为了提高办公区网络安全,现要求所有的工位端口都需要开启802.1x认证,未通过认证或者认证超时的客户端会被分配至与办公网隔离的Guest VLAN中
对于已经安装操作系统的机器,只需要开启相关的服务即可,但是遇到需要使用MDT部署服务的时候,问题来了...
正常MDT部署流程:
插入网线-开机-选择网卡启动-从WDS服务器获取IP-从WDS服务获取启动映象-进入PE-选择部署序列-部署
开启1X认证后流程:
插入网线-开机-选择网卡启动-无法获取IP-退出PXE Boot
可以看到开启了1x认证后,由于机器被分配到Guest VLAN中,无法正常与MDT交互,导致无法网启,那么如何解决呢
1:在Guest VLAN的 IP Helper-address中加入MDT的服务器地址
2:第一步完成后就已经可以使用MDT部署系统了,如果想尽量限制Guest VLAN访问服务器的可以做如下操作:
ip access-list extended guest-vlan //创建ACL permit tcp any host <MDT服务器地址> eq 135 //用于MDT服务器RPC服务 permit tcp any host <MDT服务器地址> eq 445 //用于MDT服务器文件传输 permit tcp any host <MDT服务器地址> eq 9800 //用于MDT服务器文件传输进程监听 permit tcp any host <MDT服务器地址> eq 9801 //同上 permit udp any host <MDT服务器地址> //MDT服务UDP协议多为动态端口
如果MDT部署的机器需要加域,则还需要在ACL中允许加域需要的相关端口
permit udp any host <DC服务器地址> eq 42 //WINS复制 permit udp any host <DC服务器地址> eq 53 //DNS permit udp any host <DC服务器地址> eq 88 //Kerberos permit udp any host <DC服务器地址> eq 135 //RPC permit udp any host <DC服务器地址> eq 137 //NetBIOS名称服务 permit udp any host <DC服务器地址> eq 138 //NetBIOS数据文报服务 permit udp any host <DC服务器地址> eq 389 //LDAP ping permit udp any host <DC服务器地址> eq 445 //Microsoft-DS traffic permit udp any host <DC服务器地址> eq 1512 //WINS解析 permit tcp any host <DC服务器地址> //DC认证TCP协议多为动态端口
(PS:因为项目已经完成,本文只有解决思路和注意事项,以作笔记之用)
---END---
原文地址:http://blog.51cto.com/mikeyoo/2066875
时间: 2024-11-08 20:58:42