管理メニュー

DynagenでCCIEを目指す

PPP 認証設定

最終更新:

it_certification

- view
管理者のみ編集可

概要

PPPの認証設定についての動作確認を行います。

構成図

192.168.12.1/24
┏━┓s0/0            ┏━┓
┃R1┣━━━━━━━━┫R2┃
┗━┛            s0/0┗━┛
             192.168.12.2/24

演習問題一覧

1. PPP 基本設定

  • R1, R2に構成図の通りのIPアドレスをアサインして下さい。
  • R1, R2をPPPで接続して下さい。
  • R1, R2間でpingによる疎通確認を行って下さい。

2. PAP 認証

  • PAPを使用して、R1がR2を認証するよう設定して下さい。
  • R1のローカルデータベースを使用して認証し、ユーザ名はR2PPP、パスワードはCISCOを使用して下さい。
  • R1, R2間でpingによる疎通確認を行って下さい。

3. CHAP 認証

  • CHAPを使用して、R2がR1を認証するように設定して下さい。
  • パスワードはCCIEを使用して下さい。

4. alter CHAP hostname

  • R1はalter CHAP hostname として、R1CHAPを使用するよう変更して下さい。
  • R2はalter CHAP hostname として、R2CHAPを使用するよう変更して下さい。

5. 認証方法の拒否

  • R2はR1を認証する際に、まずPAPによる認証を、次にCHAPによる認証を試みるよう変更して下さい。
  • R1はPAPによる認証を拒否し、その結果、R2にCHAPで認証されるようにして下さい。


初期設定

  • 構成ファイル
ghostios = True
sparsemem = True
model = 3620
[localhost]
    
    [[3620]]
        image = C:\Program Files\Dynamips\images\c3620-j1s3-mz.123-18.bin
        ram = 128

    [[ROUTER R1]]
    	s0/0 = R2 s0/0

    [[ROUTER R2]]
  • R1
デフォルト設定
  • R2
デフォルト設定

1. PPP 基本設定

問題文 再掲

  • R1, R2に構成図の通りのIPアドレスをアサインして下さい。
  • R1, R2をPPPで接続して下さい。
  • R1, R2間でpingによる疎通確認を行って下さい。

基本動作 まとめ

serial I/FでPPP接続を行うのに必要な設定は、カプセル化の設定のみです。

解答

  • R1
interface Serial0/0
 ip address 192.168.12.1 255.255.255.0
 encapsulation ppp

  • R2
interface Serial0/0
 ip address 192.168.12.1 255.255.255.0
 encapsulation ppp

動作確認

R1, R2間で疎通可能になった事を確認します。
R1#ping 192.168.12.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/43/80 ms
R1#

2. PAP 認証

問題文 再掲

  • PAPを使用して、R1がR2を認証するよう設定して下さい。
  • R1のローカルデータベースを使用して認証し、ユーザ名はR2PPP、パスワードはCISCOを使用して下さい。
  • R1, R2間でpingによる疎通確認を行って下さい。

基本動作 まとめ

PPPには、PAP, CHAPなどの認証方法があります。認証方法について簡単にまとめると以下の通りです。
認証方法 概要
PAP クライアント側はサーバ側にユーザ名とパスワードを平文で送信します。
CHAP CHAPはサーバ側、クライアント側に予め同じパスワードを設定しておきます。
サーバ側はチャレンジと呼ばれる乱数をクライアント側に送信し、クライアント側はチャレンジとパスワードを結合した値を返します。
EAP 認証フレームワークです。CHAPを使用するEAP-CHAPや証明書を使用するEAP-TLSなどがあります。
(恐らくCCIE R&S lab試験対象外?)

PPPの認証方法を定義するには、以下のコマンドを使用します。
なお、AAAを有効にしていない場合は、ローカルデータベースに基づいて認証されます。
Router(config-if)#ppp authentication [{ pap | chap } ... ] [ authentication_list ]

クライアント側にPAPによる認証を求める場合は、以下のように設定します。
Router(config-if)#ppp authentication chap

PPPによる認証を求められたクライアント側は、以下のコマンドでPAP認証のユーザ名とパスワードを送信する事ができます。
Router(config-if)#ppp pap sent-username username password password

解答

  • R1
username R2PPP password CISCO
!
interface Serial0/0
 ip address 192.168.12.1 255.255.255.0
 encapsulation ppp
 ppp authentication pap

  • R2
interface Serial0/0
 ip address 192.168.12.1 255.255.255.0
 encapsulation ppp
 ppp pap sent-username R2PPP password CISCO

動作確認

debug ppp authenticationを有効にします。
R1#debug ppp authentication
PPP authentication debugging is on
R1#

s0/0を再起動し、PAPによって認証された事を確認します。
R1(config)#int s0/0
R1(config-if)#shut
R1(config-if)#
*Mar 1 00:00:55.023: %LINK-5-CHANGED: Interface Serial0/0, changed state to administratively down
*Mar 1 00:00:56.023: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to down
R1(config-if)#
R1(config-if)#no shut
R1(config-if)#
*Mar 1 00:01:01.207: %LINK-3-UPDOWN: Interface Serial0/0, changed state to up
*Mar 1 00:01:01.211: Se0/0 PPP: Using default call direction
*Mar 1 00:01:01.211: Se0/0 PPP: Treating connection as a dedicated line
*Mar 1 00:01:01.215: Se0/0 PPP: Session handle[BC000001] Session id[2]
*Mar 1 00:01:01.215: Se0/0 PPP: Authorization required
*Mar 1 00:01:01.399: Se0/0 PAP: I AUTH-REQ id 2 len 16 from "R2PPP"
*Mar 1 00:01:01.399: Se0/0 PAP: Authenticating peer R2PPP
*Mar 1 00:01:01.403: Se0/0 PPP: Sent PAP LOGIN Request
*Mar 1 00:01:01.407: Se0/0 PPP: Received LOGIN Response PASS
*Mar 1 00:01:01.415: Se0/0 PPP: Sent LCP AUTHOR Request
*Mar 1 00:01:01.419: Se0/0 PPP: Sent IPCP AUTHOR Request
*Mar 1 00:01:01.423: Se0/0 LCP: Received AAA AUTHOR Response PASS
*Mar 1 00:01:01.423: Se0/0 IPCP: Received AAA AUTHOR Response PASS
*Mar 1 00:01:01.427: Se0/0 PAP: O AUTH-ACK id 2 len 5
*Mar 1 00:01:01.435: Se0/0 PPP: Sent CDPCP AUTHOR Request
*Mar 1 00:01:01.439: Se0/0 CDPCP: Received AAA AUTHOR Response PASS
*Mar 1 00:01:01.507: Se0/0 PPP: Sent IPCP AUTHOR Request
*Mar 1 00:01:02.427: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to up
R1(config-if)#
R1(config-if)#

3. CHAP 認証

問題文 再掲

  • CHAPを使用して、R2がR1を認証するように設定して下さい。
  • パスワードはCCIEを使用して下さい。

基本動作 まとめ

クライアント側にCHAPによる認証を求めるよう設定します。
Router(config-if)#ppp authentication chap

CHAPによるパスワードの設定は、接続相手ホスト名をユーザ名とするユーザをローカルデータベースに作成します。
この時使用するパスワードは接続先・接続元で一致させて下さい。
Router(config)#username remote_hostname password password

解答

  • R1
username R2PPP password CISCO
username R2 password CCIE
!
interface Serial0/0
 ip address 192.168.12.1 255.255.255.0
 encapsulation ppp
 ppp authentication pap

  • R2
username R1 password CCIE
!
interface Serial0/0
 ip address 192.168.12.1 255.255.255.0
 encapsulation ppp
 ppp authentication chap
 ppp pap sent-username R2PPP password CISCO

確認

debug ppp authenticationを有効にします。
R1#debug ppp authentication
PPP authentication debugging is on
R1#

s0/0を再起動し、CHAPによって認証された事を確認します。
R1(config)#int s0/0
R2(config-if)#shut
R2(config-if)#
*Mar 1 00:44:43.679: %LINK-5-CHANGED: Interface Serial0/0, changed state to administratively down
*Mar 1 00:44:44.679: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to down
R2(config-if)#no shut
R2(config-if)#
R2(config-if)#
*Mar 1 00:44:48.619: %LINK-3-UPDOWN: Interface Serial0/0, changed state to up
*Mar 1 00:44:48.623: Se0/0 PPP: Using default call direction
*Mar 1 00:44:48.623: Se0/0 PPP: Treating connection as a dedicated line
*Mar 1 00:44:48.627: Se0/0 PPP: Session handle[D700001A] Session id[30]
*Mar 1 00:44:48.627: Se0/0 PPP: Authorization required
*Mar 1 00:44:48.759: Se0/0 PAP: Using hostname from interface PAP
*Mar 1 00:44:48.763: Se0/0 PAP: Using password from interface PAP
*Mar 1 00:44:48.763: Se0/0 PAP: O AUTH-REQ id 4 len 16 from "R2PPP"
*Mar 1 00:44:48.767: Se0/0 CHAP: O CHALLENGE id 28 len 23 from "R2"
*Mar 1 00:44:48.875: Se0/0 CHAP: I RESPONSE id 28 len 23 from "R1"
*Mar 1 00:44:48.879: Se0/0 PPP: Sent CHAP LOGIN Request
*Mar 1 00:44:48.883: Se0/0 PAP: I AUTH-ACK id 4 len 5
*Mar 1 00:44:48.883: Se0/0 PPP: Received LOGIN Response PASS
*Mar 1 00:44:48.887: Se0/0 PPP: Sent LCP AUTHOR Request
*Mar 1 00:44:48.891: Se0/0 PPP: Sent IPCP AUTHOR Request
*Mar 1 00:44:48.895: Se0/0 LCP: Received AAA AUTHOR Response PASS
*Mar 1 00:44:48.895: Se0/0 IPCP: Received AAA AUTHOR Response PASS
*Mar 1 00:44:48.895: Se0/0 CHAP: O SUCCESS id 28 len 4
*Mar 1 00:44:48.903: Se0/0 PPP: Sent CDPCP AUTHOR Request
*Mar 1 00:44:48.907: Se0/0 PPP: Sent IPCP AUTHOR Request
*Mar 1 00:44:48.915: Se0/0 CDPCP: Received AAA AUTHOR Response PASS
*Mar 1 00:44:49.895: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to up
R2(config-if)#

4. alter CHAP hostname

問題文 再掲

  • R1はalter CHAP hostname として、R1CHAPを使用するよう変更して下さい。
  • R2はalter CHAP hostname として、R2CHAPを使用するよう変更して下さい。

基本動作 まとめ

alter CHAP hostnameを使用する事で、CHAPで使用するユーザ名を変更する事ができます。
alter CHAP hostnameを定義するコマンドは以下の通りです。
Router(config-if)#ppp chap hostname hostname

alter CHAP hostnameに合わせて、ローカルデータベースを定義します。
Router(config)#username remote_alter_chap_hostname password password

解答

  • R1
username R2PPP password 0 CISCO
username R2CHAP password 0 CCIE
!
interface Serial0/0
 ip address 192.168.12.1 255.255.255.0
 encapsulation ppp
 ppp authentication pap
 ppp chap hostname R1CHAP

  • R2
username R1CHAP password 0 CCIE
!
interface Serial0/0
 ip address 192.168.12.1 255.255.255.0
 encapsulation ppp
 ppp authentication chap
 ppp chap hostname R2CHAP
 ppp pap sent-username R2PPP password CISCO

確認

debug ppp authenticationを有効にします。
R1#debug ppp authentication
PPP authentication debugging is on
R1#

s0/0を再起動し、CHAPによって認証された事を確認します。
R1(config)#int s0/0
R2(config-if)#shut
R2(config-if)#
*Mar 1 00:47:57.375: %LINK-5-CHANGED: Interface Serial0/0, changed state to administratively down
*Mar 1 00:47:58.375: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to down
R2(config-if)#
R2(config-if)#no shut
R2(config-if)#
*Mar 1 00:48:02.783: %LINK-3-UPDOWN: Interface Serial0/0, changed state to up
*Mar 1 00:48:02.787: Se0/0 PPP: Using default call direction
*Mar 1 00:48:02.787: Se0/0 PPP: Treating connection as a dedicated line
*Mar 1 00:48:02.791: Se0/0 PPP: Session handle[9100001B] Session id[31]
*Mar 1 00:48:02.791: Se0/0 PPP: Authorization required
*Mar 1 00:48:02.903: Se0/0 PAP: Using hostname from interface PAP
*Mar 1 00:48:02.907: Se0/0 PAP: Using password from interface PAP
*Mar 1 00:48:02.907: Se0/0 PAP: O AUTH-REQ id 5 len 16 from "R2PPP"
*Mar 1 00:48:02.911: Se0/0 CHAP: O CHALLENGE id 29 len 27 from "R2CHAP"
*Mar 1 00:48:03.027: Se0/0 CHAP: I RESPONSE id 29 len 27 from "R1CHAP"
*Mar 1 00:48:03.031: Se0/0 PPP: Sent CHAP LOGIN Request
*Mar 1 00:48:03.035: Se0/0 PPP: Received LOGIN Response PASS
*Mar 1 00:48:03.043: Se0/0 PPP: Sent LCP AUTHOR Request
*Mar 1 00:48:03.043: Se0/0 PPP: Sent IPCP AUTHOR Request
*Mar 1 00:48:03.051: Se0/0 PAP: I AUTH-ACK id 5 len 5
*Mar 1 00:48:03.051: Se0/0 LCP: Received AAA AUTHOR Response PASS
*Mar 1 00:48:03.055: Se0/0 IPCP: Received AAA AUTHOR Response PASS
*Mar 1 00:48:03.059: Se0/0 CHAP: O SUCCESS id 29 len 4
*Mar 1 00:48:03.063: Se0/0 PPP: Sent CDPCP AUTHOR Request
*Mar 1 00:48:03.071: Se0/0 CDPCP: Received AAA AUTHOR Response PASS
*Mar 1 00:48:03.091: Se0/0 PPP: Sent IPCP AUTHOR Request
*Mar 1 00:48:04.059: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to up
R2(config-if)#

5. 認証方法の拒否

問題文 再掲

  • R2はR1を認証する際に、まずPAPによる認証を、次にCHAPによる認証を試みるよう変更して下さい。
  • R1はPAPによる認証を拒否し、その結果、R2にCHAPで認証されるようにして下さい。

基本動作 まとめ

PPP接続において、複数の認証方法をクライアントに求める事もできます。
以下は、まずPAPによる認証を試みた後にCHAPによる認証を求める例です。
Router(config-if)#ppp authentication pap chap

PPP接続において、クライアントは認証方法を拒否する事ができます。
よく使われる手法としては、セキュリティが甘いPAPによる認証を拒否する設定が使われる事があります。コマンドは以下の通りです。
Router(config-if)#ppp pap refuse

解答

  • R1
username R2PPP password 0 CISCO
username R2CHAP password 0 CCIE
!
interface Serial0/0
 ip address 192.168.12.1 255.255.255.0
 encapsulation ppp chap
 ppp authentication pap
 ppp chap hostname R1CHAP

  • R2
username R1CHAP password 0 CCIE
!
interface Serial0/0
 ip address 192.168.12.1 255.255.255.0
 encapsulation ppp
 ppp authentication chap
 ppp chap hostname R2CHAP
 ppp pap sent-username R2PPP password CISCO
 ppp pap refuse

確認


debug ppp authenticationを有効にします。
R1#debug ppp authentication
PPP authentication debugging is on
R1#

s0/0を再起動し、PAPではなくCHAPによって認証された事を確認します。
デバッグメッセージ中にPAPの文字が含まれていない事を確認します (デバッグメッセージ中に、PAPを拒否した旨のメッセージは出力されないようです)。
R1(config)#int s0/0
R1(config-if)#shut
R1(config-if)#
*Mar 1 01:02:18.459: %LINK-5-CHANGED: Interface Serial0/0, changed state to administratively down
*Mar 1 01:02:19.459: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to down
R1(config-if)#
R1(config-if)#no shut
R1(config-if)#
*Mar 1 01:02:24.179: %LINK-3-UPDOWN: Interface Serial0/0, changed state to up
*Mar 1 01:02:24.183: Se0/0 PPP: Using default call direction
*Mar 1 01:02:24.183: Se0/0 PPP: Treating connection as a dedicated line
*Mar 1 01:02:24.187: Se0/0 PPP: Session handle[FC000017] Session id[33]
*Mar 1 01:02:24.187: Se0/0 PPP: Authorization required
*Mar 1 01:02:24.371: Se0/0 CHAP: O CHALLENGE id 27 len 27 from "R1CHAP"
*Mar 1 01:02:24.375: Se0/0 CHAP: I CHALLENGE id 31 len 27 from "R2CHAP"
*Mar 1 01:02:24.383: Se0/0 CHAP: Using hostname from interface CHAP
*Mar 1 01:02:24.383: Se0/0 CHAP: Using password from AAA
*Mar 1 01:02:24.387: Se0/0 CHAP: O RESPONSE id 31 len 27 from "R1CHAP"
*Mar 1 01:02:24.411: Se0/0 CHAP: I RESPONSE id 27 len 27 from "R2CHAP"
*Mar 1 01:02:24.415: Se0/0 PPP: Sent CHAP LOGIN Request
*Mar 1 01:02:24.419: Se0/0 PPP: Received LOGIN Response PASS
*Mar 1 01:02:24.423: Se0/0 PPP: Sent LCP AUTHOR Request
*Mar 1 01:02:24.423: Se0/0 PPP: Sent IPCP AUTHOR Request
*Mar 1 01:02:24.431: Se0/0 LCP: Received AAA AUTHOR Response PASS
*Mar 1 01:02:24.431: Se0/0 IPCP: Received AAA AUTHOR Response PASS
*Mar 1 01:02:24.435: Se0/0 CHAP: O SUCCESS id 27 len 4
*Mar 1 01:02:24.479: Se0/0 CHAP: I SUCCESS id 31 len 4
*Mar 1 01:02:24.483: Se0/0 PPP: Sent CDPCP AUTHOR Request
*Mar 1 01:02:24.487: Se0/0 CDPCP: Received AAA AUTHOR Response PASS
*Mar 1 01:02:24.507: Se0/0 PPP: Sent IPCP AUTHOR Request
*Mar 1 01:02:25.479: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to up
R1(config-if)#
「PPP 認証設定」をウィキ内検索
人気記事ランキング
  1. トップページ/手順書 サーバ系/TACACS+ インストール手順
  2. トップページ/動作検証 ネットワーク系/20100331 rip passive-interfaceの設定
  3. トップページ/動作検証 ネットワーク系/20100822 TFTP, FTP, SCP
もっと見る
最近更新されたページ
もっと見る
ウィキ募集バナー