設定例 / OpenFlowによるデバイスの制御
OpenFlowの基本設定例
OpenFlowの基本設定例です。
OpenFlowスイッチに接続されたデバイスに対して、AMF Securityが認証、VLANのアサインを行います。
またアプリケーション連携時は、アプリケーションから通知された被疑端末に対して、「システム設定」/「トラップ監視設定」画面で設定されたアクションを実行します。
本機能を使用するにはライセンスが必要です。
■ 構成、OpenFlowスイッチの設定
ここでは、例として、次の情報を設定します。

■ AMF Securityの設定
表 1:設定データ
項目名
|
設定する情報
|
IPアドレス
|
192.168.1.10
|
OpenFlow TCPポート番号
|
6653
|
OpenFlowスイッチに対するアップストリームポート設定
|
port1.0.5
|
■ AMF Securityに登録するデバイスの認証情報
表 2:設定データ
項目名
|
設定する情報
|
デバイス1
|
デバイス ID
|
デバイス1
|
MACアドレス
|
00:00:00:00:00:01
|
VLANアサイン
|
VLAN100
|
デバイス2
|
デバイス ID
|
デバイス2
|
MACアドレス
|
00:00:00:00:00:02
|
VLANアサイン
|
VLAN101
|
デバイス3
|
デバイス ID
|
デバイス3
|
MACアドレス
|
00:00:00:00:00:03
|
VLANアサイン
|
なし
|
OpenFlowスイッチの設定手順
本設定手順は、AT-x510-28GTXを使用する場合を例として説明します。
実行するコマンドについては、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。
- OpenFlowとの併用が未サポートのVCS機能を無効化します。
awplus(config)# no stack 1 enable ↓
VCS機能を無効化した後は設定を保存し、機器を再起動してください。
- OpenFlowポートでパケット転送に使用するVLANを作成します。
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 100-104 ↓
- 通常スイッチポートでパケット転送に使用するVLANを作成します。
awplus(config-vlan)# vlan 10 ↓
- OpenFlowの内部制御用VLANに割り当てるVLANを作成し、割り当てます。
awplus(config-vlan)# vlan 4090 ↓
awplus(config)# openflow native vlan 4090 ↓
- コントローラーとの通信(コントロールプレーン)で使用するVLANにIPアドレスを設定します。
awplus(config)# interface vlan1 ↓
awplus(config-if)# ip address 192.168.1.1/24 ↓
- OpenFlowコントローラー(AMF Security)のIPアドレスとTCPポート番号を指定します。
awplus(config)# openflow controller oc1 tcp 192.168.1.10 6653 ↓
- 通常スイッチポートにVLANを割り当てます。
awplus(config)# interface port1.0.1-1.0.4 ↓
awplus(config-if)# switchport access vlan 10 ↓
- ポート1.0.5~1.0.28を通常スイッチポートからOpenFlowポートに変更します。
また、OpenFlowポートでの併用が未サポートのMACアドレススラッシングプロテクションを無効化します。
awplus(config)# interface port1.0.5-1.0.28 ↓
awplus(config-if)# openflow ↓
awplus(config-if)# thrash-limiting action none ↓
- OpenFlowポートから制御パケットが送出されないよう、下記の設定を行います。
表 3:設定データ
項目名
|
設定する情報
|
システム全体
|
RSTP、MLD Snoopingを無効化
|
OpenFlowポートでパケット転送に使用するVLAN
|
MLD Snoopingを無効化
|
OpenFlowの内部制御用VLAN
|
IGMP Snoopingのトポロジー変更時Query要求機能とMLD Snoopingを無効化
|
awplus(config)# no spanning-tree rstp enable ↓
awplus(config)# no ipv6 mld snooping ↓
↓
awplus(config)# interface vlan100-104 ↓
awplus(config-if)# no ipv6 mld snooping ↓
↓
awplus(config)# interface vlan4090 ↓
awplus(config-if)# no ip igmp snooping tcn query solicit ↓
awplus(config-if)# no ipv6 mld snooping ↓
筐体でLDF機能を有効にしている場合は、全OpenFlowポート上でLDFを無効に設定してください。
- アップストリームポートとして使用するポート1.0.5をタグ付きポートに設定し、コントロールプレーン用VLANと通常ポート用VLANを追加します。
また、イングレスフィルタリングを無効にして、その他の任意のVLANタグを受信できるようにします。
awplus(config)# interface port1.0.5 ↓
awplus(config-if)# switchport mode trunk ingress-filter disable ↓
awplus(config-if)# switchport trunk allowed vlan add 1,10 ↓
設定完了後、機器を再起動します。
awplus# write memory ↓
awplus# reboot ↓
reboot system? (y/n): y ↓
AMF Securityの設定手順
- ネットワークの登録
「ポリシー設定」/「ネットワーク一覧」画面から「ネットワーク追加」画面を開き、デバイスにアサインするネットワークを登録します。
ネットワーク ID、VLAN IDを入力して、「登録」ボタンをクリックします。

追加したネットワークは「ポリシー設定」/「ネットワーク一覧」画面に表示されます。

- デバイスの登録
「デバイス」/「デバイス一覧」画面から「デバイス追加」画面を開き、デバイスを登録します。
デバイスIDを入力後、インターフェースの「追加」ボタンをクリックして、「インターフェース編集」ダイアログを開きます。
デバイスのMACアドレスを入力し、「登録」ボタンをクリックします。

ポリシーの「追加」ボタンをクリックし、デバイスにアサインするネットワークを指定します。
優先度を入力し、ドロップダウンリストからアサインするネットワークを選択して、「登録」ボタンをクリックします。

インターフェースとポリシーを追加して、「登録」ボタンをクリックします。

追加したデバイスは「デバイス」/「デバイス一覧」画面に表示されます。

- OpenFlowスイッチの登録
AMF SecurityとOpenFlowスイッチをネットワークに接続します。
AMF SecurityとOpenFlowスイッチ間のセッションが確立すると、「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面に接続されたOpenFlowスイッチが表示されます。

スイッチIDの「登録」ボタンをクリックし、「スイッチ」/「OpenFlow スイッチ追加」画面を開きます。
変更する事項がなければ、そのまま「登録」ボタンをクリックします。

追加したOpenFlowスイッチは「スイッチ」/「OpenFlow スイッチ一覧」画面に表示されます。

ロケーション認証およびOpenFlowスイッチ認証を行わない場合は、OpenFlowスイッチの登録は必須ではありません。
OpenFlowスイッチおよびAMF Securityの設定は以上です。
OpenFlowスイッチに接続したデバイスに対して、AMF Securityは登録された認証情報をもとに認証を行うようになります。
認証の結果は「デバイス」/「接続中 デバイス一覧」画面で確認できます。

OpenFlowスイッチ設定(AT-x510-28GTX)
!
no stack 1 enable
!
no spanning-tree rstp enable
!
no ipv6 mld snooping
!
vlan database
vlan 10
vlan 100-104
vlan 4090
!
openflow controller oc1 tcp 192.168.1.10 6653
openflow native vlan 4090
!
interface port1.0.1-1.0.4
switchport access vlan 10
!
interface port1.0.5-1.0.28
openflow
thrash-limiting action none
!
interface vlan1
ip address 192.168.1.1/24
!
interface vlan100-104
no ipv6 mld snooping
!
interface vlan4090
no ip igmp snooping tcn query solicit
no ipv6 mld snooping
!