Contents
PPP(PPPoE)の認証には AAA が必須
PPPoE の PPP セッションでは、必ず
- CHAP
- PAP
などの PPP 認証が行われます。
Cisco ルータで PPP 認証を行うためには、
AAA(Authentication, Authorization, Accounting)を有効化する必要があります。
PPPoE サーバーにおいて AAA の役割は次の 3つ:
| AAA 項目 | PPPoEでの役割 |
|---|---|
| Authentication | ユーザー名 / パスワードをチェック(CHAP/PAP) |
| Authorization | 認証後の IP 配布、サービス権限決定 |
| Accounting | 課金用ログや利用時間ログ(ISPで重要) |
PPP 認証を通す“最低構成”
まず AAA を有効化:
aaa new-model
PPP 認証にローカルDBを使う:
aaa authentication ppp default local
ローカルにユーザー登録:
username user1 privilege 0 password 0 pass1
Virtual-template 側に PPP 認証方式:
ppp authentication chap pap
これだけで PPPoE の認証が動作します。
ローカル認証の完全構成(最も簡単)
aaa new-model
aaa authentication ppp default local
username user1 password 0 pass1
username test2 password 0 test2pass
Virtual-Template 側では:
interface Virtual-Template1
ppp authentication chap pap
➡ PPPoE 接続時、username/password を ローカル DB で認証する。
AAA の仕組み(PPP 認証時の詳細フロー)
PPP 認証の流れ:
- PPPoE Discovery が完了し、PPP セッション開始
- LCP ネゴシエーション
- 認証フェーズ(CHAP or PAP)
- ルータが aaa authentication ppp default の設定を参照
- そこで指定された DB(local or radius)で照合
- 認証成功 → IPCP へ進み IP が割り当てられる
- Virtual-Access が UP する
Authorization(認可)も PPPoE では重要
Authorization は、認証後にやる “利用権限の決定”。
PPP では主に以下:
- 割り当てる IP(IPCP)
- IP プールの選択
- DNS の指定
- 帯域制限(RADIUS側で可能)
- アカウントごとの割り当て情報
設定例:
aaa authorization network default localRADIUS 連携の場合は:
aaa authorization network default group radiusAccounting(課金ログ)も必要に応じて利用
ISP で使う場合はユーザーのログイン・ログアウト記録が必須。
aaa accounting network default start-stop group radius
これにより RADIUS サーバへ
- 接続開始/終了
- セッション時間
- 使用量(必要なら)
が送られる。
PPPoE で AAA を使う設定パターン(重要)
🔷① シンプルなローカル認証(家庭・社内テスト用)
aaa new-model
aaa authentication ppp default local
username test password 0 password1
➡ 簡単、サーバ不要
🔷② RADIUS 認証(ISP向け・本番用)
aaa new-model
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting network default start-stop group radius
RADIUS サーバ設定:
radius server R1
address ipv4 192.168.1.10 auth-port 1812 acct-port 1813
key test123
RADIUS のレスポンスで以下が制御できる:
- IP アドレス(固定IP)
- DNS
- 帯域(QoS)
- 認証OK/NG
🔷③ ローカル+RADIUS の併用(RADIUS故障時にローカル)
aaa authentication ppp default group radius local
➡ RADIUS で認証できなければローカル fallback
Virtual-Templateとの連携
Virtual-Template 側の設定:
ppp authentication chap pap
このコマンドが「AAA authentication を使う」きっかけになる。
AAA 側で指定した方法(local / radius)に従って認証される。
よくある失敗例(AAA 関係)
1. aaa new-model を忘れている
➡ PPP 認証が始まらず PADI → PADR で止まる
2. CHAP/PAP 方式が一致していない
例:クライアントが CHAP、サーバが PAP のみ、など
3. username が間違っている
ユーザー名は 大文字小文字を区別
4. RADIUS の secret key が一致していない
key test123が違うと認証拒否になる。
5. RADIUS で Framed-IP-Address を返していない
固定 IP を求める場合に多いミス。
AAA 設定の全体像まとめ
| 機能 | 目的 | 設定例 |
|---|---|---|
| Authentication | ユーザー認証 | aaa authentication ppp default local |
| Authorization | IPなどの権限制御 | aaa authorization network default local |
| Accounting | 利用ログ(ISP用) | aaa accounting network default start-stop |