クイックツアー/未認証グループによるゲストネットワークの提供


未認証グループとは
未認証グループの追加
OpenFlowスイッチの登録
AMFメンバーの登録
ネットワークの登録
ロケーションの登録
スケジュールの登録
未認証グループの登録


ここでは、AT-SESCに登録されていないデバイスに対して、特定のセキュリティーポリシーに従って、部分的なネットワークの利用を許可する方法を説明します。
AT-SESCに登録されていないデバイスに対してネットワークサービスを提供するには、未認証グループを設定します。


未認証グループとは

通常の認証に失敗したデバイスのうち、特定のロケーションおよびスケジュール条件に一致するものを未認証グループと呼び、専用のネットワークに接続します。

通常の認証に失敗したデバイスとは、次のようなものを指します。

未認証グループをネットワークに接続するにあたって、接続を許可するロケーションやスケジュールを設定することができます。
ロケーションとスケジュールの両方が設定されている場合は、両方の条件を満たすデバイスのみが専用ネットワークに接続できます。

デバイスが未認証グループとしてネットワークに接続している状態で、認証済みデバイスとしてのセキュリティーポリシーを満たす状態(スケジュールの開始時刻になるなど)になった場合、認証済みデバイスのネットワークに自動的に切り替わります。


未認証グループの追加

ここでは、クイックツアー「手動によるデバイスの追加」/「OpenFlowスイッチの登録」の手順に従った後、OpenFlowスイッチとして無線アクセスポイント「AT-TQ4400」、AMFメンバーとして「AMF-Member_2」を追加し、所定の期間中にこのOpenFlowスイッチを介して接続したデバイスに対して、ゲストネットワークを提供する例を考えます。


OpenFlowスイッチの登録

OpenFlowスイッチとしてAT-TQ4400を登録します。
  1. スイッチ」/「接続中 OpenFlow スイッチ一覧」画面に移動します。


  2. AT-SESCに登録する前の時点では、OpenFlowスイッチのスイッチIDは未登録と表示され、「登録」ボタンが表示されます。
    ハードウェア情報欄に「AT-TQ4400」と表示されたOpenFlowスイッチのスイッチID欄の「登録」ボタンをクリックし、「スイッチ」/「OpenFlow スイッチ追加」画面を表示します。


  3. スイッチ ID、アップストリームポートに指定したいOpenFlowポート番号またはポート名、備考を設定します。
    Note
    データパスIDはOpenFlowスイッチごとに異なる値が設定されるため、変更する必要はありません。

    ここでは、例として、次の情報を設定します。

    表 1:設定データ
    項目名
    設定する情報
    説明
    スイッチ ID(必須項目) AT-TQ4400(変更なし) OpenFlowスイッチの名前です。
    既に使用されているスイッチIDを設定することはできません。
    スイッチIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    ここでは「ハードウェア情報」の「AT-TQ4400」が自動入力されます。
    Datapath ID(必須項目) (変更なし) OpenFlowスイッチのデータパスID(OpenFlowコントローラーが使用する識別子)です。
    通常はOpenFlowスイッチのMACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されるため、変更する必要はありません。自動設定されるデータパスIDはOpenFlowスイッチのMACアドレスの先頭にゼロを補完した16桁の16進数になります。
    なお、同じデータパスIDは複数登録できません。
    アップストリーム ポート eth0(変更なし) OpenFlowスイッチのアップストリームポートを設定します。
    アップストリームポートは1つの装置につき1つのみ登録できます。
    ポートの指定は、ポート名とOpenFlowポート番号のどちらも使用できます。
    備考 #1F無線AP このOpenFlowスイッチの追加説明やコメントを記載できます。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。

    Note
    AT-SESCとOpenFlowスイッチとでデータパスIDが一致していない場合は、OpenFlowポートでのパケット転送が停止します。

  4. 「登録」ボタンを押します。
    OpenFlowスイッチが登録されると、新規に追加した情報が「スイッチ」/「OpenFlow スイッチ一覧」画面に表示されます。



AMFメンバーの登録

AMFメンバーとしてホスト名「AMF-Member_2」を登録します。
  1. スイッチ」/「接続中 AMF メンバー 一覧」画面に移動します。

  2. AT-SESCに登録する前の時点では、登録状況は未登録と表示され、「登録」ボタンが表示されます。
    名称に「AMF-Member_2」と表示されたAMFメンバーの登録状況欄の「登録」ボタンをクリックし、「スイッチ」/「AMF メンバー 追加」画面を表示します。

  3. 備考を設定します。

    ここでは、例として、次の情報を設定します。

    表 2:設定データ
    項目名
    設定する情報
    説明
    名称(必須項目) AMF-Member_2(変更なし) AMFメンバーの名称です。
    AMFメンバー一覧で、既に使用されている名称を設定することはできません。
    名称は最大255文字で、使用可能な文字は半角英数字とハイフン(-)、アンダースコア(_)のみです。
    備考 #1Fスイッチ AMFメンバーの追加説明やコメントを記載できます。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。

    Note
    名称はAMFメンバーのホスト名と同一にしてください。

  4. 「登録」ボタンを押します。
    AMFメンバーが登録されると、新規に追加した情報が「スイッチ」/「AMF メンバー 一覧」画面に表示されます。




ネットワークの登録

ゲストネットワークを他の業務ネットワークから切り離すため、ゲストネットワーク用のネットワークを登録します。

  1. ポリシー設定」/「ネットワーク一覧」画面に移動します。

    この画面には、AT-SESCに登録されているネットワークの一覧が表示されます。
    この時点ではネットワーク「営業部」(vlan123)が登録されています。

  2. ポリシー設定」/「ネットワーク一覧」画面の右上の「ネットワーク追加」ボタンをクリックし、「ポリシー設定」/「ネットワーク追加」画面に移動します。

    この画面では、ネットワークの名前となるネットワークIDと、ネットワークに割り当てるVLAN IDが設定できます。
    接続先ネットワークを設定することにより接続許可デバイスが接続されるVLANセグメントを制御できます。VLANセグメントへの接続制御は、接続許可デバイスが送信したパケットにVLANタグを付加することにより実現します。

  3. 登録するネットワークの情報を入力します。

    ここでは、ネットワーク「ゲストネットワーク」を登録する例として、次の情報を入力します。

    表 3:設定データ
    項目名
    設定する情報
    説明
    ネットワーク ID(必須項目) 来客用 ネットワークの名称です。
    既に使用されているネットワークIDを設定することはできません。
    ネットワークIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    VLAN ID(必須項目) 30 ネットワークのVLAN IDを設定します。既に登録済みのVLAN IDを別のネットワークに割り当てることはできません。
    VLAN IDに0を設定するとVLANタグを付与しません。これはネットワーク設定を行わない状態と同じ動作になります。
    VLAN IDの設定範囲は0~4094です。
    備考 ゲストネットワーク このネットワークの追加説明やコメントを記載できます。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。


  4. 「登録」ボタンを押します。
    ネットワークが登録されると、新規に追加した情報が「ポリシー設定」/「ネットワーク一覧」画面に表示されます。


ロケーションの登録

OpenFlowスイッチおよびAMFメンバーを設置しているロケーションを設定します。
ロケーションは、「ポリシー設定」/「ロケーション追加」画面から登録することができます。
今回は、新規ロケーション「1Fカンファレンスルーム」に対して、OpenFlowスイッチ「AT-TQ4400」とAMFメンバー「AMF-Member」を追加します。

  1. ポリシー設定」/「ロケーション一覧」画面に移動します。

    この画面には、AT-SESCに登録されているロケーションの一覧が表示されます。この時点ではロケーション「1F」のみが登録されています。

  2. ポリシー設定」/「ロケーション一覧」画面の右上の「ロケーション追加」ボタンをクリックし、「ポリシー設定」/「ロケーション追加」画面に移動します。


  3. 登録するロケーションの情報を入力します。

    ここでは、ロケーション「1Fカンファレンスルーム」を登録する例として、次の情報を入力します。

    表 4:設定データ
    項目名
    設定する情報
    説明
    ロケーション ID(必須項目) 1Fカンファレンスルーム ロケーションの名称です。
    既に使用されているロケーションIDを設定することはできません。
    ロケーションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    備考 1Fカンファレンスルーム このロケーションの追加説明やコメントを記載できます。
    備考は最大255文字で、英数字、記号以外に日本語も使用できます。


  4. 「OpenFlow スイッチ / AMF メンバー」の「選択」ボタンをクリックします。
    ポリシー設定」/「OpenFlowスイッチ / AMFメンバー」ダイアログに、登録済みのOpenFlowスイッチ「x230-18GT」「AT-TQ4400」、AMFメンバー「AMF-Member_2」が一覧表示されます。
    このうち「AT-TQ4400」と「AMF-Member_2」が物理的なロケーション「1Fカンファレンスルーム」に設置されているものとして、「AT-TQ4400」と「AMF-Member_2」の行の左端にあるチェックボックスにチェックを付けます。


  5. ダイアログ下部の「登録」ボタンをクリックします。
    ポリシー設定」/「ロケーション追加」画面の「OpenFlow スイッチ / AMF メンバー」に、選択されたスイッチ「AT-TQ4400」、「AMF-Member_2」が表示されます。


  6. 「登録」ボタンを押します。
    ロケーションが登録されると、新規に追加した情報が「ポリシー設定」/「ロケーション一覧」画面に表示されます。


スケジュールの登録

ゲストネットワークを提供する期間をスケジュールとして登録します。スケジュールを指定することで、この期間に限り、AT-SESCのデバイス認証データに登録のないMACアドレスからの接続を許可することができます。
  1. ポリシー設定」/「スケジュール一覧」画面に移動します。

    この画面には、AT-SESCに登録されているスケジュールの一覧が表示されます。
    この時点ではスケジュール「入社」が登録されています。

  2. ポリシー設定」/「スケジュール一覧」画面の右上の「スケジュール追加」ボタンをクリックし、「ポリシー設定」/「スケジュール追加」画面に移動します。

    スケジュールを設定することにより、デバイスが接続可能な期間を制御することができます。開始日時、終了日時を設定しない場合、制限がないものとして扱われます。

  3. 登録するスケジュールの情報を入力します。

    ここでは、スケジュール「10月末イベント」を登録する例として、次の情報を入力します。

    表 5:設定データ
    項目名
    設定する情報
    説明
    スケジュール ID(必須項目) 10月末イベント スケジュールの名称です。
    既に使用されているスケジュールIDを設定することはできません。
    スケジュールIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    開始日時 20XX-10-27 00:00:00 デバイスがネットワークに接続可能になる日時を設定します。
    カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
    終了日時 20XX-10-31 00:00:00 デバイスがネットワークに接続不可能になる日時を設定します。
    カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
    備考 (空欄) このスケジュールの追加説明やコメントを記載できます。備考は最大255文字で、英数字、記号以外に日本語も使用できます。


  4. 「登録」ボタンを押します。
    スケジュールが登録されると、新規に追加した情報が「ポリシー設定」/「スケジュール一覧」画面に表示されます。


未認証グループの登録

設定したセキュリティーポリシーに基づき、未認証グループを作成します。

  1. グループ」/「未認証グループ一覧」画面を表示します。


  2. 画面右上の「未認証グループ追加」ボタンをクリックし、「グループ」/「未認証グループ追加」画面を表示します。


  3. 「有効」チェックボックスにチェックが付いていることを確認します。

  4. 未認証グループのグループID、備考を入力します。
    この例では、グループIDを「イベント来場者用」とし、備考は空欄とします。


  5. 「端末の検出のみを行います。」チェックボックスにチェックが付いていないことを確認します。
    「端末の検出のみを行います。」チェックボックスにチェックが付いていると、未認証グループのセキュリティーポリシーに一致したMACアドレスは検出のみを行われ、ネットワークに接続するためのフローは作成されません。

  6. ポリシーの「追加」ボタンをクリックして、「グループ」/「ポリシー編集」ダイアログを表示します。


  7. セキュリティーポリシーの優先度を設定します。
    ここでは、優先度を「30」に設定します。

  8. 未認証グループに適用するネットワークを設定します。
    ここでは、ネットワークに「来客用」を指定します。

  9. デバイスの検出条件となるセキュリティーポリシーを設定します。
    ここでは、ロケーションに「1Fカンファレンスルーム」を、スケジュールに「10月末イベント」を指定します。


  10. 「登録」ボタンをクリックして、「グループ」/「未認証グループ追加」画面に戻ります。
    グループ」/「未認証グループ追加」画面のポリシー欄に、ただ今作成したセキュリティーポリシーが表示されます。


  11. 「登録」ボタンをクリックして、「グループ」/「未認証グループ一覧」画面に戻ります。
    以上の設定で、AT-SESCのデバイス認証データに登録されていないMACアドレスのうち、スケジュールに指定された20XX/10/27~20XX/10/31の間に「1Fカンファレンスルーム」のOpenFlowスイッチ「AT-TQ4400」に接続したものを、未認証グループ「イベント来場者用」として、ネットワーク「来客用」(vlan30)に接続するようになります。


  12. 未認証グループに接続しているデバイスを確認するには、「デバイス」/「接続中 デバイス一覧」画面を表示します。
    AT-SESC管理下のOpenFlowスイッチまたはAMFメンバーに接続しているデバイスのMACアドレスが一覧表示されます。
    デバイスID欄には「group=イベント来場者用」が、接続中ネットワーク欄には「vlan=30 id=来客用」が表示されるようになります。また、状況欄には「認証済み」が表示されます。




(C) 2015-2019 アライドテレシスホールディングス株式会社

PN: 613-002214 Rev.J