CiscoルータでPPPoE認証がエラーや失敗する6つの原因・確認事項

ある程度の企業規模になると、基幹ネットワークからのインターネット接続で使用する回線でPPPoE認証を行うことはほとんどありませんが、例えばゲストユーザに提供するネット環境や検証環境などの独立した環境では、安価で高速なフレッツ光などの回線契約を行い回線接続でPPPoE認証を行うようなインターネット接続環境は多くあります。

PPPoE接続が上手くいかない、認証が失敗する、エラーが出る、通信速度が遅いなどの問題に出くわした場合のトラブルシューティングの方法、原因などを以下に紹介していきます。

ここでは例としてCiscoルータをPPPoE接続機器としますが、別メーカーでも役立つ内容もあるのでご参考頂ければ幸いです。

PPPoE接続失敗の原因 1:コンフィグ設定が間違っている

最も考えられる原因はコンフィグの設定ミスです。先ずコンフィグについては以下の設定例をご参考頂ければと思います。

・ PPPoE:Ciscoルータのコンフィグ設定(端末型払い出し)

・ PPPoE:Ciscoルータのコンフィグ設定(LAN型払い出し)

シスコのサポートでも公開されている通り、具体的には以下の点が設定ミスしやすいです。

1. PPPのchap認証(PAP認証)のユーザ名・パスワード情報
⇒ 大文字、小文字、数字の入力に間違いかないかを再度確認しましょう

2. 認証方式
⇒ NTT系であればCHAP認証ですが、それ以外のキャリアではPAP認証の場合もあります。

3. IPアドレスの割当方法のミス(自動割り当て、固定割り当て)
⇒ 自動割り当てなのか、固定割り当てなのか、割り当てるIPアドレスに間違いかないか

4. MTUの設定ミス
⇒ NTT系であればMSSが1414、MTUが1454ですが、NTT系以外であれば事前確認を!

コンフィグの設定ミスであるかどうかは、以下のdebugコマンドにより確認できます。なお、以下のdebugコマンドを実行する場合には、現在構築環境であるなど、エンドユーザーがそのルータを利用して通信していないことをしっかりと事前確認しましょう。お客様に確認を!

・ debug ppp authentication
・ debug ppp negotiation
・ debug pppoe event

※ 社内のサポートに問い合わせする際にも上記のdebug情報の送付をお勧めします。

PPPoE接続失敗の原因 2:NTT系以外であれば認証方式に注意

原因1でも紹介させて頂きましたが、NTT系以外のキャリアを使用する場合、認証方式がCHAPではないケースもあります。お客様への確認項目として認証方式もしっかりと確認するようにしましょう。ちなみに、PAP認証方式であれば次のコンフィグ設定を行ったことがあります。

ppp authentication pap callin
ppp chap refuse
ppp pap sent-username xxx@xxx.xxxx.ne.jp password xxxxx

ネットワーク環境、動作要件、接続するキャリアによっては上記のコンフィグ以外で設定する必要がある場合もありますので、あくまで参考例として頂ければと思います

PPPoE接続失敗の原因 3:NTT系以外の場合MTU/MSSに注意

原因1でも紹介させて頂きましたが、NTT系以外のキャリアを使用する場合には、MSSとMTUサイズが異なる場合もあります。NTT系であれば、MSS 1414byte、MTU 1454byte です。こちらもお客様への確認項目として、MSS/MTUサイズについて確認するようにしましょう。

なお、お客様に確認する際には、契約キャリアが分かっている場合には事前に確認をした上で「 認証方式は~で、MTU/MSSサイズは確認する限り~だと認識していますが、認識に問題はないでしょうか。」というような、お客様の負担減となるような確認方法であるとベンダーのネットワークエンジニアとして評価されますので、ぜひご参考頂ければと思います。

ちなみに、MSS/MTU値の設定が間違っていてもPPPoE接続自体は成功しますし、通信もできますが、通信が極端に遅いとか、閲覧できないWebページがあるとか、そのような現象が発生しますので必ず適正値となるように設定しましょう。

あとは、速度的な問題がある場合には念のためにONUと接続するルータのインターフェースspeedとduplexを固定にすべきであるのか、Autoにすべきなのかもしっかりと事前確認をしておくようにしましょう。

さて、以下からは当方が経験したレアなケースですが、お役に立てる内容かもしれません。

PPPoE接続失敗の原因 4:提供される認証情報に間違いがある

コンフィグの設定は完全に間違いない、入力すべきユーザ名とパスワード情報に間違いない、しかし、debugを行うと認証エラーが発生するという場合は、そもそも提供される認証情報に間違いがある場合があります

Ciscoルータで設定する「PPP chap認証のユーザ名パスワード情報」に関する文字列の情報はキャリアから契約主であるお客様に提供され、お客様からCisco認定パートナーなどのネットワークエンジニアに提供されます。間違っている可能性は以下の2点です。

1. お客様から作業者(ネットワークエンジニア)に提供される情報が間違っている
2. キャリアからお客様に提供される情報が間違っている

今までの経験からしますと、キャリアからお客様に提供される情報が間違っているという経験はなく「1」のケースが何回かありました。お客様に対して提供される情報に間違いがないかどうかを確認するのは失礼なことではあるのですが、コンフィグが完全でありdebug情報からして認証エラーが発生していることを確認できれば、ログ情報をもとに確認してみましょう

PPPoE接続失敗の原因 5:提供情報が別の回線IDのものだった

上述の原因4でお客様に確認を行って資料通りの文字列を再度入力してもやはり認証エラーが発生する場合はキャリアにも確認を行います。そして、キャリアが契約者( お客様 )に提供する情報にも間違いないという場合は、その契約資料が今回接続するインターネット回線用の契約資料であるのかを確認しましょう。

つまり、お客様はインターネット回線を複数開通していて、提供してくれている情報が今回と別の回線IDの情報だったというケースです。このパターンも何回か経験しました。ですから、お客様の契約資料を見ても正しく認証情報をお伝え頂いているし、キャリアに確認しても提供情報に間違いがないということになります。なぜなら別の契約資料を見ていたからです。

PPPoE接続失敗の原因 6:別回線の異なるONUに接続していた

これは原因5と同じようなパターンであるのですが、正しいユーザ名とパスワードが提供されていて正しく設定していてもどうしても認証エラーが発生してしまう場合、そもそも接続するONUに間違いがないかどうかを確認しましょう。

ラック内ではONUなどの回線終端装置をまとめておくことが多く、1つのラック棚に複数のONUが置かれています。一般的にお客様はどのONUがどの用途のインターネット回線なのかをラベル付けなどを行いますが、それを間違ってラベル貼りをしてしまうケースもあります。
※ あるいは、LAN配線業者の配線ミス・テプラ貼りつけミスなどもあわせてご確認を!

ONUには識別する回線ID(お客様ID)の情報が記載されていますので、その回線IDの情報を確認して本来接続すべきONUであるのかを確認しましょう。

事前検証をしたり、コンフィグを最小限にした切り分けしていく

あとは、ソフトウェアバージョンにより設定コマンドが異なる場合もありますので、本番環境でいきなり構築するのではなく事前の動作検証も実施するようにしましょう。

CiscoルータをPPPoEサーバとして設定することも可能なので、それほど工数が必要となる動作検証でありませんので念のために。そして、特にCisco ASA については事前の動作検証は必須だと認識された方がいいです。Cisco ASAについてはソフトウェアバージョンが上がる度に、NAT関連コマンドを中心に大幅に設定コマンドが変わったりしているので気をつけましょう。

最後に、PPPoE接続は問題なく完了するが、どうしても正常に想定した通信ができない場合はコンフィグを最小限にすることが問題切り分けで重要です。例えば一時的にACLを解除したり緩くしたり、ルーティング設定を緩くして大きなサブネットマスクでルーティングしたりなどその上でコンフィグを少しずつ本来の状態に戻していきトラブルシューティングします。

以上です。ご参考頂ければ幸いです。

  • このエントリーをはてなブックマークに追加