Packetfence开源网络准入系统-创新互联
Packetfence 网络准入系统:
创新互联长期为成百上千客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为金口河企业提供专业的成都做网站、网站制作,金口河网站改版等技术服务。拥有10多年丰富建站经验和众多成功案例,为您定制开发。开源的准入系统,我公司现在有6-7百人吧,正在用。版本是5.7。现在最新的都出到6.多了
主要用户体验是:用户电脑接入网络,网页任何打开一个网页会自动跳转到一个登陆页面,注册后才可以进入内网。
主要特点:
1.旁路接入
2.支持802.1x或MAB认证
3.完美支持思科2960交换机,可分配VLAN
4.可以查到一个IP地址、MAC地址所在的交换机
5.其它功能可以自己发掘。 发现中国用这个系统的人也比较少。文档也很少。
安装参考:或者直接下载官网上做好的虚拟机。
yum update yum install mysql* yum install http* yum install php* yum install selinux 关闭 /etc/yum.repos.d/PacketFence.repo with the following content: [PacketFence] name=PacketFence Repository baseurl=http://inverse.ca/downloads/PacketFence/RHEL$releasever/$basearch gpgcheck=0 yum install --enablerepo=packetfence packetfence rpm -Uvh http://packetfence.org/downloads/PacketFence/RHEL6/`uname -i`/RPMS/packetfence-release-1-2.centos6.noarch.rpm yum install --enablerepo=packetfence packetfence DHCP: dd if=/dev/urandom bs=16 count=1 2>/dev/null | openssl enc -e -base64 cWm+adEfwNaes7VlBoyHdQ==
vi /etc/sysctl.conf # Controls IP packet forwarding net.ipv4.ip_forward = 1
建立网络:
除用户外的网段DHCP由Packetfence分配
vlan1 10.0.x.x 255.255.0.0 Management DHCP vlan2 192.168.120.1 255.255.252.0 RegistrationDHCP vlan3 192.168.130.1 255.255.252.0 Isolation DHCP vlan4 用户 DHCP Normal
思科2960交换机配置:
dot1x system-auth-control switchport mode access authentication order dot1x mab authentication priority dot1x mab authentication port-control auto authentication periodic authentication timer restart 10800 authentication timer reauthenticate 7200 mab no snmp trap link-status dot1x pae authenticator dot1x timeout quiet-period 2 dot1x timeout tx-period 3 aaa new-model aaa group server radius packetfence server 10.0.111.111 auth-port 1812 acct-port 1813 aaa authentication login default local aaa authentication dot1x default group packetfence aaa authorization network default group packetfence radius-server host 192.168.120.1 auth-port 1812 acct-port 1813 timeout 2 key password radius-server vsa send authentication snmp-server community public RW
交换机端口配置:
switchport mode access authentication host-mode multi-domain authentication order dot1x mab authentication priority dot1x mab authentication port-control auto authentication periodic authentication timer restart 10800 authentication timer reauthenticate 10800 mab no snmp trap link-status dot1x pae authenticator dot1x timeout quiet-period 2 dot1x timeout tx-period 3
其它需要花时间研究一下:
1. 逃生方案:fail-open 当准入系统故障时怎么处理------集群,或设置逃生返回VLAN
2. 用户自动注册------待研究
3. LDAP认证--- OK
4. 接入安全扫描检查-----配置snort Server做接口
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
网页名称:Packetfence开源网络准入系统-创新互联
文章转载:http://pwwzsj.com/article/ceoijp.html