一、PXE技术概述：网络引导的革命性突破

PXE（Preboot Execution Environment）作为IEEE 802.1标准的一部分，通过TCP/IP协议栈实现客户端在无本地存储设备（如硬盘）的情况下，直接从网络服务器加载并执行操作系统安装程序。其核心价值在于去介质化部署——无需物理光盘或U盘，仅需网络连接即可完成大规模设备的标准化装机。

技术实现层面，PXE依赖DHCP与TFTP协议的协同工作：

1. DHCP阶段：客户端启动时发送DHCP Discovery广播包，服务器响应并分配IP地址，同时通过Option 66（TFTP服务器地址）和Option 67（启动文件名）告知客户端后续操作。
2. TFTP阶段：客户端根据DHCP返回的信息，从TFTP服务器下载引导文件（如pxelinux.0），进而加载内核与初始RAM磁盘（initrd）。
3. 自动化安装：引导文件可配置为直接启动安装程序（如Debian的preseed或RHEL的kickstart），实现无人值守安装。

二、PXE基础装机环境的核心组件

1. DHCP服务器：网络引导的起点

DHCP服务器需配置为支持PXE的特殊选项：

# isc-dhcp-server配置示例（/etc/dhcp/dhcpd.conf）
subnet 192.168.1.0 netmask 255.255.255.0 {
  range 192.168.1.100 192.168.1.200;
  option routers 192.168.1.1;
  option subnet-mask 255.255.255.0;
  filename "pxelinux.0";  # 指定引导文件
  next-server 192.168.1.5;  # TFTP服务器IP
}

关键点：确保next-server指向TFTP服务器的真实IP，且filename与TFTP根目录下的文件匹配。

2. TFTP服务器：轻量级文件传输

TFTP（Trivial File Transfer Protocol）因其无认证、低开销的特性，成为PXE引导文件传输的首选。推荐使用tftp-hpa或dnsmasq内置TFTP服务：

# 安装并配置tftp-hpa（Ubuntu）
sudo apt install tftpd-hpa
sudo nano /etc/default/tftpd-hpa
# 修改为：
TFTP_ADDRESS="0.0.0.0:69"
TFTP_OPTIONS="--secure --address 0.0.0.0:69"
TFTP_DIRECTORY="/var/lib/tftpboot"  # 必须与DHCP的filename路径一致
sudo systemctl restart tftpd-hpa

安全建议：限制TFTP目录权限（chmod 755 /var/lib/tftpboot），避免敏感文件暴露。

3. 引导文件与内核镜像

引导文件（如pxelinux.0）需从syslinux包获取，内核与initrd则需与目标操作系统版本匹配。以CentOS 7为例：

# 下载并解压CentOS 7镜像
mount -o loop CentOS-7-x86_64-Minimal-2009.iso /mnt
cp /mnt/images/pxeboot/{vmlinuz,initrd.img} /var/lib/tftpboot/
cp /mnt/isolinux/{vesamenu.c32,boot.msg} /var/lib/tftpboot/  # 可选：增强引导菜单

配置示例（/var/lib/tftpboot/pxelinux.cfg/default）：

DEFAULT linux
LABEL linux
  KERNEL vmlinuz
  APPEND initrd=initrd.img ks=http://192.168.1.5/ks.cfg  # 指向kickstart文件
  IPAPPEND 2  # 传递客户端IP给安装程序

三、实战：构建完整的PXE装机环境

1. 环境准备

• 服务器：至少2核CPU、4GB内存，安装Linux系统（推荐Ubuntu/CentOS）。
• 网络：确保客户端与服务器在同一子网，或配置中继代理（如dnsmasq的dhcp-relay）。
• 存储：TFTP目录需足够空间存放内核与引导文件（通常<100MB）。

2. 自动化安装配置

以RHEL系为例，通过kickstart实现无人值守：

# 生成kickstart模板
cat > /var/www/html/ks.cfg <<EOF
#platform=x86, AMD64, or Intel EM64T
#version=DEVEL
# Firewall configuration
firewall --disabled
# Install OS instead of upgrade
install
# Use network installation
url --url="http://mirror.centos.org/centos/7/os/x86_64/"
# Root password
rootpw --plaintext centos
# System authorization information
auth --useshadow --passalgo=sha512
# System bootloader configuration
bootloader --location=mbr
# Clear the Master Boot Record
zerombr
# Partition clearing information
clearpart --all --initlabel
# Disk partitioning information
part /boot --fstype="xfs" --size=1024
part swap --fstype="swap" --size=2048
part / --fstype="xfs" --size=1 --grow
# Reboot after installation
reboot
%packages
@core
wget
vim-enhanced
%end
EOF

关键配置：

• url：指定安装源（可替换为本地HTTP仓库）。
• rootpw：生产环境建议使用加密密码（通过openssl passwd -6生成）。
• %packages：自定义安装的软件包。

3. 客户端测试

1. BIOS设置：将客户端网卡启动顺序置于首位。
2. 启动观察：客户端应通过DHCP获取IP，下载pxelinux.0，显示引导菜单，最终加载kickstart自动化安装。
3. 故障排查：
   • TFTP错误：检查服务器防火墙是否放行69端口（sudo ufw allow 69/udp）。
   • DHCP未响应：使用tcpdump -i eth0 udp port 67 or port 68抓包分析。
   • 内核panic：核对vmlinuz与initrd.img版本是否一致。

四、进阶优化与安全实践

1. 多系统支持

通过TFTP目录结构区分不同系统：

/var/lib/tftpboot/
├── centos7/
│   ├── vmlinuz
│   └── initrd.img
└── ubuntu20/
    ├── vmlinuz
    └── initrd.img

修改pxelinux.cfg/default为菜单选择：

MENU TITLE PXE Boot Menu
TIMEOUT 30
DEFAULT centos7
LABEL centos7
  MENU LABEL Install CentOS 7
  KERNEL centos7/vmlinuz
  APPEND initrd=centos7/initrd.img ks=http://192.168.1.5/ks_centos7.cfg
LABEL ubuntu20
  MENU LABEL Install Ubuntu 20.04
  KERNEL ubuntu20/vmlinuz
  APPEND initrd=ubuntu20/initrd.img url=http://archive.ubuntu.com/ubuntu/dists/focal/main/installer-amd64/

2. 安全加固

• TFTP限制：通过tcpwrappers限制访问IP（/etc/hosts.allow）：

  tftpd: 192.168.1.0/24

• HTTPS传输：将kickstart文件托管于HTTPS服务器，避免中间人攻击。
• 日志审计：配置rsyslog记录TFTP/DHCP请求，便于追踪异常行为。

五、总结与展望

PXE基础装机环境通过去介质化部署，显著降低了大规模设备安装的运维成本。其技术栈（DHCP+TFTP+HTTP/FTP）虽简单，但需精心配置每个环节。未来，随着IPv6普及与UEFI Secure Boot的推广，PXE需结合iPXE（支持HTTPS、IPv6）等增强协议，以适应更复杂的网络环境。对于企业用户，建议将PXE与配置管理工具（如Ansible）集成，实现从装机到配置的全生命周期自动化。