続用の CSU/DSU を提供および設定する場合もあります。

必要に応じて、インタフェースのマニュアルの手順に従って、インタフェースカードを設定します。

インタフェースカードの設定時に、インタフェースの起動スクリプトを作成します。図 16–2 のような専用回線設定では、LocalCorp にあるルーターは、HSI/P インタフェースカードを使用します。

次のスクリプト hsi-conf によって、HSI/P インタフェースが開始されます。
#!/bin/ksh /opt/SUNWconn/bin/hsip_init hihp1 speed=1536000 mode=fdx loopback=no \ nrzi=no txc=txc rxc=rxc txd=txd rxd=rxd signal=no 2>&1 > /dev/null
hihp1

使用されている同期ポートが HSI/P であることを示す

speed=1536000

CSU/DSU の速度を示すために設定する

参照

専用回線上のローカルマシンの設定手順については、「専用回線上のマシンの設定方法」を参照してください。

専用回線上のマシンの設定

この節では、ルーターを専用回線の終端でローカルピアとして機能するように設定する方法について説明します。ここでは、「専用回線リンクの構成例」で紹介した専用回線を例として使用します。

専用回線上のローカルマシンを設定する際の前提条件

以降の手順を実行する前に、次の作業を終了しておく必要があります。

「専用回線上の同期デバイスの設定」の説明に従って、接続に使用する同期デバイスをセットアップおよび設定する
専用回線上のローカルマシンのスーパーユーザーパスワードを取得する
ローカルマシンがネットワークのルーターとして動作し、専用回線プロバイダのサービスを使用するように設定する

専用回線上のマシンの設定方法

ローカルマシン (ルーター) 上のスーパーユーザー、またはそれと同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

リモートピア用のエントリをルーターの /etc/hosts ファイルに追加します。
# cat /etc/hosts # # Internet host table # 127.0.0.1 localhost 192.168.130.10 local2-peer loghost 192.168.130.11 local1-net 10.0.0.25 farISP
/etc/hosts の例は、架空の LocalCorp のローカルルーター用のファイルです。サービスプロバイダのリモートピア farISP の IP アドレスおよびホスト名をメモしておきます。

プロバイダのピアに関する情報を保持する /etc/ppp/peers/peer-name ファイルを作成します。

この例の専用回線への接続用に、/etc/ppp/peers/farISP ファイルを作成します。

# cat /etc/ppp/peers/farISP
init '/etc/ppp/conf_hsi'
local
/dev/hihp1
sync
noauth
192.168.130.10:10.0.0.25
passive
persist
noccp
nopcomp
novj
noaccomp

次の表では、/etc/ppp/peers/farISP で使用されているオプションおよびパラメータについて説明しています。

オプション	定義
`init '/etc/ppp/conf_hsi'`	接続を開始する。次に、`init` はスクリプト `/etc/ppp/conf_hsi` のパラメータを使用して、HSI インタフェースを設定する
`local`	データ端末レディー (DTR) 信号の状態を変更しないように、`pppd` デーモンに指示する。また、データキャリア検出 (DCD) 入力信号を無視することも `pppd` に指示する
`/dev/hihp1`	同期インタフェースのデバイス名を指定する
`sync`	接続の同期エンコーディングを確立する
`noauth`	ローカルシステムがピアに認証を要求する必要がないように設定する。ただし、ピアは認証を要求することができる
`192.168.130.10:10.0.0.25`	ローカルピアおよびリモートピアの IP アドレスをコロンで区切って定義する
`passive`	最大数の LCP Configure-Request を発行したら、ピアが起動するまで待機するように、ローカルマシンの `pppd` デーモンに指示する
`persist`	接続が解除されたあとでもう一度接続を開始するように、`pppd` デーモンに指示する
`noccp、nopcomp、novj、noaccomp`	CCP (Compression Control Protocol)、プロトコルフィールドの圧縮、Van Jacobson 圧縮、およびアドレスとコントロールフィールドの圧縮をそれぞれ無効にする。これらの圧縮形式を使用すると、ダイアルアップリンクでの伝送速度は速くなるが、専用回線での伝送速度は遅くなる可能性がある

demand という初期設定スクリプトを作成します。こうすると、起動プロセスの一部として PPP リンクが開始されます。

# cat /etc/ppp/demand
#!/bin/sh
if [ -f /var/run/ppp-demand.pid ] &&
   /usr/bin/kill -s 0 `/bin/cat /var/run/ppp-demand.pid`
then
        :
else
        /usr/bin/pppd call farISP
fi

demand スクリプトには、専用回線リンクを確立するための pppd コマンドが含まれています。次の表では、$PPPDIR/demand の内容について説明しています。

コーディング例	意味
if [ -f /var/run/ppp-demand.pid ] && /usr/bin/kill -s 0 `/bin/cat /var/run/ppp-demand.pid`	これらの行は、`pppd` が動作しているかどうかを確認する。`pppd` が動作している場合は、起動する必要はない
`/usr/bin/pppd call farISP`	この行は、`pppd` を起動する。`pppd` は、`/etc/ppp/options` からオプションを読み取る。 `call farISP` オプションをコマンド行で指定すると、`/etc/ppp/peers/farISP` も読み取る

Solaris PPP 4.0 の起動スクリプト /etc/rc2.d/S47pppd によって、demand スクリプトが、Solaris の起動プロセスの一部として呼び出されます。/etc/rc2.dS47pppd にある次の行は、$PPPDIR/demand というファイルが存在するかどうかを調べます。

    if [ -f $PPPDIR/demand ]; then
                . $PPPDIR/demand
        fi

$PPPDIR/demand が検出された場合は、それが実行されます。$PPPDIR/demand の一連の処理の実行中に、接続が確立されます。

注 –

ローカルネットワークの外部にあるマシンにアクセスするためには、ユーザーに、telnet、ftp、rsh、または同様のコマンドを実行させます。

参照

この章のすべての手順を実行すると、専用回線接続の構成が完了します。関連情報の参照先は次のとおりです。

トラブルシューティングの情報については、「専用回線の問題の解決」
この章で使用するファイルとオプションについてさらに学習するときは、「ファイルおよびコマンド行での PPP オプションの使用」

第 19 章 PPP 認証の設定 (手順)

この章では、PPP 認証の設定手順について説明します。ここでは、次の内容を説明します。

ここでは、ダイアルアップリンクに認証を実装する方法について説明しています。これは、ダイアルアップリンクの方が、専用回線リンクよりも認証を設定することが多いためです。企業のセキュリティーポリシーにより認証が必要な場合には、専用回線に認証を設定することもできます。専用回線に認証を設定する場合は、この章の手順をガイドラインとして参照してください。

PPP 認証を使用する場合で、どのプロトコルを使用したらいいのかわからないときには、「PPP 認証を使用する理由」を参照してください。PPP 認証の詳細は、pppd(1M) のマニュアルページおよび「接続時の呼び出し元の認証」を参照してください。

PPP 認証の構成 (作業マップ)

次の作業マップに、PPP 認証に関連する作業を示します。

表 19–1 一般的な PPP 認証 (作業マップ)


作業	説明	参照先
PAP 認証を設定する	ダイアルインサーバーおよびダイアルアウトマシン上で PAP 認証を可能にするための手順を使用する	「PAP 認証の設定 (作業マップ)」
CHAP 認証を設定する	ダイアルインサーバーおよびダイアルアウトマシン上で CHAP 認証を可能にするための手順を使用する	「CHAP 認証の設定 (作業マップ)」

PAP 認証の設定

この節では、パスワード認証プロトコル (PAP) を使用して、PPP リンクに認証を実装する方法について説明します。ここでは、「PPP の認証構成例」の例を使用して、ダイアルアップリンクで PAP を動作させる方法について説明します。PAP 認証を実装する場合は、この手順を基準として使用してください。

以降の手順を実行する前に、次の作業を終了しておく必要があります。

ダイアルインサーバーと信頼できる呼び出し元が所有するダイアルアウトマシン間で、ダイアルアップリンクを設定しテストします。
ダイアルインサーバーでの認証に備えて、LDAP、NIS、またはローカルファイルなどでネットワークパスワードデータベースを管理しているマシンに対するスーパーユーザーとしてのアクセス権を取得することが理想的です。
ローカルマシン、およびダイアルインサーバーまたはダイアルアウトマシンに対するスーパーユーザーとしての権限を取得します。

PAP 認証の設定 (作業マップ)

次の作業マップに、ダイアルインサーバーおよびダイアルアウトマシン上の信頼できる呼び出し元に対して実行する PAP 関連の作業を示します。

表 19–2 PAP 認証についての作業マップ (ダイアルインサーバー)


作業	説明	参照先
1. 構成前の情報を収集する	ユーザー名など、認証に必要なデータを収集する	「リンクへの認証計画」
2. 必要に応じて、パスワードデータベースを更新する	候補となるすべての呼び出し元が、サーバーのパスワードデータベースに含まれていることを確認する	「PAP 資格データベースの作成方法 (ダイアルインサーバー)」
3. PAP データベースを作成する	将来接続する可能性のあるすべての呼び出し元のセキュリティー資格を `/etc/ppp/pap-secrets` に作成する	「PAP 資格データベースの作成方法 (ダイアルインサーバー)」
4. PPP の構成ファイルを変更する	PAP 特有のオプションを `/etc/ppp/options` および `/etc/ppp/peers/peer-name` ファイルに追加する	「PPP 構成ファイルに PAP サポートを追加する方法 (ダイアルインサーバー)」

表 19–3 PAP 認証についての作業マップ (ダイアルアウトマシン)


作業	説明	参照先
1. 構成前の情報を収集する	ユーザー名など、認証に必要なデータを収集する	「リンクへの認証計画」
2. 信頼できる呼び出し元のマシン用の PAP データベースを作成する	信頼できる呼び出し元のセキュリティー資格と、必要であれば、ダイアルアウトマシンを呼び出すほかのユーザーのセキュリティー資格を `/etc/ppp/pap-secrets` に作成する	「信頼できる呼び出し元に PAP 認証資格を設定する方法」
3. PPP の構成ファイルを変更する	PAP 特有のオプションを `/etc/ppp/options` および `/etc/ppp/peers/peer-name` ファイルに追加する	「PPP 構成ファイルに PAP サポートを追加する方法 (ダイアルアウトマシン)」

ダイアルインサーバーに PAP 認証を構成する

PAP 認証を設定するには、次の手順に従う必要があります。

PAP 資格データベースを作成します。
PAP をサポートするように PPP 構成ファイルを変更します。

PAP 資格データベースの作成方法 (ダイアルインサーバー)

ここでは、/etc/ppp/pap-secrets ファイルを変更します。このファイルには、接続時に呼び出し元の認証に使用する PAP セキュリティー資格が含まれています。PPP リンクを行う両方のマシンに /etc/ppp/pap-secrets が必要です。

図 16–3 で紹介した PAP 構成のサンプルでは、PAP の login オプションが使用されています。このオプションを使用する場合は、ネットワークのパスワードデータベースも更新する必要がある可能性があります。login オプションの詳細については、「/etc/ppp/pap-secrets での login オプションの使用」を参照してください。

候補となる信頼できるすべての呼び出し元のリストを作成します。信頼できる呼び出し元とは、自分のリモートマシンからダイアルインサーバーを呼び出す権限を与えられているユーザーです。

ダイアルインサーバーのパスワードデータベースに、信頼できる呼び出し元全員の UNIX ユーザー名およびパスワードがあることを確認します。

注 –
この確認は、この PAP 構成のサンプルにとって重要です。このサンプルでは、呼び出し元の認証に、PAP の login オプションを使用しています。PAP に login を実装しない場合は、呼び出し元の PAP ユーザー名と UNIX ユーザー名を一致させる必要はありません。標準の /etc/ppp/pap-secrets については、「/etc/ppp/pap-secrets ファイル」を参照してください。

候補となる信頼できる呼び出し元に UNIX 名とパスワードがない場合は、次の手順に従います。
1. 呼び出し元に関する情報がない場合は、呼び出し元がダイアルインサーバーへのアクセス権を持っているかどうかをその呼び出し元の管理者に確認します。
2. 企業のセキュリティーポリシーが指定する方法に従って、これらの呼び出し元に UNIX ユーザー名およびパスワードを作成します。

ダイアルインサーバー上のスーパーユーザー、またはそれと同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

/etc/ppp/pap-secrets ファイルを編集します。

Solaris PPP 4.0 では、/etc/ppp に pap-secrets ファイルがあります。このファイルには、PAP 認証の使用方法についてのコメントが含まれています。ただし、オプションについてのコメントは含まれていません。コメントの最後に、次のオプションを追加することができます。
user1 myserver "" * user2 myserver "" * myserver user2 serverpass *
/etc/ppp/pap-secrets の login オプションを使用するには、信頼できる呼び出し元の UNIX 名をすべて入力する必要があります。3 番目のフィールドのどこに二重引用符 (““) が記述されても、呼び出し元のパスワードは、サーバーのパスワードデータベースで参照できます。

エントリ myserver * serverpass * には、ダイアルインサーバー用の PAP ユーザー名およびパスワードが含まれています。図 16–3 では、信頼できる呼び出し元である user2 は、リモートピアに認証を要求します。そのため、myserver の /etc/ppp/pap-secrets ファイルには、user2 との接続を確立する場合に使用する PAP 資格が含まれています。

参照

関連情報の参照先は次のとおりです。

PPP 構成ファイルを PAP 用に変更する (ダイアルインサーバー)

この節では、ダイアルインサーバーで PAP 認証をサポートするように、既存の PPP 構成ファイルを更新する方法について説明します。

PPP 構成ファイルに PAP サポートを追加する方法 (ダイアルインサーバー)

ここでは、「シリアル回線を介した通信を定義する方法 (ダイアルインサーバー)」で紹介した PPP 構成ファイルを例として使用します。

ダイアルインサーバー上のスーパーユーザー、またはそれと同等の役割としてログインします。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

認証オプションを /etc/ppp/options ファイルに追加します。

たとえば、既存の /etc/ppp/options ファイルに、次の太字のオプションを追加すると、PAP 認証を実装することができます。
lock auth login nodefaultroute proxyarp ms-dns 10.0.0.1 idle 120
auth

接続を確立する前に、サーバーが呼び出し元を認証する必要があることを示す

login

リモート呼び出し元が、標準的な UNIX ユーザー認証サービスを使用して認証されることを示す

nodefaultroute

ローカルシステム上の pppd セッションが root 権限がないとデフォルトの経路を確立できないことを示す

proxyarp

ピアの IP アドレスやシステムの Ethernet アドレスを指定するシステムのアドレス解決プロトコル (ARP) テーブルにエントリを追加する。このオプションを使用すると、ピアは、ほかのシステムのローカル Ethernet 上にあるように見える

ms-dns 10.0.0.1

pppd がクライアントにドメインネームサーバー (DNS) アドレス 10.0.0.1を与えることができるようにする

idle 120

2 分後にアイドルユーザーの接続が切断されることを示す

/etc/ppp/options.cua.a ファイルに、cua/a ユーザーの次のアドレスを追加します。
:10.0.0.2

/etc/ppp/options.cua.b ファイルに、cua/b ユーザーの次のアドレスを追加します。
:10.0.0.3

/etc/ppp/pap-secrets ファイルに、次のエントリを追加します。
* * "" *
注 –
前述したように、login オプションは、必要なユーザー認証を与えます。/etc/ppp/pap-secrets ファイルのこのエントリは、login オプションを使用して PAP を可能にする標準的な方法です。

参照

ダイアルインサーバーの信頼できる呼び出し元の PAP 認証資格を設定する手順については、「信頼できる呼び出し元の PAP 認証の設定 (ダイアルアウトマシン)」を参照してください。

信頼できる呼び出し元の PAP 認証の設定 (ダイアルアウトマシン)

この節では、信頼できる呼び出し元のダイアルアウトマシンで、PAP 認証を設定する手順について説明します。システム管理者は、システムで PAP 認証を設定し、それらを将来接続する可能性のある呼び出し元に配布することができます。また、リモート呼び出し元にすでにマシンがある場合は、この節の手順を指示することもできます。

信頼できる呼び出し元に PAP を設定するには、次の 2 つの手順を実行します。

呼び出し元の PAP セキュリティー資格を設定します。
呼び出し元のダイアルアウトマシンが PAP 認証をサポートするように設定します。

信頼できる呼び出し元に PAP 認証資格を設定する方法

ここでは、2 人の信頼できる呼び出し元の PAP 資格を設定する方法について説明します。これらのうちの 1 人は、リモートピアに認証資格を要求します。この手順では、システム管理者が、信頼できる呼び出し元のダイアルアウトマシンで PAP 資格を作成することを前提にしています。

ダイアルアウトマシン上のスーパーユーザー、またはそれと同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

図 16–3 で紹介した PAP 構成のサンプルでは、user1 がダイアルアウトマシンを所有しています。

呼び出し元の pap-secrets データベースを変更します。

Solaris PPP 4.0 には、/etc/ppp/pap-secrets ファイルがあります。このファイルには、便利な情報が含まれていますが、オプションについては触れていません。次のオプションをこの /etc/ppp/pap-secrets ファイルに追加できます。
user1 myserver pass1 *
user1 のパスワードである pass1 は、接続を通して、読み取り可能な ASCII 形式になることに注意してください。myserver は、呼び出し元 user1 がピアで使用する名前です。

ほかのダイアルアウトマシン上のスーパーユーザー、またはそれと同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

PAP 認証の例では、呼び出し元 user2 がこのダイアルアウトマシンを所有しています。

呼び出し元の pap-secrets データベースを変更します。

次のオプションを既存の /etc/ppp/pap-secrets ファイルの終わりに追加できます。
user2 myserver pass2 * myserver user2 serverpass *
この例では、/etc/ppp/pap-secrets に 2 つのエントリがあります。最初のエントリには、user2 が認証のためにダイアルインサーバー myserver に渡す PAP セキュリティー資格が含まれています。

user2 は、接続のネゴシエーションの一部として、ダイアルインサーバーに PAP 資格を要求します。そのため、/etc/ppp/pap-secrets の 2 つ目の行に、myserver に要求される PAP 資格も含まれています。

注 –
ほとんどの ISP は認証資格を提供しないため、ここで検討しているシナリオは、ISP との通信に関しては現実的ではありません。

参照

関連情報の参照先は次のとおりです。

PPP 構成ファイルを PAP 用に変更する (ダイアルアウトマシン)

次の作業は、信頼できる呼び出し元のダイアルアウトマシンで PAP 認証をサポートするように、既存の PPP 構成ファイルを更新する方法について説明します。

ここでは、次のパラメータを使用して、図 16–3 で紹介した user2 が所有するダイアルアウトマシン上で、PAP 認証を設定します。user2 は、ダイアルイン myserver からの呼び出しを含む着信呼び出し元に、認証を要求します。

PPP 構成ファイルに PAP サポートを追加する方法 (ダイアルアウトマシン)

ここでは、「シリアル回線を介した通信を定義する方法」で紹介した PPP 構成ファイルを例として使用します。この手順に従って、図 16–3 で示した user2 が所有するダイアルアウトマシンを設定します。

ダイアルアウトマシンにスーパーユーザーとしてログインします。

/etc/ppp/options ファイルを変更します。

次の /etc/ppp/options ファイルには、太字で示した PAP サポート用のオプションが含まれています。
# cat /etc/ppp/options lock name user2 auth require-pap
name user2

user2 をローカルマシン上のユーザーの PAP 名として設定する。login オプションを使用する場合は、PAP 名をパスワードデータベースにあるそのユーザーの UNIX ユーザー名と一致させる必要がある

auth

接続を確立する前に、ダイアルアウトマシンが呼び出し元を認証する必要があることを明示する

注 –
ほとんどのダイアルアウトマシンはピアに対する認証要求を行いませんが、このダイアルアウトマシンはピアに認証を要求します。どちらも可能です。

require-pap

ピアに PAP 資格を要求する

リモートマシン myserver 用の /etc/ppp/peers/peer-name ファイルを作成します。

次のサンプルは、「個々のピアとの接続を定義する方法」で作成した既存の /etc/ppp/peers/myserver ファイルに、PAP サポートを追加する方法を示しています。
# cat /etc/ppp/peers/myserver /dev/cua/a 57600 noipdefault defaultroute idle 120 user user2 remotename myserver connect "chat -U 'mypassword' -f /etc/ppp/mychat"
太字で示した新しいオプションにより、ピア myserver に関する PAP 要件が追加されます。

user user2

user2 をローカルマシンのユーザー名として定義する

remotename myserver

myserver をローカルマシンに認証資格を要求するピアとして定義する

参照

関連情報の参照先は次のとおりです。

ダイアルインサーバーを呼び出して、PAP 認証の設定をテストする手順については、「ダイアルインサーバーの呼び出し方法」
PAP 認証の詳細を理解するときは、「パスワード認証プロトコル (PAP)」

CHAP 認証の設定

この節では、チャレンジハンドシェーク認証プロトコル (CHAP) を使用して、PPP リンクに認証を実装する方法について説明します。ここでは、図 16–4 の例を使用して、私設ネットワークへのダイアルアップで CHAP を動作させる方法について説明します。CHAP 認証を実装する場合は、この手順を基準として使用してください。

以降の手順を実行する前に、次の作業を終了しておく必要があります。

ダイアルインサーバーと信頼できる呼び出し元が所有するダイアルアウトマシン間で、ダイアルアップリンクを設定しテストします。
ローカルマシン (ダイアルインサーバーまたはダイアルアウトマシン) に対するスーパーユーザーとしてのアクセス権を取得します。

CHAP 認証の設定 (作業マップ)

表 19–4 CHAP 認証についての作業マップ (ダイアルインサーバー)


作業	説明	参照先
1. CHAP シークレットをすべての信頼できる呼び出し元に割り当てる	CHAP シークレットを作成する、または呼び出し元に作成させる	「CHAP 資格データベースの作成方法 (ダイアルインサーバー)」
2. chap-secrets データベースを作成する	すべての信頼できる呼び出し元のセキュリティー資格を `/etc/ppp/chap-secrets` ファイルに追加する	「CHAP 資格データベースの作成方法 (ダイアルインサーバー)」
3. PPP の構成ファイルを変更する	CHAP 特有のオプションを `/etc/ppp/options` および `/etc/ppp/peers/peer-name` ファイルに追加する	「PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルインサーバー)」

表 19–5 CHAP 認証についての作業マップ (ダイアルアウトマシン)


作業	説明	参照先
1. 信頼できる呼び出し元のマシン用の CHAP データベースを作成する	信頼できる呼び出し元のセキュリティー資格と、必要であれば、ダイアルアウトマシンを呼び出すほかのユーザーのセキュリティー資格を `/etc/ppp/chap-secrets` に作成する	「CHAP 資格データベースの作成方法 (ダイアルインサーバー)」
2. PPP の構成ファイルを変更する	CHAP 特有のオプションを `/etc/ppp/options` ファイルに追加する	「PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルアウトマシン)」

ダイアルインサーバーに CHAP 認証を構成する

CHAP 認証を設定するには、最初に /etc/ppp/chap-secrets ファイルを変更します。このファイルには、CHAP シークレットを含む CHAP セキュリティー資格が含まれています。このセキュリティー資格を使用して、接続時に呼び出し元を認証します。

注 –

UNIX の認証メカニズムまたは PAM の認証メカニズムを CHAP とともに使用することはできません。たとえば、How to Create a PAP Credentials Database (Dial-in Server)で説明したような PPP 「PAP 資格データベースの作成方法 (ダイアルインサーバー)」オプションを使用することはできません。認証時に、PAM または UNIX スタイルの認証が必要な場合は、代わりに PAP を選択してください。

次に、私設ネットワークにあるダイアルインサーバーの CHAP 認証を実装します。PPP リンクは、外部のネットワークに接続する場合にだけ使用します。ネットワークにアクセスできるのは、ネットワーク管理者からアクセス権を与えられている呼び出し元だけです。その中には、システム管理者が含まれることもあります。

CHAP 資格データベースの作成方法 (ダイアルインサーバー)

信頼できる呼び出し元のユーザー名をすべて含むリストを作成します。

信頼できる呼び出し元とは、私設ネットワークを呼び出す権限を与えられているユーザーです。

各ユーザーに CHAP シークレットを割り当てます。

注 –
CHAP シークレットには、容易に予想しにくいものを選択してください。CHAP シークレットの内容については、予想しにくいものにするということ以外の制限はありません。

CHAP シークレットを割り当てる方法は、企業のセキュリティーポリシーにより違います。管理者がシークレットを作成するか、呼び出し元が自分のシークレットを作成する必要があります。自分が CHAP シークレットを割り当てる立場にない場合は、信頼できる呼び出し元によって、または信頼できる呼び出し元のために作成された CHAP シークレットを取得することを忘れないでください。

ダイアルインサーバー上のスーパーユーザー、またはそれと同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

/etc/ppp/chap-secrets ファイルを変更します。

Solaris PPP 4.0 には、/etc/ppp/chap-secrets ファイルがあります。このファイルには、便利な情報が含まれていますが、オプションについては触れていません。サーバー CallServe 用の次のオプションを既存の /etc/ppp/chap-secrets ファイルの最後に追加することができます。
account1 CallServe key123 * account2 CallServe key456 *
key123 は、信頼できる呼び出し元 account1 の CHAP シークレットです。

key456 は、信頼できる呼び出し元 account2 の CHAP シークレットです。

参照

関連情報の参照先は次のとおりです。

PPP 構成ファイルを CHAP 用に変更する (ダイアルインサーバー)

この節では、ダイアルインサーバーで CHAP 認証をサポートするように、既存の PPP 構成ファイルを更新する方法について説明します。

PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルインサーバー)

ダイアルインサーバーにスーパーユーザーとしてログインします。

/etc/ppp/options ファイルを変更します。

太字で表示されているオプションを追加して、CHAP がサポートされるようにします。
# cat /etc/ppp/options lock nodefaultroute name CallServe auth
name CallServe

CallServe をローカルマシン上のユーザーの CHAP 名として定義する。この場合、ローカルマシンはダイアルインサーバーである

auth

ローカルマシンで呼び出し元を認証してから、接続を確立する

信頼できる呼び出し元をサポートするために必要なその他の PPP 構成ファイルを作成します。

「ダイアルインサーバーのユーザーを構成する方法」および「シリアル回線を介した通信を定義する方法 (ダイアルインサーバー)」を参照してください。

参照

信頼できる呼び出し元の CHAP 認証資格を設定する手順については、「CHAP 資格データベースの作成方法 (ダイアルインサーバー)」を参照してください。

信頼できる呼び出し元の CHAP 認証の設定 (ダイアルアウトマシン)

この節では、信頼できる呼び出し元のダイアルアウトマシンで、CHAP 認証を設定する手順について説明します。企業のセキュリティーポリシーによって、管理者と信頼できる呼び出し元のどちらが CHAP 認証を設定するのかが決まります。

リモート呼び出し元が CHAP を設定する場合は、呼び出し元のローカルの CHAP シークレットが、ダイアルインサーバーの /etc/ppp/chap-secrets ファイルに記述されている CHAP シークレットと一致していることを確認します。その後、呼び出し元に、この節で説明している CHAP 設定の手順を指示します。

信頼できる呼び出し元に CHAP を設定するには、次の 2 つの手順を実行します。

呼び出し元の CHAP セキュリティー資格を作成します。
呼び出し元のダイアルアウトマシンが CHAP 認証をサポートするように設定します。

信頼できる呼び出し元に CHAP 認証資格を設定する方法

ここでは、2 人の信頼できる呼び出し元に、PAP 資格を設定する方法について説明します。この手順では、システム管理者が、信頼できる呼び出し元のダイアルアウトマシンで CHAP 資格を作成することを前提にしています。

ダイアルアウトマシン上のスーパーユーザー、またはそれと同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

「CHAP 認証による構成例」の CHAP 構成のサンプルでは、信頼できる呼び出し元 account1 がダイアルアウトマシンを所有しています。

chap-secrets データベースを呼び出し元 account1 用に変更します。

Solaris PPP 4.0 には、/etc/ppp/chap-secrets ファイルがあります。このファイルには、便利な情報が含まれていますが、オプションについては触れていません。次のオプションをこの既存の /etc/ppp/chap-secrets ファイルに追加できます。
account1 CallServe key123 *
CallServe は、account1 がアクセスを試みているピアの名前です。key123 は、account1 と CallServer 間での接続に使用する CHAP シークレットです。

ほかのダイアルアウトマシン上のスーパーユーザー、またはそれと同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

呼び出し元 account2 がこのマシンを所有しているとします。

/etc/ppp/chap-secrets データベースを呼び出し元 account2 用に変更します。
account2 CallServe key456 *
account2 に、シークレット key456 が、ピア CallServe への接続に使用する CHAP 資格として設定されます。

参照

関連情報の参照先は次のとおりです。

CHAP を構成ファイルに追加する (ダイアルアウトマシン)

CHAP 認証の詳細を理解するには、「チャレンジハンドシェーク認証プロトコル (CHAP)」を参照してください。次の手順に従って、「CHAP 認証による構成例」で紹介した呼び出し元 account1 が所有するダイアルアウトマシンを設定します。

PPP 構成ファイルに CHAP サポートを追加する方法 (ダイアルアウトマシン)

ダイアルアウトマシンにスーパーユーザーとしてログインします。

/etc/ppp/options ファイルが次のオプションを持つことを確認します。
# cat /etc/ppp/options lock nodefaultroute

リモートマシン CallServe 用の /etc/ppp/peers/peer-name ファイルを作成します。
# cat /etc/ppp/peers/CallServe /dev/cua/a 57600 noipdefault defaultroute idle 120 user account1 connect "chat -U 'mypassword' -f /etc/ppp/mychat"
オプション user account1 により、account1 が、CallServe に提供される CHAP ユーザー名として設定されます。前のファイルのほかのオプションについては、「個々のピアとの接続を定義する方法」の /etc/ppp/peers/myserver ファイルにある同様のオプションの説明を参照してください。

参照

ダイアルインサーバーを呼び出して、CHAP 認証をテストする手順については、「ダイアルインサーバーの呼び出し方法」を参照してください。

第 20 章 PPPoE トンネルの設定 (手順)

この章では、PPPoE トンネルの両端、つまり PPPoE クライアントと PPPoE アクセスサーバーを設定する方法について説明します。ここでは、次の内容を説明します。

ここでは、「PPPoE トンネルを介した DSL サポートの計画」で紹介したシナリオを例として使用します。PPPoE の概要については、「PPPoE による DSL ユーザーのサポート」を参照してください。

PPPoE トンネル設定の主な作業 (作業マップ)

次の表に、PPPoE クライアントと PPPoE アクセスサーバーを構成するための主な作業を一覧表示します。サイトで PPPoE を実装するには、PPPoE トンネルの自分の側だけ、つまりクライアント側かアクセスサーバー側のどちらかを設定します。

表 20–1 PPPoE クライアントの設定 (作業マップ)


作業	説明	参照先
1. PPPoE のインタフェースを構成する	Ethernet インタフェースを PPPoE トンネルで使用するために定義する	「PPPoE クライアントのインタフェースを構成する方法」
2. PPPoE アクセスサーバーに関する情報を構成する	PPPoE トンネルのサービスプロバイダ側にあるアクセスサーバーのパラメータを定義する	「PPPoE アクセスサーバーピアを定義する方法」
3. PPP 構成ファイルを設定する	まだクライアントの PPP 構成ファイルを定義していない場合は、定義する	「シリアル回線を介した通信を定義する方法」
4. トンネルを作成する	アクセスサーバーを呼び出す	「PPPoE アクセスサーバーピアを定義する方法」

表 20–2 PPPoE アクセスサーバーの設定 (作業マップ)


作業	説明	参照先
1. PPPoE のアクセスサーバーを構成する	PPPoE トンネルで使用する Ethernet インタフェースと、アクセスサーバーが提供するサービスを定義する	「PPPoE アクセスサーバーの設定方法」
2. PPP 構成ファイルを設定する	まだクライアントの PPP 構成ファイルを定義していない場合は、定義する	「ダイアルインサーバーを介した通信を構成する」
3. (省略可能) インタフェースの使用を限定する	PPPoE オプションと PAP 認証を使用して、特定の Ethernet インタフェースの使用を特定のクライアントに限定する	「インタフェースの使用を特定のクライアントに限定する方法」

PPPoE クライアントの設定

DSL を介してクライアントシステムに PPP を提供するには、まずモデムまたはハブに接続されているインタフェースで PPPoE を構成する必要があります。次に、PPP 構成ファイルを変更して、PPPoE の反対側のアクセスサーバーを定義する必要があります。

PPPoE クライアント設定の前提条件

PPPoE クライアントを設定する前に、次を行なっておく必要があります。

PPPoE トンネルを使用するため、クライアントマシンに Solaris 8 Update 6 以降のリリースをインストールする
サービスプロバイダに連絡して PPPoE アクセスサーバーに関する情報を得る
クライアントマシンが使用するデバイスを電話会社またはサービスプロバイダに取り付けてもらう。たとえば DSL モデムやスプリッタなどのデバイスがあるが、これらは自分で取り付けるのではなく、電話会社が取り付ける

PPPoE クライアントのインタフェースを構成する方法

この作業は、PPPoE トンネルで使用するように Ethernet インタフェースを定義する場合に行なってください。

PPPoE クライアント上でスーパーユーザーになるか、同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

DSL 接続のある Ethernet インタフェースの名前を /etc/ppp/pppoe.if ファイルに追加します。

たとえば、DSL モデムに接続するネットワークインタフェースに hme0 を使用する PPPoE クライアントの場合は、/etc/ppp/pppoe.if に次のエントリを追加します。
hme0
/etc/ppp/pppoe.if の詳細は、「/etc/ppp/pppoe.if ファイル」を参照してください。

PPPoE を使用するためのインタフェースを構成します。
# /etc/init.d/pppd start

(省略可能) インタフェースが PPPoE に plumb されたことを確認します。
# /usr/sbin/sppptun query hme0:pppoe hme0:pppoed
/usr/sbin/sppptun コマンドを使ってインタフェースを手動で PPPoE に plumb することもできます。手順については、「/usr/sbin/sppptun コマンド」を参照してください。

PPPoE アクセスサーバーピアを定義する方法

/etc/ppp/peers/peer-name ファイルでアクセスサーバーを定義します。アクセスサーバーで使用されるオプションの多くは、ダイアルインサーバーをダイアルアップシナリオで定義するのにも使用できます。/etc/ppp/peers.peer-name の詳細は、「/etc/ppp/peers/peer-name ファイル」を参照してください。

PPPoE クライアント上でスーパーユーザーになるか、同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

/etc/ppp/peers/peer-name ファイルでサービスプロバイダの PPPoE アクセスサーバーを定義します。

たとえば、次のファイル /etc/ppp/peers/dslserve は、「PPPoE トンネルの構成例」で紹介した Far ISP にあるアクセスサーバー dslserve を定義しています。
# cat /etc/ppp/peers/dslserve sppptun plugin pppoe.so connect "/usr/lib/inet/pppoec hme0" noccp noauth user Red password redsecret noipdefault defaultroute
このファイルのオプションの定義については、「アクセスサーバーピアを定義するための /etc/ppp/peers/peer-name ファイル」を参照してください。

PPPoE クライアント上のほかの PPP 構成ファイルを変更します。
1. 「ダイアルアウトマシンの構成」で説明したダイアルアウトマシンを構成する手順に従って、/etc/ppp/options を構成します。
2. /etc/ppp/options.sppptun ファイルを作成します。/etc/ppp/options.sppptun ファイルは、PPPoE に plumb されているインタフェースのシリアルポートの PPP オプションを定義します。
  
  /etc/ppp/options. ttyname ファイル (「 /etc/ppp/options. ttyname 構成ファイル」を参照) で使用できるオプションはすべて使用できます。sppptun は pppd 構成で指定されているデバイス名なので、ファイル名には /etc/ppp/options.sppptun を使用する必要があります。

すべてのユーザーがクライアント上で PPP を起動できることを確認します。
# touch /etc/ppp/options

PPP が DSL 回線上で動作できるかどうかをテストします。
% pppd debug updetach call dslserve
dslserve は、「PPPoE トンネルの構成例」で示した ISP のアクセスサーバーに指定されている名前です。debug updetach オプションにより、デバッグ情報が端末のウィンドウに表示されます。

PPP が正しく動作した場合、端末の出力には、接続がアクティブになることが表示されます。PPP が動作しない場合は、次のコマンドを実行してサーバーが正しく動作しているかどうかを確認します。
# /usr/lib/inet/pppoec -i hme0
注 –
構成した PPPoE クライアントのユーザーは、次のコマンドを入力して DSL 回線上で PPP の実行を開始できます。
% pppd call ISP-server-name
続いてユーザーは、アプリケーションまたはサービスを実行できます。

参照

関連情報の参照先は次のとおりです。

PPPoE アクセスサーバーの設定

サービスプロバイダ会社の場合、DSL 接続を介してサイトに到達するクライアントに対してインターネットサービスやその他のサービスを提供できます。作業としては、サーバー上のどのインタフェースを PPPoE トンネルに使用するかを決定するとともに、ユーザーに許可するサービスを決定します。

PPPoE アクセスサーバーの設定方法

この作業は、PPPoE トンネルで使用する Ehernet インタフェースを定義し、アクセスサーバーが提供するサービスを設定する場合に行なってください。

アクセスサーバーのスーパーユーザーになるか、同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

PPPoE トンネル専用の Ethernet インタフェースの名前を /etc/ppp/pppoe.if ファイルに追加します。

たとえば、次の /etc/ppp/pppoe.if ファイルを「PPPoE トンネルの構成例」で示したアクセスサーバー dslserve に使用します。
# cat /etc/ppp/pppoe.if hme1 hme2

/etc/ppp/pppoe ファイルで、アクセスサーバーが提供する広域サービスを定義します。

次の /etc/ppp/pppoe ファイルは、図 16–5 で示したアクセスサーバー dslserve によって提供されるサービスを一覧表示しています。
device hme1,hme2 service internet pppd "proxyarp 192.168.1.1:" service debugging pppd "debug proxyarp 192.168.1.1:"
このファイルの例では、dslserve の Ethernet インタフェース hme1 および hme2 でインターネットサービスが宣言されています。また、Ethernet インタフェース上の PPP リンクでデバッグがオンに設定されています。

ダイアルインサーバーと同じ方法で PPP 構成ファイルを設定します。

詳細は、「呼び出し元の IP アドレス指定スキーマの作成」を参照してください。

pppoed デーモンを起動します。
# /etc/init.d/pppd start
pppd もまた、/etc/ppp/pppoe.if に一覧表示されるインタフェースを plumb します。

(省略可能) サーバー上のインタフェースが PPPoE に plumb されていることを確認します。
# /usr/sbin/sppptun query hme1:pppoe hme1:pppoed hme2:pppoe hme2:pppoed
この例は、インタフェース hme1 および hme2 が現在 PPPoE に plumb されていることを示しています。/usr/sbin/sppptun コマンドを使ってインタフェースを手動で PPPoE に plumb することもできます。手順については、「/usr/sbin/sppptun コマンド」を参照してください。

既存の `/etc/ppp/pppoe` ファイルを変更する方法

アクセスサーバーのスーパーユーザーになるか、同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

必要に応じて /etc/ppp/pppoe を変更します。

pppoed デーモンに新しいサービスを認識させます。
# pkill -HUP pppoed

インタフェースの使用を特定のクライアントに限定する方法

次に、インタフェースを PPPoE クライアントのグループに限定する手順を説明します。この作業を実行する前に、インタフェースに割り当てているクライアントの実 Ethernet MAC アドレスを取得する必要があります。

注 –

システムによっては、Ethernet インタフェース上で MAC アドレスを変更できます。この機能は便利ですが、セキュリティー対策としては考えないでください。

次の手順では、「PPPoE トンネルの構成例」で示した例を使用して、dslserve のインタフェースの 1 つである hme1 を MiddleCo のクライアント用に予約する方法を示しています。

「PPPoE アクセスサーバーの設定方法」に示されている手順に従ってアクセスサーバーのインタフェースを構成し、サービスについて定義します。

サーバーの /etc/ethers データベースにクライアントのエントリを作成します。

次は、Red、Blue、および Yellow というクライアントのエントリの例です。
8:0:20:1:40:30 redether 8:0:20:1:40:10 yellowether 8:0:20:1:40:25 blueether
この例では、クライアントの Red、Yellow、および Blue の Ethernet アドレスに redether、yellowether、および blueether という記号名を割り当てています。MAC アドレスへの記号名の割り当ては任意です。

特定のインタフェース上で提供されるサービスを限定するには、次の情報を /etc/ppp/pppoe.device ファイルで定義します。

このファイル名で、device は定義するデバイスの名前です。
# cat /etc/ppp/pppoe.hme1 service internet pppd "name dslserve-hme1" clients redether,yellowether,blueether
dslserve-hme1 はアクセスサーバーの名前で、pap-secrets ファイル内の同じエントリで使用されます。clients オプションは、インタフェース hme1 の使用を Ethernet 記号名が redether、yellowether、および blueether であるクライアントに限定します。

/etc/ethers でクライアントの MAC アドレスに記号名を定義していない場合は、clients オプションの引数として数値アドレスを使用できます。このとき、ワイルドカードも使用できます。

たとえば、clients 8:0:20:*:*:* のような数値アドレスを指定できます。ワイルドカードを使用することで、/etc/ethers 内の一致するアドレスすべてにアクセスが許可されます。

アクセスサーバーの /etc/ppp/pap-secrets ファイルを作成します。
Red dslserve-hme1 redpasswd * Blue dslserve-hme1 bluepasswd * Yellow dslserve-hme1 yellowpassd *
エントリは、dslserve の hme1 インタフェース上で PPP を実行することを許可されたクライアントの PAP 名およびパスワードです。

PAP 認証の詳細は、「PAP 認証の設定」を参照してください。

参照

関連情報の参照先は次のとおりです。

PPPoE の詳細については、「DSL サポート用の PPPoE トンネルの作成」を参照してください。
PPPoE と PPP のトラブルシューティングについては、「PPP および PPPoE 関連の問題の解決」を参照してください。
PPPoE クライアントの構成については、「PPPoE クライアントの設定」を参照してください。
クライアントの PAP 認証の構成については、「信頼できる呼び出し元の PAP 認証の設定 (ダイアルアウトマシン)」を参照してください。
サーバー上の PAP 認証の構成については、「ダイアルインサーバーに PAP 認証を構成する」を参照してください。

第 21 章一般的な PPP 問題の解決 (手順)

この章では、Solaris PPP 4.0 で発生する一般的な問題のトラブルシューティングに関する情報を提供します。次の項目について説明します。

James Carlson による『PPP Design, Implementation, and Debugging』やオーストラリア国立大学の Web サイトなどの情報源も、PPP のトラブルシューティングに詳細なアドバイスを提供しています。詳細は、「PPP に関する専門技術者向けのリファレンスブック」および「PPP に関する Web サイト」を参照してください。

PPP 問題の解決 (作業マップ)

次の作業マップを使用すれば、一般的な PPP の問題のためのアドバイスや解決方法をすばやく探すことができます。

表 21–1 PPP のトラブルシューティング (作業マップ)


作業	定義	参照先
PPP リンクに関する診断情報を取得します	PPP 診断ツールを使ってトラブルシューティングの出力を取得します。	「`pppd` から診断情報を取得する方法」
PPP リンクのデバッグ情報を取得します	`pppd debug` コマンドを使ってトラブルシューティングの出力を生成します。	「PPP デバッグをオンに設定する方法」
ネットワークレイヤーでの一般的な問題をトラブルシューティングします	一連の確認作業を行いネットワーク関連の PPP 問題を特定し解決します。	「ネットワークの問題を診断する方法」
一般的な通信の問題をトラブルシューティングします	PPP リンクに影響を与える通信の問題を特定し解決します。	「通信の問題を診断し解決する方法」
構成の問題をトラブルシューティングします	PPP 構成ファイルで問題を特定し解決します。	「PPP 構成の問題を診断する方法」
モデム関連の問題をトラブルシューティングします	モデムの問題を特定し解決します。	「モデムの問題を診断する方法」
chat スクリプト関連の問題をトラブルシューティングします	ダイアルアウトマシン上の chat スクリプトの問題を特定し解決します。	「chat スクリプトのデバッグ情報を取得する方法」
シリアル回線の速度の問題をトラブルシューティングします	ダイアルインサーバー上で回線速度の問題を特定し解決します。	「シリアル回線の速度の問題を診断して解決する方法」
専用回線の一般的な問題をトラブルシューティングします	専用回線のパフォーマンスの問題を特定し解決します。	「専用回線の問題の解決」
認証に関連する問題をトラブルシューティングします	認証データベースに関連する問題を特定し解決します。	「認証の問題の診断と解決」
PPPoE の問題領域をトラブルシューティングします	PPP 診断ツールを使用して、PPPoE の問題を特定し解決するための出力を得ます。	「PPPoE の診断情報を取得する方法」

PPP のトラブルシューティングのためのツール

PPP リンクは、一般に次の 3 つの主要な領域で障害が発生します。

接続の確立に失敗する
通常の使用の中で接続パフォーマンスが低下する
接続のどちらかの側でネットワークに原因と考えられる問題が発生する

PPP が動作しているかどうかを確認するためのもっとも簡単な方法は、リンクを介したコマンドを実行することです。ping や traceroute などのコマンドをピアのネットワーク上のホストに対して実行し、結果を調べます。ただし、確立されている接続のパフォーマンスを監視したり、問題のある接続をトラブルシューティングしたりするには、PPP および UNIX のデバッグツールを使用してください。

この節では、pppd および関連するログファイルから診断情報を取得する方法について説明します。この章の残りの節では、PPP トラブルシューティングツールを使って発見し解決できる PPP に関する一般的な問題を説明します。

`pppd` から診断情報を取得する方法

次に、ローカルマシン上の接続の現在の動作を表示する手順を説明します。

ローカルマシン上でスーパーユーザーになるか、同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

PPP に設定されているシリアルデバイスを引数としてpppd を実行します。
# pppd cua/b debug updetach
次に、pppd をフォアグラウンドで実行したときに表示されるダイアルアップリンクおよび専用回線リンクの診断結果の例を示します。バックグラウンドで pppd debug を実行すると、作成される出力は /etc/ppp/connect-errors ファイルに送られます。

例 21–1 正常に動作しているダイアルアップ接続からの出力

# pppd /dev/cua/b debug updetach
have route to 0.0.0.0/0.0.0.0 via 172.21.0.4
serial speed set to 230400 bps
Using interface sppp0
Connect: sppp0 <--> /dev/cua/b
sent [LCP ConfReq id=0x7b <asyncmap 0x0> <magic 0x73e981c8> <pcomp> <accomp>]
rcvd [LCP Ident id=0x79 magic=0x0 "ppp-2.4.0b1 (Sun Microsystems, Inc., Oct  6 
	2004 09:36:22)"]
Peer Identification: ppp-2.4.0b1 (Sun Microsystems, Inc., Oct  6 2004 09:36:22)
	rcvd [LCP ConfRej id=0x7b <asyncmap 0x0>]
sent [LCP Ident id=0x7c magic=0x0 "ppp-2.4.0b1 (Sun Microsystems, Inc., Sep 15 
	2004 09:38:33)"
sent [LCP ConfReq id=0x7d <magic 0x73e981c8> <pcomp> <accomp>]
rcvd [LCP ConfAck id=0x7d <magic 0x73e981c8> <pcomp> <accomp>]
rcvd [LCP ConfAck id=0x78 <magic 0xdd4ad820> <pcomp> <accomp>]
sent [LCP ConfAck id=0x78 <magic 0xdd4ad820> <pcomp> <accomp>]
sent [LCP Ident id=0x7e magic=0x73e981c8 "ppp-2.4.0b1 (Sun Microsystems, Inc., 
	Sep 15 2004 09:38:33)"]
sent [IPCP ConfReq id=0x3d <addr 0.0.0.0> <compress VJ 0f 01>]
rcvd [LCP Ident id=0x7a magic=0xdd4ad820 "ppp-2.4.0b1 (Sun Microsystems, Inc., 
	Oct  6 2004 09:36:22)"]
Peer Identification: ppp-2.4.0b1 (Sun Microsystems, Inc., Oct  6 2004 09:36:22)
rcvd [IPCP ConfReq id=0x92 <addr 10.0.0.1> <compress VJ 0f 01>
sent [IPCP ConfAck id=0x92 <addr 10.0.0.1> <compress VJ 0f 01>
rcvd [IPCP ConfNak id=0x3d <addr 10.0.0.2>]]
sent [IPCP ConfReq id=0x3e <addr 10.0.0.2> <compress VJ 0f 01>]
rcvd [IPCP ConfAck id=0x3e <addr 10.0.0.2> <compress VJ 0f 01>]
local  IP address 10.0.0.2
remote IP address 10.0.0.1

例 21–2 正常に動作している専用回線リンクからの出力

# pppd /dev/se_hdlc1 default-asyncmap debug updetach
pppd 2.4.0b1 (Sun Microsystems, Inc., Oct 24 2004 07:13:18) started by root, uid 0
synchronous speed appears to be 0 bps
init option: '/etc/ppp/peers/syncinit.sh' started (pid 105122)
Serial port initialized.
synchronous speed appears to be 64000 bps
Using interface sppp0
Connect: sppp0 <--> /dev/se_hdlc1
sent [LCP ConfReq id=0xe9 <magic 0x474283c6><pcomp> <accomp>]
rcvd [LCP ConfAck id=0xe9 <magic 0x474283c6><pcomp> <accomp>]
rcvd [LCP ConfReq id=0x22 <magic 0x8e3a53ff><pcomp> <accomp>]
sent [LCP ConfReq id=0x22 <magic 0x8e3a53ff><pcomp> <accomp>]
sent [LCP Ident id=0xea magic=0x474283c6 "ppp-2.4.0b1 (Sun Microsystems, Inc., Oct 
	22 2004 14:31:44)"]
sent [IPCP ConfReq id=0xf7 <addr 0.0.0.0> <compress VJ Of o1>]]
sent [CCP ConfReq id=0x3f <deflate 15> <deflate(old#) 15> <bsd v1 15>]
rcvd [LCP Ident id=0x23 magic=0x8e3a53ff "ppp-2.4.0b1 (Sun Microsystems, Inc., Oct 
	22 2004 14:31:44)"]
Peer Identification: ppp-2.4.0b1 (Sun Microsystems, Inc., Oct 22 2004 14:31:44)
rcvd [IPCP ConfReq id=0x25 <addr 10.0.0.1> <compress VJ Of 01>]
sent [IPCP ConfAck id=0x25 <addr 10.0.0.1> <compress VJ Of 01>]
rcvd [CCP ConfReq id=0x3 <deflate 15> <deflate(old#) 15 <bsd v1 15>]
sent [CCP ConfAck id=0x3 <deflate 15> <deflate(old#) 15 <bsd v1 15>]
rcvd [IPCP ConfNak id=0xf8 <addr 10.0.0.2>]
rcvd [IPCP ConfReq id=0xf7 <addr 10.0.0.2> <compress VJ Of 01>]
rcvd [CCP ConfAck id=0x3f <deflate 15> <deflate(old#) 15 <bsd v1 15>]
Deflate (15) compression enabled
rcvd [IPCP ConfAck id=0xf8 <addr 10.0.0.2> <compress VJ Of 01>]
local  IP address 10.0.0.2
remote IP address 10.0.0.1

PPP デバッグをオンに設定する方法

次に、pppd コマンドを使ってデバッグ情報を取得する方法を示します。

注 –

手順 1 から手順 3 までは各ホストごとに 1 度実行するだけでかまいません。その後、手順 4 に進んでホストのデバッグをオンに設定できます。

スーパーユーザーになるか、同等の役割を引き受けます。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

pppd からの出力を保持するためのログファイルを作成します。
# touch /var/log/pppdebug

次の pppd 用の syslog 機能を /etc/syslog.conf に追加します。
daemon.debug;local2.debug /var/log/pppdebug

syslogd を再起動します。
# pkill -HUP -x syslogd

pppd の次の構文を使用して、特定のピアに対する呼び出しのデバッグをオンに設定します。
# pppd debug call peer-name
peer-name は、/etc/ppp/peers ディレクトリにあるファイル名でなければなりません。

ログファイルの内容を表示します。
# tail -f /var/log/pppdebug
ログファイルの例については、手順 3 を参照してください。

PPP および PPPoE 関連の問題の解決

PPP 関連の問題と PPPoE 関連の問題を解決する方法については、次の節を参照してください。

ネットワークの問題を診断する方法

PPP リンクがアクティブになったにもかかわらずリモートネットワーク上のほとんどのホストに到達できないという場合は、ネットワーク問題が見つかる可能性があります。ここでは、PPP リンクに影響を与えるネットワーク障害を特定し、解決する方法を示します。

ローカルマシン上でスーパーユーザーになるか、同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

問題のある接続を切断します。

次のオプションを PPP 構成に追加して、構成ファイルのオプションのプロトコルを無効にします。
noccp novj nopcomp noaccomp default-asyncmap
このオプションは、もっとも単純で圧縮を行わない PPP を使用可能にします。コマンド行でこれらのオプションを引数として pppd を実行してみます。これまで接続できなかったホストに接続できれば、次のいずれかの位置にオプションを追加します。
- /etc/ppp/peers/peer-name、call オプションのあと
- /etc/ppp/options、オプションを広域的に適用する場合

リモートピアを呼び出します。次に、デバッグをオンに設定します。
% pppd debug call peer-name

chat の -v オプションを使用して、chat プログラムから冗長ログを取得します。

たとえば、PPP 構成ファイルで次の形式を使用します。
connect 'chat -v -f /etc/ppp/chatfile'
/etc/ppp/chatfile は、お使いの chat ファイルの名前を表します。

Telnet またはほかのアプリケーションを使ってリモートホストに接続し、問題を再度発生させてみます。

デバッグログを調べます。これでもリモートホストに接続できない場合は、PPP の問題はネットワークに関連している可能性があります。

リモートホストの IP アドレスが登録されているインターネットアドレスであることを確認します。

組織によっては、ローカルネットワーク内では通用するが、インターネットへは経路指定できない内部 IP アドレスを割り当てる場合があります。リモートホストが社内にある場合、インターネットに接続するためには、管理者は、NAT (名前 - アドレス変換) またはプロキシサーバーを設定する必要があります。リモートホストが社内にない場合は、遠隔組織に問題を報告する必要があります。

経路指定テーブルを調べます。
1. ローカルマシンとピアの両方で経路指定テーブルを確認します。
2. 経路指定テーブルで、ピアからリモートシステムへのパスにあるルーターをすべて確認します。また、リモートシステムからピアへの戻りのパスにあるルーターもすべて確認します。
  
  中間ルーターの設定が間違っていないことを確認します。ピアへの戻りのパスに問題が見つかることがしばしばあります。

(省略可能) マシンがルーターである場合、オプションの機能を確認します。
# ndd -set /dev/ip ip_forwarding 1
ndd の詳細は、ndd(1M) のマニュアルページを参照してください。

Solaris 10 リリースでは、ndd(1M) ではなく routeadm(1M) を利用できます。
# routeadm -e ipv4-forwarding -u
注 –
ndd コマンドに持続性はありません。このコマンドに設定された値は、システムのリブート時に消失します。routeadm コマンドは持続します。このコマンドに設定された値は、システムのリブート後も保持されます。

netstat -s および同様のツールから取得した統計を確認します。

netstat の詳細は、netstat(1M) のマニュアルページを参照してください。
1. ローカルマシン上で統計を実行します。
2. ピアを呼び出します。
3. netstat -s によって生成された新しい統計を調べます。詳細は、「PPP に影響を与える一般的なネットワークの問題」を参照してください。

DNS 構成を確認します。

ネームサービス構成に問題があると、IP アドレスを解釈処理できないため、アプリケーションは障害を発生します。

PPP に影響を与える一般的なネットワークの問題

netstat -s によって生成されたメッセージを使用すると、次の表に示したネットワークの問題を解決できます。関連する作業情報として、「ネットワークの問題を診断する方法」を参照してください。

表 21–2 PPP に影響を与える一般的なネットワークの問題


メッセージ	問題	解決方法
`IP packets not forwardable`	ローカルホストで送信経路が見つからない	ローカルホストの経路指定テーブルに欠如している送信経路を追加する
`ICMP input destination unreachable`	ローカルホストで送信経路が見つからない	ローカルホストの経路指定テーブルに欠如している送信経路を追加する
`ICMP time exceeded`	2 つのルーターが同じ着信アドレスを互いに送信し、パケットが互いに何度も往復し、TTL (存続時間) の値を超過した	`traceroute` を使ってルーティングループの源を見つけ、エラーになっているルーターの管理者に連絡する。`traceroute` の詳細は、traceroute(1M) のマニュアルページを参照
`IP packets not forwardable`	ローカルホストで送信経路が見つからない	ローカルホストの経路指定テーブルに欠如している送信経路を追加する
`ICMP input destination unreachable`	ローカルホストで送信経路が見つからない	ローカルホストの経路指定テーブルに欠如している送信経路を追加する

通信の問題を診断し解決する方法

通信の問題は、2 つのピアがリンクを正常に確立できない場合に発生します。これらは、chat スクリプトが不正に設定されているために起きるネゴシエーション問題であることもあります。ここでは、通信の問題を解決する方法を示します。誤りのある chat スクリプトによって発生するネゴシエーション問題を解決する方法については、表 21–5 を参照してください。

ローカルマシン上でスーパーユーザーになるか、同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

ピアを呼び出します。

リモートピアを呼び出します。次に、デバッグをオンに設定します。
% pppd debug call peer-name
通信の問題によっては、問題解決のためにピアからデバッグ情報を取得する必要がある場合があります。

生成されたログをチェックし、通信の問題が報告されていないかを確認します。詳細は、「PPP に影響を与える一般的な通信の問題」を参照してください。

PPP に影響を与える一般的な通信の問題

次の表は、「通信の問題を診断し解決する方法」の作業で出力されるログに関連する症状を説明したものです。

表 21–3 PPP に影響を与える一般的な通信の問題


症状	問題	解決方法
`too many Configure-Requests` メッセージ	あるピアがほかのピアを認識できません。	次の問題を確認します。マシンまたはモデムの配線が間違っていないか。モデムの構成に不適切なビット設定がないか、あるいは間違ったフロー制御がないか。 chat スクリプトが誤っていないか。この場合は、表 21–5 を参照してください。
`pppd debug` の出力は LCP が起動していることを示しているが、より上位のプロトコルが失敗したか、あるいは CRC エラーを示している	非同期制御文字マップ (ACCM) が正しく設定されていません。	`default-async` オプションを使用して ACCM を標準のデフォルトである FFFFFFFF に設定します。まずコマンド行で `pppd` のオプションとして `default-async` を使用します。問題が解決したら、`default-async` を `/etc/ppp/options` または call オプションのあとの `/etc/ppp/peers/peer-name` に追加します。
`pppd debug` の出力は IPCP が起動していることを示しているが、すぐに終了してしまう	IP アドレスの設定が間違っている可能性があります。	間違った IP アドレスがないか確認するために、chat スクリプトを調べます。 chat スクリプトに誤りがない場合は、ピアのデバッグログを要求し、ピアのログで IP アドレスを確認します。
接続のパフォーマンスが非常に低い	フロー制御構成のエラー、モデム設定のエラー、不適切に設定された DTE レートなどにより、モデムが適切に構成されていない可能性があります。	モデム構成を確認し、適宜調整します。

PPP 構成の問題を診断する方法

PPP の問題には、PPP 構成ファイルの問題が原因となっているものがあります。ここでは、一般的な構成問題を特定し、解決する方法を示します。

ローカルマシン上でスーパーユーザーになるか、同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

リモートピアを呼び出します。次に、デバッグをオンに設定します。
% pppd debug call peer-name

生成されたログをチェックし、構成問題が報告されていないかを確認します。詳細は、「一般的な PPP 構成の問題」を参照してください。

一般的な PPP 構成の問題

次の表は、「PPP 構成の問題を診断する方法」の作業で出力されるログに関連する症状を説明したものです。

表 21–4 一般的な PPP 構成の問題


症状	問題	解決方法
`pppd debug` 出力に、「`Could not determine remote IP address`」というエラーメッセージが含まれる	`/etc/ppp/peers/peer-name` ファイルにそのピアの IP アドレスが存在しない。ピアが、接続ネゴシエーション時に IP アドレスを提供しない	次の形式を使用して、pppd コマンド行、あるいは `/etc/ppp/peers/peer-name` でピアの IP アドレスを指定する :10.0.0.10
`pppd debug` の出力が CCP データ圧縮が失敗したことを示す。出力には接続が解除されたことも表示する	ピアの PPP 圧縮設定が衝突している可能性がある	ピアの 1 つで `/etc/ppp/options` に `noccp` オプションを追加して CCP 圧縮を無効にする

モデムの問題を診断する方法

モデムは、ダイアルアップリンクで問題の発生しやすい領域です。モデム構成でもっともよく発生する問題は、ピアからの応答がないことです。しかし、接続の問題の原因が本当にモデム構成の問題なのかどうかを判定することは難しい場合があります。

モデムの基本的なトラブルシューティングに関するヒントは、『Solaris のシステム管理 (上級編)』の「端末とモデムの問題を解決する方法」を参照してください。モデムメーカーのマニュアルや Web サイトは、特定の装置に関する問題の解決に役立ちます。次の手順は、問題のあるモデム構成が接続の問題の原因となっているかどうかを判定するのに役立ちます。

「PPP デバッグをオンに設定する方法」で説明した手順で、デバッグをオンに設定してピアを呼び出します。

作成された /var/log/pppdebug ログを表示し、モデム構成に問題がないかを確認します。

ping を使用してさまざまなサイズのパケットを接続上に送信します。

ping の詳細は、ping(1M) のマニュアルページを参照してください。

小さいパケットは受信されるが、大きいパケットはドロップされる場合、モデムに問題があることを示します。

インタフェース sppp0 上のエラーを確認します。

% netstat -ni
Name  Mtu  Net/Dest   Address      Ipkts    Ierrs Opkts    Oerrs Collis Queue 
lo0   8232 127.0.0.0  127.0.0.1    826808   0     826808   0     0      0     
hme0  1500 172.21.0.0 172.21.3.228 13800032 0     1648464  0     0      0     
sppp0 1500 10.0.0.2   10.0.0.1     210      0     128      0     0      0

インタフェースのエラーが時間がたつにつれて増えている場合は、モデム構成に問題がある可能性があります。

注意事項

作成された /var/log/pppdebug ログの表示で次の症状が認められる場合は、モデムの構成に問題がある可能性があります。ローカルマシンはピアを認識できますが、ピアはローカルマシンを認識できません。

ピアから「recvd」メッセージが返されない。
出力にピアからの LCP メッセージが含まれるが、接続は失敗し、ローカルマシンから「too many LCP Configure Requests」のメッセージが送信される。
接続が SIGHUP 信号で終了する。

chat スクリプトのデバッグ情報を取得する方法

次の操作は、chat のデバッグ情報を表示して一般的な問題の解決方法を知る手段として行なってください。詳細は、「chat スクリプトの一般的な問題」を参照してください。

ダイアルアウトマシン上のスーパーユーザー、またはそれと同等の役割になります。

役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

/etc/ppp/peers/peer-name ファイルを編集してピアが呼び出されるようにします。

connect オプションで指定されている chat コマンドに引数として -v を追加します。
connect "/usr/bin/chat -v -f /etc/ppp/chat-script-name"

/etc/ppp/connect-errors ファイルの chat スクリプトのエラーを表示します。

次は、chat で発生する主なエラーです。

Oct 31 08:57:13 deino chat[107294]: [ID 702911 local2.info] expect (CONNECT)
Oct 31 08:57:58 deino chat[107294]: [ID 702911 local2.info] alarm
Oct 31 08:57:58 deino chat[107294]: [ID 702911 local2.info] Failed

この例は、(CONNECT) 文字列を待つ間にタイムアウトしたことを示します。chat が失敗すると、pppd から次のメッセージを受け取ります。

Connect script failed

chat スクリプトの一般的な問題

chat スクリプトは、ダイアルアップリンクにおいてもっとも問題が発生しやすい領域です。次の表に、chat スクリプトの一般的なエラーと、エラー解決のためのヒントを示します。操作方法については、「chat スクリプトのデバッグ情報を取得する方法」を参照してください。

表 21–5 chat スクリプトの一般的な問題

症状

問題

解決方法

pppd debug の出力に Connect script failed が含まれる

chat スクリプトは、次のようにユーザー名とパスワードを指定している

ogin: user-name
ssword: password

しかし、接続しようとしたピアはこの情報を要求していない

chat スクリプトからログインとパスワードを削除する
再度ピアを呼び出してみる
まだメッセージが表示される場合は、ISP に連絡して正しいログインシーケンスを問い合わせる

/usr/bin/chat -v ログにメッセージ "expect (login:)" alarm read timed out が含まれる

chat スクリプトは、次のようにユーザー名とパスワードを指定している

ogin: pppuser
ssword: \q\U

しかし、接続しようとしているピアはこの情報を要求していない

chat スクリプトからログインとパスワードを削除する
再度ピアを呼び出してみる
まだメッセージが表示される場合は、ISP に連絡して正しいログインシーケンスを問い合わせる

pppd debug の出力にpossibly looped-back が含まれる

ローカルマシンまたはそのピアがコマンド行で停止していて PPP を実行していない。chat スクリプト内に間違って設定されたログイン名とパスワードがある

chat スクリプトからログインとパスワードを削除する
再度ピアを呼び出してみる
まだメッセージが表示される場合は、ISP に連絡して正しいログインシーケンスを問い合わせる

pppd debug 出力は LCP が起動していることを示しているが、接続がすぐに終了してしまう

chat スクリプト内のパスワードが間違っている可能性がある

ローカルマシンの正しいパスワードを確認する
chat スクリプト内のパスワードを確認する。間違っている場合は修正する
再度ピアを呼び出してみる
まだメッセージが表示される場合は、ISP に連絡して正しいログインシーケンスを問い合わせる

ピアからのテキストがチルダ (~) で始まる

chat スクリプトは、次のようにユーザー名とパスワードを指定している

ogin: pppuser
ssword: \q\U

しかし、接続しようとしているピアはこの情報を要求していない

chat スクリプトからログインとパスワードを削除する
再度ピアを呼び出してみる
まだメッセージが表示される場合は、ISP に連絡して正しいログインシーケンスを問い合わせる

モデムが停止する

chat スクリプトに次の行が含まれており、ローカルマシンがピアからの CONNECT メッセージを待つように強制している

CONNECT ”