25
2025
04
01:50:23

思科2960-S交换机与MAB和Packetfence网络认证

我正试图在我的公司环境中为来宾用户设置Packetfence,使用MAC访问旁路。我已经做了一切,如在正式的Packetfence安装指南https://packetfence.org/doc/PacketFence_安装_Guide.html#_获取_刚开始。802.1X与RADIUS VLAN的执行工作良好,但MAB与Web身份验证没有显示捕获门户。我正在使用与管理和门户相同的接口。此管理接口与交换机管理接口位于同一个VLAN中,例如。VLANID为2。我使用Cisco催化剂2960-S,使用IOS 15。门户可以从VLAN 3的工作站访问,VLAN 3连接在不执行802.1X的访问端口上,或在http://PF_管理_IP/captive-门户上连接MAB,但不能从正在进行MAB身份验证的机器上访问。我在交换机上根据指南中的指示定义了ACL:

代码语言:javascript
运行
AI代码解释
ip access-list extended registration
    deny ip any host PF_MANAGEMENT_IP
    permit tcp any any eq www
    permit tcp any any eq 443

并将角色通过切换角色添加到此ACL的注册名称中,还通过网络身份验证注册URL添加了角色:http://PF_管理_IP/Cisco::催化剂_二九六0

当我测试它时,它得到了正确的VLAN 3,我将其定义为注册,并使用http://www.msftconnecttest.com/redirect url弹出浏览器,该url与http://PF_管理_IP/Cisco::催化剂_二九六0一起更改,但将连接时间放在浏览器中。我甚至试图显式地访问那个url,但是没有成功。请注意,请求者获得了正确的IP/子网DHCP和DNS,这是我的产品DHCP和DNS。但我无法让它打开俘虏门户。我还设置了开关:

代码语言:javascript
运行
AI代码解释
ip device tracking
ip http server
ip secure-server

我已经检查过packetfence.log和通讯是否正常,没有错误,正确分配了VLAN。也检查了radius.log和所有的通讯是正确的。此外,我检查了http.portal日志,没有日志,但我看到请求者在注册过程中没有接触到门户,这是显而易见的。我认为问题就在思科交换机重定向和门户之间。但是我已经不知道如何排除它了。如果您需要开关epm调试日志,请随时请求,但对我来说,这似乎没有错误,但我不是专家。

这是与dot1x,mab相关的部分交换机配置。我是从头开始这样做的,因为我目前无法访问该交换机:

代码语言:javascript
运行
AI代码解释
dot1x system-auth-control
aaa new-model
aaa group server radius packetfence
    server PF_MANAGEMENT_IP auth-port 1812 acct-port 1813aaa authentication login default local
aaa authentication dot1x default group packetfence
aaa authorization network default group packetfence
radius-server host PF_MANAGEMENT_IP auth-port 1812 acct-port 1813 timeout 2 key ExampleSecret
radius-server vsa send authentication
snmp-server community mysnmp ROsnmp-server community myWritesnmp RWinterface GigabitEthernet 1/0/1
   switchport mode access
   authentication host-mode single-host
   authentication order dot1x mab
   authentication priority dot1x mab
   authentication port-control auto
   authentication periodic
   authentication timer restart 10800
   authentication timer reauthenticate 10800
   mab
   no snmp trap link-status
   dot1x pae authenticator
   dot1x timeout quiet-period 2
   dot1x timeout tx-period 3aaa server radius dynamic-author
   client PF_MANAGEMENT_IP server-key ExampleSecret
   port 3799ip device tracking
ip http server
ip http secure-server

ip access-list extended registration
   deny ip any host PF_MANAGEMENT_IP
   permit tcp any any eq www
   permit tcp any any eq 443

如您所见,我只使用一个端口Gi1/0/1进行测试。两个VLAN在我的设置中是相关的: VLAN 2: PF_MANAGEMENT_IP -> PacketFence管理接口和这个VLAN中的专用门户接口ip。SWITCH_MGMT_IP ->交换机管理IP就在这个VLAN中。

VLAN 3: TEST_WORKSTATION_IP ->请求IP地址在此VLAN中。

VLAN 4:生产DHCP和DNS在此VLAN中。

没有限制/ACL阻止这些VLAN之间的通信。VLAN管理是从L3交换机中进行的,网络体系结构被折叠为核心,其中接入交换机就是用于测试的交换机。




我还没有成功地通过交换机Web身份验证工具实现这一点,但我已经通过Packetfence注册VLAN和dns黑holling实现了这一点。我已经创建了注册VLAN的思科交换机,这是不路由。这是通过不为VLAN创建SVI和不添加ip助手地址来实现的.之后,我在这个VLAN中在packetfence上创建了注册接口,并添加了Packetfence dhcpd服务来监听它,并为节点分配ip地址。通过这种方式,Packetfence将为新节点分配ip地址,并将其传递给Packetfence DNS服务器ip,而使用dns陷阱技术将强制使用门户注册。



推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://www.hqyman.cn/post/10885.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: