各種操作 / 無線資産アドバンスド・コントロール AWC-SDF（AWC-Sky Defender） / MACアドレス収集用ネットワークによる接続管理

無線資産アドバンスド・コントロールAWC-SDF（AWC-Sky Defender）は、AlliedWare Plus機器の無線LANコントローラー機能を設定するWeb GUI「Vista Manager mini」に対して、MACアドレスに基づいて接続可能な無線クライアントを管理します。
MACアドレス収集用のネットワーク（VAP）に接続した無線クライアントからMACアドレスを収集したり、収集したMACアドレスをMACアドレスフィルターとして無線LANコントローラーの管理下APに設定できます。

Note
無線LANコントローラーをAWCプラグインのリモートモニターに登録する必要があります。なお、リモートモニター機能はAWCプラグインによる無線APの直接管理と同時に使用することはできません。

用語の整理

Vista Manager miniで用いる用語は次の通りです。本セクションでは、各システムの設定手順ではそれぞれの用語を使用します。

ネットワーク：
VAP（マルチSSID）を指します。
Vista Manager miniでは、SSIDや使用するセキュリティー方式などを「ネットワーク」として定義します。
プロファイル：
共通設定を指します。
Vista Manager miniでは、無線APを管理するための設定の集まりとして、「プロファイル」を作成します。このプロファイルには、先述のネットワークを複数関連付けることができます。
AWCプラグインとは異なり、AP共通設定、CB共通設定のように分かれておらず、関連付けるネットワークのうちの一部をチャンネルブランケットとして提供するよう設定します。
無線トリガー：
Vista Manager miniでは、AWCプラグインによってネットワークの有効・無効を切り替えるための「トリガー」を登録できます。
ネットワークを作成する際にこのトリガーを割り当てることで、MACアドレスを収集する際にのみ使用する専用のVAPとして、AWC-SDFから有効・無効を操作できます。

Note
トリガーによるネットワークの有効・無効の切り替えの際は、無線APの無線通信は停止します。

必要なもの

AWC-Sky Defenderサーバーソフトウェア

AWC-SDFを使用するには、AT-Vista Manager EXをインストールしたAT-VST-VRTに別途AWC-SDFアプリケーションをインストールし、AWCプラグインと連携させる必要があります。
インストールの詳細は、AT-VST-VRT リファレンスマニュアルのインストール手順をご覧ください。
また、AWCプラグインとの連携については、「AWC-SDF導入の流れ」の「AWC-SDFアプリケーションとAWCプラグインの連携」をご覧ください。
正常にAWCプラグインとAWC-SDFが連携している場合、AWCプラグインメニューに「ユーティリティ」グループと「Sky Defender」メニュー、「ユーティリティ設定」が追加されます。また、「ユーティリティ」画面には、「Sky Defender」が登録され、接続状況が「接続済」と表示されます。

Note
AWCプラグイン、またはAWC-SDFの再起動を行った場合、AWCプラグインおよびAWC-SDFの起動タイミングによっては、再起動後、AWCプラグインとAWC-SDFの連携に失敗してしまうことがあります。この場合、ユーティリティ設定画面左下のポーリングボタンをクリックすることで、再度AWCプラグインとの連携を行うことができます。

無線LANコントローラー

AWCプラグインの「リモートモニター」画面に登録された無線LANコントローラー「Vista Manager mini」が必要となります。
AlliedWare Plusバージョン5.5.1-1.1以降のファームウェアが適用された、Vista Manager miniに対応する次の機器をサポートします。

SwitchBlade x908 GEN2
CentreCOM x950シリーズ
CentreCOM x930シリーズ
CentreCOM x550シリーズ
CentreCOM x530シリーズ
AT-AR4050S/AR3050S/AR2050V/AR2010V

各機器に対応した無線LANコントローラーライセンスが適用されている必要があります。また、AWC-CBを使用する場合は、上記に加え無線チャンネルブランケットライセンスが適用されていることが必要となります。これらのライセンスの必要数は、管理する無線APの数によって異なります。
詳しくは、弊社ホームページに掲載されている、該当製品の取扱説明書およびコマンドリファレンスをご覧ください。

無線アクセスポイント

以下の無線APを無線LANコントローラーの管理下にて使用します。

AT-TQ6602 GEN2/6702 GEN2 ファームウェアバージョン 8.0.3-0.1以降
AT-TQ6602 ファームウェアバージョン 7.0.1-2.1以降
AT-TQ(m)5403/5403e ファームウェアバージョン 6.0.1-6.2以降
AT-TQ(m)1402 ファームウェアバージョン 6.0.1-7.1以降

AWCプラグインでは直接管理しません。リモートモニターを使用する場合、AWCプラグイン自体による無線APの直接管理は未サポートとなります。

AWC-SDF導入の流れ

設定は各システムで以下の順に行います。

■ AWC-SDFアプリケーションとAWCプラグインの連携
はじめに、AWCプラグインがAWC-SDFアプリケーションの存在を認識できるよう、連携が必要です。

AT-VST-VRT管理画面にログインします。
「ダッシュボード」、「システム / コンテナサービス」、「AWC-SDF」画面のいずれかにおいて、デプロイ済みアプリケーション一覧から「AWC-SDF」アプリケーションの「開く」ボタンをクリックします。
AWCプラグインの連携画面が表示されます。

Note
AWC-SDFアプリケーションのIPアドレス割り当てにDHCPを使用した場合、「開く」ボタンが表示されないことがあります。この場合は一旦AWC-SDFアプリケーションを停止して、ネットワークの設定を確認してください。
入力フィールドに、AWCプラグイン（Wireless Controllerアプリケーション）のIPアドレスを入力し、「連携」ボタンをクリックします。
各アプリケーションが正常に連携されると、AWC-Sky Defenderのログイン画面が表示されます。

AWCプラグインとAWC-SDFの連携手順は以上です。

Note
連携後、AWC-SDFアプリケーションのIPアドレスを変更する場合は、一旦AWC-SDFアプリケーションを削除して、再度コンテナを作成する必要があります。

■ Vista Manager miniでの設定

無線APを管理下に追加します。
無線APに割り当てるプロファイルには、利用者が通常使用するためのネットワーク（VAP）とは別に、無線APに接続される無線端末のMACアドレスを収集するために使用するネットワーク（以後、「MACアドレス収集用ネットワーク」）が必要となります。
この時点では、通常用ネットワークのみを作成、適用します。この際、ネットワーク＞セキュリティー＞MAC認証にて、「MACフィルター」を選択しておきます。これにより、あとでAWC-SDFの管理下に登録され、アクセスを許可するMACアドレスを選択された際、適切なMACアドレスリストを参照して無線クライアントのアクセスを許可・拒否できるようになります。
詳細な手順はVista Manager miniに対応するAlliedWare Plus機器のリファレンスマニュアルをご覧ください。

Note
Vista Manager miniの設定をCLIから行う場合、プロファイルの説明文（description）の設定を必ず行ってください。

Note
AWC-SDFユーザー 1つに対して、Vista Manager miniのプロファイル、収集用ネットワークの組み合わせが1つ関連付けられます。複数のユーザーで管理を行う場合は、次の手順で複数のMACアドレス収集用ネットワークを作成して、それぞれ別のプロファイルに対して追加してください。
MACアドレス収集用ネットワークを新規に作成します。
MACアドレス収集用ネットワークの有効・無効をAWCプラグインから切り替えるため、Vista Manager miniに無線トリガーを登録し、MACアドレス収集用ネットワークを作成する際に、無線トリガーを適用します。
その後、MACアドレス収集用ネットワークをプロファイルに関連付けて、無線APに適用します。

Note
無線トリガーを設定したネットワークは、各無線バンドの先頭のVAP（Vista Manager miniではVAP0）には設定できません。プロファイルの編集の際、通常時に使用するネットワークを先にクリックしてからMACアドレス収集用ネットワークをクリックしてください。

Note
同じ無線トリガーを設定したネットワークを複数のプロファイルに作成しないでください。

Note
管理状態が「管理中」の無線APの設定を変更すると、設定状態は「変更有」と表示されます。この場合は、該当無線APに対し設定適用を行ってください。

Note
Vista Manager miniの画面では、無線トリガーの有効/無効は操作しないでください。
なお、AWCプラグインから操作できないといったトラブルシューティング時など、一時的に動作の停止が必要な場合は、ご使用に際して弊社技術担当にご相談ください。
RADIUSクライアント機能を設定していない場合は、ダミーのRADIUSサーバーを設定します。
AWC-SDFにこのネットワークを登録する際、MACアドレス収集用ネットワーク（無線トリガーが関連付いたネットワーク）に対して、AWC-SDFよりキャプティブポータル（外部ページ認証）の設定が行われます。
この際、無線APを管理下に置くにあたって、何らかのRADIUSサーバーの登録が必要となるため、事前にダミーのRADIUSサーバーを設定しておきます。実際の通信ではここで指定されるRADIUSサーバーは参照されません。
AlliedWare plus機器のWeb GUIにて、「ネットワークサービス」＞「RADIUSクライアント」ページを表示し、「サーバー追加」ボタンをクリックして、IPアドレス欄にダミー設定としてVista Manager mini自身のIPアドレスを入力します。共有パスワードは任意の文字列を入力してください。

■ AWCプラグインでの設定

対象のVista Manager miniをリモートモニターに登録します。
表示名、管理グループ、IPアドレス、ログインID、ログインパスワードを入力し、「追加」ボタンをクリックします。「ログの受信」は不要です。
登録後「稼働状況」に緑のチェックが表示されていることを確認してください。
Sky Defender画面にて、AWC-SDFのユーザーアカウントを作成します。
作成するユーザーID、パスワードを入力し、手順1で登録したリモートモニターと、Vista Manager miniで設定したプロファイル（AP共通設定）、収集用ネットワーク（無線トリガーを設定したネットワークのSSID）を選択して、「保存」ボタンをクリックします。

Note
複数のユーザーで同じプロファイルの接続管理を行うことは未サポートとなります。

■ AWC-Sky Defender管理画面での設定

作成したユーザーアカウントで管理画面にログインします。
http://（AT-VST-VRTにインストールしたAWC-Sky DefenderアプリケーションのIPアドレスまたはFQDN）:9443/
「デバイス収集」画面から、「機器登録ページ」の設定を行います。「機器登録ページ」は、利用者に公開して無線クライアントのMACアドレスを登録するためのキャプティブポータルです。

機器登録ページにアクセスするためのパスワード（数字4桁）、機器登録ページの有効期限、タイトル、ページに表示する画像、登録に際して一緒に収集する情報のラベル（項目名）、ページ背景のカラーをカスタマイズできます。
「デバイス収集」画面上部の「デバイス収集モード」を有効にし、機器登録ページと手順2.で設定したパスワードを利用者に公開します。

Vista Manager miniで作成したMACアドレス収集用ネットワークに利用者が接続すると、設定したページが表示されます。
利用者は上記のパスワードを入力してログインし、画面表示に従って情報を入力して、MACアドレスとともに登録します。
完了したら、デバイス収集モードを無効にして、MACアドレスの収集を終了します。

Note
デバイス収集モードの有効/無効を切り替える際は、無線APの無線通信は停止します。停止時間は設定量に依存します（通常、基本的な設定のみの場合、1分程度です）。
「デバイス一覧」画面で、収集したMACアドレスおよび情報、収集日時をパネル形式で確認します。
パネルに表示される項目を確認して、「登録を許可」ボタン（チェックアイコン）、「拒否」ボタン（×アイコン）をクリックします。「編集」ボタン（鉛筆アイコン）をクリックして、項目の登録内容を編集することもできます。
登録されたMACアドレス情報を一通り確認し終えたら、「登録」ボタンをクリックします。
「登録」ボタンをクリックすると、接続を許可された無線クライアントのMACアドレスのみが無線APのMACアドレスフィルターに登録されます。
また、前回「登録」ボタンをクリックしてから許可/拒否の状態が変更された無線クライアントがある場合は、「登録」ボタンに●印が表示されます。

Note
無線APにMACアドレスフィルターを適用する際は、無線APの無線通信は停止します。停止時間は設定量に依存します（通常、基本的な設定のみの場合、1分程度です）。

Note
「デバイス一覧」メニューで「拒否」ボタンをクリックした端末や、デバイス一覧に登録のないデバイスは、通信はできません。
「ダッシュボード」画面で、接続を許可した無線クライアントが表示されていることを確認します。

以上で、収集したMACアドレスのうち接続を許可したものだけが、無線APのMACアドレスフィルターに対して、Allow形式（ホワイトリスト形式）で登録されます。