packetfencezen管理手册安装手册中文版.docx
- 文档编号:28981418
- 上传时间:2023-07-20
- 格式:DOCX
- 页数:12
- 大小:20.65KB
packetfencezen管理手册安装手册中文版.docx
《packetfencezen管理手册安装手册中文版.docx》由会员分享,可在线阅读,更多相关《packetfencezen管理手册安装手册中文版.docx(12页珍藏版)》请在冰豆网上搜索。
packetfencezen管理手册安装手册中文版
PacketFenceZEN管理手册()
个人翻译作品,水平有限,有帮助就好。
(寂寞风雪2012年12月6日)
!
。
|
第一章手册简介
:
这本手册将向你介绍PacketFenceZEN安装和配置方法,包括VLAN隔离的配置。
这本手册是基于PacketFenceZEN3.6.0写的。
手册最后有效版本可以查看以下网址:
。
其它可以参考的资源:
、
我们建议你也可以参考《PacketFence管理手册》和《PacketFence网络设备配置手册》。
它们的网址是:
documentation/
第二章准备开始学习的环境
虚拟机
PacketFenceZEN是在VMWareESXi,Fusion和Workstation,使用1024M内存的虚拟机环境条件下进行安装和测试的。
它可以在VMWare产品下工作。
你的CPU需要支持longmode。
你的计算机CPU要有支持64位的能力。
我们建立了两个不同的虚拟机版本,一个是运行在下,一个是运行在VMWare
(
Fusion/Workstation下(VMX/VMDK格式)。
VLAN实施
为了实现VLAN隔离功能,你需要有以下条件
一台被本软件支持的交换机(请参考《PacketFence网络设备配置手册》中的产品支持列表)
网络和VLAN可以按合规、隔离、MAC检测、注册和访客等进行划分。
PacketFenceZEN服务器所接的交换机端口,需要被配置为VLAN1,配置为dot1qtrunk模式(所有VLAN都可以通过这个端口)、untaggedr的活动的VLAN。
第三章假设条件
为了能实现一个配置案例,我们假设了一下网络基础设施的使用条件
网络设置
VLAN1是管理VLAN
%
VLAN2是注册VLAN(未注册的设备将放置在这个VLAN)
VLAN3是隔离VLAN(被隔离的设置将放置到这个VLAN)
VLAN4是MAC检测VLAN
VLAN5是访客VLAN
VLAN10是合规VLAN
VLAN200是“inline”VLAN
各子网和IP信息请看下表:
VlanID
VLAN名称
子网
~
网关
Packetfence地址
1
Management
DHCP
DHCP
2
Registration
/24
…
3
Lsolation
/24
4
MacDetection
}
5
Guests
/24
10
Normal
/24
]
200
Inline
/24
DHCP/DNS
DHCP服务器在PacketFenceZEN体系中,是用来处理Vlan2,3,5,10和200中IP地址自动分配的。
DNS服务器在PacketFenceZEN体系中,是用来处理VLAN2、3中的域名解析的。
>
第四章安装
导入虚拟机文件
PacketFenceZEN使用了OVF(虚拟盘)和VMX(配置文件)格式文件。
你可以使用一些VMWare桌面产品导入VMX文件,自动创建虚拟机。
如果你使用的是ESX类的虚拟要,你可以使用vSphereClient或vCenter来导入OVF文件。
现在还不支持Xen虚拟机。
导入到ESX
确认仅有一个虚拟网卡被创建,你的虚拟网卡是连接到虚拟交换机(vSwitch)。
你需要创建一个“trunk”配置文件,以允许所有的VLAN标记通过,将这个配置指派给PacketFenceZENVM的虚拟网卡(vEthernet)。
导入到VMWarePlayer/WorkstationforLinux
新版本的VMWarePlayer在处理VLANtrunking上有许多优点,例如在虚拟机上使用单接口(singleinterface)。
所以你需要确认你运行虚拟机的计算机是已经接入到了一个物理端口上,而且这个端口允许VLAN1,2,3,5,10和200通过。
注意:
如果你在使用仅有一个trunked接口的Workstation中遇到问是,请参见附件1。
我们的测试主要是在VMWarePlayerforLinux中做的。
我们不建议使用VMWareFusion。
第五章虚拟机口令
管理(SSH/Console)和MySQL
(
Login:
root
Password:
p@ck3tf3nc3
阻断提示门户或注册用户
Login:
demouser
Password:
demouser
第六章配置
配置PacketFence环境
在启动虚拟机之前,确认网线已从交换机trunk端口正确接入计算机,计算机网卡已正常工作。
在成功启动虚拟机后,用浏览器打开配置页网址(ie.,在配置过程中,不要关闭虚拟机。
步骤1:
实施
》
配置过程的第一步也是非常重要的一步。
你要选择实施的技术:
是VLAN(out-of-band旁路),INLINE(in-band在线或串联)或都两个都用。
选择的模式将影响下一步工作:
配置不同的网络。
每一个实施模式,在第二步需要的接口类型不同。
在我们的这个例子中,选择的是VLAN模式(out-of-band旁路)。
第二步:
网络
这一步将指导你配置网络接口的状态(注意:
DHCP接口配置还不支持)。
按第一步选择的模式,你必须配置需要的接口类型。
Web界面上将列出当前系统上所有的网卡。
如果网卡已被配置,将可以看到它的IP地址和子网掩码(通过DHCP或已经手动配置)。
你能编辑他们中的一个,在这个物理接口上创建或删除VLAN,允许或禁止接口。
注意,当你作了一些操作后,可能要等一会才能看到产生的结果。
所有配置写在一个允许的网卡上才能生效。
在任何时间,你都要设置一个管理接口。
Inline模式下需要的接口类型:
Managermanet
·
Inline
VLAN模式下需要的接口类型
Management
Registration
Isolation
注意,只能设置一个管理接口。
案例中,将在有线网卡接口上创建两个VLAN。
点击有线接口边上的addvlan按钮。
两个VLAN的配置是简单的:
Registration(注册)
Virtuallanid:
2
Ipaddress:
。
Netmask:
Lsolation
VirtualLANID:
3
IPAddress:
Netmask:
不要忘记还要编辑物理接口。
点击它旁边的编辑按钮,写入正确的管理网络资料。
在案例中,为涉及到的接口分配如下正确类型:
eth0:
Management
eth0VLAN2:
Registration
eth0VLAN3:
Isolation
<
确认这三个接口处于允许状态。
需要为管理网络设置默认网关。
做好所有的设置后,可以点击Continue到下一步。
第三步:
数据库配置
这一步配置mysql服务。
为用户操作的必需的数据库和表要被创建。
如果有必要为了安全,要重新设置root帐号。
案例中,可以用已事先建好的用户root进行登录测试。
在这一步的下一节中,可以在mysql中加入其它的PacketFence用户帐号。
创建口令要输入两次,点击createuser。
第三节将创建数据库,载入正确的表。
点击createtables和indexes进入下一界面。
如果一切成功,点击continue
第四步:
packetFence配置
这一步将配置packetFence安装的一般选项。
有些配置项需要按自定义要求,多次操作。
几乎所有的配置项都有说明。
唯一可能引起混淆的是DHCPservers配置一节。
在这一节中,用逗号将所有用户网络中PacketFence可以看到的DHCP服务器的IP地址分隔开来,对一些起恶意作用的DHCP不会报警。
不要忘记加入你新创建的本地VLANinterface!
…
在所有项目填完后,点击继续。
第五步:
管理
这一步,我们将创建一个可以访问管理员界面的用户。
简单的提供用户名和口令后,点击“”“创建用户”。
第六步:
服务确定
这是最后一步,但不是说不重要的一步。
在这一步,我们根据前面步骤的配置启动PacketFence服务。
如果每一步都做正确了,将出现一个邀请你继续进入到管理界面的窗口。
可以用第四步创建的认证登录PacketFence的管理员界面。
服务状态状帮助你监控是否每一步都做正确了。
如果没有,你可以看到哪一个服务有问题,输出的日志将帮助你确定问题在哪。
PacketFence配置文件
如果你想自定义配置文件,我们假设在这之前你已经看过了《PacketFence管理员手册》。
如果你使用标准方式进行安装,可以不必去自行修改配置文件。
]
主要的配置文件是:
Conf/:
配置PacketFence服务
Conf/:
定义注册和隔离网络,建立DNS和DHCP配置。
在这个案例里,我们包括了访客和受保护网络。
Conf/:
定义VLAN段和网络设备。
网络设备:
请参看《网络设备配置手册》,以便准确的配置你的网络设备。
FreeRADIUS
PacketFenceZEN3.5.0自带了一个FreeRADIUS为有线和无线的网络准入作MAC认证。
我们创建本地用户为认证。
]
主要的配置文件是:
/usr/local/pf/conf/:
配置RADIUS服务的模板
/usr/local/pf/conf/:
配置做EAP的模板
/usr/local/pf/conf/:
在PacketFence中配置RADIUS帐号和RADIUS客户端的模板。
/usr/local/pf/raddb/users:
定义本地的用户
/usr/local/pf/raddb/sites-enabled/packetfence:
用不同的AAA(authenticate-authorization-accounting)方式定义默认的配置模块。
/usr/local/pf/raddb/sites-enabled/packetfence-tunnel:
主要为EAP隧道处理定义本地虚拟主机。
这是默认虚拟主要的一个扩展。
/usr/local/pf/raddb/:
PacketFence的FreeRADIUS模块.与PacketFenceserver相关。
VLAN访问
.
在交换机上确定配置了MAC发现、注册、隔离和标准VLAN段。
配置一个交换机端口为trunk模式端口,以访问其它的四个VLAN。
还有一个VLAN做为管理VLAN。
接入你的服务器到trunk模式端口。
放一个交换机端口到注册VLAN里。
放其它一个端口到隔离VLAN里
放其它一个端口到MAC发现VLAN里
接入一个有静态IP地址的设备到注册VLAN
接入一个有静态IP地址的设备到隔离VLAN
接入一个DHCP地址的设备到MAC发现VLAN
确定在VLAN2的设备能与PacketFenc的通讯。
、
确定在VLAN2的设备不能与在其它VLAN的设备通讯。
确定在VLAN3的设备能与PacketFenc的通讯。
确定在VLAN3的设备不能与其它VLAN的设备通讯。
确定在VLAN4的设备不能与其它VLAN的设备通讯。
第七章测试
在线注册一个设备
现在你可以测试注册过程。
条件如下:
在交换机上接入一个未注册过的设备。
确定PacketFenc给用户提供了一个IP地址。
在日志文件/var/log/messages查看。
:
在计算机上打开一个浏览器,尝试连接一个网站,确定无论你想连接的是任何网站,你都被指定访问注册页。
用以下内容注册计算机:
用户名demouser口令:
demouser
计算机立即被注册成功了。
确认PacketFenc为认证通过的用户修改了防火墙规则。
可以查看PacketFenc的日志文件:
/usr/local/pf/logs/
计算机可以通过网络正常访问互联网了。
注册一个VLAN里的设备
你可以通过以下方式测试注册过程。
在交换机上接入一个未注册的设备。
查看PacketFenc日志文件:
/usr/local/pf/logs/,确定PacketFenc收到了来自交换机的陷阱报告。
查看PacketFenc日志文件:
/usr/local/pf/logs/,确定PacketFenc根据陷阱报告,将交换机端口划入到VLAN2
…
在一个计算机上打开浏览器,尝试连接一个网站。
确定无论你访问任何网站,都被指定到注册页。
注册计算机进行以下操作:
用户名demouser口令demouser,计算机立即完成了注册。
注册后进行确认:
PacketFenc将交换机端口划入了合规VLAN段。
计算机可以通过网络访问互联网。
PacketFencWEB管理员界面
PacketFenc提供了一个WEB管理界面。
在浏览器中输入:
附加信息
要得到更多信息,请查看邮件列表或给邮箱中发送你的问题。
细节如下:
发布公告,如新版本,安全警告等。
:
PacketFence开发讨论和研究:
用户和使用讨论
第九章商业支持和联系方式
这方面的问题或讨论,不要犹豫,写邮件到。
·
Inverse(为帮助组织提供可靠的解决方案,为其它系统定制、迁移版本,提高执行效率和最佳实践提供专业的服务。
以小时为单位根据你的需要提供技术支持服务。
细节请看。
第十章GNU授权文档
请查看附录Apacketfence在VMWAREWorkstation中的有关配置
/etc/sysconfig/network-scripts/
DEVICE=
ONBOOT=yes
。
BOOTPROTO=static
IPADDR=
NETMASK=
VLAN=yes
/etc/sysconfig/network-scripts/
DEVICE=
ONBOOT=yes
BOOTPROTO=static
IPADDR=
NETMASK=
`
VLAN=yes
/etc/sysconfig/network-scripts/
DEVICE=
ONBOOT=yes
BOOTPROTO=static
IPADDR=
NETMASK=
VLAN=yes
/etc/sysconfig/network-scripts/
DEVICE=
ONBOOT=yes
BOOTPROTO=static
IPADDR=
NETMASK=
VLAN=yes
/etc/sysconfig/network-scripts/
DEVICE=
ONBOOT=yes
BOOTPROTO=static
IPADDR=
NETMASK=
VLAN=yes
执行VMware配置工具,将eth0和定义为桥模式。
创建4个虚拟网卡。
它们将连接到/dev/vmnet0,/dev/vmnet1,/dev/vmnet2,/dev/vmnet3,/dev/vmnet4和/dev/vmnet5。
这样packetfence得到6个独立的网卡能够与VLAN1,2,3,5,10和200通讯。
注意:
你需要重新配置VM接口的IP地址。
参与前面的IP和子网地址表可以帮助你再次配置接口。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- packetfencezen 管理 手册 安装 中文版