,,,,为了提高办公区网络安全,现要求所有的工位端口都需要开启802.1 x认证,未通过认证或者认证超时的客户端会被分配至与办公网隔离客人的VLAN中
对于已经安装操作系统的机器,只需要开启相关的服务即可,但是遇到需要使用联合化疗部署服务的时候,问题来了…
正常联合化疗部署流程:
,,,,插入网线——开机——选择网卡启动——从WDS服务器获取IP -从WDS服务获取启动映象——进入PE -选择部署序列——部署
开启1 x认证后流程:
,,,,插入网线——开机——选择网卡启动——无法获取IP -退出PXE启动
可以看到开启了1 x认证后,由于机器被分配到客人VLAN中,无法正常与联合化疗交互,导致无法网启,那么如何解决呢
1:在客人VLAN的IP Helper-address中加入联合化疗的服务器地址
2:第一步完成后就已经可以使用联合化疗部署系统了,如果想尽量限制客人VLAN访问服务器的可以做如下操作:
ip access-list extended guest-vlan ,,,,,,,,,//创建ACL permit tcp  any host & lt;联合化疗服务器地址祝辞,eq 135年,,//用于联合化疗服务器RPC服务 permit tcp  any host & lt;联合化疗服务器地址祝辞,eq 445年,,//用于联合化疗服务器文件传输 permit tcp  any host & lt;联合化疗服务器地址祝辞,eq 9800年,//用于联合化疗服务器文件传输进程监听 permit tcp  any host & lt;联合化疗服务器地址祝辞,eq 9801年,//同上 permit udp  any host & lt;联合化疗服务器地址在,,,,,,,,,//联合化疗服务UDP协议多为动态端口
如果联合化疗部署的机器需要加域,则还需要在ACL中允许加域需要的相关端口
permit udp any host & lt;直流服务器地址祝辞,eq 42个,,,,,//胜复制 permit udp  any host & lt;直流服务器地址祝辞,eq 53个,,,,//DNS permit udp  any host & lt;直流服务器地址祝辞,eq 88年,,,,//Kerberos permit udp  any host & lt;直流服务器地址祝辞,eq 135年,,,//RPC permit udp  any host & lt;直流服务器地址祝辞,eq 137年,,,,//NetBIOS名称服务 permit udp  any host & lt;直流服务器地址祝辞,eq 138年,,,,//NetBIOS数据文报服务 permit udp  any host & lt;直流服务器地址祝辞,eq 389年,,,,//LDAP 平 permit udp  any host & lt;直流服务器地址祝辞,eq 445年,,,//Microsoft-DS 交通 permit udp  any host & lt;直流服务器地址祝辞,eq 1512年,,,//胜解析 permit tcp  any host & lt;直流服务器地址在,,,,,,,,,,,//直流认证TCP协议多为动态端口
(PS:因为项目已经完成,本文只有解决思路和注意事项,以作笔记之用)
——端- - - - - -