packetfence 7.2网络准入部署（二）

今天呢先说下packetfence部署的环境；

关于使用方法之前的帖子有介绍，一定要看哦

https://blog.csdn.net/qq_18204953/article/details/80708303

官网部署参考网址

https://packetfence.org/doc/PacketFence_Installation_Guide.html

一、准备工作（服务器、设备）

需求：

1、centos7.4——内存8G最好，测试环境小点也可以_pf服务器——网口接交换机的trunk口

2、交换机——需要支持802.1X认证（推荐思科2960,3750系列），因条件所限，我测测试环境是H3C交换机

3、AD域环境——用于用户认证

我的测试环境：

centos7.4  4C-8G-100G ；H3C5120交换机，window2012 AD域

网络：

管理vlan 192.168.211.0

注册vlan 192.168.212.0 终端注册、认证后方可上网or接入内网

其他vlan

测试架构：旁路模式，大体架构图如下

用户的接入流程

二、pf服务器安装

1、可直接下载虚拟机ovf模板导入，地址：https://packetfence.org/download.html

2、yum安装 ，没有vpn的情况下速度较慢，预计要一天时间

yum localinstall http://packetfence.org/downloads/PacketFence/RHEL7/`uname -i`/RPMS/packetfence-release-1.2-7.el7.noarch.rpm

具体查看最新版本安装，修改对应参数（https://packetfence.org/downloads/PacketFence/RHEL7/x86_64/RPMS/）

yum install perl

yum install --enablerepo=packetfence packetfence

这里依赖包较多，需要等待点时间（大约半天以上吧）

安装完成之后查看1443端口是否起来

然后登陆web界面进程配置https://ip:1443 建议使用火狐浏览器

三、web界面配置

1、模式选择，一般选择，第二种旁路模式，结合VLAN

2、添加注册vlan和隔离vlan，注册vlan——账号认证使用，隔离vlan——访问使用，两者均需要和其他工作vlan做好隔离

3、数据库配置

4、配置域名DHCP，注：mail地址必须写一个，不然无法通过

5、设置web登录密码，点击修改

6、点击启动服务，等待服务全部开机后，初始配置完成，可以进入下面配置

四、功能说明：

Packetfence机制

旁路模式：PC接入内网，首先分配一个隔离的注册vlan，经过AD域和MAC地址认证之后自动分配一个工作的vlan，达到内网通信的效果

疑问：

pf服务器与接入层交换机通过radius认证，snmp关联达到vlan自动分配

DHCP分配，PF服务器只分配注册vlan和隔离vlan，工作vlan仍旧使用内网DHCP服务器

Role：可定义每用户设备数的上限，后续交换机配置中与VLAN相关联，不同角色不同vlan

DOMAIN：将PF服务器加入AD域，为AD域账户结合做准备

注意点：PF服务器DNS修改为AD域，开启smb服务

Authentication source：认证源，一般添加AD域认证LDAP关联域内账户，其中可以增加授权规则，不同用户分配至不用角色（vlan）

添加AD域的认证组织架构，注意格式，认证账户需为OU下的某一账户

添加授权规则，必选两项，角色分配的vlan和授权的期限

Switch：配置交换机认证方式，IP，密码，snmp配置，角色对应的vlan设置

Radius密码和交换机上密码相同即可

SNMP配置，注意version和community和交换机上一致，一般配置V2C或者V3

CLI和web 配置对应交换机的账户和密码即可

Connection profile：连接选项，配置上可接入的认证源

交换机端口配置如下图

不同的vlan指向不同的DHCP

另外交换机需要配置其他信息 ，radius，snmp等，这个可以参考官网，各自型号的交换机配置都有

https://packetfence.org/doc/PacketFence_Network_Devices_Configuration_Guide.html