設定例 / OpenFlowによるデバイスの制御


OpenFlowの基本設定例
OpenFlowスイッチの設定手順
AMF Securityの設定手順
OpenFlowスイッチ設定(AT-x510-28GTX)


OpenFlowの基本設定例

OpenFlowの基本設定例です。
OpenFlowスイッチに接続されたデバイスに対して、AMF Securityが認証、VLANのアサインを行います。
またアプリケーション連携時は、アプリケーションから通知された被疑端末に対して、「システム設定」/「トラップ監視設定」画面で設定されたアクションを実行します。
Note
本機能を使用するにはライセンスが必要です。
■ 構成、OpenFlowスイッチの設定
ここでは、例として、次の情報を設定します。

■ AMF Securityの設定
表 1:設定データ
項目名 設定する情報
IPアドレス 192.168.1.10
OpenFlow TCPポート番号 6653
OpenFlowスイッチに対するアップストリームポート設定 port1.0.5
■ AMF Securityに登録するデバイスの認証情報
表 2:設定データ
項目名 設定する情報
デバイス1
デバイス ID デバイス1
MACアドレス 00:00:00:00:00:01
VLANアサイン VLAN100
デバイス2
デバイス ID デバイス2
MACアドレス 00:00:00:00:00:02
VLANアサイン VLAN101
デバイス3
デバイス ID デバイス3
MACアドレス 00:00:00:00:00:03
VLANアサイン なし

OpenFlowスイッチの設定手順

本設定手順は、AT-x510-28GTXを使用する場合を例として説明します。
実行するコマンドについては、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。
  1. OpenFlowとの併用が未サポートのVCS機能を無効化します。

    Note
    VCS機能を無効化した後は設定を保存し、機器を再起動してください。
  2. OpenFlowポートでパケット転送に使用するVLANを作成します。

  3. 通常スイッチポートでパケット転送に使用するVLANを作成します。

  4. OpenFlowの内部制御用VLANに割り当てるVLANを作成し、割り当てます。

  5. コントローラーとの通信(コントロールプレーン)で使用するVLANにIPアドレスを設定します。

  6. OpenFlowコントローラー(AMF Security)のIPアドレスとTCPポート番号を指定します。

  7. 通常スイッチポートにVLANを割り当てます。

  8. ポート1.0.5~1.0.28を通常スイッチポートからOpenFlowポートに変更します。
    また、OpenFlowポートでの併用が未サポートのMACアドレススラッシングプロテクションを無効化します。

  9. OpenFlowポートから制御パケットが送出されないよう、下記の設定を行います。
    表 3:設定データ
    項目名 設定する情報
    システム全体 RSTP、MLD Snoopingを無効化
    OpenFlowポートでパケット転送に使用するVLAN MLD Snoopingを無効化
    OpenFlowの内部制御用VLAN IGMP Snoopingのトポロジー変更時Query要求機能とMLD Snoopingを無効化

    Note
    筐体でLDF機能を有効にしている場合は、全OpenFlowポート上でLDFを無効に設定してください。
  10. アップストリームポートとして使用するポート1.0.5をタグ付きポートに設定し、コントロールプレーン用VLANと通常ポート用VLANを追加します。
    また、イングレスフィルタリングを無効にして、その他の任意のVLANタグを受信できるようにします。

    設定完了後、機器を再起動します。

AMF Securityの設定手順

  1. ネットワークの登録
    「ポリシー設定」/「ネットワーク一覧」画面から「ネットワーク追加」画面を開き、デバイスにアサインするネットワークを登録します。
    ネットワーク ID、VLAN IDを入力して、「登録」ボタンをクリックします。

    追加したネットワークは「ポリシー設定」/「ネットワーク一覧」画面に表示されます。

  2. デバイスの登録
    「デバイス」/「デバイス一覧」画面から「デバイス追加」画面を開き、デバイスを登録します。
    デバイスIDを入力後、インターフェースの「追加」ボタンをクリックして、「インターフェース編集」ダイアログを開きます。
    デバイスのMACアドレスを入力し、「登録」ボタンをクリックします。

    ポリシーの「追加」ボタンをクリックし、デバイスにアサインするネットワークを指定します。
    優先度を入力し、ドロップダウンリストからアサインするネットワークを選択して、「登録」ボタンをクリックします。

    インターフェースとポリシーを追加して、「登録」ボタンをクリックします。

    追加したデバイスは「デバイス」/「デバイス一覧」画面に表示されます。

  3. OpenFlowスイッチの登録
    AMF SecurityとOpenFlowスイッチをネットワークに接続します。
    AMF SecurityとOpenFlowスイッチ間のセッションが確立すると、「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面に接続されたOpenFlowスイッチが表示されます。

    スイッチIDの「登録」ボタンをクリックし、「スイッチ」/「OpenFlow スイッチ追加」画面を開きます。
    変更する事項がなければ、そのまま「登録」ボタンをクリックします。

    追加したOpenFlowスイッチは「スイッチ」/「OpenFlow スイッチ一覧」画面に表示されます。

    Note
    ロケーション認証およびOpenFlowスイッチ認証を行わない場合は、OpenFlowスイッチの登録は必須ではありません。
OpenFlowスイッチおよびAMF Securityの設定は以上です。
OpenFlowスイッチに接続したデバイスに対して、AMF Securityは登録された認証情報をもとに認証を行うようになります。
認証の結果は「デバイス」/「接続中 デバイス一覧」画面で確認できます。

OpenFlowスイッチ設定(AT-x510-28GTX)

!
no stack 1 enable
!
no spanning-tree rstp enable
!
no ipv6 mld snooping
!
vlan database
 vlan 10
 vlan 100-104
 vlan 4090
!
openflow controller oc1 tcp 192.168.1.10 6653
openflow native vlan 4090
!
interface port1.0.1-1.0.4
 switchport access vlan 10
!
interface port1.0.5-1.0.28
 openflow
 thrash-limiting action none
!
interface vlan1
 ip address 192.168.1.1/24
!
interface vlan100-104
 no ipv6 mld snooping
!
interface vlan4090
 no ip igmp snooping tcn query solicit
 no ipv6 mld snooping
!