Packetfence 開源網絡准入系統

Packetfence 網絡准入系統：

開源的准入系統，我公司如今有6-7百人吧，正在用。版本是5.7。如今最新的都出到6.多了

主要用戶體驗是：用戶電腦接入網絡，網頁任何打開一個網頁會自動跳轉到一個登錄頁面，註冊後才能夠進入內網。

主要特色：

1.旁路接入

2.支持802.1x或MAB認證

3.完美支持思科2960交換機，可分配VLAN

4.能夠查到一個IP地址、MAC地址所在的交換機

5.其它功能能夠本身發掘。 發現中國用這個系統的人也比較少。文檔也不多。

安裝參考：或者直接下載官網上作好的虛擬機。

yum update
yum install mysql*
yum install http*
yum install php*
yum install 

selinux 關閉


/etc/yum.repos.d/PacketFence.repo with the following content:

[PacketFence]
name=PacketFence Repository
baseurl=http://inverse.ca/downloads/PacketFence/RHEL$releasever/$basearch
gpgcheck=0



yum install --enablerepo=packetfence packetfence

rpm -Uvh http://packetfence.org/downloads/PacketFence/RHEL6/`uname -i`/RPMS/packetfence-release-1-2.centos6.noarch.rpm

yum install --enablerepo=packetfence packetfence

DHCP：
dd if=/dev/urandom bs=16 count=1 2>/dev/null | openssl enc -e -base64
cWm+adEfwNaes7VlBoyHdQ==

vi /etc/sysctl.conf  
# Controls IP packet forwarding
net.ipv4.ip_forward = 1

創建網絡：

除用戶外的網段DHCP由Packetfence分配

vlan1 10.0.x.x   255.255.0.0    Management    DHCP
vlan2 192.168.120.1 255.255.252.0  RegistrationDHCP
vlan3 192.168.130.1 255.255.252.0  Isolation      DHCP
vlan4 用戶        DHCP Normal

思科2960交換機配置：

dot1x system-auth-control
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 7200
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
aaa new-model
aaa group server radius packetfence
server 10.0.111.111 auth-port 1812 acct-port 1813
aaa authentication login default local
aaa authentication dot1x default group packetfence
aaa authorization network default group packetfence
radius-server host 192.168.120.1 auth-port 1812 acct-port 1813 timeout 2 key password
radius-server vsa send authentication
snmp-server community public RW

交換機端口配置：

switchport mode access
authentication host-mode multi-domain
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3

其它須要花時間研究一下：

1. 逃生方案：fail-open  當準入系統故障時怎麼處理------集羣，或設置逃生返回VLAN

2. 用戶自動註冊------待研究

3. LDAP認證--- OK

4. 接入安全掃描檢查-----配置snort Server作接口