我正试图在我的公司环境中为来宾用户设置Packetfence,使用MAC访问旁路。我已经做了一切,如在正式的Packetfence安装指南https://packetfence.org/doc/PacketFence_安装_Guide.html#_获取_刚开始。802.1X与RADIUS VLAN的执行工作良好,但MAB与Web身份验证没有显示捕获门户。我正在使用与管理和门户相同的接口。此管理接口与交换机管理接口位于同一个VLAN中,例如。VLANID为2。我使用Cisco催化剂2960-S,使用IOS 15。门户可以从VLAN 3的工作站访问,VLAN 3连接在不执行802.1X的访问端口上,或在http://PF_管理_IP/captive-门户上连接MAB,但不能从正在进行MAB身份验证的机器上访问。我在交换机上根据指南中的指示定义了ACL:
ip access-list extended registration deny ip any host PF_MANAGEMENT_IP permit tcp any any eq www permit tcp any any eq 443
并将角色通过切换角色添加到此ACL的注册名称中,还通过网络身份验证注册URL添加了角色:http://PF_管理_IP/Cisco::催化剂_二九六0
当我测试它时,它得到了正确的VLAN 3,我将其定义为注册,并使用http://www.msftconnecttest.com/redirect url弹出浏览器,该url与http://PF_管理_IP/Cisco::催化剂_二九六0一起更改,但将连接时间放在浏览器中。我甚至试图显式地访问那个url,但是没有成功。请注意,请求者获得了正确的IP/子网DHCP和DNS,这是我的产品DHCP和DNS。但我无法让它打开俘虏门户。我还设置了开关:
ip device tracking ip http server ip secure-server
我已经检查过packetfence.log和通讯是否正常,没有错误,正确分配了VLAN。也检查了radius.log和所有的通讯是正确的。此外,我检查了http.portal日志,没有日志,但我看到请求者在注册过程中没有接触到门户,这是显而易见的。我认为问题就在思科交换机重定向和门户之间。但是我已经不知道如何排除它了。如果您需要开关epm调试日志,请随时请求,但对我来说,这似乎没有错误,但我不是专家。
这是与dot1x,mab相关的部分交换机配置。我是从头开始这样做的,因为我目前无法访问该交换机:
dot1x system-auth-control aaa new-model aaa group server radius packetfence server PF_MANAGEMENT_IP auth-port 1812 acct-port 1813aaa authentication login default local aaa authentication dot1x default group packetfence aaa authorization network default group packetfence radius-server host PF_MANAGEMENT_IP auth-port 1812 acct-port 1813 timeout 2 key ExampleSecret radius-server vsa send authentication snmp-server community mysnmp ROsnmp-server community myWritesnmp RWinterface GigabitEthernet 1/0/1 switchport mode access authentication host-mode single-host authentication order dot1x mab authentication priority dot1x mab authentication port-control auto authentication periodic authentication timer restart 10800 authentication timer reauthenticate 10800 mab no snmp trap link-status dot1x pae authenticator dot1x timeout quiet-period 2 dot1x timeout tx-period 3aaa server radius dynamic-author client PF_MANAGEMENT_IP server-key ExampleSecret port 3799ip device tracking ip http server ip http secure-server ip access-list extended registration deny ip any host PF_MANAGEMENT_IP permit tcp any any eq www permit tcp any any eq 443
如您所见,我只使用一个端口Gi1/0/1进行测试。两个VLAN在我的设置中是相关的: VLAN 2: PF_MANAGEMENT_IP -> PacketFence管理接口和这个VLAN中的专用门户接口ip。SWITCH_MGMT_IP ->交换机管理IP就在这个VLAN中。
VLAN 3: TEST_WORKSTATION_IP ->请求IP地址在此VLAN中。
VLAN 4:生产DHCP和DNS在此VLAN中。
没有限制/ACL阻止这些VLAN之间的通信。VLAN管理是从L3交换机中进行的,网络体系结构被折叠为核心,其中接入交换机就是用于测试的交换机。
我还没有成功地通过交换机Web身份验证工具实现这一点,但我已经通过Packetfence注册VLAN和dns黑holling实现了这一点。我已经创建了注册VLAN的思科交换机,这是不路由。这是通过不为VLAN创建SVI和不添加ip助手地址来实现的.之后,我在这个VLAN中在packetfence上创建了注册接口,并添加了Packetfence dhcpd服务来监听它,并为节点分配ip地址。通过这种方式,Packetfence将为新节点分配ip地址,并将其传递给Packetfence DNS服务器ip,而使用dns陷阱技术将强制使用门户注册。
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://www.hqyman.cn/post/10885.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
萌ICP备20248119号
