1
分类: 网络与安全
2009-06-26 11:11:50
转自:http://software.intel.com/zh-cn/blogs/2009/02/23/intel-amt-4/
Intel AMT的配置模式
作者: 李铎锋--Duofeng Li (Intel) (43 篇文章) 日期: 二月 23, 2009 在 4:15 下午
很多人在配置英特尔博锐(vPro)平台上的Intel AMT 时,听到或看到了有很多模式(Mode),也就是Intel AMT可以处于的一些状态:SMB模式、Enterprise模式、工厂模式、Legacy模式等等;模式一多,就有点丈头摸不到二脑了。下面我在这里给大家分享一下我的理解。
Small Business Mode和Enterprise Mode
这是Intel AMT在正常工作下的最主要的两种模式,“SMB Mode”我们称之为“中小企业模式”,而“Enterprise Mode”我们称之为“大企业模式”。在这两种模式下,Intel AMT的主要功能都是一样的,比如资产查询、远程控制、重定向、系统防护等等;区别在于:
1)Intel AMT的默认配置模式是大企业模式,也就是刚购买来的机器就处于这种模式;如果需要将Intel AMT配置成中小企业模式,则需要手动进入Intel AMT BIOS,将Intel AMT从Enterprise模式改成SMB模式(最新的Intel AMT版本已经支持通过USB方式配置成SMB模式)。
2)大企业模式需要通过配置服务器的配置才能将Intel AMT的功能变为可用,无法直接通过手动配置将Intel AMT变为可用;而在SMB模式下,Intel AMT功能就直接可用了,也就是我们只需要将Intel AMT从默认Enterprise模式变成SMB模式,我们就可以本地或远程使用Intel AMT提供的功能了。
3)只有大企业模式支持TLS的加密通讯,并支持基于证书的单向或双向校验;SMB模式只能使用普通的HTTP的传输方式。不过大企业模式也可以配置成使用普通的HTTP传输方式,这个时候和SMB模式基本一样了。
4)只有大企业模式下才有:TLS- PSK(PID/PPS)和TLS-PKI(Remote Configuration 或 Zero Touch Configuration)这两种不同的远程配置方法和工厂模式、设置模式和可操作模式这三种不同的配置状态(不过我们也可以认为配置成SMB模式时,是直接从工厂模式变成可操作模式的)。
Factory Mode, Setup Mode 和 Operational Mode
在大企业模式下配置过Intel AMT的人,或多或少的听到过这三种模式:Factory Mode(工厂模式)、Setup Mode(设置模式)和Operational Mode(可操作模式)。前面我们也提到了,这三种模式(或配置状态)主要是针对大企业配置模式的。下面简单介绍一下这三种配置状态。
工厂模式: Intel AMT 3.0以前的版本的机器,用户买回来以后,接上电源和网线,这个时候Intel AMT没有IP地址,也不开放任何监听端口,管理服务器是无法连接和扫描到此机器的Intel AMT的,这就是我们所说的工厂模式。当用户通过进入MEBX手动或通过USB盘自动设置好机器的PID和PPS后,Intel AMT从工厂模式变成设置模式。3.0及以后的机器由于引入了零接触配置,用户买回的新机器即使不做任何配置也能自动发送“Hello”包到配置服务器,因此此时处于设置模式,而不是工厂模式;但是在接上电源后的一段时间内(一般是24小时),如果没有配置服务器能自动配置好此机器的Intel AMT,则Intel AMT自动关闭自己的网络接口,可以认为这个时候此机器也是进入了工厂模式;只有当位于操作系统之上的软件发送一个激活命令之后,才能重新将Intel AMT从工厂模式变为设置模式。
设置模式:处于设置模式的Intel AMT就可以主动按一定的规律朝配置服务器发送“Hello”消息了;配置服务器接收到此“Hello”消息后,会主动将对应的机器的Intel AMT按配置服务器实现配置的设置配置好;在配置成功以后,Intel AMT就从设置模式进入到可操作模式。
可操作模式:处于此状态下的Intel AMT才算是可以真正开始发挥其强大功能,这时,我们可以通过WebUI、SOAP接口和WS-MAN(3.0及以后版本)接口来远程主动管理。通过远程调用接口提供的Unprovision命令,或者是通过MEBX菜单中的Unprovision选项,Intel AMT又可以从可操作模式变回设置模式或工厂模式;一般来说Partial Unprovision是将Intel AMT从可操作模式变为设置模式,Full Unprovision是将Intel AMT从可操作模式变为工厂模式。
Legacy Mode
在4.0版本之前的机器上,在MEBX中,当我们将Intel AMT从默认大企业模式改为小企业模式时,MEBX会询问是否需要更改为兼容Intel AMT 1.0的Legacy Mode。这里我们很清除的可以看到,Legacy Mode就是只为了兼容Intel AMT 1.0的一种模式,因为有一些远程调用接口在Intel AMT 1.0和Intel AMT 2.0及以后版本中有不同。由于市面上只支持Intel AMT 1.0的软件方案以及Intel AMT 1.0的机器都很难见了,所以一般也无需关注此模式。
总之,Intel AMT在正常工作下,要么是处于小企业(SMB)模式,要么是处于大企业(Enterprise)模式;而在配置过程中,则需要经历从工厂模式到设置模式再到可操作模式,或者直接从工厂模式到可配置模式。