[index] AT-SecureEnterpriseSDN Controller リファレンスマニュアル 1.5.0

付録/デバイス/OpenFlowスイッチのホワイトリストの作成

既設のネットワークにAT-SESCを導入する場合、多数のOpenFlowスイッチやデバイスをAT-SESCに登録する必要があります。
デバイスやOpenFlowスイッチの一覧をCSVファイルにエクスポートし、CSVファイルを編集して、AT-SESCにインポートすることで、新規導入時の機器の登録作業を大幅に軽減することができます。

ここでは、「デバイス」/「接続中 デバイス一覧」画面や「OpenFlow スイッチ」/「接続中 OpenFlow スイッチ一覧」画面から出力したCSVファイルから、AT-SESCの認証データとしてインポート可能なホワイトリストを作成するための手順を説明します。

Note

接続中のデバイスとOpenFlowスイッチの両方について、ホワイトリストを作成、インポートする必要がある場合は、OpenFlowスイッチからホワイトリストの作成、インポートを行うことをおすすめします。
OpenFlowスイッチから登録し、続いてOpenFlowスイッチのロケーションを設定しておくことで、デバイスが接続されたOpenFlowスイッチによって登録するデバイスを切り分けることができます。

OpenFlowスイッチのホワイトリストの作成

1. OpenFlowスイッチ一覧のCSVファイルのエクスポート
   
2. テキストエディターによるCSVファイルの編集
   
3. CSVファイルのインポート
   

OpenFlowスイッチ一覧のCSVファイルのエクスポート

1. 「OpenFlow スイッチ」/「接続中 OpenFlow スイッチ一覧」画面を表示します。
   
   
2. 画面右上の「CSV のエクスポート」ボタンをクリックし、CSVファイルをダウンロードします。
   エクスポート時のファイル名は、デフォルトではchannel.csvです。
   

テキストエディターによるCSVファイルの編集

Note

必要に応じて、ファイルのバックアップを作成してください。

1. 文字コード「UTF-8」を取り扱いできるテキストエディターで、ダウンロードしたCSVファイルを開きます。
   今回は、CSVファイルの内容は次のとおりであるとします。
   

   Note

   以下の例では画面表示による折り返しと実際のデータの改行を区別するため、行末に矢印（ ↓）を表示していますが、実際にエクスポートされるCSVファイルでは、行末に矢印は含まれません。
   カンマの前後や行末など、二重引用符（""）の外に文字や記号を含むCSVファイルをインポートするとエラーになります。

   "#","table","スイッチ ID","備考","Datapath ID","アップストリーム ポート","%status","IPv4 アドレス","プロトコルバージョン","状況","製造者","ハードウェア情報","ソフトウェア情報","シリアル番号","Datapath 情報","%ofs-port","番号","名称","MAC アドレス" ↓
   "+","channel","","","000000005e005380","eth0","%status","192.168.1.230","4","ready","Allied Telesis, Inc.","AT-TQ4600","1.2.0-0.2","None","None","%ofs-port","1","eth0","00:00:5e:00:53:80","%ofs-port","2","wlan0","00:00:5e:00:53:80" ↓
   "+","channel","","","000000005e005381","eth0","%status","192.168.1.231","4","ready","Allied Telesis, Inc.","AT-TQ4600","1.2.0-0.2","None","None","%ofs-port","1","eth0","00:00:5e:00:53:81","%ofs-port","2","wlan0","00:00:5e:00:53:81" ↓
   
   
   
2. 1行目はコメント行です。
   コメント行の内容は無視されるため、修正する必要はありません。また、不要な場合は削除しても構いません。
   ここでは、簡便のため、コメント行は削除します。
   
   "#","table","スイッチ ID","備考","Datapath ID","アップストリーム ポート","%status","IPv4 アドレス","プロトコルバージョン","状況","製造者","ハードウェア情報","ソフトウェア情報","シリアル番号","Datapath 情報","%ofs-port","番号","名称","MAC アドレス" ↓
   "+","channel","","","000000005e005380","eth0","%status","192.168.1.230","4","ready","Allied Telesis, Inc.","AT-TQ4600","1.2.0-0.2","None","None","%ofs-port","1","eth0","00:00:5e:00:53:80","%ofs-port","2","wlan0","00:00:5e:00:53:80" ↓
   "+","channel","","","000000005e005381","eth0","%status","192.168.1.231","4","ready","Allied Telesis, Inc.","AT-TQ4600","1.2.0-0.2","None","None","%ofs-port","1","eth0","00:00:5e:00:53:81","%ofs-port","2","wlan0","00:00:5e:00:53:81" ↓
   
   
   
3. 7番目のフィールド（"%status"）以降はスイッチ認証データには不要なため、記述は無視されます。また、不要な場合は削除しても構いません。
   ここでは、簡便のため、直前のカンマから削除します。
   
   
   "+","channel","","","000000005e005380","eth0","%status","192.168.1.230","4","ready","Allied Telesis, Inc.","AT-TQ4600","1.2.0-0.2","None","None","%ofs-port","1","eth0","00:00:5e:00:53:80","%ofs-port","2","wlan0","00:00:5e:00:53:80" ↓
   "+","channel","","","000000005e005381","eth0","%status","192.168.1.231","4","ready","Allied Telesis, Inc.","AT-TQ4600","1.2.0-0.2","None","None","%ofs-port","1","eth0","00:00:5e:00:53:81","%ofs-port","2","wlan0","00:00:5e:00:53:81" ↓
   
   
   
4. 2番目のフィールドを「"channel"」から「"switch"」に書き換えます。
   
   "+","switch","","","000000005e005380","eth0" ↓
   "+","switch","","","000000005e005381","eth0" ↓
   
   
   
5. 3番目のフィールドに、既にAT-SESCに登録されているものと重複しないスイッチID（例：「AT-TQ4600-1」、「AT-TQ4600-2」）を入力します。
   
   "+","switch","AT-TQ4600-1","","000000005e005380","eth0" ↓
   "+","switch","AT-TQ4600-2","","000000005e005381","eth0" ↓
   
   
   
6. 4番目のフィールドに備考を入力します。
   ここでは、備考に「20XX/11 ホワイトリストによる登録」を入力します。
   
   "+","switch","AT-TQ4600-1","20XX/11 ホワイトリストによる登録","000000005e005380","eth0" ↓
   "+","switch","AT-TQ4600-2","20XX/11 ホワイトリストによる登録","000000005e005381","eth0" ↓
   
   
   
7. 以上で、基本的なスイッチ認証データの記述は完了です。
   ファイルを文字コード「UTF-8」で保存します。
   

CSVファイルのインポート

1. 「システム設定」/「メンテナンス」画面を開きます。
   
   
2. 「認証データ」の「認証データをインポートします。」の行の「参照...」ボタンをクリックし、先ほど編集したCSVファイルを選択します。
   
   
3. 「認証データをインポートします。」の行の「インポート」ボタンをクリックします。
   

デバイスのホワイトリストの作成

1. 未認証グループによる対象機器の絞り込み・検出
   
2. 検出デバイス一覧のCSVファイルのエクスポート
   
3. テキストエディターによるCSVファイルの編集
   
4. CSVファイルのインポート
   

未認証グループによる対象デバイスの絞り込み・検出

デバイス一覧のCSVファイルのエクスポート

Note

画面上の検索や絞り込みは、出力されるCSVファイルの内容に影響しません。CSVのエクスポートの際は接続中のすべてのデバイスがエクスポートされます。

1. 「デバイス」/「接続中 デバイス一覧」画面を表示します。
   
   
2. 画面右上の「CSV のエクスポート」ボタンをクリックし、CSVファイルをダウンロードします。
   エクスポート時のファイル名は、デフォルトではclient.csvです。
   

テキストエディターによるCSVファイルの編集

Note

必要に応じて、ファイルのバックアップを作成してください。

1. 文字コード「UTF-8」を取り扱いできるテキストエディターで、ダウンロードしたCSVファイルを開きます。
   今回は、CSVファイルの内容は次のとおりであるとします。
   

   Note

   以下の例では画面表示による折り返しと実際のデータの改行を区別するため、行末に矢印（ ↓）を表示していますが、実際にエクスポートされるCSVファイルでは、行末に矢印は含まれません。
   カンマの前後や行末など、二重引用符（""）の外に文字や記号を含むCSVファイルをインポートするとエラーになります。

   "#","table","デバイス ID","備考","タグ","%ports","%port","MAC アドレス","名称","備考","%status","IPv4 アドレス","アクション","更新日時","VLAN ID","アクションの実行者","アクションの原因" ↓
   "+","client","","","","%ports","%port","00:00:5e:00:53:30","","","%status","","検出","20XX-11-22 17:32:29","接続なし","sesc.unauthGroup","" ↓
   "+","client","","","","%ports","%port","00:00:5e:00:53:31","","","%status","","検出","20XX-11-22 17:32:29","接続なし","sesc.unauthGroup","" ↓
   "+","client","","","","%ports","%port","00:00:5e:00:53:32","","","%status","","検出","20XX-11-22 17:32:29","接続なし","sesc.unauthGroup","" ↓
   
   
   
2. 1行目はコメント行です。
   コメント行の内容は無視されるため、修正する必要はありません。また、不要な場合は削除しても構いません。
   ここでは、簡便のため、コメント行は削除します。
   
   "#","table","デバイス ID","備考","タグ","%ports","%port","MAC アドレス","名称","備考","%status","IPv4 アドレス","アクション","更新日時","VLAN ID","アクションの実行者","アクションの原因" ↓
   "+","client","","","","%ports","%port","00:00:5e:00:53:30","","","%status","","検出","20XX-11-22 17:32:29","接続なし","sesc.unauthGroup","" ↓
   "+","client","","","","%ports","%port","00:00:5e:00:53:31","","","%status","","検出","20XX-11-22 17:32:29","接続なし","sesc.unauthGroup","" ↓
   "+","client","","","","%ports","%port","00:00:5e:00:53:32","","","%status","","検出","20XX-11-22 17:32:29","接続なし","sesc.unauthGroup","" ↓
   
   
   
3. 「デバイス」/「接続中 デバイス一覧」画面上の検索や絞り込みは、出力されるCSVファイルの内容に影響しません。
   未認証グループによって検出されたデバイス以外に、接続済み、隔離、遮断、認証失敗のデバイスが存在するネットワークでは、出力されたCSVファイルには接続済み、隔離、遮断、認証失敗のMACアドレス情報も出力されます。これらのデバイスの状況は、CSVの12番目のフィールドに記述されます。
   12番目のフィールドが「検出」以外の行を削除します。
   
   
4. 11番目のフィールド（"%status"）以降はデバイス認証データには不要なため、記述は無視されます。また、不要な場合は削除しても構いません。
   ここでは、簡便のため、直前のカンマから削除します。
   
   "+","client","","","","%ports","%port","00:00:5e:00:53:30","","","%status","","検出","20XX-11-22 17:32:29","接続なし","sesc.unauthGroup","" ↓
   "+","client","","","","%ports","%port","00:00:5e:00:53:31","","","%status","","検出","20XX-11-22 17:32:29","接続なし","sesc.unauthGroup","" ↓
   "+","client","","","","%ports","%port","00:00:5e:00:53:32","","","%status","","検出","20XX-11-22 17:32:29","接続なし","sesc.unauthGroup","" ↓
   
   
   
5. 2番目のフィールドを「"client"」から「"device"」に書き換えます。
   
   "+","device","","","","%ports","%port","00:00:5e:00:53:30","","" ↓
   "+","device","","","","%ports","%port","00:00:5e:00:53:31","","" ↓
   "+","device","","","","%ports","%port","00:00:5e:00:53:32","","" ↓
   
   
   
6. 3番目のフィールドに、既にAT-SESCに登録されているものと重複しないデバイスID（例：「device1」、「device2」、「device3」）を入力します。
   
   "+","device","device1","","","%ports","%port","00:00:5e:00:53:30","","" ↓
   "+","device","device2","","","%ports","%port","00:00:5e:00:53:31","","" ↓
   "+","device","device3","","","%ports","%port","00:00:5e:00:53:32","","" ↓
   
   
   
7. 必要に応じて、4番目のフィールドにデバイスの備考、5番目のフィールドにデバイスのタグを入力します。
   ここでは、備考に「20XX/11 ホワイトリストによる登録」を入力します。タグは空欄とします。
   
   "+","device","device1","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:30","","" ↓
   "+","device","device2","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:31","","" ↓
   "+","device","device3","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:32","","" ↓
   
   
   
8. 必要に応じて、9番目のフィールドにインターフェースの名称、10番目のフィールドにインターフェースの備考を入力します。
   ここでは、名称に「（デバイスID）-1」（例：device1-1）を入力します。備考は空欄とします。
   
   "+","device","device1","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:30","device1-1","" ↓
   "+","device","device2","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:31","device2-1","" ↓
   "+","device","device3","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:32","device3-1","" ↓
   
   
   
9. デバイスIDが、既にAT-SESCに登録されているもの、またはCSV内の他の行の記述されているものと重複する場合、最後に書かれた行の記述のみが有効になります。
   複数のMACアドレスを1つのデバイスに関連付ける場合は、7～10番目のフィールド（"%port"、MACアドレス、インターフェース名称、インターフェース備考）を繰り返して記述します。
   例えば、上記の例のMACアドレス「00:00:5e:00:53:30」と「00:00:5e:00:53:31」をデバイスID「device1」に関連付ける場合は、次のように整形します。
   
   "+","device","device1","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:30","device1-1","","%port","00:00:5e:00:53:31","device1-2","" ↓
   "+","device","device3","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:32","device3-1","" ↓
   
   
   
10. 以上で、基本的なデバイス認証データの記述は完了です。
    デバイスにセキュリティーポリシーを設定しない場合は、ファイルを文字コード「UTF-8」で保存して、以下の手順を省略し、CSVファイルのインポートに進みます。
    
    
11. デバイスに対してセキュリティーポリシーを設定する場合は、「device」テーブルの各行に「rule」テーブルのCSV行を追加します。
    ここでは、例として、すべてのデバイスに対して、以下のセキュリティーポリシーを設定します。
    

    Note

    セキュリティーポリシーの各項目は、あらかじめAT-SESCに登録されている必要があります。セキュリティーポリシーに指定されたロケーションID、スケジュールID、ネットワークID、スイッチID、スイッチポートのうち、いずれか1つでもAT-SESCに登録されていないIDを記述した場合は、インポートに失敗し、デバイス認証データは更新されません。

    表 1：セキュリティーポリシー
    

    項目	設定
    優先度	10
    OpenFlowスイッチ	AT-TQ4600-1
    ネットワーク	営業部

    書式の詳細については、付録「CSVファイル」/「出力される項目」の「デバイス」をご覧ください。
    
    "+","device","device1","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:30","device1-1","" ↓
    "+","rule","device1","sesc.device","","pass","10","True","%options","m_ofs_name=AT-TQ4600-1","m_network_name=営業部" ↓
    "+","device","device2","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:31","device2-1","" ↓
    "+","rule","device2","sesc.device","","pass","10","True","%options","m_ofs_name=AT-TQ4600-1","m_network_name=営業部" ↓
    "+","device","device3","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:32","device3-1","" ↓
    "+","rule","device3","sesc.device","","pass","10","True","%options","m_ofs_name=AT-TQ4600-1","m_network_name=営業部" ↓
    
    
    
12. 以上で、セキュリティーポリシーを含むデバイス認証データの記述は完了です。
    ファイルを文字コード「UTF-8」で保存します。
    

CSVファイルのインポート

1. 「システム設定」/「メンテナンス」画面を開きます。
   
   
2. 「認証データ」の「認証データをインポートします。」の行の「参照...」ボタンをクリックし、先ほど編集したCSVファイルを選択します。
   
   
3. 「認証データをインポートします。」の行の「インポート」ボタンをクリックします。
   

(C) 2015-2018 アライドテレシスホールディングス株式会社

PN: 613-002214 Rev.H