[index] AT-SecureEnterpriseSDN Controller リファレンスマニュアル 1.5.0

クイックツアー/手動によるデバイスの追加

ここでは、AT-SESCによる端末管理の基本となる、手動によるデバイスの登録手順を説明します。
手動によってデバイスを登録する場合は、事前に、登録するデバイスが持つインターフェースのMACアドレスを確認しておく必要があります。

OpenFlowスイッチの登録

1. 「OpenFlow スイッチ」/「接続中 OpenFlow スイッチ一覧」画面に移動します。
   

   

   この時点ではOpenFlowスイッチの個別設定がされていないため、アップストリームポートはOpenFlowポート番号が最も小さいものが選択されています。
   
   
2. 一覧の中のDatapath IDのリンクをクリックし、「OpenFlow スイッチ」/「接続中 OpenFlow スイッチ詳細」画面を表示します。
   

   

   「OpenFlow スイッチ」/「接続中 OpenFlow スイッチ詳細」画面では、選択したOpenFlowスイッチの詳細情報を確認することができます。
   また、OpenFlowスイッチに設定されている各データプレーンポートのOpenFlowポート番号も確認できます。
   
   
3. 画面右上の「戻る」ボタンをクリックして、「OpenFlow スイッチ」/「接続中 OpenFlow スイッチ一覧」画面に移動します。
   

   

   
   
4. AT-SESCに登録する前の時点では、OpenFlowスイッチのスイッチIDは未登録と表示され、「登録」ボタンが表示されます。「登録」ボタンをクリックし、「OpenFlow スイッチ」/「OpenFlow スイッチ追加」画面を表示します。
   

   

   
   
5. スイッチ ID、アップストリームポートに指定したいOpenFlowポート番号またはポート名、備考を設定します。
   

   Note

   データパスIDはOpenFlowスイッチごとに異なる値が設定されるため、変更する必要はありません。

   

   ここでは、例として、次の情報を設定します。
   
   表 1：設定データ
   

   項目名	設定する情報	説明
   スイッチ ID（必須項目）	x230-18GT（変更なし）	OpenFlowスイッチの名称です。 既に使用されているスイッチIDを設定することはできません。 スイッチIDは最大255文字で、英数字、記号以外に日本語も使用できます。 ここでは「ハードウェア情報」の「x230-18GT」が自動入力されます。
   Datapath ID（必須項目）	（変更なし）	OpenFlowスイッチのデータパスID（OpenFlowコントローラーが使用する識別子）です。 通常はOpenFlowスイッチのMACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されるため、変更する必要はありません。自動設定されるデータパスIDはOpenFlowスイッチのMACアドレスの先頭にゼロを補完した16桁の16進数になります。 なお、同じデータパスIDは複数登録できません。
   アップストリーム ポート	port1.0.7（変更なし）	OpenFlowスイッチのアップストリームポートを設定します。 アップストリームポートは1つの装置につき1つのみ登録できます。 ポートの指定は、ポート名とOpenFlowポート番号のどちらも使用できます。
   備考	#1Fスイッチ	このOpenFlowスイッチの追加説明やコメントを記載できます。 備考は最大255文字で、英数字、記号以外に日本語も使用できます。

   Note

   AT-SESCとOpenFlowスイッチとでデータパスIDが一致していない場合は、OpenFlowポートでのパケット転送が停止します。

   
   
6. 「登録」ボタンを押します。
   OpenFlowスイッチが登録されると、新規に追加した情報が「OpenFlow スイッチ」/「接続中 OpenFlow スイッチ一覧」画面に表示されます。
   

   

ネットワークの登録

1. 「ポリシー設定」/「ネットワーク一覧」画面に移動します。
   

   

   この画面には、AT-SESCに登録されているネットワークの一覧が表示されます。この時点ではネットワークは登録されていません。
   
   
2. 「ポリシー設定」/「ネットワーク一覧」画面の右上の「ネットワーク追加」ボタンをクリックし、「ポリシー設定」/「ネットワーク追加」画面に移動します。
   

   

   この画面では、ネットワークの名前となるネットワークIDと、ネットワークに割り当てるVLAN IDが設定できます。
   接続先ネットワークを設定することにより接続許可デバイスが接続されるVLANセグメントを制御できます。VLANセグメントへの接続制御は、接続許可デバイスが送信したパケットにVLANタグを付加することにより実現します。
   
   
3. 登録するネットワークの情報を入力します。
   

   

   ここでは、ネットワーク「営業部」を登録する例として、次の情報を入力します。
   
   表 2：設定データ
   

   項目名	設定する情報	説明
   ネットワーク ID（必須項目）	営業部	ネットワークの名称です。 既に使用されているネットワークIDを設定することはできません。 ネットワークIDは最大255文字で、英数字、記号以外に日本語も使用できます。
   VLAN ID（必須項目）	123	ネットワークのVLAN IDを設定します。既に登録済みのVLAN IDを別のネットワークに割り当てることはできません。 VLAN IDに0を設定するとVLANタグを付与しません。これはネットワーク設定を行わない状態と同じ動作になります。 VLAN IDの設定範囲は0～4094です。
   備考	営業ネットワーク	このネットワークの追加説明やコメントを記載できます。 備考は最大255文字で、英数字、記号以外に日本語も使用できます。

   
   
4. 「登録」ボタンを押します。
   ネットワークが登録されると、新規に追加した情報が「ポリシー設定」/「ネットワーク一覧」画面に表示されます。
   

   

ロケーションの登録

1. 「ポリシー設定」/「ロケーション一覧」画面に移動します。
   

   

   この画面には、AT-SESCに登録されているロケーションの一覧が表示されます。この時点ではロケーションは登録されていません。
   
   
2. 「ポリシー設定」/「ロケーション一覧」画面の右上の「ロケーション追加」ボタンをクリックし、「ポリシー設定」/「ロケーション追加」画面に移動します。
   

   

   ロケーションには、その名前となるロケーションIDと、そのロケーションに設置されているOpenFlowスイッチを選択し、登録することができます。
   ロケーションを設定することにより、デバイスが接続可能なOpenFlowスイッチを、オフィスのフロアや会議室など場所単位で制御することができます。
   
   
3. 登録するロケーションの情報を入力します。
   

   

   ここでは、ロケーション「1F」を登録する例として、次の情報を入力します。
   
   表 3：設定データ
   

   項目名	設定する情報	説明
   ロケーション ID（必須項目）	1F	ロケーションの名称です。 既に使用されているロケーションIDを設定することはできません。 ロケーションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
   備考	1Fエリア	このロケーションの追加説明やコメントを記載できます。 備考は最大255文字で、英数字、記号以外に日本語も使用できます。

   
   
4. 「OpenFlow スイッチ」の「選択」ボタンをクリックします。
   「ポリシー設定」/「OpenFlow スイッチ選択」ダイアログに、先ほどの「OpenFlowスイッチの登録」の手順で登録したOpenFlowスイッチが一覧表示されます。
   既に登録されているスイッチ「x230-18GT」が、物理的なロケーション「1F」に設置されているものとして、「x230-18GT」の行の左端にあるチェックボックスにチェックを付けます。
   

   

   
   
5. ダイアログ下部の「登録」ボタンをクリックします。
   「ポリシー設定」/「ロケーション追加」画面の「OpenFlow スイッチ」に、選択されたスイッチ「x230-18GT」が表示されます。
   

   

   
   
6. 「登録」ボタンを押します。
   ロケーションが登録されると、新規に追加した情報が「ポリシー設定」/「ロケーション一覧」画面に表示されます。
   

   

スケジュールの登録

1. 「ポリシー設定」/「スケジュール一覧」画面に移動します。
   

   

   この画面には、AT-SESCに登録されているスケジュールの一覧が表示されます。この時点ではスケジュールは登録されていません。
   
   
2. 「ポリシー設定」/「スケジュール一覧」画面の右上の「スケジュール追加」ボタンをクリックし、「ポリシー設定」/「スケジュール追加」画面に移動します。
   

   

   スケジュールを設定することにより、デバイスが接続可能な期間を制御することができます。開始日時、終了日時を設定しない場合、制限がないものとして扱われます。
   
   
3. 登録するスケジュールの情報を入力します。
   

   

   ここでは、スケジュール「入社」を登録する例として、次の情報を入力します。
   
   表 4：設定データ
   

   項目名	設定する情報	説明
   スケジュール ID（必須項目）	入社	スケジュールの名称です。 既に使用されているスケジュールIDを設定することはできません。 スケジュールIDは最大255文字で、英数字、記号以外に日本語も使用できます。
   開始日時	20XX-03-01 00:00:00	デバイスがネットワークに接続可能になる日時を設定します。 カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
   終了日時	（空欄）	デバイスがネットワークに接続不可能になる日時を設定します。 カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
   備考	3月入社	このスケジュールの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。

   終了日時が設定されていない場合、このスケジュールは、開始日時以降、無期限に有効となります。
   
   
4. 「登録」ボタンを押します。
   スケジュールが登録されると、新規に追加した情報が「ポリシー設定」/「スケジュール一覧」画面に表示されます。
   

   

デバイスの登録

Note

セキュリティーポリシーを空欄にしたままデバイスを登録すると、デバイスは一時的にタグなしVLANに接続されます。既に利用者に配備済みのデバイスを登録する場合は、本ページに記載するように、デバイス情報の入力からセキュリティーポリシーの適用までを、一度に設定することをおすすめします。

1. 「デバイス」/「デバイス一覧」画面に移動します。
   

   

   この画面には、AT-SESCに登録されているデバイスの一覧が表示されます。この時点ではデバイスは登録されていません。
   
   
2. 「デバイス」/「デバイス一覧」画面の右上の「デバイス追加」ボタンをクリックし、「デバイス」/「デバイス追加」画面に移動します。
   

   

   この画面では、新規デバイスのデバイスID、そして必要な場合にはタグと備考を登録することができます。
   
   
3. 登録するデバイスの情報を入力します。
   

   

   ここでは、例として、次の情報を入力します。
   
   表 5：設定データ
   

   項目名	設定する情報	説明
   デバイス ID（必須項目）	Device_1	AT-SESCに登録するデバイスのIDです。 既に使用されているデバイスIDを設定することはできません。 デバイスIDは最大255文字で、英数字、記号以外に日本語も使用できます。
   タグ	User_A	デバイスIDとは別に、管理者がデバイスを識別しやすくするための名前として、タグを入力します（デバイスの利用者の名前など）。 タグは最大255文字で、英数字、記号以外に日本語も使用できます。
   備考	営業部所属	登録するデバイスに対して追加の説明やコメントがある場合に登録します。 備考は最大255文字で、英数字、記号以外に日本語も使用できます。

   
   
4. デバイスが持つインターフェースのMACアドレスを登録します。AT-SESCは、登録されていないMACアドレスからのネットワーク接続をすべて拒否します。
   「インターフェース」欄の「追加」ボタンをクリックして、「デバイス」/「インターフェース編集」ダイアログを表示します。
   

   

   Note

   登録されていないデバイスに対して一時利用を許可するVLANセグメントを設定することもできます。この場合、別途、「グループ」/「未認証グループ追加」画面で未認証グループの設定を行う必要があります。

   
   
5. インターフェースのMACアドレスと名称を登録します。
   

   

   
   
6. 「登録」ボタンを押します。
   「デバイス」/「デバイス追加」画面の「インターフェース」一覧に、設定したインターフェースのMACアドレスが表示されます。
   

   

   
   
7. デバイスにセキュリティーポリシーを適用します。
   「ポリシー」欄の「追加」ボタンをクリックして、「デバイス」/「ポリシー編集」ダイアログを表示します。
   

   

   各デバイスには、接続が許可されるネットワーク、ロケーション（場所）、スケジュール（期間）といったセキュリティーポリシーを設定します。
   セキュリティーポリシーを設定しない場合、そのユーザーが所有するデバイスは、タグなしVLAN（VLANなしのネットワーク）に対し、すべての場所から常に接続可能になります。
   

   Note

   タグなしVLANにアクセス可能な場合、OpenFlowスイッチと接続する上位のスイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。

   
   
8. セキュリティーポリシーの優先度を0～255の数字で入力します。
   複数のセキュリティーポリシーが設定されている場合は、最も優先度の値が小さいセキュリティーポリシーから順に一致するかどうかの判定が行われます。
   この例では、セキュリティーポリシーの優先度を10に設定します。
   
   
9. 「ネットワーク」、「ロケーション」、「スケジュール」のドロップダウンリストに、先ほど登録した情報が一覧されています。ドロップダウンリストから、対象デバイスに割り当てるセキュリティーポリシーを選択します。
   ドロップダウンリストには、登録されたネットワーク、ロケーション、スケジュールのうち100件までが表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列を含むセキュリティーポリシーが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から対象とするセキュリティーポリシーをクリックします。
   この例では、ロケーション「1F」から、スケジュール「入社」を満たす日時にアクセスした場合、ネットワーク「営業部」への接続が許可されます。
   この時点で、ネットワーク、ロケーション、スケジュールとも、1件ずつしか登録されていないため絞り込みは不要です。それぞれのドロップダウンリストに表示されたセキュリティーポリシーをクリックして選択します。
   また、この例では、OpenFlowスイッチおよびスイッチポートの指定は行いません。今後、ロケーション「1F」にOpenFlowスイッチが追加された際、接続可能なOpenFlowスイッチを今回登録した「x230-18GT」に限定する必要がある場合は、別途指定することができます。
   

   

   
   
10. ダイアログ下部の「登録」ボタンを押します。
    「デバイス」/「デバイス一覧」画面の「ポリシー」一覧に、設定したセキュリティーポリシーが表示されます。
    

    

    
    
11. 「登録」ボタンを押します。
    デバイスが登録されると、新規に追加した情報が「デバイス」/「デバイス一覧」画面に表示されます。
    

    

(C) 2015-2018 アライドテレシスホールディングス株式会社

PN: 613-002214 Rev.H