クイックツアー/未認証グループによるゲストネットワークの提供

未認証グループとは
未認証グループの追加
AMFメンバーの登録
ネットワークの登録
ロケーションの登録
スケジュールの登録
未認証グループの登録

ここでは、AMF Security miniに登録されていないデバイスに対して、特定のセキュリティーポリシーに従って、部分的なネットワークの利用を許可する方法を説明します。
AMF Security miniに登録されていないデバイスに対してネットワークサービスを提供するには、未認証グループを設定します。


未認証グループとは

通常の認証に失敗したデバイスのうち、特定のロケーションおよびスケジュール条件に一致するものを未認証グループと呼び、専用のネットワークに接続します。

通常の認証に失敗したデバイスとは、次のようなものを指します。

未認証グループをネットワークに接続するにあたって、接続を許可するロケーションやスケジュールを設定することができます。
ロケーションとスケジュールの両方が設定されている場合は、両方の条件を満たすデバイスのみが専用ネットワークに接続できます。

デバイスが未認証グループとしてネットワークに接続している状態で、認証済みデバイスとしてのセキュリティーポリシーを満たす状態(スケジュールの開始時刻になるなど)になった場合、認証済みデバイスのネットワークに自動的に切り替わります。


未認証グループの追加

ここでは、クイックツアー「手動によるデバイスの追加」/「AMFメンバーの登録」の手順に従った後、AMFメンバーとして「AMF-Member_2」を追加し、所定の期間中にこのAMFメンバーを介して接続したデバイスに対して、ゲストネットワークを提供する例を考えます。

AMFメンバーの登録

AMFメンバーとしてホスト名「AMF-Member_2」を登録します。
  1. スイッチ」/「接続中 AMF メンバー 一覧」画面に移動します。

  2. AMF Security miniに登録する前の時点では、登録状況は未登録と表示され、「登録」ボタンが表示されます。
    名称に「AMF-Member_2」と表示されたAMFメンバーの登録状況欄の「登録」ボタンをクリックし、「スイッチ」/「AMF メンバー 追加」画面を表示します。

  3. 備考を設定します。

    ここでは、例として、次の情報を設定します。

    表 1:設定データ
    項目名
    設定する情報
    説明
    名称(必須項目) AMF-Member_2(変更なし) AMFメンバーの名称です。
    スイッチ」/「AMF メンバー 一覧」画面で、既に使用されている名称を設定することはできません。
    名称は最大255文字で、使用可能な文字は半角英数字とハイフン(-)、アンダースコア(_)のみです。
    備考 #1Fスイッチ AMFメンバーの追加説明やコメントを記載できます。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。

    Note
    AMFメンバーの管理はAMFメンバーのホスト名で行うため、名称はAMFメンバーのホスト名と同一にしてください。

  4. 「登録」ボタンをクリックします。
    AMFメンバーが登録されると、新規に追加した情報が「スイッチ」/「AMF メンバー 一覧」画面に表示されます。




ネットワークの登録

ゲストネットワークを他の業務ネットワークから切り離すため、ゲストネットワーク用のネットワークを登録します。

  1. ポリシー設定」/「ネットワーク一覧」画面に移動します。

    この画面には、AMF Security miniに登録されているネットワークの一覧が表示されます。
    この時点ではネットワーク「営業部」(vlan123)が登録されています。

  2. ポリシー設定」/「ネットワーク一覧」画面の右上の「ネットワーク追加」ボタンをクリックし、「ポリシー設定」/「ネットワーク追加」画面に移動します。

    この画面では、ネットワークの名前となるネットワークIDと、ネットワークに割り当てるVLAN IDが設定できます。
    接続先ネットワークを設定することにより、接続許可デバイスが接続されるVLANセグメントを制御できます。VLANセグメントへの接続制御は、接続許可デバイスが送信したパケットにVLANタグを付加することにより実現します。

  3. 登録するネットワークの情報を入力します。

    ここでは、ネットワーク「ゲストネットワーク」を登録する例として、次の情報を入力します。

    表 2:設定データ
    項目名
    設定する情報
    説明
    ネットワーク ID(必須項目) 来客用 ネットワークの名称です。
    既に使用されているネットワークIDを設定することはできません。
    ネットワークIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    VLAN ID(必須項目) 30 ネットワークのVLAN IDを設定します。既に登録済みのVLAN IDを別のネットワークに割り当てることはできません。
    VLAN IDに0を設定するとVLANタグを付与しません。これはネットワーク設定を行わない状態と同じ動作になります。
    VLAN IDの設定範囲は0~4094です。
    備考 ゲストネットワーク このネットワークの追加説明やコメントを記載できます。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。


  4. 「登録」ボタンをクリックします。
    ネットワークが登録されると、新規に追加した情報が「ポリシー設定」/「ネットワーク一覧」画面に表示されます。


ロケーションの登録

AMFメンバーを設置しているロケーションを設定します。
ロケーションは、「ポリシー設定」/「ロケーション追加」画面から登録することができます。
今回は、新規ロケーション「1Fカンファレンスルーム」に対して、AMFメンバー「AMF-Member_2」を追加します。

  1. ポリシー設定」/「ロケーション一覧」画面に移動します。

    この画面には、AMF Security miniに登録されているロケーションの一覧が表示されます。この時点ではロケーション「1F」のみが登録されています。

  2. ポリシー設定」/「ロケーション一覧」画面の右上の「ロケーション追加」ボタンをクリックし、「ポリシー設定」/「ロケーション追加」画面に移動します。


  3. 登録するロケーションの情報を入力します。

    ここでは、ロケーション「1Fカンファレンスルーム」を登録する例として、次の情報を入力します。

    表 3:設定データ
    項目名
    設定する情報
    説明
    ロケーション ID(必須項目) 1Fカンファレンスルーム ロケーションの名称です。
    既に使用されているロケーションIDを設定することはできません。
    ロケーションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    備考 1Fカンファレンスルーム このロケーションの追加説明やコメントを記載できます。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。


  4. 「OpenFlow スイッチ / AMF メンバー」の「選択」ボタンをクリックします。
    ポリシー設定」/「OpenFlowスイッチ / AMFメンバー」ダイアログに、登録済みのAMFメンバー「AMF-Member_2」が一覧表示されます。
    このうち「AMF-Member_2」が物理的なロケーション「1Fカンファレンスルーム」に設置されているものとして、「AMF-Member_2」の行の左端にあるチェックボックスにチェックを入れます。


  5. ダイアログ下部の「登録」ボタンをクリックします。
    ポリシー設定」/「ロケーション追加」画面の「OpenFlow スイッチ / AMF メンバー」に、選択された「AMF-Member_2」が表示されます。


  6. 「登録」ボタンをクリックします。
    ロケーションが登録されると、新規に追加した情報が「ポリシー設定」/「ロケーション一覧」画面に表示されます。


スケジュールの登録

ゲストネットワークを提供する期間をスケジュールとして登録します。スケジュールを指定することで、この期間に限り、AMF Security miniのデバイス認証データに登録のないMACアドレスからの接続を許可することができます。
  1. ポリシー設定」/「スケジュール一覧」画面に移動します。

    この画面には、AMF Security miniに登録されているスケジュールの一覧が表示されます。
    この時点ではスケジュール「3月イベント」が登録されています。

  2. ポリシー設定」/「スケジュール一覧」画面の右上の「スケジュール追加」ボタンをクリックし、「ポリシー設定」/「スケジュール追加」画面に移動します。

    スケジュールを設定することにより、デバイスが接続可能な期間を制御することができます。開始日時、終了日時を設定しない場合、制限がないものとして扱われます。

  3. 登録するスケジュールの情報を入力します。

    ここでは、スケジュール「10月イベント」を登録する例として、次の情報を入力します。

    表 4:設定データ
    項目名
    設定する情報
    説明
    スケジュール ID(必須項目) 10月イベント スケジュールの名称です。
    既に使用されているスケジュールIDを設定することはできません。
    スケジュールIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    開始日時 2020-10-10 00:00:00 デバイスがネットワークに接続可能になる日時を設定します。
    カレンダーコントロールからの入力、または手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
    終了日時 2020-10-31 00:00:00 デバイスがネットワークに接続不可能になる日時を設定します。
    カレンダーコントロールからの入力、または手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
    備考 (空欄) このスケジュールの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。


  4. 「登録」ボタンをクリックします。
    スケジュールが登録されると、新規に追加した情報が「ポリシー設定」/「スケジュール一覧」画面に表示されます。


未認証グループの登録

設定したセキュリティーポリシーに基づき、未認証グループを作成します。

  1. グループ」/「未認証グループ一覧」画面を表示します。


  2. 画面右上の「未認証グループ追加」ボタンをクリックし、「グループ」/「未認証グループ追加」画面を表示します。


  3. 「有効」チェックボックスにチェックが付いていることを確認します。

  4. 未認証グループのグループID、備考を入力します。
    この例では、グループIDを「イベント来場者用」とし、備考は空欄とします。


  5. 「端末の検出のみを行います。」チェックボックスにチェックが付いていないことを確認します。
    「端末の検出のみを行います。」チェックボックスにチェックが付いていると、未認証グループのセキュリティーポリシーに一致したMACアドレスは検出のみを行われ、ネットワークに接続するためのフローは作成されません。

  6. ポリシーの「追加」ボタンをクリックして、「グループ」/「ポリシー編集」ダイアログを表示します。


  7. セキュリティーポリシーの優先度を設定します。
    ここでは、優先度を「30」に設定します。

  8. 未認証グループに適用するネットワークを設定します。
    ここでは、ネットワークに「来客用」を指定します。

  9. デバイスの検出条件となるセキュリティーポリシーを設定します。
    ここでは、ロケーションに「1Fカンファレンスルーム」を、スケジュールに「10月イベント」を指定します。


  10. 「登録」ボタンをクリックして、「グループ」/「未認証グループ追加」画面に戻ります。
    グループ」/「未認証グループ追加」画面のポリシー欄に、ただ今作成したセキュリティーポリシーが表示されます。


  11. 「登録」ボタンをクリックして、「グループ」/「未認証グループ一覧」画面に戻ります。
    以上の設定で、AMF Security miniのデバイス認証データに登録されていないMACアドレスのうち、スケジュールに指定された2020/10/10~2020/10/31の間に「1Fカンファレンスルーム」の「AMF-Member_2」に接続したものを、未認証グループ「イベント来場者用」として、ネットワーク「来客用」(vlan30)に接続するようになります。


  12. 未認証グループに接続しているデバイスを確認するには、「デバイス」/「接続中 デバイス一覧」画面を表示します。
    AMF Security mini管理下のAMFメンバーに接続しているデバイスのMACアドレスが一覧表示されます。
    デバイスID欄には「group=イベント来場者用」が、接続中ネットワーク欄には「vlan=30 id=来客用」が表示されるようになります。また、状況欄には「認証済み」が表示されます。


(C) 2020 アライドテレシスホールディングス株式会社

PN: 613-002847 Rev.A