一、PXE网络装机技术概述

1.1 核心原理

PXE（Preboot Execution Environment）是由Intel提出的网络引导协议，通过DHCP和TFTP协议实现客户端无盘启动。其工作流包含三个关键阶段：

• 网络发现阶段：客户端网卡通过DHCP获取IP地址、子网掩码、默认网关及TFTP服务器地址
• 引导加载阶段：从TFTP服务器下载pxelinux.0或gpxe等引导程序
• 系统部署阶段：根据配置文件加载内核镜像和根文件系统，完成操作系统安装

典型网络拓扑要求：

[TFTP/DHCP服务器] --- [核心交换机] --- [待装机客户端]
                      |
                [HTTP/NFS文件服务器]

1.2 技术优势

相比传统U盘/光盘安装，PXE装机具有显著优势：

• 集中化管理：单台服务器可服务数百台客户端
• 标准化部署：确保所有机器配置完全一致
• 无人值守安装：通过kickstart/autoyast等脚本实现全自动安装
• 版本可控性：可随时更新安装镜像而无需更换物理介质

二、PXE环境搭建实操

2.1 服务器端配置

2.1.1 DHCP服务配置（以ISC DHCP为例）

# /etc/dhcp/dhcpd.conf 核心配置
subnet 192.168.1.0 netmask 255.255.255.0 {
  range 192.168.1.100 192.168.1.200;
  option routers 192.168.1.1;
  option subnet-mask 255.255.255.0;
  filename "pxelinux.0";
  next-server 192.168.1.5;  # TFTP服务器地址
}

关键参数说明：

• filename：指定引导程序名称
• next-server：TFTP服务器IP地址
• 需确保dhcpd服务监听正确网卡接口

2.1.2 TFTP服务配置

# Ubuntu系统安装配置
sudo apt install tftpd-hpa
sudo nano /etc/default/tftpd-hpa
# 修改为：
TFTP_USERNAME="tftp"
TFTP_DIRECTORY="/var/lib/tftpboot"
TFTP_ADDRESS="0.0.0.0:69"
TFTP_OPTIONS="--secure -l"
# 创建目录结构
sudo mkdir -p /var/lib/tftpboot/{pxelinux.cfg,images}

文件权限要求：

• TFTP根目录需有755权限
• 引导文件需有644权限

2.2 引导程序配置

2.2.1 Syslinux引导系统

# 安装syslinux工具
sudo apt install syslinux-common pxelinux
# 复制引导文件
sudo cp /usr/lib/syslinux/pxelinux.0 /var/lib/tftpboot/
sudo cp /usr/lib/syslinux/ldlinux.c32 /var/lib/tftpboot/

2.2.2 配置默认引导文件

创建/var/lib/tftpboot/pxelinux.cfg/default：

DEFAULT install
LABEL install
  MENU LABEL Install CentOS 7
  KERNEL images/centos7/vmlinuz
  APPEND initrd=images/centos7/initrd.img ks=http://192.168.1.5/ks.cfg

关键参数说明：

• KERNEL：指定内核镜像路径
• APPEND：附加参数，包含initrd路径和kickstart文件地址

三、自动化安装实现

3.1 Kickstart脚本编写

示例kickstart文件（/var/www/html/ks.cfg）：

# 基础配置
lang en_US.UTF-8
keyboard us
timezone Asia/Shanghai --isUTC
rootpw --plaintext password123
# 磁盘分区
clearpart --all --initlabel
part / --fstype=xfs --size=10000
part swap --size=2048
# 软件包选择
%packages
@core
kexec-tools
-firewalld
%end
# 安装后脚本
%post
echo "Installation completed at $(date)" > /root/install.log
%end

脚本验证方法：

# 使用pykickstart验证语法
sudo apt install pykickstart
ksvalidator /var/www/html/ks.cfg

3.2 镜像文件准备

3.2.1 CentOS镜像处理

# 挂载ISO并复制文件
sudo mount -o loop CentOS-7-x86_64-DVD-2009.iso /mnt
sudo cp -r /mnt/* /var/www/html/centos7/
# 提取initrd和vmlinuz
sudo cp /mnt/images/pxeboot/{vmlinuz,initrd.img} /var/lib/tftpboot/images/centos7/

3.2.2 Ubuntu镜像处理（需使用netboot.tar.gz）

# 解压netboot镜像
sudo tar -xzf netboot.tar.gz -C /var/lib/tftpboot/
# 修改ubuntu-installer配置
sudo nano /var/lib/tftpboot/ubuntu-installer/amd64/boot-screens/txt.cfg

四、高级应用场景

4.1 多系统菜单配置

创建/var/lib/tftpboot/pxelinux.cfg/default多系统菜单：

DEFAULT menu.c32
PROMPT 0
MENU TITLE PXE Boot Menu
LABEL centos7
  MENU LABEL CentOS 7 Install
  KERNEL images/centos7/vmlinuz
  APPEND initrd=images/centos7/initrd.img ks=http://192.168.1.5/ks.cfg
LABEL ubuntu20
  MENU LABEL Ubuntu 20.04 Install
  KERNEL ubuntu-installer/amd64/linux
  APPEND initrd=ubuntu-installer/amd64/initrd.gz auto=true priority=critical url=http://192.168.1.5/preseed.cfg

4.2 PXE+iPXE增强方案

4.2.1 iPXE编译配置

# 获取iPXE源码
git clone git://git.ipxe.org/ipxe.git
cd ipxe/src
# 编译支持HTTP的iPXE
make bin/undionly.kpxe EMBED=myembed.ipxe

示例嵌入脚本（myembed.ipxe）：

#!ipxe
set base-url http://192.168.1.5/ipxe
chain ${base-url}/boot.php?mac=${net0/mac}

4.2.2 动态菜单实现

PHP动态菜单示例（/var/www/html/ipxe/boot.php）：

<?php
$mac = strtolower(preg_replace('/[:.]/', '-', $_GET['mac']));
$menu = <<<EOD
#!ipxe
menu PXE Menu
item centos CentOS 7 Install
item ubuntu Ubuntu 20.04 Install
choose --default centos --timeout 3000 target && goto \${target}
:centos
kernel http://192.168.1.5/centos7/vmlinuz
initrd http://192.168.1.5/centos7/initrd.img
imgargs vmlinuz initrd=initrd.img ks=http://192.168.1.5/ks.cfg?mac=$mac
boot
EOD;
echo $menu;
?>

五、故障排查指南

5.1 常见问题诊断

现象	可能原因	解决方案
PXE-E53: No boot filename received	DHCP未返回filename	检查DHCP配置的filename参数
PXE-M0F: Exiting Intel PXE ROM	TFTP访问失败	检查TFTP服务状态和防火墙设置
File not found (vmlinuz)	路径错误	确认内核镜像路径与配置一致
Stuck at “Dracut emergency shell”	initrd缺失驱动	重新生成initrd并包含所需模块

5.2 日志分析方法

# TFTP服务日志
sudo tail -f /var/log/syslog | grep tftp
# DHCP服务日志
sudo journalctl -u isc-dhcp-server -f
# 客户端抓包分析
sudo tcpdump -i eth0 udp port 67 or port 68 or port 69 -n -v

5.3 性能优化建议

1. TFTP优化：

   • 使用atftp替代默认TFTP服务
   • 配置块大小参数：--tftp-blksize 1468

2. 镜像缓存：

   # 使用squid作为缓存代理
   sudo apt install squid
   # 配置/etc/squid/squid.conf
   acl localnet src 192.168.1.0/24
   cache_dir ufs /var/spool/squid 10000 16 256

3. 多线程下载：

   • 在kickstart中配置：

     %post --nochroot
     echo "max_connections = 10" >> /etc/yum.conf
     %end

六、安全加固方案

6.1 认证机制实现

6.1.1 DHCP认证

# 使用dnsmasq的认证功能
sudo nano /etc/dnsmasq.conf
dhcp-auth 802.1X
dhcp-secret=mysecret

6.1.2 TFTP访问控制

# 使用tcpwrappers限制访问
echo "tftpd: 192.168.1.0/24" > /etc/hosts.allow
echo "tftpd: ALL" > /etc/hosts.deny

6.2 镜像签名验证

# 生成GPG密钥
gpg --full-generate-key
# 签名kickstart文件
gpg --output ks.cfg.sig --detach-sig ks.cfg
# 验证脚本示例
if gpg --verify ks.cfg.sig ks.cfg 2>/dev/null; then
    echo "Kickstart file verified"
else
    echo "WARNING: File verification failed"
    exit 1
fi

通过上述技术方案的实施，PXE网络装机可实现从数十台到数千台设备的规模化部署，平均部署效率较传统方式提升80%以上。建议在实际环境中先进行小规模测试，逐步扩展至生产环境，并建立完善的镜像版本管理和备份机制。