PPP リンクの設定には、作業計画や PPP と無関係な作業など、さまざまな個別の作業が含まれています。この章では、もっとも一般的な PPP リンク、認証、および PPPoE を計画する方法について説明します。
第 26 章「PPP リンクの計画 (手順)」に続く各章では、特定リンクの設定方法について構成例を使って説明します。これらの構成例はこの章で紹介します。
PPP では、実際にリンクを設定する前に作業計画を立てる必要があります。さらに、PPPoE トンネルを使用する場合は、まず PPP リンクを設定し、それからトンネルを提供する必要があります。次の作業マップは、この章で説明する大規模な作業計画を示しています。構成するリンクタイプによっては、一般的な作業だけで十分な場合があります。また、リンク、認証、および PPPoE の各作業が必要になる場合もあります。
表 26–1 PPP 計画 (作業マップ)
作業 |
説明 |
参照先 |
---|---|---|
ダイアルアップ PPP リンクを計画する |
ダイアルアウトマシンまたはダイアルインサーバーの設定に必要な情報を収集する | |
専用回線リンクを計画する |
専用回線にクライアントを設定するための必要情報を収集する | |
PPP リンクの認証を計画する |
PPP リンクに PAP 認証または CHAP 認証を構成するための必要情報を収集する | |
PPPoE トンネルを計画する |
PPP リンクが実行できる PPPoE トンネルを設定するための必要情報を収集する |
ダイアルアップリンクはもっともよく使用される PPP リンクです。この節では、次の内容について説明します。
ダイアルアップリンクの計画情報
第 27 章「ダイアルアップ PPP リンクの設定 (手順)」で使用されるリンク例の説明
ダイアルアウトマシンを構成する前に、次の表に示されている情報を収集します。
この節の計画情報には、認証や PPPoE について収集する情報は含まれていません。 認証計画については、リンクへの認証計画を参照してください。 PPPoE 計画については、PPPoE トンネルを介した DSL サポートの計画を参照してください。
情報 |
作業 |
---|---|
最大モデム速度 |
モデムの製造元が提供するマニュアルを参照する |
モデム接続コマンド (AT コマンド) |
モデムの製造元が提供するマニュアルを参照する |
リンクの一方の端で使用するダイアルインサーバーの名前 |
ダイアルインサーバーの識別が簡単な名前を作成する |
ダイアルインサーバーで必要なログインシーケンス |
ダイアルインサーバーの管理者に問い合わせるか、ダイアルインサーバーが ISP 側に存在すれば、ISP のマニュアルを参照する |
ダイアルインサーバーを構成する前に、次の表に示されている情報を収集します。
この節の計画情報には、認証や PPPoE について収集する情報は含まれていません。 認証計画については、リンクへの認証計画を参照してください。 PPPoE 計画については、PPPoE トンネルを介した DSL サポートの計画を参照してください。
情報 |
操作 |
---|---|
最大モデム速度 |
モデムの製造元が提供するマニュアルを参照する |
ダイアルインサーバーの呼び出しが許可されている人のユーザー名 |
ダイアルインサーバーのユーザーを構成する方法 で説明するようなホームディレクトリを設定する前に、予想されるユーザーの名前を入手する |
PPP 通信の専用 IP アドレス |
会社での IP アドレスの委譲に責任を持つ担当者からアドレスを入手する |
第 27 章「ダイアルアップ PPP リンクの設定 (手順)」 で紹介する作業では、従業員が週に 2、3 日自宅で作業することを許している小さい企業の要件を実施します。一部の従業員は、ホームマシンに Solaris オペレーティング環境が必要になります。また、社内イントラネット上にある作業マシンにリモートログインすることも必要になります。
作業では、次の機能を持つ基本的なダイアルアップリンクを設定します。
ダイアルアウトマシンが、社内イントラネットを呼び出す従業員の自宅に存在する
ダイアルインサーバーは、従業員からの着呼を受信するように構成された社内イントラネット上のマシンである
UNIX スタイルのログインを使用して、ダイアルアウトマシンを認証する。Solaris PPP 4.0 の強力な認証方法は、この会社のセキュリティポリシーには必要ない
次の図は、第 27 章「ダイアルアップ PPP リンクの設定 (手順)」で設定されているリンクを示します。
この図では、リモートホストが電話回線上のモデルを介して Big Company 社のイントラネットにダイアルアウトしています。もう一台のホストが Big Company 社にダイアルアウトするように構成されていますが、現在アクティブではありません。Big Company 社のダイアルインサーバーに接続されているモデムが、リモートユーザーからの呼び出しに順に応答しています。PPP 接続はピア間で確立しています。ダイアルアウトマシンは、イントラネット上のホストマシンにリモートログインできます。
作業 |
参照先 |
---|---|
ダイアルアウトマシンを設定する | |
ダイアルインマシンを設定する | |
ダイアルアップリンクの概要を把握する | |
PPP のファイルとコマンドについて理解する |
専用回線リンクの設定では、プロバイダからリースしているスイッチ型または非スイッチ型サービスの一方の端にピアを構成する必要があります。
専用回線リンクの計画情報
図 26–2 に示されているリンク例の説明
会社がネットワークプロバイダから専用回線リンクをレンタルしている場合は、リンクの自分側の端だけにシステムを構成します。リンクのもう一方の端にあるピアは、別の管理者が維持しています。この管理者は、会社から離れた場所にいるシステム管理者か、ISP 側のシステム管理者のどちらかです。
リンク媒体の他に、リンクの端には次のハードウェアが必要です。
システム用の同期インタフェース
自分の同期装置 (CSU/DSU)
自分のシステム
一部のネットワークプロバイダでは、顧客宅内機器 (CPE) として、ルーター、同期インタフェース、および CSU/DSU が必要です。ただし、必要な機器は、プロバイダや国別の政府規制によって変わります。ネットワークプロバイダでは、必要な装置で専用回線と共に提供されないものは、それに関する情報を提供しています。
ローカルピアを構成する前に、次の表に示されている項目を調べておく必要があります。
表 26–4 専用回線リンクの計画
情報 |
作業 |
---|---|
インタフェースのデバイス名 |
インタフェースカードのマニュアルを参照する。 |
同期インタフェースカードの構成手順 |
インタフェースカードのマニュアルを参照する。この情報は、HSI/S インタフェースを構成する場合に必要である。他のタイプのインタフェースカードでは、構成する必要がない場合がある |
(任意) リモートピアの IP アドレス |
サービスプロバイダのマニュアルを参照するか、リモートピアのシステム管理者に問い合わせる。この情報は、2 つのピア間で IP アドレスがネゴシエートされない場合にだけ必要である |
(任意) リモートピアの名前 |
サービスプロバイダのマニュアルを参照するか、リモートピアのシステム管理者に問い合わせる |
(任意) リンクの速度 |
サービスプロバイダのマニュアルを参照するか、リモートピアのシステム管理者に問い合わせる |
(任意) リモートピアで使用する圧縮 |
サービスプロバイダのマニュアルを参照するか、リモートピアのシステム管理者に問い合わせる |
第 28 章「専用回線 PPP リンクの設定 (手順)」の作業は、中規模会社 (LocalCorp 社) で従業員がインターネットにアクセスできるように、専用回線リンクの構成を実装する方法を示しています。現在、従業員のコンピュータは、会社の私設イントラネットに接続されています。
LocalCorp 社では、高速なトランザクションとイントラネット上の多くの資源に迅速にアクセスすることが必要となっています。LocalCorp 社は、サービスプロバイダの Far ISP 社との間に専用回線を設定する契約を結びます。これにより、LocalCorp 社は電話会社の Phone East 社から T1 回線をリースします。Phone East 社は LocalCorp 社と Far ISP 社との間に専用回線を設置します。その後 Phone East 社は LocalCorp 社に構成済みの CSU/DSU を提供します。
LocalCorp 社はシステムをゲートウェイルーターとして設定する。これにより、パケットは専用回線を介してインターネット上のホストに転送される
Far ISP 社でも顧客からの専用回線を接続するルーターとしてピアを設定する
この図では、LocalCorp 社側の PPP にルーターが設定されています。 ルーターは、hme0 インタフェースを介して社内イントラネットに接続されています。さらにマシンは、HSI/S インタフェース (hih1) を介して CSU/DSU デジタル装置に接続されています。CSU/DSU は設置された専用回線に接続しています。LocalCorp 社の管理者が HSI/S インタフェースと PPP ファイルの構成を終了した後で、 /etc/init.d/pppd と入力すると、LocalCorp 社と Far ISP 社間でリンクが開始されます。
作業 |
参照先 |
---|---|
専用回線にクライアントを設定する | |
専用回線の概要を把握する |
この節では、PPP リンク上で認証を行うための計画情報を提供します。第 29 章「PPP 認証の設定 (手順)」は、自分のサイトで PPP 認証を実装するための作業を示しています。
PPP には、PAP と CHAP の 2 種類の認証があります。PAP の詳細は、パスワード認証プロトコル (PAP)を参照してください。CHAP の詳細は、チャレンジハンドシェーク認証プロトコル (CHAP)を参照してください。
認証をリンクに設定する前に、自分のサイトのセキュリティポリシーに最適な認証プロトコルを選択する必要があります。認証プロトコルの選択が終了したら、ダイアルインマシンまたは呼び出し側のダイアルアウトマシンあるいは両方のマシンに秘密ファイルと PPP 構成ファイルを設定します。自分のサイトに最適な認証プロトコルを選択するには、PPP 認証を使用する理由を参照してください。
認証の設定作業については、第 29 章「PPP 認証の設定 (手順)」を参照してください。自分のサイトに認証を設定することを必須として PPP の全体計画に組み込む必要があります。認証を実装する前に、ハードウェアの組み立てや、ソフトウェアの構成、リンクの動作確認を行なってください。
表 26–5 認証構成の前提条件
情報 |
参照先 |
---|---|
ダイアルアップリンクの構成作業 | |
リンクのテスト作業 | |
サイトのセキュリティ要件 |
会社のセキュリティポリシーポリシーを設定していなければ、PPP 認証の設定を機にセキュリティポリシーを設定する |
自分のサイトに PAP または CHAP を選択する場合のヒント |
PPP 認証を使用する理由。これらのプロトコルについては、接続時の呼び出し元の認証を参照してください。 |
この節では、第 29 章「PPP 認証の設定 (手順)」の手順で使用されている認証事例について説明します。
PAP 認証の設定での作業は、PPP リンク上で PAP 認証を設定する方法を示しています。手順では、例 — ダイアルアップ PPP の構成で紹介した架空の Big Company 社の PAP 事例を使用します。
Big Company 社では、自社のユーザーが自宅で仕事できるようにしたいと考えています。システム管理者は、ダイアルインサーバーに接続するシリアル回線にセキュリティ対策をしたいと考えています。NIS パスワードデータベースを使用する UNIX スタイルのログインは、これまで Big Company 社のネットワークで問題なく機能を果たしてきました。システム管理者は、PPP リンクを介してネットワークに進入してくる呼び出しに UNIX スタイルの認証機構を設定したいと考えています。その結果、システム管理者は PAP 認証を使用する次のシナリオを実装します。
システム管理者は専用のダイアルイン DMZ を作成します。これは、ルーターによって会社のネットワークの後方部と分離されています。DMZ の用語は、軍隊用語の「非武装地帯」から来ています。DMZ はセキュリティ目的のために分離されたネットワークです。通常、DMZ には、Web サーバー、匿名 (anonymous) ftp サーバー、データベース、モデムサーバーなど、会社が一般に公開する資源が含まれています。ネットワーク設計者は通常、DMZ をファイアウォールと会社のインターネット接続の中間に設置します。
図 26–3に示すように、DMZ に存在するのは、ダイアルインサーバーの myserver とルーターだけです。ダイアルインサーバーはリンクの設定時に、呼び出し側に PAP 資格 (ユーザー名とパスワードを含む) の提出を要求します。さらに、ダイアルインサーバーは PAP の login オプションも使用します。したがって、呼び出し側の PAP のユーザー名とパスワードは、ダイアルインサーバーのパスワードデータベースにある UNIX のユーザー名とパスワードに正確に一致する必要があります。
PPP リンクが設定されたら、呼び出し側のパケットはルーターに転送されます。ルーターはパケットを会社のネットワーク上かインターネット上の宛先に転送します。
CHAP 認証の設定 での作業は、CHAP 認証の設定方法を示しています。手順では、例 — 専用回線リンクの構成で紹介した架空の LocalCorp 社の CHAP 事例を使用します。
LocalCorp 社は、ISP の専用回線を介してインターネットに接続できます。LocalCorp 社のテクニカルサポート部では、大量のネットワークトラフィックが発生するので、独立した私設ネットワークが必要になっています。部署のフィールドエンジニアは、問題解決のための情報を入手するために遠隔地からテクニカルサポートのネットワークに頻繁にアクセスする必要があります。私設ネットワークのデータベース内の機密情報を保護するには、リモートでの呼び出し側にログインの許可を与えるために、それらを認証する必要があります。
したがって、システム管理者は、ダイアルアップ PPP 構成に次の CHAP 認証シナリオを実装します。
テクニカルサポート部のネットワークから外部世界にリンクするのは、リンクのダイアルインサーバー側の端に接続しているシリアル回線だけです。システム管理者は、各フィールドサービスエンジニアが所持する PPP 用ラップトップコンピュータを CHAP シークレットなどを組み込んだ CHAP セキュリティで構成します。ダイアルインサーバー上の CHAP シークレットデータベースには、テクニカルサポート内のネットワークに対する呼び出しが許されているすべてのマシンの CHAP 資格が含まれています。
作業 |
参照先 |
---|---|
PAP 認証を設定する | |
CHAP 認証を設定する | |
PPP 認証の詳細を理解する |
接続時の呼び出し元の認証 と pppd(1M) マニュアルページ |
一部の DSL プロバイダは、プロバイダの DSL 回線と高速のデジタルネットワーク上で PPP を実行するために、ユーザーのサイトに PPPoE トンネルを設定するように要求しています。PPPoE の概要については、PPPoE による DSL ユーザーのサポートを参照してください。
PPPoE トンネルには、消費者、電話会社、ISP の 3 つの関係者が存在しています。 PPPoE は、消費者 (会社の PPPoE クライアントか自宅の消費者) 向けか ISP 側のサーバー上のどちらかに構成します。
この節では、クライアントとアクセスサーバーの両方で PPPoE を実行するための計画情報について説明します。次の項目について説明します。
PPPoE ホストとアクセスサーバーの計画情報
例 — PPPoE トンネルの構成で紹介されている PPPoE シナリオの説明
構成前の作業は、トンネルをクライアント側に構成するかサーバー側に構成するかによって異なります。どちらの場合も、電話会社と契約を結ぶ必要があります。電話会社では、クライアントには DSL 回線を提供し、アクセスサーバーにはある形式のブリッジと ATM パイプを提供します。ほとんどの契約では、電話会社はユーザーのサイトに機器を設置します。
PPPoE クライアントの実装は、通常、次の機器から構成されます。
個人が使用するパーソナルコンピュータまたはシステム
DSL モデム。通常は、電話会社かインターネットのアクセスプロバイダが設置する
(任意) ハブ。複数のクライアントが関係するような会社の DSL 消費者向け
(任意) スプリッタ。通常はプロバイダが設置する
多くの異なる DSL 構成が可能です。DSL 構成は、ユーザーや会社のニーズ、プロバイダが提供するサービスによって異なります。
表 26–6 PPPoE クライアントの計画
情報 |
作業 |
---|---|
個人や自分自身のために自宅の PPPoE クライアントを設定する場合に、PPPoE の領域外の設定情報を入手する |
設定の手続きが必要なら、電話会社や ISP に問い合わせる |
会社のサイトに PPPoE クライアントを設定する場合に、PPPoE クライアントシステムの情報を得るためにユーザーの名前を入手する。PPPoE リモートクライアントを構成する場合は、DSL 機器を自宅に設置するための情報をユーザーに提供する必要がある |
認可されたユーザーのリストを会社の管理者に問い合わせる |
PPPoE クライアント上で使用できるインタフェースを探す |
各マシン上で ifconfig -a コマンドを実行し、インタフェース名を探す |
(任意) PPPoE クライアントのパスワードを入手する |
ユーザーに、パスワードの希望を問い合わせる。または、ユーザーにパスワードを割り当てる。このパスワードは UNIX のログイン用ではなく、リンクの認証用に使用する |
PPPoE アクセスサーバーの計画は、データサービスネットワークへの接続を提供する電話会社と共同で行います。電話会社はユーザーのサイトに回線 (通常は ATM パイプ) を設置し、ユーザーのアクセスサーバーに、ある形式のブリッジを提供します。会社が提供するサービスにアクセスする Ethernet インタフェースを構成する必要があります。たとえば、インターネットにアクセスするためのインタフェースのほか、電話会社のブリッジが提供する Ethernet インタフェースも構成します。
表 26–7 PPPoE アクセスサーバーの計画
情報 |
作業 |
---|---|
データサービスネットワークの回線に使用するインタフェース |
ifconfig -a コマンドを実行して、インタフェースを特定する |
PPPoE サーバーが提供するサービスの種類 |
管理者やネットワーク計画者に要件やヒントを問い合わせる |
(任意) 消費者に提供するサービスの種類 |
管理者やネットワーク計画者に要件やヒントを問い合わせる |
(任意) リモートクライアントのホスト名とパスワード |
ネットワーク計画者や契約交渉の担当者に問い合わせる。ホスト名とパスワードは UNIX のログインではなく、PAP 認証や CHAP 認証に使用する |
この節では、第 30 章「PPPoE トンネルの設定 (手順)」で説明する作業の例として、PPPoE トンネルの例を示します。図では、トンネル内のすべてのパーティシパントを示していますが、ユーザーはクライアント側かサーバー側のどちらかの端を管理するだけです。
この例では、MiddleCo 社は従業員に高速なインターネットアクセスを提供することを望んでいます。MiddleCo 社は Phone East 社から DSL パッケージを購入し、Phone East 社はサービスプロバイダの Far ISP 社と契約を結びます。Far ISP 社は、Phone East 社から DSL を購入する顧客にインターネットサービスや IP サービスを提供します。
MiddleCo 社は、サイトに DSL の 1 回線を提供する Phone East 社からパッケージを購入します。パッケージには、MiddleCo 社の PPPoE クライアント用に認証された ISP への専用接続が含まれています。システム管理者は予想される PPPoE クライアントをハブに配線します。Phone East 社の技術者はハブを DSL 機器に配線します。
FarISP 社では、Phone East 社との契約を履行するために、同社のシステム管理者がアクセスサーバー (dslserve) を構成します。このサーバーには、次の 4 つのインタフェースがあります。
le0 – ローカルネットワークと接続する主要なネットワークインタフェース
hme0 – FarISP 社が顧客にインターネットサービスを提供するためのインタフェース
hme1 – 認証された PPPoE トンネル用に MiddleCo 社が使用するインタフェース
hme2 – PPPoE トンネル用に別の顧客が使用するインタフェース
作業 |
参照先 |
---|---|
PPPoE クライアントを設定する | |
PPPoE のアクセスサーバーを設定する | |
PPPoE の詳細情報を入手する |
DSL サポート用の PPPoE トンネルの作成 および pppoed(1M)、pppoec(1M)、sppptun(1M) のマニュアルページ |