為了提高辦公區(qū)網(wǎng)絡安全，現(xiàn)要求所有的工位端口都需要開啟802.1x認證，未通過認證或者認證超時的客戶端會被分配至與辦公網(wǎng)隔離的Guest VLAN中

在廬陽等地區(qū)，都構建了全面的區(qū)域性戰(zhàn)略布局，加強發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務理念，為客戶提供成都網(wǎng)站建設、網(wǎng)站設計 網(wǎng)站設計制作定制網(wǎng)站開發(fā),公司網(wǎng)站建設,企業(yè)網(wǎng)站建設,品牌網(wǎng)站制作,成都全網(wǎng)營銷推廣,成都外貿(mào)網(wǎng)站建設公司,廬陽網(wǎng)站建設費用合理。

對于已經(jīng)安裝操作系統(tǒng)的機器，只需要開啟相關的服務即可，但是遇到需要使用MDT部署服務的時候，問題來了...

正常MDT部署流程:

    插入網(wǎng)線-開機-選擇網(wǎng)卡啟動-從WDS服務器獲取IP-從WDS服務獲取啟動映象-進入PE-選擇部署序列-部署

開啟1X認證后流程：

    插入網(wǎng)線-開機-選擇網(wǎng)卡啟動-無法獲取IP-退出PXE Boot

可以看到開啟了1x認證后，由于機器被分配到Guest VLAN中，無法正常與MDT交互，導致無法網(wǎng)啟，那么如何解決呢

1：在Guest VLAN的 IP Helper-address中加入MDT的服務器地址

2：第一步完成后就已經(jīng)可以使用MDT部署系統(tǒng)了，如果想盡量限制Guest VLAN訪問服務器的可以做如下操作：

ip access-list extended guest-vlan          //創(chuàng)建ACL
permit tcp any host  eq 135  //用于MDT服務器RPC服務
permit tcp any host  eq 445  //用于MDT服務器文件傳輸
permit tcp any host  eq 9800 //用于MDT服務器文件傳輸進程監(jiān)聽
permit tcp any host  eq 9801 //同上
permit udp any host          //MDT服務UDP協(xié)議多為動態(tài)端口

如果MDT部署的機器需要加域，則還需要在ACL中允許加域需要的相關端口

permit udp any host  eq 42     //WINS復制
permit udp any host  eq 53     //DNS
permit udp any host  eq 88     //Kerberos
permit udp any host  eq 135    //RPC
permit udp any host  eq 137    //NetBIOS名稱服務
permit udp any host  eq 138    //NetBIOS數(shù)據(jù)文報服務
permit udp any host  eq 389    //LDAP ping
permit udp any host  eq 445    //Microsoft-DS traffic
permit udp any host  eq 1512   //WINS解析
permit tcp any host            //DC認證TCP協(xié)議多為動態(tài)端口

(PS：因為項目已經(jīng)完成，本文只有解決思路和注意事項，以作筆記之用)

---END---