HIEDA NET Corpration
 > これは変だよ  > 質問に答える L2TP


 
追記:twitterで、このページを読んで腹が立った、という呟きを読んだ。で、末尾に追記の追記を書いた。jul 14 2009

質問に答える

  • Q:L2TPPPPoEクライアントが認証されないときはLNSの問題ではないのですか?
  • A:必ずしもそうとはいえません。

  • Q:LACではユーザー認証していないのでは?
  • A:しています。

  • Q:しかし、LACが利用するRadiusサーバーにはISPごとのユーザーデータ―ベースはありませんよね?ISPの会員はISP側で用意するユーザーデータ―ベースに格納されてるはずだし。LACが利用するRadiusに複数のISPの全会員のIDを持ってくることはないとおもいますが。
  • A:もちろん、LACが利用するRadiusに全ISPのユーザーIDを用意することは現実的ではないので、LACの利用するRadiusサーバーにユーザーIDデータ―ベースはありません。

  • Q:そうなると、LAC認証はしないでどこのISPに振分けるだけかをRadiusで判断し、認証なしでISPの入り口であるLNSを選択するだけでしょう?
  • A:いいえ違います。

  • Q:それじぁ、LACはどのRadiusに問い合わせるのですか? LNSと同じRadiusではないとおもいますが。LNSと同じRadiusですか?
  • A:いいえ、ご存知のとおり、LACが利用するRadiusはLNSが利用するものとは別物です。

  • Q:そのRadiusはISPが用意するものではありませんよね?
  • A:そのとおりです。

  • Q:そうなると、やっぱりLACは認証はしないでどこのISPに振分けるだけかをRadiusで判断し、認証なしでISPの入り口であるLNSを選択するだけでしょう?
  • A:いいえ違います。

  • Q:それではユーザーはPCで二回PPPoE接続をしなければならないと考えますが? ところが実際は一回してしていませんよね?
  • A:おっしゃる通りで、ユーザーはPPPoEの接続ツールを一回しか利用しません。PPPoE接続一回のユーザーIDでLACLNSと双方で認証に利用されます。

  • Q:ええっ、同じIDを利用しているですって?それではLACはどこのISPのユーザーIDも全て持っているRadiusを利用しているって事ですか?
  • A:いいえ違います。

  • Q:じゃ、やっぱりLAC認証はしないでどこのISPに振分けるだけかをRadiusで判断し、認証なしでISPの入り口であるLNSを選択するだけでしょう?
  • A:いいえ違います。

  • Q:それではLACで認証に利用する"ユーザーID"とは何ですか?
  • A:PPPoE接続ツールで"ユーザーID欄"に入力した文字列の"@"以下の文字列です。

  • Q:それでは、LACがISP選択で利用する識別子(文字列)は何ですか? PCのPPPoE接続ツールのユーザーID欄にある"@"以下の文字列ではないのですか?
  • A:おっしゃる通りです。

  • Q:ということはLACとRadiusはその"@"以下の文字列を照らし合わせてISPを選択するだけで、認証していないのでは?
  • A:いいえ、その文字列を認証対象とし認証しています。

  • Q:ISPのユーザーIDデータ―ベースを持っていないのにLACユーザー認証をしているわけがないとおもいますが?
  • A:LACではISPでいうユーザーIDではなく、"@"以下のISPごとの識別子をみて、それをユーザーIDのごとく利用し、RadiusサーバーのユーザーIDデータ―ベースに登録されている 全ISPの"@"以下の文字列(識別子)=ユーザーIDもどき と一致すれば、そのユーザーIDもどきの持つ規則にしたがい、LNSを選択します。LACが利用するRadiusにはISPの識別子をユーザーIDもどきデータベースに格納しています。これがLACにとってのユーザーIDデータ―ベースです。

    LACが利用するRadiusをRadius Proxyとして構成することもあります。Radius Proxyは自身ではユーザーデーターベースを持ちません。ISPの用意するRadiusに格納されているユーザーデーターベースを利用するように構成することも出来ます。

    Windows のRadius(IAS)は、ユーザーIDとして送られてきた認証対象文字列を、(設計者が希望すれば)任意の規則でフィルタリングと置換します。すると
    ABC0123456@isp.ne.jp  → ispuser
    ABC0123456@provider.net  → provideruser
    という置換えが可能です。LACで利用するユーザーデータ―ベースにispuserprovideruserというIDが登録されていれば、password = "なし" で認証され、それぞれのISPの用意するLNSにL2TPセッションを試みます。

  • Q:ということはLACとRadiusはその"@"以下の文字列を照らし合わせてISPを選択するだけで、認証していないのでは?
  • A:いいえ、認証しています。認証(authentication)しないと次の段階 authorization LACを利用する=LACを通過する=選択したISPに振分ける ができません。もちろん、この段階で認証されても、LNSで認証されないとISPのネットワークには接続できません。ここら辺の仕組みはcisco pressの教科書にも書いてあります。→ AAAコマンド


  • Q:ということはLACでは"@"以下の文字列を照らし合わせてISPを選択するだけで認証していない、そしてISP側の設備であるLNS認証しているだけなのでは?
  • A:ここまで説明してわからないようでは、僕の力で理解させることは不可能です。ご自分で勉強してください。

    ※ 当ったり前ですが、Radius Proxyという方法もあります。

追記の追記:Jul 14 2009

さて、twitterで訪れた方が、質問者と回答者のどちらに腹が立ったのかわからぬ。

それはさておき、質問者は、多分、Radius Proxyの方法しか知らなかったのか、LAC認証のL2TPを理解していないのにも関わらず、質問の形をとって回答者に対して「知ったか」をしようとしていたのか、多分どちらかであろう。ホントは「知識の確認」などのために訊く気は無いとみている。だろっ?123!
※ Radius Proxyも正確には理解していないように感じるけれど・・・



初出日:APR 10 2004
更新日:Jul 14 2009



 (C)2003 HIEDA NET Corporation All rights reserved.