クイックツアー / AMF Securityによる認証の流れ

OpenFlowの認証

ここでは、OpenFlow構成における端末の認証の流れを説明します。

AMF Securityは、管理下のOpenFlowスイッチからの問い合わせに対して認証を実施します。
OpenFlowスイッチがAMF Securityに対して問い合わせを行うまでの基本的な流れは以下になります。

OpenFlowスイッチが、端末からパケットを受信する
OpenFlowスイッチは、端末のパケットの送信元MACアドレスに対してのフローエントリーが登録されているか確認する。該当するフローエントリーが存在する場合、OpenFlowスイッチはフローエントリーに従ってパケットを送信する
該当するフローエントリーがない場合、OpenFlowスイッチはAMF Securityに問い合わせを行うパケットを送信する

AMF SecurityはOpenFlowスイッチから受信した問い合わせのパケットに記録された端末のMACアドレスに対して認証プロセスの確認を実施し、接続/隔離先のネットワークを決定、または破棄を決定し、OpenFlowスイッチにフローエントリーを設定します。

AMF Securityの認証プロセスは、大別して、デバイス認証データ、タグ認証データ、未認証グループ、アクションの4つが存在します。

デバイス認証データ
MACアドレスが関連付けられたデバイス ID（デバイス）のセキュリティーポリシー（ポリシー）に基づき、接続先のネットワーク（VLAN）を決定します。
タグ認証データ
MACアドレスが関連付けられたデバイスのポリシーではなく、タグに設定されたポリシーに基づき、接続先のVLANを決定します。
未認証グループ
デバイス認証データに登録のないMACアドレスに対し、未認証グループに設定されたポリシーに基づき、接続先のVLANを決定します。
アクション
端末のMACアドレス、IPv4アドレス、デバイス、デバイスタグ、ロケーション、OpenFlowスイッチ、接続中ネットワークの条件に一致する端末に対し個別に破棄、隔離、または接続先VLANを指定します。連携アプリケーションによる端末の隔離・遮断処理と同様のアクションを手動で作成できます。

端末の認証処理は、アクション、デバイス認証データ、タグ認証データ、未認証グループの順に行われます。

例として、アクション、デバイス認証データ、未認証グループが登録されているケースの動作を示します。

表 1：アクション
アクション ID：Drop
条件	MACアドレス 00:00:00:00:00:01
OpenFlow/TQ アクション	破棄(遮断)

表 2：デバイス認証データ
デバイス ID：Device_A
MACアドレス	00:00:00:00:00:01
ポリシー	VLAN100
デバイス ID：Device_B
MACアドレス	00:00:00:00:00:02
ポリシー	VLAN101

表 3：未認証グループ
グループ ID：Unregistered
ポリシー	VLAN200

MACアドレス「00:00:00:00:00:01」は「アクション ID：Drop」と「デバイス ID : Device_A」のデバイス認証データの両方に登録されていますが、端末の認証処理が最初に行われるアクションの条件に合致して破棄(遮断)が適用されるとデバイス認証データ以降の認証処理は行われません。
MACアドレス「00:00:00:00:00:02」は「デバイス ID : Device_B」のデバイス認証データに合致するため、VLAN101に接続されます。
AMF Securityに登録されていないMACアドレス「00:00:00:00:00:03」の場合は、登録されているデバイス認証データに合致しないため、未認証グループのVLAN200に接続されます。なお、未認証グループのポリシーにはロケーション、スケジュールが設定されていないため、AMF Securityに登録されていない端末（MACアドレス）はすべてVLAN200に接続されます。

AW+のAMFアプリケーションプロキシーの認証

ここでは、AW+のAMFアプリケーションプロキシー構成における端末の認証の流れを説明します。
　
AW+のAMFアプリケーションプロキシーには以下の2点がありますが、端末の認証を行うのはホワイトリスト機能のためAMFアプリケーションプロキシーホワイトリスト機能についての説明になります。

AMFアプリケーションプロキシーホワイトリスト機能
AMFアプリケーションプロキシーブラックリスト機能

AMF Securityは、管理下のAMFメンバー（エッジノード）からの問い合わせに対して認証を実施しますが、この問い合わせはAMFマスター（プロキシーノード）を経由して行われるためAMF SecurityはAMFマスター（プロキシーノード）と認証（通信）を行う形になります
　
AMFメンバー（エッジノード）がAMF Securityに対して問い合わせを行うまでの基本的な流れは以下になります。

AMFメンバー（エッジノード）が端末からパケットを受信する
AMFメンバー（エッジノード）は、端末のパケットの送信元MACアドレスに対して認証が行われているかどうか確認する。認証が成功している端末の場合、AMFメンバー（エッジノード）は該当するVLANに従ってパケットを送信する
端末の認証が行われていない場合、AMFメンバー（エッジノード）はAMFマスター（プロキシーノード）に問い合わせを行うパケットを送信する
AMFマスター（プロキシーノード）はAMFメンバー（エッジノード）から受信した問い合わせのパケットをAMF Securityに送信する

AMF SecurityはAMFマスター（プロキシーノード）から受信した問い合わせのパケットに記録された端末のMACアドレスに対して認証プロセスの確認を実施し、接続/隔離先のネットワークを決定、または破棄を決定し、その結果をAMF SecurityはAMFマスター（プロキシーノード）に送信します。
　
AMF Securityの認証プロセスは、大別して、デバイス認証データ、タグ認証データ、未認証グループ、アクションの4つが存在しますが、アクションの認証プロセスはAMFアプリケーションプロキシーの認証では使用されません。

デバイス認証データ
MACアドレスが関連付けられたデバイス ID（デバイス）のセキュリティーポリシー（ポリシー）に基づき、接続先のネットワーク（VLAN）を決定します。

Note
各ポリシーに設定するOpenFlow スイッチ、スイッチポート、「フローの有効期限を無限にします。」の項目は未サポートです。
タグ認証データ
MACアドレスが関連付けられたデバイスのポリシーではなく、タグに設定されたポリシーに基づき、接続先のVLANを決定します。
未認証グループ
デバイス認証データに登録のないMACアドレスに対し、未認証グループに設定されたポリシーに基づき、接続先のVLANを決定します。

端末の認証処理は、デバイス認証データ、タグ認証データ、未認証グループの順に行われます。

例として、デバイス認証データ、未認証グループが登録されているケースの動作を示します。

表 4：デバイス認証データ
デバイス ID：Device_A
MACアドレス	00:00:00:00:00:01
ポリシー	VLAN100

表 5：未認証グループ
グループ ID：Unregistered
ポリシー	VLAN200

MACアドレス「00:00:00:00:00:01」は「デバイス ID : Device_A」のデバイス認証データに合致するため、VLAN100に接続されます。
AMF Securityに登録されていないMACアドレス「00:00:00:00:00:02」の場合は、登録されているデバイス認証データに合致しないため、未認証グループのVLAN200に接続されます。なお、未認証グループのポリシーにはロケーション、スケジュールが設定されていないため、AMF Securityに登録されていない端末（MACアドレス）はすべてVLAN200に接続されます。

TQのAMFアプリケーションプロキシーの認証

ここでは、TQのAMFアプリケーションプロキシー構成における無線端末の認証の流れを説明します。

AMF Securityは、管理下のTQからの問い合わせに対して認証を実施しますが、実際に無線端末が通信可能になるためには「AMFアプリケーションプロキシー（AMF Security）による認証」→「VAP（マルチSSID）設定のセキュリティーで設定されている認証」の双方の認証が成功する必要があります。

Note
無線端末が「AMF Securityによる認証で成功→VAP設定のセキュリティーの認証で失敗」の場合、AMF Securityの「デバイス」/「接続中デバイス一覧」画面の無線端末の表示は「認証済み」になります。そのため実際の無線端末の状態とAMF Security上の表示は一致しません。

無線端末の認証の基本的な流れは以下になります。

TQの無線に無線端末が接続する
TQは、無線端末の送信元MACアドレスに対しての認証状態を確認する。無線端末がAMF SecurityおよびVAP設定のセキュリティーで認証が成功している場合、TQはその無線端末のVLANに従ってパケットを送信する
無線端末が認証済みではない場合、TQはAMF Securityに問い合わせを行うパケットを送信する
AMF Securityで認証に成功すると、VAP設定のセキュリティーで設定されている認証が行われる

Note
TQのVAP設定のセキュリティーがWPA エンタープライズの場合、ダイナミック VLANの無効・有効によって無線端末のVLANが異なります。詳細は、クイックツアー「AMF Securityについて」/「TQとTQRのAMFアプリケーションプロキシー機能」の「TQのダイナミック VLAN使用時の動作」をご参照ください。

AMF SecurityはTQから受信した問い合わせのパケットに記録された無線端末のMACアドレスに対して認証プロセスの確認を実施し、接続/隔離先のネットワークを決定、または破棄を決定し、TQに情報を送信します。

AMF Securityの認証プロセスは、大別して、デバイス認証データ、タグ認証データ、未認証グループ、アクションの4つが存在します。

デバイス認証データ
MACアドレスが関連付けられたデバイス ID（デバイス）のセキュリティーポリシー（ポリシー）に基づき、接続先のネットワーク（VLAN）を決定します。
タグ認証データ
MACアドレスが関連付けられたデバイスのポリシーではなく、タグに設定されたポリシーに基づき、接続先のVLANを決定します。
未認証グループ
デバイス認証データに登録のないMACアドレスに対し、未認証グループに設定されたポリシーに基づき、接続先のVLANを決定します。

Note
各ポリシーに設定するロケーション、スケジュール、OpenFlow スイッチ、スイッチポート、「フローの有効期限を無限にします。」の項目は未サポートです。
アクション
無線端末のMACアドレス、IPv4アドレス、デバイス、デバイスタグ、接続中ネットワークの条件に一致する無線端末に対し個別に破棄、隔離、または接続先VLANを指定します。連携アプリケーションによるデバイスの隔離・遮断処理と同様のアクションを手動で作成できます。

無線端末の認証処理は、アクション、デバイス認証データ、タグ認証データ、未認証グループの順に行われます。

例として、アクション、デバイス認証データ、未認証グループが登録されているケースの動作を示します。

表 6：アクション
アクション ID：Drop
条件	MACアドレス 00:00:00:00:00:01
OpenFlow/TQ アクション	破棄(遮断)

表 7：デバイス認証データ
デバイス ID：Device_A
MACアドレス	00:00:00:00:00:01
ポリシー	VLAN100
デバイス ID：Device_B
MACアドレス	00:00:00:00:00:02
ポリシー	VLAN101

表 8：未認証グループ
グループ ID：Unregistered
ポリシー	VLAN200

MACアドレス「00:00:00:00:00:01」は「アクション ID：Drop」と「デバイス ID : Device_A」のデバイス認証データの両方に登録されていますが、無線端末の認証処理が最初に行われるアクションの条件に合致して破棄(遮断)が適用されるとデバイス認証データ以降の認証処理は行われません。
MACアドレス「00:00:00:00:00:02」は「デバイス ID : Device_B」のデバイス認証データに合致するため、VLAN101に接続されます。
AMF Securityに登録されていないMACアドレス「00:00:00:00:00:03」の場合は、登録されているデバイス認証データに合致しないため、未認証グループのVLAN200に接続されます。