PXE装机技术概述

PXE（Preboot Execution Environment）是一种基于网络的预启动执行环境技术，允许计算机通过网卡直接从网络服务器加载并安装操作系统。相较于传统光盘/U盘安装方式，PXE装机具有三大核心优势：集中化管理（所有安装文件存储于服务器）、自动化部署（支持无人值守安装）、跨平台兼容性（支持不同硬件架构的批量部署）。在企业级IT运维中，PXE技术可显著降低大规模设备部署的时间成本，提升部署一致性。

一、PXE装机环境准备

1.1 硬件要求

• 服务器端：需配备支持PXE引导的千兆网卡，建议配置双网卡（管理网与业务网隔离）
• 客户端：主板BIOS需开启Network Boot选项，现代UEFI设备需支持UEFI PXE启动
• 网络拓扑：建议使用独立VLAN（如VLAN 100）隔离部署网络，避免与生产网络冲突

1.2 软件依赖

• TFTP服务器：推荐使用tftp-hpa（Ubuntu）或tftpd32（Windows）
• DHCP服务器：需配置PXE专用选项（66/67）
• NFS/HTTP服务：用于存储系统镜像（NFS适用于Linux，HTTP适用于Windows）
• 系统镜像：需准备定制化的kickstart（CentOS）或autounattend.xml（Windows）文件

二、TFTP服务配置详解

2.1 安装配置流程

# Ubuntu系统安装示例
sudo apt update
sudo apt install tftpd-hpa -y
# 配置文件修改
sudo nano /etc/default/tftpd-hpa
# 关键参数：
TFTP_DIRECTORY="/var/lib/tftpboot"  # 根目录
TFTP_ADDRESS="0.0.0.0:69"           # 监听所有接口
TFTP_OPTIONS="--secure --verbose"    # 安全选项

2.2 目录结构规范

/var/lib/tftpboot/
├── pxelinux.0          # Syslinux引导文件
├── pxelinux.cfg/
│   ├── default         # 默认引导配置
│   └── 01-xx-xx-xx-xx  # MAC地址定向配置（可选）
├── centos/             # CentOS镜像目录
│   └── vmlinuz         # 内核文件
│   └── initrd.img      # 初始镜像
└── windows/            # Windows PE环境（需wimboot支持）

三、DHCP服务专项配置

3.1 ISC DHCP配置示例

# /etc/dhcp/dhcpd.conf 核心配置
subnet 192.168.100.0 netmask 255.255.255.0 {
  range 192.168.100.100 192.168.100.200;
  option routers 192.168.100.1;
  option subnet-mask 255.255.255.0;
  # PXE专用选项
  filename "pxelinux.0";          # BIOS模式引导文件
  next-server 192.168.100.1;     # TFTP服务器地址
  # UEFI模式配置（需服务器支持）
  if exists user-class and option user-class = "iPXE" {
    filename "ipxe.efi";
  }
}

3.2 高级配置技巧

• MAC地址绑定：通过host指令为特定设备分配固定IP
• 多架构支持：使用class指令区分BIOS/UEFI设备
• 日志监控：配置log-facility local7;实现安装日志集中收集

四、系统镜像定制指南

4.1 Linux镜像制作（CentOS示例）

# 1. 挂载原始镜像
mkdir /mnt/iso
mount -o loop CentOS-7-x86_64-Minimal-2009.iso /mnt/iso
# 2. 创建定制目录
mkdir -p /var/www/html/centos7/{images,ks}
cp -r /mnt/iso/* /var/www/html/centos7/
# 3. 生成kickstart文件
cat > /var/www/html/centos7/ks/centos7.ks <<EOF
#version=DEVEL
lang en_US.UTF-8
keyboard us
timezone Asia/Shanghai
rootpw --plaintext 123456
clearpart --all --initlabel
autopart
%post
yum install -y vim
%end
EOF

4.2 Windows镜像处理要点

• WIM文件拆分：使用dism /Split-Image处理大于4GB的install.wim
• PE环境构建：通过Windows ADK生成boot.wim
• 应答文件优化：使用Windows System Image Manager生成unattend.xml

五、客户端引导测试

5.1 BIOS设备引导流程

1. 开机按Del进入BIOS
2. 导航至Boot选项卡
3. 将Network Boot设为第一启动项
4. 保存设置后重启，观察是否获取到192.168.100.x IP

5.2 UEFI设备特殊处理

• 需在TFTP根目录放置efi/boot/bootx64.efi
• DHCP配置中需添加option 60 "PXEClient"
• 现代设备可能需禁用Secure Boot或导入自定义证书

六、常见问题解决方案

6.1 引导失败排查表

现象	可能原因	解决方案
PXENF: No boot filename received	DHCP未返回filename选项	检查dhcpd.conf的next-server配置
File not found: pxelinux.0	TFTP权限问题	chmod -R 755 /var/lib/tftpboot
Kernel panic: VFS: Unable to mount root fs	initrd不匹配	重新生成initrd.img并验证md5

6.2 性能优化建议

• 多线程传输：配置TFTP的--blocksize 1468参数
• 镜像缓存：使用NFS缓存层加速大文件传输
• 带宽限制：通过tc qdisc控制部署网络流量

七、企业级部署实践

7.1 混合架构支持方案

# Nginx配置示例（同时提供Linux/Windows镜像）
server {
    listen 80;
    server_name pxe.example.com;
    location /centos/ {
        alias /var/www/html/centos7/;
        autoindex on;
    }
    location /windows/ {
        alias /var/www/html/win10/;
        autoindex on;
    }
}

7.2 安全加固措施

• TFTP访问控制：通过TCP Wrappers限制来源IP
• 镜像签名验证：使用GPG对kickstart文件签名
• 审计日志：配置rsyslog集中收集DHCP/TFTP日志

八、进阶应用场景

8.1 磁盘加密部署

在kickstart文件中添加：

%pre
echo "123456" | cryptsetup luksFormat /dev/sda2
%end

8.2 跨子网部署方案

• 配置DHCP中继（isc-dhcp-relay）
• 在TFTP服务器添加多网卡绑定
• 使用ANYCAST地址发布服务

通过以上标准化流程，企业可实现从数十台到数千台设备的自动化部署，典型案例显示：某金融机构通过PXE方案将单台设备部署时间从2小时缩短至8分钟，年节省工时成本超4000小时。建议运维团队定期更新镜像库，并建立部署任务看板实现全流程可视化管控。