Packetfence开源网络准入系统-创新互联

Packetfence 网络准入系统:

创新互联长期为成百上千客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为金口河企业提供专业的成都做网站、网站制作,金口河网站改版等技术服务。拥有10多年丰富建站经验和众多成功案例,为您定制开发。

开源的准入系统,我公司现在有6-7百人吧,正在用。版本是5.7。现在最新的都出到6.多了

主要用户体验是:用户电脑接入网络,网页任何打开一个网页会自动跳转到一个登陆页面,注册后才可以进入内网。

主要特点:

1.旁路接入

2.支持802.1x或MAB认证

3.完美支持思科2960交换机,可分配VLAN

4.可以查到一个IP地址、MAC地址所在的交换机

5.其它功能可以自己发掘。 发现中国用这个系统的人也比较少。文档也很少。

安装参考:或者直接下载官网上做好的虚拟机。

yum update
yum install mysql*
yum install http*
yum install php*
yum install 

selinux 关闭


/etc/yum.repos.d/PacketFence.repo with the following content:

[PacketFence]
name=PacketFence Repository
baseurl=http://inverse.ca/downloads/PacketFence/RHEL$releasever/$basearch
gpgcheck=0



yum install --enablerepo=packetfence packetfence

rpm -Uvh http://packetfence.org/downloads/PacketFence/RHEL6/`uname -i`/RPMS/packetfence-release-1-2.centos6.noarch.rpm

yum install --enablerepo=packetfence packetfence

DHCP:
dd if=/dev/urandom bs=16 count=1 2>/dev/null | openssl enc -e -base64
cWm+adEfwNaes7VlBoyHdQ==
vi /etc/sysctl.conf  
# Controls IP packet forwarding
net.ipv4.ip_forward = 1

建立网络:

除用户外的网段DHCP由Packetfence分配

vlan1 10.0.x.x   255.255.0.0    Management    DHCP
vlan2 192.168.120.1 255.255.252.0  RegistrationDHCP
vlan3 192.168.130.1 255.255.252.0  Isolation      DHCP
vlan4 用户        DHCP Normal

思科2960交换机配置:

dot1x system-auth-control
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 7200
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
aaa new-model
aaa group server radius packetfence
server 10.0.111.111 auth-port 1812 acct-port 1813
aaa authentication login default local
aaa authentication dot1x default group packetfence
aaa authorization network default group packetfence
radius-server host 192.168.120.1 auth-port 1812 acct-port 1813 timeout 2 key password
radius-server vsa send authentication
snmp-server community public RW

交换机端口配置:

switchport mode access
authentication host-mode multi-domain
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3

其它需要花时间研究一下:

1. 逃生方案:fail-open  当准入系统故障时怎么处理------集群,或设置逃生返回VLAN

2. 用户自动注册------待研究

3. LDAP认证--- OK

4. 接入安全扫描检查-----配置snort Server做接口

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


网页名称:Packetfence开源网络准入系统-创新互联
文章转载:http://pwwzsj.com/article/ceoijp.html