この章では、PPPoE トンネルの両端、つまり PPPoE クライアントと PPPoE アクセスサーバーを設定する方法について説明します。 ここでは、次の内容を説明します。
ここでは、「PPPoE トンネルを介した DSL サポートの計画」で紹介したシナリオを例として使用します。PPPoE の概要については、「PPPoE による DSL ユーザーのサポート」を参照してください。
次の表に、PPPoE クライアントと PPPoE アクセスサーバーを構成するための主な作業を一覧表示します。サイトで PPPoE を実装するには、PPPoE トンネルの自分の側だけ、つまりクライアント側かアクセスサーバー側のどちらかを設定します。
表 20–1 PPPoE クライアントの設定 (作業マップ)
作業 |
説明 |
参照先 |
---|---|---|
1. PPPoE のインタフェースを構成する |
Ethernet インタフェースを PPPoE トンネルで使用するために定義する | |
2. PPPoE アクセスサーバーに関する情報を構成する |
PPPoE トンネルのサービスプロバイダ側にあるアクセスサーバーのパラメータを定義する | |
3. PPP 構成ファイルを設定する |
まだクライアントの PPP 構成ファイルを定義していない場合は、定義する | |
4. トンネルを作成する |
アクセスサーバーを呼び出す |
表 20–2 PPPoE アクセスサーバーの設定 (作業マップ)
作業 |
説明 |
参照先 |
---|---|---|
1. PPPoE のアクセスサーバーを構成する |
PPPoE トンネルで使用する Ethernet インタフェースと、アクセスサーバーが提供するサービスを定義する | |
2. PPP 構成ファイルを設定する |
まだクライアントの PPP 構成ファイルを定義していない場合は、定義する | |
3. (省略可能) インタフェースの使用を限定する |
PPPoE オプションと PAP 認証を使用して、特定の Ethernet インタフェースの使用を特定のクライアントに限定する |
DSL を介してクライアントシステムに PPP を提供するには、まずモデムまたはハブに接続されているインタフェースで PPPoE を構成する必要があります。次に、PPP 構成ファイルを変更して、PPPoE の反対側のアクセスサーバーを定義する必要があります。
PPPoE クライアントを設定する前に、次を行なっておく必要があります。
PPPoE トンネルを使用するため、クライアントマシンに Solaris 8 Update 6 以降のリリースをインストールする
サービスプロバイダに連絡して PPPoE アクセスサーバーに関する情報を得る
クライアントマシンが使用するデバイスを電話会社またはサービスプロバイダに取り付けてもらう。たとえば DSL モデムやスプリッタなどのデバイスがあるが、これらは自分で取り付けるのではなく、電話会社が取り付ける
この作業は、PPPoE トンネルで使用するように Ethernet インタフェースを定義する場合に行なってください。
PPPoE クライアント上でスーパーユーザーになるか、同等の役割になります。
役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
DSL 接続のある Ethernet インタフェースの名前を /etc/ppp/pppoe.if ファイルに追加します。
たとえば、DSL モデムに接続するネットワークインタフェースに hme0 を使用する PPPoE クライアントの場合は、/etc/ppp/pppoe.if に次のエントリを追加します。
hme0 |
/etc/ppp/pppoe.if の詳細は、「/etc/ppp/pppoe.if ファイル」を参照してください。
PPPoE を使用するためのインタフェースを構成します。
# /etc/init.d/pppd start |
(省略可能) インタフェースが PPPoE に plumb されたことを確認します。
# /usr/sbin/sppptun query hme0:pppoe hme0:pppoed |
/usr/sbin/sppptun コマンドを使ってインタフェースを手動で PPPoE に plumb することもできます。手順については、「/usr/sbin/sppptun コマンド」を参照してください。
/etc/ppp/peers/peer-name ファイルでアクセスサーバーを定義します。アクセスサーバーで使用されるオプションの多くは、ダイアルインサーバーをダイアルアップシナリオで定義するのにも使用できます。/etc/ppp/peers.peer-name の詳細は、「/etc/ppp/peers/peer-name ファイル」を参照してください。
PPPoE クライアント上でスーパーユーザーになるか、同等の役割になります。
役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
/etc/ppp/peers/peer-name ファイルでサービスプロバイダの PPPoE アクセスサーバーを定義します。
たとえば、次のファイル /etc/ppp/peers/dslserve は、「PPPoE トンネルの構成例」で紹介した Far ISP にあるアクセスサーバー dslserve を定義しています。
# cat /etc/ppp/peers/dslserve sppptun plugin pppoe.so connect "/usr/lib/inet/pppoec hme0" noccp noauth user Red password redsecret noipdefault defaultroute |
このファイルのオプションの定義については、「アクセスサーバーピアを定義するための /etc/ppp/peers/peer-name ファイル」を参照してください。
PPPoE クライアント上のほかの PPP 構成ファイルを変更します。
「ダイアルアウトマシンの構成」で説明したダイアルアウトマシンを構成する手順に従って、/etc/ppp/options を構成します。
/etc/ppp/options.sppptun ファイルを作成します。/etc/ppp/options.sppptun ファイルは、PPPoE に plumb されているインタフェースのシリアルポートの PPP オプションを定義します。
/etc/ppp/options. ttyname ファイル (「 /etc/ppp/options. ttyname 構成ファイル」を参照) で使用できるオプションはすべて使用できます。sppptun は pppd 構成で指定されているデバイス名なので、ファイル名には /etc/ppp/options.sppptun を使用する必要があります。
すべてのユーザーがクライアント上で PPP を起動できることを確認します。
# touch /etc/ppp/options |
PPP が DSL 回線上で動作できるかどうかをテストします。
% pppd debug updetach call dslserve |
dslserve は、「PPPoE トンネルの構成例」で示した ISP のアクセスサーバーに指定されている名前です。debug updetach オプションにより、デバッグ情報が端末のウィンドウに表示されます。
PPP が正しく動作した場合、端末の出力には、接続がアクティブになることが表示されます。PPP が動作しない場合は、次のコマンドを実行してサーバーが正しく動作しているかどうかを確認します。
# /usr/lib/inet/pppoec -i hme0 |
構成した PPPoE クライアントのユーザーは、次のコマンドを入力して DSL 回線上で PPP の実行を開始できます。
% pppd call ISP-server-name |
続いてユーザーは、アプリケーションまたはサービスを実行できます。
関連情報の参照先は次のとおりです。
サービスプロバイダ会社の場合、DSL 接続を介してサイトに到達するクライアントに対してインターネットサービスやその他のサービスを提供できます。作業としては、サーバー上のどのインタフェースを PPPoE トンネルに使用するかを決定するとともに、ユーザーに許可するサービスを決定します。
この作業は、PPPoE トンネルで使用する Ehernet インタフェースを定義し、アクセスサーバーが提供するサービスを設定する場合に行なってください。
アクセスサーバーのスーパーユーザーになるか、同等の役割になります。
役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
PPPoE トンネル専用の Ethernet インタフェースの名前を /etc/ppp/pppoe.if ファイルに追加します。
たとえば、次の /etc/ppp/pppoe.if ファイルを 「PPPoE トンネルの構成例」で示したアクセスサーバー dslserve に使用します。
# cat /etc/ppp/pppoe.if hme1 hme2 |
/etc/ppp/pppoe ファイルで、アクセスサーバーが提供する広域サービスを定義します。
次の /etc/ppp/pppoe ファイルは、図 16–5 で示したアクセスサーバー dslserve によって提供されるサービスを一覧表示しています。
device hme1,hme2 service internet pppd "proxyarp 192.168.1.1:" service debugging pppd "debug proxyarp 192.168.1.1:" |
このファイルの例では、dslserve の Ethernet インタフェース hme1 および hme2 でインターネットサービスが宣言されています。また、Ethernet インタフェース上の PPP リンクでデバッグがオンに設定されています。
ダイアルインサーバーと同じ方法で PPP 構成ファイルを設定します。
詳細は、「呼び出し元の IP アドレス指定スキーマの作成」を参照してください。
# /etc/init.d/pppd start |
pppd もまた、/etc/ppp/pppoe.if に一覧表示されるインタフェースを plumb します。
(省略可能) サーバー上のインタフェースが PPPoE に plumb されていることを確認します。
# /usr/sbin/sppptun query hme1:pppoe hme1:pppoed hme2:pppoe hme2:pppoed |
この例は、インタフェース hme1 および hme2 が現在 PPPoE に plumb されていることを示しています。/usr/sbin/sppptun コマンドを使ってインタフェースを手動で PPPoE に plumb することもできます。手順については、「/usr/sbin/sppptun コマンド」を参照してください。
アクセスサーバーのスーパーユーザーになるか、同等の役割になります。
役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
必要に応じて /etc/ppp/pppoe を変更します。
pppoed デーモンに新しいサービスを認識させます。
# pkill -HUP pppoed |
次に、インタフェースを PPPoE クライアントのグループに限定する手順を説明します。この作業を実行する前に、インタフェースに割り当てているクライアントの実 Ethernet MAC アドレスを取得する必要があります。
システムによっては、Ethernet インタフェース上で MAC アドレスを変更できます。この機能は便利ですが、セキュリティー対策としては考えないでください。
次の手順では、「PPPoE トンネルの構成例」で示した例を使用して、dslserve のインタフェースの 1 つである hme1 を MiddleCo のクライアント用に予約する方法を示しています。
「PPPoE アクセスサーバーの設定方法」に示されている手順に従ってアクセスサーバーのインタフェースを構成し、サービスについて定義します。
サーバーの /etc/ethers データベースにクライアントのエントリを作成します。
次は、Red、Blue、および Yellow というクライアントのエントリの例です。
8:0:20:1:40:30 redether 8:0:20:1:40:10 yellowether 8:0:20:1:40:25 blueether |
この例では、クライアントの Red、Yellow、および Blue の Ethernet アドレスに redether、yellowether、および blueether という記号名を割り当てています。MAC アドレスへの記号名の割り当ては任意です。
特定のインタフェース上で提供されるサービスを限定するには、次の情報を /etc/ppp/pppoe.device ファイルで定義します。
このファイル名で、device は定義するデバイスの名前です。
# cat /etc/ppp/pppoe.hme1 service internet pppd "name dslserve-hme1" clients redether,yellowether,blueether |
dslserve-hme1 はアクセスサーバーの名前で、pap-secrets ファイル内の同じエントリで使用されます。clients オプションは、インタフェース hme1 の使用を Ethernet 記号名が redether、yellowether、および blueether であるクライアントに限定します。
/etc/ethers でクライアントの MAC アドレスに記号名を定義していない場合は、clients オプションの引数として数値アドレスを使用できます。このとき、ワイルドカードも使用できます。
たとえば、clients 8:0:20:*:*:* のような数値アドレスを指定できます。ワイルドカードを使用することで、/etc/ethers 内の一致するアドレスすべてにアクセスが許可されます。
アクセスサーバーの /etc/ppp/pap-secrets ファイルを作成します。
Red dslserve-hme1 redpasswd * Blue dslserve-hme1 bluepasswd * Yellow dslserve-hme1 yellowpassd * |
エントリは、dslserve の hme1 インタフェース上で PPP を実行することを許可されたクライアントの PAP 名およびパスワードです。
PAP 認証の詳細は、「PAP 認証の設定」を参照してください。
関連情報の参照先は次のとおりです。
PPPoE の詳細については、「DSL サポート用の PPPoE トンネルの作成」を参照してください。
PPPoE と PPP のトラブルシューティングについては、「PPP および PPPoE 関連の問題の解決」を参照してください。
PPPoE クライアントの構成については、「PPPoE クライアントの設定」を参照してください。
クライアントの PAP 認証の構成については、「信頼できる呼び出し元の PAP 認証の設定 (ダイアルアウトマシン)」を参照してください。
サーバー上の PAP 認証の構成については、「ダイアルインサーバーに PAP 認証を構成する」を参照してください。