packetfence 7.2网络准入部署

packetfence 是一款内网准入软件,功能简单来说,就是这么几步:

1、内网环境说明:假设公司有3个网段,办公网段vlan10,访客网段vlan20,隔离网段vlan30

2、PC、笔记本等网络设备第一次接入网络,网段为vlan30,(已做好ACL,无法访问vlan10)

3、通过web认证身份,可结合AD域,认证为公司员工自动给你切换网络至vlan 10,通过guest账号认证为访客,切换为vlan20,并定义过期时间,比如5小时后,会自动打回到vlan30基本流程这里就讲完了

不要小看这个流程,很重要,刚开始部署我都不知道这软件是怎么用的,怎么实现功能,因为不了解,所以一直被坑

部署系统的话centos7,交换机有一定要求,要支持802.1X

交换机支持列表可以在以下网址查看

https://packetfence.org/doc/PacketFence_Network_Devices_Configuration_Guide.html

官网部署参考网址

https://packetfence.org/doc/PacketFence_Installation_Guide.html

一、准备工作(服务器、设备)

需求:

1、centos7.4——内存8G最好,测试环境小点也可以_pf服务器——网口接交换机的trunk口

2、交换机——需要支持802.1X认证(推荐思科2960,3750系列),因条件所限,我测测试环境是H3C交换机

3、AD域环境——用于用户认证

我的测试环境:

centos7.4  4C-8G-100G ;H3C5120交换机,window2012 AD域

网络:

管理vlan 192.168.211.0

注册vlan 192.168.212.0 终端注册、认证后方可上网or接入内网

其他vlan

测试架构:旁路模式,大体架构图如下

clip_image001

用户的接入流程

clip_image002

二、pf服务器安装

1、可直接下载虚拟机ovf模板导入,地址:https://packetfence.org/download.html

2、yum安装 ,没有vpn的情况下速度较慢,预计要一天时间

    yum localinstall http://packetfence.org/downloads/PacketFence/RHEL7/`uname -i`/RPMS/packetfence-release-1.2-7.el7.noarch.rpm

具体查看最新版本安装,修改对应参数(https://packetfence.org/downloads/PacketFence/RHEL7/x86_64/RPMS/

yum install perl

yum install --enablerepo=packetfence packetfence

这里依赖包较多,需要等待点时间(大约半天以上吧)

安装完成之后查看1443端口是否起来

然后登陆web界面进程配置https://ip:1443 建议使用火狐浏览器

三、web界面配置

1、模式选择,一般选择,第二种旁路模式,结合VLAN

clip_image003

2、添加注册vlan和隔离vlan,注册vlan——账号认证使用,隔离vlan——访问使用,两者均需要和其他工作vlan做好隔离

clip_image004

clip_image005

3、数据库配置

clip_image006

4、配置域名DHCP,注:mail地址必须写一个,不然无法通过

clip_image007

5、设置web登录密码,点击修改

clip_image008

clip_image009

6、点击启动服务,等待服务全部开机后,初始配置完成,可以进入下面配置

clip_image010

clip_image011

四、功能说明:

Packetfence机制

旁路模式:PC接入内网,首先分配一个隔离的注册vlan,经过AD域和MAC地址认证之后自动分配一个工作的vlan,达到内网通信的效果

疑问:

pf服务器与接入层交换机通过radius认证,snmp关联达到vlan自动分配

DHCP分配,PF服务器只分配注册vlan和隔离vlan,工作vlan仍旧使用内网DHCP服务器

clip_image012

Role:可定义每用户设备数的上限,后续交换机配置中与VLAN相关联,不同角色不同vlan

DOMAIN:将PF服务器加入AD域,为AD域账户结合做准备

注意点:PF服务器DNS修改为AD域,开启smb服务

clip_image013

clip_image014

Authentication source:认证源,一般添加AD域认证LDAP关联域内账户,其中可以增加授权规则,不同用户分配至不用角色(vlan)

添加AD域的认证组织架构,注意格式,认证账户需为OU下的某一账户

clip_image015

添加授权规则,必选两项,角色分配的vlan和授权的期限

clip_image016

Switch:配置交换机认证方式,IP,密码,snmp配置,角色对应的vlan设置

clip_image017

clip_image018

Radius密码和交换机上密码相同即可

clip_image019

SNMP配置,注意version和community和交换机上一致,一般配置V2C或者V3

clip_image020

CLI和web 配置对应交换机的账户和密码即可

clip_image021

Connection profile:连接选项,配置上可接入的认证源

clip_image022

交换机端口配置如下图

clip_image023

不同的vlan指向不同的DHCP

clip_image024

另外交换机需要配置其他信息 ,radius,snmp等,这个可以参考官网,各自型号的交换机配置都有

https://packetfence.org/doc/PacketFence_Network_Devices_Configuration_Guide.html

posted @ 2019-01-15 09:33  airoot  阅读(3319)  评论(0编辑  收藏  举报