码迷,mamicode.com
首页 > 其他好文 > 详细

有线网端口开启802.1X认证后使用MDT部署服务

时间:2018-01-30 19:49:10      阅读:130      评论:0      收藏:0      [点我收藏+]

标签:mdt   address   lis   too   相关   服务   思路   客户   网卡   

    为了提高办公区网络安全,现要求所有的工位端口都需要开启802.1x认证,未通过认证或者认证超时的客户端会被分配至与办公网隔离的Guest VLAN中

对于已经安装操作系统的机器,只需要开启相关的服务即可,但是遇到需要使用MDT部署服务的时候,问题来了...

正常MDT部署流程:

    插入网线-开机-选择网卡启动-从WDS服务器获取IP-从WDS服务获取启动映象-进入PE-选择部署序列-部署

开启1X认证后流程:

    插入网线-开机-选择网卡启动-无法获取IP-退出PXE Boot


可以看到开启了1x认证后,由于机器被分配到Guest VLAN中,无法正常与MDT交互,导致无法网启,那么如何解决呢

1:在Guest VLAN的 IP Helper-address中加入MDT的服务器地址

2:第一步完成后就已经可以使用MDT部署系统了,如果想尽量限制Guest VLAN访问服务器的可以做如下操作:

ip access-list extended guest-vlan          //创建ACL
permit tcp any host <MDT服务器地址> eq 135  //用于MDT服务器RPC服务
permit tcp any host <MDT服务器地址> eq 445  //用于MDT服务器文件传输
permit tcp any host <MDT服务器地址> eq 9800 //用于MDT服务器文件传输进程监听
permit tcp any host <MDT服务器地址> eq 9801 //同上
permit udp any host <MDT服务器地址>         //MDT服务UDP协议多为动态端口

如果MDT部署的机器需要加域,则还需要在ACL中允许加域需要的相关端口

permit udp any host <DC服务器地址> eq 42     //WINS复制
permit udp any host <DC服务器地址> eq 53     //DNS
permit udp any host <DC服务器地址> eq 88     //Kerberos
permit udp any host <DC服务器地址> eq 135    //RPC
permit udp any host <DC服务器地址> eq 137    //NetBIOS名称服务
permit udp any host <DC服务器地址> eq 138    //NetBIOS数据文报服务
permit udp any host <DC服务器地址> eq 389    //LDAP ping
permit udp any host <DC服务器地址> eq 445    //Microsoft-DS traffic
permit udp any host <DC服务器地址> eq 1512   //WINS解析
permit tcp any host <DC服务器地址>           //DC认证TCP协议多为动态端口

(PS:因为项目已经完成,本文只有解决思路和注意事项,以作笔记之用)


---END---

有线网端口开启802.1X认证后使用MDT部署服务

标签:mdt   address   lis   too   相关   服务   思路   客户   网卡   

原文地址:http://blog.51cto.com/mikeyoo/2066875

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!