為了提高辦公區(qū)網(wǎng)絡安全，現(xiàn)要求所有的工位端口都需要開啟802.1x認證，未通過認證或者認證超時的客戶端會被分配至與辦公網(wǎng)隔離的Guest VLAN中

“只有客戶發(fā)展了，才有我們的生存與發(fā)展！”這是成都創(chuàng)新互聯(lián)公司的服務宗旨！把網(wǎng)站當作互聯(lián)網(wǎng)產(chǎn)品，產(chǎn)品思維更注重全局思維、需求分析和迭代思維，在網(wǎng)站建設中就是為了建設一個不僅審美在線，而且實用性極高的網(wǎng)站。創(chuàng)新互聯(lián)對做網(wǎng)站、成都網(wǎng)站設計、網(wǎng)站制作、網(wǎng)站開發(fā)、網(wǎng)頁設計、網(wǎng)站優(yōu)化、網(wǎng)絡推廣、探索永無止境。

對于已經(jīng)安裝操作系統(tǒng)的機器，只需要開啟相關的服務即可，但是遇到需要使用MDT部署服務的時候，問題來了...

正常MDT部署流程:

    插入網(wǎng)線-開機-選擇網(wǎng)卡啟動-從WDS服務器獲取IP-從WDS服務獲取啟動映象-進入PE-選擇部署序列-部署

開啟1X認證后流程：

    插入網(wǎng)線-開機-選擇網(wǎng)卡啟動-無法獲取IP-退出PXE Boot

可以看到開啟了1x認證后，由于機器被分配到Guest VLAN中，無法正常與MDT交互，導致無法網(wǎng)啟，那么如何解決呢

1：在Guest VLAN的 IP Helper-address中加入MDT的服務器地址

2：第一步完成后就已經(jīng)可以使用MDT部署系統(tǒng)了，如果想盡量限制Guest VLAN訪問服務器的可以做如下操作：

ip access-list extended guest-vlan          //創(chuàng)建ACL
permit tcp any host  eq 135  //用于MDT服務器RPC服務
permit tcp any host  eq 445  //用于MDT服務器文件傳輸
permit tcp any host  eq 9800 //用于MDT服務器文件傳輸進程監(jiān)聽
permit tcp any host  eq 9801 //同上
permit udp any host          //MDT服務UDP協(xié)議多為動態(tài)端口

如果MDT部署的機器需要加域，則還需要在ACL中允許加域需要的相關端口

permit udp any host  eq 42     //WINS復制
permit udp any host  eq 53     //DNS
permit udp any host  eq 88     //Kerberos
permit udp any host  eq 135    //RPC
permit udp any host  eq 137    //NetBIOS名稱服務
permit udp any host  eq 138    //NetBIOS數(shù)據(jù)文報服務
permit udp any host  eq 389    //LDAP ping
permit udp any host  eq 445    //Microsoft-DS traffic
permit udp any host  eq 1512   //WINS解析
permit tcp any host            //DC認證TCP協(xié)議多為動態(tài)端口

(PS：因為項目已經(jīng)完成，本文只有解決思路和注意事項，以作筆記之用)

---END---

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

文章名稱：有線網(wǎng)端口開啟802.1X認證后使用MDT部署服務-創(chuàng)新互聯(lián)
本文地址：http://weahome.cn/article/djepii.html