追記：twitterで、このページを読んで腹が立った、という呟きを読んだ。で、末尾に追記の追記を書いた。jul 14 2009

質問に答える

• Q：L2TPでPPPoEクライアントが認証されないときはLNSの問題ではないのですか？
  
• A：必ずしもそうとはいえません。
  
  
• Q：LACではユーザー認証していないのでは？
  
• A：しています。
  
  
• Q：しかし、LACが利用するRadiusサーバーにはISPごとのユーザーデータ―ベースはありませんよね？ISPの会員はISP側で用意するユーザーデータ―ベースに格納されてるはずだし。LACが利用するRadiusに複数のISPの全会員のIDを持ってくることはないとおもいますが。
  
• A：もちろん、LACが利用するRadiusに全ISPのユーザーIDを用意することは現実的ではないので、LACの利用するRadiusサーバーにユーザーIDデータ―ベースはありません。
  
  
• Q：そうなると、LACは認証はしないでどこのISPに振分けるだけかをRadiusで判断し、認証なしでISPの入り口であるLNSを選択するだけでしょう？
  
• A：いいえ違います。
  
  
• Q：それじぁ、LACはどのRadiusに問い合わせるのですか？　LNSと同じRadiusではないとおもいますが。LNSと同じRadiusですか？
  
• A：いいえ、ご存知のとおり、LACが利用するRadiusはLNSが利用するものとは別物です。
  
  
• Q：そのRadiusはISPが用意するものではありませんよね？
  
• A：そのとおりです。
  
  
• Q：そうなると、やっぱりLACは認証はしないでどこのISPに振分けるだけかをRadiusで判断し、認証なしでISPの入り口であるLNSを選択するだけでしょう？
  
• A：いいえ違います。
  
  
• Q：それではユーザーはPCで二回PPPoE接続をしなければならないと考えますが？　ところが実際は一回してしていませんよね？
  
• A：おっしゃる通りで、ユーザーはPPPoEの接続ツールを一回しか利用しません。PPPoE接続一回のユーザーIDでLACとLNSと双方で認証に利用されます。
  
  
• Q：ええっ、同じIDを利用しているですって？それではLACはどこのISPのユーザーIDも全て持っているRadiusを利用しているって事ですか？
  
• A：いいえ違います。
  
  
• Q：じゃ、やっぱりLACは認証はしないでどこのISPに振分けるだけかをRadiusで判断し、認証なしでISPの入り口であるLNSを選択するだけでしょう？
  
• A：いいえ違います。
  
  
• Q：それではLACで認証に利用する"ユーザーID"とは何ですか？
  
• A：PPPoE接続ツールで"ユーザーID欄"に入力した文字列の"@"以下の文字列です。
  
  
• Q：それでは、LACがISP選択で利用する識別子（文字列）は何ですか？　PCのPPPoE接続ツールのユーザーID欄にある"@"以下の文字列ではないのですか？
  
• A：おっしゃる通りです。
  
  
• Q：ということはLACとRadiusはその"@"以下の文字列を照らし合わせてISPを選択するだけで、認証していないのでは？
  
• A：いいえ、その文字列を認証対象とし認証しています。
  
  
• Q：ISPのユーザーIDデータ―ベースを持っていないのにLACがユーザー認証をしているわけがないとおもいますが？
  
• A：LACではISPでいうユーザーIDではなく、"@"以下のISPごとの識別子をみて、それをユーザーIDのごとく利用し、RadiusサーバーのユーザーIDデータ―ベースに登録されている　全ISPの"@"以下の文字列（識別子）＝ユーザーIDもどき　と一致すれば、そのユーザーIDもどきの持つ規則にしたがい、LNSを選択します。LACが利用するRadiusにはISPの識別子をユーザーIDもどきデータベースに格納しています。これがLACにとってのユーザーIDデータ―ベースです。

  LACが利用するRadiusをRadius Proxyとして構成することもあります。Radius Proxyは自身ではユーザーデーターベースを持ちません。ISPの用意するRadiusに格納されているユーザーデーターベースを利用するように構成することも出来ます。

  Windows のRadius（IAS）は、ユーザーIDとして送られてきた認証対象文字列を、（設計者が希望すれば）任意の規則でフィルタリングと置換します。すると

  ABC0123456@isp.ne.jp	→　ispuser
  ABC0123456@provider.net	→　provideruser

  という置換えが可能です。LACで利用するユーザーデータ―ベースにispuserとprovideruserというIDが登録されていれば、password = "なし" で認証され、それぞれのISPの用意するLNSにL2TPセッションを試みます。
  
  

• Q：ということはLACとRadiusはその"@"以下の文字列を照らし合わせてISPを選択するだけで、認証していないのでは？
  
• A：いいえ、認証しています。認証(authentication)しないと次の段階　authorization LACを利用する＝LACを通過する＝選択したISPに振分ける　ができません。もちろん、この段階で認証されても、LNSで認証されないとISPのネットワークには接続できません。ここら辺の仕組みはcisco pressの教科書にも書いてあります。→　AAAコマンド
  
  
  
• Q：ということはLACでは"@"以下の文字列を照らし合わせてISPを選択するだけで認証していない、そしてISP側の設備であるLNSが認証しているだけなのでは？
  
• A：ここまで説明してわからないようでは、僕の力で理解させることは不可能です。ご自分で勉強してください。
  
  ※　当ったり前ですが、Radius Proxyという方法もあります。

追記の追記：Jul 14 2009

さて、twitterで訪れた方が、質問者と回答者のどちらに腹が立ったのかわからぬ。

それはさておき、質問者は、多分、Radius Proxyの方法しか知らなかったのか、LAC認証のL2TPを理解していないのにも関わらず、質問の形をとって回答者に対して「知ったか」をしようとしていたのか、多分どちらかであろう。ホントは「知識の確認」などのために訊く気は無いとみている。だろっ？123!
※　Radius Proxyも正確には理解していないように感じるけれど・・・