OpenFlow / 一般設定

はじめに

対象機種とファームウェアバージョン

OpenFlow機能とポートの種類

OpenFlow機能と併用可能な既存機能

OpenFlowとスタティックチャンネルグループの併用

OpenFlowポート番号の採番ルール

OpenFlowクライアントポートとして利用できるポート数

純粋なOpenFlowスイッチとしての基本構成

ハイブリッドOpenFlowスイッチとしての基本構成

AMF機能とOpenFlow機能の併用

その他の設定

コントローラーとの接続が失われた場合の動作

コントロールプレーンの暗号化

OpenFlowは、通常1台の装置にまとめて実装されているパケットの転送機能と転送制御機能を、それぞれ「OpenFlowスイッチ」と「OpenFlowコントローラー」に分離し、両者の通信プロトコルを定めることで、ソフトウェア（プログラミング）によるネットワークの設計、変更、管理、制御を可能にするいわゆるSDN（Software-Defined Networking）技術です。
OpenFlowを使用するネットワークでは、弊社別売製品AT-SecureEnterpriseSDN Controller（以下AT-SESC）などのOpenFlowコントローラーによって、複数のOpenFlow対応ネットワーク装置を制御します。

本製品は、OpenFlow機能の設定を行うことで、「OpenFlowスイッチ」として動作させることができます。

Note
本機能を使用するにはライセンスが必要です。

はじめに

OpenFlowでは、OpenFlowコントローラーから設定されるフローエントリーにしたがってすべての通信制御が行われるため、OpenFlowスイッチにおけるパケット転送の動作は、OpenFlowコントローラーの仕様に依存します。

本解説編では、OpenFlowコントローラーとしてAT-SESCを使用したネットワークの運用・管理に本製品を対応させるためのセットアップ手順を説明します。

OpenFlowスイッチとしての基本動作
本製品がOpenFlowポート配下のデバイスからパケットを受信すると、そのパケットの送信元MACアドレスをキーにフローエントリーを検索し、該当するフローエントリーの内容にしたがってパケットの転送・破棄を行います。
その送信元MACアドレスに該当するフローエントリーが登録されていない場合はAT-SESCに問い合わせを行い、AT-SESCは登録されたデバイスのMACアドレス情報にもとづいてOpenFlowスイッチにフローエントリーを設定します。
AT-SESCに登録されていないMACアドレスの場合は、そのパケットを破棄するフローエントリーを設定して通信制御を行います。

Note
CentreCOM Secure HUBシリーズ用の「SES Readyライセンス」を適用した後の設定方法、コマンドは、本章の「OpenFlowスイッチの設定」をご参照ください。

Note
本製品のサポート対象となるOpenFlowコントローラーは、AT-SecureEnterpriseSDN Controller（AT-SESC）のみとなります。

Note
AT-SESCの詳しい使い方については、AT-SESCのマニュアルをご覧ください。

対象機種とファームウェアバージョン

他の章とは異なり、本章は下記のOpenFlow対応機種共通の内容になっています。
対象とするファームウェアバージョンは 5.4.8-2.x です。

CentreCOM x950シリーズ
CentreCOM x930シリーズ
SwitchBlade x908 GEN2シリーズ
CentreCOM x550シリーズ
CentreCOM x510シリーズ
CentreCOM x510Lシリーズ
CentreCOM x310シリーズ
CentreCOM x230/x230Lシリーズ
CentreCOM Secure HUB SH510シリーズ
CentreCOM Secure HUB SH310シリーズ
CentreCOM Secure HUB SH230シリーズ
CentreCOM Secure HUB XS900MXシリーズ
CentreCOM Secure HUB GS900MX/MPXシリーズ
CentreCOM IE210Lシリーズ

Note
対象スイッチと合わせて、対応するライセンスが必要となります。

OpenFlow機能とポートの種類

本製品のOpenFlow実装では、明示的に設定したポートだけがOpenFlowポートとなり、その他のポートは通常のスイッチポートとして動作するポートベースのハイブリッドモデルを採用しています。

OpenFlow機能使用時、本製品のスイッチポートは次の3種類のいずれかになります。

ポートの種類	VLANタグ設定	転送可能なトラフィック			用途
ポートの種類	VLANタグ設定	データプレーン	コントロールプレーン	従来通信	用途
OpenFlowポート	タグなし	○	×	×	OpenFlowで通信制御するクライアント接続に使用データプレーンのアップリンクとしても使用
ハイブリッドOpenFlowポート	タグ付き	○	○	○	データプレーン、従来通信共通のアップリンクとして使用コントローラー接続にも使用可能
通常スイッチポート	タグなしまたはタグ付き	×	○	○	従来通信に使用コントローラー接続にも使用可能

次に典型的な構成図を示します。
なお、前表で述べたとおり、コントローラーを通常スイッチポートの先に接続する構成も可能です。

Note
AT-SESCでは、上位ネットワークにつながるOpenFlowポートを「アップストリームポート」として登録します。

Note
AT-SESCでアップストリームポートを登録するときは、該当ポートのインターフェース名またはOpenFlowポート番号を登録してください（OpenFlowポート番号については、「OpenFlowポート番号の採番ルール」を参照）。

OpenFlow機能と併用可能な既存機能

OpenFlow機能と併用可能な既存機能は、次表○の組み合わせです。
ポートの種類によって、併用可能な機能が異なりますのでご注意ください。
（既存機能は、本マニュアルの章分類にしたがって記載しています）

Note
実際にサポートされている既存機能は機種によって異なりますので、弊社ホームページの各製品の製品ページやマニュアルをご参照ください。

既存機能		ポート			備考
分類	項目名	通常ポート	ハイブリッド OpenFlowポート	OpenFlowポート	備考
運用・管理	システム	○	○	×
	コマンドラインインターフェース（CLI）	○	○	×
	ファイル操作	○	○	×
	コンフィグレーション	○	○	×
	ユーザー認証	○※	○※	×	※ ユーザー認証データベースのみサポート（RADIUSサーバー、TACACS+サーバーへの問い合わせはサポート対象外）
	RADIUSクライアント	○	○	×
	メール送信	○	○	×
	ログ	○	○	×
	LLDP	○	×	×
	SNMP	○	○	○※	※ リンクステータス通知トラップのみサポート。トラップの送信は通常ポートからのみサポート
	NTP	○	○	×
	端末設定	○	○	×
	Telnet	○	○	×
	Secure Shell	○	○	×
インターフェース	一般設定	○	○	○
	スイッチポート	○	○※a	○※b	※a ハイブリッドOpenFlowポートではMACアドレススラッシングプロテクション、ポートミラーリングは使用不可 ※b OpenFlowポートではフローコントロールのみサポート
	リンクアグリゲーション（IEEE 802.3ad）	○	○※	○※	※ スタティックチャンネルグループのみサポート
	ポート認証	○※	×	×	※ MACベース認証のみサポート
	Power over Ethernet	○	○	○
L2スイッチング	バーチャルLAN	○※	○※	×	※ ポートVLAN、タグVLAN、ネイティブVLANのみサポート
	イーサネットリングプロテクション（EPSR）	○	×	×
	フォワーディングデータベース	○	○	×
	DHCP Snooping	○※	○※	×	※ AMFゲストノードまたはAMFアプリケーションプロキシーを使用する場合のみサポート。DHCP Snooping単体での使用はサポート対象外
IP	一般設定	○	○	×
	IPインターフェース	○※	○※	×	※ スタティックIP、DHCPクライアント、セカンダリーIP、ループバックインターフェースのみサポート
	経路制御	○※	○※	×	※ インターフェース経路、スタティック経路のみサポート
	ARP	○※	○※	×	※ ARPキャッシュのみサポート
IPマルチキャスト	IGMP Snooping	○	○	×
IPv6マルチキャスト	MLD Snooping	○	○	×
トラフィック制御	アクセスリスト	○	×	×
	ハードウェアパケットフィルター	○	×	×
	Quality of Service	○	×	×
IP付加機能	DHCPサーバー	○	×	×
アライドテレシスマネージメントフレームワーク（AMF）	項目全般	○※a	○※b	×	※a 通常ポートではメンバー、ゲストノードのみサポート ※b ハイブリッドOpenFlowポートではメンバーのみサポート

○ ＝利用可能
× ＝利用不可

OpenFlowとスタティックチャンネルグループの併用

OpenFlowはスタティックチャンネルグループ機能と併用することで、複数のOpenFlowポートを束ねて帯域幅を拡大するとともに、リンクの冗長性を高めることが可能です。

Note
AT-SESCでは、上位ネットワークにつながるOpenFlowポートを「アップストリームポート」として登録します。

Note
AT-SESCのアップストリームポートにスタティックチャンネルグループのポートを設定するときは、該当ポートのインターフェース名またはOpenFlowポート番号を登録してください（OpenFlowポート番号については、「OpenFlowポート番号の採番ルール」を参照）。

OpenFlowポート番号の採番ルール

本製品からOpenFlowコントローラーへ通知されるOpenFlowポート番号は、show openflow statusコマンドから確認できますが、採番ルールは以下となります。

通常のOpenFlowポート

　OpenFlowポート番号　=　インターフェースインデックス番号　-　5000　

たとえば、port1.0.1の場合、インデックス番号は5001となるので、OpenFlowポート番号は1となります。
スタティックチャンネルグループのOpenFlowポート

　OpenFlowポート番号　=　インターフェースインデックス番号　-　3500 　

たとえば、sa1の場合、インデックス番号は4501となるので、OpenFlowポート番号は1001となります。

OpenFlowクライアントポートとして利用できるポート数

PC等の端末を接続するOpenFlowクライアントポートの最大ポート数は、構成によって変化します。

　最大クライアントポート数　=　筐体のポート数　-　通常ポート側の使用数　-　アップリンクへつながるOpenFlowポート数　

以下に構成例を示します。

この構成では、「アップリンクへつながるOpenFlowポート数」は、ハイブリッドOpenFlowポートの1ポートとなります。

Note
筐体でリンクアグリゲーションを使用する場合は、そのメンバーポート数に応じて、利用可能なクライアントポート数は少なくなります。

設定の流れ

AT-SESC管理下で、本製品をOpenFlowスイッチとして動作させるためには、最低限下記の設定を行う必要があります。
具体的な手順については、「OpenFlowスイッチの設定」をご覧ください。

一部既存機能の無効化
OpenFlow内部制御用VLANの設定
OpenFlowコントローラーと通信するための設定（コントロールプレーン）
OpenFlowポートの設定（データプレーン）
OpenFlowアップストリームポートの設定
設定完了後に再起動

準備

OpenFlow機能ライセンスの適用

ライセンスの適用に関するコマンドは、通常のAlliedWare Plusシステムと同じです。

Note
OpenFlow機能のライセンスは、ファームウェアバージョン 5.4.7-0.x と 5.4.7-2.x のそれぞれでライセンス形態が変更されています。
変更前後のライセンスには互換性がないため、下記 (A) (B) (C) いずれかのバージョンで有効化した OpenFlow 機能ライセンスは、同一グループのバージョンでしか使用できません。

(A) バージョン 5.4.6-x.x 以前

(B) バージョン 5.4.7-0.x ～ 5.4.7-1.x

(C) バージョン 5.4.7-2.x 以降

(A)から(B)、(B)から(C)のように、ライセンス有効化時と異なるグループのバージョンにファームウェアを更新する場合は、OpenFlow機能ライセンスの更新が必要になりますので、弊社窓口までご連絡ください。

なお、(B)のバージョンに更新する場合は、ヒアリングシートへのご記入が必要です。

http://www.allied-telesis.co.jp/products/list/switch/at-fl/konyu.html

OpenFlowスイッチの設定

いくつかの構成を例にして、OpenFlowスイッチとしての設定手順を説明します。
本項では、x510シリーズ機器を例に説明しています。ポート番号等は適宜読み替えてくださいますようお願いいたします。

OpenFlowにおけるパケット転送処理について
本製品のOpenFlowにおけるパケット転送処理は、従来のスイッチングやルーティング機能ではなく、ハードウェアアクセスリスト（ハードウェアパケットフィルター）によってハードウェア処理のパケット転送を実現しています。
OpenFlowポートで受信したパケットは、送信元MACアドレスと宛先MACアドレスの組み合わせ1つにつき、ハードウェアアクセスリストのエントリーを1つ使用して転送を行います。たとえばOpenFlowポート配下のデバイス1台が双方向でユニキャスト通信を行う場合、ハードウェアアクセスリストのエントリーを2つ消費します。そのためOpenFlowポート配下のデバイスの通信の宛先が多いほどハードウェアアクセスリストのエントリーは消費されます。ハードウェアアクセスリストのエントリーは通信が行われると消費されますが、該当のエントリーを使用する通信が10秒間ない場合には解放されます。

なお、パケットの種類によっては必ずソフトウェア処理でパケット転送が行われるものや、OpenFlowポート配下のデバイスにアサインするネットワークの設定によってソフトウェア処理となる場合があります。
- ソフトウェア処理となるパケットの種類
  ARPリクエスト / ARPリプライ
  
  Note
  本製品にフローエントリーが登録されていない場合にAT-SESCに問い合わせを行う自発のパケット（PACKET_IN）もソフトウェア処理で転送を行います。
- ネットワークの設定
  OpenFlowポート配下のデバイスからのブロードキャスト/マルチキャストパケットは、以下の条件によってハードウェア処理/ソフトウェア処理が決定されます。
  なお、アップストリームポートから受信したOpenFlowポート宛てのブロードキャスト/マルチキャストパケット（OpenFlowポートから送信されるブロードキャスト/マルチキャストパケット）は、いずれの場合でもつねにハードウェア処理で転送を行います。
  - AT-SESCでデバイスのネットワークをアサインする場合（ポリシー設定でVLAN ID 1～4094のネットワークを設定）
    - 設定した同一ネットワークの端末が1つのOpenFlowポートに接続している場合
      → ハードウェア処理（OpenFlowポート→アップストリームポート）
    - 設定した同一ネットワークの端末が複数のOpenFlowポートに接続している場合
      → ソフトウェア処理（OpenFlowポート⇔OpenFlowポート、OpenFlowポート→アップストリームポートの双方）
  - AT-SESCで端末のネットワークをアサインしない場合（ポリシー設定でVLAN ID 0のネットワークを設定、またはネットワークを設定しない）
    → 1つのOpenFlowポートに端末が接続、および複数のOpenFlowポートに同一のネットワークの端末が接続している場合を問わずハードウェア処理（OpenFlowポート⇔OpenFlowポート、OpenFlowポート→アップストリームポートの双方）

Note
ファームウェアバージョンが5.4.7より前のスイッチで、ヘアピンリンクを設定していた場合は、必ず設定を解除してください。ファームウェアバージョン5.4.7以降、ヘアピンリンクは使用できません。

Note
下記の構成例には、以下に述べる共通の注意事項、制限事項があります。

PC等の端末を接続するOpenFlowクライアントポートでは、VLANタグ付きパケットは未サポートです。

OpenFlowポートではジャンボフレームは未サポートです。

OpenFlowポートではMACアドレススラッシングプロテクションの併用は未サポートですが、MACアドレススラッシングプロテクションは初期状態で有効なため、OpenFlowポートではthrash-limitingコマンドのactionパラメーターにnoneを指定して、MACアドレススラッシング検出時の動作を無効化してください。

スイッチ本体の負荷が高くなると、一時的にOpenFlowポートにおける通信速度が低下することがあります。

ハードウェアで処理が可能なフロー数を超過して通信が行われると、超過分の通信はソフトウェア処理となり通信速度は著しく低下します。

ハードウェアで処理が可能なフロー数の上限を超えてソフトウェア処理となった通信は、通信量に応じてハードウェア処理に切り替わります。

通信速度がワイヤーレートから数パーセント程度低下する場合があります。

show openflow rulesコマンドで表示されるフローエントリーの「set_field:」の値には、実際のVLAN IDに4096を足したものが表示されます。

show openflow rulesコマンドで表示される「table_id=254」のフローは、AT-SESCの「OpenFlowスイッチフロー一覧」には表示されません。AT-SESC 上で表示されるのは、AT-SESC が本製品に送信したフローのみです。「table_id=254」のフローは、本製品がデフォルトで登録しているフロー（AT-SESCと接続されていない状態でも登録されるフロー）のため、AT-SESC上では表示されません。

OpenFlowポートに対するQ-BRIDGE-MIBのdot1qPortIngressFilteringのSNMP Setは、未サポートです。

通常ドメイン（通常スイッチポート）とOpenFlowドメイン（OpenFlowポート）で同一のVLANを使用することはできません。

OpenFlow機能ライセンスを適用すると、OpenFlowで使用する内部インターフェース「of0」が作成され、show interfaceコマンドやshow ip interfaceコマンドで表示されるようになりますが、「of0」インターフェースに対しては無効化やIPアドレス等の設定を行わないでください。

純粋なOpenFlowスイッチとしての基本構成

本製品を純粋なOpenFlowスイッチとして使用する場合の基本構成です。

ここでは、ポート1.0.5～1.0.28をOpenFlowポート（OpenFlowデータプレーン）に設定し、そのうちポート1.0.5を上位ネットワークに接続するアップストリームポートとして使用します。
コントローラーとの通信（コントロールプレーン）はvlan1上の通常スイッチポートで行います。

■ 本製品のOpenFlow設定

コントロールプレーン
割り当てポート	スイッチポート1.0.1～1.0.4（通常スイッチポート）
割り当てVLAN	vlan1
VLANインターフェースIPアドレス	192.168.1.1/24
データプレーン
割り当てポート	スイッチポート1.0.5～1.0.28（OpenFlowポート）
OpenFlow内部制御用VLAN	VLAN 4090
アップストリームポート	スイッチポート1.0.5（OpenFlowポート）

Note
VLAN 4090はパケット転送には使用しません。OpenFlowポートも初期状態ではデフォルトVLAN（VID=1）がネイティブVLANに設定されているため、通常ポートのvlan1で受信したパケットがOpenFlowポートにフラッディングされないようにするために本設定を行います。

■ OpenFlowコントローラー（AT-SESC）の設定

設定項目	内容
IPアドレス	192.168.1.10
OpenFlow TCPポート番号	6653
本OpenFlowスイッチに対するアップストリームポート設定	port1.0.5
デバイス認証設定	OpenFlowポート配下のデバイス(PC)	以下どちらかを設定・VLAN ID "100～104" いずれかのネットワークにアサイン・VLAN ID "0" または VLAN IDを指定しないネットワークにアサイン

Note
AT-SESCから設定されるフローエントリーでは、デバイスにアサインするネットワークの設定によって、デバイスのパケットがOpenFlowのアップストリームポートから送信される際の動作が変わります。

VLAN ID（1～4094）を指定したネットワークアサインの場合：OpenFlowのアップストリームポートから送信される際に該当VIDのVLANタグが付与されます。

VLAN ID "0" または VLAN ID を指定しないネットワークの場合：OpenFlowのアップストリームポートから送信される際に VLANタグは付与されません。上記構成例では対向アップリンクスイッチ側の設定により、タグなしパケットはVLAN ID 105として扱われます。

Note
AT-SESCの基本的な使い方や、アップストリームポート設定、ネットワークのアサイン方法等、詳細はAT-SESCのマニュアルをご覧ください。

OpenFlow機能とVCS機能は併用できないため、VCS対応機種をOpenFlowスイッチとして設定する場合は、事前にスタック接続を解除し、VCS機能を無効化して設定を保存した上で、スイッチを再起動してください。

awplus# configure terminal ↓
awplus(config)# no stack 1 enable ↓
Warning: this will disable the stacking hardware on member-1.
Are you sure you want to continue? (y/n):  y ↓
10:18:51 awplus VCS[824]: Deactivating Stacking Ports on stack member 1
awplus(config)# end ↓
awplus# 
awplus# write memory ↓
Building configuration...
[OK]
awplus# reboot ↓
reboot system? (y/n): y ↓

OpenFlowポートでパケット転送に使用するVLANを作成します。
```
awplus# configure terminal ↓
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 100-104 ↓
```
Note
OpenFlowポートで使用するVLANはフロー情報にもとづき自動的に作成されますが、後の手順で該当VLANのMLD Snoopingを無効化するにはあらかじめVLANを作成しておく必要があるため、ここで作成しています。
OpenFlowの内部制御用VLANに割り当てるVLANを作成し、割り当てます。ここで設定するVLANは、パケット転送には使用できません。
```
awplus(config-vlan)# vlan 4090 ↓
awplus(config-vlan)# exit ↓
awplus(config)# openflow native vlan 4090 ↓
```
Note
内部制御用VLANを設定する前に、当該のVLANを作成しておく必要があります。
コントローラーとの通信（コントロールプレーン）で使用するVLANにIPアドレスを設定します。
```
awplus(config)# interface vlan1 ↓
awplus(config-if)# ip address 192.168.1.1/24 ↓
awplus(config-if)# exit ↓
```
Note
x930シリーズ、x950シリーズでは、コントロールプレーンとしてマネージメントポート（eth0）を使用することもできます。その場合は eth0 にIPアドレスを設定してください。
OpenFlowコントローラー（AT-SESC）のIPアドレスとTCPポート番号を指定します。
```
awplus(config)# openflow controller tcp 192.168.1.10 6653 ↓
```
ポート1.0.5～1.0.28を通常スイッチポートからOpenFlowポートに変更します。
また、OpenFlowポートでの併用が未サポートのMACアドレススラッシングプロテクションを無効化します。
```
awplus(config)# interface port1.0.5-1.0.28 ↓
awplus(config-if)# openflow ↓
awplus(config-if)# thrash-limiting action none ↓
awplus(config-if)# exit ↓
```
Note
openflowコマンドの実行後に該当ポートの設定を変更した場合は、設定を保存しスイッチを再起動してください。

Note
OpenFlowポートにはopenflow native vlanコマンドで設定したOpenFlowの内部制御用VLANが自動でアサインされます。
OpenFlowポートから制御パケットが送出されないよう、下記の設定を行います。
- システム全体：RSTP、MLD Snoopingを無効化
- OpenFlowポートでパケット転送に使用するVLAN：MLD Snoopingを無効化
- OpenFlowの内部制御用VLAN：IGMP Snoopingのトポロジー変更時Query要求機能とMLD Snoopingを無効化
```
awplus(config)# no spanning-tree rstp enable ↓
awplus(config)# no ipv6 mld snooping ↓
awplus(config)# interface vlan100-104 ↓
awplus(config-if)# no ipv6 mld snooping ↓
awplus(config-if)# exit ↓
awplus(config)# interface vlan4090 ↓
awplus(config-if)# no ip igmp snooping tcn query solicit ↓
awplus(config-if)# no ipv6 mld snooping ↓
awplus(config-if)# exit ↓
```
Note
筐体でLDF機能を有効にしている場合は、全OpenFlowポート上で LDFを無効に設定してください。

設定を保存して再起動してください。

awplus(config)# end ↓
awplus# write memory ↓
Building configuration...
[OK]
awplus# reboot ↓
reboot system? (y/n): y ↓

設定は以上です。

ハイブリッドOpenFlowスイッチとしての基本構成

OpenFlowによって制御されるOpenFlowポート上の通信と、通常スイッチポート上の従来通信が混在するハイブリッドOpenFlowスイッチとして使用する場合の基本構成です。

ここでは、ポート1.0.5～1.0.28をOpenFlowポート（OpenFlowデータプレーン）に設定し、そのうちポート1.0.5を上位ネットワークに接続するアップストリームポートとして使用します。ポート1.0.1～1.0.4は通常スイッチポートのままとし、従来通信に使用します。

また本例では、アップストリームポートのポート1.0.5を、コントローラーとの通信（コントロールプレーン）および通常ポートのアップリンクとしても使うため、同ポートをハイブリッドOpenFlowポートに設定します。

■ 本製品のOpenFlow設定

コントロールプレーン
割り当てポート	スイッチポート1.0.5（ハイブリッドOpenFlowポート）
割り当てVLAN	vlan1
VLANインターフェースIPアドレス	192.168.1.1/24
データプレーン
割り当てポート	スイッチポート1.0.6～1.0.28（OpenFlowポート）スイッチポート1.0.5（ハイブリッドOpenFlowポート）
OpenFlow内部制御用VLAN	VLAN 4090
アップストリームポート	スイッチポート1.0.5（ハイブリッドOpenFlowポート）
通常スイッチポート
割り当てポート	スイッチポート1.0.1～1.0.4（通常ポート）スイッチポート1.0.5（ハイブリッドOpenFlowポート）
割り当てVLAN	vlan10

Note
VLAN 4090はパケット転送には使用しません。OpenFlowポートも初期状態ではデフォルトVLAN（VID=1）がネイティブVLANに設定されているため、通常ポートのvlan1で受信したパケットがOpenFlowポートにフラッディングされないようにするために本設定を行います。

■ OpenFlowコントローラー（AT-SESC）の設定

設定項目	内容
IPアドレス	192.168.1.10
OpenFlow TCPポート番号	6653
本OpenFlowスイッチに対するアップストリームポート設定	port1.0.5
デバイス認証設定	OpenFlowポート配下のデバイス(PC)	以下どちらかを設定・VLAN ID "100～104" いずれかのネットワークにアサイン・VLAN ID "0" または VLAN IDを指定しないネットワークにアサイン

Note
AT-SESCから設定されるフローエントリーでは、デバイスにアサインするネットワークの設定によって、デバイスのパケットがOpenFlowのアップストリームポートから送信される際の動作が変わります。

VLAN ID（1～4094）を指定したネットワークアサインの場合：OpenFlowのアップストリームポートから送信される際に該当VIDのVLANタグが付与されます。

VLAN ID "0" または VLAN ID を指定しないネットワークの場合：OpenFlowのアップストリームポートから送信される際に VLANタグは付与されません。上記構成例では対向アップリンクスイッチ側の設定により、タグなしパケットはVLAN ID 105として扱われます。

Note
AT-SESCの基本的な使い方や、アップストリームポート設定、ネットワークのアサイン方法等、詳細はAT-SESCのマニュアルをご覧ください。

awplus# configure terminal ↓
awplus(config)# no stack 1 enable ↓
Warning: this will disable the stacking hardware on member-1.
Are you sure you want to continue? (y/n):  y ↓
10:18:51 awplus VCS[824]: Deactivating Stacking Ports on stack member 1
awplus(config)# end ↓
awplus# 
awplus# write memory ↓
Building configuration...
[OK]
awplus# reboot ↓
reboot system? (y/n): y ↓

OpenFlowポートでパケット転送に使用するVLANを作成します。
```
awplus# configure terminal ↓
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 100-104 ↓
```
Note
OpenFlowポートで使用するVLANはフロー情報にもとづき自動的に作成されますが、後の手順で該当VLANのMLD Snoopingを無効化するにはあらかじめVLANを作成しておく必要があるため、ここで作成しています。
通常スイッチポートでパケット転送に使用するVLANを作成します。
```
awplus(config-vlan)# vlan 10 ↓
```
OpenFlowの内部制御用VLANに割り当てるVLANを作成し、割り当てます。ここで設定するVLANは、パケット転送には使用できません。
```
awplus(config-vlan)# vlan 4090 ↓
awplus(config-vlan)# exit ↓
awplus(config)# openflow native vlan 4090 ↓
```
Note
内部制御用VLANを設定する前に、当該のVLANを作成しておく必要があります。
コントローラーとの通信（コントロールプレーン）で使用するVLANにIPアドレスを設定します。
```
awplus(config)# interface vlan1 ↓
awplus(config-if)# ip address 192.168.1.1/24 ↓
awplus(config-if)# exit ↓
```
OpenFlowコントローラー（AT-SESC）のIPアドレスとTCPポート番号を指定します。
```
awplus(config)# openflow controller tcp 192.168.1.10 6653 ↓
```
ポート1.0.5～1.0.28を通常スイッチポートからOpenFlowポートに変更します。
また、OpenFlowポートでの併用が未サポートのMACアドレススラッシングプロテクションを無効化します。
```
awplus(config)# interface port1.0.5-1.0.28 ↓
awplus(config-if)# openflow ↓
awplus(config-if)# thrash-limiting action none ↓
awplus(config-if)# exit ↓
```
Note
openflowコマンドの実行後に該当ポートの設定を変更した場合は、設定を保存しスイッチを再起動してください。

Note
OpenFlowポートにはopenflow native vlanコマンドで設定したOpenFlowの内部制御用VLANが自動でアサインされます。
OpenFlowポートから制御パケットが送出されないよう、下記の設定を行います。
- システム全体：RSTP、MLD Snoopingを無効化
- OpenFlowポートでパケット転送に使用するVLAN：MLD Snoopingを無効化
- OpenFlowの内部制御用VLAN：IGMP Snoopingのトポロジー変更時Query要求機能とMLD Snoopingを無効化
```
awplus(config)# no spanning-tree rstp enable ↓
awplus(config)# no ipv6 mld snooping ↓
awplus(config)# interface vlan100-104 ↓
awplus(config-if)# no ipv6 mld snooping ↓
awplus(config-if)# exit ↓
awplus(config)# interface vlan4090 ↓
awplus(config-if)# no ip igmp snooping tcn query solicit ↓
awplus(config-if)# no ipv6 mld snooping ↓
awplus(config-if)# exit ↓
```
Note
筐体でLDF機能を有効にしている場合は、全OpenFlowポート上で LDFを無効に設定してください。
アップストリームポートとして使用するポート1.0.5をタグ付きポートに設定し、コントロールプレーン用VLANと通常ポート用VLANを追加します。また、イングレスフィルタリングを無効にして、その他の任意のVLANタグを受信できるようにします。
タグ付きポートに設定したOpenFlowポートは、ハイブリッドOpenFlowポートになります。
```
awplus(config)# interface port1.0.5 ↓
awplus(config-if)# switchport mode trunk ingress-filter disable ↓
awplus(config-if)# switchport trunk allowed vlan add 1,10 ↓
awplus(config-if)# exit ↓
```
Note
ハイブリッドOpenFlowポートでは、switchport trunk allowed vlanで許可したVLANとAMF用VLANのタグ付きトラフィックはOpenFlowで制御せずに、通常のスイッチング処理を行います。それ以外のトラフィックは通常のOpenFlowポートと同様、OpenFlowによって制御します。

設定を保存して再起動してください。

awplus(config)# end ↓
awplus# write memory ↓
Building configuration...
[OK]
awplus# reboot ↓
reboot system? (y/n): y ↓

設定は以上です。

AMF機能とOpenFlow機能の併用

本製品をアライドテレシスマネージメントフレームワーク（AMF）ネットワークのメンバーとして管理・保守しつつ、OpenFlowスイッチとしても運用する場合の設定を説明します。

本項では、x510シリーズ機器にAMF機能とOpenFlow機能を設定する場合を例に説明します。

■ 本製品のOpenFlow設定

コントロールプレーン
割り当てポート	スイッチポート1.0.5（ハイブリッドOpenFlowポート）
割り当てVLAN	vlan1
VLANインターフェースIPアドレス	192.168.1.1/24
データプレーン
割り当てポート	スイッチポート1.0.6～1.0.28（OpenFlowポート）スイッチポート1.0.5（ハイブリッドOpenFlowポート）
OpenFlow内部制御用VLAN	VLAN 4090
アップストリームポート	スイッチポート1.0.5（ハイブリッドOpenFlowポート）
通常スイッチポート
割り当てポート	スイッチポート1.0.1～1.0.4（通常ポート）スイッチポート1.0.5（ハイブリッドOpenFlowポート）
割り当てVLAN	vlan10

Note
VLAN 4090はパケット転送には使用しません。OpenFlowポートも初期状態ではデフォルトVLAN（VID=1）がネイティブVLANに設定されているため、通常ポートのvlan1で受信したパケットがOpenFlowポートにフラッディングされないようにするために本設定を行います。

■ OpenFlowコントローラー（AT-SESC）の設定

設定項目	内容
IPアドレス	192.168.1.10
OpenFlow TCPポート番号	6653
本OpenFlowスイッチに対するアップストリームポート設定	port1.0.5
デバイス認証設定	OpenFlowポート配下のデバイス(PC)	以下どちらかを設定・VLAN ID "100～104" いずれかのネットワークにアサイン・VLAN ID "0" または VLAN IDを指定しないネットワークにアサイン

■ 本製品のAMF設定

設定項目	内容
AMFネットワーク名	atmf1
AMF接続ポート（AMFリンク）	スイッチポート1.0.5（ハイブリッドOpenFlowポート）

Note
AT-SESCから設定されるフローエントリーでは、デバイスにアサインするネットワークの設定によって、デバイスのパケットがOpenFlowのアップストリームポートから送信される際の動作が変わります。

VLAN ID（1～4094）を指定したネットワークアサインの場合：OpenFlowのアップストリームポートから送信される際に該当VIDのVLANタグが付与されます。

VLAN ID "0" または VLAN ID を指定しないネットワークの場合：OpenFlowのアップストリームポートから送信される際に VLANタグは付与されません。上記構成例では対向AMFマスター側の設定により、タグなしパケットはVLAN ID 105として扱われます。

Note
AT-SESCの基本的な使い方や、アップストリームポート設定、ネットワークのアサイン方法等、詳細はAT-SESCのマニュアルをご覧ください。

AMFネットワーク名を設定し、AMF接続ポート（AMFリンク）を作成します。

awplus# configure terminal ↓
awplus(config)# atmf network-name atmf1 ↓
awplus(config)# interface port1.0.5 ↓
awplus(config-if)# switchport atmf-link ↓
awplus(config-if)# exit ↓

awplus(config)# no stack 1 enable ↓
Warning: this will disable the stacking hardware on member-1.
Are you sure you want to continue? (y/n): y ↓
10:18:51 awplus VCS[824]: Deactivating Stacking Ports on stack member 1
awplus(config)# end ↓
awplus# 
awplus# write memory ↓
Building configuration...
[OK]
awplus# reboot ↓
reboot system? (y/n): y ↓

OpenFlowポートでパケット転送に使用するVLANを作成します。
```
awplus# configure terminal ↓
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 100-104 ↓
```
Note
OpenFlowポートで使用するVLANはフロー情報にもとづき自動的に作成されますが、後の手順で該当VLANのMLD Snoopingを無効化するにはあらかじめVLANを作成しておく必要があるため、ここで作成しています。
通常スイッチポートでパケット転送に使用するVLANを作成します。
```
awplus(config-vlan)# vlan 10 ↓
```
OpenFlowの内部制御用VLANに割り当てるVLANを作成し、割り当てます。ここで設定するVLANは、パケット転送には使用できません。
```
awplus(config-vlan)# vlan 4090 ↓
awplus(config-vlan)# exit ↓
awplus(config)# openflow native vlan 4090 ↓
```
Note
内部制御用VLANを設定する前に、当該のVLANを作成しておく必要があります。
コントローラーとの通信（コントロールプレーン）で使用するVLANにIPアドレスを設定します。
```
awplus(config)# interface vlan1 ↓
awplus(config-if)# ip address 192.168.1.1/24 ↓
awplus(config-if)# exit ↓
```
OpenFlowコントローラー（AT-SESC）のIPアドレスとTCPポート番号を指定します。
```
awplus(config)# openflow controller tcp 192.168.1.10 6653 ↓
```
ポート1.0.5～1.0.28を通常スイッチポートからOpenFlowポートに変更します。
また、OpenFlowポートでの併用が未サポートのMACアドレススラッシングプロテクションを無効化します。
```
awplus(config)# interface port1.0.5-1.0.28 ↓
awplus(config-if)# openflow ↓
awplus(config-if)# thrash-limiting action none ↓
awplus(config-if)# exit ↓
```
Note
openflowコマンドの実行後に該当ポートの設定を変更した場合は、設定を保存しスイッチを再起動してください。

Note
OpenFlowポートにはopenflow native vlanコマンドで設定したOpenFlowの内部制御用VLANが自動でアサインされます。
OpenFlowポートから制御パケットが送出されないよう、下記の設定を行います。
- システム全体：RSTP、MLD Snoopingを無効化
- OpenFlowポートでパケット転送に使用するVLAN：MLD Snoopingを無効化
- OpenFlowの内部制御用VLAN：IGMP Snoopingのトポロジー変更時Query要求機能とMLD Snoopingを無効化
```
awplus(config)# no spanning-tree rstp enable ↓
awplus(config)# no ipv6 mld snooping ↓
awplus(config)# interface vlan100-104 ↓
awplus(config-if)# no ipv6 mld snooping ↓
awplus(config-if)# exit ↓
awplus(config)# interface vlan4090 ↓
awplus(config-if)# no ip igmp snooping tcn query solicit ↓
awplus(config-if)# no ipv6 mld snooping ↓
awplus(config-if)# exit ↓
```
Note
筐体でLDF機能を有効にしている場合は、全OpenFlowポート上で LDFを無効に設定してください。
アップストリームポートとして使用するポート1.0.5をタグ付きポートに設定し、コントロールプレーン用VLANと通常ポート用VLANを追加します。また、イングレスフィルタリングを無効にして、その他の任意のVLANタグを受信できるようにします。
タグ付きポートに設定したOpenFlowポートは、ハイブリッドOpenFlowポートになります。
```
awplus(config)# interface port1.0.5 ↓
awplus(config-if)# switchport mode trunk ingress-filter disable ↓
awplus(config-if)# switchport trunk allowed vlan add 1,10 ↓
awplus(config-if)# exit ↓
```
Note
ハイブリッドOpenFlowポートでは、switchport trunk allowed vlanで許可したVLANとAMF用VLANのタグ付きトラフィックはOpenFlowで制御せずに、通常のスイッチング処理を行います。それ以外のトラフィックは通常のOpenFlowポートと同様、OpenFlowによって制御します。

設定を保存して再起動してください。

awplus(config)# end ↓
awplus# write memory ↓
Building configuration...
[OK]
awplus# reboot ↓
reboot system? (y/n): y ↓

設定は以上です。

その他の設定

コントローラーとの接続が失われた場合の動作

コントローラーとの接続が失われた場合（コネクションインタラプション）の動作は、openflow failmode standaloneコマンドとopenflow failmode secure non-rule-expiredコマンドの設定により次の3つから選択できます。

standalone/secure non-rule-expired動作無効 - 既存のフローエントリーにしたがって動作（初期設定）
standalone動作有効 - OpenFlowポートで通常のL2スイッチングの単独動作（タグなしパケットのみ転送）
secure non-rule-expired動作有効 - 既存のフローエントリーがタイムアウトすることなく動作

■ standalone/secure non-rule-expired動作無効時（初期設定）の動作は次のとおりです。

コントローラーとの接続が失われたと判断した後も、すでにOpenFlowポートに接続していたデバイスのパケットは既存のフローエントリーにしたがって転送を行います。ただし、既存のフローエントリーがタイムアウトした後はパケットを破棄します。
新規でOpenFlowポートに接続したデバイスのパケットは破棄します。
接続が失われた後もコントローラーとの接続を試行し続け、接続が回復した場合は通常のOpenFlowスイッチとしての動作に戻ります。

■ standalone動作有効時の動作は次のとおりです。

コントローラーとの接続が失われたと判断した場合、すでにOpenFlowポートに接続していたデバイスのフローエントリーは全て削除されOpenFlowポートでは本製品単独で通常のL2スイッチング動作を行うようになります。
（OpenFlowポートではタグなしパケットしか転送できません）
新規でOpenFlowポートに接続したデバイスのパケットは上記のOpenFlowポートのL2スイッチング動作にしたがって転送を行います。
単独動作中もコントローラーとの接続を試行し続け、接続が回復した場合は単独動作を停止して通常のOpenFlowスイッチとしての動作に戻ります。

■ standalone動作を有効にするには、openflow failmode standaloneコマンドを通常形式で実行します。

awplus(config)# openflow failmode standalone ↓

■ standalone動作を無効にするには、no openflow failmodeを実行します。

awplus(config)# no openflow failmode ↓

■ secure non-rule-expired動作有効時の動作は次のとおりです。

コントローラーとの接続が失われたと判断した後も、すでにOpenFlowポートに接続していたデバイスのパケットは既存のフローエントリーにしたがって転送を行います。
既存のフローエントリーがタイムアウトすることなく、コントローラーとの接続を試行し続けます。
新規でOpenFlowポートに接続したデバイスのパケットは破棄します。
接続が回復した場合は通常のOpenFlowスイッチとしての動作に戻ります。

■ secure non-rule-expired動作を有効にするには、openflow failmode secure non-rule-expiredコマンドを通常形式で実行します。

awplus(config)# openflow failmode secure non-rule-expired ↓

■ secure non-rule-expired動作を無効にするには、no openflow failmodeを実行します。

awplus(config)# no openflow failmode ↓

■ 本製品は、「疎通確認間隔 × 3」の期間、コントローラーから1つもメッセージを受信しなかった場合に接続が失われたと判断します。
疎通確認間隔はopenflow inactivityコマンドで変更できます。初期設定は10秒です。

awplus(config)# openflow inactivity 5 ↓

コントロールプレーンの暗号化

OpenFlowコントローラーとの通信（コントロールプレーン）方式としては、次の2種類をサポートしています。

TCP（暗号化なし）
TLS（暗号化あり）

Note
AT-SecureEnterpriseSDN Controller（AT-SESC）は、バージョン1.3.1の時点ではTLS接続に未対応です。

■ TCPを使う場合は、前記設定例のように、openflow controllerコマンドのPROTOCOLパラメーターでtcpを指定します。

awplus(config)# openflow controller tcp 192.168.1.10 6653 ↓

■ TLSを使う場合は、本製品自身のTLS証明書を用意し、これらを使うように設定した上で、openflow controllerコマンドのPROTOCOLパラメーターに ssl を指定します。
以下、コントローラーとTLSで接続するための手順を説明します。

前記設定例をTLS接続に変更する場合は、各設定例の openflow controller tcp 192.168.1.10 6653 の部分を以下の設定に置き換えてください。

本製品のTLS証明書（＝公開鍵ペアと自署の公開鍵証明書）を生成します。これには、crypto pki trustpointコマンドを使います。トラストポイント名（NAMEパラメーター）は local しかサポートしていませんので、これを指定してください。
```
awplus(config)# crypto pki trustpoint local ↓
```
前の手順で生成したTLS証明書をOpenFlowコントローラーとのTLS接続に使用するよう設定します。これには、openflow ssl trustpointコマンドを使います。トラストポイント名（NAMEパラメーター）には local を指定してください。
```
awplus(config)# openflow ssl trustpoint local ↓
```
接続先のOpenFlowコントローラーを指定します。これには、openflow controllerコマンドを使います。このとき、PROTOCOLパラメーターには ssl を指定してください。
```
awplus(config)# openflow controller ssl 192.168.1.10 6653 ↓
```

■ TLS接続時にOpenFlowコントローラーのTLS証明書を検証するには、コントローラーのTLS証明書を発行したCAの証明書ファイル（PEM形式）を本製品のファイルシステム上に用意し、openflow ssl peer certificateコマンドでそのファイルを指定してください。
次の例では、コントローラーの証明書を検証するために必要なCA証明書ファイルが flash:/ca_for_controller.pem に置かれているものと仮定しています。
なお、OpenFlow機能の初期設定ではサーバー証明書の検証は行いません。

awplus(config)# openflow ssl peer certificate flash:/ca_for_controller.pem ↓

■ OpenFlowコントローラー側で本製品のTLS証明書を検証したい場合は、本製品のTLS証明書を発行したCAの証明書をPEM形式ファイルに書き出し、OpenFlowコントローラーにインストールする必要があります。これには、crypto pki export pemコマンドを使います。トラストポイント名（NAMEパラメーター）には local を指定してください。
次の例では、本製品の証明書を検証するために必要なCA証明書ファイルを flash:/ca_for_switch.pem に書き出すものと仮定しています。
このファイルをコントローラーに転送し、コントローラーの仕様にしたがって適切な場所にインストールしてください。

awplus# crypto pki export local pem flash:/ca_for_switch.pem ↓

■ OpenFlow機能のTLS接続に関する設定内容は、show openflow sslコマンドで確認できます。

awplus# show openflow ssl ↓
Private key: /flash/.certs/pki/local/cakey.pem
Certificate: /flash/.certs/pki/local/cacert.pem
CA Certificate: /flash/ca_for_controller.pem
Bootstrap: false

PN: 613-002656 Rev.C