packetfence 带外快速部署使用指南
1.入门指南虚拟设备
用8G内存的VMware ESXI 4.0&5.0虚拟机测试,它也可能适用于其他虚拟化产品,你需要一台有64位系统的主机。
2.网络设置
[*]vlan1作为管理vlan
[*]vlan2作为认证vlan
[*]vlan3作为隔离vlan(非法设备将放入这个vlan)
[*]vlan10作为常规办公vlan
DHCP/DNS
[*]packetfence自身提供DHCP服务,它将为VLAN2、3分配IP地址,但不为VLAN10提供IP,VLAN10需使用者配置IP地址(自建外部DHCP服务器)。
[*]packetfence自身提供DNS服务,它将为VLAN2、3提供域名解析功能,但不为VLAN10提供服务,VLAN10使用者自建外部DNS服务器。
3.安装
导入虚拟机
PacketFence6.4.0有预构建的虚拟磁盘(OVA)。如果您正在使用一个ESX-typehypervisor,您需要使用vSphere客户机(orvCenter)导入OVA。我们不支持任何Xen-based hypervisor。
导入ESX
确保创建了唯一的虚拟网卡,也确认你的虚拟网卡连接在虚拟交换机上,你将需要创建trunk允许所有VLAN,指派文件给你packetfence ZEN VM的虚拟网卡。
4.虚拟机密码
管理台(SSH /控制台)、MySQL
[*]登录:root
[*]密码:p@ck3tf3nc3
WEB认证 / 802.1x认证
[*]登录:demouser
[*]密码:demouser
5.配置
packetfence环境配置
启动虚拟机前,确保你的测试电脑接在交换机正确的trunk端口,并且网络连接正常
通电后,打开浏览器进入https:/ / PF_IP:1443/ 进行VM配置,这是一个五步配置过程,完成后虚拟机将持久工作在packetfence环境。
第一步:部署方式
这是配置过程中最重要的一步。你可以选择如何部署:VLAN部署(带外)或在线部署(带内),或两者混合部署。
这一步的选择将影响下一步网络配置,本指南将为你展示怎样配置外部VLAN模式,如果你想配置内部模式请参考PacketFenceInlineDeploymentQuickGuide usingZEN Step
第二步:网络
你需要静态的配置你的网络接口(注意:不支持DHCP接口配置),
根据第一步的配置选择,你必须配置配置一些需求接口,web界面将列出所有当前系统上的网络接口,如果这些网络接口DHCP获得了IP或者手动配置了IP地址,你可以编辑他们,例如创建或删除接口上的VLAN,enable/disable接口。注意:在你操作这些的时候对于接口是有影响的,在enable的接口,它是有持续影响的。最后你要设置一个管理端口。
VLAN强制所需要的接口类型:
[*]管理vlan
[*]注册vlan
[*]隔离vlan
注意:你只能设置一个管理接口
然后,我们需要在有线接口上创建另外两个VLAN(大部分是在eth0上),点击增加VLAN
配置如下:
注册VLAN
Virtual LAN ID: 2
IP Address: 192.168.2.1
Netmask: 255.255.255.0
隔离VLAN
Virtual LAN ID: 3
IP Address: 192.168.3.1
Netmask: 255.255.255.0
注意事项:暂时忽略高可用选项,如果对PacketFence集群感兴趣,可以参考集群指南。
也不要忘记点击接口名eth0区修改物理接口的正确的网络管理信息。
根据我们的测试例子,需要结合每个接口正确的类型
eth0: 管理
eth0 VLAN 2: 注册
eth0 VLAN 3: 隔离
第三步:数据库配置
这一步将配置PacketFence所需要的MySQL服务器。将创建数据库和模式以及必要的用户操作。root账号也进行安全设置,如果有必要设置密码并且拒绝远程登录。
如果MySQLd 服务没有启动,请启动。点击网页最上方的MySQL的开始按钮。
接着需要创建MySQL数据库的root密码。输入两次相同的复杂密码并保存,点击Test按钮,显示成功连接数据库,即密码创建成功。
下一步是创建数据库,并导入正确的模板。保留默认数据库名并创建数据库和表
最后一步Packetfence用户账号关联MySQL服务器,保留默认使用名和输入一个密码,这些将自动设置到Packetfence配置里。输入两次密码后,点击创建
如果这三部分都设定成功,点击继续下一步。
第四步:PacketFence配置
该步骤将配置PacketFence安装的选项。这些配置大多数符合用户的规格.
几乎所有的需求信息很清晰的,唯一容易混淆的是DHCP服务器的部分,在用户网络输入一个DHCP列表,当PacketFence看到来至于这些DHCP分配的IP的流量时,不会触发非法DHCP警报。
PacketFence将使用域名和主机名产生一个URL在认证页面进行重定向服务。如果你有一个使用相同主机名和域名的证书可以在认证页面验证SSL连接。
第五步:管理
创建一个管理员账号进入PacketFence管理网页界面,提供所需的账号密码,点击修改密码
第六步:服务---确认
通过之前所做的配置,启动PacketFence服务器。一切正常的话,可以收到一个邀请窗口提示你继续进入这个web管理界面。
然后用已有的证书(第4步)登录PacketFence管理网页界面
如果一切顺利的话服务状态会进行监控,如果失败,你可以看到哪个服务异常,并且log日志可以查出是什么导致这个异常。
配置DHCP OMAPI
为了加速IP地址的租约查询,你可以配置DHCP OMAPI,可以更快的查询IP与mac地址的关联。
首先,在SSH会话中执行以下命令
# dd if=/dev/urandom bs=16 count=1 2>/dev/null | openssl enc -e -base64
会产生一个相类似的输出
m4NMkOKc9IxfWk8cL2fP4g==
然后再管理界面粘贴这个输出结果Configuration/OMAPI/OMAPIbase64 keyand并保存。
在SSH会话中,用以下命令重启DHCP服务
# /usr/local/pf/bin/pfcmd service dhcpd restart
PacketFence配置文件
如果你想要定制配置文件,我们建议参考PacketFence管理指南。
主要配置文件:
conf/pf.conf:配置PacketFence服务
conf/networks.conf: 配置注册和隔离网络
conf/switches.conf: 配置VLAN和网络服务
网络服务
为了正确的配置你的服务,请参考网络服务配置指南。
现在你安装了一个完整版的PacketFence,接下来,我们提供了一个用思科2960交换机结合PacketFence使用MAC认证的例子。
如果没有完全安装,登录PacketFence网页管理界面,点击配置Configuration,选择网络部分下的Switches。
添加一台交换机(cisco2960)到PacketFence数据库,点击Add switch在界面的底部。
添加窗口将弹出,在上面,你要输入两者集成的正确信息。使用下面的信息填入到文本框内
Definition:
IP: This will be the IP of the Catalyst 2960 switch on the management network
Description: Cisco Catalyst 2960
Type: Cisco::Catalyst_2960
Mode: Production
Deauthentication: RADIUS
Dynamic Uplinks: Checked
Roles:
Role by VLAN ID: checked
registration VLAN: 2
isolation VLAN: 3
default: 10
RADIUS:
Secret Passphrase: useStrongerSecret
Snmp:
SNMP Version: 2c
SNMP Read Community: ciscoRead
SNMP Write Community: ciscoWrite
点击保存添加
新添加的交换机将显示在列表中。
配置CISCO 2960
这步我们将讨论如何配置你的cisco 2960交换机以满足与你配置好的PacketFence环境协同工作。我们假设你会使用交换机命令行做所有的配置。
启用802.1X功能
配置的第一步,你一定要在交换机全局启用802.1X功能。完成这步,使用如下命令:
dot1x system-auth-control
配置AAA
下一步是配置AAA服务,它会使用你新创建的PacketFence服务器。务必保证在下面的命令中,你用真实的PacketFence管理IP地址替换了 PF_MANAGEMENT_IP 这个参数。
aaa new-model
aaa group server radius packetfence
server PF_MANAGEMENT_IP auth-port 1812 acct-port 1813
aaa authentication login default local
aaa authentication dot1x default group packetfence
aaa authorization network default group packetfence
radius-server host PF_MANAGEMENT_IP auth-port 1812 acct-port 1813 timeout 2 key useStrongerSecret
radius-server vsa send authentication
注意:
请保证在交换机有一个本地账户。
配置交换机MAB功能
AAA功能准备之后,我们能配置一些或者所有的交换机端口去演示mac认证旁路功能(MAB)(支持w/o 语音功能):
switchport mode access
authentication host-mode single-host
authentication order mab dot1x
authentication priority mab dot1x
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
如果你想在一些端口测试下VoIP电话机(例如:语音VLAN 100),可以在你的接口配置下添加下面的命令行:
switchport voice vlan 100
authentication host-mode multi-domain
配置SNMP
最后,针对一些操作(像VoIP),PacketFence仍然需要通过SNMP访问交换机。请务必保证你像下面一样配置两个SNMP团体名:
snmp-server community ciscoRead ro
snmp-server community ciscoWrite rw
你可以参考Cisco Catalyst 文档配置更多的选项。
配置授权的变更
aaa server radius dynamic-author client PF_MANAGEMENT_IP server-key useStrongerSecret port 3799
保存配置
所有配置完成后,千万不要忘记用:wirte mem 保存你的配置。
测试和演示
恭喜你,你完成所有的设置和准备工作!如果你的设置配置正确,你应该做到如下事情:
[*]从PacketFence环境能工到达(或ping通)交换机
[*]登录PacketFence管理UI(https://management_IP:1443)
[*]使用demouser/demouser 凭证在mac认证的端口连接上一个用户设备,演示一次认证过程
FreeRADIUS
PacketFence ZEN 6.4.0使用预先配置的FreeRADIUS完成有线和无线的认证(使用EAP协议的8021.X认证和mac认证)。我们为了802.1X认证创建了一个本地用户。
主要的配置文件如下:
[*]/usr/local/pf/conf/radiusd.conf:RADIUS服务的配置模板
[*]/usr/local/pf/conf/eap.conf:使用EAP协议的802.1X认证的配置模板
[*]/usr/local/pf/conf/sql.conf :RADIUS记账功能和RADIUS客户端配置模板
[*]▪/usr/local/pf/raddb/users:定义本地的802.1X用户
[*]/usr/local/pf/raddb/sites-enabled/packetfence:定义在AAA(认证-授权-记账)不同阶段的模块默认配置
[*]/usr/local/pf/raddb/sites-enabled/packetfence-tunnel:定义主要是为了隧道EAP处理进程的一个本地虚拟主机。这是默认虚拟主机的扩展。
[*]/usr/local/pf/raddb/packetfence.pm : PacketFence的FreeRADIUS模块。与PacketFence协同工作。
VLANAccess
[*]务必保证在交换机配置了注册、隔离和正常VLAN
[*]配置一个交换机端口为trunk端口能够访问所有VLAN。本征VLAN应该是管理VLAN(vlan1)
[*]把你PacketFence主机的eth0连接上trunk端口
[*]把一个交换机端口划分在注册VLAN
[*]把另外一个交换机端口划分在隔离VLAN
[*]分配一个具有静态IP地址(配置正确的网段)的主机放在注册VLAN
[*]分配一个具有静态IP地址(配置正确的网段)的主机放在隔离VLAN
[*]保证在VLAN2的设备能够通过eth0.2(且只能通过这个接口)PacketFence直接通信
[*]保证在VLAN2的设备不能和其他VLAN的设备通信
[*]保证在VLAN3的设备能够通过eth0.3(且只能通过这个接口)PacketFence直接通信
[*]保证在VLAN3的设备不能和其他VLAN的设备通信
第七章 测试
在vlan部署模式注册一个设备
你现在可也测试注册过程。你需要做如下事情:
[*]在交换机上连接一个未注册的设备
[*]保证PacketFence能够从交换机收到radius认证请求。查看PacketFence的日志文件:/usr/local/pf/logs/packetfence.log
[*]保证PacketFence处理了radius请求,并将交换机端口划分为注册VLAN(VLAN2)。再次查看PacketFence日志文件:/usr/local/pf/logs/packetfence.log
在电脑上操作:
[*]打开一个浏览器
[*]尝试连接一个HTTP站点(不能是HTTPS站点,例如:www.baidu.com)
[*]务必保证不管你想要访问什么网站,你只能访问注册页面
注册这台电脑使用:
[*]用户名:demouser
[*]密码:demouser
一旦这台电脑注册完成,请确认:
[*]PacketFence将这个交换机端口划在正常VLAN(VLAN10)
[*]这台电脑能够连接上网络并能够访问Ineternet。
页:
[1]