クイックツアー / 概要

ここでは、AMFネットワークを本製品の管理下に登録する手順を説明します。
AMFネットワークの登録は、AVM EXをコンピューターにインストール後、初めてログインする際に行う、初期設定画面で行います。
簡便のため、次の構成を例にします。AMFネットワーク自体は、事前に構築が済んでいるものとします。

表 1：構成例
機器・アプリケーション名		IPアドレス	説明
AT-VST-APL		192.168.1.1
	AMF Securityアプリケーション	192.168.1.2	（本クイックツアーでは関与しません）
	Vista Managerアプリケーション	192.168.1.3	AVM EXサーバーとして動作。
	AMF Cloudアプリケーション	192.168.1.4	AMFマスターとして動作。権限レベル15（特権レベル）ユーザーのユーザーID：manager 権限レベル15（特権レベル）ユーザーのパスワード：friend
	Wireless Managerアプリケーション	192.168.1.5	AWCプラグインサーバーとして動作
	SNMP Plug-inアプリケーション	192.168.1.6	SNMPプラグインサーバーとして動作

AMF機器の準備

AMFネットワークの監視を行う場合は、AVM EXによる管理を受け付けるよう、AMF機器に次の設定を行ってください。

AMFコントローラー（存在する場合）とすべてのAMFマスターで「atmf topology-gui enable」コマンドを有効にします。

Note
AMFコントローラーでは自動的に「atmf topology-gui enable」コマンドが有効になります。
すべてのAMFノードで「service http」コマンドを有効にします。
この設定は、スイッチではデフォルトで有効、ルーターではデフォルトで無効となっています。

Note
AMF Cloud（AT-VST-APL版）、AMF Cloud（AT-VST-VRT版）では、スタートアップコンフィグなしで起動した場合に自動で「atmf topology-gui enable」コマンドと「service http」コマンドが有効になります。
AMFコントローラー（存在する場合）とすべてのAMFマスターがAVM EXをインストールしたPCと通信できるようにIPの設定を行います。
すべてのAMFノードに共通の、権限レベル15（特権レベル）のユーザーアカウントを設定します。
このアカウントはAVM EXからのアクセスに使用されます。

Note
AMFコントローラー（存在しない場合はAMFマスター）にて、事前にAVM EXからの管理用の権限レベル15のユーザーアカウントを作成し、AMFコントローラーまたはマスターのコンソール接続に使用するユーザーアカウントと分けることをお勧めします。
AMFコントローラーまたはマスターのコンソール接続に使用するユーザーアカウントをAVM EXからの管理に共用する場合は、AMFコントローラーまたはマスターのログイン失敗時のロックアウト時間（aaa local authentication attempts lockout-timeコマンド）を5分未満、またはロックアウトを使用しないように設定してください。
AMFコントローラーまたはマスターのログイン失敗時のロックアウト時間が5分以上に設定されており、かつ、AMFコントローラーまたはマスターのCLI接続用アカウントをAVM EXからの管理に共用すると、AMFコントローラーまたはマスターへのログインに連続して失敗しアカウントがロックアウトされた場合に、AVM EXからAMFネットワークの状態が取得できないうえ、AVM EXからのトポロジー更新により継続的にロックアウトのタイマーが更新され、該当のユーザーがログインできないままになります。

Note
AlliedWare Plus ファームウェアバージョン 5.4.7-2.x以降では、AVM EXの認証に電子証明書を用いたTLSクライアント証明書認証を使用することで、AMFデバイス側でのユーザー名、パスワード一本化が不要になります。詳しくは「TLSクライアント証明書認証」をご覧ください。

Note
AVM EXで登録するユーザー名とパスワードを変更する場合は、AVM EXの初期化が必要です。
AMFノードからのsyslogメッセージをAVM EXのsyslogサーバーで受信する場合は、AMFデバイス側で「log」コマンドのhostパラメーターを使用してsyslogサーバーを指定します。
また、「log date-format」コマンドでログの日時フォーマットを iso（ISO 8601形式）に設定します。
なお、「log」コマンドのhostパラメーター使用時は、「log event-host atmf-topology-event」コマンドは併用できません。

AMF機器側での準備は以上です。
AVM EXによりAMFネットワークを管理されることで、次のように設定が自動で追加されることがあります。

AVM EX側でトラフィックマップの表示やSD-WAN機能を使用した際、AMFデバイス側では、AMF接続ポートのランニングコンフィグに「rmon collection history」が追加されます。本設定はトラフィック情報を収集するためのものですので、無効にしないでください。
AVM EXからAT-AR2010V/AT-AR2050V/AT-AR3050S/AT-AR4050S/AT-AR4050S-5Gに対してWANトラフィックシェーピングの設定を行った場合、次のような設定が自動的に追加されます。
```
traffic-control controller vista
 interface eth1 dynamic-virtual-bandwidth controller vista initial 10mbit
```
本設定が行われている場合、CLI上でトラフィックコントロールモードに移行すると、外部コントローラー（AVM EX）から制御されていることを示すWarningメッセージが表示されます。なお、AVM EXからの設定内容は下記のコマンドで確認できます。
```
show running-config traffic-control dynamic
```

AMF対応機器への具体的な設定については各機器のコマンドリファレンスをご参照ください。

TLSクライアント証明書認証

AlliedWare Plus ファームウェアバージョン 5.4.7-2.x以降では、AVM EXの認証に電子証明書を用いたTLSクライアント証明書認証を使用することで、AMFノード側でのユーザー名、パスワード一本化が不要になります。

Note
AVM EX側でもTLSクライアント証明書認証を使用するよう設定する必要があります。

TLSクライアント証明書認証はデフォルト無効です。同認証を有効にするには、AMFコントローラー（存在しない場合はAMFマスター）でローカルCAを作成し、atmf trustpointコマンドでローカルCA名（トラストポイント名）を指定します。

以下、AMFコントローラー（またはAMFマスター）側でTLSクライアント証明書認証を有効にするための設定手順を説明します。
なお、ローカルCA機能の詳細については、お使いのAlliedWare Plus コマンドリファレンスの「運用・管理」/「ローカルCA」をご参照ください。

ローカルCAを作成します。
本機能で使用するローカルCAの名前は「local」「default-selfsigned」以外にする必要があります。
ここでは例として「vista-ca」という名前のローカルCAを作成するものとします。
これには、crypto pki trustpoint、enrollment、crypto pki authenticateコマンドを使います。
```
awplus(config)# crypto pki trustpoint vista-ca ↓
Created trustpoint "vista-ca".
awplus(ca-trustpoint)# enrollment selfsigned ↓
awplus(ca-trustpoint)# end ↓
awplus# crypto pki authenticate vista-ca ↓
Generating 2048-bit key for local CA...
Successfully authenticated trustpoint "vista-ca".
```

前の手順で作成したローカルCA「vista-ca」から本製品のサーバー証明書を発行します。
これには、rsakeypair、crypto pki enrollコマンドを使います。
ここでは例として本製品の公開鍵ペアに「amf-server-key」という名前を付けています。

awplus# configure terminal ↓
Enter configuration commands, one per line.  End with CNTL/Z.
awplus(config)# crypto pki trustpoint vista-ca ↓
awplus(ca-trustpoint)# rsakeypair amf-server-key ↓
awplus(ca-trustpoint)# end ↓
awplus# crypto pki enroll vista-ca ↓
Generating 2048-bit key "amf-server-key"...
Successfully enrolled the local server.

AMFにおけるTLSクライアント証明書認証を有効にします。
これには、atmf trustpointコマンドで使用するローカルCA名を指定します。
前述のとおり、同コマンドで指定するローカルCAは「local」「default-selfsigned」以外の名前でなくてはなりません。
```
awplus# configure terminal ↓
Enter configuration commands, one per line.  End with CNTL/Z.
awplus(config)# atmf trustpoint vista-ca ↓
```

AMFコントローラー（またはAMFマスター）側の設定は以上です。
あとは、AVM EX側でもTLSクライアント証明書認証を有効にしてください。