PacketFence ZEN管理手册_安装手册中文版

PacketFence ZEN管理手册（V3.6）个人翻译作品，水平有限，有帮助就好。（寂寞风雪2012年12月6日）第一章 手册简介1第二章 准备开始学习的环境2虚拟机2VLAN实施2第三章 假设条件2网络设置2DHCP/DNS3第四章 安装3导入虚拟机文件3导入到VMWare Player/Workstation for Linux3第五章 虚拟机口令4第六章 配置4配置PacketFence环境4步骤1：实施4第二步：网络4第三步：数据库配置5第四步：packetFence 配置5第五步：管理6第六步：服务确定6PacketFence配置文件6网络设备：6FreeRADIUS6VLAN访问7第七章 测试7在线注册一个设备7注册一个VLAN里的设备8PacketFenc WEB 管理员界面8第八章 附加信息8第九章 商业支持和联系方式8第十章GNU授权文档9附录A packetfence在 VMWARE Workstation 中的有关配置9第一章 手册简介这本手册将向你介绍PacketFence ZEN安装和配置方法，包括VLAN隔离的配置。这本手册是基于PacketFence ZEN3.6.0写的。手册最后有效版本可以查看以下网址：/documentation/guides.html。其它可以参考的资源：、我们建议你也可以参考PacketFence管理手册和PacketFence 网络设备配置手册。它们的网址是：/ documentation/guides.html第二章 准备开始学习的环境虚拟机PacketFence ZEN是在VMWare ESXi 4.0, Fusion 3.x 和 Workstation 7.x，使用1024M内存的虚拟机环境条件下进行安装和测试的。它可以在VMWare产品下工作。你的CPU需要支持long mode。你的计算机CPU要有支持64位的能力。我们建立了两个不同的虚拟机版本，一个是运行在esxi4.0下，一个是运行在VMWareFusion/Workstation下 (VMX/VMDK 格式)。VLAN实施为了实现VLAN隔离功能，你需要有以下条件一台被本软件支持的交换机（请参考PacketFence 网络设备配置手册中的产品支持列表）网络和VLAN可以按合规、隔离、MAC检测、注册和访客等进行划分。PacketFence ZEN服务器所接的交换机端口，需要被配置为VLAN1，配置为dot1q trunk模式（所有VLAN都可以通过这个端口）、untaggedr的活动的VLAN。第三章 假设条件为了能实现一个配置案例，我们假设了一下网络基础设施的使用条件网络设置VLAN1是管理VLANVLAN2是注册VLAN（未注册的设备将放置在这个VLAN）VLAN3是隔离VLAN（被隔离的设置将放置到这个VLAN）VLAN4是MAC检测VLANVLAN5是访客VLANVLAN10是合规VLANVLAN200是“inline”VLAN各子网和IP信息请看下表：Vlan IDVLAN 名称子网网关Packetfence 地址1ManagementDHCPDHCP2Registration/24003Lsolation/24004Mac Detection5Guests/240010Normal/240200Inline/2400DHCP/DNSDHCP服务器在PacketFence ZEN体系中，是用来处理Vlan2,3,5,10和200中IP地址自动分配的。DNS服务器在PacketFence ZEN体系中，是用来处理VLAN2、3中的域名解析的。第四章 安装导入虚拟机文件PacketFence ZEN使用了OVF（虚拟盘）和VMX（配置文件）格式文件。你可以使用一些VMWare桌面产品导入VMX文件，自动创建虚拟机。如果你使用的是ESX类的虚拟要，你可以使用vSphereClient 或vCenter来导入OVF文件。现在还不支持Xen虚拟机。导入到ESX确认仅有一个虚拟网卡被创建，你的虚拟网卡是连接到虚拟交换机（vSwitch）。你需要创建一个“trunk”配置文件，以允许所有的VLAN标记通过，将这个配置指派给PacketFence ZEN VM 的虚拟网卡（vEthernet）。导入到VMWare Player/Workstation for Linux新版本的VMWare Player在处理VLAN trunking上有许多优点，例如在虚拟机上使用单接口（single interface）。所以你需要确认你运行虚拟机的计算机是已经接入到了一个物理端口上，而且这个端口允许VLAN1，2，3，5，10和200通过。注意：如果你在使用仅有一个trunked接口的Workstation中遇到问是，请参见附件1。我们的测试主要是在VMWare Player for Linux中做的。我们不建议使用VMWare Fusion。第五章 虚拟机口令管理（SSH/Console) 和 MySQLLogin:rootPassword: pck3tf3nc3阻断提示门户或802.1x 注册用户Login:demouserPassword:demouser第六章 配置配置PacketFence环境在启动虚拟机之前，确认网线已从交换机trunk端口正确接入计算机，计算机网卡已正常工作。在成功启动虚拟机后，用浏览器打开配置页网址(ie. http:/PF_IP:1444/configurator)。配置过程分为5个步骤，在配置过程中，不要关闭虚拟机。步骤1：实施配置过程的第一步也是非常重要的一步。你要选择实施的技术：是VLAN(out-of-band旁路), INLINE (in-band在线或串联)或都两个都用。选择的模式将影响下一步工作：配置不同的网络。每一个实施模式，在第二步需要的接口类型不同。在我们的这个例子中，选择的是VLAN模式（out-of-band旁路）。第二步：网络这一步将指导你配置网络接口的状态（注意：DHCP接口配置还不支持）。按第一步选择的模式，你必须配置需要的接口类型。Web界面上将列出当前系统上所有的网卡。如果网卡已被配置，将可以看到它的IP地址和子网掩码（通过DHCP或已经手动配置）。你能编辑他们中的一个，在这个物理接口上创建或删除VLAN，允许或禁止接口。注意，当你作了一些操作后，可能要等一会才能看到产生的结果。所有配置写在一个允许的网卡上才能生效。在任何时间，你都要设置一个管理接口。Inline模式下需要的接口类型：ManagermanetInlineVLAN模式下需要的接口类型ManagementRegistrationIsolation注意，只能设置一个管理接口。案例中，将在有线网卡接口上创建两个VLAN。点击有线接口边上的add vlan按钮。两个VLAN的配置是简单的：Registration(注册)Virtual lan id:2Ip address:Netmask:LsolationVirtual LAN ID: 3IP Address: Netmask: 不要忘记还要编辑物理接口。点击它旁边的编辑按钮，写入正确的管理网络资料。在案例中，为涉及到的接口分配如下正确类型：eth0: Managementeth0 VLAN 2: Registrationeth0 VLAN 3: Isolation确认这三个接口处于允许状态。需要为管理网络设置默认网关。做好所有的设置后，可以点击Continue到下一步。第三步：数据库配置这一步配置mysql服务。为用户操作的必需的数据库和表要被创建。如果有必要为了安全，要重新设置root帐号。案例中，可以用已事先建好的用户root进行登录测试。在这一步的下一节中，可以在mysql中加入其它的PacketFence 用户帐号。创建口令要输入两次，点击create user。第三节将创建数据库，载入正确的表。点击create tables和indexes进入下一界面。如果一切成功，点击continue第四步：packetFence 配置这一步将配置packetFence安装的一般选项。有些配置项需要按自定义要求，多次操作。几乎所有的配置项都有说明。唯一可能引起混淆的是DHCP servers配置一节。在这一节中，用逗号将所有用户网络中PacketFence可以看到的DHCP服务器的IP地址分隔开来，对一些起恶意作用的DHCP不会报警。不要忘记加入你新创建的本地VLAN interface!在所有项目填完后，点击继续。第五步：管理这一步，我们将创建一个可以访问管理员界面的用户。简单的提供用户名和口令后，点击“”“创建用户”。第六步：服务确定这是最后一步，但不是说不重要的一步。在这一步，我们根据前面步骤的配置启动PacketFence服务。如果每一步都做正确了，将出现一个邀请你继续进入到管理界面的窗口。可以用第四步创建的认证登录PacketFence的管理员界面。服务状态状帮助你监控是否每一步都做正确了。如果没有，你可以看到哪一个服务有问题，输出的日志将帮助你确定问题在哪。PacketFence配置文件如果你想自定义配置文件，我们假设在这之前你已经看过了PacketFence管理员手册。如果你使用标准方式进行安装，可以不必去自行修改配置文件。主要的配置文件是：Conf/pf.conf:配置PacketFence服务Conf/networks.conf:定义注册和隔离网络，建立DNS和DHCP配置。在这个案例里，我们包括了访客和受保护网络。Conf/switches.conf：定义VLAN段和网络设备。网络设备：请参看网络设备配置手册，以便准确的配置你的网络设备。FreeRADIUSPacketFence ZEN 3.5.0自带了一个FreeRADIUS为有线和无线的802.1X网络准入作MAC认证。我们创建本地用户为802.1X认证。主要的配置文件是：/usr/local/pf/conf/radiusd.conf:配置RADIUS服务的模板/usr/local/pf/conf/eap.conf:配置802.1x 做EAP的模板/usr/local/pf/conf/sql.conf:在PacketFence中配置RADIUS帐号和RADIUS客户端的模板。/usr/local/pf/raddb/users:定义本地的802.1x用户/usr/local/pf/raddb/sites-enabled/packetfence :用不同的AAA (authenticate-authorization-accounting)方式定义默认的配置模块。/usr/local/pf/raddb/sites-enabled/packetfence-tunnel : 主要为EAP隧道处理定义本地虚拟主机。这是默认虚拟主要的一个扩展。/usr/local/pf/raddb/packetfence.pm : PacketFence的 FreeRADIUS 模块. 与 PacketFence server相关。VLAN访问在交换机上确定配置了MAC发现、注册、隔离和标准VLAN段。配置一个交换机端口为trunk模式端口，以访问其它的四个VLAN。还有一个VLAN做为管理VLAN。接入你的服务器到trunk模式端口。放一个交换机端口到注册VLAN里。放其它一个端口到隔离VLAN里放其它一个端口到MAC发现VLAN里接入一个有静态IP地址的设备到注册VLAN接入一个有静态IP地址的设备到隔离VLAN接入一个DHCP地址的设备到MAC发现VLAN确定在VLAN2的设备能与PacketFenc的eth0.2通讯。确定在VLAN2的设备不能与在其它VLAN的设备通讯。确定在VLAN3的设备能与PacketFenc的eth0.3通讯。确定在VLAN3的设备不能与其它VLAN的设备通讯。确定在VLAN4的设备不能与其它VLAN的设备通讯。第七章 测试在线注册一个设备现在你可以测试注册过程。条件如下：在交换机上接入一个未注册过的设备。确定PacketFenc给用户提供了一个IP地址。在日志文件/var/log/messages查看。在计算机上打开一个浏览器，尝试连接一个网站，确定无论你想连接的是任何网站，你都被指定访问注册页。用以下内容注册计算机：用户名demouser口令：demouser计算机立即被注册成功了。确认PacketFenc为认证通过的用户修改了防火墙规则。可以查看PacketFenc的日志文件：/usr/local/pf/logs/packetfence.log计算机可以通过网络正常访问互联网了。注册一个VLAN里的设备你可以通过以下方式测试注册过程。在交换机上接入一个未注册的设备。查看PacketFenc日志文件：/usr/local/pf/logs/packetfence.log，确定PacketFenc收到了来自交换机的陷阱报告。查看PacketFenc日志文件：/usr/local/pf/logs/packetfence.log，确定PacketFenc根据陷阱报告，将交换机端口划入到VLAN2在一个计算机上打开浏览器，尝试连接一个网站。确定无论你访问任何网站，都被指定到注册页。注册计算机进行以下操作：用户名demouser口令demouser，计算机立即完成了注册。注册后进行确认：PacketFenc将交换机端口划入了合规VLAN段。计算机可以通过网络访问互联网。PacketFenc WEB 管理员界面PacketFenc提供了一个WEB管理界面。在浏览器中输入：https:/DHCP_RECEIVED_IP:1443用户名：admin口令：pck3tf3nc3第八章 附加信息要得到更多信息，请查看邮件列表或给邮箱中发送你的问题。细节如下：: 发布公告，如新版本，安全警告等。 : PacketFence开发讨论和研究: 用户和使用讨论第九章 商业支持和联系方式这方面的问题或讨论，不要犹豫，写邮件到supportinverse.ca。Inverse (http:/inverse.ca)为帮助组织提供可靠的解决方案，为其它系统定制、迁移版本，提高执行效率和最佳实践提供专业的服务。以小时为单位根据你的需要提供技术支持服务。细节请看http:/inverse.ca/support.html。第十章GNU授权文档请查看/licenses/fdl-1.2.txt附录A packetfence在 VMWARE Workstation 中的有关配置/etc/sysconfig/network-scripts/ifcfg-eth0.2DEVICE=eth0.2ONBOOT=yesBOOTPROTO=staticIPADDR=NETMASK=VLAN=yes /etc/sysconfig/network-scripts/ifcf