OpenFlow / 一般設定

はじめに

対象機種とファームウェアバージョン

OpenFlow機能とポートの種類

OpenFlow機能と併用可能な既存機能

OpenFlowとスタティックチャンネルグループの併用

OpenFlowポート番号の採番ルール

OpenFlowクライアントポートとして利用できるポート数

純粋なOpenFlowスイッチとしての基本構成

ハイブリッドOpenFlowスイッチとしての基本構成

AMF機能とOpenFlow機能の併用

その他の設定

コントローラーとの接続が失われた場合の動作

コントロールプレーンの暗号化

OpenFlowは、通常一台の装置にまとめて実装されているパケットの転送機能と転送制御機能を、それぞれ「OpenFlowスイッチ」と「OpenFlowコントローラー」に分離し、両者の通信プロトコルを定めることで、ソフトウェア（プログラミング）によるネットワークの設計、変更、管理、制御を可能にするいわゆるSDN（Software-Defined Networking）技術です。
OpenFlowを使用するネットワークでは、弊社別売製品AT-SecureEnterpriseSDN Controller（以下AT-SESC）などのOpenFlowコントローラーによって、複数のOpenFlow対応ネットワーク装置を制御します。

本製品は、OpenFlow機能の設定を行うことで、「OpenFlowスイッチ」として動作させることができます。

はじめに

OpenFlowでは、OpenFlowコントローラーから設定されるフローエントリーにしたがってすべての通信制御が行われるため、OpenFlowスイッチにおけるパケット転送の動作は、OpenFlowコントローラーの仕様に依存します。

本解説編では、OpenFlowコントローラーとしてAT-SESCを使用したネットワークの運用・管理に本製品を対応させるためのセットアップ手順を説明します。

Note
CentreCOM Secure HUBシリーズ用の「SES Readyライセンス」を適用した後の設定方法、コマンドは、本章の「OpenFlowスイッチの設定」をご参照ください。

Note
本製品のサポート対象となるOpenFlowコントローラーは、AT-SecureEnterpriseSDN Controller（AT-SESC）のみとなります。

Note
AT-SESCの詳しい使い方については、AT-SESCのマニュアルをご覧ください。

対象機種とファームウェアバージョン

他の章とは異なり、本章は下記のOpenFlow対応機種共通の内容になっています。
対象となる機種とファームウェアバージョンは次のとおりです。

機種	ファームウェアバージョン
CentreCOM x930シリーズ	5.4.5S-0.1、5.4.6-0.1以降
AT-DC2552XS	5.4.6-0.1以降
CentreCOM x550シリーズ	5.4.7-1.1以降
CentreCOM x510シリーズ	5.4.5S-0.1、5.4.6-0.1以降
CentreCOM x510Lシリーズ	5.4.5S-0.1、5.4.6-0.1以降
CentreCOM x310シリーズ	5.4.6-0.1以降（AT-x230-10GTは5.4.6-2.1以降）
CentreCOM x230シリーズ	5.4.6-0.1以降（AT-x230-10GTは5.4.6-2.1以降）
CentreCOM Secure HUB SH510シリーズ	5.4.6-2.1以降
CentreCOM Secure HUB SH310シリーズ
CentreCOM Secure HUB SH230シリーズ
CentreCOM Secure HUB XS900MXシリーズ
CentreCOM Secure HUB GS900MX/MPXシリーズ

Note
対象スイッチと合わせて、対応するライセンスが必要となります。

OpenFlow機能とポートの種類

本製品のOpenFlow実装では、明示的に設定したポートだけがOpenFlowポートとなり、その他のポートは通常のスイッチポートとして動作するポートベースのハイブリッドモデルを採用しています。

OpenFlow機能使用時、本製品のスイッチポートは次の3種類のいずれかになります。

ポートの種類	VLANタグ設定	転送可能なトラフィック			用途
ポートの種類	VLANタグ設定	データプレーン	コントロールプレーン	従来通信	用途
OpenFlowポート	タグなし	○	×	×	OpenFlowで通信制御するクライアント接続に使用データプレーンのアップリンクとしても使用
ハイブリッドOpenFlowポート	タグ付き	○	○	○	データプレーン、従来通信共通のアップリンクとして使用コントローラー接続にも使用可能
通常スイッチポート	タグなしまたはタグ付き	×	○	○	従来通信に使用コントローラー接続にも使用可能

次に典型的な構成図を示します。
なお、前表で述べたとおり、コントローラーを通常スイッチポートの先に接続する構成も可能です。

Note
AT-SESCでは、上位ネットワークにつながるOpenFlowポートを「アップストリームポート」として登録します。

Note
AT-SESCでアップストリームポートを登録するときは、該当ポートのインターフェース名またはOpenFlowポート番号を登録してください（OpenFlowポート番号については、「OpenFlowポート番号の採番ルール」を参照）。

OpenFlow機能と併用可能な既存機能

OpenFlow機能と併用可能な既存機能は、次表○の組み合わせです。
ポートの種類によって、併用可能な機能が異なりますのでご注意ください。
（既存機能は、本マニュアルの章分類にしたがって記載しています）

Note
実際にサポートされている既存機能は機種によって異なりますので、弊社ホームページの各製品の製品ページやマニュアルをご参照ください。

既存機能		ポート			備考
分類	項目名	通常ポート	ハイブリッド OpenFlowポート	OpenFlowポート	備考
運用・管理	システム	○	○	×
	コマンドラインインターフェース（CLI）	○	○	×
	ファイル操作	○	○	×
	コンフィグレーション	○	○	×
	ユーザー認証	○※	○※	×	※ ユーザー認証データベースのみサポート（RADIUSサーバー、TACACS+サーバーへの問い合わせはサポート対象外）
	RADIUSクライアント	○	○	×
	メール送信	○	○	×
	ログ	○	○	×
	LLDP	○	×	×
	SNMP	○	○	○※	※ リンクステータス通知トラップのみサポート。トラップの送信は通常ポートからのみサポート
	NTP	○	○	×
	端末設定	○	○	×
	Telnet	○	○	×
	Secure Shell	○	○	×
インターフェース	一般設定	○	○	○
	スイッチポート	○	○※a	○※b	※a ハイブリッドOpenFlowポートではMACアドレススラッシングプロテクション、ポートミラーリングは使用不可 ※b OpenFlowポートではフローコントロールのみサポート
	リンクアグリゲーション（IEEE 802.3ad）	○	○※	○※	※ スタティックチャンネルグループのみサポート
	ポート認証	○※	×	×	※ MACベース認証のみサポート
	Power over Ethernet	○	○	○
L2スイッチング	バーチャルLAN	○※	○※	×	※ ポートVLAN、タグVLAN、ネイティブVLANのみサポート
	イーサネットリングプロテクション（EPSR）	○	×	×
	フォワーディングデータベース	○	○	×
	DHCP Snooping	○※	○※	×	※ AMFゲストノードまたはAMFアプリケーションプロキシーを使用する場合のみサポート。DHCP Snooping単体での使用はサポート対象外
IP	一般設定	○	○	×
	IPインターフェース	○※	○※	×	※ スタティックIP、DHCPクライアント、セカンダリーIP、ループバックインターフェースのみサポート
	経路制御	○※	○※	×	※ インターフェース経路、スタティック経路のみサポート
	ARP	○※	○※	×	※ ARPキャッシュのみサポート
IPマルチキャスト	IGMP Snooping	○	○	×
IPv6マルチキャスト	MLD Snooping	○	○	×
トラフィック制御	アクセスリスト	○	×	×
	ハードウェアパケットフィルター	○	×	×
	Quality of Service	○	×	×
IP付加機能	DHCPサーバー	○	×	×
アライドテレシスマネージメントフレームワーク（AMF）	項目全般	○※a	○※b	×	※a 通常ポートではメンバー、ゲストノードのみサポート ※b ハイブリッドOpenFlowポートではメンバーのみサポート

○ ＝利用可能
× ＝利用不可

OpenFlowとスタティックチャンネルグループの併用

OpenFlowはスタティックチャンネルグループ機能と併用することで、複数のOpenFlowポートを束ねて帯域幅を拡大するとともに、リンクの冗長性を高めることが可能です。

Note
AT-SESCでは、上位ネットワークにつながるOpenFlowポートを「アップストリームポート」として登録します。

Note
AT-SESCのアップストリームポートにスタティックチャンネルグループのポートを設定するときは、該当ポートのインターフェース名またはOpenFlowポート番号を登録してください（OpenFlowポート番号については、「OpenFlowポート番号の採番ルール」を参照）。

OpenFlowポート番号の採番ルール

本製品からOpenFlowコントローラーへ通知されるOpenFlowポート番号は、show openflow statusコマンドから確認できますが、採番ルールは以下となります。

通常のOpenFlowポート

　OpenFlowポート番号　=　インターフェースインデックス番号　-　5000　

たとえば、port1.0.1の場合、インデックス番号は5001となるので、OpenFlowポート番号は1となります。
スタティックチャンネルグループのOpenFlowポート

　OpenFlowポート番号　=　インターフェースインデックス番号　-　3500 　

たとえば、sa1の場合、インデックス番号は4501となるので、OpenFlowポート番号は1001となります。

OpenFlowクライアントポートとして利用できるポート数

PC等の端末を接続するOpenFlowクライアントポートの最大ポート数は、構成によって変化します。

　最大クライアントポート数　=　筐体のポート数　-　通常ポート側の使用数　-　アップリンクへつながるOpenFlowポート数　

以下に構成例を示します。

この構成では、「アップリンクへつながるOpenFlowポート数」は、ハイブリッドOpenFlowポートの1ポートとなります。

Note
筐体でリンクアグリゲーションを使用する場合は、そのメンバーポート数に応じて、利用可能なクライアントポート数は少なくなります。

設定の流れ

AT-SESC管理下で、本製品をOpenFlowスイッチとして動作させるためには、最低限下記の設定を行う必要があります。
具体的な手順については、「OpenFlowスイッチの設定」をご覧ください。

一部既存機能の無効化
OpenFlow内部制御用VLANの設定
OpenFlowコントローラーと通信するための設定（コントロールプレーン）
OpenFlowポートの設定（データプレーン）
OpenFlowアップストリームポートの設定
設定完了後に再起動

準備

OpenFlow機能ライセンスの適用

ライセンスの適用に関するコマンドは、通常のAlliedWare Plusシステムと同じです。
OpenFlow機能を有効化するライセンスを適用した後は、スイッチを再起動してください。

Note
ファームウェアバージョン 5.4.7-0.1 から、OpenFlow 機能ライセンスの形態が変更されました。バージョン 5.4.7-0.1 以降では、従来形式のライセンスは使用できません。
バージョン 5.4.7-0.1 リリース前に OpenFlow 機能ライセンスを有効化した機器を、5.4.7-0.1 以降にファームウェアバージョンアップする場合、OpenFlow 機能ライセンスの更新が必要になりますので、ヒアリングシートを記載のうえ、弊社窓口までご連絡ください。

http://www.allied-telesis.co.jp/products/list/switch/at-fl/konyu.html

OpenFlowスイッチの設定

いくつかの構成を例にして、OpenFlowスイッチとしての設定手順を説明します。
本項では、x510シリーズ機器を例に説明しています。ポート番号等は適宜読み替えてくださいますようお願いいたします。

Note
ファームウェアバージョンが5.4.7より前のスイッチで、ヘアピンリンクを設定していた場合は、必ず設定を解除してください。ファームウェアバージョン5.4.7以降、ヘアピンリンクは使用できません。

Note
下記の構成例には、以下に述べる共通の注意事項、制限事項があります。

PC等の端末を接続するOpenFlowクライアントポートでは、VLANタグ付きパケットは未サポートです。

OpenFlowポートではジャンボフレームは未サポートです。

スイッチ本体の負荷が高くなると、一時的にOpenFlowポートにおける通信速度が低下することがあります。

サポートリミット端末数を超過して通信が行われると、超過分の通信は速度が低くなります。また、端末数が減少しても超過分の通信が継続している間は、フローが削除されない限り、その通信速度は低いままになります。

通信速度がワイヤーレートから数パーセント程度低下する場合があります。

show openflow rulesコマンドで表示されるフローエントリーの「set_field:」の値には、実際のVLAN IDに4096を足したものが表示されます。

show openflow rulesコマンドで表示される「table_id=254」のフローは、AT-SESCの「OpenFlowスイッチフロー一覧」には表示されません。AT-SESC 上で表示されるのは、AT-SESC が本製品に送信したフローのみです。「table_id=254」のフローは、本製品がデフォルトで登録しているフロー（AT-SESCと接続されていない状態でも登録されるフロー）のため、AT-SESC上では表示されません。

OpenFlowポートに対するQ-BRIDGE-MIBのdot1qPortIngressFilteringのSNMP Setは、未サポートです。

通常ドメイン（通常スイッチポート）とOpenFlowドメイン（OpenFlowポート）で同一のVLANを使用することはできません。

純粋なOpenFlowスイッチとしての基本構成

本製品を純粋なOpenFlowスイッチとして使用する場合の基本構成です。

ここでは、ポート1.0.5～1.0.28をOpenFlowポート（OpenFlowデータプレーン）に設定し、そのうちポート1.0.5を上位ネットワークに接続するアップストリームポートとして使用します。
コントローラーとの通信（コントロールプレーン）はvlan1上の通常スイッチポートで行います。

■ 本製品のOpenFlow設定

コントロールプレーン
割り当てポート	スイッチポート1.0.1～1.0.4（通常スイッチポート）
割り当てVLAN	vlan1
VLANインターフェースIPアドレス	192.168.1.1/24
データプレーン
割り当てポート	スイッチポート1.0.5～1.0.28（OpenFlowポート）
OpenFlow内部制御用VLAN	VLAN 4090
アップストリームポート	スイッチポート1.0.5（OpenFlowポート）

Note
VLAN 4090はパケット転送には使用しません。OpenFlowポートも初期状態ではデフォルトVLAN（VID=1）がネイティブVLANに設定されているため、通常ポートのvlan1で受信したパケットがOpenFlowポートにフラッディングされないようにするために本設定を行います。

■ OpenFlowコントローラー（AT-SESC）の設定

設定項目	内容
IPアドレス	192.168.1.10
OpenFlow TCPポート番号	6653
本OpenFlowスイッチに対するアップストリームポート設定	port1.0.5
デバイス認証設定	OpenFlowポート配下のデバイス(PC)	以下どちらかを設定・VLAN ID "100～104" いずれかのネットワークにアサイン・VLAN ID "0" または VLAN IDを指定しないネットワークにアサイン

Note
AT-SESCから設定されるフローエントリーでは、デバイスにアサインするネットワークの設定によって、デバイスのパケットがOpenFlowのアップストリームポートから送信される際の動作が変わります。

VLAN ID（1～4094）を指定したネットワークアサインの場合：OpenFlowのアップストリームポートから送信される際に該当VIDのVLANタグが付与されます。

VLAN ID "0" または VLAN ID を指定しないネットワークの場合：OpenFlowのアップストリームポートから送信される際に VLANタグは付与されません。上記構成例では対向アップリンクスイッチ側の設定により、タグなしパケットはVLAN ID 105として扱われます。

Note
AT-SESCの基本的な使い方や、アップストリームポート設定、ネットワークのアサイン方法等、詳細はAT-SESCのマニュアルをご覧ください。

OpenFlow機能とVCS機能は併用できないため、VCS対応機種をOpenFlowスイッチとして設定する場合は、事前にスタック接続を解除し、VCS機能を無効化して設定を保存した上で、スイッチを再起動してください。

awplus# configure terminal ↓
awplus(config)# no stack 1 enable ↓
Warning: this will disable the stacking hardware on member-1.
Are you sure you want to continue? (y/n):  y ↓
10:18:51 awplus VCS[824]: Deactivating Stacking Ports on stack member 1
awplus(config)# end ↓
awplus# 
awplus# write memory ↓
Building configuration...
[OK]
awplus# reboot ↓
reboot system? (y/n): y ↓

OpenFlowポートでパケット転送に使用するVLANを作成します。
```
awplus# configure terminal ↓
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 100-104 ↓
```
Note
OpenFlowポートで使用するVLANはフロー情報にもとづき自動的に作成されますが、後の手順で該当VLANのMLD Snoopingを無効化するにはあらかじめVLANを作成しておく必要があるため、ここで作成しています。
OpenFlowの内部制御用VLANに割り当てるVLANを作成し、割り当てます。ここで設定するVLANは、パケット転送には使用できません。
```
awplus(config-vlan)# vlan 4090 ↓
awplus(config-vlan)# exit ↓
awplus(config)# openflow native vlan 4090 ↓
```
Note
内部制御用VLANを設定する前に、当該のVLANを作成しておく必要があります。
コントローラーとの通信（コントロールプレーン）で使用するVLANにIPアドレスを設定します。
```
awplus(config)# interface vlan1 ↓
awplus(config-if)# ip address 192.168.1.1/24 ↓
awplus(config-if)# exit ↓
```
Note
AT-DC2552XS、x930シリーズでは、コントロールプレーンとしてマネージメントポート（eth0）を使用することもできます。その場合は eth0 にIPアドレスを設定してください。
OpenFlowコントローラー（AT-SESC）のIPアドレスとTCPポート番号を指定します。
```
awplus(config)# openflow controller tcp 192.168.1.10 6653 ↓
```
ポート1.0.5～1.0.28を通常スイッチポートからOpenFlowポートに変更します。
```
awplus(config)# interface port1.0.5-1.0.28 ↓
awplus(config-if)# openflow ↓
awplus(config-if)# exit ↓
```
Note
openflowコマンドの実行後に該当ポートの設定を変更した場合は、設定を保存しスイッチを再起動してください。
OpenFlowポートから制御パケットが送出されないよう、下記の設定を行います。
- システム全体：RSTP、MLD Snoopingを無効化
- OpenFlowポートでパケット転送に使用するVLAN：MLD Snoopingを無効化
- OpenFlowの内部制御用VLAN：IGMP Snoopingのトポロジー変更時Query要求機能とMLD Snoopingを無効化
```
awplus(config)# no spanning-tree rstp enable ↓
awplus(config)# no ipv6 mld snooping ↓
awplus(config)# interface vlan100-104 ↓
awplus(config-if)# no ipv6 mld snooping ↓
awplus(config-if)# exit ↓
awplus(config)# interface vlan4090 ↓
awplus(config-if)# no ip igmp snooping tcn query solicit ↓
awplus(config-if)# no ipv6 mld snooping ↓
awplus(config-if)# exit ↓
```
Note
筐体でLDF機能を有効にしている場合は、全OpenFlowポート上で LDFを無効に設定してください。

設定を保存して再起動してください。

awplus(config)# end ↓
awplus# write memory ↓
Building configuration...
[OK]
awplus# reboot ↓
reboot system? (y/n): y ↓

設定は以上です。

ハイブリッドOpenFlowスイッチとしての基本構成

OpenFlowによって制御されるOpenFlowポート上の通信と、通常スイッチポート上の従来通信が混在するハイブリッドOpenFlowスイッチとして使用する場合の基本構成です。

ここでは、ポート1.0.5～1.0.28をOpenFlowポート（OpenFlowデータプレーン）に設定し、そのうちポート1.0.5を上位ネットワークに接続するアップストリームポートとして使用します。ポート1.0.1～1.0.4は通常スイッチポートのままとし、従来通信に使用します。

また本例では、アップストリームポートのポート1.0.5を、コントローラーとの通信（コントロールプレーン）および通常ポートのアップリンクとしても使うため、同ポートをハイブリッドOpenFlowポートに設定します。

■ 本製品のOpenFlow設定

コントロールプレーン
割り当てポート	スイッチポート1.0.5（ハイブリッドOpenFlowポート）
割り当てVLAN	vlan1
VLANインターフェースIPアドレス	192.168.1.1/24
データプレーン
割り当てポート	スイッチポート1.0.6～1.0.28（OpenFlowポート）スイッチポート1.0.5（ハイブリッドOpenFlowポート）
OpenFlow内部制御用VLAN	VLAN 4090
アップストリームポート	スイッチポート1.0.5（ハイブリッドOpenFlowポート）
通常スイッチポート
割り当てポート	スイッチポート1.0.1～1.0.4（通常ポート）スイッチポート1.0.5（ハイブリッドOpenFlowポート）
割り当てVLAN	vlan10

Note
VLAN 4090はパケット転送には使用しません。OpenFlowポートも初期状態ではデフォルトVLAN（VID=1）がネイティブVLANに設定されているため、通常ポートのvlan1で受信したパケットがOpenFlowポートにフラッディングされないようにするために本設定を行います。

■ OpenFlowコントローラー（AT-SESC）の設定

設定項目	内容
IPアドレス	192.168.1.10
OpenFlow TCPポート番号	6653
本OpenFlowスイッチに対するアップストリームポート設定	port1.0.5
デバイス認証設定	OpenFlowポート配下のデバイス(PC)	以下どちらかを設定・VLAN ID "100～104" いずれかのネットワークにアサイン・VLAN ID "0" または VLAN IDを指定しないネットワークにアサイン

Note
AT-SESCから設定されるフローエントリーでは、デバイスにアサインするネットワークの設定によって、デバイスのパケットがOpenFlowのアップストリームポートから送信される際の動作が変わります。

VLAN ID（1～4094）を指定したネットワークアサインの場合：OpenFlowのアップストリームポートから送信される際に該当VIDのVLANタグが付与されます。

VLAN ID "0" または VLAN ID を指定しないネットワークの場合：OpenFlowのアップストリームポートから送信される際に VLANタグは付与されません。上記構成例では対向アップリンクスイッチ側の設定により、タグなしパケットはVLAN ID 105として扱われます。

Note
AT-SESCの基本的な使い方や、アップストリームポート設定、ネットワークのアサイン方法等、詳細はAT-SESCのマニュアルをご覧ください。

awplus# configure terminal ↓
awplus(config)# no stack 1 enable ↓
Warning: this will disable the stacking hardware on member-1.
Are you sure you want to continue? (y/n):  y ↓
10:18:51 awplus VCS[824]: Deactivating Stacking Ports on stack member 1
awplus(config)# end ↓
awplus# 
awplus# write memory ↓
Building configuration...
[OK]
awplus# reboot ↓
reboot system? (y/n): y ↓

OpenFlowポートでパケット転送に使用するVLANを作成します。
```
awplus# configure terminal ↓
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 100-104 ↓
```
Note
OpenFlowポートで使用するVLANはフロー情報にもとづき自動的に作成されますが、後の手順で該当VLANのMLD Snoopingを無効化するにはあらかじめVLANを作成しておく必要があるため、ここで作成しています。
通常スイッチポートでパケット転送に使用するVLANを作成します。
```
awplus(config-vlan)# vlan 10 ↓
```
OpenFlowの内部制御用VLANに割り当てるVLANを作成し、割り当てます。ここで設定するVLANは、パケット転送には使用できません。
```
awplus(config-vlan)# vlan 4090 ↓
awplus(config-vlan)# exit ↓
awplus(config)# openflow native vlan 4090 ↓
```
Note
内部制御用VLANを設定する前に、当該のVLANを作成しておく必要があります。
コントローラーとの通信（コントロールプレーン）で使用するVLANにIPアドレスを設定します。
```
awplus(config)# interface vlan1 ↓
awplus(config-if)# ip address 192.168.1.1/24 ↓
awplus(config-if)# exit ↓
```
Note
AT-DC2552XS、x930シリーズでは、コントロールプレーンとしてマネージメントポート（eth0）を使用することもできます。その場合は eth0 にIPアドレスを設定してください。
OpenFlowコントローラー（AT-SESC）のIPアドレスとTCPポート番号を指定します。
```
awplus(config)# openflow controller tcp 192.168.1.10 6653 ↓
```
ポート1.0.5～1.0.28を通常スイッチポートからOpenFlowポートに変更します。
```
awplus(config)# interface port1.0.5-1.0.28 ↓
awplus(config-if)# openflow ↓
awplus(config-if)# exit ↓
```
Note
openflowコマンドの実行後に該当ポートの設定を変更した場合は、設定を保存しスイッチを再起動してください。
OpenFlowポートから制御パケットが送出されないよう、下記の設定を行います。
- システム全体：RSTP、MLD Snoopingを無効化
- OpenFlowポートでパケット転送に使用するVLAN：MLD Snoopingを無効化
- OpenFlowの内部制御用VLAN：IGMP Snoopingのトポロジー変更時Query要求機能とMLD Snoopingを無効化
```
awplus(config)# no spanning-tree rstp enable ↓
awplus(config)# no ipv6 mld snooping ↓
awplus(config)# interface vlan100-104 ↓
awplus(config-if)# no ipv6 mld snooping ↓
awplus(config-if)# exit ↓
awplus(config)# interface vlan4090 ↓
awplus(config-if)# no ip igmp snooping tcn query solicit ↓
awplus(config-if)# no ipv6 mld snooping ↓
awplus(config-if)# exit ↓
```
Note
筐体でLDF機能を有効にしている場合は、全OpenFlowポート上で LDFを無効に設定してください。
アップストリームポートとして使用するポート1.0.5をタグ付きポートに設定し、コントロールプレーン用VLANと通常ポート用VLANを追加します。また、イングレスフィルタリングを無効にして、その他の任意のVLANタグを受信できるようにします。
タグ付きポートに設定したOpenFlowポートは、ハイブリッドOpenFlowポートになります。
```
awplus(config)# interface port1.0.5 ↓
awplus(config-if)# switchport mode trunk ingress-filter disable ↓
awplus(config-if)# switchport trunk allowed vlan add 1,10 ↓
awplus(config-if)# exit ↓
```
Note
ハイブリッドOpenFlowポートでは、switchport trunk allowed vlanで許可したVLANとAMF用VLANのタグ付きトラフィックはOpenFlowで制御せずに、通常のスイッチング処理を行います。それ以外のトラフィックは通常のOpenFlowポートと同様、OpenFlowによって制御します。

設定を保存して再起動してください。

awplus(config)# end ↓
awplus# write memory ↓
Building configuration...
[OK]
awplus# reboot ↓
reboot system? (y/n): y ↓

設定は以上です。

AMF機能とOpenFlow機能の併用

本製品をアライドテレシスマネージメントフレームワーク（AMF）ネットワークのメンバーとして管理・保守しつつ、OpenFlowスイッチとしても運用する場合の設定を説明します。

本項では、x510シリーズ機器にAMF機能とOpenFlow機能を設定する場合を例に説明します。

■ 本製品のOpenFlow設定

コントロールプレーン
割り当てポート	スイッチポート1.0.5（ハイブリッドOpenFlowポート）
割り当てVLAN	vlan1
VLANインターフェースIPアドレス	192.168.1.1/24
データプレーン
割り当てポート	スイッチポート1.0.6～1.0.28（OpenFlowポート）スイッチポート1.0.5（ハイブリッドOpenFlowポート）
OpenFlow内部制御用VLAN	VLAN 4090
アップストリームポート	スイッチポート1.0.5（ハイブリッドOpenFlowポート）
通常スイッチポート
割り当てポート	スイッチポート1.0.1～1.0.4（通常ポート）スイッチポート1.0.5（ハイブリッドOpenFlowポート）
割り当てVLAN	vlan10

Note
VLAN 4090はパケット転送には使用しません。OpenFlowポートも初期状態ではデフォルトVLAN（VID=1）がネイティブVLANに設定されているため、通常ポートのvlan1で受信したパケットがOpenFlowポートにフラッディングされないようにするために本設定を行います。

■ OpenFlowコントローラー（AT-SESC）の設定

設定項目	内容
IPアドレス	192.168.1.10
OpenFlow TCPポート番号	6653
本OpenFlowスイッチに対するアップストリームポート設定	port1.0.5
デバイス認証設定	OpenFlowポート配下のデバイス(PC)	以下どちらかを設定・VLAN ID "100～104" いずれかのネットワークにアサイン・VLAN ID "0" または VLAN IDを指定しないネットワークにアサイン

■ 本製品のAMF設定

設定項目	内容
AMFネットワーク名	atmf1
AMF接続ポート（AMFリンク）	スイッチポート1.0.5（ハイブリッドOpenFlowポート）

Note
AT-SESCから設定されるフローエントリーでは、デバイスにアサインするネットワークの設定によって、デバイスのパケットがOpenFlowのアップストリームポートから送信される際の動作が変わります。

VLAN ID（1～4094）を指定したネットワークアサインの場合：OpenFlowのアップストリームポートから送信される際に該当VIDのVLANタグが付与されます。

VLAN ID "0" または VLAN ID を指定しないネットワークの場合：OpenFlowのアップストリームポートから送信される際に VLANタグは付与されません。上記構成例では対向AMFマスター側の設定により、タグなしパケットはVLAN ID 105として扱われます。

Note
AT-SESCの基本的な使い方や、アップストリームポート設定、ネットワークのアサイン方法等、詳細はAT-SESCのマニュアルをご覧ください。

AMFネットワーク名を設定し、AMF接続ポート（AMFリンク）を作成します。

awplus# configure terminal ↓
awplus(config)# atmf network-name atmf1 ↓
awplus(config)# interface port1.0.5 ↓
awplus(config-if)# switchport atmf-link ↓
awplus(config-if)# exit ↓

awplus(config)# no stack 1 enable ↓
Warning: this will disable the stacking hardware on member-1.
Are you sure you want to continue? (y/n): y ↓
10:18:51 awplus VCS[824]: Deactivating Stacking Ports on stack member 1
awplus(config)# end ↓
awplus# 
awplus# write memory ↓
Building configuration...
[OK]
awplus# reboot ↓
reboot system? (y/n): y ↓

OpenFlowポートでパケット転送に使用するVLANを作成します。
```
awplus# configure terminal ↓
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 100-104 ↓
```
Note
OpenFlowポートで使用するVLANはフロー情報にもとづき自動的に作成されますが、後の手順で該当VLANのMLD Snoopingを無効化するにはあらかじめVLANを作成しておく必要があるため、ここで作成しています。
通常スイッチポートでパケット転送に使用するVLANを作成します。
```
awplus(config-vlan)# vlan 10 ↓
```
OpenFlowの内部制御用VLANに割り当てるVLANを作成し、割り当てます。ここで設定するVLANは、パケット転送には使用できません。
```
awplus(config-vlan)# vlan 4090 ↓
awplus(config-vlan)# exit ↓
awplus(config)# openflow native vlan 4090 ↓
```
Note
内部制御用VLANを設定する前に、当該のVLANを作成しておく必要があります。
コントローラーとの通信（コントロールプレーン）で使用するVLANにIPアドレスを設定します。
```
awplus(config)# interface vlan1 ↓
awplus(config-if)# ip address 192.168.1.1/24 ↓
awplus(config-if)# exit ↓
```
Note
AT-DC2552XS、x930シリーズでは、コントロールプレーンとしてマネージメントポート（eth0）を使用することもできます。その場合は eth0 にIPアドレスを設定してください。
OpenFlowコントローラー（AT-SESC）のIPアドレスとTCPポート番号を指定します。
```
awplus(config)# openflow controller tcp 192.168.1.10 6653 ↓
```
ポート1.0.5～1.0.28を通常スイッチポートからOpenFlowポートに変更します。
```
awplus(config)# interface port1.0.5-1.0.28 ↓
awplus(config-if)# openflow ↓
awplus(config-if)# exit ↓
```
Note
openflowコマンドの実行後に該当ポートの設定を変更した場合は、設定を保存しスイッチを再起動してください。
OpenFlowポートから制御パケットが送出されないよう、下記の設定を行います。
- システム全体：RSTP、MLD Snoopingを無効化
- OpenFlowポートでパケット転送に使用するVLAN：MLD Snoopingを無効化
- OpenFlowの内部制御用VLAN：IGMP Snoopingのトポロジー変更時Query要求機能とMLD Snoopingを無効化
```
awplus(config)# no spanning-tree rstp enable ↓
awplus(config)# no ipv6 mld snooping ↓
awplus(config)# interface vlan100-104 ↓
awplus(config-if)# no ipv6 mld snooping ↓
awplus(config-if)# exit ↓
awplus(config)# interface vlan4090 ↓
awplus(config-if)# no ip igmp snooping tcn query solicit ↓
awplus(config-if)# no ipv6 mld snooping ↓
awplus(config-if)# exit ↓
```
Note
筐体でLDF機能を有効にしている場合は、全OpenFlowポート上で LDFを無効に設定してください。
アップストリームポートとして使用するポート1.0.5をタグ付きポートに設定し、コントロールプレーン用VLANと通常ポート用VLANを追加します。また、イングレスフィルタリングを無効にして、その他の任意のVLANタグを受信できるようにします。
タグ付きポートに設定したOpenFlowポートは、ハイブリッドOpenFlowポートになります。
```
awplus(config)# interface port1.0.5 ↓
awplus(config-if)# switchport mode trunk ingress-filter disable ↓
awplus(config-if)# switchport trunk allowed vlan add 1,10 ↓
awplus(config-if)# exit ↓
```
Note
ハイブリッドOpenFlowポートでは、switchport trunk allowed vlanで許可したVLANとAMF用VLANのタグ付きトラフィックはOpenFlowで制御せずに、通常のスイッチング処理を行います。それ以外のトラフィックは通常のOpenFlowポートと同様、OpenFlowによって制御します。

設定を保存して再起動してください。

awplus(config)# end ↓
awplus# write memory ↓
Building configuration...
[OK]
awplus# reboot ↓
reboot system? (y/n): y ↓

設定は以上です。

その他の設定

コントローラーとの接続が失われた場合の動作

コントローラーとの接続が失われた場合（コネクションインタラプション）の動作は、openflow failmode standaloneコマンドの設定により次の2つから選択できます。

standalone動作無効 - 既存のフローエントリーにしたがって動作（初期設定）
standalone動作有効 - 通常のL2スイッチとして単独動作

■ standalone動作無効時（初期設定）の動作は次のとおりです。

コントローラーとの接続が失われたと判断した後も、既存のフローエントリーにしたがって転送を行います。ただし、既存のフローエントリーがタイムアウトした後はパケットを破棄します。
接続が失われた後もコントローラーとの接続を施行し続け、接続が回復した場合は通常のOpenFlowスイッチとしての動作に戻ります。

■ standalone動作有効時の動作は次のとおりです。

コントローラーとの接続が失われたと判断した場合、OpenFlowポートでは本製品単独で通常のL2スイッチング動作を行うようになります。
（OpenFlowポートではタグなしパケットしか転送できません）
単独動作中もコントローラーとの接続を試行し続け、接続が回復した場合は単独動作を停止して通常のOpenFlowスイッチとしての動作に戻ります。

■ standalone動作を有効にするには、openflow failmode standaloneコマンドを通常形式で実行します。

awplus(config)# openflow failmode standalone ↓

■ 本製品は、「疎通確認間隔 × 3」の期間、コントローラーから1つもメッセージを受信しなかった場合に接続が失われたと判断します。
疎通確認間隔はopenflow inactivityコマンドで変更できます。初期設定は10秒です。

awplus(config)# openflow inactivity 5 ↓

■ standalone動作を無効にするには、openflow failmode standaloneコマンドをno形式で実行します。

awplus(config)# no openflow failmode standalone ↓

コントロールプレーンの暗号化

OpenFlowコントローラーとの通信（コントロールプレーン）方式としては、次の2種類をサポートしています。

TCP（暗号化なし）
TLS（暗号化あり）

Note
AT-SecureEnterpriseSDN Controller（AT-SESC）は、バージョン1.3.1の時点ではTLS接続に未対応です。

■ TCPを使う場合は、前記設定例のように、openflow controllerコマンドのPROTOCOLパラメーターでtcpを指定します。

awplus(config)# openflow controller tcp 192.168.1.10 6653 ↓

■ TLSを使う場合は、本製品自身のTLS証明書を用意し、これらを使うように設定した上で、openflow controllerコマンドのPROTOCOLパラメーターに ssl を指定します。
以下、コントローラーとTLSで接続するための手順を説明します。

前記設定例をTLS接続に変更する場合は、各設定例の openflow controller tcp 192.168.1.10 6653 の部分を以下の設定に置き換えてください。

本製品のTLS証明書（＝公開鍵ペアと自署の公開鍵証明書）を生成します。これには、crypto pki trustpointコマンドを使います。トラストポイント名（NAMEパラメーター）は local しかサポートしていませんので、これを指定してください。
```
awplus(config)# crypto pki trustpoint local ↓
```
前の手順で生成したTLS証明書をOpenFlowコントローラーとのTLS接続に使用するよう設定します。これには、openflow ssl trustpointコマンドを使います。トラストポイント名（NAMEパラメーター）には local を指定してください。
```
awplus(config)# openflow ssl trustpoint local ↓
```
接続先のOpenFlowコントローラーを指定します。これには、openflow controllerコマンドを使います。このとき、PROTOCOLパラメーターには ssl を指定してください。
```
awplus(config)# openflow controller ssl 192.168.1.10 6653 ↓
```

■ TLS接続時にOpenFlowコントローラーのTLS証明書を検証するには、コントローラーのTLS証明書を発行したCAの証明書ファイル（PEM形式）を本製品のファイルシステム上に用意し、openflow ssl peer certificateコマンドでそのファイルを指定してください。
次の例では、コントローラーの証明書を検証するために必要なCA証明書ファイルが flash:/ca_for_controller.pem に置かれているものと仮定しています。
なお、OpenFlow機能の初期設定ではサーバー証明書の検証は行いません。

awplus(config)# openflow ssl peer certificate flash:/ca_for_controller.pem ↓

■ OpenFlowコントローラー側で本製品のTLS証明書を検証したい場合は、本製品のTLS証明書を発行したCAの証明書をPEM形式ファイルに書き出し、OpenFlowコントローラーにインストールする必要があります。これには、crypto pki export pemコマンドを使います。トラストポイント名（NAMEパラメーター）には local を指定してください。
次の例では、本製品の証明書を検証するために必要なCA証明書ファイルを flash:/ca_for_switch.pem に書き出すものと仮定しています。
このファイルをコントローラーに転送し、コントローラーの仕様にしたがって適切な場所にインストールしてください。

awplus# crypto pki export local pem flash:/ca_for_switch.pem ↓

■ OpenFlow機能のTLS接続に関する設定内容は、show openflow sslコマンドで確認できます。

awplus# show openflow ssl ↓
Private key: /flash/.certs/pki/local/cakey.pem
Certificate: /flash/.certs/pki/local/cacert.pem
CA Certificate: /flash/ca_for_controller.pem
Bootstrap: false

PN: 613-002105 Rev.L