OpenFlow / 一般設定

はじめに

対象機種とファームウェアバージョン

OpenFlow設定概要

ヘアピンリンク

OpenFlow機能と併用可能な既存機能

OpenFlowとスタティックチャンネルグループの併用

複数スイッチチップ製品におけるヘアピンリンク構成での併用制限

OpenFlowポートにおけるポート番号の採番ルール

OpenFlowクライアントポートとして利用できるポート数

準備

OpenFlowライセンスの適用

OpenFlowスイッチの設定

ヘアピンリンクを使用するOpenFlow設定例

ヘアピンリンクを使用しないOpenFlow設定例

AMF機能とOpenFlow機能の併用

AMFゲストノードの設定

AMFゲストノードの機器情報を取得する方法がstaticの場合

AMFゲストノードの機器情報を取得する方法がdynamicの場合

OpenFlowは、通常一台の装置にまとめて実装されているパケットの転送機能と転送制御機能を、それぞれ「OpenFlowスイッチ」と「OpenFlowコントローラー」に分離し、両者の通信プロトコルを定めることで、ソフトウェア（プログラミング）によるネットワークの設計、変更、管理、制御を可能にするいわゆるSDN（Software-Defined Networking）技術です。
OpenFlowを使用するネットワークでは、弊社別売製品AT-SecureEnterpriseSDN Controller（以下AT-SESC）などのOpenFlowコントローラーによって、複数のOpenFlow対応ネットワーク装置を制御します。

はじめに

OpenFlowでは、OpenFlowコントローラーから設定されるフローエントリーに従ってすべての通信制御が行われるため、OpenFlowスイッチにおけるパケット転送の動作は、OpenFlowコントローラーの仕様に依存します。

以下に、OpenFlowコントローラーとしてAT-SESCを使用したネットワーク運用・管理に本製品を対応させるためのセットアップ手順を記載します。

Note - CentreCOM Secure HUBシリーズ用の「SES Readyライセンス」を適用した後の設定方法、コマンドは、本章の「OpenFlowスイッチの設定」をご参照ください。

Note - 本製品のサポート対象となるOpenFlowコントローラーは、AT-SecureEnterpriseSDN Controller（AT-SESC）のみとなります。

Note - AT-SESCの詳しい使い方については、AT-SESCのマニュアルをご覧ください。

対象機種とファームウェアバージョン

他の章とは異なり、本章は下記のOpenFlow対応機種共通の内容になっています。
対象となる機種とファームウェアバージョンは次のとおりです。

機種 ファームウェアバージョン

AT-DC2552XS 5.4.6-0.1以降

CentreCOM x930シリーズ 5.4.5S-0.1、5.4.6-0.1以降

CentreCOM x510シリーズ

CentreCOM x510Lシリーズ

CentreCOM x310シリーズ 5.4.6-0.1以降
（AT-x230-10GTは5.4.6-2.1以降）

CentreCOM x230シリーズ

CentreCOM Secure HUB SH510シリーズ 5.4.6-2.1以降

CentreCOM Secure HUB SH310シリーズ

CentreCOM Secure HUB SH230シリーズ

CentreCOM Secure HUB XS900MXシリーズ

CentreCOM Secure HUB GS900MX/MPXシリーズ

Note - 対象スイッチと合わせて、対応するライセンスが必要となります。

OpenFlow設定概要

本製品のOpenFlow実装では、明示的に設定したポートだけがOpenFlowポートとなり、その他のポートは通常のスイッチポートとして動作するポートベースのハイブリッドモデルを採用しています。

本製品におけるOpenFlowのデータプレーンとコントロールプレーンの役割分けは、OpenFlowポートとして設定したポートがデータプレーンとなり、その他の通常スイッチポートがコントロールプレーンを兼用します。
コントロールプレーンでは、通常スイッチポートで構成されるため、従来どおりの転送方式となるスイッチング等による通信が行われます。

Note - AT-SESC管理下では、OpenFlowポート（データプレーンポート）は、さらに役割の異なる「アップストリームポート」と「クライアントポート」の2つに分かれます。

アップストリームポート
OpenFlowスイッチ上に1つのみ設定され、上位ネットワークにつながるポート。本設定は、AT-SESC側でポートの登録を行います。
クライアントポート
残りすべてのOpenFlowポート（データプレーンポート）。PC等の端末はこのポートに接続します。

Note - AT-SESCのアップストリームポートにポートを設定する際は、インターフェース名またはOpenFlowポート番号を登録してください。

AT-SESC管理下で、本製品をOpenFlowスイッチとして動作させるためには、大きく下記を行う必要があります。

一部既存機能の無効化
OpenFlowポートおよび通常ポート（コントロールプレーンとの兼用）におけるパケット転送VLANの設定
OpenFlow内部制御用VLANの設定
OpenFlowコントローラーとの通信設定
通常スイッチポートをOpenFlowポートに設定（データプレーン）
OpenFlowアップストリームポート用の設定
設定完了後に再起動

ヘアピンリンク

本製品では、OpenFlowポートと通常スイッチポート間の通信を、機器内部で直接転送することはできません。

OpenFlowポートと通常スイッチポート間で通信を行うには、OpenFlowポートと通常スイッチポート間に物理的なリンクを作り（以降このリンクのことをヘアピンリンクと呼称します）、OpenFlowコントローラーからのフローエントリーによって、通常スイッチポート宛の通信がヘアピンリンクを経由するように（通常スイッチポート宛の通信がすべてヘアピンリンクのポートから送出されるように）、設定されている必要があります。

Note - AT-SESC管理下では、ヘアピリンクを構成するOpenFlowポートをアップストリームポートとして登録します。

Note - OpenFlowポートでAMFゲストノード機能を使用するには、ヘアピンリンクが必須となります。

OpenFlow機能と併用可能な既存機能

また、OpenFlow機能と併用可能な既存機能は以下です。

Note - 既存機能は機種によって異なりますので、弊社ホームページの各製品の製品ページやマニュアルをご参照ください。

通常ポートで使用可能な既存機能

分類 項目名 備考

運用・管理 システム

コマンドラインインターフェース（CLI）

ファイル操作

コンフィグレーション

ユーザー認証ユーザー認証データベースのみサポート（RADIUSサーバー、TACACS+サーバーへの問い合わせはサポート対象外）

RADIUSクライアント

メール送信

ログ

LLDP

SNMP

NTP

端末設定

Telnet

Secure Shell

インターフェース 一般設定

スイッチポート

リンクアグリゲーション（IEEE 802.3ad）

ポート認証 MACベース認証のみサポート

Power over Ethernet

L2スイッチング バーチャルLAN ポートVLAN、タグVLAN、ネイティブVLANのみサポート

イーサネットリングプロテクション（EPSR）

フォワーディングデータベース

DHCP Snooping AMFゲストノードを使用する場合のみサポート。DHCP Snooping単体での使用はサポート対象外

IP/IPルーティング 一般設定

IPインターフェーススタティックIP、DHCPクライアント、セカンダリーIP、ループバックインターフェースのみサポート

経路制御インターフェース経路、スタティック経路のみサポート

ARP ARPキャッシュのみサポート

IPマルチキャスト IGMP Snooping

トラフィック制御 アクセスリスト

ハードウェアパケットフィルター

Quality of Service

IP付加機能 DHCPサーバー

アライドテレシスマネージメントフレームワーク（AMF） 項目全般メンバー、ゲストノードのみサポート

OpenFlow ポートで併用可能な既存機能

分類 項目名 備考

運用・管理 SNMP リンクステータス通知トラップのみサポート ※1

インターフェース 一般設定

スイッチポートフローコントロールのみサポート

リンクアグリゲーション（IEEE 802.3ad）スタティックチャンネルグループのみサポート

Power over Ethernet

アライドテレシスマネージメントフレームワーク（AMF） 項目全般ゲストノードのみサポート

OpenFlowとスタティックチャンネルグループの併用

OpenFlowはスタティックチャンネルグループ機能と併用することで、複数のOpenFlowポートを束ねて帯域幅を拡大するとともに、リンクの冗長性を高めることが可能です。
スタティックチャンネルグループは、OpenFlowクライアントポートおよびヘアピンリンク（通常スイッチポートとOpenFlowアップストリームポート）の両方に使用できます。

Note - AT-SESCのアップストリームポートにスタティックチャンネルグループのポートを設定する際は、インターフェース名またはOpenFlowポート番号を登録してください。

複数スイッチチップ製品におけるヘアピンリンク構成での併用制限

複数スイッチチップ（インスタンス）製品では、ヘアピンリンクを使用した構成において、OpenFlowクライアントポートでスタティックチャンネルグループを使用する場合、以下のすべての条件に合致する必要があります。

スタティックチャンネルグループのOpenFlowクライアントポートとヘアピンリンクのOpenFlowアップストリームポートは、同じインスタンス上であること
ヘアピンリンクのOpenFlowアップストリームポートと通常ポートは、別々のインスタンス上であること

そのため、ヘアピンリンクがチップまたぎの構成（メンバーポートが複数インスタンス上のポートを使用する構成）の場合、クライアントポートにはスタティックチャンネルグループを使用できません。

以下は、AT-SESC管理下における複数インスタンス製品において、スタティックチャンネルグループを使用できる構成になります。

OpenFlowクライアントポート上にスタティックチャンネルグループが設定されていない構成

この構成では、チップまたぎの構成のヘアピンリンクを使用できます。
ヘアピンリンクのOpenFlowアップストリームポートと同じインスタンスで、OpenFlowクライアントポート上にスタティックチャンネルグループを設定している構成

スタティックチャンネルグループを使用するクライアントポートが、ヘアピンリンクのOpenFlowアップストリームポートと同じインスタンス上に設定されていれば、スタティックチャンネルグループを使用しないクライアントポートは異なるインスタンス上でも問題ありません。

複数スイッチチップ製品のインスタンスとポート番号の組み合わせは以下です。

インスタンス0 インスタンス1

x310/SH310-50シリーズ 10BASE-T/100BASE-TXポート 1～24 25～48

10/100/1000BASE-T・SFPコンボポート 49R、50R
49、50 -

x510/x510L/SH510-52シリーズ 10/100/1000BASE-Tポート 1～24 25～48

SFP+ポート 50、52 49、51

GS948MX/MPX 10/100/1000BASE-Tポート 1～24 25～48

10/100/1000BASE-T・SFPコンボポート 49R、50R
49、50 -

SFP+ポート - 51、52

OpenFlowポートにおけるポート番号の採番ルール

本製品からOpenFlowコントローラーへ通知されるOpenFlowポート番号は、show openflow statusコマンドから確認できますが、採番ルールは以下となります。

通常のOpenFlowポート

　OpenFlowポート番号　=　インターフェースインデックス番号　-　5000　

たとえば、port1.0.1の場合、インデックス番号は5001となるので、OpenFlowポート番号は1となります。
スタティックチャンネルグループのOpenFlowポート

　OpenFlowポート番号　=　インターフェースインデックス番号　-　3500 　

たとえば、sa1の場合、インデックス番号は4501となるので、OpenFlowポート番号は1001となります。

OpenFlowクライアントポートとして利用できるポート数

PC等の端末を接続するOpenFlowクライアントポートの最大ポート数は、構成によって変化します。

以下に構成例を示します。

この構成では、コントロールプレーン兼用のアップリンクへつながる通常ポートが1ポート、ヘアピンリンクのポートが2ポートとなります。
これにより、必須ポートは計3ポートとなります。

　最大クライアントポート数　=　筐体のポート数　-　通常ポート側の使用数　-　ヘアピンリンクのポート数　

Note - 筐体でリンクアグリゲーションを使用する場合は、そのメンバーポート数に応じて、利用可能なクライアントポート数は少なくなります。

Note - 1ポート構成（OpenFlowポート、通常ポート各×1）のヘアピンリンクを使用しない場合、+1となります。

準備

OpenFlowライセンスの適用

ライセンスの適用に関するコマンドは、通常のAlliedWare Plusシステムと同様となります。
OpenFlow機能を有効化するライセンスを適用後、スイッチを再起動します。

OpenFlowスイッチの設定

本項では、x510シリーズ機器を例に説明します。ポート番号等は適宜読み替えてくださいますようお願いいたします。

はじめにスイッチの物理ポートに対し、OpenFlowのコントロールプレーン・データプレーンに使用するポートの割り当てを決める必要があります。

ここでは、ポート1.0.1をコントロールプレーンポートに、ポート1.0.5～1.0.28をデータプレーンポートに設定します。

ヘアピンリンクを使用するOpenFlow設定例

ヘアピンリンクの接続は、OpenFlowポートのアップストリームポートと通常スイッチポート間で行います。

Note - PC等の端末を接続するOpenFlowクライアントポートでは、VLANタグ付きパケットは未サポートです。

■ 本製品のOpenFlow設定

設定項目 内容

コントロールプレーン設定

割り当てポートスイッチポート1.0.1

割り当てVLAN VLAN 1

VLANインターフェースIPアドレス 192.168.1.1/24

OpenFlowポート番号 6653

データプレーンポート設定

割り当てポートスイッチポート1.0.5～1.0.28

OpenFlow内部制御用VLAN VLAN 4090

アップストリームポートスイッチポート1.0.5

ヘアピンリンクのポート設定

割り当てポートスイッチポート1.0.4 通常ポート

スイッチポート1.0.5 OpenFlowポート

VLAN設定 (通常ポート) Tag VLAN 100～104, Native VLAN 105

Note - VLAN 4090はパケット転送には使用しません。OpenFlowポートもデフォルト状態ではデフォルトVLAN(VID=1)がネイティブVLANに設定されているため、通常ポートのVLAN 1で受信したフラッディングされるパケットがOpenFlowポートにフラッディングされないようにするために本設定を行います。

■ OpenFlowコントローラー（AT-SESC）の設定

設定項目 内容

IPアドレス 192.168.1.10

OpenFlow ポート番号 6653

本OpenFlowスイッチに対するアップストリームポート設定 port1.0.5

デバイス認証設定 OpenFlowポート配下のデバイス(PC) 以下どちらかを設定
・VLAN ID "100～104" いずれかのネットワークにアサイン
・VLAN ID "0" または VLAN IDを指定しないネットワークにアサイン

Note - AT-SESCから設定されるフローエントリーでは、デバイスにアサインするネットワークの設定によって、デバイスのパケットがOpenFlowのアップストリームポートから送信される際の動作が変わります。

VLAN ID（1～4094）を指定したネットワークアサインの場合：OpenFlowのアップストリームポートから送信される際に該当VIDのVLANタグが付与されます。
VLAN ID "0" または VLAN ID を指定しないネットワークの場合：OpenFlowのアップストリームポートから送信される際に VLANタグは付与されません。

Note - AT-SESCの基本的な使い方や、アップストリームポート設定、ネットワークのアサイン方法等、詳細はAT-SESCのマニュアルをご覧ください。

OpenFlow機能とVCS機能を併用することはできません。VCS対応機種をOpenFlowスイッチとして設定する場合は、事前にスタック接続を解除し、スイッチを再起動してください。

awplus# configure terminal ↓ awplus(config)# no stack 1 enable ↓ Warning: this will disable the stacking hardware on member-1. Are you sure you want to continue? (y/n): y 10:18:51 awplus VCS[824]: Deactivating Stacking Ports on stack member 1 awplus(config)# end ↓ awplus# awplus# write memory ↓ Building configuration... [OK] awplus# reboot ↓ reboot system? (y/n): y

OpenFlowポートおよび通常スイッチポートでパケット転送に使用するVLANを作成します。
awplus# configure terminal ↓ awplus(config)# vlan database ↓ awplus(config-vlan)# vlan 100-105 ↓
OpenFlowの内部制御用VLANに割り当てるVLANを作成し、割り当てます。ここで設定するVLANは、パケット転送には使用できません。
awplus(config-vlan)# vlan 4090 ↓ awplus(config-vlan)# exit ↓ awplus(config)# openflow native vlan 4090 ↓
Note - 内部制御用VLANを設定する前に、当該のVLANを作成しておく必要があります。
コントロールプレーンで使用するVLANにIPアドレスを設定します。
awplus(config)# interface vlan1 ↓ awplus(config-if)# ip address 192.168.1.1/24 ↓ awplus(config-if)# exit ↓
Note - AT-DC2552XS、x930シリーズでは、コントロールプレーンポートにマネージメントポート（eth0）を割り当てることもできます。
OpenFlowコントローラー(AT-SESC)のIPアドレスと使用するポート番号を設定します。
awplus(config)# openflow controller tcp 192.168.1.10 6653 ↓

OpenFlowポートのアクセスVLANを、内部制御用のVLANと同じに設定します。

awplus(config)# interface port1.0.5-1.0.28 ↓ awplus(config-if)# switchport access vlan 4090 ↓ awplus(config-if)# exit ↓

ヘアピンリンクのOpenFlowポート（アップストリームポート）に対し、マルチキャスト用の設定を行います。

awplus(config)# interface port1.0.5 ↓ awplus(config-if)# no ip igmp trusted query ↓ awplus(config-if)# no ip igmp trusted routermode ↓ awplus(config-if)# exit ↓

通常スイッチポートからOpenFlowポートへ変更します。
awplus(config)# interface port1.0.5-1.0.28 ↓ awplus(config-if)# openflow ↓ awplus(config-if)# exit ↓
Note - openflowコマンドを実行した後は、当該のポートインターフェースに対する設定を変更した場合には、設定の保存をしてスイッチを再起動してください。

OpenFlowポートから制御パケットが送出されないよう、RSTP、 igmp snooping tcn query solicit、MLD Snoopingを無効にします。

awplus(config)# no spanning-tree rstp enable ↓ awplus(config)# no ipv6 mld snooping ↓ awplus(config)# interface vlan100-105,vlan4090 ↓ awplus(config-if)# no ip igmp snooping tcn query solicit ↓ awplus(config-if)# no ipv6 mld snooping ↓

Note - ヘアピンリンクを使用した構成では、IGMP Snoopingを無効にすることは未サポートです。

Note - 筐体でLDF機能を有効にしている場合は、全OpenFlowポート上で LDFを無効に設定します。

ヘアピンリンクの通常ポートに対し、OpenFlowのアップストリームポートから送られるタグ付き・タグ無しパケットを受信するための設定を行います。

awplus(config)# interface port1.0.4 ↓ awplus(config-if)# switchport mode trunk ↓ awplus(config-if)# switchport trunk allow vlan add 100-104 ↓ awplus(config-if)# switchport trunk native vlan 105 ↓ awplus(config-if)# exit ↓

アップリンク側との接続ポートをタグポートにします。
awplus(config)# interface port1.0.3 ↓ awplus(config-if)# switchport mode trunk ↓ awplus(config-if)# switchport trunk allow vlan add 100-105 ↓ awplus(config-if)# exit ↓
Note - OpenFlowポートでタグ付きパケットを受信するとポートカウンター上で破棄カウンターが増加します。そのため、OpenFlowのアップストリームではアップリンクからのタグ付きパケットにより破棄カウンターが上昇しますが、実際には破棄されません。

Note - OpenFlowポートではFDBの学習は行われません。ヘアピンリンクがある場合、ヘアピリンリンクの通常ポートでFDB学習が行われます。
設定を保存して再起動してください

Note - スイッチ本体の負荷が高くなると、一時的にOpenFlowポートにおける通信速度が低下することがあります。

Note - サポートリミット端末数を超過して通信が行われると、超過分の通信は速度が低くなります。また、端末数が減少しても超過分の通信が継続している間は、フローが削除されない限り、その通信速度は低いままになります。

Note - 通信速度がワイヤーレートから数パーセント程度低下する場合があります。

Note - OpenFlowポートではジャンボフレームは未サポートです。

Note - show openflow rulesコマンドで表示されるフローエントリーの「set_field:」の値には、実際のVLAN IDに4096を足したものが表示されます。

Note - show openflow rulesコマンドで表示される「table_id=254」のフローは、AT-SESCの「OpenFlowスイッチフロー一覧」には表示されません。AT-SESC 上で表示されるのは、AT-SESCが本製品に送信したフローのみです。「table_id=254」のフローは、本製品がデフォルトで登録しているフロー（AT-SESCと接続されていない状態でも登録されるフロー）のため、AT-SESC上では表示されません。

Note - OpenFlowポートに対するQ-BRIDGE-MIBのdot1qPortIngressFilteringのSNMP Setは、未サポートです。

設定は以上です。

ヘアピンリンクを使用しないOpenFlow設定例

Note - PC等の端末を接続するOpenFlowクライアントポートでは、VLANタグ付きパケットは未サポートです。

■ 本製品のOpenFlow設定

Note - VLAN 4090はパケット転送には使用しません。OpenFlowポートもデフォルト状態ではデフォルトVLAN(VID=1)がネイティブVLANに設定されているため、通常ポートのVLAN 1で受信したフラッディングされるパケットがOpenFlowポートにフラッディングされないようにするために本設定を行います。

■ OpenFlowコントローラー（AT-SESC）の設定

Note - AT-SESCから設定されるフローエントリーでは、デバイスにアサインするネットワークの設定によって、デバイスのパケットがOpenFlowのアップストリームポートから送信される際の動作が変わります。

VLAN ID（1～4094）を指定したネットワークアサインの場合：OpenFlowのアップストリームポートから送信される際に該当VIDのVLANタグが付与されます。
VLAN ID "0" または VLAN ID を指定しないネットワークの場合：OpenFlowのアップストリームポートから送信される際に VLANタグは付与されません。

Note - AT-SESCの基本的な使い方や、アップストリームポート設定、ネットワークのアサイン方法等、詳細はAT-SESCのマニュアルをご覧ください。

OpenFlowポートおよび通常スイッチポートでパケット転送に使用するVLANを作成します。
awplus# configure terminal ↓ awplus(config)# vlan database ↓ awplus(config-vlan)# vlan 100-105 ↓
OpenFlowの内部制御用VLANに割り当てるVLANを作成し、割り当てます。ここで設定するVLANは、パケット転送には使用できません。
awplus(config-vlan)# vlan 4090 ↓ awplus(config-vlan)# exit ↓ awplus(config)# openflow native vlan 4090 ↓
Note - 内部制御用VLANを設定する前に、当該のVLANを作成しておく必要があります。
コントロールプレーンで使用するVLANにIPアドレスを設定します。
awplus(config)# interface vlan1 ↓ awplus(config-if)# ip address 192.168.1.1/24 ↓ awplus(config-if)# exit ↓
Note - AT-DC2552XS、x930シリーズでは、コントロールプレーンポートにマネージメントポート（eth0）を割り当てることもできます。
OpenFlowコントローラー(AT-SESC)のIPアドレスと使用するポート番号を設定します。
awplus(config)# openflow controller tcp 192.168.1.10 6653 ↓

OpenFlowポートのアクセスVLANを、内部制御用のVLANと同じに設定します。

awplus(config)# interface port1.0.5-1.0.28 ↓ awplus(config-if)# switchport access vlan 4090 ↓ awplus(config-if)# exit ↓

通常スイッチポートからOpenFlowポートへ変更します。
awplus(config)# interface port1.0.5-1.0.28 ↓ awplus(config-if)# openflow ↓ awplus(config-if)# exit ↓
Note - openflowコマンドを実行した後は、当該のポートインターフェースに対する設定を変更した場合には、設定の保存をしてスイッチを再起動してください。

OpenFlowポートから制御パケットが送出されないよう、RSTP、 igmp snooping tcn query solicit、MLD Snoopingを無効にします。

Note - 筐体でLDF機能を有効にしている場合は、全OpenFlowポート上で LDFを無効に設定します。

Note - OpenFlowポートでタグ付きパケットを受信するとポートカウンター上で破棄カウンターが増加します。そのため、OpenFlowのアップストリームではアップリンクからのタグ付きパケットにより破棄カウンターが上昇しますが、実際には破棄されません。

Note - OpenFlowポートではFDBの学習は行われません。

設定を保存して再起動してください

Note - スイッチ本体の負荷が高くなると、一時的にOpenFlowポートにおける通信速度が低下することがあります。

Note - サポートリミット端末数を超過して通信が行われると、超過分の通信は速度が低くなります。また、端末数が減少しても超過分の通信が継続している間は、フローが削除されない限り、その通信速度は低いままになります。

Note - 通信速度がワイヤーレートから数パーセント程度低下する場合があります。

Note - OpenFlowポートではジャンボフレームは未サポートです。

Note - show openflow rulesコマンドで表示されるフローエントリーの「set_field:」の値には、実際のVLAN IDに4096を足したものが表示されます。

Note - show openflow rulesコマンドで表示される「table_id=254」のフローは、AT-SESCの「OpenFlowスイッチフロー一覧」には表示されません。AT-SESC 上で表示されるのは、AT-SESC が本製品に送信したフローのみです。「table_id=254」のフローは、本製品がデフォルトで登録しているフロー（AT-SESCと接続されていない状態でも登録されるフロー）のため、AT-SESC上では表示されません。

Note - OpenFlowポートに対するQ-BRIDGE-MIBのdot1qPortIngressFilteringのSNMP Setは、未サポートです。

設定は以上です。

AMF機能とOpenFlow機能の併用

スイッチをアライドテレシスマネージメントフレームワーク（AMF）ネットワークのメンバーとして管理・保守しつつ、OpenFlowスイッチとして運用する場合の設定を説明します。

AMFコントローラーとの通信は通常スイッチポート経由で行われ、OpenFlowポート経由では行われません。そのため、上位のAMFメンバーまたはAMFマスターと接続するポートは、通常ポートである必要があります。

本項では、x510シリーズ機器にAMF機能とOpenFlow機能を設定する場合を例に説明します。

Note - OpenFlowポートでAMFゲストノード機能を使用するには、ヘアピンリンクが必須となります。

Note - AMFゲストノードを使用するには、AT-SESC側で、「スイッチに自身が送信したパケットを破棄するフローをインストールします。」のチェックボックスを外してください。

Note - OpenFlowポート配下にAMFゲストノードの機器を接続した場合、機器に対応するフローエントリーが無い、または消えたことにより機器宛の通信ができなくなっても、AMFマスター上ではそのことを検知しません。ゲストノード機器に対するフローエントリーが登録された状態を保つために、機器からは常にパケットが送信されるような設定（NTP、LLDP等）を行ってください。

Note - PC等の端末を接続するOpenFlowクライアントポートでは、VLANタグ付きパケットは未サポートです。

■ 本製品のOpenFlow設定

Note - VLAN 4090はパケット転送には使用しません。OpenFlowポートもデフォルト状態ではデフォルトVLAN(VID=1)がネイティブVLANに設定されているため、通常ポートのVLAN 1で受信したフラッディングされるパケットがOpenFlowポートにフラッディングされないようにするために本設定を行います。

■ OpenFlowコントローラー（AT-SESC）の設定

設定項目 内容

IPアドレス 192.168.1.10

OpenFlow ポート番号 6653

本OpenFlowスイッチに対するアップストリームポート設定 port1.0.5

OpenFlow設定「スイッチに自身が送信したパケットを破棄するフローをインストールします。」のチェックをオフにします

デバイス認証設定ゲストノード1,2 VLAN ID 104 のネットワークにアサイン

OpenFlowポート配下のデバイス(PC) 以下どちらかを設定
・VLAN ID "100～104" いずれかのネットワークにアサイン
・VLAN ID "0" または VLAN IDを指定しないネットワークにアサイン

■ 本製品のAMF設定

設定項目 内容

AMFネットワーク名 atmf1

AMFリンクポートスイッチポート1.0.1

AMFゲストクラス名 TQ-guest_static

AMFゲストクラス名 TQ-guest_dynamic

AMFゲストリンクポート（Static）スイッチポート1.0.27

AMFゲストリンクポート（Dynamic）スイッチポート1.0.28

Note - AT-SESCから設定されるフローエントリーでは、デバイスにアサインするネットワークの設定によって、デバイスのパケットがOpenFlowのアップストリームポートから送信される際の動作が変わります。

VLAN ID（1～4094）を指定したネットワークアサインの場合：OpenFlowのアップストリームポートから送信される際に該当VIDのVLANタグが付与されます。
VLAN ID "0" または VLAN ID を指定しないネットワークの場合：OpenFlowのアップストリームポートから送信される際に VLANタグは付与されません。

Note - AT-SESCの基本的な使い方や、アップストリームポート設定、ネットワークのアサイン方法等、詳細はAT-SESCのマニュアルをご覧ください。

AMFネットワークを設定し、AMFリンクを作成します。

awplus# configure terminal ↓ awplus(config)# atmf network-name atmf1 ↓ awplus(config)# interface port1.0.1 ↓ awplus(config-if)# switchport atmf-link ↓ awplus(config-if)# exit ↓

OpenFlowポートおよび通常スイッチポートでパケット転送に使用するVLANを作成します。

awplus# configure terminal ↓ awplus(config)# vlan database ↓ awplus(config-vlan)# vlan 100-105 ↓

OpenFlowの内部制御用VLANに割り当てるVLANを作成し、割り当てます。ここで設定するVLANは、パケット転送には使用できません。
awplus(config-vlan)# vlan 4090 ↓ awplus(config-vlan)# exit ↓ awplus(config)# openflow native vlan 4090 ↓
Note - 内部制御用VLANを設定する前に、当該のVLANを作成しておく必要があります。
コントロールプレーンで使用するVLANにIPアドレスを設定します。
awplus(config)# interface vlan1 ↓ awplus(config-if)# ip address 192.168.1.1/24 ↓ awplus(config-if)# exit ↓
Note - AT-DC2552XS、x930シリーズでは、コントロールプレーンポートにマネージメントポート（eth0）を割り当てることもできます。
OpenFlowコントローラー(AT-SESC)のIPアドレスと使用するポート番号を設定します。
awplus(config)# openflow controller tcp 192.168.1.10 6653 ↓

OpenFlowポートのアクセスVLANを内部制御用のVLANと同じに設定します。

awplus(config)# interface port1.0.5-1.0.28 ↓ awplus(config-if)# switchport access vlan 4090 ↓ awplus(config-if)# exit ↓

通常スイッチポートからOpenFlowポートへ変更します。
awplus(config)# interface port1.0.5-1.0.28 ↓ awplus(config-if)# openflow ↓ awplus(config-if)# exit ↓
Note - openflowコマンドを実行した後は、当該のポートインターフェースに対する設定を変更した場合には、設定の保存をしてスイッチを再起動してください。

OpenFlowポートから制御パケットが送出されないよう、RSTP、 igmp snooping tcn query solicit、MLD Snoopingを無効にします。

Note - ヘアピンリンクを使用した構成では、IGMP Snoopingを無効にすることは未サポートです。

Note - 筐体でLDF機能を有効にしている場合は、全OpenFlowポート上で LDFを無効に設定します。

ヘアピンリンクのOpenFlowポート（アップストリームポート）に対し、マルチキャスト用の設定を行います。

awplus(config)# interface port1.0.5 ↓ awplus(config-if)# no ip igmp trusted query ↓ awplus(config-if)# no ip igmp trusted routermode ↓ awplus(config-if)# exit ↓

ヘアピンリンクの通常ポートに対し、OpenFlowのアップストリームポートから送られるタグ付き・タグ無しパケットを受信するための設定を行います。

アップリンク側との接続ポートをタグポートにします。
awplus(config)# interface port1.0.1 ↓ awplus(config-if)# switchport mode trunk ↓ awplus(config-if)# switchport trunk allow vlan add 100-105 ↓ awplus(config-if)# exit ↓
Note - OpenFlowポートではタグ付きパケットを受信するとポートカウンター上で破棄カウンターが増加するため、ヘアピンリンクのOpenFlowポートでは定常的に破棄カウンターが上昇しますが、実際には破棄されません。

Note - OpenFlowポートではFDBの学習は行われません。ヘアピンリンクがある場合、ヘアピリンリンクの通常ポートでFDB学習が行われます。
以下、AMFゲストノードの設定完了後に、設定を保存して再起動してください。

Note - スイッチ本体の負荷が高くなると、一時的にOpenFlowポートにおける通信速度が低下することがあります。

Note - サポートリミット端末数を超過して通信が行われると、超過分の通信は速度が低くなります。また、端末数が減少しても超過分の通信が継続している間は、フローが削除されない限り、その通信速度は低いままになります。

Note - 通信速度がワイヤーレートから数パーセント程度低下する場合があります。

Note - OpenFlowポートではジャンボフレームは未サポートです。

Note - show openflow rulesコマンドで表示されるフローエントリーの「set_field:」の値には、実際のVLAN IDに4096を足したものが表示されます。

Note - show openflow rulesコマンドで表示される「table_id=254」のフローは、AT-SESCの「OpenFlowスイッチフロー一覧」には表示されません。AT-SESC 上で表示されるのは、AT-SESCが本製品に送信したフローのみです。「table_id=254」のフローは、本製品がデフォルトで登録しているフロー（AT-SESCと接続されていない状態でも登録されるフロー）のため、AT-SESC上では表示されません。

Note - OpenFlowポートに対するQ-BRIDGE-MIBのdot1qPortIngressFilteringのSNMP Setは、未サポートです。

設定は以上です。

AMFゲストノードの設定

OpenFlowポート配下に AMFゲストノードを接続する際の設定を説明します。ここでは、ゲストノードとして TQシリーズを接続する場合を例に説明します。

Note - AMFゲストノード機能の詳細は、「AMFゲストノード機能」をご参照ください。

AMFゲストノードの機器情報を取得する方法がstaticの場合

AMFゲストノードの機器情報を取得する方法がstaticの場合では、OpenFlowとの併用には特別な設定は不要です。以下の内容を、AMFゲストノード機能解説の「基本設定」を参照し、解説の記載内容と読み替えて設定を行ってください。

AMFゲストクラス名 TQ-guest_static

AMFゲストリンクポート スイッチポート1.0.27

ゲストノードのIPアドレス 192.1.4.88

AMFゲストノードの機器情報を取得する方法がdynamicの場合

AMFゲストノードの機器情報を取得する方法がdynamicの場合では、OpenFlowとの併用には特別な設定が必要です。以下の内容を、AMFゲストノード機能解説の「基本設定」を参照し、解説の記載内容と読み替えて設定を行った後、OpenFlowとの併用に必要な設定を行います。

AMFゲストクラス名 TQ-guest_dynamic

AMFゲストリンクポート スイッチポート1.0.28

ゲストノードのIPアドレス DHCP

OpenFlowで使用する全VLANインターフェース（内部制御VLAN含む）でDHCP Snoopingを有効にします。

awplus(config)# interface vlan100-105,vlan4090 ↓ awplus(config-if)# ip dhcp snooping ↓ awplus(config-if)# exit ↓

ヘアピンリンクの通常ポートをDHCP SnoopingのTrustedポートに設定します。
awplus(config)# int port1.0.4 ↓ awplus(config-if)# ip dhcp snooping trust ↓ awplus(config-if)# exit ↓
Note - 本製品の通常ポート配下のAMFメンバーに、ゲストノードが接続される場合は、AMFメンバーとの接続ポートもTrustedポートにしてください。

Note - OpenFlowポート配下のゲストノードは、デバイス種別（modeltypeコマンド）が「other」で、かつゲストノードの機器情報を取得する方法（discoveryコマンド）が「static」以外の場合、AMFネットワークに参加するためには、ヘアピンリンクを経由してAMFメンバーと通信するためのフローエントリーが必要です。

PN: 613-002309 Rev.C

機種	ファームウェアバージョン
AT-DC2552XS	5.4.6-0.1以降
CentreCOM x930シリーズ	5.4.5S-0.1、5.4.6-0.1以降
CentreCOM x510シリーズ
CentreCOM x510Lシリーズ
CentreCOM x310シリーズ	5.4.6-0.1以降（AT-x230-10GTは5.4.6-2.1以降）
CentreCOM x230シリーズ	5.4.6-0.1以降（AT-x230-10GTは5.4.6-2.1以降）
CentreCOM Secure HUB SH510シリーズ	5.4.6-2.1以降
CentreCOM Secure HUB SH310シリーズ
CentreCOM Secure HUB SH230シリーズ
CentreCOM Secure HUB XS900MXシリーズ
CentreCOM Secure HUB GS900MX/MPXシリーズ

分類	項目名	備考
運用・管理	システム
	コマンドラインインターフェース（CLI）
	ファイル操作
	コンフィグレーション
	ユーザー認証	ユーザー認証データベースのみサポート（RADIUSサーバー、TACACS+サーバーへの問い合わせはサポート対象外）
	RADIUSクライアント
	メール送信
	ログ
	LLDP
	SNMP
	NTP
	端末設定
	Telnet
	Secure Shell
インターフェース	一般設定
	スイッチポート
	リンクアグリゲーション（IEEE 802.3ad）
	ポート認証	MACベース認証のみサポート
	Power over Ethernet
L2スイッチング	バーチャルLAN	ポートVLAN、タグVLAN、ネイティブVLANのみサポート
	イーサネットリングプロテクション（EPSR）
	フォワーディングデータベース
	DHCP Snooping	AMFゲストノードを使用する場合のみサポート。DHCP Snooping単体での使用はサポート対象外
IP/IPルーティング	一般設定
	IPインターフェース	スタティックIP、DHCPクライアント、セカンダリーIP、ループバックインターフェースのみサポート
	経路制御	インターフェース経路、スタティック経路のみサポート
	ARP	ARPキャッシュのみサポート
IPマルチキャスト	IGMP Snooping
トラフィック制御	アクセスリスト
	ハードウェアパケットフィルター
	Quality of Service
IP付加機能	DHCPサーバー
アライドテレシスマネージメントフレームワーク（AMF）	項目全般	メンバー、ゲストノードのみサポート

		インスタンス0	インスタンス1
x310/SH310-50シリーズ	10BASE-T/100BASE-TXポート	1～24	25～48
x310/SH310-50シリーズ	10/100/1000BASE-T・SFPコンボポート	49R、50R 49、50	-
x510/x510L/SH510-52シリーズ	10/100/1000BASE-Tポート	1～24	25～48
x510/x510L/SH510-52シリーズ	SFP+ポート	50、52	49、51
GS948MX/MPX	10/100/1000BASE-Tポート	1～24	25～48
	10/100/1000BASE-T・SFPコンボポート	49R、50R 49、50	-
	SFP+ポート	-	51、52

設定項目	内容
コントロールプレーン設定
割り当てポート	スイッチポート1.0.1
割り当てVLAN	VLAN 1
VLANインターフェースIPアドレス	192.168.1.1/24
OpenFlowポート番号	6653
データプレーンポート設定
割り当てポート	スイッチポート1.0.5～1.0.28
OpenFlow内部制御用VLAN	VLAN 4090
アップストリームポート	スイッチポート1.0.5
ヘアピンリンクのポート設定
割り当てポート	スイッチポート1.0.4	通常ポート
	スイッチポート1.0.5	OpenFlowポート
VLAN設定 (通常ポート)	Tag VLAN 100～104, Native VLAN 105

設定項目	内容
IPアドレス	192.168.1.10
OpenFlow ポート番号	6653
本OpenFlowスイッチに対するアップストリームポート設定	port1.0.5
デバイス認証設定	OpenFlowポート配下のデバイス(PC)	以下どちらかを設定・VLAN ID "100～104" いずれかのネットワークにアサイン・VLAN ID "0" または VLAN IDを指定しないネットワークにアサイン

設定項目	内容
AMFネットワーク名	atmf1
AMFリンクポート	スイッチポート1.0.1
AMFゲストクラス名	TQ-guest_static
AMFゲストクラス名	TQ-guest_dynamic
AMFゲストリンクポート（Static）	スイッチポート1.0.27
AMFゲストリンクポート（Dynamic）	スイッチポート1.0.28

AMFゲストクラス名	TQ-guest_static
AMFゲストリンクポート	スイッチポート1.0.27
ゲストノードのIPアドレス	192.1.4.88