PacketFence:开源NAC奉献网络安全大餐

核心提示： 隔离VLAN是这样一个VLAN：注册的工作站被放置到其中，位于此VLAN中的工作站受到隔离，PacketFence:开源NAC奉献网络安全大餐(4)，并在冲突与违反策略的行为被解决之前不能访问网络，MAC检测VLAN是这样一种VLAN：新连接的VLAN被放置到其中，update-rc.d等

隔离VLAN是这样一个VLAN：注册的工作站被放置到其中。位于此VLAN中的工作站受到隔离，并在冲突与违反策略的行为被解决之前不能访问网络。

MAC检测VLAN是这样一种VLAN：新连接的VLAN被放置到其中。这种VLAN的唯一目的是要让PacketFence立即获得工作站的MAC地址。然后，工作站将被作为一个未注册的设备包括到其中，并可放置到注册VLAN上。

如图1显示的是PacketFence的状态图：

图1

在根据自己的意愿配置完成后，启动虚拟机，直到出现登录界面。要知道，PacketFence并不同于其它的虚拟机设备，PacketFence ZEN在其首次启动时并不自动启动其服务，用户在运行其服务之前必须配置服务。因此，请登录进入，然后使用IP地址、主机名等参数进行操作。

用户必须设置全部的四个VLAN，并且在配置PacketFence之前配置交换机。首先，将一个恰当的IP地址分配给每一个网卡，使其处理单独的VLAN，然后运行命令/configurator.pl，即运行PacketFence配置程序。在程序要求PacketFence模板时，选择“PacketFence ZEN with VLAN isolation (8)”。继续进行下面的步骤，主要是询问用户的IP地址、主机名、DNS服务器等信息。然后，为必要的服务添加并编辑配置文件，如DNS和DHCP（动态主机配置协议）等。在完成此过程后，用户可以使用命令：

service PacketFence start

注意，在红帽企业版、Fedora、CentOS、openSUSE等环境中，用户可以使用：

hkconfig PacketFence on

将PacketFence放到启动过程中。使用chkconfig，用户可以将PacketFence服务包括到某种特别的运行级别中。在Debian系统上，update-rc.d等同于chkconfig。然后，用户就可以通过浏览器访问Web管理界面，在地址栏输入：