有线网端口开启802.1X认证后使用MDT部署服务

时间 2019-11-07

标签有线端口开启 802.1x 认证使用 mdt 部署服务繁體版

原文原文链接

为了提升办公区网络安全，现要求全部的工位端口都须要开启802.1x认证，未经过认证或者认证超时的客户端会被分配至与办公网隔离的Guest VLAN中安全

对于已经安装操做系统的机器，只须要开启相关的服务便可，可是遇到须要使用MDT部署服务的时候，问题来了...bash

正常MDT部署流程:
服务器

插入网线-开机-选择网卡启动-从WDS服务器获取IP-从WDS服务获取启动映象-进入PE-选择部署序列-部署网络

开启1X认证后流程：
tcp

插入网线-开机-选择网卡启动-没法获取IP-退出PXE Bootide

能够看到开启了1x认证后，因为机器被分配到Guest VLAN中，没法正常与MDT交互，致使没法网启，那么如何解决呢操作系统

1：在Guest VLAN的 IP Helper-address中加入MDT的服务器地址网络安全

2：第一步完成后就已经可使用MDT部署系统了，若是想尽可能限制Guest VLAN访问服务器的能够作以下操做：进程

ip access-list extended guest-vlan          //建立ACL
permit tcp any host <MDT服务器地址> eq 135  //用于MDT服务器RPC服务
permit tcp any host <MDT服务器地址> eq 445  //用于MDT服务器文件传输
permit tcp any host <MDT服务器地址> eq 9800 //用于MDT服务器文件传输进程监听
permit tcp any host <MDT服务器地址> eq 9801 //同上
permit udp any host <MDT服务器地址>         //MDT服务UDP协议多为动态端口

若是MDT部署的机器须要加域，则还须要在ACL中容许加域须要的相关端口ip

permit udp any host <DC服务器地址> eq 42     //WINS复制
permit udp any host <DC服务器地址> eq 53     //DNS
permit udp any host <DC服务器地址> eq 88     //Kerberos
permit udp any host <DC服务器地址> eq 135    //RPC
permit udp any host <DC服务器地址> eq 137    //NetBIOS名称服务
permit udp any host <DC服务器地址> eq 138    //NetBIOS数据文报服务
permit udp any host <DC服务器地址> eq 389    //LDAP ping
permit udp any host <DC服务器地址> eq 445    //Microsoft-DS traffic
permit udp any host <DC服务器地址> eq 1512   //WINS解析
permit tcp any host <DC服务器地址>           //DC认证TCP协议多为动态端口

(PS：由于项目已经完成，本文只有解决思路和注意事项，以做笔记之用)

---END---