1.入門指南
虛擬設備
用8G內存的VMware ESXI 4.0&5.0虛擬機測試,它也可能適用於其他虛擬化產品,你需要一台有64位系統的主機。
2.網絡設置
- vlan1作為管理vlan
- vlan2作為認證vlan
- vlan3作為隔離vlan(非法設備將放入這個vlan)
- vlan10作為常規辦公vlan
DHCP/DNS
- packetfence自身提供DHCP服務,它將為VLAN2、3分配IP地址,但不為VLAN10提供IP,VLAN10需使用者配置IP地址(自建外部DHCP服務器)。
- packetfence自身提供DNS服務,它將為VLAN2、3提供域名解析功能,但不為VLAN10提供服務,VLAN10使用者自建外部DNS服務器。
3.安裝
導入虛擬機
PacketFence6.4.0有預構建的虛擬磁盤(OVA)。如果您正在使用一個ESX-typehypervisor,您需要使用vSphere客戶機(orvCenter)導入OVA。我們不支持任何Xen-based hypervisor。
導入ESX
確保創建了唯一的虛擬網卡,也確認你的虛擬網卡連接在虛擬交換機上,你將需要創建trunk允許所有VLAN,指派文件給你packetfence ZEN VM的虛擬網卡。
4.虛擬機密碼
管理台(SSH /控制台)、MySQL
- 登錄:root
- 密碼:p@ck3tf3nc3
WEB認證 / 802.1x認證
- 登錄:demouser
- 密碼:demouser
5.配置
packetfence環境配置
啟動虛擬機前,確保你的測試電腦接在交換機正確的trunk端口,並且網絡連接正常
通電后,打開瀏覽器進入https:/ / PF_IP:1443/ 進行VM配置,這是一個五步配置過程,完成后虛擬機將持久工作在packetfence環境。
第一步:部署方式
這是配置過程中最重要的一步。你可以選擇如何部署:VLAN部署(帶外)或在線部署(帶內),或兩者混合部署。
這一步的選擇將影響下一步網絡配置,本指南將為你展示怎樣配置外部VLAN模式,如果你想配置內部模式請參考PacketFenceInlineDeploymentQuickGuide usingZEN Step
第二步:網絡
你需要靜態的配置你的網絡接口(注意:不支持DHCP接口配置),
根據第一步的配置選擇,你必須配置配置一些需求接口,web界面將列出所有當前系統上的網絡接口,如果這些網絡接口DHCP獲得了IP或者手動配置了IP地址,你可以編輯他們,例如創建或刪除接口上的VLAN,enable/disable接口。注意:在你操作這些的時候對於接口是有影響的,在enable的接口,它是有持續影響的。最后你要設置一個管理端口。
VLAN強制所需要的接口類型:
- 管理vlan
- 注冊vlan
- 隔離vlan
注意:你只能設置一個管理接口
然后,我們需要在有線接口上創建另外兩個VLAN(大部分是在eth0上),點擊增加VLAN
配置如下:
注冊VLAN
Virtual LAN ID: 2
IP Address: 192.168.2.1
Netmask: 255.255.255.0
隔離VLAN
Virtual LAN ID: 3
IP Address: 192.168.3.1
Netmask: 255.255.255.0
注意事項:暫時忽略高可用選項,如果對PacketFence集群感興趣,可以參考集群指南。
也不要忘記點擊接口名eth0區修改物理接口的正確的網絡管理信息。
根據我們的測試例子,需要結合每個接口正確的類型
eth0: 管理
eth0 VLAN 2: 注冊
eth0 VLAN 3: 隔離
第三步:數據庫配置
這一步將配置PacketFence所需要的MySQL服務器。將創建數據庫和模式以及必要的用戶操作。root賬號也進行安全設置,如果有必要設置密碼並且拒絕遠程登錄。
如果MySQLd 服務沒有啟動,請啟動。點擊網頁最上方的MySQL的開始按鈕。
接着需要創建MySQL數據庫的root密碼。輸入兩次相同的復雜密碼並保存,點擊Test按鈕,顯示成功連接數據庫,即密碼創建成功。
下一步是創建數據庫,並導入正確的模板。保留默認數據庫名並創建數據庫和表
最后一步Packetfence用戶賬號關聯MySQL服務器,保留默認使用名和輸入一個密碼,這些將自動設置到Packetfence配置里。輸入兩次密碼后,點擊創建
如果這三部分都設定成功,點擊繼續下一步。
第四步:PacketFence配置
該步驟將配置PacketFence安裝的選項。這些配置大多數符合用戶的規格.
幾乎所有的需求信息很清晰的,唯一容易混淆的是DHCP服務器的部分,在用戶網絡輸入一個DHCP列表,當PacketFence看到來至於這些DHCP分配的IP的流量時,不會觸發非法DHCP警報。
PacketFence將使用域名和主機名產生一個URL在認證頁面進行重定向服務。如果你有一個使用相同主機名和域名的證書可以在認證頁面驗證SSL連接。
第五步:管理
創建一個管理員賬號進入PacketFence管理網頁界面,提供所需的賬號密碼,點擊修改密碼
第六步:服務---確認
通過之前所做的配置,啟動PacketFence服務器。一切正常的話,可以收到一個邀請窗口提示你繼續進入這個web管理界面。
然后用已有的證書(第4步)登錄PacketFence管理網頁界面
如果一切順利的話服務狀態會進行監控,如果失敗,你可以看到哪個服務異常,並且log日志可以查出是什么導致這個異常。
配置DHCP OMAPI
為了加速IP地址的租約查詢,你可以配置DHCP OMAPI,可以更快的查詢IP與mac地址的關聯。
首先,在SSH會話中執行以下命令
# dd if=/dev/urandom bs=16 count=1 2>/dev/null | openssl enc -e -base64
會產生一個相類似的輸出
m4NMkOKc9IxfWk8cL2fP4g==
然后再管理界面粘貼這個輸出結果Configuration/OMAPI/OMAPIbase64 keyand並保存。
在SSH會話中,用以下命令重啟DHCP服務
# /usr/local/pf/bin/pfcmd service dhcpd restart
PacketFence配置文件
如果你想要定制配置文件,我們建議參考PacketFence管理指南。
主要配置文件:
conf/pf.conf:配置PacketFence服務
conf/networks.conf: 配置注冊和隔離網絡
conf/switches.conf: 配置VLAN和網絡服務
網絡服務
為了正確的配置你的服務,請參考網絡服務配置指南。
現在你安裝了一個完整版的PacketFence,接下來,我們提供了一個用思科2960交換機結合PacketFence使用MAC認證的例子。
如果沒有完全安裝,登錄PacketFence網頁管理界面,點擊配置Configuration,選擇網絡部分下的Switches。
添加一台交換機(cisco2960)到PacketFence數據庫,點擊Add switch在界面的底部。
添加窗口將彈出,在上面,你要輸入兩者集成的正確信息。使用下面的信息填入到文本框內
Definition:
IP: This will be the IP of the Catalyst 2960 switch on the management network
Description: Cisco Catalyst 2960 Type: Cisco::Catalyst_2960 Mode: Production Deauthentication: RADIUS Dynamic Uplinks: Checked
Roles:
Role by VLAN ID: checked
registration VLAN: 2 isolation VLAN: 3 default: 10
RADIUS:
Secret Passphrase: useStrongerSecret
Snmp:
SNMP Version: 2c
SNMP Read Community: ciscoRead
SNMP Write Community: ciscoWrite
點擊保存添加
新添加的交換機將顯示在列表中。
配置CISCO 2960
這步我們將討論如何配置你的cisco 2960交換機以滿足與你配置好的PacketFence環境協同工作。我們假設你會使用交換機命令行做所有的配置。
啟用802.1X功能
配置的第一步,你一定要在交換機全局啟用802.1X功能。完成這步,使用如下命令:
dot1x system-auth-control
配置AAA
下一步是配置AAA服務,它會使用你新創建的PacketFence服務器。務必保證在下面的命令中,你用真實的PacketFence管理IP地址替換了 PF_MANAGEMENT_IP 這個參數。
aaa new-model
aaa group server radius packetfence
server PF_MANAGEMENT_IP auth-port 1812 acct-port 1813
aaa authentication login default local
aaa authentication dot1x default group packetfence
aaa authorization network default group packetfence
radius-server host PF_MANAGEMENT_IP auth-port 1812 acct-port 1813 timeout 2 key useStrongerSecret
radius-server vsa send authentication
注意:
請保證在交換機有一個本地賬戶。
配置交換機MAB功能
AAA功能准備之后,我們能配置一些或者所有的交換機端口去演示mac認證旁路功能(MAB)(支持w/o 語音功能):
switchport mode access authentication host-mode single-host authentication order mab dot1x authentication priority mab dot1x authentication port-control auto authentication periodic authentication timer restart 10800 authentication timer reauthenticate 10800 mab no snmp trap link-status dot1x pae authenticator dot1x timeout quiet-period 2 dot1x timeout tx-period 3
如果你想在一些端口測試下VoIP電話機(例如:語音VLAN 100),可以在你的接口配置下添加下面的命令行:
switchport voice vlan 100
authentication host-mode multi-domain
配置SNMP
最后,針對一些操作(像VoIP),PacketFence仍然需要通過SNMP訪問交換機。請務必保證你像下面一樣配置兩個SNMP團體名:
snmp-server community ciscoRead ro
snmp-server community ciscoWrite rw
你可以參考Cisco Catalyst 文檔配置更多的選項。
配置授權的變更
aaa server radius dynamic-author client PF_MANAGEMENT_IP server-key useStrongerSecret port 3799
保存配置
所有配置完成后,千萬不要忘記用:wirte mem 保存你的配置。
測試和演示
恭喜你,你完成所有的設置和准備工作!如果你的設置配置正確,你應該做到如下事情:
- 從PacketFence環境能工到達(或ping通)交換機
- 登錄PacketFence管理UI(https://management_IP:1443)
- 使用demouser/demouser 憑證在mac認證的端口連接上一個用戶設備,演示一次認證過程
FreeRADIUS
PacketFence ZEN 6.4.0使用預先配置的FreeRADIUS完成有線和無線的認證(使用EAP協議的8021.X認證和mac認證)。我們為了802.1X認證創建了一個本地用戶。
主要的配置文件如下:
- /usr/local/pf/conf/radiusd.conf:RADIUS服務的配置模板
- /usr/local/pf/conf/eap.conf:使用EAP協議的802.1X認證的配置模板
- /usr/local/pf/conf/sql.conf :RADIUS記賬功能和RADIUS客戶端配置模板
- ▪/usr/local/pf/raddb/users:定義本地的802.1X用戶
- /usr/local/pf/raddb/sites-enabled/packetfence:定義在AAA(認證-授權-記賬)不同階段的模塊默認配置
- /usr/local/pf/raddb/sites-enabled/packetfence-tunnel:定義主要是為了隧道EAP處理進程的一個本地虛擬主機。這是默認虛擬主機的擴展。
- /usr/local/pf/raddb/packetfence.pm : PacketFence的FreeRADIUS模塊。與PacketFence協同工作。
VLANAccess
- 務必保證在交換機配置了注冊、隔離和正常VLAN
- 配置一個交換機端口為trunk端口能夠訪問所有VLAN。本征VLAN應該是管理VLAN(vlan1)
- 把你PacketFence主機的eth0連接上trunk端口
- 把一個交換機端口划分在注冊VLAN
- 把另外一個交換機端口划分在隔離VLAN
- 分配一個具有靜態IP地址(配置正確的網段)的主機放在注冊VLAN
- 分配一個具有靜態IP地址(配置正確的網段)的主機放在隔離VLAN
- 保證在VLAN2的設備能夠通過eth0.2(且只能通過這個接口)PacketFence直接通信
- 保證在VLAN2的設備不能和其他VLAN的設備通信
- 保證在VLAN3的設備能夠通過eth0.3(且只能通過這個接口)PacketFence直接通信
- 保證在VLAN3的設備不能和其他VLAN的設備通信
第七章 測試
在vlan部署模式注冊一個設備
你現在可也測試注冊過程。你需要做如下事情:
- 在交換機上連接一個未注冊的設備
- 保證PacketFence能夠從交換機收到radius認證請求。查看PacketFence的日志文件:/usr/local/pf/logs/packetfence.log
- 保證PacketFence處理了radius請求,並將交換機端口划分為注冊VLAN(VLAN2)。再次查看PacketFence日志文件:/usr/local/pf/logs/packetfence.log
在電腦上操作:
- 打開一個瀏覽器
- 嘗試連接一個HTTP站點(不能是HTTPS站點,例如:www.baidu.com)
- 務必保證不管你想要訪問什么網站,你只能訪問注冊頁面
注冊這台電腦使用:
- 用戶名:demouser
- 密碼:demouser
一旦這台電腦注冊完成,請確認:
- PacketFence將這個交換機端口划在正常VLAN(VLAN10)
- 這台電腦能夠連接上網絡並能夠訪問Ineternet。