[index] AT-SecureEnterpriseSDN Controller リファレンスマニュアル 1.6.0

クイックツアー/一覧からのデバイス登録

ここでは、AT-SESC管理下のOpenFlowスイッチおよびAMFメンバーに対して物理的に接続しているデバイスを選択し、AT-SESCに登録する方法を説明します。

IPアドレスによるデバイスの探索

Note

IPアドレスによるデバイスの探索は、AMFアプリケーションプロキシーホワイトリスト機能では未サポートです。

1. 「デバイス」/「接続中 デバイス一覧」画面を表示します。
   

   

   
   
2. 画面右上の「デバイスの探索」ボタンをクリックし、「デバイス」/「デバイスの探索」ダイアログを表示します。
   

   

   
   
3. デバイス探索を行うIPv4アドレス、またはIPv4アドレス範囲を指定します。
   IPv4アドレス範囲は、xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx（始点アドレス・終点アドレス）、または、xxx.xxx.xxx.xxx/xx（IPv4アドレスとサブネットマスク長）の形式で指定できます。
   

   

   
   
4. 「検索」ボタンをクリックし、「デバイス」/「接続中 デバイス一覧」画面に戻ります。
   

   

   デバイスの探索は指定したIPv4アドレス、またはIPv4アドレス範囲に対して3回行われます。
   
   デバイス探索の状況は、画面右上の「デバイス探索状況」欄に随時表示されます。
   探索範囲内のデバイスから応答があった場合、「デバイス」/「接続中 デバイス一覧」画面右上の「更新」ボタンをクリックすると、応答のあったMACアドレスが一覧に追加されます。デバイス探索によって検出されたデバイスは、既存のアクション、デバイス、未認証グループの各種セキュリティーポリシーに準じて処理され、いずれのセキュリティーポリシーにも一致しない場合は認証失敗となります。
   この場合、クイックツアー「一覧からのデバイス登録」/「未認証グループによるデバイスの検出」の手順に従って、検出のみの未認証グループのセキュリティーポリシーを適切に設定することで、該当のデバイスを検出することができます。
   

接続中 デバイス一覧からのデバイスの登録

新規デバイスにMACアドレスを関連付ける

1. 「デバイス」/「接続中 デバイス一覧」画面を表示します。
   OpenFlowスイッチに接続してパケットを送出しており、AT-SESCのデバイス認証データに登録のないデバイスのMACアドレスは、「認証失敗」として一覧に表示されています。
   

   

   
   
2. 対象とする未登録のMACアドレスの、デバイスID欄の「登録」ボタンをクリックし、「デバイス」/「デバイス追加」ダイアログを表示します。
   

   

   
   
3. 「デバイス」/「デバイス追加」ダイアログにて、「このMAC アドレスを新規デバイスとして登録します。」を選択して「登録」ボタンをクリックします。
   
   
4. 「デバイス」/「デバイス追加」画面が表示されます。
   インターフェース欄には、「デバイス」/「接続中 デバイス一覧」画面で選択したMACアドレスが登録されます。
   新規に登録するデバイスのデバイスID（必須項目）、タグ、備考を設定します。
   必要に応じて、セキュリティーポリシーを設定することもできます。また、このデバイスの異なるインターフェースがあり、MACアドレスが判明している場合は、この時点でインターフェースを新規に追加することもできます。
   

   

   
   
5. 「登録」ボタンをクリックします。
   
   
6. 「デバイス」/「デバイス一覧」画面が表示されます。
   登録したデバイスが新たに追加されました。
   

   

既存のデバイスにMACアドレスを関連付ける

1. 「デバイス」/「接続中 デバイス一覧」画面を表示します。
   OpenFlowスイッチまたはAMFメンバーに接続してパケットを送出しており、AT-SESCのデバイス認証データに登録のないデバイスのMACアドレスは、「認証失敗」として一覧に表示されています。
   

   

   
   
2. 対象とする未登録のMACアドレスの、デバイスID欄の「登録」ボタンをクリックし、「デバイス」/「デバイス追加」ダイアログを表示します。
   

   

   
   
3. 「デバイス」/「デバイス追加」ダイアログにて、「このMAC アドレスを既存のデバイスに追加します。」を選択します。
   
   
4. 該当のMACアドレスを登録するデバイスIDを指定します。
   事前に登録されたデバイスIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をデバイスID、タグ、備考のいずれかに含むデバイスIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするデバイスIDをクリックします。
   

   

   
   
5. 「登録」ボタンをクリックします。
   
   
6. 「デバイス」/「デバイス更新」画面が表示されます。
   インターフェース欄には、「デバイス」/「接続中 デバイス一覧」画面で選択したMACアドレスが追加されます。
   必要に応じて、デバイスID（必須項目）、タグ、備考、セキュリティーポリシーを設定することもできます。また、このデバイスの異なるインターフェースがあり、MACアドレスが判明している場合は、この時点でインターフェースを新規に追加することもできます。
   

   

   
   
7. 「登録」ボタンをクリックします。
   
   
8. 「デバイス」/「デバイス一覧」画面が表示されます。
   

   

デバイスのフローエントリーを自動でOpenFlowスイッチに登録させる

Note

端末から送信されるパケットを契機にした認証を行わないため、フローエントリーに合致するネットワークのブロードキャスト等が該当のOpenFlowポートから送信されるようになります。そのため、セキュリティー面の制限があることを考慮した上でご使用ください。

Note

フローエントリーを自動でOpenFlowスイッチに登録させるように設定したデバイスが、ポリシーに設定した以外のOpenFlowスイッチおよびOpenFlowポートに接続されてパケットを送信した場合には通常の認証が行われ、ポリシーに合致しないため認証失敗となります。その際に自動登録のフローエントリーは削除されるため、正しいOpenFlowスイッチおよびOpenFlowポートに接続し直しても状況が「認証失敗」のままとなり、通信が行えなくなる場合があります。通信が行えなくなった場合は、正しいOpenFlowスイッチおよびOpenFlowポートに接続し、クイックツアー「一覧からのデバイス登録」/「IPアドレスによるデバイスの探索」の手順に従って、デバイスの探索を行ってください。

1. 「デバイス」/「接続中 デバイス一覧」画面を表示します。
   

   

   OpenFlowスイッチに接続してパケットを送出しており、AT-SESCのデバイス認証データに登録のないデバイスのMACアドレスは、「認証失敗」として一覧に表示されています。
   パケットを自発的に送信しないデバイスの場合は、クイックツアー「一覧からのデバイス登録」/「IPアドレスによるデバイスの探索」の手順に従って、デバイスを表示させます。
   該当のMACアドレスを持つインターフェースが接続しているOpenFlowスイッチのスイッチIDが登録されている場合、デバイスID欄に「固定登録」ボタンが表示されます。
   
   
2. 対象とする未登録のMACアドレスの、デバイスID欄の「固定登録」ボタンをクリックします。
   
   
3. 「デバイス」/「デバイス追加」画面が表示されます。
   インターフェース欄には、「デバイス」/「接続中 デバイス一覧」画面で選択したMACアドレスが登録されます。
   ポリシーのロケーション欄には、該当のMACアドレスが接続されているOpenFlowスイッチのスイッチIDとスイッチポート、および「フローの有効期限を無限にします。」が自動で設定されます。
   
   

   Note

   OpenFlowスイッチのスイッチIDとスイッチポート、および「フローの有効期限を無限にします。」がすべて設定されているデバイスが、フローエントリーを自動で登録させる対象になります。
   「デバイス」/「デバイス追加」画面で手動で入力した場合も、フローエントリーの自動登録の対象になります。

   
   新規に登録するデバイスのデバイスID（必須項目）、タグ、備考を設定します。
   また、必要に応じて、別の既知のインターフェースのMACアドレスやセキュリティーポリシーを設定することもできます。
   

   

   
   
4. 「登録」ボタンをクリックします。
   
   
5. 「デバイス」/「デバイス一覧」画面が表示されます。
   

未認証グループによるデバイスの検出

1. 「グループ」/「未認証グループ一覧」画面を表示します。
   

   

   
   
2. 画面右上の「未認証グループ追加」ボタンをクリックし、「グループ」/「未認証グループ追加」画面を表示します。
   

   

   
   
3. 「有効」チェックボックスにチェックが付いていることを確認します。
   
   
4. 未認証グループのグループID、備考を入力します。
   この例では、グループIDを「1F 未認証端末」とし、備考は空欄とします。
   
   
5. 「端末の検出のみを行います。」チェックボックスをクリックしてチェックを付けます。
   

   

   
   
6. ポリシーの「追加」ボタンをクリックして、「グループ」/「ポリシー編集」ダイアログを表示します。
   

   

   
   
7. セキュリティーポリシーの優先度を設定します。
   ここでは、優先度を「10」に設定します。
   
   
8. 今回は検出のみを行うため、ネットワークは空欄のままにします。
   

   Note

   「端末の検出のみを行います。」チェックボックスにチェックが付いていない場合、ネットワークを空欄にすると、デバイスはタグなしVLANに接続されます。タグなしVLANにアクセス可能な場合、OpenFlowスイッチと接続する上位のスイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。

   
   
9. デバイスの検出条件となるセキュリティーポリシーを設定します。
   ここでは、ロケーションに「1F」を指定します。
   AT-SESCのデバイス認証データに登録されていないMACアドレスのうち、ロケーション「1F」のいずれかのOpenFlowスイッチまたはAMFメンバーに接続されたものを、未認証グループ「1F 未認証端末」として検出します。
   

   

   
   
10. 「登録」ボタンをクリックして、「グループ」/「未認証グループ追加」画面に戻ります。
    

    

    
    
11. 「登録」ボタンをクリックして、「グループ」/「未認証グループ一覧」画面に戻ります。
    

    

    
    
12. 「デバイス」/「接続中 デバイス一覧」画面を表示します。
    AT-SESC管理下のOpenFlowスイッチに接続しているデバイスのMACアドレスが一覧表示されます。
    AT-SESCのデバイス認証データに登録されていないMACアドレスのうち、ロケーション「1F」のいずれかのOpenFlowスイッチまたはAMFメンバーに接続されたものは、状況欄に「検出」が表示されるようになりました。
    

    

    
    
13. 「デバイス」/「接続中 デバイス一覧」画面の状況ドロップダウンメニューから「検出」を選択します。
    AT-SESCのデバイス認証データに登録されていないMACアドレスのうち、状況が「検出」となっているMACアドレス、すなわち、ロケーション「1F」のいずれかのOpenFlowスイッチまたはAMFメンバーに接続されたもののみが一覧表示されます。
    
    
14. クイックツアー「一覧からのデバイス登録」/「接続中 デバイス一覧からのデバイスの登録」の手順に従って、必要なデバイスをAT-SESCに登録します。
    

検出されたデバイスの登録

(C) 2015-2019 アライドテレシスホールディングス株式会社

PN: 613-002214 Rev.J