[index] AT-SecureEnterpriseSDN Controller リファレンスマニュアル 1.2.0

クイックツアー/セキュリティーポリシーの適用


  - OpenFlowスイッチの登録
  - ネットワークの登録
  - ロケーションの登録
  - スケジュールの登録
  - ユーザーの登録
  - セキュリティーポリシーの適用
  - クライアントデバイスの登録


 

OpenFlowスイッチの登録

AT-SESCに接続中のOpenFlowスイッチの状況は、「OpenFlowスイッチ」/「OpenFlowスイッチ接続状況」画面で確認できます。
  1. OpenFlowスイッチ」/「OpenFlowスイッチ接続状況」画面に移動します。

    この時点ではOpenFlowスイッチの個別設定がされていないため、アップストリームポートはOpenFlowポート番号が最も小さいものが選択されています。

  2. 一覧の中のDatapath IDのリンクをクリックし、「OpenFlowスイッチ」/「接続中OpenFlowスイッチ」画面を表示します。

    OpenFlowスイッチ」/「接続中OpenFlowスイッチ」画面では、選択したOpenFlowスイッチの詳細情報を確認することができます。
    また、OpenFlowスイッチに設定されている各データプレーンポートのOpenFlowポート番号も確認できます。

  3. 画面右上の「戻る」ボタンをクリックして、「OpenFlowスイッチ」/「OpenFlowスイッチ接続状況」画面に移動します。


  4. AT-SESCに登録するOpenFlowスイッチの行の右端の「登録」ボタンをクリックし、「OpenFlowスイッチ」/「OpenFlowスイッチ新規追加」画面を表示します。


  5. AT-SESCでの管理上の名前、アップストリームポートに指定したいOpenFlowポート番号またはポート名、備考を設定します。
    Note - Datapath IDはOpenFlowスイッチごとに異なる値が設定されるため、変更する必要はありません。

    ここでは、例として、以下の情報を設定します。

    表 1:設定データ
    項目名
    設定する情報
    説明
    名前(必須項目) x510-28GTX OpenFlowスイッチの名前です。
    名前は、最大文字数は64文字で、英数字、記号以外に日本語も使用できます。
    Datapath ID(必須項目) (変更なし) OpenFlowスイッチのDatapath ID(OpenFlowコントローラーが使用する識別子)です。
    デバイスのMACアドレスを設定します。同じDatapath IDの複数登録はできません。
    指定されたDatapath IDは、先頭にゼロを補完した16桁の16進数になります。
    アップストリームポート port1.0.11(変更なし) OpenFlowスイッチのアップストリームポートを設定します。
    アップストリームポートは1つの装置につき1つのみ登録できます。
    ポートの指定は、ポート名とOpenFlowポート番号のどちらも使用できます。
    備考 #1Fスイッチ このOpenFlowスイッチの追加説明やコメントを記載できます。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。


  6. 「登録」ボタンを押します。
    OpenFlowスイッチが登録されると、新規に追加した情報が「OpenFlowスイッチ」/「OpenFlowスイッチ接続状況」画面に表示されます。

 

ネットワークの登録

接続先となるネットワークは、「ポリシー設定」/「ネットワーク新規追加」画面で登録することができます。
  1. ポリシー設定」/「ネットワーク新規追加」画面に移動します。

    この画面では、ネットワークの名前となるネットワークIDと、ネットワークに割り当てるVLAN IDが設定できます。
    接続先ネットワークを設定することにより接続許可デバイスが接続されるVLANセグメントを制御できます。VLANセグメントへの接続制御は、接続許可デバイスが送信したパケットにVLANタグを付加することにより実現します。

  2. 登録するネットワークの情報を入力します。

    ここでは、ネットワーク「営業部」を登録する例として、次の情報を入力します。

    表 2:設定データ
    項目名
    設定する情報
    説明
    ネットワークID(必須項目) 営業部 ネットワークの名称です。
    別のネットワークに同じネットワークIDを使用することはできません。
    IDは最大文字数は64文字で、英数字、記号以外に日本語も使用できます。
    VLAN ID(必須項目) 123 ネットワークのVLAN IDを設定します。既に登録済みのVLAN IDを別のネットワークに割り当てることはできません。
    VLAN IDに0を設定するとVLANタグを付与しません。これはネットワーク設定を行わない状態と同じ動作になります。
    VLAN IDの設定範囲は0〜4094です。
    備考 営業ネットワーク このネットワークの追加説明やコメントを記載できます。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。


  3. 「登録」ボタンを押します。
    ネットワークが登録されると、新規に追加した情報が「ポリシー設定」/「ネットワーク一覧」画面に表示されます。

 

ロケーションの登録

AT-SESCでは、デバイスがネットワークに接続できる物理的な場所をロケーションと呼びます。
ロケーションは、「ポリシー設定」/「ロケーション新規追加」画面から登録することができます。
  1. ポリシー設定」/「ロケーション新規追加」画面に移動します。

    ロケーションには、その名前となるロケーションIDと、そのロケーションに設置されているOpenFlowスイッチを選択し、登録することができます。
    ロケーションを設定することにより、デバイスが接続可能なOpenFlowスイッチを、オフィスのフロアや会議室など場所単位で制御することができます。

  2. 登録するロケーションの情報を入力します。

    ここでは、ロケーション「1F」を登録する例として、次の情報を入力します。

    表 3:設定データ
    項目名
    設定する情報
    説明
    ロケーションID(必須項目) 1F ロケーションの名称です。
    ロケーションIDは最大文字数は64文字で、英数字、記号以外に日本語も使用できます。
    備考 1Fエリア このロケーションの追加説明やコメントを記載できます。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。


  3. 「ロケーションに所属するOpenFlowスイッチ」の「選択」ボタンをクリックします。
    「ロケーションに所属するOpenFlowスイッチ選択」画面に、「OpenFlowスイッチの管理」で登録したOpenFlowスイッチが一覧表示されます。
    既に登録されているスイッチ「x510-28GTX」が、物理的なロケーション「1F」に設置されているものとして、「x510-28GTX」の行の右端にあるチェックボックスにチェックをつけます。


  4. 「登録」ボタンをクリックします。
    「ロケーション新規追加」画面の「ロケーションに所属するOpenFlowスイッチ」に、選択されたスイッチ「x510-28GTX」が表示されます。


  5. 「登録」ボタンを押します。
    ロケーションが登録されると、新規に追加した情報が「ポリシー設定」/「ロケーション一覧」画面に表示されます。


 

スケジュールの登録

「ポリシー設定」/「スケジュール追加」画面から、スケジュールの登録を行います。
  1. ポリシー設定」/「スケジュール新規追加」画面に移動します。

    スケジュールを設定することにより、デバイスが接続可能な期間を制御することができます。開始日時、終了日時を設定しない場合、制限がないものとして扱われます。

  2. 登録するスケジュールの情報を入力します。

    ここでは、スケジュール「入社」を登録する例として、次の情報を入力します。

    表 4:設定データ
    項目名
    設定する情報
    説明
    スケジュールID(必須項目) 入社 スケジュールのIDです。
    IDは最大文字数は64文字で、英数字、記号以外に日本語も使用できます。
    開始日時 2016-03-01 09:00:00 ユーザーがネットワークに接続可能になる日時を設定します。
    カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
    終了日時 (空欄) ユーザーがネットワークに接続不可能になる日時を設定します。
    カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
    備考 3月入社 このスケジュールの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

    終了日時が設定されていない場合、このスケジュールは、開始日時以降、無期限に有効となります。

  3. 「登録」ボタンを押します。
    スケジュールが登録されると、新規に追加した情報が「ポリシー設定」/「スケジュール一覧」画面に表示されます。


 

ユーザーの登録

AT-SESCは、登録されたデバイスに対してそのユーザー(利用者)を設定することができます。
デバイスのユーザーは「ユーザー」/「ユーザー新規追加」画面で登録することができます。
  1. ユーザー」/「ユーザー新規追加」画面に移動します。

    この画面では、新規ユーザーのユーザーID、そして必要な場合にはフルネームと備考を登録することができます。

  2. 登録するユーザーの情報を入力します。

    ここでは、例として、次の情報を入力します。

    表 5:設定データ
    項目名
    設定する情報
    説明
    アカウントID(必須項目) user_A AT-SESCに登録されるユーザーのIDです。
    別のユーザーのアカウントIDや既存の未認証グループのグループIDと同じIDを設定することはできません。
    アカウントIDは、最大文字数は64文字で、英数字、記号以外に日本語も使用できます。
    フルネーム アライド太郎 AT-SESCを利用するユーザーに対して、フルネームを入力します。
    アカウントIDとは別に、管理者がユーザーを識別しやすくするための名前として、フルネームを入力します。
    フルネームは最大255文字で、英数字、記号以外に日本語も使用できます。
    備考 営業部所属 登録するユーザーに対して追加の説明やコメントがある場合に登録します。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。


  3. 「登録」ボタンを押します。
    ユーザーが登録されると、新規に追加した情報が「ユーザー」/「ユーザー一覧」画面に表示されます。



 

セキュリティーポリシーの適用

ユーザーにセキュリティーポリシーを適用します。
各ユーザーには、接続が許可されるネットワーク、ロケーション(場所)、スケジュール(期間)といったセキュリティーポリシーを設定します。
セキュリティーポリシーを設定しない場合、そのユーザーが所有するデバイスは、デフォルトVLAN(VLANなしのネットワーク)に対し、すべての場所から常に接続可能になります。

Note - デフォルトVLANにアクセス可能な場合、OpenFlowスイッチと接続する上位のスイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。

  1. ユーザー」/「ユーザー一覧」画面から、セキュリティーポリシーを適用したいユーザーの行の右側の「編集」ボタンをクリックして、「ユーザー」/「ユーザー更新」画面に移動します。

    この画面では、ユーザーの情報を変更できるほか、ユーザーにセキュリティーポリシーを適用したり、変更したりすることができます。
    この時点では、ユーザー「user_A」にはセキュリティーポリシーが適用されていないため、デフォルトVLANに対して、すべての場所から常に接続可能な状態になっています。

  2. 「ユーザーに設定するポリシー」の「ポリシー追加」ボタンをクリックして、「ユーザー」/「ポリシー追加」画面を表示します。


  3. セキュリティーポリシーの優先度を0〜255の数字で入力します。
    複数のセキュリティーポリシーが設定されている場合は、最も優先度の値が小さいセキュリティーポリシーから順に一致するかどうかの判定が行われます。

  4. 「ネットワーク」、「ロケーション」、「スケジュール」のドロップダウンリストに、先ほど登録した情報が一覧されています。ドロップダウンリストから、対象ユーザーに割り当てるセキュリティーポリシーを選択します。


  5. 「登録」ボタンを押します。
    ユーザー」/「ユーザー更新」画面の「ユーザーに設定するポリシー」欄に、設定したセキュリティーポリシーが表示されます。



  6. ユーザー」/「ユーザー更新」画面の「登録」ボタンを押します。
    ユーザー」/「ユーザー一覧」画面の「ポリシー数」の列に、登録されたポリシーの数が表示されます。



 

クライアントデバイスの登録

AT-SESCは、登録されていないデバイスのネットワーク接続をすべて拒否します。クライアントデバイスの登録はメニューの「デバイス」/「デバイス新規追加」画面で行います。
Note - 登録されていないデバイスに対して一時利用を許可するVLANセグメントを設定することもできます。この場合、別途、「グループ」/「未認証グループ新規追加」画面で未認証グループの設定を行う必要があります。

  1. デバイス」/「デバイス新規追加」画面に移動します。


  2. デバイスのMACアドレスと名前を登録します。

  3. デバイスのユーザーを登録します。
    デバイス」/「デバイス新規追加」画面の「ユーザー」のドロップダウンリストに、登録されているユーザーが一覧されています。「セキュリティーポリシーの適用」でセキュリティーポリシーを割り当てたユーザーを選択し、「登録」ボタンをクリックします。


  4. デバイス」/「デバイス一覧」画面に、各種セキュリティーポリシーが適用されたユーザーがデバイスの利用者として登録されます。


Note - セキュリティーポリシーを適用する前のユーザーにデバイスを登録すると、デバイスは一時的にデフォルトVLANに接続されます。既に利用者に配備済みのデバイスを登録する場合は、本ページに記載したように、セキュリティーポリシーをユーザーに適用してから、ユーザーにデバイスを登録することをおすすめします。

現在ネットワークに接続中のデバイスは、「デバイス」/「接続デバイス状況」画面で確認できます。次の画面は、ここまでの手順で設定されたデバイスを表示する画面の例です。



基本的な設定の流れは以上です。


(C) 2015-2016 アライドテレシスホールディングス株式会社

PN: 613-002214 Rev.E