[index]
CentreCOM AR560S コマンドリファレンス 2.9
PPP/概要・基本設定
- 基本設定
- 物理層のセットアップ
- PPPインターフェースの作成
- 上位層とのインターフェース
- 接続形態
- スタティックなPPP接続
- ダイナミックなPPP接続
- PPPインターフェースの設定変更
- PPPインターフェースの各種オプション
- オンデマンド接続
- PPPリンクの状態監視
- LQRパケット
- LCP Echoパケット
- マルチリンクPPPインターフェース(リンクアグリゲーション)
- デマンドリンクとBAP/BACP
- PPPリンクの種類について
- プライマリーリンク(TYPE=PRIMARY)
- デマンドリンク(メイン回線高負荷時の補助用リンク)
- その他オプション
- ユーザー認証
- 認証を受けるための設定
- 認証するための設定
- IPアドレスの割り当て
- IPアドレスの割り当てを要求する
- IPアドレスを割り当てる
- ネームサーバーアドレスの通知
- DNSサーバーアドレスの要求
- DNS/WINSサーバーアドレスの通知
- PPPコールバック
- コールバックの要求側
- コールバックの受け入れ側
- 通信量リミッター
- PPPテンプレート
- PPPテンプレート使用例
- ISDN網経由でのPPP接続受け入れ
- PPPの状態確認
- PPPリンクの圧縮
- PPPリンクの暗号化
PPP(Point-to-Point Protocol)は、2点間でさまざまなネットワーク層プロトコルパケットを受け渡すためのデータリンク層プロトコルです。もともとはWANなどのシリアル回線上で使用するために開発されましたが、最近ではxDSLなどのブロードバンドサービスの普及に伴い、Ethernet上などでも利用されています(PPPoE = PPP over Ethernet)。ここでは、PPPの概要と基本設定について説明します。
PPPの基本設定について説明します。
PPPを使用するためには、最初に物理回線のセットアップが必要です。本製品が使用できる回線には次のものがあります。物理層のセットアップについては、それぞれ該当する章をご覧ください。
インターフェース間の関係については、「インターフェース」の章もご覧ください。
物理層のセットアップが完了したら、その上にPPPインターフェースを作成します。PPPインターフェースは、CREATE PPPコマンドで作成します。
PPPインターフェースの作成にあたって最低限必要な情報は次のとおりです。
- PPPインターフェース番号
- 物理(下位)インターフェース名
インターフェース番号は0〜511の範囲で重ならないよう任意に割り当てます。物理インターフェースは使用する回線を指定するもので、次のように指定します。
表 1:物理インターフェースの指定方法
| 回線 |
指定方法 |
例 |
| ISDN回線 |
ISDNコール名の前に「ISDN-」を付ける |
ISDN-remote(コール名が「remote」の場合) |
| 専用線(BRI、PRI) |
TDMグループ名の前に「TDM-」を付ける |
TDM-remote(TDMグループ名が「remote」の場合) |
| Ethernet |
Ethernetインターフェース名の後に「-servicename」を付ける。servicenameは、PPPoEサービス名。サービス名が指定されていないときは、任意の文字列またはキーワード「any」を指定できる。 |
eth0-isp(PPPoEサービス名が「isp」の場合) |
| L2TPトンネル |
L2TPコール名の前に「TNL-」を付ける |
TNL-remote(L2TPコール名が「remote」の場合) |
■ ISDN回線上でPPPを使用する場合は、物理インターフェースとしてISDNコール(接続先情報)を指定します。たとえば、ISDNコール「remote」上にPPPインターフェース「0」を作成するには次のようにします。「IDLE=ON」はダイヤルオンデマンドを有効にするためのパラメーターです。これを付けないと、ルーター起動と同時に発呼し、接続したままになってしまうため注意してください。
CREATE PPP=0 OVER=ISDN-remote IDLE=ON ↓
■ BRI、PRIインターフェースで専用線に接続している場合は、物理インターフェースとしてTDMグループ(使用スロット情報)を指定します。たとえば、TDMグループ「office」上にPPPインターフェース「0」を作成するには、次のようにします。常時接続なので「IDLE=ON」は必要ありません(省略時は「IDLE=OFF」になります)。ルーター起動と同時にPPPのリンクを確立します。
CREATE PPP=0 OVER=TDM-office ↓
■ Ethernet上でPPPを使用する場合(PPPoE)は、物理インターフェースとしてEthernetインターフェース名とPPPoEサービス名を「ETHn-servicename」の形式で指定します。「n」はEthernetインターフェースの番号、「servicename」はISP等から指定されたPPPoEサービス名です。サービス名が指定されていない場合は、任意の文字列またはキーワード「any」を指定します。たとえば、Ethernetインターフェースeth0上にPPPインターフェース「0」を作成するには、次のようにします。
CREATE PPP=0 OVER=eth0-pppoe ↓
これは、xDSLなどのブロードバンド接続サービスにおけるWAN側インターフェースの設定になります。常時接続を仮定しているため、「IDLE=ON」は付けていません。ベストエフォート型のサービスでは、網側から不定期にセッションが切断されることがありますが、IDLE=OFF(デフォルト)に設定されたPPPoEインターフェースは、リンクダウンしても自動的に再接続を試みます(PPPoEセッションキープアライブ機能)。
Note
- リンクダウンを検出するには「LQR=ON」(デフォルト)または「LQR=OFF ECHO=ON」の設定が必要です。
■ L2TPトンネル上でPPPを使用する場合は、物理インターフェースとしてL2TPコール(L2TPトンネル接続情報)を指定します。たとえば、L2TPコール「tunnel」上にPPPインターフェース「0」を作成するには、次のようにします。
CREATE PPP=0 OVER=TNL-tunnel ↓
L2TP(Layer Two Tunnelling Protocol)は、IPネットワーク上に仮想回線(L2TPトンネル)を構築し、その上でPPPを走らせるVPNプロトコルです。詳細は「L2TP」の章をご覧ください。
作成したPPPインターフェースは、第2層(データリンク層)インターフェースとして扱われ、上位にIPやIPv6等の第3層(ネットワーク層)インターフェースを作成できます。このとき、PPPインターフェースは「PPPn」の形式で指定します。nはインターフェース番号です。
■ PPPインターフェース「0」上にIPインターフェースを作成するには、ADD IP INTERFACEコマンドを使います。
ADD IP INT=ppp0 IP=192.168.100.1 MASK=255.255.255.0 ↓
PPPインターフェースは、IPアドレスを割り当てないUnnumberedインターフェースとして設定することもできます。その場合、IPアドレスとして「0.0.0.0」を指定します。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
また、接続時にIPアドレスを動的に取得する場合は、ENABLE IP REMOTEASSIGNコマンドでリモート側から提供されたアドレスを使用できるよう設定した上で、PPPインターフェースに0.0.0.0を指定します。また、PPPインターフェースの設定で「IPREQUEST=ON」を指定しておく必要もあります。
SET PPP=0 IPREQUEST=ON ↓
ENABLE IP REMOTEASSIGN ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
この場合、ISPとの接続が完了するまでIPアドレスは未定となります。
■ PPPインターフェース「0」上にIPv6インターフェースを作成するには、ADD IPV6 INTERFACEコマンドでアドレスを明示的に割り当てるか、CREATE IPV6 INTERFACEコマンドでリンクローカルアドレスを自動設定します。
グローバルアドレスやサイトローカルアドレスを明示的に割り当てるときは、ADD IPV6 INTERFACEコマンドを使います。リンクローカルアドレスがまだ割り当てられていない場合は、同時に自動設定されます。
ADD IPV6 INT=ppp0 IP=3ffe:10:10:10::1/128 ↓
リンクローカルアドレスだけで運用する場合は、CREATE IPV6 INTERFACEコマンドを使います。この場合、アドレス自動設定の手順にしたがいリンクローカルアドレスが設定されます。
PPPによる2点間接続には、大きく分けて次の2つの形態があります。
おもに、拠点間接続のように接続相手が固定されている場合に使用される形態です。両側のルーターにPPPインターフェースを固定的に作成します。次に例を挙げます。
ルーターA
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
CREATE TDM GROUP=remote INT=bri0 SLOTS=1-2 ↓
CREATE PPP=0 OVER=TDM-remote ↓
ENABLE IP ↓
ADD IP INT=vlan1 IP=192.168.10.1 ↓
ADD IP INT=ppp0 IP=192.168.100.1 ↓
ADD IP ROUTE=192.168.20.0 MASK=255.255.255.0 INT=ppp0 NEXTHOP=192.168.100.2 ↓
ルーターB
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
CREATE TDM GROUP=remote INT=bri0 SLOTS=1-2 ↓
CREATE PPP=0 OVER=TDM-remote ↓
ENABLE IP ↓
ADD IP INT=vlan1 IP=192.168.20.1 ↓
ADD IP INT=ppp0 IP=192.168.100.2 ↓
ADD IP ROUTE=192.168.10.0 MASK=255.255.255.0 INT=ppp0 NEXTHOP=192.168.100.1 ↓
センター側に対し、複数のユーザーがISDN網やアナログ公衆網を介して不定期に接続してくる場合に使用される形態です。アクセスサーバー(ダイヤルアップサーバー)的な設定です。ISP(インターネットサービスプロバイダー)とその利用者の関係を思い浮かべるとわかりやすいでしょう。
この形態では接続相手が不定なため、接続を受けてはじめてPPPインターフェースが作成されるように設定します。このように接続を受けて動的に作成されるPPPインターフェースをダイナミックPPPインターフェースと呼び、その属性はPPPテンプレートであらかじめ定義しておきます。
また、不定ユーザーからの接続を識別するため認証を行い、パスしたユーザーにIPアドレスを動的に割り当てます。次の例では、ユーザー認証データベースを使用して、PPPユーザーのIPアドレスを固定的に割り当てています。IPアドレスプールを使用して、空きアドレスを動的に割り当てることもできます。
センター側ルーターの設定
ADD USER=UserA PASSWORD=PasswordA LOGIN=NO IPADDRESS=192.168.10.200 NETMASK=255.255.255.255 ↓
CREATE PPP TEMPLATE=0 LQR=OFF BAP=OFF IDLE=60 AUTH=CHAP LOGIN=USER ↓
ADD ISDN CALL=remote NUMBER=0 PRECEDENCE=IN INANY=ON USER=PPP PPPTEMPLATE=0 ↓
ENABLE IP ↓
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓
接続してきたユーザー「UserA」は、192.168.10.200を割り当てられ、vlan1側LANの一員として扱われます。
■ CREATE PPPコマンドで作成したPPPインターフェースの設定オプションパラメーターを変更するには、SET PPPコマンドを使います。
SET PPPコマンドを実行するときには、変更するオプションがPPPインターフェース全体にかかわるグローバルなものであるか、PPPインターフェース(マルチリンクバンドル)を構成する特定のリンクだけにかかわるものかによって、OVERパラメーターの指定が必要なときとそうでないときがあります。
- OVERパラメーターがいらないオプション
- BAP
- BAPMODE
- COMPRESSION(ただし、LINKを指定した場合は必須)
- COMPALGORITHM
- DEBUGMAXBYTES
- DESCRIPTION
- DOWNRATE
- DOWNTIME
- ENCRYPTION
- FRAGMENT
- FRAGOVERHEAD
- IDLE
- INDATALIMIT
- IPPOOL
- IPREQUEST
- MSSHEADER
- NULLFRAGTIMER
- ONLINELIMIT
- OUTDATALIMIT
- PASSWORD
- PREDCHECK
- STACCHECK
- STARENTITY
- TOTALDATALIMIT
- UPRATE
- UPTIME
- USERNAME
- OVERパラメーターが必須のオプション
- AUTHENTICATION
- AUTHMODE
- CBDELAY
- CBMODE
- CBNUMBER
- CBOPERATION
- CONFIGURE
- ECHO
- LQR
- MAGIC
- MODEM
- MRU
- RECHALLENGE
- RESTART
- TERMINATE
■ PPPインターフェースを削除するには、DESTROY PPPコマンドを使用します。IPなどの上位モジュールがアタッチされている場合は、最初にそちらを削除してからDESTROY PPPコマンドを実行してください。
DELETE IP INT=ppp0 ↓
DESTROY PPP=0 ↓
PPPインターフェースには、さまざまな設定オプションがあります。ここでは、おもなものについて説明します。詳細はコマンドリファレンスをご覧ください。
オンデマンド接続は、上位層(IPなど)からの要求に応じてPPPのリンクを開き、一定時間無通信状態が続くとリンクを閉じる機能です。ISDN網のように、通信時間に基づく従量制料金を採用している交換回線上でPPPを使用する場合に、通信料金を節約する目的で使用します。またL2TPを使用している場合も、ダイヤルオンデマンドをオンにしておいたほうが接続の問題が少なくなります。
■ オンデマンド接続を使用するには、CREATE PPPコマンド、SET PPPコマンドのIDLEパラメーターにONを指定します。これにより、必要に応じて自動接続し、60秒間無通信状態が続くと自動的に回線を切断するようになります。省略時はIDLE=OFFで、その場合はルーターが起動するとただちにPPPリンクを確立しようとします。また、無通信時の切断タイマーが無効であるため、いつまでも接続したままとなりますのでご注意ください。
CREATE PPP=0 OVER=ISDN-isp IDLE=ON ↓
■ IDLEパラメーターに秒数を指定することで、切断タイマーの値を変更することもできます。次の例では切断までの時間を175秒に変更しています。
Note
- オンデマンド接続を使用しているとき、上位層(IPなど)から見たPPPインターフェースの状態はつねに「Up」となります。たとえば、SHOW IP INTERFACEコマンドでは「Down」状態のインターフェース名の後に「#」が付きますが、オンデマンド接続のPPPインターフェースの場合は、回線が切断されていても「#」は付きません。
■ オンデマンド接続のPPPインターフェース上にIPインターフェースを作成している場合、LAN側のMicrosoft Networkクライアントが発するパケットによって、不用意な接続が起こることがあります。これを防ぐには、IPフィルターやファイアウォールで、LAN側から発生する135、137〜139、445番ポート宛てのパケットを遮断します。
IPフィルターによる設定
ADD IP FILTER=0 SO=0.0.0.0 PROTO=TCP DPORT=135 ACTION=EXCLUDE ↓
ADD IP FILTER=0 SO=0.0.0.0 PROTO=UDP DPORT=135 ACTION=EXCLUDE ↓
ADD IP FILTER=0 SO=0.0.0.0 PROTO=TCP DPORT=137:139 ACTION=EXCLUDE ↓
ADD IP FILTER=0 SO=0.0.0.0 PROTO=UDP DPORT=137:139 ACTION=EXCLUDE ↓
ADD IP FILTER=0 SO=0.0.0.0 PROTO=TCP DPORT=445 ACTION=EXCLUDE ↓
ADD IP FILTER=0 SO=0.0.0.0 ACTION=INCLUDE ↓
SET IP INT=vlan1 FILTER=0 ↓
ファイアウォールルールによる設定
ADD FIREWALL POLICY=net RULE=1 ACTION=DENY INT=vlan1 PROTO=TCP PORT=135 ↓
ADD FIREWALL POLICY=net RULE=2 ACTION=DENY INT=vlan1 PROTO=UDP PORT=135 ↓
ADD FIREWALL POLICY=net RULE=3 ACTION=DENY INT=vlan1 PROTO=TCP PORT=137-139 ↓
ADD FIREWALL POLICY=net RULE=4 ACTION=DENY INT=vlan1 PROTO=UDP PORT=137-139 ↓
ADD FIREWALL POLICY=net RULE=5 ACTION=DENY INT=vlan1 PROTO=TCP PORT=445 ↓
PPPリンクは、物理回線の状態などによって不定期に切断される可能性があります。本製品には、リンクの状態を監視し、障害検出時に対処を行うための機能として、次の2つが用意されています。
LQRパケット
LQR(Link Quality Report)は、LQR(プロトコル識別子0xc025)という特殊なプロトコルパケットを使ってPPPリンクの状態を監視する機能です。
デフォルトでは、60秒ごとにLQRパケットを送信して、リンクが維持されているかどうかを確認しています。既定時間内(送信間隔の2倍)にLQRパケットを受信できなかった場合は、リンクに障害が発生したと判断し、LCP Configure-Requestパケットを送信してリンクの再確立を試みます。
■ LQRはデフォルトで有効になっていますが、この機能をサポートしている機器が少なく接続上の問題が発生しやすいため、接続相手がARシリーズでない場合(たとえばISPと接続する場合など)は、無効にすることをおすすめします。LQR=OFFを指定してください。
CREATE PPP=0 OVER=ISDN-isp IDLE=ON LQR=OFF ↓
■ 特に指定しなかった場合、LQRパケットは60秒間隔で送信されます。LQRパラメーターに秒数を指定した場合は、指定した間隔(秒)で送信されます。次の例ではLQRパケットの送信間隔を30秒に設定しています。
SET PPP=0 OVER=ISDN-isp LQR=30 ↓
■ LQR有効時は、規定時間内にLQRパケットを受信できないとリンクがダウンしたと判断し、LCP Configure-Requestパケットを送信してリンクの再確立を試みます。リンクダウンと判断するまでの時間は、相手側のLQRパケット送信間隔×2です(相手側の送信間隔は、LCPネゴシエーション中に取得します)。また、Configure-Requestパケットの再送回数は、CONFIGUREオプションで指定します。同オプションのデフォルト値はCONTINUOUS(無限にリトライする)です。
■ セカンダリーリンク(TYPE=SECONDARYのPPPリンク)を使用する場合は、プライマリーリンクで必ずLQRを有効にしてください。また、プライマリーリンクのCONFIGUREオプションを必ず有限な値(たとえば2)に設定してください(デフォルトは無限リトライ)。セカンダリーリンクは、LQRによるプライマリーリンクのダウン検出後、LCP Configureによるリンク再確立がすべて失敗したときに起動されます。
CREATE PPP=0 OVER=TDM-primary TYPE=PRIMARY LQR=10 CONFIGURE=2 ↓
CREATE PPP=0 OVER=ISDN-secondary TYPE=SECONDARY NUMBER=2 ↓
LCP Echoパケット
LCP Echo(Echo-Request)パケットは、接続相手にエコー応答を要求するLCPの標準機能です。LCP Echoは、リンク状態を監視する手段として、あまりサポートされていないLQRの代わりに使うことができます。
■ LCP Echoはデフォルトでは無効になっています。LCP EchoとLQRは併用できないので、Echoパケットを使うときは、次のようにLQRを明示的に無効にしてください。
CREATE PPP=0 OVER=ISDN-isp IDLE=ON LQR=OFF ECHO=ON ↓
■ LCP Echoパケットはデフォルト10秒間隔で送信されます。3回連続でEcho-Replyが戻ってこなかった場合は、リンクがダウンしたと判断してトリガーイベントを発生します。インターフェーストリガーでこのイベントを捕捉することにより、リンクダウン時に自動的な対応をとることができます。
次に示すのは、xDSLなどの準・常時接続環境において、網側での回線断などによるPPPリンクの切断時に、自動的に再接続するための設定例です。この例では、3つのトリガーと3つのスクリプトを使用しています。
Note
- IDLE=OFF(デフォルト)に設定されたPPPoEインターフェースは、リンクダウンしても自動的に再接続を試みます(PPPoEセッションキープアライブ機能)。以下のトリガー設定は、LCP Echoパケットによるトリガーの例として挙げましたが、実際には不要です(設定しても問題はありません)。なお、リンクダウンを検出するため、「LQR=ON」(デフォルト)または「LQR=OFF ECHO=ON」の設定は必要です。
- トリガーの設定
ENABLE TRIGGER ↓
CREATE TRIGGER=1 PERIODIC=3 SCRIPT=reset.scp ↓
CREATE TRIGGER=2 INTERFACE=ppp0 EVENT=UP CP=LCP SCRIPT=up.scp ↓
CREATE TRIGGER=3 INTERFACE=ppp0 EVENT=DOWN CP=LCP SCRIPT=down.scp ↓
- スクリプトreset.scp
- スクリプトup.scp
- スクリプトdown.scp
Note
- この例ではLCPの状態を監視することによってPPPリンクの断絶を監視していますが、リンク断がうまく検出できないときは「CP=LCP」を「CP=IPCP」に変更してみてください。
| マルチリンクPPPインターフェース(リンクアグリゲーション) |
マルチリンクPPP(MP)は、複数の物理/論理リンクを1本のPPPリンク(マルチリンクバンドル)にまとめるプロトコルです(RFC1990)。ISDNのBチャンネルを複数束ねて使用したり、複数の専用回線を1本のリンクとして使用したりすることができます。
■ ISDNのBチャンネルを複数束ねて使用するには、NUMBERパラメーターで使用するBチャンネルの数を指定します。省略時は1本になります。次の例では、Bチャンネル2本を使うよう設定しています。
CREATE PPP=0 OVER=ISDN-remote IDLE=ON LQR=OFF NUMBER=2 ↓
■ 既存のPPPインターフェースに対して、同一接続条件のBチャンネルを追加するには、ADD PPPコマンドを使います。ここではBチャンネルを4本追加しています(PRIインターフェースの場合)。
ADD PPP=0 OVER=ISDN-remote NUMBER=4 ↓
■ 既存のPPPインターフェースからBチャンネルを取り除くには、DELETE PPPコマンドを使います。Bチャンネル2本を取り除くには次のようにします。
DELETE PPP=0 OVER=ISDN-remote NUMBER=2 ↓
デマンドリンクはマルチリンクPPPの応用で、トラフィックの増減に応じて、使用するリンクの数を自動的に調整する機能です。通常は少ないリンク数で運用し、トラフィックが増えたときだけリンクを追加して帯域を拡大することができます。トラフィック量が元に戻ったときは、再度リンク数を減らすことも可能です。
■ 通常はISDNのBチャンネル1本だけを使用し、トラフィック増加時にのみ2本目のBチャンネルを追加するには、次のようにします。ADD PPPコマンドで追加しているリンクはTYPE=DEMANDが指定されているため、必要な時だけ起動されるデマンドリンクとなります。TYPEパラメーター省略時はTYPE=PRIMARYとなり、常時起動のプライマリーリンクとなります。
CREATE PPP=0 OVER=ISDN-remote IDLE=ON ↓
ADD PPP=0 OVER=ISDN-remote TYPE=DEMAND ↓
デマンドリンクを設定すると、自動的にBAP/BACPが有効になります。BAP(Bandwidth Allocation Protocol)とBACP(Bandwidth Allocation Control Protocol)は、マルチリンクPPP使用時に動的な帯域制御を行うためのプロトコルです。
BAP/BACPの設定パラメーターを変更することにより、どのようなときにデマンドリンクを起動するかといった条件設定を行うことができます。詳細は、「PPPインターフェース」の「PPPリンクの種類について」をご覧ください。
PPPリンクには、次のような種類があります。ここでは、これらの動作や設定方法について説明します。
- プライマリーリンク
- デマンドリンク
- セカンダリーリンク
プライマリーリンク(TYPE=PRIMARY)
プライマリーリンクは、通常使用されるリンクです。同一PPPインターフェース上に複数のプライマリーリンクを設定することにより、これら複数のリンクを束ねて一本のリンクのように使用することができます(リンクアグリゲーション機能)。
プライマリーリンクには、専用線とISDN回線を使用できます。また、リンクアグリゲーション使用時は、異なる回線種別のリンクを組み合せることができます。ただし、ISDN回線は接続時間による従量制課金であるため(専用線は固定課金)、運用体系が異なる回線を組み合わせることはあまり現実的ではありません。次に、現実的な回線種別の組み合わせパターンを示します。
表 2:現実的な回線種別の組み合わせパターン
| |
専用線 |
ISDN回線 |
| 専用線 |
○ |
× |
| ISDN回線 |
× |
○ |
以下、プライマリーリンクを複数束ねて利用するリンクアグリゲーションの設定例を紹介します。
■ ISDNのBチャンネル2本によるリンクアグリゲーション。使用するBチャンネルの数は、NUMBERパラメーターで指定します。NUMBERパラメーターを省略した場合は、Bチャンネル1本の指定になります。
ADD ISDN CALL=REMOTE NUM=0312341111 PREC=OUT SEARCHCLI=ON ↓
CREATE PPP=0 OVER=ISDN-REMOTE IDLE=ON NUMBER=2 ↓
■ 既存のPPPインターフェースにBチャンネル2本を追加するには、次のようにします(接続相手の条件が同一の場合)。
ADD PPP=0 OVER=ISDN-REMOTE IDLE=ON NUMBER=2 ↓
■ 既存のPPPインターフェースからBチャンネル2本を取り除くには、次のようにします(同上)。
DELETE PPP=0 OVER=ISDN-REMOTE IDLE=ON NUMBER=2 ↓
デマンドリンク(メイン回線高負荷時の補助用リンク)
デマンドリンク(TYPE=DEMAND)は、プライマリーリンクの回線負荷率が一定値を上回ったときに起動されるリンクです。同一PPPインターフェース上に複数のデマンドリンクを設定することも可能で、その場合は高負荷時に1本ずつリンクが追加されていきます。
デマンドリンクにはISDN回線を使用します。デマンドリンクは、プライマリーリンクと回線種別が異なってもかまいません。
デマンドリンクを設定すると、自動的にBACP/BAPが付加されます。これにより、SET PPPコマンドを使って、デマンドリンクの起動条件(UPRATE/UPTIME)や切断条件(DOWNRATE/DOWNTIME)を調整することができます。次に、これらのパラメーターについて説明します。
表 3:デマンドリンクのパラメーター
| パラメーター |
説明 |
| UPRATE |
デマンドリンクの起動条件となる回線負荷率を指定します(デフォルトは80%)。負荷率がUPRATEを越えるとデマンドリンクは起動準備状態に入り、負荷率>UPRATEの状態がUPTIMEで指定された時間続いた時点で、デマンドリンクが実際に起動されます |
| UPTIME |
回線負荷率がUPRATEを超えてから、実際にリンクが起動されるまでの監視時間を指定します(デフォルトは30秒)。監視時間中に負荷率がUPRATEを下回らなければ、UPTIME経過後にデマンドリンクが起動されます |
| DOWNRATE |
デマンドリンクの切断条件となる回線負荷率を指定します(デフォルトは20%)。負荷率がDOWNRATEを下回るとデマンドリンクは切断準備状態に入り、負荷率<DOWNRATEの状態がDOWNTIMEに指定された時間続いた時点で、デマンドリンクが実際に切断されます |
| DOWNTIME |
回線負荷率がDOWNRATEを下回ってから、実際にリンクが切断されるまでの監視時間を指定します(デフォルトは60秒)。監視時間中に負荷率がDOWNRATEを超えなければ、UPTIME経過後にデマンドリンクが切断されます |
次に、デマンドリンクの起動/切断と上記パラメーターの関係を図示します。
以下、デマンドリンクの設定例を紹介します。デマンドリンクは、プライマリーリンクと回線種別が異なってもかまいません。
■ 次の例では、プライマリーリンクに専用線を使用し、デマンドリンクとしてISDNのBチャンネル2本を用意しています。また、デマンドリンクの起動/切断条件をデフォルト値から変更しています。
CREATE TDM GROUP=PRIMARY INTERFACE=BRI0 SLOTS=1-2 ↓
ADD ISDN CALL=DEMAND NUM=0312341111 PREC=OUT SEARCHCLI=ON INTREQ=BRI1 ↓
CREATE PPP=0 OVER=TDM-PRIMARY TYPE=PRIMARY ↓
ADD PPP=0 OVER=ISDN-DEMAND TYPE=DEMAND NUMBER=2 ↓
SET PPP=0 UPRATE=85 UPTIME=10 DOWNRATE=25 DOWNTIME=30 ↓
■ 次は、プライマリーリンク、デマンドリンクとも、同一条件のISDN回線を使用する場合の設定例です。この場合も、下記の例のように、プライマリーリンクとデマンドリンクを別々に設定するようにしてください。
ADD ISDN CALL=DEMAND NUM=0312341111 PREC=OUT SEARCHCLI=ON INTREQ=BRI0 ↓
CREATE PPP=0 OVER=ISDN-DEMAND TYPE=PRIMARY IDLE=ON ↓
ADD PPP=0 OVER=ISDN-DEMAND TYPE=DEMAND NUMBER=2 ↓
■ デマンドリンクの設定を行う場合は、必ずプライマリーリンクの設定を行ってください。次の例のように、すべてのPPPリンクをTYPE=DEMANDに設定すると、トラフィック量がDOWNRATE以下のときにリンクが不安定になります。
よくない設定例(プライマリーリンクが設定されていない)
ADD ISDN CALL=DEMAND NUM=0312341111 PREC=OUT SEARCHCLI=ON ↓
CREATE PPP=0 OVER=ISDN-DEMAND TYPE=DEMAND NUMBER=3 ↓
Note
- 機能説明として記載しておりますが、AR560SはPICベイをひとつしか持たないため、複数枚のPICを必要とする構成はできません。
すでに紹介したもの以外にも、PPPにはさまざまなオプションがあります。
PPPでは、リンク確立時(LCP)にユーザー認証方式のネゴシエーションを行うことができます。認証を行うことで合意した場合、LCPの完了後かつNCPの開始前に、合意した認証方式で互いの認証(一方のみもあり)を行います。また、CHAPではリンク確立後も不定期に認証を行うケースもあります。
PPPで使用される認証方式には、PAP(Password Authentication Protocol)とCHAP(Challenge Handshake Authentication Protocol)があります。PAPは平文パスワードとユーザー名による認証方式、CHAPは一方向性ハッシュ関数を使用したチャレンジ・レスポンス型の安全な認証方式です。
認証を受けるための設定
ISPへの接続時のように相手側から認証を受ける場合は、PPP接続時にユーザー名とパスワード(またはパスワードをもとにしたハッシュ値)を相手側に送る必要があります。これらの情報は、CREATE PPPコマンド、SET PPPコマンドのUSERNAME、PASSWORDパラメーターで指定します。本製品は、PAP、CHAPどちらの認証要求に対しても応答します。
■ ppp0のリンク確立時に相手に送るユーザー名「myname」とパスワード「mypasswd」を設定します。
SET PPP=0 USERNAME=myname PASSWORD=mypasswd ↓
■ USERNAMEパラメーターを省略した場合、もしルーターにシステム名(sysName)が設定されていれば、それがPPPユーザー名として相手に送られます。システム名はSET SYSTEM NAMEコマンドで設定します。一方、パスワードはPASSWORDパラメーターで指定するしか方法がありません。
認証するための設定
接続相手にユーザー名とパスワードを要求するには、CREATE PPPコマンド、SET PPPコマンドのAUTHENTICATIONパラメーターで認証方式を指定する必要があります。指定できる値はCHAP、PAP、EITHERのいずれかです。同パラメーターのデフォルト値NONEは認証を要求しないことを意味します。EITHERはCHAP、PAPのどちらでもよいことを示します。
■ ppp0のリンク確立時に相手側にCHAP認証を要求する(チャレンジを送信する)場合は次のようにします。
CREATE PPP=0 OVER=ISDN-remote IDLE=ON AUTHENTICATION=CHAP ↓
■ 認証を要求する場合は、接続相手のユーザー名とパスワードをユーザー認証データベースに登録しておく必要があります。PPPユーザーはルーターにログインする必要がないので、LOGIN=NOを指定します。
ADD USER=hisname PASSWORD=hispasswd LOGIN=NO ↓
■ ユーザー認証データベースを使わずに、認証サーバーを利用することもできます。この場合、PPPユーザーの情報は認証サーバー側に登録しておき、本製品側ではサーバーのアドレスだけを指定しておきます。RADIUSサーバーはADD RADIUS SERVERコマンドで設定できます。RADIUSサーバーを使用する場合は、サーバーにアクセスするためのパスワード(SECRET)も指定する必要があります。
ADD RADIUS SERVER=192.168.10.5 SECRET=naisho ↓
■ PPPの認証を要求するよう設定している場合(AUTHENTICATIONパラメーターにNONE以外を指定している場合)で、物理層にISDN回線を使用している場合、デフォルトでは発呼時、着呼時とも相手に認証を要求します。発呼側が相手に認証を要求すると接続を受け付けないようなルーターも存在するため、その場合はCREATE PPPコマンド、SET PPPコマンドのAUTHMODEパラメーターを使って、着呼時のみ認証を要求するよう設定を変更してください。次に例を示します。デフォルトはINOUT(発呼時、着呼時とも要求する)です。
CREATE PPP=0 OVER=ISDN-remote IDLE=ON AUTHEN=CHAP AUTHMODE=IN ↓
■ CHAP認証を行うよう設定している場合、デフォルトでは5(300秒)〜15分(900秒)の範囲のランダムな間隔で相手を再認証します。しかし、相手がCHAPの再認証をサポートしていない場合は再認証時にリンクが切断されてしまうため、CREATE PPPコマンド/SET PPPコマンドのRECHALLENGEパラメーターで再認証を行わないよう設定してください。
SET PPP=0 RECHALLENGE=OFF ↓
PPPでは、NCPネゴシエーションによってネットワーク層プロトコルの各種パラメーターを相手から取得したり、相手側に通知したりすることができます。IPアドレスの自動割り当てもその1つです(IPCP)。
IPアドレスの割り当てを要求する
■ IPアドレスの自動割り当てを要求するには、CREATE PPPコマンド、SET PPPコマンドのIPREQUESTパラメーターにONを指定します。端末型でISPに接続する場合は、通常この設定になります。デフォルトはOFFです。
CREATE PPP=0 OVER=ISDN-isp IDLE=ON LQR=OFF USERNAME=isp PASSWORD=isppasswd IPREQUEST=ON ↓
Note
- IPを自動取得するためには、上記設定に加え、ENABLE IP REMOTEASSIGNコマンドを実行してIPアドレスの動的設定を有効にし、ADD IP INTERFACEコマンドでPPPインターフェースに0.0.0.0を設定しておく必要があります。
IPアドレスを割り当てる
PPP接続してきたユーザーにIPアドレスを割り当てるには、以下の方法があります。
- ユーザー認証データベースへの登録時に、ユーザーのIPアドレスとネットマスクをあわせて指定する。
ADD USER=orange PASSWORD=shimashima LOGIN=NO IPADDRESS=192.168.10.240 NETMASK=255.255.255.255 ↓
- RADIUSサーバーにユーザーのIPアドレスとネットマスクを登録しておき、RADIUSサーバーを使用するよう設定する。
ADD RADIUS SERVER=192.168.10.5 SECRET=radpasswd ↓
- IPアドレスプールから動的に割り当てる。
CREATE IP POOL=pppusers IP=192.168.10.240-192.168.10.250 ↓
CREATE PPP TEMPLATE=0 AUTHENTICATION=EITHER IPPOOL=pppusers ↓
IPに関するパラメーターの交渉を行うIPCPネゴシエーションでは、IPアドレスだけでなく、DNSサーバーやWINS(Windows Internet Name Service)サーバーのアドレスを相手に要求したり通知したりすることもできます。
DNSサーバーアドレスの要求
本製品は、IPCPネゴシエーションでDNSサーバーアドレスを要求します。これは自動的に行われます。
DNS/WINSサーバーアドレスの通知
接続相手にDNSサーバー、WINSサーバーのアドレスを通知するには、SET PPP DNSPRIMARYコマンドのDNSPRIMARY、DNSSECONDARY、WINSPRIMARY、WINSSECONDARYパラメーターに、各サーバーのIPアドレスを指定します。
これらのパラメーターはPPPのグローバルパラメーターなので、PPPインターフェース番号を指定することはできません。
■ DNSサーバーとして192.168.10.5、WINSサーバーとして192.168.10.10を通知するには、次のようにします。
SET PPP DNSPRIMARY=192.168.10.5 WINSPRIMARY=192.168.10.10 ↓
Note
- WINSサーバーは接続相手への通知のみです。本製品が接続相手にWINSサーバーアドレスを要求することはありません。
PPPコールバックは、PPPのレベルでコールバックを行う機能です。ISDNのDチャンネルレベルで行われる無課金コールバック(ISDNコールバック)に対し、Bチャンネルまで接続するため要求側にも課金されますが、CHAPやPAPによりISDNよりも細かい認証を行えます。
コールバックを使用する場合、コールバックを要求する側(最初に発呼する側)と要求を受け入れコールバックする側(かけ直す側)に役割が分かれます。
コールバック時の役割は、CREATE PPPコマンド、SET PPPコマンドのCBMODEパラメーターで指定します。
- コールバック要求側(CBMODE=REQUEST)
- コールバック受け入れ側(CBMODE=ACCEPT)
コールバックの要求側
■ 相手にコールバックを要求する場合は次のようにします。これにより、LCPネゴシエーションで相手にコールバックを要求します。
CREATE PPP=0 OVER=ISDN-remote IDLE=ON USER=a PASS=aaaaaa CBMODE=REQUEST ↓
コールバック要求側は、どの番号にコールバックすべきかを相手側に伝えることができます。これは、CBOPERATIONパラメーターで指定します。指定できる値はUSERAUTHとE164NUMBERです。USERAUTHは相手側のユーザー認証データベースに登録されている電話番号を使うよう要求します。E164NUMBERを指定した場合は、同時にCBNUMBERパラメーターも指定して、自分の電話番号を伝えます。省略時はUSERAUTHを指定したことになります。この例でCBOPERATIONパラメーターを省略しているので、相手側のユーザー認証データベースに登録されているユーザー「a」のコールバック番号を使うよう要求します。
■ コールバック要求時に、コールバックすべき番号も同時に伝えるには、次のようにします。
CREATE PPP=0 OVER=ISDN-remote IDLE=ON USER=a PASS=aaaaaa CBMODE=REQUEST CBOPERATION=E164NUMBER CBNUMBER=0312342222 ↓
■ コールバック要求を停止するには、CBMODEパラメーターにOFFを指定します。
SET PPP=0 OVER=ISDN-remote CBMODE=OFF ↓
コールバックの受け入れ側
■ コールバックを受け入れる側は次のようにします。受け入れ側では認証を要求するよう設定して、不正なコールバック要求を受け入れないようにします。
CREATE PPP=0 OVER=ISDN-remote IDLE=ON AUTHENTICATION=CHAP CBMODE=ACCEPT ↓
■ コールバックを受け入れる側では、コールバック要求ユーザーを登録しておきます。CBNUMBERパラメーターは、コールバック先番号の指定です。
ADD USER=a PASSWORD=aaa LOGIN=NO CBNUMBER=0312341111 ↓
■ コールバック受け入れ側では、コールバック要求の呼を切断してから、実際にコールバックするまでの待機時間を変更することができます。これは、CREATE PPPコマンド、SET PPPコマンドのCBDELAYパラメーターで指定します。単位は0.1秒で、1〜100(0.1秒〜10秒)の範囲で指定します。デフォルトは1(0.1秒)ですが、これを1秒に変更するには次のようにします。
SET PPP=0 OVER=ISDN-remote CBDELAY=10 ↓
■ コールバックの受け入れを停止するには、CBMODEパラメーターにOFFを指定します。
SET PPP=0 OVER=ISDN-remote CBMODE=OFF ↓
通信量リミッター機能を利用すると、通信時間(リンクアップ時間)や送受信データ量があらかじめ設定しておいた限度を超えたときにPPPリンクを切断し、以後の通信を禁止することができます。時間やデータ量に基づく従量制課金の場合に使用すると便利です。
■ 通信限度は、CREATE PPPコマンド/SET PPPコマンドでインターフェースごとに行います。設定できるのは以下のパラメーターです。
表 4:PPPの通信限度設定パラメーター
| パラメーター |
意味 |
有効範囲 |
| ONLINELIMIT |
通信時間(リンクアップ時間) |
1〜65535(時間) |
| INDATALIMIT |
受信データ量 |
1〜65535(MB) |
| OUTDATALIMIT |
送信データ量 |
1〜65535(MB) |
| TOTALDATALIMIT |
送受信データ量(合計) |
1〜65535(MB) |
たとえば、ppp0の累積通信データ量を1GB(1024MB)までに制限するには、次のようにします。
SET PPP=0 TOTALDATALIMIT=1024 ↓
上記の累積値は5分ごとにフラッシュメモリーに書き込まれ、ルーターを再起動しても保持されるようになっています。また、累積データはPPPリンクの切断時にも記録されます。
■ 制限を解除するには各パラメーターの値としてNONEを指定します。
SET PPP=0 TOTALDATALIMIT=NONE ↓
■ 現在の状態を確認するには、SHOW PPP LIMITSコマンドを使います。
Manager > show ppp limits
ppp0:
Limit Counter Current Limit Remaining Previous
----------------------------------------------------------------------------
Connection Time 1473:35 Unlimited --
In Data 731.2 MB Unlimited --
Out Data 223.0 MB Unlimited --
Total Data 954.0 MB 1024 MB 70.0 MB
----------------------------------------------------------------------------
|
■ 累積通信量が設定した限度に達すると、その時点でPPPのリンクが切断され、それ以上通信ができなくなります。このとき、SHOW PPP LIMITSコマンドを実行すると、限度を超えたカウンターの「Current」欄に「EXCEEDED」(超過)と表示されます。
この状態から再度通信を可能にするには、RESET PPPコマンドのLINKCOUNTERオプションで、該当する累積カウンターをクリアしてください。たとえば、送受信データ量(TOTALDATALIMIT)であれば、次のようにします。
RESET PPP=0 LINKCOUNTER=OUTDATA ↓
PPPテンプレートは、外部からの着信接続時に動的作成するPPPインターフェース(ダイナミックPPPインターフェース)の属性を定義するテンプレートです。
PPPテンプレートは、ISDN、L2TP(UDP/IP)経由で不特定ユーザーからの着信を受け入れ、相手を認証をしたのちIPアドレスを割り当てるといった、アクセスサーバー的な使い方をするときに使います。PPPテンプレートでは、静的なPPPインターフェースとほぼ同じオプションを指定できます。
■ PPPテンプレートを作成するには、CREATE PPP TEMPLATEコマンドを使います。静的なPPPインターフェースとは異なり、下位回線を指定しない点に注目してください。回線との関連付けは、各回線の設定コマンドでPPPテンプレートを指定することによって行います。
CREATE PPP TEMPLATE=0 BAP=OFF IDLE=ON LOGIN=USER AUTHENTICATION=EITHER ↓
■ PPPテンプレートの設定を変更するには、SET PPP TEMPLATEコマンドを使います。
SET PPP TEMPLATE=0 IDLE=180 ↓
作成したPPPテンプレートは、外部からの着信を受け付ける回線制御モジュールと関連付けることによって利用可能になります。PPPテンプレートを使用できる下位モジュールには次のものがあります。
■ 着信専用のISDNコール「dialin」にPPPテンプレート「0」を関連付けます。これにより、着信時にテンプレート「0」に基づいてPPPインターフェースが動的作成されます。「USER=PPP」は、着信時にPPPインターフェースを動的作成することを示すオプションです。そのとき使用するテンプレートはPPPTEMPLATEパラメーターで指定します。
ADD ISDN CALL=dialin NUMBER=0 PREC=IN INANY=ON USER=PPP PPPTEMPLATE=0 ↓
■ LNSにおいて、L2TPトンネル経由で接続してくるLACのIPアドレスとPPPテンプレートを関連付けるには、ADD L2TP IPコマンドを使います。次の例では、LAC「1.1.1.1」からの着信に対して、PPPテンプレート「2」に基づきダイナミックPPPインターフェースを作成するよう設定しています。
ADD L2TP IP=1.1.1.1 PPPTEMPLATE=2 ↓
また、不特定アドレスからの接続を受け入れるには、IPパラメーターに「0.0.0.0-255.255.255.255」(すべてのアドレス)を指定します。
ADD L2TP IP=0.0.0.0-255.255.255.255 PPPTEMPLATE=2 ↓
■ PPPテンプレートの設定を確認するには、SHOW PPP TEMPLATEコマンドを使います。
SHOW PPP TEMPLATE ↓
SHOW PPP TEMPLATE=0 ↓
ISDN網経由でのPPP接続受け入れ
センター側
- PPPユーザーを登録します。ログインの必要はないので、LOGIN=NOを指定します。
ADD USER=UserA PASSWORD=PasswordA LOGIN=NO ↓
- 動的にIPアドレスを割り当てるため、IPアドレスプールを作成します。ここでは、192.168.10.211〜192.168.10.220を「addr」という名前でプールします。
CREATE IP POOL=addr IP=192.168.10.211-192.168.10.220 ↓
- PPPテンプレートを作成します。使用するプール名もここで指定します。
CREATE PPP TEMPLATE=0 BAP=OFF AUTH=CHAP IPPOOL=addr ↓
- 着信専用のISDNコールを作成します。
ADD ISDN CALL=dialin NUMBER=0 PRECEDENCE=IN INANY=ON USER=PPP PPPTEMPLATE=0 ↓
- IPの設定をします。
ENABLE IP ↓
ADD IP INT=vlan1 IP=192.168.10.1 ↓
リモート側
- ISDNコールを作成して接続先に関する情報を定義します。
ADD ISDN CALL=remote NUMBER=0312341111 INTREQ=bri0 PRECEDENCE=OUT ↓
- PPPインターフェースを作成し、ダイヤルオンデマンドを有効にします。
CREATE PPP=0 OVER=ISDN-remote IDLE=ON BAP=OFF IPREQUEST=ON ↓
- PPPユーザー名とパスワードを設定します。
SET PPP=0 USERNAME=UserA PASSWORD=PasswordA ↓
- IPの設定をします。
ENABLE IP ↓
ENABLE IP REMOTEASSIGN ↓
ADD IP INT=vlan1 IP=192.168.20.1 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- ENATの設定をします。これはLAN側ネットワークのホストがリモートネットワークにアクセスできるようにするためです。
ENABLE IP NAT ↓
ADD IP NAT IP=192.168.20.0 MASK=255.255.255.0 GBLINT=ppp0 ↓
設定は以上です。
■ PPPの状態はSHOW PPPコマンドで確認できます。
表 5:CP(Control Protocol)の状態一覧
| 状態 |
内容 |
| INITIAL |
初期状態。OPENイベント未発生で物理層もDOWN状態 |
| STARTING |
OPENイベントが発生したが物理層はまだDOWN状態 |
| CLOSED |
物理層はUPしているがOPENイベントは未発生 |
| STOPPED |
物理層はUPしているがDOWNまたはTIMEOUTイベントが発生 |
| CLOSING |
リンクはUPしているがCLOSEイベントが発生しリンクを閉じようとしている状態 |
| STOPPING |
リンクはOPENしているがリモート側がリンクを閉じようとしている状態 |
| REQ SENT |
Configure-Requestを送信し、応答を待っている状態 |
| ACK RCVD |
Configure-Requestを送信し、Ackを受信した状態 |
| ACK SENT |
Configure-Requestを受信し、Ackを送信した状態 |
| OPENED |
Ackを送受信し、リンクが確立した状態 |
■ PPPインターフェースの設定とネゴシエーションによって決定されたパラメーターはSHOW PPP CONFIGコマンドで確認します。
SHOW PPP CONFIG ↓
SHOW PPP=0 CONFIG ↓
■ PPPインターフェースの統計カウンターはSHOW PPP COUNTERコマンドで確認できます。
SHOW PPP COUNTER ↓
SHOW PPP=0 COUNTER ↓
SHOW PPP=0 COUNTER=LCP ↓
本製品は、PPPリンクの圧縮方式として、STAC LZSとPredictorをサポートしています。圧縮方式等のネゴシエーションは、PPPのリンク確立時にRFC1962とRFC1978で規定されているCCP(Compression Control Protocol)によって行われます。
リンク圧縮はソフトウェアで実現されるため特別なハードウェアは必要ありません。
■ STAC LZSを使うには、次のようにします。
- SET ENCO SWコマンドでソフトウェア圧縮チャンネルを確保します。接続先の数に応じて、チャンネル数を指定してください。1拠点なら1チャンネルです。
SET ENCO SW STACCHANNELS=1 ↓
- 圧縮チャンネルの設定を有効にするため、いったん設定を保存してからルーターを再起動します。
CREATE CONFIG=linkcomp.cfg ↓
SET CONFIG=linkcomp.cfg ↓
RESTART ROUTER ↓
- PPPインターフェースの設定で、圧縮を有効にし、アルゴリズムとしてSTACLZSを指定します。
SET PPP=0 COMPRESSION=ON COMPALGORITHM=STACLZS ↓
■ Predictorを使うには、次のようにします。
- SET ENCO SWコマンドでソフトウェア圧縮チャンネルを確保します。接続先の数に応じて、チャンネル数を指定してください。1拠点なら1チャンネルです。
SET ENCO SW PREDCHANNELS=1 ↓
- 圧縮チャンネルの設定を有効にするため、いったん設定を保存してからルーターを再起動します。
CREATE CONFIG=linkcomp.cfg ↓
SET CONFIG=linkcomp.cfg ↓
RESTART ROUTER ↓
- PPPインターフェースの設定で、圧縮を有効にし、アルゴリズムとしてPredictorを指定します。
SET PPP=0 COMPRESSION=ON COMPALGORITHM=PREDICTOR ↓
本製品は、DESによるPPPリンクの暗号化をサポートしています。
リンク暗号化のためのネゴシエーションは、RFC1968で規定されているECP(Encryption Control Protocol)を利用して行われます。ECPのネゴシエーションに失敗した場合は、リンクが切断されます。なお、PPPリンクの暗号化に使う鍵は、ECPの枠組みの中で本製品の独自方式を使って管理します。リンク暗号化用の鍵管理は、STARモジュールによって行います。STARモジュールの詳細については、「暗号・圧縮」の章をご覧ください。
ここでは、次のような構成のネットワークを例に、PPPリンク暗号化の設定手順を示します。ルーターAとBは専用線で接続されているものと仮定します。
ルーターA(マスタールーター)の設定
- 専用線とPPPの設定を行います。
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
CREATE TDM GROUP=remote INT=bri0 SLOTS=1-2 ↓
CREATE PPP=0 OVER=TDM-remote ↓
ENABLE IP ↓
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=192.168.20.0 MASK=255.255.255.0 INT=ppp0 NEXT=0.0.0.0 ↓
- STARモジュールの有効範囲を示すSTARエンティティー「0」を作成します。ルーターAは鍵を配布する側なので、MODEパラメーターにはMASTERを指定します。ENCALGORITHMには暗号アルゴリズムを指定します(現在サポートしているのはDESのみ)。
CREATE STAR=0 MODE=MASTER ENCALGORITHM=DES ↓
- PPPインターフェースでリンク暗号化を有効にします。STARENTITYパラメーターでSTARエンティティー番号を指定してください。
SET PPP=0 ENCRYPTION=ON STARENTITY=0 ↓
- ネットワークキーを生成します。これは、マスターキーテーブルの配布時に使用する共通秘密鍵です。マスタールーター上でランダムに生成した後、他のルーターに手動で入力します。
SET STAR=0 NETKEY RANDOM ↓
- 作成したネットワークキーの値を表示させます。ルーターB(スレーブルーター)にも同じ値を設定するので、安全に気を付けつつメモしておいてください。
Manager > show star=0 netkey
fbj5m5ap7wasgd
|
- マスターキーテーブルを作成します。これは、実際の通信の暗号化に使うセッションキーを暗号化するための鍵を複数まとめたものです。マスタールーター上で生成し、PPPリンク経由でスレーブルーターに転送します。
マスターキーテーブルは、管理者が手動で時々作成しなおしてください。鍵を再作成したときは、手順7〜10を繰り返してください。
- スレーブルーターにネットワークキーを入力したら、マスターキーテーブルを転送します。マスターキーテーブルの転送は、マスタールーター側だけで行う作業です。最初にPPPリンクをいったんリセットします。これにより、セッションキーの再交換が行われ、結果としてスレーブルーターがマスターキーテーブルの転送を要求してきます。
- 次のコマンドを実行して、スレーブルーターからのマスターキーテーブル転送要求を確認します。
SHOW STAR MKTTRANSFER LOG ↓
Manager > show star mkttransfer log
Star Master Key Table transfer request log:
Serial Number StarID User UserID State Time Date Requests
------------------------------------------------------------------------------
41849368 0 PPP 0 RECEIVED 16:22:27 08-Nov-2001 8
------------------------------------------------------------------------------
|
- 要求を確認したら、次のコマンドを実行してマスターキーテーブルを実際に転送します。MKTTRANSFERパラメーターには、スレーブルーターのシリアル番号を指定します。
ENABLE STAR MKTTRANSFER=41849368 ↓
- 転送の進行状況はSHOW STAR MKTTRANSFER LOGコマンドで確認できます。State欄がSENDINGなら転送中、COMPLETEDなら転送完了です。
Manager > show star mkttransfer log
Star Master Key Table transfer request log:
Serial Number StarID User UserID State Time Date Requests
------------------------------------------------------------------------------
41849368 0 PPP 0 SENDING 16:22:27 08-Nov-2001 48
------------------------------------------------------------------------------
|
Manager > show star mkttransfer log
Star Master Key Table transfer request log:
Serial Number StarID User UserID State Time Date Requests
------------------------------------------------------------------------------
41849368 0 PPP 0 COMPLETED 16:22:27 08-Nov-2001 48
------------------------------------------------------------------------------
|
- 設定は以上です。SHOW PPPコマンドでリンクの状態を確認してみましょう。LCP、ECP、NCP(ここではIPCP)がすべてOPENEDになっているはずです。
Manager > show ppp=0
Name Enabled ifIndex Over CP State
-----------------------------------------------------------------------------
ppp0 YES 04 IPCP OPENED
ECP OPENED
acc-remote LCP OPENED
-----------------------------------------------------------------------------
|
マスターキーテーブルを作成しなおした場合は、手順7〜10を再度繰り返してください。
ルーターB(スレーブルーター)の設定
- 専用線とPPPの設定を行います。
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
CREATE TDM GROUP=remote INT=bri0 SLOTS=1-2 ↓
CREATE PPP=0 OVER=TDM-remote ↓
ENABLE IP ↓
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=192.168.10.0 MASK=255.255.255.0 INT=ppp0 NEXT=0.0.0.0 ↓
- STARモジュールの有効範囲を示すstarエンティティー「0」を作成します。ルーターBはマスタールーターから鍵の配布を受ける側なので、MODEパラメーターにはSLAVEを指定します。ENCALGORITHMには暗号アルゴリズムを指定します(現在サポートしているのはDESのみ)。
CREATE STAR=0 MODE=SLAVE ENCALGORITHM=DES ↓
- PPPインターフェースでリンク暗号化を有効にします。STARENTITYパラメーターでSTARエンティティー番号を指定してください。
SET PPP=0 ENCRYPTION=ON STARENTITY=0 ↓
- マスタールーター上で生成したネットワークキーを入力します。
SET STAR=0 NETKEY VALUE=fbj5m5ap7wasgd ↓
(C) 2010-2014 アライドテレシスホールディングス株式会社
PN: 613-001314 Rev.G