クイックツアー / AMF Security miniによる認証の流れ

AW+のAMFアプリケーションプロキシーの認証

ここでは、AW+のAMFアプリケーションプロキシー構成における端末の認証の流れを説明します。
　
AW+のAMFアプリケーションプロキシーには以下の2点がありますが、端末の認証を行うのはホワイトリスト機能のためAMFアプリケーションプロキシーホワイトリスト機能についての説明になります。

AMFアプリケーションプロキシーホワイトリスト機能
AMFアプリケーションプロキシーブラックリスト機能

AMF Security miniは、管理下のAMFメンバー（エッジノード）からの問い合わせに対して認証を実施しますが、この問い合わせはAMFマスター（プロキシーノード）を経由して行われるためAMF Security miniはAMFマスター（プロキシーノード）と認証（通信）を行う形になります

Note
AMF Security miniとAMFマスター（プロキシーノード）は同一装置上で動作させるため、これらの間での通信は装置内部で行われます。

AMFメンバー（エッジノード）がAMF Security miniに対して問い合わせを行うまでの基本的な流れは以下になります。

AMFメンバー（エッジノード）が端末からパケットを受信する
AMFメンバー（エッジノード）は、端末のパケットの送信元MACアドレスに対して認証が行われているかどうか確認する。認証が成功している端末の場合、AMFメンバー（エッジノード）は該当するVLANに従ってパケットを送信する
端末の認証が行われていない場合、AMFメンバー（エッジノード）はAMFマスター（プロキシーノード）に問い合わせを行うパケットを送信する
AMFマスター（プロキシーノード）はAMFメンバー（エッジノード）から受信した問い合わせのパケットをAMF Security miniに送信する

AMF Security miniはAMFマスター（プロキシーノード）から受信した問い合わせのパケットに記録された端末のMACアドレスに対して認証プロセスの確認を実施し、接続/隔離先のネットワークを決定、または破棄を決定し、その結果をAMF Security miniはAMFマスター（プロキシーノード）に送信します。
　
AMF Security miniの認証プロセスは、大別して、デバイス認証データ、タグ認証データ、未認証グループ、アクションの4つが存在しますが、アクションの認証プロセスはAMFアプリケーションプロキシーの認証では使用されません。

デバイス認証データ
MACアドレスが関連付けられたデバイス ID（デバイス）のセキュリティーポリシー（ポリシー）に基づき、接続先のネットワーク（VLAN）を決定します。

Note
各ポリシーに設定するOpenFlow スイッチ、スイッチポート、「フローの有効期限を無限にします。」の項目は未サポートです。
タグ認証データ
MACアドレスが関連付けられたデバイスのポリシーではなく、タグに設定されたポリシーに基づき、接続先のVLANを決定します。
未認証グループ
デバイス認証データに登録のないMACアドレスに対し、未認証グループに設定されたポリシーに基づき、接続先のVLANを決定します。

端末の認証処理は、デバイス認証データ、タグ認証データ、未認証グループの順に行われます。

例として、デバイス認証データ、未認証グループが登録されているケースの動作を示します。

表 1：デバイス認証データ
デバイス ID：Device_A
MACアドレス	00:00:00:00:00:01
ポリシー	VLAN100

表 2：未認証グループ
グループ ID：Unregistered
ポリシー	VLAN200

MACアドレス「00:00:00:00:00:01」は「デバイス ID : Device_A」のデバイス認証データに合致するため、VLAN100に接続されます。
AMF Security miniに登録されていないMACアドレス「00:00:00:00:00:02」の場合は、登録されているデバイス認証データに合致しないため、未認証グループのVLAN200に接続されます。なお、未認証グループのポリシーにはロケーション、スケジュールが設定されていないため、AMF Security miniに登録されていない端末（MACアドレス）はすべてVLAN200に接続されます。

TQのAMFアプリケーションプロキシーの認証

ここでは、TQのAMFアプリケーションプロキシー構成における無線端末の認証の流れを説明します。

AMF Security miniは、管理下のTQからの問い合わせに対して認証を実施しますが、実際に無線端末が通信可能になるためには「AMFアプリケーションプロキシー（AMF Security mini）による認証」→「VAP（マルチSSID）設定のセキュリティーで設定されている認証」の双方の認証が成功する必要があります。

Note
無線端末が「AMF Security miniによる認証で成功→VAP設定のセキュリティーの認証で失敗」の場合、AMF Security miniの「デバイス」/「接続中デバイス一覧」画面の無線端末の表示は「認証済み」になります。そのため実際の無線端末の状態とAMF Security mini上の表示は一致しません。

無線端末の認証の基本的な流れは以下になります。

TQの無線に無線端末が接続する
TQは、無線端末の送信元MACアドレスに対しての認証状態を確認する。無線端末がAMF Security miniおよびVAP設定のセキュリティーで認証が成功している場合、TQはその無線端末のVLANに従ってパケットを送信する
無線端末が認証済みではない場合、TQはAMF Security miniに問い合わせを行うパケットを送信する
AMF Security miniで認証に成功すると、VAP設定のセキュリティーで設定されている認証が行われる

Note
TQのVAP設定のセキュリティーがWPA エンタープライズの場合、ダイナミック VLANの無効・有効によって無線端末のVLANが異なります。詳細は、クイックツアー「AMF Security miniについて」/「TQとTQRのAMFアプリケーションプロキシー機能」の「TQのダイナミック VLAN使用時の動作」をご参照ください。

AMF Security miniはTQから受信した問い合わせのパケットに記録された無線端末のMACアドレスに対して認証プロセスの確認を実施し、接続/隔離先のネットワークを決定、または破棄を決定し、TQに情報を送信します。

AMF Security miniの認証プロセスは、大別して、デバイス認証データ、タグ認証データ、未認証グループ、アクションの4つが存在します。

デバイス認証データ
MACアドレスが関連付けられたデバイス ID（デバイス）のセキュリティーポリシー（ポリシー）に基づき、接続先のネットワーク（VLAN）を決定します。
タグ認証データ
MACアドレスが関連付けられたデバイスのポリシーではなく、タグに設定されたポリシーに基づき、接続先のVLANを決定します。
未認証グループ
デバイス認証データに登録のないMACアドレスに対し、未認証グループに設定されたポリシーに基づき、接続先のVLANを決定します。

Note
各ポリシーに設定するロケーション、スケジュール、OpenFlow スイッチ、スイッチポート、「フローの有効期限を無限にします。」の項目は未サポートです。
アクション
無線端末のMACアドレス、IPv4アドレス、デバイス、デバイスタグ、接続中ネットワークの条件に一致する無線端末に対し個別に破棄、隔離、または接続先VLANを指定します。連携アプリケーションによるデバイスの隔離・遮断処理と同様のアクションを手動で作成できます。

無線端末の認証処理は、アクション、デバイス認証データ、タグ認証データ、未認証グループの順に行われます。

例として、アクション、デバイス認証データ、未認証グループが登録されているケースの動作を示します。

表 3：アクション
アクション ID：Drop
条件	MACアドレス 00:00:00:00:00:01
OpenFlow/TQ アクション	破棄(遮断)

表 4：デバイス認証データ
デバイス ID：Device_A
MACアドレス	00:00:00:00:00:01
ポリシー	VLAN100
デバイス ID：Device_B
MACアドレス	00:00:00:00:00:02
ポリシー	VLAN101

表 5：未認証グループ
グループ ID：Unregistered
ポリシー	VLAN200

MACアドレス「00:00:00:00:00:01」は「アクション ID：Drop」と「デバイス ID : Device_A」のデバイス認証データの両方に登録されていますが、無線端末の認証処理が最初に行われるアクションの条件に合致して破棄(遮断)が適用されるとデバイス認証データ以降の認証処理は行われません。
MACアドレス「00:00:00:00:00:02」は「デバイス ID : Device_B」のデバイス認証データに合致するため、VLAN101に接続されます。
AMF Security miniに登録されていないMACアドレス「00:00:00:00:00:03」の場合は、登録されているデバイス認証データに合致しないため、未認証グループのVLAN200に接続されます。