packetfence7.2网络准入部署2

转 https://blog.csdn.net/qq_18204953/article/details/80758947#comments

今天呢先说下packetfence部署的环境&＃xff1b;

关于使用方法之前的帖子有介绍&＃xff0c;一定要看哦

https://blog.csdn.net/qq_18204953/article/details/80708303

官网部署参考网址

https://packetfence.org/doc/PacketFence_Installation_Guide.html

一、准备工作&＃xff08;服务器、设备&＃xff09;

需求&＃xff1a;

1、centos7.4——内存8G最好&＃xff0c;测试环境小点也可以_pf服务器——网口接交换机的trunk口

2、交换机——需要支持802.1X认证&＃xff08;推荐思科2960,3750系列&＃xff09;&＃xff0c;因条件所限&＃xff0c;我测测试环境是H3C交换机

3、AD域环境——用于用户认证

我的测试环境&＃xff1a;

centos7.4  4C-8G-100G &＃xff1b;H3C5120交换机&＃xff0c;window2012 AD域

网络&＃xff1a;

管理vlan 192.168.211.0

注册vlan 192.168.212.0 终端注册、认证后方可上网or接入内网

其他vlan

测试架构&＃xff1a;旁路模式&＃xff0c;大体架构图如下

用户的接入流程

二、pf服务器安装

1、可直接下载虚拟机ovf模板导入&＃xff0c;地址&＃xff1a;https://packetfence.org/download.html

2、yum安装 &＃xff0c;没有vpn的情况下速度较慢&＃xff0c;预计要一天时间

    yum localinstall http://packetfence.org/downloads/PacketFence/RHEL7/&＃96;uname -i&＃96;/RPMS/packetfence-release-1.2-7.el7.noarch.rpm

    具体查看最新版本安装&＃xff0c;修改对应参数&＃xff08;https://packetfence.org/downloads/PacketFence/RHEL7/x86_64/RPMS/&＃xff09;

yum install perl

yum install --enablerepo&＃61;packetfence packetfence

    这里依赖包较多&＃xff0c;需要等待点时间&＃xff08;大约半天以上吧&＃xff09;

    安装完成之后查看1443端口是否起来

    然后登陆web界面进程配置https://ip:1443  建议使用火狐浏览器

三、web界面配置

1、模式选择&＃xff0c;一般选择&＃xff0c;第二种旁路模式&＃xff0c;结合VLAN

2、添加注册vlan和隔离vlan&＃xff0c;注册vlan——账号认证使用&＃xff0c;隔离vlan——访问使用&＃xff0c;两者均需要和其他工作vlan做好隔离

3、数据库配置

4、配置域名DHCP&＃xff0c;注&＃xff1a;mail地址必须写一个&＃xff0c;不然无法通过

5、设置web登录密码&＃xff0c;点击修改

6、点击启动服务&＃xff0c;等待服务全部开机后&＃xff0c;初始配置完成&＃xff0c;可以进入下面配置

四、功能说明&＃xff1a;

Packetfence机制

旁路模式&＃xff1a;PC接入内网&＃xff0c;首先分配一个隔离的注册vlan&＃xff0c;经过AD域和MAC地址认证之后自动分配一个工作的vlan&＃xff0c;达到内网通信的效果

疑问&＃xff1a;

pf服务器与接入层交换机通过radius认证&＃xff0c;snmp关联达到vlan自动分配

DHCP分配&＃xff0c;PF服务器只分配注册vlan和隔离vlan&＃xff0c;工作vlan仍旧使用内网DHCP服务器

Role&＃xff1a;可定义每用户设备数的上限&＃xff0c;后续交换机配置中与VLAN相关联&＃xff0c;不同角色不同vlan

DOMAIN&＃xff1a;将PF服务器加入AD域&＃xff0c;为AD域账户结合做准备

注意点&＃xff1a;PF服务器DNS修改为AD域&＃xff0c;开启smb服务

Authentication source&＃xff1a;认证源&＃xff0c;一般添加AD域认证LDAP关联域内账户&＃xff0c;其中可以增加授权规则&＃xff0c;不同用户分配至不用角色&＃xff08;vlan&＃xff09;

添加AD域的认证组织架构&＃xff0c;注意格式&＃xff0c;认证账户需为OU下的某一账户

添加授权规则&＃xff0c;必选两项&＃xff0c;角色分配的vlan和授权的期限

Switch&＃xff1a;配置交换机认证方式&＃xff0c;IP&＃xff0c;密码&＃xff0c;snmp配置&＃xff0c;角色对应的vlan设置

Radius密码和交换机上密码相同即可

SNMP配置&＃xff0c;注意version和community和交换机上一致&＃xff0c;一般配置V2C或者V3

CLI和web 配置对应交换机的账户和密码即可

Connection profile&＃xff1a;连接选项&＃xff0c;配置上可接入的认证源

交换机端口配置如下图

不同的vlan指向不同的DHCP

另外交换机需要配置其他信息 &＃xff0c;radius&＃xff0c;snmp等&＃xff0c;这个可以参考官网&＃xff0c;各自型号的交换机配置都有

https://packetfence.org/doc/PacketFence_Network_Devices_Configuration_Guide.html