PacketFenceZEN管理手冊（）個人翻譯作品，水平有限，有幫助就好。（寂寞風雪2012年12月6日）第一章手冊簡介錯誤!未定義書簽。第二章準備開始學習的環境錯誤!未定義書簽虛擬機錯誤!未定義書簽VLAN實施錯誤!未定義書簽。第三章假設條件錯誤!未定義書簽網絡設置錯誤!未定義書簽DHCP/DNS錯誤!未定義書簽第四章安裝錯誤!未定義書簽導入虛擬機文件錯誤!未定義書簽導入到VMWarePlayer/WorkstationforLinux錯誤!未定義書簽。第五章虛擬機口令錯誤!未定義書簽第六章配置錯誤!未定義書簽配置PacketFence環境錯誤!未定義書簽。步驟1：實施錯誤!未定義書簽第二步：網絡錯誤!未定義書簽第三步：數據庫配置錯誤!未定義書簽第四步：packetFence配置錯誤!未定義書簽。第五步：管理錯誤!未定義書簽第六步：服務確定錯誤!未定義書簽PacketFence配置文件錯誤!未定義書簽。網絡設備：錯誤!未定義書簽FreeRADIUS錯誤!未定義書簽VLAN訪問錯誤!未定義書簽。第七章測試錯誤!未定義書簽在線注冊一個設備錯誤!未定義書簽注冊一個VLAN里的設備錯誤!未定義書簽。PacketFencWEB管理員界面錯誤!未定義書簽。第八章附加信息錯誤!未定義書簽第九章商業支持和聯系方式錯誤!未定義書簽第十章GNU授權文檔錯誤!未定義書簽。附錄Apacketfence在VMWAREWorkstation中的有關配置錯誤!未定義書簽。第一章手冊簡介這本手冊將向你介紹PacketFenceZEN安裝和配置方法，包括VLAN隔離的配置。這本手冊是基于PacketFenceZEN3.6.0寫的。手冊最后有效版本可以查看以下網址：。其它可以參考的資源：、我們建議你也可以參考《PacketFence管理手冊》和《PacketFence網絡設備配置手冊》。它們的網址是：documentation/第二章準備開始學習的環境PacketFenceZEN是在VMWareESXi,Fusion和Workstation，使用1024M內存的虛擬機環境條件下進行安裝和測試的。它可以在VMWare產品下工作。你的CPU需要支持longmode。你的計算機CPU要有支持64位的能力。我們建立了兩個不同的虛擬機版本，一個是運行在下，一個是運行在VMWareFusion/Workstation下（VMX/VMDK格式）。VLAN實施為了實現VLAN隔離功能，你需要有以下條件一臺被本軟件支持的交換機（請參考《PacketFence網絡設備配置手冊》中的產品支持列表）網絡和VLAN可以按合規、隔離、MAC檢測、注冊和訪客等進行劃分。PacketFenceZEN服務器所接的交換機端口，需要被配置為VLAN1，配置為dotlqtrunk模式（所有VLAN都可以通過這個端口）、untaggedr的活動的VLAN。第三章假設條件為了能實現一個配置案例，我們假設了一下網絡基礎設施的使用條件網絡設置VLAN1是管理VLANVLAN2是注冊VLAN（未注冊的設備將放置在這個VLAN）VLAN3是隔離VLAN（被隔離的設置將放置到這個VLAN）VLAN4是MAC檢測VLANVLAN5是訪客VLANVLAN10是合規VLANVLAN200是“inline”VLAN各子網和IP信息請看下表:VlanIDVLAN名稱子網網關Packetfence地址1ManagementDHCPDHCP2RegistrationDetection5GuestsNormal服務器在PacketFenceZEN體系中，是用來處理Vlan2,3,5,10和200中IP地址自動分配的。DNS服務器在PacketFenceZEN體系中，是用來處理VLAN2、3中的域名解析的。第四章安裝導入虛擬機文件PacketFenceZEN使用了OVF（虛擬盤）和VMX（配置文件）格式文件。你可以使用一些VMWare桌面產品導入VMX文件，自動創建虛擬機。如果你使用的是ESX類的虛擬要，你可以使用vSphereClient或vCenter來導入OVF文件?，F在還不支持Xen虛擬機。導入到ESX確認僅有一個虛擬網卡被創建，你的虛擬網卡是連接到虛擬交換機（vSwitch）。你需要創建一個“trunk”配置文件，以允許所有的VLAN標記通過，將這個配置指派給PacketFenceZENVM的虛擬網卡（vEthernet）。導入到VMWarePlayer/WorkstationforLinux新版本的VMWarePlayer在處理VLANtrunking上有許多優點，例如在虛擬機上使用單接口（singleinterface）。所以你需要確認你運行虛擬機的計算機是已經接入到了一個物理端口上，而且這個端口允許VLAN1,2，3，5，10和200通過。注意：如果你在使用僅有一個trunked接口的Workstation中遇到問是，請參見附件1。我們的測試主要是在VMWarePlayerforLinux中做的。我們不建議使用VMWareFusion。第五章虛擬機口令管理(SSH/Console)和MySQLLogin:rootPassword:p@ck3tf3nc3阻斷提示門戶或注冊用戶Login:demouserPassword:demouser第六章配置配置PacketFence環境在啟動虛擬機之前，確認網線已從交換機trunk端口正確接入計算機，計算機網卡已正常工作。在成功啟動虛擬機后，用瀏覽器打開配置頁網址（ie.,在配置過程中，不要關閉虛擬機。步驟1：實施配置過程的第一步也是非常重要的一步。你要選擇實施的技術：是VLAN（out-of-band旁路），INLINE（in-band在線或串聯）或都兩個都用。選擇的模式將影響下一步工作：配置不同的網絡。每一個實施模式，在第二步需要的接口類型不同。在我們的這個例子中，選擇的是VLAN模式（out-of-band旁路）。第二步：網絡這一步將指導你配置網絡接口的狀態（注意：DHCP接口配置還不支持）。按第一步選擇的模式，你必須配置需要的接口類型。Web界面上將列出當前系統上所有的網卡。如果網卡已被配置，將可以看到它的IP地址和子網掩碼（通過DHCP或已經手動配置）。你能編輯他們中的一個，在這個物理接口上創建或刪除VLAN，允許或禁止接口。注意，當你作了一些操作后，可能要等一會才能看到產生的結果。所有配置寫在一個允許的網卡上才能生效。在任何時間，你都要設置一個管理接口。Inline模式下需要的接口類型：ManagermanetInlineVLAN模式下需要的接口類型ManagementRegistrationIsolation注意，只能設置一個管理接口。案例中，將在有線網卡接口上創建兩個VLAN。點擊有線接口邊上的addvlan按鈕。兩個VLAN的配置是簡單的：Registration（注冊）Virtuallanid:2Ipaddress:LANID:3IPAddress:不要忘記還要編輯物理接口。點擊它旁邊的編輯按鈕，寫入正確的管理網絡資料。在案例中，為涉及到的接口分配如下正確類型：eth0:Managementeth0VLAN2:Registrationeth0VLAN3:Isolation確認這三個接口處于允許狀態。需要為管理網絡設置默認網關。做好所有的設置后，可以點擊Continue到下一步。第三步：數據庫配置這一步配置mysql服務。為用戶操作的必需的數據庫和表要被創建。如果有必要為了安全，要重新設置root帳號。案例中，可以用已事先建好的用戶root進行登錄測試。在這一步的下一節中，可以在mysql中加入其它的PacketFence用戶帳號。創建口令要輸入兩次，點擊createuser。第三節將創建數據庫，載入正確的表。點擊createtables和indexes進入下一界面。如果一切成功，點擊continue第四步：packetFence配置這一步將配置packetFence安裝的一般選項。有些配置項需要按自定義要求，多次操作。幾乎所有的配置項都有說明。唯一可能引起混淆的是DHCPservers配置一節。在這一節中，用逗號將所有用戶網絡中PacketFence可以看到的DHCP服務器的IP地址分隔開來，對一些起惡意作用的DHCP不會報警。不要忘記加入你新創建的本地VLANinterface!在所有項目填完后，點擊繼續。第五步：管理這一步，我們將創建一個可以訪問管理員界面的用戶。簡單的提供用戶名和口令

后，點擊“”創建用戶”。后，點擊“”創建用戶”。第六步：服務確定這是最后一步，但不是說不重要的一步。在這一步，我們根據前面步驟的配置啟動PacketFence服務。如果每一步都做正確了，將出現一個邀請你繼續進入到管理界面的窗口?？梢杂玫谒牟絼摻ǖ恼J證登錄PacketFence的管理員界面。服務狀態狀幫助你監控是否每一步都做正確了。如果沒有，你可以看到哪一個服務有問題，輸出的日志將幫助你確定問題在哪。PacketFence配置文件如果你想自定義配置文件，我們假設在這之前你已經看過了《PacketFence管理員手冊》。如果你使用標準方式進行安裝，可以不必去自行修改配置文件。主要的配置文件是：Conf/:配置PacketFence服務Conf/:定義注冊和隔離網絡，建立DNS和DHCP配置。在這個案例里，我們包括了訪客和受保護網絡。Conf/:定義VLAN段和網絡設備。網絡設備：請參看《網絡設備配置手冊》，以便準確的配置你的網絡設備。FreeRADIUSPacketFenceZEN3.5.0自帶了一個FreeRADIUS為有線和無線的網絡準入作MAC認證。我們創建本地用戶為認證。主要的配置文件是:/usr/local/pf/conf/:配置RADIUS服務的模板/usr/local/pf/conf/:配置做EAP的模板/usr/local/pf/conf/:在PacketFence中配置RADIUS帳號和RADIUS客戶端的模板。/usr/local/pf/raddb/users:定義本地的用戶/usr/local/pf/raddb/sites-enabled/packetfence:用不同的AAA(authenticate-authorization-accounting)方式定義默認的配置模塊。/usr/local/pf/raddb/sites—enabled/packetfence-tunnel:主要為EAP隧道處理定義本地虛擬主機。這是默認虛擬主要的一個擴展。/usr/local/pf/raddb/:PacketFence的FreeRADIUS模塊.與PacketFenceserver相關。VLAN訪問在交換機上確定配置了MAC發現、注冊、隔離和標準VLAN段。配置一個交換機端口為trunk模式端口，以訪問其它的四個VLAN。還有一個VLAN做為管理VLAN。接入你的服務器到trunk模式端口。放一個交換機端口到注冊VLAN里。放其它一個端口到隔離VLAN里放其它一個端口到MAC發現VLAN里接入一個有靜態IP地址的設備到注冊VLAN接入一個有靜態IP地址的設備到隔離VLAN接入一個DHCP地址的設備到MAC發現VLAN確定在VLAN2的設備能與PacketFenc的通訊。確定在VLAN2的設備不能與在其它VLAN的設備通訊。確定在VLAN3的設備能與PacketFenc的通訊。確定在VLAN3的設備不能與其它VLAN的設備通訊。確定在VLAN4的設備不能與其它VLAN的設備通訊。第七章測試在線注冊一個設備現在你可以測試注冊過程。條件如下：在交換機上接入一個未注冊過的設備。確定PacketFenc給用戶提供了一個IP地址。在日志文件/var/log/messages查看。在計算機上打開一個瀏覽器，嘗試連接一個網站，確定無論你想連接的是任何網站，你都被指定訪問注冊頁。用以下內容注冊計算機：用戶名demouser口令：demouser計算機立即被注冊成功了。確認PacketFenc為認證通過的用戶修改了防火墻規則。可以查看PacketFenc的日志文件：/usr/local/pf/logs/計算機可以通過網絡正常訪問互聯網了。注冊一個VLAN里的設備你可以通過以下方式測試注冊過程。在交換機上接入一個未注冊的設備。查看PacketFenc日志文件：/usr/local/pf/logs/,確定PacketFenc收到了來自交換機的陷阱報告。查看PacketFenc日志文件：/usr/local/pf/logs/，確定PacketFenc根據陷阱報告，將交換機端口劃入到VLAN2在一個計算機上打開瀏覽器，嘗試連接一個網站。確定無論你訪問任何網站，都被指定到注冊頁。注冊計算機進行以下操作：用戶名demouser口令demouser，計算機立即完成了注冊。注冊后進行確認：PacketFenc將交換機端口劃入了合規VLAN段。計算機可以通過網絡訪問互聯網。PacketFencWEB管理員界面PacketFenc提供了一個WEB管理界面。在瀏覽器中輸入：附加信息要得到更多信息，請查看郵件列表或給郵箱