今天呢先說下packetfence部署的環境;
關於使用方法之前的帖子有介紹,一定要看哦
https://blog.csdn.net/qq_18204953/article/details/80708303
官網部署參考網址
https://packetfence.org/doc/PacketFence_Installation_Guide.html
一、準備工作(服務器、設備)
需求:
1、centos7.4——內存8G最好,測試環境小點也可以_pf服務器——網口接交換機的trunk口
2、交換機——需要支持802.1X認證(推薦思科2960,3750系列),因條件所限,我測測試環境是H3C交換機
3、AD域環境——用於用戶認證
我的測試環境:
centos7.4 4C-8G-100G ;H3C5120交換機,window2012 AD域
網絡:
管理vlan 192.168.211.0
註冊vlan 192.168.212.0 終端註冊、認證後方可上網or接入內網
其他vlan
測試架構:旁路模式,大體架構圖如下
用戶的接入流程
二、pf服務器安裝
1、可直接下載虛擬機ovf模板導入,地址:https://packetfence.org/download.html
2、yum安裝 ,沒有vpn的情況下速度較慢,預計要一天時間
1、模式選擇,一般選擇,第二種旁路模式,結合VLAN
2、添加註冊vlan和隔離vlan,註冊vlan——賬號認證使用,隔離vlan——訪問使用,兩者均需要和其他工作vlan做好隔離
3、數據庫配置
4、配置域名DHCP,注:mail地址必須寫一個,不然無法通過
5、設置web登錄密碼,點擊修改
6、點擊啓動服務,等待服務全部開機後,初始配置完成,可以進入下面配置
四、功能說明:
Packetfence機制
旁路模式:PC接入內網,首先分配一個隔離的註冊vlan,經過AD域和MAC地址認證之後自動分配一個工作的vlan,達到內網通信的效果
疑問:
pf服務器與接入層交換機通過radius認證,snmp關聯達到vlan自動分配
DHCP分配,PF服務器只分配註冊vlan和隔離vlan,工作vlan仍舊使用內網DHCP服務器
Role:可定義每用戶設備數的上限,後續交換機配置中與VLAN相關聯,不同角色不同vlan
DOMAIN:將PF服務器加入AD域,爲AD域賬戶結合做準備
注意點:PF服務器DNS修改爲AD域,開啓smb服務
Authentication source:認證源,一般添加AD域認證LDAP關聯域內賬戶,其中可以增加授權規則,不同用戶分配至不用角色(vlan)
添加AD域的認證組織架構,注意格式,認證賬戶需爲OU下的某一賬戶
添加授權規則,必選兩項,角色分配的vlan和授權的期限
Switch:配置交換機認證方式,IP,密碼,snmp配置,角色對應的vlan設置
Radius密碼和交換機上密碼相同即可
SNMP配置,注意version和community和交換機上一致,一般配置V2C或者V3
CLI和web 配置對應交換機的賬戶和密碼即可
Connection profile:連接選項,配置上可接入的認證源
交換機端口配置如下圖
不同的vlan指向不同的DHCP
另外交換機需要配置其他信息 ,radius,snmp等,這個可以參考官網,各自型號的交換機配置都有
https://packetfence.org/doc/PacketFence_Network_Devices_Configuration_Guide.html