为了提高办公区网络安全,现要求所有的工位端口都需要开启802.1x认证,未通过认证或者认证超时的客户端会被分配至与办公网隔离的Guest VLAN中

对于已经安装操作系统的机器,只需要开启相关的服务即可,但是遇到需要使用MDT部署服务的时候,问题来了...

正常MDT部署流程:

    插入网线-开机-选择网卡启动-从WDS服务器获取IP-从WDS服务获取启动映象-进入PE-选择部署序列-部署

开启1X认证后流程:

    插入网线-开机-选择网卡启动-无法获取IP-退出PXE Boot


可以看到开启了1x认证后,由于机器被分配到Guest VLAN中,无法正常与MDT交互,导致无法网启,那么如何解决呢

1:在Guest VLAN的 IP Helper-address中加入MDT的服务器地址

2:第一步完成后就已经可以使用MDT部署系统了,如果想尽量限制Guest VLAN访问服务器的可以做如下操作:

ip access-list extended guest-vlan          //创建ACL
permit tcp any host <MDT服务器地址> eq 135  //用于MDT服务器RPC服务
permit tcp any host <MDT服务器地址> eq 445  //用于MDT服务器文件传输
permit tcp any host <MDT服务器地址> eq 9800 //用于MDT服务器文件传输进程监听
permit tcp any host <MDT服务器地址> eq 9801 //同上
permit udp any host <MDT服务器地址>         //MDT服务UDP协议多为动态端口

如果MDT部署的机器需要加域,则还需要在ACL中允许加域需要的相关端口

permit udp any host <DC服务器地址> eq 42     //WINS复制
permit udp any host <DC服务器地址> eq 53     //DNS
permit udp any host <DC服务器地址> eq 88     //Kerberos
permit udp any host <DC服务器地址> eq 135    //RPC
permit udp any host <DC服务器地址> eq 137    //NetBIOS名称服务
permit udp any host <DC服务器地址> eq 138    //NetBIOS数据文报服务
permit udp any host <DC服务器地址> eq 389    //LDAP ping
permit udp any host <DC服务器地址> eq 445    //Microsoft-DS traffic
permit udp any host <DC服务器地址> eq 1512   //WINS解析
permit tcp any host <DC服务器地址>           //DC认证TCP协议多为动态端口

(PS:因为项目已经完成,本文只有解决思路和注意事项,以作笔记之用)


---END---