リファレンス編/ポリシー設定


ネットワーク一覧
ネットワーク追加
ネットワーク更新
ロケーション一覧
ロケーション追加
OpenFlowスイッチ / AMFメンバー
ロケーション更新
OpenFlowスイッチ / AMFメンバー
スケジュール一覧
スケジュール追加
スケジュール更新
アクション一覧
アクション追加
アクション詳細


デバイス、または未認証グループに適用するセキュリティーポリシーを表示、設定します。
また、AT-SESCにセキュリティーポリシーに登録されているアクションの一覧を表示、またはアクションの追加もここから行います。

セキュリティーポリシーには、次の属性があります。


デバイスには複数のセキュリティーポリシーを設定でき、セキュリティーポリシーに設定される優先度の値が最も小さいものが適用されます。

AT-SESCにスケジュールのセキュリティーポリシーが設定されている場合、AT-SESCはデバイスが接続した時点で一致するセキュリティーポリシーに基づいて接続を許可します。
仮に次のようなセキュリティーポリシーが設定されている場合を例として説明します。

表 1:デバイスに設定されているセキュリティーポリシー
優先度
スケジュール開始日時
スケジュール終了日時
ネットワーク
10 20XX-04-01 00:00:00 20XX-09-30 23:59:59 VLAN10
20 20XX-01-01 00:00:00 20XX-12-31 23:59:59 VLAN20

上記の状態でデバイスが「20XX-03-30 10:00:00」に接続すると、優先度20に設定されているセキュリティーポリシーに一致するため、デバイスはVLAN20のネットワークに割り当てられます。
その後、時間が経過して「20XX-04-01 00:00:00」になると、より優先度が高い、優先度10に設定されているセキュリティーポリシーに一致するようになるため、デバイスはVLAN10のネットワークに割り当てられます。


ネットワーク一覧

登録済みネットワーク設定の一覧を表示します。

表 2:検索・並べ替え対象項目
項目
検索
並べ替え
ネットワーク ID
VLAN ID
備考

表 3:表示データ
項目名
説明
ネットワーク ID ネットワークの名称です。
クリックすると、該当のネットワークの「ネットワーク更新」画面を表示します。
VLAN ID ネットワークのVLAN IDです。
備考 ネットワークの追加説明やコメントです。

表 4:コマンドボタン
項目名
説明
ページ上部
ネットワーク追加 ネットワーク追加」画面を表示します。
CSV にエクスポート ネットワーク一覧をCSV(カンマ区切りテキスト)形式でダウンロードします。
ネットワーク一覧
タイトル行
複数削除 一覧の各行左端のチェックボックスにチェックを入れたネットワーク設定を削除します。
各行
編集 ネットワーク更新」画面を表示します。
削除 ネットワーク設定を削除します。

Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

ネットワーク追加

新しいネットワークとそのネットワークのVLAN IDを設定します。
ネットワーク設定を利用することにより、接続許可デバイスが接続されるVLANセグメントを制御できます。
VLANセグメントへの接続制御は、接続許可デバイスが送信したパケットにVLANタグを付加することにより実現します。

表 5:設定データ
項目名
説明
ネットワーク ID(必須項目) ネットワークの名称です。
既に使用されているネットワークIDを設定することはできません。
ネットワークIDは最大255文字で、英数字、記号以外に日本語も使用できます。
VLAN ID(必須項目) ネットワークのVLAN IDを設定します。既に登録済みのVLAN IDを別のネットワークに割り当てることはできません。
VLAN IDに0を設定するとVLANタグを付与しません。これはネットワーク設定を行わない状態と同じ動作になります。
VLAN IDの設定範囲は0~4094です。
備考 このネットワークの追加説明やコメントを記載できます。
備考は最大255文字で、英数字、記号以外に日本語も使用できます。

表 6:コマンドボタン
項目名
説明
ページ下部
登録 入力したネットワーク情報を新規に登録します。
キャンセル ネットワークの新規追加をキャンセルします。


ネットワーク更新

既に設定されたネットワーク設定を更新します。

表 7:設定データ
項目名
説明
ネットワーク ID(必須項目) ネットワークの名称です。
既に使用されているネットワークIDを設定することはできません。
IDは最大255文字で、英数字、記号以外に日本語も使用できます。
VLAN ID(必須項目) ネットワークのVLAN IDを設定します。
VLAN IDに0を設定するとVLANタグを付与しません。これはネットワーク設定を行わない状態と同じ動作になります。
VLAN IDの設定範囲は0~4094です。
備考 このネットワークの追加説明やコメントを記載できます。
備考は最大255文字で、英数字、記号以外に日本語も使用できます。

表 8:コマンドボタン
項目名
説明
ページ下部
登録 選択したネットワーク情報を更新します。
キャンセル ネットワーク情報の更新をキャンセルします。



ロケーション一覧

登録済みロケーション設定の一覧を表示します。

表 9:検索・並べ替え対象項目
項目
検索
並べ替え
ロケーション ID
備考
スイッチ数 × ×

表 10:表示データ
項目名
説明
ロケーション ID ロケーションの名称です。
クリックすると、該当のロケーションの「ロケーション更新」画面を表示します。
備考 ロケーションの追加説明やコメントです。
スイッチ数 ロケーションに登録されているOpenFlowスイッチの数です。

表 11:コマンドボタン
項目名
説明
ページ上部
ロケーション追加 ロケーション追加」画面を表示します。
CSV にエクスポート ネットワーク一覧をCSV(カンマ区切りテキスト)形式でダウンロードします。
ロケーション一覧
タイトル行
複数削除 一覧の各行左端のチェックボックスにチェックを入れたロケーション設定を削除します。
各行
編集 選択したロケーションの「ロケーション更新」画面を表示します。
削除 選択したロケーション設定を削除します。

Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

ロケーション追加

新しいロケーションとそのロケーションに所属するOpenFlowスイッチ/AMFメンバーを設定します。
ここで登録したロケーションをデバイスに設定することで、デバイスはそのロケーションに登録されたOpenFlowスイッチからのみ接続できるようになります。

表 12:設定データ
項目名
説明
ロケーション ID(必須項目) ロケーションの名称です。
既に使用されているロケーションIDを設定することはできません。
ロケーションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
備考 このロケーションの追加説明やコメントを記載できます。
備考は最大255文字で、英数字、記号以外に日本語も使用できます。
OpenFlow スイッチ / AMF メンバー このロケーションに所属するOpenFlowスイッチ/AMFメンバーの一覧です。

表 13:表示データ
項目名
説明
OpenFlow スイッチ
スイッチ ID ロケーションに所属するOpenFlowスイッチの名前またはAMFメンバーの名称です。
Datapath ID OpenFlowスイッチのデータパスID(OpenFlowコントローラーが使用する識別子)です。通常、MACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されます。
備考 このOpenFlowスイッチ/AMFメンバーの追加説明やコメントです。

表 14:コマンドボタン
項目名
説明
OpenFlowスイッチ / AMFメンバー
選択 OpenFlowスイッチ / AMFメンバー」ダイアログを表示します。
ページ下部
登録 入力したロケーション情報を新規に登録します。
キャンセル ロケーションの新規追加をキャンセルします。


OpenFlowスイッチ / AMFメンバー

ロケーション設定に所属するOpenFlowスイッチ/AMFメンバーの追加、削除を行う画面です。
この画面には、「スイッチ」/「OpenFlow スイッチ一覧」画面または「スイッチ」/「AMF メンバー 一覧」画面にて登録されているOpenFlowスイッチ/AMFメンバーの一覧が表示されます。
OpenFlowスイッチ/AMFメンバー一覧の左端のボックスにチェックを入れることにより、当該のロケーションにOpenFlowスイッチ/AMFメンバーが追加されます。

表 15:表示データ
項目名
説明
スイッチ ID AT-SESCに登録されたOpenFlowスイッチの名前またはAMFメンバーの名称です。
Datapath ID OpenFlowスイッチのデータパスID(OpenFlowコントローラーが使用する識別子)です。通常、MACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されます。
備考 このOpenFlowスイッチ/AMFメンバーの追加説明やコメントです。

表 16:コマンドボタン
項目名
説明
ページ下部
登録 チェックを入れたOpenFlowスイッチ/AMFメンバーをロケーションに登録します。
キャンセル 該当ロケーションに所属するOpenFlowスイッチ/AMFメンバー一覧の変更をキャンセルします。


ロケーション更新

既に設定されたロケーション設定を更新します。

表 17:設定データ
項目名
説明
ロケーション ID(必須項目) ロケーションの名称です。
既に使用されているロケーションIDを設定することはできません。
ロケーションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
備考 このロケーションの追加説明やコメントを記載できます。
備考は最大255文字で、英数字、記号以外に日本語も使用できます。
OpenFlow スイッチ / AMF メンバー このロケーションに所属するOpenFlowスイッチ/AMFメンバーの一覧です。

表 18:表示データ
項目名
説明
OpenFlow スイッチ
スイッチ ID ロケーションに所属するOpenFlowスイッチの名前またはAMFメンバーの名称です。
Datapath ID OpenFlowスイッチのデータパスID(OpenFlowコントローラーが使用する識別子)です。通常、MACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されます。
備考 このOpenFlowスイッチ/AMFメンバーの追加説明やコメントです。

表 19:コマンドボタン
項目名
説明
OpenFlowスイッチ / AMFメンバー
選択 OpenFlowスイッチ / AMFメンバー」ダイアログを表示します。
ページ下部
登録 選択したロケーション情報を更新します。
キャンセル ロケーション情報の更新をキャンセルします。


OpenFlowスイッチ / AMFメンバー

ロケーション設定に所属するOpenFlowスイッチ/AMFメンバーの追加、削除を行う画面です。
この画面には、「スイッチ」/「OpenFlow スイッチ一覧」画面または「スイッチ」/「AMF メンバー 一覧」画面にて登録されているOpenFlowスイッチ/AMFメンバーの一覧が表示されます。
OpenFlowスイッチ/AMFメンバー一覧の左端のボックスにチェックを入れることにより、当該のロケーションにスイッチが追加されます。

表 20:表示データ
項目名
説明
スイッチ ID AT-SESCに登録されたOpenFlowスイッチの名前またはAMFメンバーの名称です。
Datapath ID OpenFlowスイッチのデータパスID(OpenFlowコントローラーが使用する識別子)です。通常、MACアドレスをもとに自動設定、またはOpenFlowスイッチ側で手動設定した値が表示されます。
備考 このOpenFlowスイッチ/AMFメンバーの追加説明やコメントです。

表 21:コマンドボタン
項目名
説明
ページ下部
登録 チェックを入れたOpenFlowスイッチをロケーションに登録します。
キャンセル ロケーションの新規追加をキャンセルします。



スケジュール一覧

登録済みスケジュール設定の一覧を表示します。

表 22:検索・並べ替え対象項目
項目
検索
並べ替え
スケジュール ID
開始日時
終了日時
備考

表 23:表示データ
項目名
説明
スケジュール ID スケジュールの名称です。
クリックすると、該当のスケジュールの「スケジュール更新」画面を表示します。
開始日時 デバイスがネットワークに接続可能になる日時です。また、未認証グループによるデバイスの検出の検出条件(セキュリティーポリシー)としても使用できます。
終了日時 デバイスがネットワークに接続不可能になる日時です。また、未認証グループによるデバイスの検出の検出条件(セキュリティーポリシー)としても使用できます。
備考 スケジュールの追加説明やコメントです。

表 24:コマンドボタン
項目名
説明
ページ上部
スケジュール追加 スケジュール追加」画面を表示します。
CSV にエクスポート スケジュール一覧をCSV(カンマ区切りテキスト)形式でダウンロードします。
スケジュール一覧
タイトル行
複数削除 一覧の各行左端のチェックボックスにチェックを入れたスケジュール設定を削除します。
各行
編集 スケジュール更新」画面を表示します。
削除 スケジュール設定を削除します。

Note
CSVファイルについては、付録「CSVファイル」をご参照ください。

スケジュール追加

新しいスケジュールを設定します。
スケジュールを設定することによりデバイスがネットワークに接続可能な期間を制御することができます。

表 25:設定データ
項目名
説明
スケジュール ID(必須項目) スケジュールの名称です。
既に使用されているスケジュールIDを設定することはできません。
スケジュールIDは最大255文字で、英数字、記号以外に日本語も使用できます。
開始日時 デバイスがネットワークに接続可能になる日時、または未認証グループによるデバイスの検出の開始日時を設定します。
カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
終了日時 デバイスがネットワークに接続不可能になる日時、または未認証グループによるデバイスの検出の終了日時を設定します。
カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
備考 このスケジュールの追加説明やコメントを記載できます。
備考は最大255文字で、英数字、記号以外に日本語も使用できます。

■ カレンダーコントロール

表 26:コマンドボタン
項目名
説明
ページ下部
登録 入力したスケジュール情報を新規に登録します。
キャンセル スケジュールの新規追加をキャンセルします。


スケジュール更新

既に設定されたスケジュール設定を更新します。

表 27:設定データ
項目名
説明
スケジュール ID(必須項目) スケジュールの名称です。
既に使用されているスケジュールIDを設定することはできません。
スケジュールIDは最大255文字で、英数字、記号以外に日本語も使用できます。
開始日時 デバイスがネットワークに接続可能になる日時、または未認証グループによるデバイスの検出の開始日時を設定します。
カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
終了日時 デバイスがネットワークに接続不可能になる日時、または未認証グループによるデバイスの検出の終了日時を設定します。
カレンダーコントロールからの入力、または、手入力で日時を変更できます。入力形式は年月日はYYYY-mm-dd、時間はHH:MM:SSの形式です。
備考 このスケジュールの追加説明やコメントを記載できます。
備考は最大255文字で、英数字、記号以外に日本語も使用できます。

■ カレンダーコントロール

表 28:コマンドボタン
項目名
説明
ページ下部
登録 選択したスケジュール情報を更新します。
キャンセル スケジュール情報の更新をキャンセルします。



アクション一覧

デバイスに対し、「デバイス」/「接続中 デバイス一覧」画面、または連携するアプリケーションによって個別に設定された遮断、隔離などのアクションを一覧表示します。

また、表示されているアクションを削除することで、遮断、隔離などの状態を解除することができます。

Note
AMFアプリケーションプロキシー機能で、AT-SESCがAMFマスターに送信した被疑デバイスの遮断を解除(被疑デバイスの情報を削除)する場合には、本画面で該当のアクションを削除します。AMFアプリケーションプロキシー機能については、クイックツアー「AT-SESCについて」/「AMFアプリケーションプロキシー機能とは」をご参照ください。

表 29:検索・並べ替え対象項目
項目
検索
並べ替え
備考
アクションID  
優先度  
条件 ×  検索対象は「mac=」「ip=」「device-name=」「tag=」「location=」「switch=」「network=」以降の文字列のみ。
アクション (OpenFlow/AMF) ※1 ※2 ※1 検索対象は「通過(許可) ->」「破棄(遮断) ->」「隔離 ->」「ログ ->」以降の文字列のみ。後続のAMFアクションは検索対象外。
※2 並べ替えは、「通過(許可)」→「破棄(遮断)」→「隔離」→「ログ」の順を昇順とする。後続のAMFアクションによる並べ替えは対象外。
実行者  
原因  

表 30:表示データ
項目名
説明
アクション ID AT-SESCに登録されたアクションの名前です。登録されていない場合自動的に割り当てられます。
クリックすると、該当のアクションの「アクション詳細」画面を表示します。
優先度 アクションの優先度です。同時に条件を満たすアクションが存在する場合、より小さい値が割り当てられたアクションが優先して適用されます。
条件 アクションの条件です。
アクション (OpenFlow/AMF) アクションの内容です。
OpenFlowアクション(通過(許可)/隔離/破棄(遮断)/ログ)、AMFアクション(AMF依存/隔離/パケット破棄/リンクダウン/IPフィルター/ログ)をそれぞれ表示します。
実行者 アクションを設定したシステム(AT-SESCまたは連携アプリケーション)を表示します。
原因 アクションの原因です。

表 31:コマンドボタン
項目名
説明
ページ上部
アクション追加 アクション追加」画面を表示します。
CSV にエクスポート アクション一覧をCSV(カンマ区切りテキスト)形式でダウンロードします。
更新 アクション一覧」画面の表示を現在の状況に更新します。
アクション一覧
タイトル行
複数削除 左端のチェックボックスをオンにしたアクションを一括して削除します。
各行
削除 選択したアクションを個別に削除します。


アクション追加

アクションを新規に追加します。

表 32:設定データ
項目名
説明
アクション ID(必須項目) AT-SESCに登録するアクションのIDです。
既に使用されているアクションIDを設定することはできません。
アクションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
優先度 アクションの優先度です。1~65535の数字で入力します。
同時に条件を満たすアクションが存在する場合、より小さい値が割り当てられたアクションが優先して適用されます。値を省略した場合は10が設定されます。
原因 アクションの原因、適用理由など、管理上の情報を登録します。
原因は最大255文字で、英数字、記号以外に日本語も使用できます。
条件
デバイス MAC アドレス アクションの対象とするデバイスのユニキャストMACアドレスを指定します。
MACアドレスの表記として使用可能なフォーマットは下記となります。
xx:xx:xx:xx:xx:xx, xx-xx-xx-xx-xx-xx, xxxx.xxxx.xxxx
デバイス IPv4 アドレス アクションの対象とするデバイスのユニキャストIPv4アドレスを指定します。
デバイス アクションの対象とするデバイスIDを指定します。
事前に登録されたデバイスIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をデバイスID、タグ、備考のいずれかに含むデバイスIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするデバイスIDをクリックします。
デバイスタグ アクションの対象とする、デバイスに設定されたタグを入力します。
ロケーション アクションの対象とするロケーションIDです。
事前に登録されたロケーションIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をロケーションIDまたは備考のいずれかに含むロケーションIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするロケーションIDをクリックします。
OpenFlow スイッチ アクションの対象とするスイッチIDです。
事前に登録されたスイッチIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をスイッチID、Datapath ID、アップストリームポート、備考のいずれかに含むスイッチIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするスイッチIDをクリックします。
接続中ネットワーク アクションの対象とするネットワークIDです。
事前に登録されたネットワークIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をネットワークID、VLAN ID、備考のいずれかに含むネットワークIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするネットワークIDをクリックします。
アクション
OpenFlow アクション 対象のデバイスに適用するOpenFlowアクションの内容です。
  • 通過(許可): デバイスの通信を許可します。
  • 隔離: 隔離ネットワークに接続します。
  • 破棄(遮断): デバイスからのパケットを破棄し、通信を遮断します。
  • ログ: デバイスの通信を許可し、該当デバイスの情報を取得します。
通過/隔離 VLAN ID 対象のデバイスのパケットを通過、または、隔離するVLAN IDです。
AMF アクション AMFアプリケーションプロキシー機能を使用して、該当デバイスの通信遮断を指示する際のアクションの内容です。
  • AMF依存: AT-SESCからはアクションを通知せず、AMF機器側の設定に依存します。
  • 隔離: 該当デバイスが接続されているポートを隔離用VLANに移動します。
  • パケット破棄: 該当デバイスの通信をレイヤー2(MACレベル)で破棄します。
  • リンクダウン: 該当デバイスが接続されているポートを無効化します。
  • IPフィルター: 該当デバイスの通信をレイヤー3(IPレベル)で破棄します。
  • ログ: AT-SESCからはアクションを通知せず、該当デバイスの情報を取得します。

表 33:コマンドボタン
項目名
説明
ページ下部
登録 入力したアクションを新規に登録します。
キャンセル アクションの新規追加をキャンセルします。


アクション詳細

設定されているアクションの詳細を表示します。

表 34:表示データ
項目名
説明
アクション ID AT-SESCに登録されたアクションの名前です。登録されていない場合自動的に割り当てられます。
優先度 アクションの優先度です。同時に条件を満たすアクションが存在する場合、より小さい値が割り当てられたアクションが優先して適用されます。
原因 アクションの原因です。
条件
デバイス MAC アドレス アクションの対象とするデバイスのMACアドレスです。
デバイス IPv4 アドレス アクションの対象とするデバイスのIPv4アドレスです。
デバイス アクションの対象とするデバイス IDです。
デバイスタグ アクションの対象とする、デバイスに設定されたタグです。
ロケーション アクションの対象とするロケーション IDです。
OpenFlow スイッチ アクションの対象とするスイッチ IDです。
接続中ネットワーク アクションの対象とするネットワーク IDです。
アクション
OpenFlow アクション 対象のデバイスに適用するOpenFlowアクションの内容です。
  • 通過(許可): デバイスの通信を許可します。
  • 隔離: 隔離ネットワークに接続します。
  • 破棄(遮断): デバイスからのパケットを破棄し、通信を遮断します。
  • ログ: デバイスの通信を許可し、該当デバイスの情報を取得します。
通過/隔離 VLAN ID 対象のデバイスのパケットを通過、または、隔離するVLAN IDです。
AMF アクション AMFアプリケーションプロキシー機能を使用して、該当デバイスの通信遮断を指示する際のアクションの内容です。
  • AMF依存: AT-SESCからはアクションを通知せず、AMF機器側の設定に依存します。
  • 隔離: 該当デバイスが接続されているポートを隔離用VLANに移動します。
  • パケット破棄: 該当デバイスの通信をレイヤー2(MACレベル)で破棄します。
  • リンクダウン: 該当デバイスが接続されているポートを無効化します。
  • IPフィルター: 該当デバイスの通信をレイヤー3(IPレベル)で破棄します。
  • ログ: AT-SESCからはアクションを通知せず、該当デバイスの情報を取得します。

表 35:コマンドボタン
項目名
説明
ページ上部
戻る アクション一覧」画面に戻ります。




(C) 2015-2019 アライドテレシスホールディングス株式会社

PN: 613-002214 Rev.J