RT100i での認証の実装

RT100i では先にあげた認証方法のうち、発信者 番号通知、PAP、CHAP の 3 つを実装しています。RT100i ではこれらを二通り の方法で利用できます。

  1. PP1〜PP30 を利用する方法

    比較的数の少ない、固定した相手先と接続する場合に適しています

  2. PP-Anonymous を利用する方法

    不特定多数の相手先から着信を受ける場合や、固定した相手先でも非常に 多数の相手との通信が必要な場合に適しています


PP1〜PP30 を利用する方法

PP1〜PP30 は最大 30 個の相手先をそれぞれ PP1〜PP30 に割り当てて通信 する方法です。30 個以内の固定した相手先と通信する場合に適しています。


発信者番号通知の利用方法

PP1〜PP30 に相手先を定義すると、必ず着信時には発信者番号通知による 認証が行われます。相手先を定義するには、以下のようなコマンドを使います。

	pp select 1
	isdn remote address XXX-XXXX [YYY-YYYY...]

ここで、pp select コマンドは相手先番号を選択するために使用 します。この相手先は、相手先番号 1 番、すなわち PP1 とします。RT100i では相手先は PP1 から PP30 まで、30 件登録できます。

次に、相手の電話番号を isdn remote address コマンドで設定 します。ここで設定された番号と網から受け取った発信者番号通知を比較する ことで認証が行われます。

isdn remote address コマンドには複数の番号が記述できます。 複数の番号が記述された場合、着信時には記述されたすべての番号との比較が 行われますが、発信時には先頭の番号が一つだけ使用されます。

isdn remote address コマンドで設定された相手の電話番号は着信 の時の認証ばかりではなく、発信の時にも利用されます。

PAP/CHAP の利用方法

PAP/CHAP による認証を要求するには

PP1〜PP30 である相手に対して PAP/CHAP により認証するには、以下のよ うなコマンドを使います。

	pp select 1
	pp auth username NAME PASSWORD
	pp auth request PROTOCOL [arrive-only]

pp auth username コマンドでは、相手の名前とパスワードを指 定します。相手先毎に違う名前のセットを指定でき、また、一つの相手先に対 して複数の組を登録できます。

pp auth request コマンドは、PAP と CHAP のどちらを相手に要 求するかを指定します。PROTOCOL として指定できるのは、以下の 4 通りです。

none
PAP/CHAP のいずれも要求しません。
pap
PAP による認証を要求します。
chap
CHAP による認証を要求します。
chap-pap
最初は CHAP による認証を要求しますが、相手が CHAP をサポートしてい ない場合には PAP による認証に切り替えます。

省略可能なキーワード、arrive-only が指定されていると、着信時にのみ認 証を要求するようになります。

PAP/CHAP による認証を受け入れるには

相手から要求された認証を受け入れるには、以下の通り設定します。

	pp select 1
	pp auth myname NAME PASSWORD
	pp auth accept PROTOCOL

pp auth myname コマンドでは、自分の名前とパスワードを指定 します。相手先毎に違う名前のセットを指定できますが、一つの相手先に対し ては一組だけの設定です。

pp auth accept コマンドは、受け入れるプロトコルを指定しま す。PROTOCOL として指定できるのは、以下の 4 通りです。

none
PAP/CHAP のいずれも受け入れません。
pap
PAP による認証を受け入れます。
chap
CHAP による認証を受け入れます。
pap chap
PAP/CHAP いずれによる認証でも受け入れます。

PP-Anonymous を利用する方法

PP-Anonymous は、不特定多数の相手先から着信を受ける場合や、固定した 相手先でも非常に多数の相手との通信が必要な場合に適しています。


発信者番号通知の利用方法

PP-Anonymous で発信者番号通知を利用するには、以下のような設定を行い ます。

	pp select anonymous
	pp auth username NAME PASS [ISDN1] [clid [ISDN2]] [IPREMOTE]

PP-Anonymous は PP1〜PP30 とは異なり、相手先を名前で管理します。 PP-Anonymous における pp auth username コマンドは相手先となる 名前を登録するコマンドです。

NAME は相手先の名前です。PASS は PAP/CHAP で用い るパスワード/シークレットを設定します。不要の場合は、"" とし ておくことで空文字列に設定できます。

ISDN1 は相手先の ISDN アドレスを設定します。ISDN1 は発信用と、発信者番号との比較に用いられ、ISDN1 が省略されるとこの相手 に対して発信することはなくなります。

キーワード clid を後ろに置くことで、着信時に発信者番号通知 による認証を行うようになります。

ISDN2 は発信者番号通知と比較する二番目の ISDN アドレスです。 ISDN2 がある場合には、発信者番号は ISDN1ISDN2 の双方と比較され、どちらかと一致すれば認証は成功したと みなします。ISDN2 は発信に利用されることはありません。

IPREMOTE はリモートの IP アドレスです。


PAP/CHAP の利用方法

PAP/CHAP による認証を要求するには

PP-Anonymous である相手に対して PAP/CHAP により認証するには、以下の ようなコマンドを使います。

	pp select anonymous
	pp auth username NAME PASS [ISDN1 [clid [ISDN2]]] [IPREMOTE]
	pp auth request PROTOCOL [arrive-only]

pp auth username コマンドは、発信 者番号通知の利用で説明したものと同じです。

pp auth request コマンドは、PAP と CHAP のどちらを相手に要 求するかを指定します。PROTOCOL として指定できるのは、以下の 4 通りです。

none
PAP/CHAP のいずれも要求しません。
pap
PAP による認証を要求します。
chap
CHAP による認証を要求します。
chap-pap
最初は CHAP による認証を要求しますが、相手が CHAP をサポートしてい ない場合には PAP による認証に切り替えます。

省略可能なキーワード、arrive-only が指定されていると、着信時にのみ認 証を要求するようになります。

PAP/CHAP による認証を受け入れるには

相手から要求された認証を受け入れるには、以下の通り設定します。

	pp select anonymous
	pp auth myname NAME PASSWORD
	pp auth accept PROTOCOL

pp auth myname コマンドでは、自分の名前とパスワードを指定 します。PP-Anonymous 全体で一つしか設定できず、名前によって区別される 相手先毎に違うセットを指定できません。

pp auth accept コマンドは、受け入れるプロトコルを指定しま す。PROTOCOL として指定できるのは、以下の 4 通りです。

none
PAP/CHAP のいずれも受け入れません。
pap
PAP による認証を受け入れます。
chap
CHAP による認証を受け入れます。
pap chap
PAP/CHAP いずれによる認証でも受け入れます。

RADIUS の利用方法

RADIUS(Remote Authentication Dial In User Service) とは、 NAS(Network Access Server)、すなわちインターネットへのアクセスの口を持 つデバイスを RADIUS サーバが管理するためのプロトコルです。RADIUS 自体、 現在 IETF で討議中のプロトコルですが、RFC になる日も近いと思われます。

UNIX マシン上で動作する RADIUS サーバのソフトが以下のサイ トから anonymous ftp で取得できます。詳しい使い方などはパッケージに含 まれているドキュメントを参照して下さい。
ftp://ftp.merit.edu/radius/releases/

RT100i の場合、PP-Anonymous に着信させる場合にはまさしくこの NAS と して動作しますので、この場合に限って、PAP/CHAP に関する情報を pp auth username コマンドの設定からではなく RADIUS サーバから取得す ることができます。RADIUS を利用する場合、以下のように設定します。

	radius auth on
	radius server SERVER
	radius secret SECRET

radius auth コマンドは RADIUS による認証を用いるためのコマ ンドです。

radius server コマンドでは、RADIUS サーバの IP アドレスを 設定します。

radius secret コマンドでは、RADIUS サーバとの間でのパスワー ドに相当する RADIUS シークレットを設定します。

RADIUS 認証を行う場合、発番号認証は利用できません。

また、RADIUS ではアカウンティングも行えますが、そちらを利用するには 以下のように設定します。

	radius account on
	radius server SERVER
	radius secret SECRET

アカウンティングのためにも RADIUS サーバ、シークレットを設定する必 要があります。それらは RADIUS 認証で用いるものと同じものになり、違うサー バを指定することはできません。


名前によるルーティング

認証とはちょっと話が異なりますが、PP-Anonymous で定義した相手の名前 に対しては、IP のルーティングが設定できます。具体的には、ip pp route add コマンドが以下のように拡張されます。

	pp select anonymous
	ip pp route add net NETWORK[/MASK] NAME METRIC
	ip pp route add host HOST NAME METRIC
NETWORK[/MASK]
宛先ネットワーク
HOST
宛先ホスト
NAME
pp auth username で定義された相手の名前
METRIC
メトリック、1〜15

拡張前に比べると、NAME パラメータが増えています。例えば、 以下のように使用します。

# pp select anonymous
anonymous# ip pp route add net 192.168.1.0/24 Tokyo 1
anonymous# ip pp route add host 192.168.3.1 Osaka 1
anonymous# show ip route
宛先/ネットマスク           次のホップ          メトリック       TTL(秒)
192.168.3.1/32              Name(Osaka)                  1        static
192.168.1.0/24              Name(Tokyo)                  1        static
...