Packetfenceオープンソースネットワークアクセスシステム

Packetfenceネットワークアクセスシステム:
オープンソースのアクセスシステムは、当社では現在6～7百人いるでしょう.バージョンは5.7です.今は最新のものが6.多くなった
主なユーザー体験は、ユーザーのパソコンがネットワークにアクセスし、ページを開くと自動的にログインページにジャンプし、登録してからイントラネットに入ることができます.
主な特徴:
1.バイパスアクセス
2.802.1 xまたはMAB認証のサポート
3.シスコ2960スイッチを完璧にサポートし、VLANを割り当てることができる
4.IPアドレス、MACアドレスがあるスイッチを調べることができる
5.その他の機能は自分で発掘することができる.中国ではこのシステムを使う人も少ないことに気づいた.ドキュメントも少ないです.
インストールの参考:または、公式サイトで作成した仮想マシンを直接ダウンロードします.

yum update
yum install mysql*
yum install http*
yum install php*
yum install 

selinux   


/etc/yum.repos.d/PacketFence.repo with the following content:

[PacketFence]
name=PacketFence Repository
baseurl=http://inverse.ca/downloads/PacketFence/RHEL$releasever/$basearch
gpgcheck=0



yum install --enablerepo=packetfence packetfence

rpm -Uvh http://packetfence.org/downloads/PacketFence/RHEL6/`uname -i`/RPMS/packetfence-release-1-2.centos6.noarch.rpm

yum install --enablerepo=packetfence packetfence

DHCP：
dd if=/dev/urandom bs=16 count=1 2>/dev/null | openssl enc -e -base64
cWm+adEfwNaes7VlBoyHdQ==

vi /etc/sysctl.conf  
# Controls IP packet forwarding
net.ipv4.ip_forward = 1

ネットワークの構築:
屋外のネットワークセグメントを除くDHCPはPacketfenceで割り当てられます

vlan1 10.0.x.x   255.255.0.0    Management    DHCP
vlan2 192.168.120.1 255.255.252.0  RegistrationDHCP
vlan3 192.168.130.1 255.255.252.0  Isolation      DHCP
vlan4           DHCP Normal

Cisco 2960スイッチ構成:

dot1x system-auth-control
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 7200
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
aaa new-model
aaa group server radius packetfence
server 10.0.111.111 auth-port 1812 acct-port 1813
aaa authentication login default local
aaa authentication dot1x default group packetfence
aaa authorization network default group packetfence
radius-server host 192.168.120.1 auth-port 1812 acct-port 1813 timeout 2 key password
radius-server vsa send authentication
snmp-server community public RW

スイッチポートの構成:

switchport mode access
authentication host-mode multi-domain
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3

その他は時間をかけて検討する必要があります.
1.脱出方案:fail-openシステムの故障を許可する時どのように処理する------クラスタ、あるいは脱出を設定してVLANに戻る
2.ユーザー自動登録------検討すべき
3.LDAP認証---OK
4.アクセスセキュリティスキャンチェック---snort Serverをインタフェースとして構成する