有線網端口開啓802.1X認證後使用MDT部署服務

    爲了提升辦公區網絡安全，現要求全部的工位端口都須要開啓802.1x認證，未經過認證或者認證超時的客戶端會被分配至與辦公網隔離的Guest VLAN中

對於已經安裝操做系統的機器，只須要開啓相關的服務便可，可是遇到須要使用MDT部署服務的時候，問題來了...

正常MDT部署流程:

    插入網線-開機-選擇網卡啓動-從WDS服務器獲取IP-從WDS服務獲取啓動映象-進入PE-選擇部署序列-部署

開啓1X認證後流程：

    插入網線-開機-選擇網卡啓動-沒法獲取IP-退出PXE Boot

能夠看到開啓了1x認證後，因爲機器被分配到Guest VLAN中，沒法正常與MDT交互，致使沒法網啓，那麼如何解決呢

1：在Guest VLAN的 IP Helper-address中加入MDT的服務器地址

2：第一步完成後就已經可使用MDT部署系統了，若是想盡可能限制Guest VLAN訪問服務器的能夠作以下操做：

ip access-list extended guest-vlan          //建立ACL
permit tcp any host <MDT服務器地址> eq 135  //用於MDT服務器RPC服務
permit tcp any host <MDT服務器地址> eq 445  //用於MDT服務器文件傳輸
permit tcp any host <MDT服務器地址> eq 9800 //用於MDT服務器文件傳輸進程監聽
permit tcp any host <MDT服務器地址> eq 9801 //同上
permit udp any host <MDT服務器地址>         //MDT服務UDP協議多爲動態端口

若是MDT部署的機器須要加域，則還須要在ACL中容許加域須要的相關端口

permit udp any host <DC服務器地址> eq 42     //WINS複製
permit udp any host <DC服務器地址> eq 53     //DNS
permit udp any host <DC服務器地址> eq 88     //Kerberos
permit udp any host <DC服務器地址> eq 135    //RPC
permit udp any host <DC服務器地址> eq 137    //NetBIOS名稱服務
permit udp any host <DC服務器地址> eq 138    //NetBIOS數據文報服務
permit udp any host <DC服務器地址> eq 389    //LDAP ping
permit udp any host <DC服務器地址> eq 445    //Microsoft-DS traffic
permit udp any host <DC服務器地址> eq 1512   //WINS解析
permit tcp any host <DC服務器地址>           //DC認證TCP協議多爲動態端口

(PS：由於項目已經完成，本文只有解決思路和注意事項，以做筆記之用)

---END---