設定例 / AMFアプリケーションプロキシー機能によるデバイスの制御


AMFアプリケーションプロキシー機能の設定例
AMFマスターの設定手順
AMFメンバーの設定手順
AMF Securityの設定手順
AMFマスター設定(AT-x930-28GTX)
AMFメンバー設定(AT-x510-28GTX)


AMFアプリケーションプロキシー機能の設定例

AMFアプリケーションプロキシー機能の設定例です。
AMFメンバーに接続されたデバイスに対して、AMF Securityが認証、VLANのアサインを行います。
またアプリケーション連携時は、アプリケーションから通知された被疑端末に対して、「システム設定」/「トラップ監視設定」画面で設定されたアクションを実行します。
Note
本機能を使用するにはライセンスが必要です。
■ 構成
ここでは、例として、次の情報を設定します。

■ AMF Securityの設定
表 1:設定データ
項目名 設定する情報
IPv4アドレス 192.168.1.10
AMFマスターのIPアドレス 192.168.1.1
AMFマスターのユーザー名 manager
AMFマスターのパスワード friend
AMFマスターとの事前共有鍵 password
■ AMF Securityに登録するデバイスの認証情報
表 2:設定データ
項目名 設定する情報
デバイス1
デバイス ID デバイス1
MACアドレス 00:00:00:00:00:01
VLANアサイン VLAN100
デバイス2
デバイス ID デバイス2
MACアドレス 00:00:00:00:00:02
VLANアサイン VLAN101
デバイス3
デバイス ID デバイス3
MACアドレス 00:00:00:00:00:03
VLANアサイン なし
■ AMFマスターの設定
表 3:設定データ
項目名 設定する情報
ユーザー名 manager
パスワード friend
ホスト名 AMF-Master
AMFネットワーク名 AMF001
IPアドレス 192.168.1.1
AMF SecurityのIPアドレス 192.168.1.10
AMF Securityとの事前共有鍵 password
■ AMFメンバーの設定
表 4:設定データ
項目名 設定する情報
ホスト名 AMF-Member
AMFネットワーク名 AMF001
AMFアクション パケット破棄
Note
本設定例ではアカウント(ユーザー名 / パスワード)をデフォルトの「manager / friend」を使用していますが、AMFマスターおよびAMFメンバーにて権限レベル15のユーザーアカウントを作成し、コンソール接続に使用するユーザーアカウントと分けることをおすすめします。

AMFマスターの設定手順

本設定手順は、AT-x930-28GTXを使用する場合を例として説明します。
実行するコマンドについては、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。
  1. ホスト名を設定します。

  2. AMFネットワーク名を設定します

  3. AMFマスターに設定します。

  4. AMF SecurityとのGUI連携機能を有効にします。

  5. AMFアプリケーションプロキシー機能を有効にします。

  6. AMFアプリケーションプロキシーホワイトリスト機能で連携するAMF SecurityのIPアドレスと事前共有鍵を設定します。

  7. パケット転送に使用するVLANを作成します。

  8. AMFメンバーと接続するポートにVLANを割り当て、AMFリンクに設定します。

  9. VLAN1にAMF Securityとの通信用にIPアドレスを設定します。

AMFマスターの設定は以上です。

AMFメンバーの設定手順

本設定手順は、AT-x510-28GTXを使用する場合を例として説明します。
実行するコマンドについては、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。
  1. ホスト名を設定します。

  2. AMFネットワーク名を設定します

  3. AMFアプリケーションプロキシー機能を有効にします。

  4. パケット転送に使用するVLANを作成します。

  5. AMFマスターと接続するポートにVLANを割り当て、AMFリンクに設定します。

  6. デバイスが接続するポートにVLANを割り当てます。

    AMF SecurityでVLANが割り当てられなかったデバイスからの通信はこのVLANを使用します。
  7. デバイスが接続するポートでAMFアプリケーションプロキシーホワイトリスト機能を有効にします。

    Note
    対象のポートにおいて、認証失敗後の認証抑止期間(quietPeriod)のデフォルト設定は60秒のため、認証抑止期間を短くする場合には「auth timeout quiet-period」で設定を行ってください。
  8. デバイスが接続するポートでAMFアプリケーションプロキシーホワイトリスト機能のセッションタイムアウトを有効にします。
    セッションタイムアウトを有効にすると、認証してからAMF Securityの「AMF」/「AMF アプリケーションプロキシー 設定」画面で設定した時間の経過後、認証情報が削除されます。
    セッションタイムアウトの設定が0秒の場合は、時間経過で認証情報の削除は行われません。

    Note
    スケジュール認証を行う場合は、本設定を有効にしてください。
  9. デバイスが接続するポートで認証の動作モードをMulti-Supplicantモードに変更します。

    動作モードを変更しない(Single-Hostモード)の場合、最初に認証したデバイスからの通信のみを許可します。
  10. デバイスが接続するポートでダイナミックVLANを有効にします。

    Note
    他のポートへデバイスが移動する可能性がある場合は、デバイスの移動にかかわるすべてのポートでイングレスフィルタリングを無効にしてください(switchport modeコマンドのingress-filterパラメーターでdisableを指定)。
    イングレスフィルタリングが有効だと、移動前のポートにデバイスの情報が残るため、移動先のポートで認証を受けられません。
    ダイナミックVLANが無効の場合、AMF SecurityでVLANアサインの設定をしていても、インターフェースに設定されたVLANを通信に使用します。
  11. アプリケーションプロキシー機能でデバイスを遮断する際のアクションをパケット破棄に設定します。

AMFメンバーの設定は以上です。

AMF Securityの設定手順

  1. AMFマスターの登録
    「AMF」/「AMF アプリケーションプロキシー 設定」画面を開き、AMFマスターを登録します。
    AMF マスターの「追加」ボタンをクリックします。
    AMFマスターのIPアドレス、ユーザー名、パスワード、事前共有鍵を入力し、各チェックボックスを有効にして、「登録」ボタンをクリックします。

    登録したAMFマスターは「AMF」/「AMF アプリケーションプロキシー 設定」画面に表示されます。

  2. ネットワークの登録
    「ポリシー設定」/「ネットワーク一覧」画面から「ネットワーク追加」画面を開き、デバイスにアサインするネットワークを登録します。
    ネットワーク ID、VLAN IDを入力して、「登録」ボタンをクリックします。

    追加したネットワークは「ポリシー設定」/「ネットワーク一覧」画面に表示されます。

  3. デバイスの登録
    「デバイス」/「デバイス一覧」画面から「デバイス追加」画面を開き、デバイスを登録します。
    デバイスIDを入力後、インターフェースの「追加」ボタンをクリックして、「インターフェース編集」ダイアログを開きます。
    デバイスのMACアドレスを入力して、「登録」ボタンをクリックします。

    ポリシーの「追加」ボタンをクリックし、デバイスにアサインするネットワークを指定します。
    優先度を入力し、ドロップダウンリストからアサインするネットワークを選択して、「登録」ボタンをクリックします。

    インターフェースとポリシーを追加して、「登録」ボタンをクリックします。

    追加したデバイスは「デバイス」/「デバイス一覧」画面に表示されます。

  4. AMFメンバーの登録
    AMF Security、AMFマスター、およびAMFメンバーをネットワークに接続します。
    AMF SecurityとAMFマスターの確認ができると、「スイッチ」/「接続中 AMF メンバー 一覧」画面に接続されたAMFノードが表示されます。

    登録状況の「登録」ボタンをクリックし、「AMF メンバー 追加」画面を開きます。
    変更する事項がなければ、そのまま「登録」ボタンをクリックします。
    Note
    AMFメンバーの管理はAMFメンバーのホスト名で行うため、名称はAMFメンバーのホスト名と同一にしてください。

    追加したAMFメンバーは「スイッチ」/「AMF メンバー 一覧」画面に表示されます。

    Note
    ロケーション認証を行わない場合は、AMFメンバーの登録は必須ではありません。
AMF Securityの設定は以上です。
AMFメンバーに接続したデバイスに対して、AMF Securityは登録された認証情報をもとに認証を行うようになります。
認証の結果は「デバイス」/「接続中 デバイス一覧」画面で確認できます。

AMFマスター設定(AT-x930-28GTX)

!
hostname AMF-Master
!
atmf network-name AMF001
atmf master
atmf topology-gui enable
!
service atmf-application-proxy
application-proxy whitelist server 192.168.1.10 key password
!
vlan database
 vlan 100-105
!
interface port1.0.1
 switchport mode trunk
 switchport trunk allowed vlan add 100-105
 switchport atmf-link
!
interface vlan1
 ip address 192.168.1.1/24
!
end

AMFメンバー設定(AT-x510-28GTX)

!
hostname AMF-Member
!
atmf network-name AMF001
!
service atmf-application-proxy
!
vlan database
 vlan 100-105
!
interface port1.0.1
 switchport mode trunk
 switchport trunk allowed vlan add 100-105
 switchport atmf-link
!
interface port1.0.2-1.0.28
 switchport access vlan 105
 application-proxy whitelist enable
 auth session-timeout
 auth host-mode multi-supplicant
 auth dynamic-vlan-creation type multi
 application-proxy threat-protection drop
!
end