[index] AMF Security（AT-VST-APL版）リファレンスマニュアル 1.8.1

クイックツアー / 手動によるデバイスの追加

ここでは、AMF Securityによる端末管理の基本となる、手動によるデバイスの登録手順を説明します。
手動によってデバイスを登録する場合は、事前に、登録するデバイスが持つインターフェースのMACアドレスを確認しておく必要があります。

OpenFlowスイッチの登録

1. 「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面に移動します。
   

   

   この時点ではOpenFlowスイッチの個別設定がされていないため、アップストリームポートはOpenFlowポート番号が最も小さいものが選択されています。
   
   
2. 一覧の中のDatapath IDのリンクをクリックし、「スイッチ」/「接続中 OpenFlow スイッチ詳細」画面を表示します。
   

   

   「スイッチ」/「接続中 OpenFlow スイッチ詳細」画面では、選択したOpenFlowスイッチの詳細情報を確認することができます。
   また、OpenFlowスイッチに設定されている各データプレーンポートのOpenFlowポート番号も確認できます。
   
   
3. 画面右上の「戻る」ボタンをクリックして、「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面に移動します。
   

   

   
   
4. AMF Securityに登録する前の時点では、OpenFlowスイッチのスイッチIDは未登録と表示され、「登録」ボタンが表示されます。「登録」ボタンをクリックし、「スイッチ」/「OpenFlow スイッチ追加」画面を表示します。
   

   

   
   
5. スイッチ ID、アップストリームポートに指定したいOpenFlowポート番号またはポート名、備考を設定します。
   

   Note

   データパスIDはOpenFlowスイッチごとに異なる値が設定されるため、変更する必要はありません。

   Note

   所属させるアカウントグループIDは事前に設定が必要です。この章では、アカウントグループIDは設定しません。

   

   ここでは、例として、次の情報を設定します。
   
   表 1：設定データ
   

   項目名	設定する情報	説明
   スイッチ ID（必須項目）	x230-18GT（変更なし）	OpenFlowスイッチの名前です。 既に使用されているスイッチIDを設定することはできません。 スイッチIDは最大255文字で、英数字、記号以外に日本語も使用できます。 ここでは「ハードウェア情報」の「x230-18GT」が自動入力されます。
   Datapath ID（必須項目）	（変更なし）	OpenFlowスイッチのデータパスID（OpenFlowコントローラーが使用する識別子）です。 通常はOpenFlowスイッチのMACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されるため、変更する必要はありません。自動設定されるデータパスIDはOpenFlowスイッチのMACアドレスの先頭にゼロを補完した16桁の16進数になります。 なお、同じデータパスIDは複数登録できません。
   アップストリーム ポート	port1.0.5（変更なし）	OpenFlowスイッチのアップストリームポートを設定します。 アップストリームポートは1つの装置につき1つのみ登録できます。 ポートの指定は、ポート名とOpenFlowポート番号のどちらも使用できます。
   アカウントグループ ID	（設定なし）	OpenFlowスイッチが所属するアカウントグループIDを選択します。
   備考	#1Fスイッチ	このOpenFlowスイッチの追加説明やコメントを記載できます。 備考は最大255文字で、英数字、記号以外に日本語も使用できます。

   Note

   AMF SecurityとOpenFlowスイッチとでデータパスIDが一致していない場合は、OpenFlowポートでのパケット転送が停止します。

   
   
6. 「登録」ボタンをクリックします。
   OpenFlowスイッチが登録されると、新規に追加した情報が「スイッチ」/「OpenFlow スイッチ一覧」画面に表示されます。
   

   

AMFメンバーの登録

1. 「スイッチ」/「接続中 AMF メンバー 一覧」画面に移動します。
   

   

2. AMF Securityに登録する前の時点では、登録状況は未登録と表示され、「登録」ボタンが表示されます。「登録」ボタンをクリックし、「スイッチ」/「AMF メンバー 追加」画面を表示します。
   

   

3. 備考を設定します。
   

   Note

   所属させるアカウントグループIDは事前に設定が必要です。この章では、アカウントグループIDは設定しません。

   

   ここでは、例として、次の情報を設定します。
   
   表 2：設定データ
   

   項目名	設定する情報	説明
   名称（必須項目）	AMF-Member（変更なし）	AMFメンバーの名称です。 「スイッチ」/「OpenFlow スイッチ一覧」画面および「スイッチ」/「AMF メンバー 一覧」画面で、既に使用されているスイッチIDと名称を設定することはできません。 名称は最大255文字で、使用可能な文字は半角英数字とハイフン（-）、アンダースコア（_）のみです。
   アカウントグループ ID	（設定なし）	AMFメンバーが所属するアカウントグループIDを選択します。
   備考	#1Fスイッチ	AMFメンバーの追加説明やコメントを記載できます。 備考は最大255文字で、英数字、記号以外に日本語も使用できます。

   Note

   AMFメンバーの管理はAMFメンバーのホスト名で行うため、名称はAMFメンバーのホスト名と同一にしてください。

   
   
4. 「登録」ボタンをクリックします。
   AMFメンバーが登録されると、新規に追加した情報が「スイッチ」/「AMF メンバー 一覧」画面に表示されます。
   

   

ネットワークの登録

1. 「ポリシー設定」/「ネットワーク一覧」画面に移動します。
   

   

   この画面には、AMF Securityに登録されているネットワークの一覧が表示されます。この時点ではネットワークは登録されていません。
   
   
2. 「ポリシー設定」/「ネットワーク一覧」画面の右上の「ネットワーク追加」ボタンをクリックし、「ポリシー設定」/「ネットワーク追加」画面に移動します。
   

   

   この画面では、ネットワークの名前となるネットワークIDと、ネットワークに割り当てるVLAN IDが設定できます。
   接続先ネットワークを設定することにより、接続許可デバイスが接続されるVLANセグメントを制御できます。VLANセグメントへの接続制御は、接続許可デバイスが送信したパケットにVLANタグを付加することにより実現します。
   
   
3. 登録するネットワークの情報を入力します。
   

   

   ここでは、ネットワーク「営業部」を登録する例として、次の情報を入力します。
   
   表 3：設定データ
   

   項目名	設定する情報	説明
   ネットワーク ID（必須項目）	営業部	ネットワークの名称です。 既に使用されているネットワークIDを設定することはできません。 ネットワークIDは最大255文字で、英数字、記号以外に日本語も使用できます。
   VLAN ID（必須項目）	123	ネットワークのVLAN IDを設定します。既に登録済みのVLAN IDを別のネットワークに割り当てることはできません。 VLAN IDに0を設定するとVLANタグを付与しません。これはネットワーク設定を行わない状態と同じ動作になります。 VLAN IDの設定範囲は0～4094です。
   備考	営業ネットワーク	このネットワークの追加説明やコメントを記載できます。 備考は最大255文字で、英数字、記号以外に日本語も使用できます。

   
   
4. 「登録」ボタンをクリックします。
   ネットワークが登録されると、新規に追加した情報が「ポリシー設定」/「ネットワーク一覧」画面に表示されます。
   

   

ロケーションの登録

1. 「ポリシー設定」/「ロケーション一覧」画面に移動します。
   

   

   この画面には、AMF Securityに登録されているロケーションの一覧が表示されます。この時点ではロケーションは登録されていません。
   
   
2. 「ポリシー設定」/「ロケーション一覧」画面の右上の「ロケーション追加」ボタンをクリックし、「ポリシー設定」/「ロケーション追加」画面に移動します。
   

   

   ロケーションには、その名前となるロケーションIDと、そのロケーションに設置されているAMFメンバーを選択し、登録することができます。
   ロケーションを設定することにより、デバイスが接続可能なAMFメンバーを、オフィスのフロアや会議室など場所単位で制御することができます。
   
   
3. 登録するロケーションの情報を入力します。
   

   

   ここでは、ロケーション「1F」を登録する例として、次の情報を入力します。
   
   表 4：設定データ
   

   項目名	設定する情報	説明
   ロケーション ID（必須項目）	1F	ロケーションの名称です。 既に使用されているロケーションIDを設定することはできません。 ロケーションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
   備考	1Fエリア	このロケーションの追加説明やコメントを記載できます。 備考は最大255文字で、英数字、記号以外に日本語も使用できます。

   
   
4. 「OpenFlow スイッチ / AMF メンバー」の「選択」ボタンをクリックします。
   「ポリシー設定」/「OpenFlowスイッチ / AMFメンバー」ダイアログに、先ほどの「AMFメンバーの登録」の手順で登録したAMFメンバーが一覧表示されます。
   既に登録されている「AMF-Member」が、物理的なロケーション「1F」に設置されているものとして、「AMF-Member」の行の左端にあるチェックボックスにチェックを入れます。
   

   

   
   
5. ダイアログ下部の「登録」ボタンをクリックします。
   「ポリシー設定」/「ロケーション追加」画面の「OpenFlow スイッチ / AMF メンバー」に、選択された「AMF-Member」が表示されます。
   

   

   
   
6. 「登録」ボタンをクリックします。
   ロケーションが登録されると、新規に追加した情報が「ポリシー設定」/「ロケーション一覧」画面に表示されます。
   

   

スケジュールの登録

1. 「ポリシー設定」/「スケジュール一覧」画面に移動します。
   

   

   この画面には、AMF Securityに登録されているスケジュールの一覧が表示されます。この時点ではスケジュールは登録されていません。
   
   
2. 「ポリシー設定」/「スケジュール一覧」画面の右上の「スケジュール追加」ボタンをクリックし、「ポリシー設定」/「スケジュール追加」画面に移動します。
   

   

   スケジュールを設定することにより、デバイスが接続可能な期間を制御することができます。開始日時、終了日時を設定しない場合、制限がないものとして扱われます。
   
   
3. 登録するスケジュールの情報を入力します。
   

   

   ここでは、スケジュール「3月イベント」を登録する例として、次の情報を入力します。
   
   表 5：設定データ
   

   項目名	設定する情報	説明
   スケジュール ID（必須項目）	3月イベント	スケジュールの名称です。 既に使用されているスケジュールIDを設定することはできません。 スケジュールIDは最大255文字で、英数字、記号以外に日本語も使用できます。
   開始日時	2020-03-01 00:00:00	デバイスがネットワークに接続可能になる日時を設定します。 カレンダーコントロールからの入力、または手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
   終了日時	（空欄）	デバイスがネットワークに接続不可能になる日時を設定します。 カレンダーコントロールからの入力、または手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
   備考	3月営業会議	このスケジュールの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

   終了日時が設定されていない場合、このスケジュールは、開始日時以降、無期限に有効となります。
   
   
4. 「登録」ボタンをクリックします。
   スケジュールが登録されると、新規に追加した情報が「ポリシー設定」/「スケジュール一覧」画面に表示されます。
   

   

デバイスの登録

Note

セキュリティーポリシーを空欄にしたままデバイスを登録すると、デバイスは一時的にタグなしVLANに接続されます。既に利用者に配備済みのデバイスを登録する場合は、本ページに記載するように、デバイス情報の入力からセキュリティーポリシーの適用までを、一度に設定することをおすすめします。

1. 「デバイス」/「デバイス一覧」画面に移動します。
   

   

   この画面には、AMF Securityに登録されているデバイスの一覧が表示されます。この時点ではデバイスは登録されていません。
   
   
2. 「デバイス」/「デバイス一覧」画面の右上の「デバイス追加」ボタンをクリックし、「デバイス」/「デバイス追加」画面に移動します。
   

   

   この画面では、新規デバイスのデバイスID、そして必要な場合にはタグと備考を登録することができます。
   
   
3. 登録するデバイスの情報を入力します。
   

   

   ここでは、例として、次の情報を入力します。
   
   表 6：設定データ
   

   項目名	設定する情報	説明
   デバイス ID（必須項目）	Device_1	AMF Securityに登録するデバイスのIDです。 既に使用されているデバイスIDを設定することはできません。 デバイスIDは最大255文字で、英数字、記号以外に日本語も使用できます。
   タグ	User_A	デバイスIDとは別に、管理者がデバイスを識別しやすくするための名前として、タグを入力します（デバイスの利用者の名前など）。 タグは最大255文字で、英数字、記号以外に日本語も使用できます。
   備考	営業部所属	登録するデバイスに対して追加の説明やコメントがある場合に登録します。 備考は最大255文字で、英数字、記号以外に日本語も使用できます。

   
   
4. デバイスが持つインターフェースのMACアドレスを登録します。AMF Securityは、登録されていないMACアドレスからのネットワーク接続をすべて拒否します。
   「インターフェース」欄の「追加」ボタンをクリックして、「デバイス」/「インターフェース編集」ダイアログを表示します。
   

   

   Note

   登録されていないデバイスに対して一時利用を許可するVLANセグメントを設定することもできます。この場合、別途「グループ」/「未認証グループ追加」画面で未認証グループの設定を行う必要があります。

   
   
5. インターフェースのMACアドレスと名称を登録します。
   

   

   
   
6. 「登録」ボタンをクリックします。
   「デバイス」/「デバイス追加」画面の「インターフェース」一覧に、設定したインターフェースのMACアドレスが表示されます。
   

   

   
   
7. デバイスにセキュリティーポリシーを適用します。
   「ポリシー」欄の「追加」ボタンをクリックして、「デバイス」/「ポリシー編集」ダイアログを表示します。
   

   

   各デバイスには、接続が許可されるネットワーク、ロケーション（場所）、スケジュール（期間）といったセキュリティーポリシーを設定します。
   セキュリティーポリシーを設定しない場合、そのユーザーが所有するデバイスは、タグなしVLAN（VLANなしのネットワーク）に対し、すべての場所から常に接続可能になります。
   

   Note

   AMFメンバーに設定されているVLANにアクセス可能な場合、スイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。

   
   
8. セキュリティーポリシーの優先度を0～255の数字で入力します。
   複数のセキュリティーポリシーが設定されている場合は、最も優先度の値が小さいセキュリティーポリシーから順に一致するかどうかの判定が行われます。
   この例では、セキュリティーポリシーの優先度を10に設定します。
   
   
9. 「ネットワーク」、「ロケーション」、「スケジュール」のドロップダウンリストに、先ほど登録した情報が一覧されています。ドロップダウンリストから、対象デバイスに割り当てるセキュリティーポリシーを選択します。
   ドロップダウンリストには、登録されたネットワーク、ロケーション、スケジュールのうち100件までが表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列を含むセキュリティーポリシーが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から対象とするセキュリティーポリシーをクリックします。
   この例では、ロケーション「1F」から、スケジュール「3月イベント」を満たす日時にアクセスした場合、ネットワーク「営業部」への接続が許可されます。
   この時点で、ネットワーク、ロケーション、スケジュールとも、1件ずつしか登録されていないため絞り込みは不要です。それぞれのドロップダウンリストに表示されたセキュリティーポリシーをクリックして選択します。
   

   

   
   
10. ダイアログ下部の「登録」ボタンをクリックします。
    「デバイス」/「デバイス一覧」画面の「ポリシー」一覧に、設定したセキュリティーポリシーが表示されます。
    

    

    
    
11. 「登録」ボタンをクリックします。
    デバイスが登録されると、新規に追加した情報が「デバイス」/「デバイス一覧」画面に表示されます。
    

    

(C) 2020 アライドテレシスホールディングス株式会社

PN: 613-002874 Rev.B