基于PXE 和Wds 的园区网远程安装操作系统技术研究

2022-10-14 02:01杨冬武徐俊恩任永鹏
网络安全技术与应用 2022年9期
关键词:固件端口客户端

◆杨冬武 徐俊恩 任永鹏

(中国航发湖南动力机械研究所 湖南 412002)

1 引言

当园区网计算机数量达到一定规模,为节省运维成本和进行软件定制化安装,操作系统远程安装势在必行。远程安装操作系统方式较多,PXE+Wds 技术由于其支持无盘启动连接服务器,启动速度快,安装过程无需人工干预,支持多机并行安装等优点,较为适合园区网远程操作系统安装。

2 PXE 技术

PXE(Preboot execution Environment)被称为预启动执行环境,它提供了一种使用网络接口启动计算机的机制。这种机制让计算机的启动可以不依赖于本地存储设备或本地已安装的操作系统。PXE 被设计成适合各种计算机体系和各种操作系统,包括Windows、Linux、Unix 等。

PXE 最初是作为Intel 的有线管理体系的一部分,Intel 和Systemsoft 于1999 年9 月20 日公布其规格(版本2.1)。使用网际协议(IP)、用户数据报协议(UDP)、动态主机设定协议(DHCP)、小型文件传输协议(TFTP)等几种网络协议和全局唯一标识符(GUID)、通用网络驱动接口(UNDI)、通用唯一识别码(UUID)的概念,通过对客户机(通过PXE 自检的电脑)固件扩展预设的API来实现预启动执行功能。

客户机的固件为接受到可用的PXE 启动服务器,要在网络中尝试找出PXE 重定向服务(DHCP 代理)。在分析返回的包后,固件会向合适的启动服务器询问网络自检程序(NBP)的路径,并且通过TFTP 协议下载到电脑的内存中,有可能会去校验它,最后执行它。

PXE 被设计成适合各种计算机体系。2.1 版的描述中确定了6 种系统规格,包括IA-64 和DEC Alpha。但是只有IA-32 的完全表述,Intel 在IA-64 的扩展固件接口中包括了PXE,落实了该标准。

PXE 协议虽大致上结合了DHCP 和TFTP,但对两者都有改进。DHCP 用于查找合适的启动服务器,TFTP 用于下载初始引导程序和附件文件。为了开始一个PXE 自检会话,PXE 固件广播一个带有明确的PXE 选项DHCPDISCOVER 包(扩展DHCPDISCOVER)到67/UDP 端口(DHCP 服务器端口)。PXE 选项是PXE 固件有PXE 能力鉴定,但是会被一般的DHCP 服务忽略。当固件收到这样的DHCPOFFER 服务包时,它会通过要求其提供配置信息来自我配置。

和一个正在启动系统的启动服务联系必须有一个IP 地址(可能来自DHCP 服务)。通过多播或单播一个带有特殊的PXE 选项的DHCPREQUEST 包(扩展DHCPREQUEST 包)到4011/UDP 端口,或者广播(网络)这种包到67/UDP 端口。这种包包含有PXE 启动服务类型和PXE 启动层,一个守护进程允许运行多个启动服务类型。一个扩展DHCPREQUEST 包可能是一个DHCPINFORM 包。PXE 原理如图1 所示。

图1 PXE 原理图

3 WDS 技术

WDS 是Windows Deployment Services 的缩写,既Windows 部署服务,可以使用Windows 镜像文件(.wim)安装Windows 操作系统。WDS 一般部署在Windows Server 2008 或Windows Server 2016 操作系统之上,本文WDS 部署环境选择Windows Server 2008。

WDS 的部署步骤如下:

(1)安装Active Directory 活动目录。

打开服务器管理器,选择添加角色。由于AD 活动目录的特殊性,无法与其他服务一同配置,如果先配置了AD 活动目录,则DNS 服务只能在配置AD 活动目录时由AD 活动目录设置向导进行安装。

安装Actice Directory 域服务如图2 所示。

图2 安装Actice Directory 域服务

WDS服务器的作用是为需要安装操作系统的客户端提供PXE引导,并下发操作系统镜像文件。WDS 服务器的安装如图3 所示:

图3 安装WDS 服务

客户端通过PXE 启动后,需要通过网络加载WDS 服务器的启动镜像文件,DHCP 服务器的作用是为PXE 启动的客户端分配IP 地址。然后添加作用域,本文选择的 DHCP 地址池范围为:192.168.80.50/24——192.168.80.200/24。安装和配置DHCP 服务如图4 所示:

图4 安装和配置DHCP 服务

(2)安装WDS 服务

(3)安装和配置DHCP 服务

(4)配置Windows 部署服务

配置Windows 部署服务时选择响应所有客户端计算机(已知和未知),如果在该服务器上运行动态主机配置协议(DHCP),则需要同时选择“不侦听端口 67”和“将 DHCP 选项标记#60 配置为PXEClient”。如果在该服务器上运行非Microsoft DHCP 服务器,则选择“不侦听端口67”并手动配置DHCP。

配置Windows 部署服务如图5 所示:

图5 配置Windows 部署服务

(5)Windows 部署服务添加映像

首先输入Windows 安装文件所在的路径,创建一个名字为Win7的新映像组,检查高级选项卡中对DHCP 授权的设置,将其设置为“是,我想在DHCP 中授权Windows 部署服务器”。Windows 部署服务添加映像如图6 所示:

图6 配置Windows 部署服务

4 远程安装测试

WDS 服务器安装配置完成后,可在园区网内选择一台客户端计算机进行远程安装操作系统测试,测试步骤如下:

(1)将WDS 服务器IP 设置为192.168.80.1/24。

(2)将测试用客户端计算机在园区网中的交换机端口配置为access 模式,并将其划为与WDS 服务器同一网段,即VLAN 80。

(3)在客户端计算机BIOS 中设置网卡启动,设置成功后,重启并通过PXE 自动连接Wds 服务器(IP:192.168.80.1/24),连接成功后,给客户端计算机随机分配在DHCP 服务端配置好的地址范围内的任一IP 地址:192.168.80.50/24,界面如图7 所示:

(4)客户端从WDS 服务器下载win7 操作系统安装程序并进行程序安装,如图8 所示:

图8 Win7 安装程序启动安装

(5)操作系统安装完成后,将交换机端口和计算机BIOS 启动设置还原。

5 结束语

在园区网内使用基于PXE+Wds 技术的远程安装操作系统方法可以通过网络远程为用户安装操作系统,用户无需拔插主机的各种连接线缆,无需将主机箱搬至维修点,且可同时并行自动安装多台计算机,节约了系统管理员人力和时间,较大提高了工作效率。但是,由于需要使用DHCP 和TFTP 协议,存在一定的网络安全隐患,可以通过关闭交换机闲置端口和端口MAC 地址绑定等访问控制措施将安全隐患控制在最小范围。

猜你喜欢
固件端口客户端
一种端口故障的解决方案
硬件解耦三端口变换器的软开关分析与仿真
多按键情况下,单片机端口不足的解决方法
如何看待传统媒体新闻客户端的“断舍离”?
县级台在突发事件报道中如何应用手机客户端
孵化垂直频道:新闻客户端新策略
大枢纽 云平台 客户端——中央人民广播电台的探索之路
基于SHA1的SCADA系统PLC固件完整性验证方法
基于UEFI固件的攻击验证技术研究*
基于固件的远程身份认证