Packetfence 開源網(wǎng)絡準入系統(tǒng)

Packetfence 網(wǎng)絡準入系統(tǒng)：

開源的準入系統(tǒng)，我公司現(xiàn)在有6-7百人吧，正在用。版本是5.7。現(xiàn)在最新的都出到6.多了

主要用戶體驗是：用戶電腦接入網(wǎng)絡，網(wǎng)頁任何打開一個網(wǎng)頁會自動跳轉到一個登陸頁面，注冊后才可以進入內網(wǎng)。

主要特點：

1.旁路接入

2.支持802.1x或MAB認證

3.完美支持思科2960交換機，可分配VLAN

4.可以查到一個IP地址、MAC地址所在的交換機

5.其它功能可以自己發(fā)掘。 發(fā)現(xiàn)中國用這個系統(tǒng)的人也比較少。文檔也很少。

安裝參考：或者直接下載官網(wǎng)上做好的虛擬機。

yum update
yum install mysql*
yum install http*
yum install php*
yum install 

selinux 關閉


/etc/yum.repos.d/PacketFence.repo with the following content:

[PacketFence]
name=PacketFence Repository
baseurl=http://inverse.ca/downloads/PacketFence/RHEL$releasever/$basearch
gpgcheck=0



yum install --enablerepo=packetfence packetfence

rpm -Uvh http://packetfence.org/downloads/PacketFence/RHEL6/`uname -i`/RPMS/packetfence-release-1-2.centos6.noarch.rpm

yum install --enablerepo=packetfence packetfence

DHCP：
dd if=/dev/urandom bs=16 count=1 2>/dev/null | openssl enc -e -base64
cWm+adEfwNaes7VlBoyHdQ==

vi /etc/sysctl.conf  
# Controls IP packet forwarding
net.ipv4.ip_forward = 1

建立網(wǎng)絡：

除用戶外的網(wǎng)段DHCP由Packetfence分配

vlan1 10.0.x.x   255.255.0.0    Management    DHCP
vlan2 192.168.120.1 255.255.252.0  RegistrationDHCP
vlan3 192.168.130.1 255.255.252.0  Isolation      DHCP
vlan4 用戶        DHCP Normal

思科2960交換機配置：

dot1x system-auth-control
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 7200
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
aaa new-model
aaa group server radius packetfence
server 10.0.111.111 auth-port 1812 acct-port 1813
aaa authentication login default local
aaa authentication dot1x default group packetfence
aaa authorization network default group packetfence
radius-server host 192.168.120.1 auth-port 1812 acct-port 1813 timeout 2 key password
radius-server vsa send authentication
snmp-server community public RW

交換機端口配置：

switchport mode access
authentication host-mode multi-domain
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3

其它需要花時間研究一下：

1. 逃生方案：fail-open  當準入系統(tǒng)故障時怎么處理------集群，或設置逃生返回VLAN

2. 用戶自動注冊------待研究

3. LDAP認證--- OK

4. 接入安全掃描檢查-----配置snort Server做接口