PPP Chap 認証の設定まとめ

ドキュメント

2014/06/20 - 05:25
6月 20th, 2014
User Badges:
  • Cisco Employee,

この記事では IOS Router での PPP Chap 認証の設定を簡単にまとめます。

PPP Chap 認証設定では、認証ユーザー名(hostname) や password の設定可能な箇所が複数あり、混乱しやすいかと思います。

ここではどの設定がどのような意味を持つのかを説明します。

 

まずは簡単に Chap 認証の流れを確認します。


 

上図のように R1(クライアント)とR2(認証サーバー)を想定します。

両筐体にはそれぞれ hostname と password の設定が必要となりますが、

認証が成功する為には password1 と password2 が一致する必要があります。

 

以下ではこの hostname と password が、どのような設定で、どのように認証使用されるかを

幾つかの設定例と共に紹介します。

 

以下では下記の構成例にて、Dialer interface 上での PPP 認証を例に説明します。

Example: Topology

 


Sample Config #1 (双方向認証, その1)

Router1Router2
hostname Router1
username Router2 password 0 cisco

interface Dialer1
 ip address 10.1.1.1 255.255.255.0
 encapsulation ppp
 ppp authentication chap
hostname Router2
username Router1 password 0 cisco

interface Dialer1
 ip address 10.1.1.2 255.255.255.0
 encapsulation ppp
 ppp authentication chap

 

上記設定は、ベーシックな双方向認証の例となります。

上記設定のみで Router1-Router2間のPPP認証は成功します。

青文字が使用される設定となり、hostname/password はそれぞれ以下のように使用されます。

 Router1Router2
hostnameRouter1Router2
passwordciscocisco

 

 

 

 

Sample Config #2 (双方向認証, その2)

Router1Router2
hostname Router1
username Router2 password 0 cisco
username R2 password 0 cisco

interface Dialer1
 ip address 10.1.1.1 255.255.255.0
 encapsulation ppp
 ppp authentication chap
 ppp chap hostname R1
 ppp chap password 0 cisco2
hostname Router2
username Router1 password 0 cisco
username R1 password 0 cisco

interface Dialer1
 ip address 10.1.1.2 255.255.255.0
 encapsulation ppp
 ppp authentication chap
 ppp chap hostname R2
 ppp chap password 0 cisco3

 

上記設定では、Sample Config #1 の設定に加え、Interface Dialer 配下に ppp chap hostname コマンドと ppp chap password を併用しています。

 

青文字が使用される設定となり、hostname/password はそれぞれ以下のように使用されます。

 Router1Router2
hostnameR1R2
passwordciscocisco

 

password はまず username ... password ... コマンドから確認が行われます。

このため、ppp chap password コマンドの password が一致していなくても、認証は成功します。

 

Sample Config #3(単方向認証)

Router1(クライアント)Router2(認証サーバー)
hostname Router1
username R2 password 0 cisco

interface Dialer1
 ip address 10.1.1.1 255.255.255.0
 encapsulation ppp
 ppp authentication chap callin
 ppp chap password 0 cisco1
hostname Router2
username Router1 password 0 cisco1

interface Dialer1
 ip address 10.1.1.2 255.255.255.0
 encapsulation ppp
 ppp authentication chap

 

ここでは単方向認証の例を紹介します。

これは通常、クライアント-認証サーバーのように、クライアント側が相手を認証する必要がないような場合に使用される設定となります。

 

R1 では password の選定にまず username … password … コマンドが確認されますが、

該当するものがない場合は interface の ppp chap password が使用されます。

青文字が使用される設定となり、hostname/password はそれぞれ以下のように使用されます。

 Router1Router2
hostnameRouter1Router2
passwordcisco1cisco1

 

Command Summary

最後に登場したコマンドについてまとめます。

コマンド設定場所用途
(config) hostname ...

クライアント

認証サーバー

対向へ送る default のhostname として使用
(config) username ... password ...

クライアント

認証サーバー

hostname を最初に照合するのに使用

hostname と password の照合に使用

(config-if) ppp chap hostname ...

クライアント

認証サーバー

hostname として使用、hostname コマンドより優先される

(config-if) ppp chap password ...クライアントクライアントが使用する Chap の password

 

* 認証サーバーには username ... password ... コマンドが必要になります。(local認証の場合)

* ppp chap password コマンドは Chap Response を受信した際の password として使用されます。

 

最後に

うまく認証設定が成功しない場合は debug コマンドで詳細を確認する必要があります。

debug ppp negotiation や debug ppp authentication 等を使用して解析してみてください。

 

これら動作の詳細については以下ドキュメントも参考にしてください。

コマンド詳細等の説明に差異がある場合は Cisco.com の内容を優先します。

 

PPP CHAP 認証の説明と設定

http://www.cisco.com/cisco/web/support/JP/100/1007/1007872_understanding_ppp_chap-j.html

 

ppp chap hostname コマンドおよび ppp authentication chap callin コマンドを使用する PPP 認証

http://www.cisco.com/cisco/web/support/JP/100/1008/1008349_ppp_callin_hostname-j.html

 

 

Loading.

アクション

このドキュメントについて

Related Content