クイックツアー / 未認証グループによるゲストネットワークの提供


未認証グループとは
複数の未認証グループ登録時の判定順について
未認証グループの追加
OpenFlowスイッチの登録
AMFメンバーの登録
ネットワークの登録
ロケーションの登録
スケジュールの登録
未認証グループの登録


ここでは、AMF Securityに登録されていないデバイスに対して、特定のセキュリティーポリシーに従って、部分的なネットワークの利用を許可する方法を説明します。
AMF Securityに登録されていないデバイスに対してネットワークサービスを提供するには、未認証グループを設定します。

未認証グループとは

通常の認証に失敗したデバイスのうち、特定のロケーションおよびスケジュール条件に一致するものを未認証グループと呼び、専用のネットワークに接続します。
通常の認証に失敗したデバイスとは、次のようなものを指します。
未認証グループをネットワークに接続するにあたって、接続を許可するロケーションやスケジュールを設定することができます。
ロケーションとスケジュールの両方が設定されている場合は、両方の条件を満たすデバイスのみが専用ネットワークに接続できます。
デバイスが未認証グループとしてネットワークに接続している状態で、認証済みデバイスとしてのセキュリティーポリシーを満たす状態(スケジュールの開始時刻になるなど)になった場合、認証済みデバイスのネットワークに自動的に切り替わります。
ここでは、次のようなセキュリティーポリシーが設定されている場合を例として説明します。
表 1:デバイスに設定されているセキュリティーポリシー
スケジュール開始日時 スケジュール終了日時 ネットワーク
20XX-04-01 00:00:00 20XX-09-30 23:59:59 VLAN10
表 2:未認証グループに設定されているセキュリティーポリシー
スケジュール開始日時 スケジュール終了日時 ネットワーク
設定なし 設定なし VLAN20
デバイスが「20XX-04-01 10:00:00」に接続する場合、OpenFlowスイッチには該当のデバイスのパケット制御フローが存在しません。この場合は、デバイスが接続されると認証が行われ、通常のデバイスのセキュリティーポリシーに一致するため、デバイスはVLAN10のネットワークに割り当てられます。
仮に、デバイスが「20XX-04-01 00:00:00」より前(例えば20XX-03-30 10:00:00)に接続すると、デバイスに設定されているセキュリティーポリシーには一致せず、未認証グループに設定されているセキュリティーポリシーに一致するため、デバイスはVLAN20のネットワークに割り当てられます。
その後、時間が経過して「20XX-04-01 00:00:00」になると、通常のデバイスに設定されているセキュリティーポリシーに一致するようになるため、デバイスはVLAN10のネットワークに割り当てられます。

複数の未認証グループ登録時の判定順について

複数の未認証グループが登録されており、その中にポリシーなしのものがある場合はその未認証グループは判定の対象になりませんのでご注意ください。ポリシーなし(ネットワーク、ロケーション、スケジュール)のものも判定の対象に含める場合には、優先度のみのポリシーを設定してください。
なお、未認証グループが1つでポリシーを登録する場合には、そのポリシーの優先度は任意の値を設定してください。また未認証グループが1つでポリシーが不要の場合は、ポリシーを設定する必要はありません(優先度のみのポリシーも不要です)。
上記は検出の未認証グループ(「端末の検出のみを行います。」チェックボックスにチェックが入っている場合)についても当てはまります。

未認証グループの追加

ここでは、クイックツアー「手動によるデバイスの追加」/「OpenFlowスイッチの登録」の手順に従った後、OpenFlowスイッチとして無線アクセスポイント「AT-TQ5403」、AMFメンバーとして「AMF-Member」を追加し、所定の期間中にこのOpenFlowスイッチを介して接続したデバイスに対して、ゲストネットワークを提供する例を考えます。

OpenFlowスイッチの登録

OpenFlowスイッチとしてAT-TQ5403を登録します。
  1. 「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面に移動します。

  2. AMF Securityに登録する前の時点では、OpenFlowスイッチのスイッチIDは未登録と表示され、「登録」ボタンが表示されます。
    ハードウェア情報欄に「AT-TQ5403」と表示されたOpenFlowスイッチのスイッチID欄の「登録」ボタンをクリックし、「スイッチ」/「OpenFlow スイッチ追加」画面を表示します。

  3. スイッチID、アップストリームポートに指定したいOpenFlowポート番号またはポート名、備考を設定します。
    Note
    データパスIDはOpenFlowスイッチごとに異なる値が設定されるため、変更する必要はありません。
    Note
    所属させるアカウントグループIDは事前に設定が必要です。この章では、アカウントグループIDは設定しません。

    ここでは、例として、次の情報を設定します。
    表 3:設定データ
    項目名 設定する情報 説明
    スイッチ ID(必須項目) AT-TQ5403(変更なし) OpenFlowスイッチの名前です。
    「スイッチ」/「OpenFlow スイッチ一覧」画面および「スイッチ」/「AMF メンバー 一覧」画面で、既に使用されているスイッチIDと名称を設定することはできません。
    スイッチIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    ここでは「ハードウェア情報」の「AT-TQ5403」が自動入力されます。
    Datapath ID(必須項目) (変更なし) OpenFlowスイッチのデータパスID(OpenFlowコントローラーが使用する識別子)です。
    通常はOpenFlowスイッチのMACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されるため、変更する必要はありません。自動設定されるデータパスIDはOpenFlowスイッチのMACアドレスの先頭にゼロを補完した16桁の16進数になります。
    なお、同じデータパスIDは複数登録できません。
    アップストリーム ポート eth1(変更なし) OpenFlowスイッチのアップストリームポートを設定します。
    アップストリームポートは1つの装置につき1つのみ登録できます。
    ポートの指定は、ポート名とOpenFlowポート番号のどちらも使用できます。
    アカウントグループ ID (設定なし) OpenFlowスイッチが所属するアカウントグループIDを選択します。
    備考 #1F無線AP このOpenFlowスイッチの追加説明やコメントを記載できます。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。
    Note
    AMF SecurityとOpenFlowスイッチとでデータパスIDが一致していない場合は、OpenFlowポートでのパケット転送が停止します。
  4. 「登録」ボタンをクリックします。
    OpenFlowスイッチが登録されると、新規に追加した情報が「スイッチ」/「OpenFlow スイッチ一覧」画面に表示されます。

AMFメンバーの登録

AMFメンバーとしてホスト名「AMF-Member_2」を登録します。
  1. 「スイッチ」/「接続中 AMF メンバー 一覧」画面に移動します。

  2. AMF Securityに登録する前の時点では、登録状況は未登録と表示され、「登録」ボタンが表示されます。
    名称に「AMF-Member_2」と表示されたAMFメンバーの登録状況欄の「登録」ボタンをクリックし、「スイッチ」/「AMF メンバー 追加」画面を表示します。

  3. 備考を設定します。
    Note
    所属させるアカウントグループIDは事前に設定が必要です。この章では、アカウントグループIDは設定しません。

    ここでは、例として、次の情報を設定します。
    表 4:設定データ
    項目名 設定する情報 説明
    名称(必須項目) AMF-Member_2(変更なし) AMFメンバーの名称です。
    「スイッチ」/「OpenFlow スイッチ一覧」画面および「スイッチ」/「AMF メンバー 一覧」画面で、既に使用されているスイッチIDと名称を設定することはできません。
    名称は最大255文字で、使用可能な文字は半角英数字とハイフン(-)、アンダースコア(_)のみです。
    アカウントグループ ID (設定なし) AMFメンバーが所属するアカウントグループIDを選択します。
    備考 #1Fスイッチ AMFメンバーの追加説明やコメントを記載できます。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。
    Note
    AMFメンバーの管理はAMFメンバーのホスト名で行うため、名称はAMFメンバーのホスト名と同一にしてください。
  4. 「登録」ボタンをクリックします。
    AMFメンバーが登録されると、新規に追加した情報が「スイッチ」/「AMF メンバー 一覧」画面に表示されます。

ネットワークの登録

ゲストネットワークを他の業務ネットワークから切り離すため、ゲストネットワーク用のネットワークを登録します。
  1. 「ポリシー設定」/「ネットワーク一覧」画面に移動します。

    この画面には、AMF Securityに登録されているネットワークの一覧が表示されます。
    この時点ではネットワーク「営業部」(vlan123)が登録されています。
  2. 「ポリシー設定」/「ネットワーク一覧」画面の右上の「ネットワーク追加」ボタンをクリックし、「ポリシー設定」/「ネットワーク追加」画面に移動します。

    この画面では、ネットワークの名前となるネットワークIDと、ネットワークに割り当てるVLAN IDが設定できます。
    接続先ネットワークを設定することにより接続許可デバイスが接続されるVLANセグメントを制御できます。VLANセグメントへの接続制御は、接続許可デバイスが送信したパケットにVLANタグを付加することにより実現します。
  3. 登録するネットワークの情報を入力します。

    ここでは、ネットワーク「ゲストネットワーク」を登録する例として、次の情報を入力します。
    表 5:設定データ
    項目名 設定する情報 説明
    ネットワーク ID(必須項目) 来客用 ネットワークの名称です。
    既に使用されているネットワークIDを設定することはできません。
    ネットワークIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    VLAN ID(必須項目) 30 ネットワークのVLAN IDを設定します。既に登録済みのVLAN IDを別のネットワークに割り当てることはできません。
    VLAN IDに0を設定するとVLANタグを付与しません。これはネットワーク設定を行わない状態と同じ動作になります。
    VLAN IDの設定範囲は0~4094です。
    備考 ゲストネットワーク このネットワークの追加説明やコメントを記載できます。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。
  4. 「登録」ボタンをクリックします。
    ネットワークが登録されると、新規に追加した情報が「ポリシー設定」/「ネットワーク一覧」画面に表示されます。

ロケーションの登録

OpenFlowスイッチおよびAMFメンバーを設置しているロケーションを設定します。
ロケーションは、「ポリシー設定」/「ロケーション追加」画面から登録することができます。
今回は、新規ロケーション「1Fカンファレンスルーム」に対して、AMFメンバー「AMF-Member_2」を追加します。
  1. 「ポリシー設定」/「ロケーション一覧」画面に移動します。

    この画面には、AMF Securityに登録されているロケーションの一覧が表示されます。この時点ではロケーション「1F」のみが登録されています。
  2. 「ポリシー設定」/「ロケーション一覧」画面の右上の「ロケーション追加」ボタンをクリックし、「ポリシー設定」/「ロケーション追加」画面に移動します。

  3. 登録するロケーションの情報を入力します。

    ここでは、ロケーション「1Fカンファレンスルーム」を登録する例として、次の情報を入力します。
    表 6:設定データ
    項目名 設定する情報 説明
    ロケーション ID(必須項目) 1Fカンファレンスルーム ロケーションの名称です。
    既に使用されているロケーションIDを設定することはできません。
    ロケーションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    備考 1Fカンファレンスルーム このロケーションの追加説明やコメントを記載できます。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。
  4. 「OpenFlow スイッチ / AMF メンバー」の「選択」ボタンをクリックします。
    「ポリシー設定」/「OpenFlowスイッチ / AMFメンバー」ダイアログに、登録済みのOpenFlowスイッチ「x230-10GP」「AT-TQ5403」、AMFメンバー「AMF-Member_2」が一覧表示されます。
    このうち「AT-TQ5403」と「AMF-Member_2」が物理的なロケーション「1Fカンファレンスルーム」に設置されているものとして、「AT-TQ5403」と「AMF-Member_2」の行の左端にあるチェックボックスにチェックを入れます。

  5. ダイアログ下部の「登録」ボタンをクリックします。
    「ポリシー設定」/「ロケーション追加」画面の「OpenFlow スイッチ / AMF メンバー」に、選択されたスイッチ「x230-10GP」とAMFメンバー「AMF-Member_2」が表示されます。

  6. 「登録」ボタンをクリックします。
    ロケーションが登録されると、新規に追加した情報が「ポリシー設定」/「ロケーション一覧」画面に表示されます。

スケジュールの登録

ゲストネットワークを提供する期間をスケジュールとして登録します。スケジュールを指定することで、この期間に限り、AMF Securityのデバイス認証データに登録のないMACアドレスからの接続を許可することができます。
  1. 「ポリシー設定」/「スケジュール一覧」画面に移動します。

    この画面には、AMF Securityに登録されているスケジュールの一覧が表示されます。
    この時点ではスケジュール「3月イベント」が登録されています。
  2. 「ポリシー設定」/「スケジュール一覧」画面の右上の「スケジュール追加」ボタンをクリックし、「ポリシー設定」/「スケジュール追加」画面に移動します。

    スケジュールを設定することにより、デバイスが接続可能な期間を制御することができます。開始日時、終了日時を設定しない場合、制限がないものとして扱われます。
  3. 登録するスケジュールの情報を入力します。

    ここでは、スケジュール「10月イベント」を登録する例として、次の情報を入力します。
    表 7:設定データ
    項目名 設定する情報 説明
    スケジュール ID(必須項目) 10月イベント スケジュールの名称です。
    既に使用されているスケジュールIDを設定することはできません。
    スケジュールIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    開始日時 2020-10-10 00:00:00 デバイスがネットワークに接続可能になる日時を設定します。
    カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
    終了日時 2020-10-31 00:00:00 デバイスがネットワークに接続不可能になる日時を設定します。
    カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
    備考 (空欄) このスケジュールの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。
  4. 「登録」ボタンをクリックします。
    スケジュールが登録されると、新規に追加した情報が「ポリシー設定」/「スケジュール一覧」画面に表示されます。

未認証グループの登録

設定したセキュリティーポリシーに基づき、未認証グループを作成します。
  1. 「グループ」/「未認証グループ一覧」画面を表示します。

  2. 画面右上の「未認証グループ追加」ボタンをクリックし、「グループ」/「未認証グループ追加」画面を表示します。

  3. 「有効」チェックボックスにチェックが入っていることを確認します。
  4. 未認証グループのグループID、備考を入力します。
    この例では、グループIDを「イベント来場者用」とし、備考は空欄とします。

  5. 「端末の検出のみを行います。」チェックボックスにチェックが入っていないことを確認します。
    「端末の検出のみを行います。」チェックボックスにチェックが入っていると、未認証グループのセキュリティーポリシーに一致したMACアドレスは検出のみを行われ、ネットワークに接続するためのフローは作成されません。
  6. ポリシーの「追加」ボタンをクリックして、「グループ」/「ポリシー編集」ダイアログを表示します。

  7. セキュリティーポリシーの優先度を設定します。
    ここでは、優先度を「30」に設定します。
  8. 未認証グループに適用するネットワークを設定します。
    ここでは、ネットワークに「来客用」を指定します。
  9. デバイスの検出条件となるセキュリティーポリシーを設定します。
    ここでは、ロケーションに「1Fカンファレンスルーム」を、スケジュールに「10月イベント」を指定します。

  10. 「登録」ボタンをクリックして、「グループ」/「未認証グループ追加」画面に戻ります。
    「グループ」/「未認証グループ追加」画面のポリシー欄に、ただ今作成したセキュリティーポリシーが表示されます。

  11. 「登録」ボタンをクリックして、「グループ」/「未認証グループ一覧」画面に戻ります。
    以上の設定で、AMF Securityのデバイス認証データに登録されていないMACアドレスのうち、スケジュールに指定された2020/10/10~2020/10/31の間に「1Fカンファレンスルーム」の「AMF-Member_2」に接続したものを、未認証グループ「イベント来場者用」として、ネットワーク「来客用」(vlan30)に接続するようになります。

  12. 未認証グループに接続しているデバイスを確認するには、「デバイス」/「接続中 デバイス一覧」画面を表示します。
    AMF Security管理下のOpenFlowスイッチおよびAMFメンバーに接続しているデバイスのMACアドレスが一覧表示されます。
    デバイスID欄には「group=イベント来場者用」が、接続中ネットワーク欄には「vlan=30 id=来客用」が表示されるようになります。また、状況欄には「認証済み」が表示されます。