設定例 / AMFアプリケーションプロキシー機能によるデバイスの制御
AMFアプリケーションプロキシー機能の設定例
AMFアプリケーションプロキシー機能の設定例です。
AMFメンバーに接続されたデバイスに対して、AMF Securityが認証、VLANのアサインを行います。
またアプリケーション連携時は、アプリケーションから通知された被疑端末に対して、「システム設定」/「トラップ監視設定」画面で設定されたアクションを実行します。
本機能を使用するにはライセンスが必要です。
■ 構成
ここでは、例として、次の情報を設定します。

■ AMF Securityの設定
表 1:設定データ
項目名
|
設定する情報
|
IPv4アドレス
|
192.168.1.10
|
AMFマスターのIPアドレス
|
192.168.1.1
|
AMFマスターのユーザー名
|
manager
|
AMFマスターのパスワード
|
friend
|
AMFマスターとの事前共有鍵
|
password
|
■ AMF Securityに登録するデバイスの認証情報
表 2:設定データ
項目名
|
設定する情報
|
デバイス1
|
デバイス ID
|
デバイス1
|
MACアドレス
|
00:00:00:00:00:01
|
VLANアサイン
|
VLAN100
|
デバイス2
|
デバイス ID
|
デバイス2
|
MACアドレス
|
00:00:00:00:00:02
|
VLANアサイン
|
VLAN101
|
デバイス3
|
デバイス ID
|
デバイス3
|
MACアドレス
|
00:00:00:00:00:03
|
VLANアサイン
|
なし
|
■ AMFマスターの設定
表 3:設定データ
項目名
|
設定する情報
|
ユーザー名
|
manager
|
パスワード
|
friend
|
ホスト名
|
AMF-Master
|
AMFネットワーク名
|
AMF001
|
IPアドレス
|
192.168.1.1
|
AMF SecurityのIPアドレス
|
192.168.1.10
|
AMF Securityとの事前共有鍵
|
password
|
■ AMFメンバーの設定
表 4:設定データ
項目名
|
設定する情報
|
ホスト名
|
AMF-Member
|
AMFネットワーク名
|
AMF001
|
AMFアクション
|
パケット破棄
|
本設定例ではアカウント(ユーザー名 / パスワード)をデフォルトの「manager / friend」を使用していますが、AMFマスターおよびAMFメンバーにて権限レベル15のユーザーアカウントを作成し、コンソール接続に使用するユーザーアカウントと分けることをおすすめします。
AMFマスターの設定手順
本設定手順は、AT-x930-28GTXを使用する場合を例として説明します。
実行するコマンドについては、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。
- ホスト名を設定します。
awplus(config)# hostname AMF-Master ↓
- AMFネットワーク名を設定します
AMF-Master(config)# atmf network-name AMF001 ↓
- AMFマスターに設定します。
AMF-Master(config)# atmf master ↓
- AMF SecurityとのGUI連携機能を有効にします。
AMF-Master(config)# atmf topology-gui enable ↓
- AMFアプリケーションプロキシー機能を有効にします。
AMF-Master(config)# service atmf-application-proxy ↓
- AMFアプリケーションプロキシーホワイトリスト機能で連携するAMF SecurityのIPアドレスと事前共有鍵を設定します。
AMF-Master(config)# application-proxy whitelist server 192.168.1.10 key password ↓
- パケット転送に使用するVLANを作成します。
AMF-Master(config)# vlan database ↓
AMF-Master(config-vlan)# vlan 100-105 ↓
- AMFメンバーと接続するポートにVLANを割り当て、AMFリンクに設定します。
AMF-Master(config)# interface port1.0.1 ↓
AMF-Master(config-if)# switchport mode trunk ↓
AMF-Master(config-if)# switchport trunk allowed vlan add 100-105 ↓
AMF-Master(config-if)# switchport atmf-link ↓
- VLAN1にAMF Securityとの通信用にIPアドレスを設定します。
AMF-Master(config)# interface vlan1 ↓
AMF-Master(config-if)#ip address 192.168.1.1/24 ↓
AMFマスターの設定は以上です。
AMFメンバーの設定手順
本設定手順は、AT-x510-28GTXを使用する場合を例として説明します。
実行するコマンドについては、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。
- ホスト名を設定します。
awplus(config)# hostname AMF-Member ↓
- AMFネットワーク名を設定します
AMF-Member(config)# atmf network-name AMF001 ↓
- AMFアプリケーションプロキシー機能を有効にします。
AMF-Member(config)# service atmf-application-proxy ↓
- パケット転送に使用するVLANを作成します。
AMF-Member(config)# vlan database ↓
AMF-Member(config-vlan)# vlan 100-105 ↓
- AMFマスターと接続するポートにVLANを割り当て、AMFリンクに設定します。
AMF-Member(config)# interface port1.0.1 ↓
AMF-Member(config-if)# switchport mode trunk ↓
AMF-Member(config-if)# switchport trunk allowed vlan add 100-105 ↓
AMF-Member(config-if)# switchport atmf-link ↓
- デバイスが接続するポートにVLANを割り当てます。
AMF-Member(config)interface port1.0.2-1.0.28 ↓
AMF-Member(config-if)# switchport access vlan 105 ↓
AMF SecurityでVLANが割り当てられなかったデバイスからの通信はこのVLANを使用します。
- デバイスが接続するポートでAMFアプリケーションプロキシーホワイトリスト機能を有効にします。
AMF-Member(config-if)# application-proxy whitelist enable ↓
対象のポートにおいて、認証失敗後の認証抑止期間(quietPeriod)のデフォルト設定は60秒のため、認証抑止期間を短くする場合には「auth timeout quiet-period」で設定を行ってください。
- デバイスが接続するポートでAMFアプリケーションプロキシーホワイトリスト機能のセッションタイムアウトを有効にします。
セッションタイムアウトを有効にすると、認証してからAMF Securityの「AMF」/「AMF アプリケーションプロキシー 設定」画面で設定した時間の経過後、認証情報が削除されます。
セッションタイムアウトの設定が0秒の場合は、時間経過で認証情報の削除は行われません。
AMF-Member(config-if)# auth session-timeout ↓
スケジュール認証を行う場合は、本設定を有効にしてください。
- デバイスが接続するポートで認証の動作モードをMulti-Supplicantモードに変更します。
AMF-Member(config-if)# auth host-mode multi-supplicant ↓
動作モードを変更しない(Single-Hostモード)の場合、最初に認証したデバイスからの通信のみを許可します。
- デバイスが接続するポートでダイナミックVLANを有効にします。
AMF-Member(config-if)# auth dynamic-vlan-creation type multi ↓
他のポートへデバイスが移動する可能性がある場合は、デバイスの移動にかかわるすべてのポートでイングレスフィルタリングを無効にしてください(switchport modeコマンドのingress-filterパラメーターでdisableを指定)。
イングレスフィルタリングが有効だと、移動前のポートにデバイスの情報が残るため、移動先のポートで認証を受けられません。
ダイナミックVLANが無効の場合、AMF SecurityでVLANアサインの設定をしていても、インターフェースに設定されたVLANを通信に使用します。
- アプリケーションプロキシー機能でデバイスを遮断する際のアクションをパケット破棄に設定します。
AMF-Member(config-if)# application-proxy threat-protection drop ↓
AMFメンバーの設定は以上です。
AMF Securityの設定手順
- AMFマスターの登録
「AMF」/「AMF アプリケーションプロキシー 設定」画面を開き、AMFマスターを登録します。
AMF マスターの「追加」ボタンをクリックします。
AMFマスターのIPアドレス、ユーザー名、パスワード、事前共有鍵を入力し、各チェックボックスを有効にして、「登録」ボタンをクリックします。

登録したAMFマスターは「AMF」/「AMF アプリケーションプロキシー 設定」画面に表示されます。

- ネットワークの登録
「ポリシー設定」/「ネットワーク一覧」画面から「ネットワーク追加」画面を開き、デバイスにアサインするネットワークを登録します。
ネットワーク ID、VLAN IDを入力して、「登録」ボタンをクリックします。

追加したネットワークは「ポリシー設定」/「ネットワーク一覧」画面に表示されます。

- デバイスの登録
「デバイス」/「デバイス一覧」画面から「デバイス追加」画面を開き、デバイスを登録します。
デバイスIDを入力後、インターフェースの「追加」ボタンをクリックして、「インターフェース編集」ダイアログを開きます。
デバイスのMACアドレスを入力して、「登録」ボタンをクリックします。

ポリシーの「追加」ボタンをクリックし、デバイスにアサインするネットワークを指定します。
優先度を入力し、ドロップダウンリストからアサインするネットワークを選択して、「登録」ボタンをクリックします。

インターフェースとポリシーを追加して、「登録」ボタンをクリックします。

追加したデバイスは「デバイス」/「デバイス一覧」画面に表示されます。

- AMFメンバーの登録
AMF Security、AMFマスター、およびAMFメンバーをネットワークに接続します。
AMF SecurityとAMFマスターの確認ができると、「スイッチ」/「接続中 AMF メンバー 一覧」画面に接続されたAMFノードが表示されます。

登録状況の「登録」ボタンをクリックし、「AMF メンバー 追加」画面を開きます。
変更する事項がなければ、そのまま「登録」ボタンをクリックします。
AMFメンバーの管理はAMFメンバーのホスト名で行うため、名称はAMFメンバーのホスト名と同一にしてください。

追加したAMFメンバーは「スイッチ」/「AMF メンバー 一覧」画面に表示されます。

ロケーション認証を行わない場合は、AMFメンバーの登録は必須ではありません。
AMF Securityの設定は以上です。
AMFメンバーに接続したデバイスに対して、AMF Securityは登録された認証情報をもとに認証を行うようになります。
認証の結果は「デバイス」/「接続中 デバイス一覧」画面で確認できます。

AMFマスター設定(AT-x930-28GTX)
!
hostname AMF-Master
!
atmf network-name AMF001
atmf master
atmf topology-gui enable
!
service atmf-application-proxy
application-proxy whitelist server 192.168.1.10 key password
!
vlan database
vlan 100-105
!
interface port1.0.1
switchport mode trunk
switchport trunk allowed vlan add 100-105
switchport atmf-link
!
interface vlan1
ip address 192.168.1.1/24
!
end
AMFメンバー設定(AT-x510-28GTX)
!
hostname AMF-Member
!
atmf network-name AMF001
!
service atmf-application-proxy
!
vlan database
vlan 100-105
!
interface port1.0.1
switchport mode trunk
switchport trunk allowed vlan add 100-105
switchport atmf-link
!
interface port1.0.2-1.0.28
switchport access vlan 105
application-proxy whitelist enable
auth session-timeout
auth host-mode multi-supplicant
auth dynamic-vlan-creation type multi
application-proxy threat-protection drop
!
end