クイックツアー / AMF SecurityによるOpenFlowの認証の流れ
AMF Securityは、管理下のOpenFlowスイッチからの問い合わせに対して認証を実施します。
OpenFlowスイッチがAMF Securityに対して問い合わせを行うまでの流れは以下になります。
- OpenFlowスイッチが、デバイスから何かパケットを受信する
- OpenFlowスイッチは、パケットの送信元MACアドレスに対してのフローエントリーが登録されているか確認する。該当するフローエントリーが存在する場合、OpenFlowスイッチはフローエントリーに従ってパケットを送信する
- 該当するフローエントリーがない場合、OpenFlowスイッチはAMF Securityに問い合わせを行うパケット(PACKET_IN)を送信する
AMF SecurityはOpenFlowスイッチから受信した問い合わせのパケット(PACKET_IN)に記録されたデバイスのMACアドレスに対して認証プロセスの確認を実施し、接続/隔離先のネットワークを決定、または破棄を決定し、OpenFlowスイッチにフローエントリーを設定します。
AMF Securityの認証プロセスは、大別して、デバイス認証データ、未認証グループ、アクションの3つが存在します。
- デバイス認証データ
MACアドレスが関連付けられたデバイスのセキュリティーポリシーに基づき、接続先のネットワーク(VLAN)を決定します。
- 未認証グループ
デバイス認証データに登録のないMACアドレスに対し、ロケーション、スケジュールに基づき、接続先のネットワークを提供します。
- アクション
デバイスのMACアドレス、IPv4アドレス、デバイスID、デバイスタグ、ロケーション、OpenFlowスイッチ、接続中ネットワークなど、特定の条件に一致するデバイスに対し個別に破棄、隔離、または接続先VLANを指定します。
連携アプリケーションによるデバイスの隔離・遮断処理と同様のアクションを手動で作成できます。
デバイスの処理は、アクション、デバイス認証データ、未認証グループの順に行われます。

デバイスIDを条件にアクション、デバイス認証データ、未認証グループを設定している場合の例を示します。
次のように、アクションとデバイス認証データのセキュリティーポリシーに両方とも一致する場合、アクションが定義する処理が適用され、デバイス認証データの処理は行われません。
