当前多数机构需接待大量第三方供应商人员驻场工作，此类人员通常需接入互联网。实际操作中，企业往往​​开放内网访问权限却缺乏对人员及设备的审计​​。考虑到此类人员​​极少需访问企业核心内网​​，现行做法实为规避管理负担（例如每端口VLAN策略管理）。

PacketFence 原生支持​​专用访客VLAN或访客角色​​。若采用访客VLAN方案，需在网络中配置该VLAN​​仅允许访问互联网​​，同时利用​​注册VLAN与强制门户组件​​向访客说明：接入权限注册流程、网络使用规则机制，上述界面通常由提供网络服务的机构进行​​品牌定制化​​。系统支持多种访客注册方式：

• 人工注册访客信息​​
• 动态日令认证（Password of the day）​​
• 自助注册（支持凭证/无凭证模式）​​
• 员工担保注册（内部员工为访客提供担保）​​
• 邮件确认激活访问权限​​
• 手机短信（SMS）确认激活访问权限​​
• 第三方认证激活（Facebook/Google/GitHub等平台）​​

PacketFence 同时支持​​访客账户批量创建与导入功能​​，并能集成 Authorize.net、PayPal、Stripe 等​​在线支付解决方案​​。通过此集成，用户需完成在线支付方可获取合规的网络访问权限。

PacketFence 支持门户配置文件。门户配置文件定义了将使用的注册工作流程，以及注册和修复页面。

您可以根据 VLAN 或 SSID 属性定义不同的门户配置文件。这意味着您可以为有线和无线网络定义不同的门户配置文件，或者可以为每个 SSID 定义门户配置文件。

考虑自动阻止网络中的特定设备？PacketFence 正是为此而生。除了 Snort、Suricata、OpenVAS 或 Nessus 作为信息源外，PacketFence 还可以将以下检测机制结合使用，以有效阻止这些不受欢迎设备的网络访问：

• DHCP 指纹

  PacketFence 可以根据设备的 DHCP 指纹进行阻止。几乎所有的操作系统都有一个独特的 DHCP 指纹。PacketFence 可以利用这些信息阻止这些设备的网络访问。基于 DHCP 指纹，您可以自动阻止，例如：

  • 索尼 PlayStation 设备或任何其他游戏机
  • 无线接入点（WAP）
  • VoIP 电话
• 用户代理

  当特定设备使用其嵌入式 Web 浏览器执行网络活动时，PacketFence 可以根据提供的用户代理来阻止这些设备。利用此功能，您可以自动阻止，例如：

  • Apple iPod 或 iPhone 设备
  • 所有使用旧版 Microsoft Internet Explorer (IE) 的用户
• MAC 地址

  PacketFence 可以阻止具有特定 MAC 地址模式的设备的网络访问。利用此功能，您可以自动阻止，例如，来自特定网络供应商的所有设备。

鉴于企业级网络普遍​​规模庞大且结构复杂​​，PacketFence提供​​多维度自动化设备注册方案​​：

• 通过网络设备

  网络设备（交换机、AP、无线控制器）可以设置为自动注册所有请求访问网络的 MAC 地址。这对于向生产环境过渡非常有帮助。
• 通过 DHCP 指纹识别

  DHCP 指纹识别可用于自动注册特定设备类型（例如 VoIP 电话、打印机）。
• 通过 MAC 地址供应商

  MAC 地址的供应商部分可用于自动注册来自供应商的设备。例如，所有苹果产品都可以使用这样的规则自动注册。
• 更多

  Snort、Nessus、OpenVAS、浏览器用户代理以及更多技术也可以用于自动注册设备。

PacketFence ​​全面支持基于证书的EAP-TLS认证​​，并具备以下核心能力：为每台设备或用户动态签发TLS证书、通过SCEP协议对接NDES服务，实现终端入网自动证书签发。

网络访问时长可通过​​可配置参数​​精准控制，支持三种模式：绝对时间点​​（如“2025年1月20日20:00:00 EST”）、动态时间窗口​​（如“首次接入后持续4周”）、空闲超时机制​​（设备无流量自动断开）。

注册设备到期后将​​自动解除注册状态​，系统还支持：按终端类型（PC/移动设备/IoT）设置独立有效期、可针对单台设备单独修改过期时间。

PacketFence 通过与​​终端管理解决方案集成​​，提供​​设备全生命周期管理能力​​。

这些解决方案通过强制安装终端代理执行合规性检查、实时验证终端安全状态与远程推送防火墙规则等操作。

PacketFence 支持以下解决方案，例如 MobileIron、Microsoft Intune、JAMF、Kandji 等。

最后，PacketFence 为其基于 Android、Apple 和 Windows 的端点提供了自己的配置代理。

请参阅 快速指南 以了解如何将这些解决方案与 PacketFence 集成。

PacketFence 提供与多品牌防火墙的​​单点登录（SSO）深度集成​​。当设备接入有线/无线网络时，系统可​​实时同步IP-用户绑定关系至防火墙​​，助力实现基于用户身份实施访问控制或按AD组/部门动态应用过滤规则。

PacketFence 部分兼容的防火墙品牌：

• Barracuda
• CheckPoint
• Fortinet FortiGate
• iboss platform
• PaloAlo

 点击查看集成指南 

PacketFence 支持​​设备级带宽消耗实时追踪​​，并基于内置违规策略实现对特定时段超额使用设备自动隔离或降级访问权限，并提供多维度带宽消耗分析报告。

浮动网络设备​​指可在网络中灵活部署的交换机或接入点（AP），当其接入网络端口后，PacketFence 自动识别设备类型并动态配置接入端口，通常开放多VLAN通道并提升MAC地址容量阈值；此时，设备可选择是否通过PacketFence执行网络准入；设备移除后端口配置将毫秒级回滚至基线状态。

PacketFence 支持通过多种协议/标准对用户进行身份验证。这使您能够在不要求用户记住另一个用户名和密码的情况下，将 PacketFence 集成到您的环境中。支持的身份验证来源包括：

• LDAP
  • Microsoft Active Directory
  • Novell eDirectory
  • OpenLDAP
  • ... 或任何符合 RADIUS 标准的服务器
• RADIUS
  • Cisco ACS
  • RADIUS (FreeRADIUS, Radiator, etc.)
  • Microsoft NPS
  • ... 或者任何符合 LDAP 标准的服务器
• 本地用户文件（Apache htpasswd 格式）
• OAuth2
  • Facebook
  • Google
  • GitHub
  • LinkedIn
  • Microsoft Live
  • Twitter
• SAML

此外，PacketFence 还可以使用其内部 SQL 数据库来验证本地创建的用户。

PacketFence ​​深度集成微软活动目录（Active Directory）​​，单节点可同时接入多个AD域（无需域间信任关系）。

PacketFence 提供的 Web 服务接口，支持 PowerShell 脚本调用。支持自动注销离职员工设备（AD账号删除触发），实时冻结锁定账号关联终端。

PacketFence 的架构使其能够在路由网络上运行。服务器可以位于您的数据中心，仍然能够有效地保护分支机构。

鉴于网络准入控制（NAC）的​​主动管控特性​​，PacketFence提供​​精细化部署控制能力​​：支持设备批量自动预登记、可按交换机维度/端口维度动态启用或禁用NAC功能、支持按交换机/楼层/区域分步实施。

在​​安全隔离功能​​中同样也提供渐进式控制：仅记录违规事件（零业务中断风险）、确认误判率可控后，启用VLAN隔离等主动防护。

这两个功能结合在一起，使 PacketFence 的部署尽可能简单。

PacketFence支持​​隔离资源白名单机制​​——即使设备处于隔离状态，仍可访问特定资源。

PacketFence采用​​高可用架构设计​​，支持多节点组成​​双活集群（Active/Active）​​——通过负载均衡实现海量水平扩展。所有生产部署均采用高可用模式，​​该方案已在全球大型项目中获充分验证​​。

具体配置方法详见的 集群快速指南。

PacketFence ​​无缝集成多厂商网络硬件设备​，完整兼容性列表详见支持的网络设备。若您作为设备厂商希望加入官方兼容列表，欢迎联系我们洽谈合作。

PacketFence 采用​​全开放标准构建​​，从根本上规避厂商锁定风险。核心支持标准包括：

• 802.1X
• SNMP
• 标准MIB库，如 BRIDGE-MIB、Q-BRIDGE-MIB、IF-MIB、IEEE8021-PAE-MIB
• RADIUS
• Netflow / IPFIX
• 无线 ISP 漫游 (WISPR)

PacketFence 提供​​多重扩展点​​，允许通过少量Perl代码覆盖系统默认行为。其API设计具备：极简高层入口​​（仅需掌握核心接口）、升级兼容保障​​（扩展文件不会被版本更新覆盖）。

强制门户模板支持​​高度自定义​​，仅需掌握HTML与CSS基础即可进行样式重构。该模板系统基于 Perl 的 Template Toolkit​​ 引擎构建。