Packetfence 开源网络准入系统

Packetfence 网络准入系统:

开源的准入系统,我公司现在有6-7百人吧,正在用。版本是5.7。现在最新的都出到6.多了

主要用户体验是:用户电脑接入网络,网页任何打开一个网页会自动跳转到一个登陆页面,注册后才可以进入内网。

主要特点:

1.旁路接入

2.支持802.1x或MAB认证

3.完美支持思科2960交换机,可分配VLAN

4.可以查到一个IP地址、MAC地址所在的交换机

5.其它功能可以自己发掘。 发现中国用这个系统的人也比较少。文档也很少。

安装参考:或者直接下载官网上做好的虚拟机。

yum update
yum install mysql*
yum install http*
yum install php*
yum install 

selinux 关闭

/etc/yum.repos.d/PacketFence.repo with the following content:

[PacketFence]
name=PacketFence Repository
baseurl=http://inverse.ca/downloads/PacketFence/RHEL$releasever/$basearch
gpgcheck=0

yum install --enablerepo=packetfence packetfence

rpm -Uvh http://packetfence.org/downloads/PacketFence/RHEL6/`uname -i`/RPMS/packetfence-release-1-2.centos6.noarch.rpm

yum install --enablerepo=packetfence packetfence

DHCP:
dd if=/dev/urandom bs=16 count=1 2>/dev/null | openssl enc -e -base64
cWm+adEfwNaes7VlBoyHdQ==
vi /etc/sysctl.conf  
# Controls IP packet forwarding
net.ipv4.ip_forward = 1

建立网络:

除用户外的网段DHCP由Packetfence分配

vlan1 10.0.x.x   255.255.0.0    Management    DHCP
vlan2 192.168.120.1 255.255.252.0  RegistrationDHCP
vlan3 192.168.130.1 255.255.252.0  Isolation      DHCP
vlan4 用户        DHCP Normal

思科2960交换机配置:

dot1x system-auth-control
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 7200
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
aaa new-model
aaa group server radius packetfence
server 10.0.111.111 auth-port 1812 acct-port 1813
aaa authentication login default local
aaa authentication dot1x default group packetfence
aaa authorization network default group packetfence
radius-server host 192.168.120.1 auth-port 1812 acct-port 1813 timeout 2 key password
radius-server vsa send authentication
snmp-server community public RW

交换机端口配置:

switchport mode access
authentication host-mode multi-domain
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3

其它需要花时间研究一下:

1. 逃生方案:fail-open  当准入系统故障时怎么处理------集群,或设置逃生返回VLAN

2. 用户自动注册------待研究

3. LDAP认证--- OK

4. 接入安全扫描检查-----配置snort Server做接口

时间: 2024-08-05 19:35:34

Packetfence 开源网络准入系统的相关文章

使用802.1X+FreeRadius+LDAP实现网络准入方案

前言:在很多运维项目交流中,我们发现有一些运维团队还是在尝试使用网管或桌面管理来进行网络准入管理,但这两个技术有一定的缺点,所以本文分享一下802.1X+开源软件整合的网络准入管理的实践. 网络准入业界常用方案 为了保证网络资源的安全,拒绝非法入侵,现代IT网络总需要一定的网络准入方案,而目前业界常用的网络准入方案有: 方案 说明 优点 缺点 桌面管理软件 以一机两用等产品为代表,需要安装agent并经过审批才能进入网络,否则通过ARP攻击等手段阻止非法终端接入. 控制能力强 安装维护成本高:

优秀的开源电商系统有哪些

信息技术的迅速发展,商家想在众多的电商系统中选择一款合适的并不是那么轻易的事情,那么为了能够让商家在选择上减少时间,小编为你介绍几款好的开源电商系统. ECSHOP电商系统 基于PHP语言及MYSQL数据库构架开发的跨平台开源电商系统,因其强大功能拥有着大批粉丝.ECSHOP开源的电商系统最大的特色之一是功能健全,有着较为全面的商品管理.订单处理.会员管理等功能,其操作简易性更是成为国内多数从事电商行业的企业或个人的首选.ECSHOP是我国较为经典的一款老牌开源电子商务系统. MAGENTO电商

在Ubuntu上部署开源博客系统Blog_mini

0.说明 本文为开源博客系统Blog_mini的官方部署文档,通过本文的阅读,你将可以在一个全新的CentOS系统上完全部署Blog_mini,从而成功架设属于你的个人博客网站. 这里使用的操作系统为:Ubuntu 15.10,理论上,只要操作系统上安装的Python版本为2.6.x或2.7.x,都可以成功部署Blog_mini. 1.获取Blog_mini源代码 有以下两种方式可以获取Blog_mini的源代码: 通过git的方式 通过Blog_mini项目主页下载 我们将介绍这两种方法,实际

开源分享:用Python开发的开源博客系统Blog_mini

本博文在51CTO技术博客首发. 开源不易,Python良心之作,真心送给广大朋友,恳请给予支持,不胜感激! 0.Blog_mini送给你们:让每个人都轻松拥有可管理的个人博客 你从未架设过服务器或网站,希望可以接触一下这方面的知识-- 你从未使用过Linux操作系统,希望可以接触一下这方面的知识-- 你是初中生/高中生/大学生,希望能在学业之余锻炼一下自己的IT技能-- 你是Python新手,希望能有一个用Python开发的个人博客-- 你学习Python许久,希望有一个开源的项目可以用来学习

开源IT监控系统对比

应邀对开源IT监控系统进行对比,选取了Nagios.Cacti.Zenoss.Zabbix.Hyperic HQ做为对比样本,帮助读者选择开源的IT监控系统作为底层,开发所需的监控运维工具. 1 背景和目标 1.1 前言 随着SaaS.P2P等各类在线应用的兴起,使得各类在线应用服务公司采购了大量的服务器等IT设施.而如何对庞大的IT设施进行有效的监控和管理,一直是很头疼的问题.以往,网络监控软件都是商业软件的天下,主要是BMC Patrol.CA Unicenter.HP OpenView或I

MiinCMP1.0 SAE 新浪云版发布, 开源企业网站系统

MiinCMP是一款开源企业网站系统,除可运行于256M左右100元的国内IDC外,JUULUU聚龙软件团队近期开发了面向新浪云的版本,该版本可将网站免费布署到新浪云SAE上.MiinCMP采用java开发,兼容jetty,tomcat等servlet容器.   MiinCMP1.0 新浪云SAE版安装包 http://pan.baidu.com/s/1kT1EbUR 百度云下载   MiinCMP1.0 新浪云SAE版源码包 http://pan.baidu.com/s/1kT9f9mZ  百

check_mk nagios 整合系统网络监控系统中文版

详细价格和服务请咨询 qq:30498675 详细参考资料  http://www.178yun.cn check_mk是一个开源整合的网络监控系统. 主要功能: 1.      能够对当今各种主流操作系统与设备进行监控 操作系统:windows,linux,aix,hp 网络交换设备:F5,cisco,h3c,Huawei 数据库:mssql,oracle,mysql Web server:apache,nginx 监控参数:cpu利用率.内存.虚拟内存.运行时长.端口流量.数据包错误率.电源

MiinCMP1.0 SAE 新浪云版公布, 开源企业站点系统

MiinCMP是一款开源企业站点系统,除可执行于256M左右100元的国内IDC外,JUULUU聚龙软件团队最近开发了面向新浪云的版本号,该版本号可将站点免费布署到新浪云SAE上.MiinCMP採用java开发,兼容jetty,tomcat等servlet容器.   MiinCMP1.0 新浪云SAE版安装包 http://pan.baidu.com/s/1kT1EbUR 百度云下载   MiinCMP1.0 新浪云SAE版源代码包 http://pan.baidu.com/s/1kT9f9mZ

开源SNS社区系统推荐

社区网站的发展如同网络雨后春笋般地出现,迅速发展壮大.现在的社区网站几乎涵盖了我们生活的各个方面,而各类网站,综合性门户网站等也都青睐于开设自己的SNS社区,以促进用户之间的交流.增加互动性和丰富网站的内容. 下面,本文在此整理了5款热门开源SNS社区系统(目前国内比较知名的社区系统Discuz!和Phpwind还主要是以传统论坛社区为主,在此就不做特别的讨论),在搭建SNS社区网站前,不妨先了解一下,找到最符合自己需求的SNS社区系统. 1.uchome 开发语言:PHP  数据库:MySQL