有线网端口开启802.1X认证后使用MDT部署服务

为了提高办公区网络安全，现要求所有的工位端口都需要开启802.1x认证，未通过认证或者认证超时的客户端会被分配至与办公网隔离的Guest VLAN中

对于已经安装操作系统的机器，只需要开启相关的服务即可，但是遇到需要使用MDT部署服务的时候，问题来了...

正常MDT部署流程:

插入网线-开机-选择网卡启动-从WDS服务器获取IP-从WDS服务获取启动映象-进入PE-选择部署序列-部署

开启1X认证后流程：

插入网线-开机-选择网卡启动-无法获取IP-退出PXE Boot

可以看到开启了1x认证后，由于机器被分配到Guest VLAN中，无法正常与MDT交互，导致无法网启，那么如何解决呢

1：在Guest VLAN的 IP Helper-address中加入MDT的服务器地址

2：第一步完成后就已经可以使用MDT部署系统了，如果想尽量限制Guest VLAN访问服务器的可以做如下操作：

ip access-list extended guest-vlan          //创建ACLpermit tcp any host  eq 135  //用于MDT服务器RPC服务permit tcp any host  eq 445  //用于MDT服务器文件传输permit tcp any host  eq 9800 //用于MDT服务器文件传输进程监听permit tcp any host  eq 9801 //同上permit udp any host          //MDT服务UDP协议多为动态端口

如果MDT部署的机器需要加域，则还需要在ACL中允许加域需要的相关端口

permit udp any host  eq 42     //WINS复制permit udp any host  eq 53     //DNSpermit udp any host  eq 88     //Kerberospermit udp any host  eq 135    //RPCpermit udp any host  eq 137    //NetBIOS名称服务permit udp any host  eq 138    //NetBIOS数据文报服务permit udp any host  eq 389    //LDAP pingpermit udp any host  eq 445    //Microsoft-DS trafficpermit udp any host  eq 1512   //WINS解析permit tcp any host            //DC认证TCP协议多为动态端口

(PS：因为项目已经完成，本文只有解决思路和注意事项，以作笔记之用)

---END---