تكوين موازن حمل مجتمع PfSense ل ECE

خيارات التنزيل

  • PDF     (7.4 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (8.0 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (5.6 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٤ فبراير ٢٠٢٤
معرّف المستند:221726

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند خطوات إعداد إصدار مجتمع PFsense وتكوينه كموازن حمل للدردشة والبريد الإلكتروني للمؤسسات (ECE).

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • ECE 12.x
    • إصدار مجتمع pfSense

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:

    • اللجنة الاقتصادية لأوروبا، الإصدار 12-6(1)
    • PfSense Community، الإصدار 2.7.2

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    تثبيت PfSense

    نظرة عامة على الحل

    يعد إصدار مجتمع PFsense منتجا متعدد الوظائف يوفر جدار حماية وموازن تحميل وماسحة ضوئية أمان والعديد من الخدمات الأخرى في خادم واحد. تم بناء برنامج PfSense على معرف فئة المورد (BSD) المجاني، كما يحتوي على الحد الأدنى من متطلبات الأجهزة. موازن التحميل هو تنفيذ ل SHAroxy ويتم توفير واجهة مستخدم رسومية (GUI) سهلة الاستخدام لتكوين المنتج. 

    يمكنك إستخدام موازن التحميل هذا مع كل من مدخل إدارة ECE ومركز الاتصال (CCMP). يعطي هذا وثيقة الخطوات أن يشكل pfSense ل ECE. 

    تحضير

    الخطوة 1. تنزيل برنامج pfSense

    أستخدم موقع PfSense على الويب لتنزيل صورة مثبت ISO.

    الخطوة 2. تكوين VM

    تكوين جهاز افتراضي (VM) بأقل المتطلبات:

    · وحدة معالجة مركزية (CPU) متوافقة مع طراز AMD64 فئة 64 بت (بسرعة x86-64 بكسل)

    · ذاكرة وصول عشوائي (RAM) سعة 1 جيجابايت أو أكثر

    · محرك أقراص سعة 8 جيجابايت أو أكبر (محرك أقراص مزود بذاكرة مصنوعة من مكونات صلبة (SSD) ومحرك أقراص ثابتة (HDD)، وما إلى ذلك)

    · بطاقة واجهة شبكة واحدة أو أكثر متوافقة

    · محرك أقراص USB قابل للتحميل أو محرك أقراص ضوئية عالي السعة (DVD أو BD) للتثبيت الأولي

    لتثبيت مختبر، يلزم واجهة شبكة واحدة (NIC) فقط. هناك عدة طرق لتشغيل الجهاز، لكن أسهل طريقة هي إستخدام بطاقة واجهة شبكة (NIC) واحدة، والتي يطلق عليها أيضا وضع الذراع الواحد. في وضع الذراع الواحد، هناك واجهة واحدة تتصل بالشبكة. وعلى الرغم من أن هذه طريقة سهلة ومناسبة للمختبر، إلا أنها ليست الطريقة الأكثر أمانا.

    طريقة أكثر أمانا لتكوين الجهاز هي أن يكون لديك بطاقتا واجهة شبكة (NICs) على الأقل. ومن بين بطاقات واجهة الشبكة (NIC) واجهة شبكة الاتصال واسعة النطاق (WAN)، كما أنها تتصل مباشرة بشبكة الإنترنت العامة. بطاقة واجهة الشبكة (NIC) الثانية هي واجهة شبكة LAN، وتتصل بشبكة الشركة الداخلية. يمكنك أيضا إضافة واجهات إضافية للاتصال بأجزاء مختلفة من الشبكة تحتوي على قواعد مختلفة للأمان وجدار الحماية. على سبيل المثال، يمكن أن يكون لديك اتصال بطاقة واجهة شبكة (NIC) واحد بالإنترنت العام، واتصال واحد بشبكة DMZ حيث تكون جميع خوادم الويب التي يمكن الوصول إليها خارجيا، واتصال ثالث بطاقة واجهة شبكة (NIC) بشبكة الشركة. وهذا يتيح لك أن يكون لدى المستخدمين الداخليين والخارجيين وصول آمن إلى نفس مجموعة خوادم الويب التي يتم الاحتفاظ بها في DMZ. تأكد من فهم التأثيرات الأمنية لأي تصميم قبل التطبيق. إستشر مهندس أمني للتأكد من اتباع أفضل الممارسات لتنفيذك بشكل خاص.

    التركيب

    الخطوة 1. تركيب ISO على الجهاز الظاهري

    الخطوة 2. قم بتشغيل الجهاز الظاهري (VM) واتبع مطالبات التثبيت.

    ارجع إلى هذا المستند للحصول على إرشادات خطوة بخطوة.

    Network Setup (إعداد الشبكة)

    يجب تعيين عناوين IP للجهاز لمتابعة التكوين. 

    ملاحظة: يظهر هذا المستند جهازا تم تكوينه في وضع الذراع الواحدة.

    الخطوة 1. تكوين شبكات VLAN

    إذا كنت بحاجة إلى دعم شبكة VLAN، أجب ب y على السؤال الأول. خلاف ذلك، أجب n.

    الخطوة 2. تعيين واجهة WAN

    واجهة شبكة WAN هي الجانب غير الآمن من الجهاز في وضع الذراعين والواجهة الوحيدة في وضع الذراع الواحد. أدخل اسم الواجهة عند طلبها.

    الخطوة 3. تعيين واجهة شبكة LAN

    واجهة الشبكة المحلية (LAN) هي الجانب الآمن من الجهاز في وضع الذراعين. إذا كان مطلوبا، فأدخل اسم الواجهة عند طلبها.

    الخطوة 4. قم بتخصيص أي واجهات أخرى

    قم بتكوين أي واجهات أخرى تحتاجها للتثبيت المحدد الخاص بك. وهذه الوسائل إختيارية وليست شائعة.

    الخطوة 5. تعيين عنوان IP لواجهة الإدارة

    إذا كانت شبكتك تدعم بروتوكول DHCP، فسيتم عرض عنوان IP المعين في شاشة وحدة التحكم.

    pfSense Consoleوحدة تحكم pfSense

    إذا لم يتم تعيين عنوان، أو إذا كنت ترغب في تعيين عنوان محدد، فقم بتنفيذ هذه الخطوات.

    1. أختر الخيار 2 من قائمة وحدة التحكم.
    2. إجابة n لتعطيل DHCP.
    3. أدخل عنوان IPv4 لواجهة WAN.
    4. أدخل قناع الشبكة بعدد البت. (24 = 255.255.255.0، 16 = 255.255.0.0، 8 = 255.0.0)
    5. أدخل عنوان البوابة لواجهة WAN.
    6. إذا كنت ترغب في أن تكون هذه البوابة هي البوابة الافتراضية للجهاز، فقم بالإجابة على Y لمطالبة البوابة، وإلا فأجب على N.
    7. قم بتكوين بطاقة واجهة الشبكة (NIC) ل IPv6 إذا كان ذلك مطلوبا. 
    8. قم بتعطيل خادم DHCP على الواجهة.
    9. الرد على y لتمكين HTTP على بروتوكول WebConfigurator. يتم إستخدام هذا الإجراء في الخطوات التالية.

    ثم تتلقى تأكيدا بأن الإعدادات قد تم تحديثها.

    pfSense Confirmationتأكيد pfSense

    إكمال الإعداد الأولي

    الخطوة 1. افتح مستعرض ويب وانتقل إلى: http://<ip_address_of_appliance>

    ملاحظة: يجب إستخدام بروتوكول HTTP وليس HTTPS في البداية.

    pfSense Admin Loginتسجيل دخول مسؤول pfSense

    الخطوة 2. تسجيل الدخول باستخدام عملية تسجيل الدخول الافتراضية للمسؤول / pfSense

    الخطوة 3. إكمال الإعداد الأولي

    انقر فوق التالي من خلال الشاشتين الأوليين.

    pfSense Setup Wizard - 1معالج إعداد pfSense - 1

    قم بتوفير معلومات اسم المضيف واسم المجال وخادم DNS.

    pfSense Setup Wizard - 2معالج إعداد pfSense - 2

    تحقق من صحة معلومات عنوان IP. إذا أخترت DHCP في البداية، يمكنك تغيير هذا الآن. 

    قم بتوفير اسم مضيف خادم وقت NTP وحدد المنطقة الزمنية الصحيحة في القائمة المنسدلة.

    pfSense Setup Wizard - 3معالج إعداد pfSense - 3

    استمر خلال معالج الإعداد حتى النهاية. تتم إعادة تشغيل واجهة المستخدم الرسومية (GUI) للواجهة ويتم إعادة توجيهك إلى عنوان URL الجديد بمجرد اكتماله.

    تكوين إعدادات الإدارة الأساسية

    الخطوة 1. تسجيل الدخول إلى واجهة المسؤول

    الخطوة 2. حدد متقدم من القائمة المنسدلة النظام

    pfSense GUI - Admin Dropdownواجهة المستخدم الرسومية (GUI) ل PfSense - تنزيل Admin

    الخطوة 3. تحديث إعدادات مكون الويب

    pfSense GUI - Admin ConfigurationPfSense GUI - تكوين المسؤول

    1. حدد بروتوكول HTTPS (SSL/TLS).
    2. أترك شهادة SSL/TLS إلى الشهادة الموقعة ذاتيا في هذا الوقت.
    3. غيرت ال TCP ميناء إلى ميناء آخر من 443 أن أفضل يؤمن القارن ويمنع إصدار مع أيسر تداخل.
    4. حدد خيار إعادة توجيه WebGUI لتعطيل واجهة المسؤول على المنفذ 80.
    5. حدد خيار فرض HTTP_REFERER بالمستعرض.
    6. قم بتمكين Secure Shell من خلال تحديد الخيار تمكين Secure Shell.

    ملاحظة: تأكد من تحديد الزر حفظ قبل المتابعة. تتم بعد ذلك إعادة توجيهك إلى إرتباط https الجديد.

    الخطوة 4. تكوين الخادم الوكيل إذا لزم الأمر

    إذا كان مطلوبا، قم بتكوين معلومات الوكيل في علامة التبويب "متنوعات". لإكمال الإعداد والتكوين، يجب أن يكون لدى الجهاز حق الوصول إلى الإنترنت.

    pfSense GUI - Proxy ConfigurationPFsense GUI - تكوين الوكيل

    ملاحظة: تأكد من تحديد الزر حفظ بعد إجراء التغييرات.

    إضافة الحزم المطلوبة

    الخطوة 1. حدد نظام > مدير الحزم

    الخطوة 2. تحديد الحزم المتوفرة

    ملاحظة: قد يستغرق تحميل جميع الحزم المتوفرة بضع دقائق. إذا انتهت المهلة، فتحقق من تكوين خوادم DNS بشكل صحيح. عادة، تقوم عملية إعادة تمهيد الجهاز بإصلاح اتصال الإنترنت.

    pfSense GUI - Package Listواجهة المستخدم الرسومية (GUI) من PfSense - قائمة الحزم

    الخطوة 3. البحث عن الحزم المطلوبة وتثبيتها

    1. هابروكسي 
    2. أدوات مفتوحة للأجهزة الافتراضية

    ملاحظة: لا تحدد حزمة الهابلور-ديفل.

    تكوين الشهادات

    يمكن أن تقوم pfSense بإنشاء شهادة موقعة ذاتيا أو يمكن أن تتكامل مع مرجع مصدق عام، مرجع مصدق داخلي، أو يمكن أن تعمل ك CA وتصدر شهادات موقعة من CA. يوضح هذا الدليل خطوات التكامل مع مرجع مصدق داخلي.

    قبل بدء هذا القسم، تأكد من توفر هذه العناصر لديك.

    1. تم حفظ الشهادة الجذر للمرجع المصدق بتنسيق PEM أو تنسيق Base-64 المرمز.
    2. كل الشهادات الوسيطة (تسمى أحيانا بإصدار) ل CA محفوظة بتنسيق مشفر PEM أو Base-64.

    الخطوة 1. حدد تراخيص من القائمة المنسدلة النظام

    pfSense GUI - Certificates Dropdownواجهة المستخدم الرسومية (GUI) باستخدام برنامج PfSense - قائمة منسدلة للشهادات

    الخطوة 2. إستيراد شهادة جذر المرجع المصدق

    pfSense GUI - CA Certificates ListPFsense GUI - قائمة شهادات CA

    حدد الزر إضافة.

    pfSense GUI - CA Importواجهة المستخدم الرسومية (GUI) باستخدام برنامج PfSense - إستيراد CA

    كما هو موضح في الصورة:

    1. توفير اسم وصفي فريد

    2. حدد إستيراد مرجع شهادات موجود من الأسلوب المنسدل.

    3. تأكد من تحديد خانة الاختيار Trust Store و Randomize Serial.

    4. لصق الشهادة بأكملها في مربع نص بيانات الشهادة. تأكد من تضمين من خطوط —بدء الشهادة— و— نهاية الشهادة.

    5. حدد حفظ

    6. تأكد من إستيراد الشهادة كما هو موضح في الصورة.

    pfSense GUI - CA ListPfSense GUI - قائمة CA

    الخطوة 3. إستيراد الشهادة الوسيطة ل CA

    pfSense GUI - CA Intermediate Importواجهة المستخدم الرسومية (GUI) باستخدام برنامج PfSense - إستيراد CA الوسيط

    كرر الخطوات لاستيراد شهادة المرجع المصدق الجذر لاستيراد شهادة المرجع المصدق الوسيط.

    pfSense GUI - CA LinksPFsense GUI - إرتباطات CA

    راجع المراجع المصدقة للتأكد من أن الوسيط متصل بشكل صحيح بالشهادة الجذر كما هو موضح في الصورة.

    الخطوة 4. إنشاء CSR وتصديره لموقع ويب متوازن الحمل

    يصف هذا الخطوات لإنشاء CSR، وتصدير CSR، ثم إستيراد الشهادة الموقعة. إذا كان لديك بالفعل شهادة موجودة بتنسيق PFX، يمكنك إستيراد هذه الشهادة. راجع وثائق PfSense الخاصة بهذه الخطوات.

    1. حدد قائمة الشهادات، ثم حدد زر إضافة/توقيع.

    pfSense GUI - Certificates Listواجهة المستخدم الرسومية (GUI) ل PfSense - قائمة الشهادات

    2. إكمال نموذج طلب توقيع الشهادة.

    pfSense GUI - CSR CreationGUI ل PfSense - إنشاء CSR

    • الأسلوب: حدد إنشاء طلب توقيع شهادة من القائمة المنسدلة
    • الاسم الوصفي: توفير اسم للشهادة
    • نوع المفتاح وخوارزمية الملخص: مراجعة للتأكد من أنها تطابق متطلباتك
    • الاسم الشائع: توفير موقع ويب اسم المجال المؤهل بالكامل
    • توفير معلومات الشهادة المتبقية كما هو مطلوب لبيئتك

    pfSense GUI - CSR AdvancedPfSense GUI - CSR متقدم

    • نوع الشهادة: حدد شهادة الخادم في القائمة المنسدلة.
    • الأسماء البديلة: قم بتوفير أية أسماء بديلة للموضوع (SAN) مطلوبة لتنفيذك. 

    ملاحظة: تتم إضافة الاسم الشائع تلقائيا إلى حقل شبكة منطقة التخزين (SAN). تحتاج فقط إلى إضافة أسماء إضافية مطلوبة.

    حدد حفظ بمجرد أن تكون كل الحقول صحيحة.

    3. تصدير CSR إلى ملف.

    pfSense GUI - CSR ExportPFsense GUI - تصدير CSR

    حدد الزر "تصدير" لحفظ CSR، ثم قم بتوقيع هذا مع المرجع المصدق. بمجرد أن تحصل على الشهادة الموقعة، احفظ هذا كملف PEM أو Base-64 لإكمال العملية.

    4. إستيراد الشهادة الموقعة.

    pfSense GUI - Certificate Importواجهة المستخدم الرسومية (GUI) ل PfSense - إستيراد الشهادة

    حدد أيقونة القلم الرصاص لاستيراد الترخيص الموقع.

    5. الصق بيانات الشهادة في النموذج.

    pfSense GUI - Certificate Importواجهة المستخدم الرسومية (GUI) ل PfSense - إستيراد الشهادة

    حدد تحديث لحفظ الشهادة.

    6. مراجعة بيانات الشهادة للتأكد من صحتها.

    pfSense GUI - Certificate Listواجهة المستخدم الرسومية (GUI) ل PfSense - قائمة الشهادات

    7. كرر هذه العملية إذا كنت ترغب في إستضافة مواقع متعددة على PfSense هذا.

    إضافة عناوين IP الظاهرية

    يلزم وجود عنوان IP واحد على الأقل لاستضافة مواقع الويب على PfSense. وفي إستخدام PfSense، يتم القيام بذلك باستخدام عناوين IP الظاهرية (VIPs).

    الخطوة 1. تحديد عناوين IP الظاهرية من القائمة المنسدلة لجدار الحماية

    pfSense GUI - VIP Dropdownواجهة المستخدم الرسومية (GUI) باستخدام برنامج PfSense - القائمة المنسدلة للشخصيات المهمة

    الخطوة 2. حدد الزر إضافة

    pfSense GUI - VIP Landing Pageواجهة المستخدم الرسومية (GUI) باستخدام برنامج PfSense - صفحة الوصول إلى الشخصيات المهمة

    الخطوة 3. توفير معلومات العنوان

    pfSense GUI - VIP Configurationواجهة المستخدم الرسومية (GUI) باستخدام برنامج PfSense - تهيئة VIP

    أستخدم المعلومات لإضافة شخصية مهمة.

    • النوع: تحديد الاسم المستعار ل IP
    • الواجهة: حدد الواجهة الخاصة بعنوان IP هذا للبث
    • العنوان (العناوين): أدخل عنوان IP
    • قناع العنوان: لعناوين IP المستخدمة لموازنة الحمل، يجب أن يكون القناع /32
    • الوصف: أدخل نصا موجزا لتسهيل فهم التكوين لاحقا

    حدد حفظ لتنفيذ التغيير.

    كرر هذا لكل عنوان IP مطلوب للتكوين الخاص بك.

    الخطوة 4. تطبيق التكوين

    pfSense GUI - VIP Listواجهة المستخدم الرسومية (GUI) باستخدام برنامج PfSense - قائمة الشخصيات المهمة

    حدد الزر تطبيق التغييرات بعد إضافة جميع الشخصيات المهمة.

    تكوين جدار الحماية

    يحتوي PFsense على جدار حماية مدمج. مجموعة القواعد الافتراضية محدودة جدا. قبل وضع الجهاز في عملية الإنتاج، تأكد من أنك تقوم بإنشاء سياسة جدار حماية شاملة. 

    الخطوة 1. تحديد قواعد من القائمة المنسدلة لجدار الحماية

    pfSense GUI - Firewall Rules Dropdownواجهة المستخدم الرسومية (GUI) باستخدام برنامج PfSense - القائمة المنسدلة لقواعد جدار الحماية

    الخطوة 2. حدد أحد أزرار الإضافة

    pfSense GUI - Firewall Rules Listواجهة المستخدم الرسومية (GUI) ل PfSense - قائمة قواعد جدار الحماية

    لاحظ أن أحد الأزرار يضيف القاعدة الجديدة فوق السطر المحدد بينما يقوم الآخر بإضافة القاعدة أسفل القاعدة المحددة. يمكن إستخدام أي زر للقاعدة الأولى.

    الخطوة 3. خلقت جدار حماية قاعدة أن يسمح حركة مرور أن يدير 443 لعنوان

    pfSense GUI - Firewall Pass Rule Configurationواجهة المستخدم الرسومية (GUI) من PfSense - تكوين قاعدة مرور جدار الحماية

    أستخدم المعلومات لإنشاء القاعدة.

    • الإجراء: تحديد تمرير
    • الواجهة: أختر الواجهة التي تنطبق عليها القاعدة
    • مجموعة العناوين والبروتوكول: حدد كما هو مناسب
    • المصدر: ترك المحدد كأي
    • الوجهة: حدد العنوان أو الاسم المستعار من القائمة المنسدلة للوجهة، ثم أدخل عنوان IP الذي تنطبق عليه القاعدة
    • نطاق منفذ الوجهة: تحديد، HTTPS (443) في كل من "من" و"إلى" المنسدل
    • السجل: حدد خانة الاختيار لتسجيل أي حزم تطابق هذه القاعدة للمحاسبة
    • الوصف: توفير نص للإشارة إلى القاعدة لاحقا

    حدد حفظ.

    الخطوة 4. إنشاء قاعدة جدار حماية لإسقاط جميع حركات المرور الأخرى إلى PfSense

    حدد الزر "إضافة" لإدراج القاعدة أسفل القاعدة التي تم إنشاؤها حديثا.

    pfSense GUI - Firewall Drop Rule Configurationواجهة المستخدم الرسومية (GUI) ل PFsense - تكوين قاعدة إسقاط جدار الحماية

    • الإجراء: تحديد كتلة
    • الواجهة: أختر الواجهة التي تنطبق عليها القاعدة
    • مجموعة العناوين والبروتوكول: حدد كما هو مناسب
    • المصدر: ترك المحدد كأي
    • الوجهة: ترك المحدد على أنه أي
    • السجل: حدد خانة الاختيار لتسجيل أي حزم تطابق هذه القاعدة للمحاسبة
    • الوصف: توفير نص للإشارة إلى القاعدة لاحقا

    حدد حفظ.

    الخطوة 5. مراجعة القواعد والتأكد من أن قاعدة الحظر في الأسفل

    pfSense GUI - Firewall Rules Listواجهة المستخدم الرسومية (GUI) ل PfSense - قائمة قواعد جدار الحماية

    إذا كان مطلوبا، اسحب القواعد لفرزهم.

    حدد تطبيق التغييرات بمجرد أن تكون قواعد جدار الحماية بالترتيب المطلوب لبيئتك.

    تكوين SHAroxy

    مفاهيم الهابروكسي

    HAProxy Conceptsمفاهيم الهابروكسي

    يتم تنفيذ HubRoxy باستخدام نموذج الواجهة الأمامية/الخلفية. 

    تعرف الواجهة جانب الوكيل الذي يتصل به العملاء. 

    تتكون الواجهة من مجموعة IP و المنفذ، وربط الشهادة، ويمكن تنفيذ بعض التلاعب في الرأس.

    يعرف الطرف الخلفي جانب الوكيل الذي يتصل بخوادم الويب المادية.

    تعرف الواجهة الخلفية الخوادم والمنافذ الفعلية وطريقة موازنة الأحمال للمهام الأولية وفحوصات الحماية والمثابرة.

    تعرف الواجهة الواجهة الواجهة الواجهة التي ستتواصل معها إما من خلال خلفية مخصصة أو باستخدام قوائم التحكم في الوصول (ACL).

    يمكن لقوائم التحكم في الوصول (ACL) إنشاء قواعد مختلفة حتى يمكن للواجهة المحددة الاتصال بالنهايات الخلفية المختلفة وفقا لأشياء مختلفة.

    الإعدادات الأولية لذاكرة التخزين المؤقت

    الخطوة 1. حدد HRroxy من القائمة المنسدلة "خدمات"

    pfSense GUI - HAProxy DropdownPFsense GUI - القائمة المنسدلة ShaRoxy

    الخطوة 2. تكوين الإعدادات الأساسية

    pfSense GUI - HAProxy Main SettingsPFsense GUI - الإعدادات الرئيسية ل ShaRoxy

    حدد خانة الاختيار تمكين SHAroxy.

    أدخل قيمة للحد الأقصى للاتصالات. راجع المخطط الموجود في هذا القسم للحصول على تفاصيل حول الذاكرة المطلوبة. 

    دخلت قيمة للداخلي دولة ميناء. يتم إستخدام هذا المنفذ لعرض إحصائيات SHAroxy على الجهاز ولكنه لا يتم كشفه خارج الجهاز.

    أدخل قيمة لمعدل تحديث الحالات الداخلية.

    راجع التكوين المتبقي والتحديث حسب ما هو مطلوب لبيئتك.

    حدد حفظ.

    pfSense GUI - HAProxy Apply ChangespfSense GUI - تطبيق التغييرات

    ملاحظة: لا يتم تنشيط تغييرات التكوين حتى تقوم بتحديد الزر تطبيق التغييرات. يمكنك إجراء تغييرات متعددة في التكوين وتطبيقها جميعا في وقت واحد. لا يلزم تطبيق التكوين ليتم إستخدامه في قسم آخر. 

    تكوين الخلفية SHAroxy

    ابدأ بالجزء الخلفي. السبب في ذلك هو أن الخط الأمامي يجب أن يشير إلى الطرف الخلفي. تأكد من أنك قمت بتحديد قائمة الخلفية.

    pfSense GUI - HAProxy Add Backendواجهة المستخدم الرسومية (GUI) من PfSense - إضافة خلفية

    حدد الزر إضافة.

    pfSense GUI - HAProxy Backend StartPFsense GUI - بدء تشغيل الخلفية ShaRoxy

    قم بتوفير اسم للطرف الخلفي.

    حدد السهم لأسفل لإضافة الخادم الأول إلى قائمة الخوادم

    Backend - Server listالنهاية الخلفية - قائمة الخوادم

    قم بتوفير اسم للإشارة إلى الخادم. لا يلزم أن يتطابق هذا مع اسم الخادم الفعلي. هذا هو الاسم الظاهر في صفحة الحالات.

    قم بتوفير العنوان للخادم. يمكن تكوين هذا كعنوان IP ل FQDN.

    قم بتوفير المنفذ الذي تريد الاتصال به. هذا ينبغي كنت ميناء 443 ل ECE.

    حدد خانة الاختيار تشفير(SSL).

    قم بتوفير قيمة في حقل ملف تعريف الارتباط. هذا هو محتوى ملف تعريف الارتباط الخاص بملصق جلسة العمل ويجب أن يكون فريدا داخل الخلفية.

    بعد تكوين الخادم الأول، حدد السهم لأسفل لتكوين أي خوادم ويب أخرى في البيئة.

    HAProxy Backend - LoadbalancingHubRoxy Backend - موازنة حمل

    قم بتكوين خيارات موازنة التحميل. 

    بالنسبة لخوادم ECE، يجب تعيين ذلك على إتصالات أقل.

    HAProxy Backend - Health checkingHapRoxy Backend - فحص الصحة

    لا يتم إستخدام قوائم التحكم في الوصول في هذا التكوين.

    يمكن ترك إعدادات المهلة / إعادة المحاولة عند التكوين الافتراضي لها.

    قم بتكوين قسم التحقق من الصحة.

    1. أسلوب التحقق من الصحة: HTTP
    2. تكرار الشيك: أترك المساحة فارغة لاستخدام القيمة الافتراضية لكل ثانية.
    3. عمليات التحقق من السجل: حدد هذا الخيار لكتابة أي تغييرات تتعلق بالصحة على السجلات.
    4. أسلوب التحقق من HTTP: حدد GET من القائمة.
    5. عنوان URL المستخدم بواسطة طلبات التحقق من HTTP.: لإدخال خادم ECE، /system/web/view/platform/common/login/root.jsp؟partitionId=1
    6. إصدار فحص HTTP: Enter، HTTP/1.1\r\n\Host:\ {fqdn_of_server}

    تأكد من تضمين مساحة بعد شرطة الخلفية النهائية ولكن قبل FQDN الخاصة بالخادم. 

    HAProxy Backend - Cookie PersistenceHubRoxy الخلفية - ثبات ملف تعريف الارتباط

    ترك عمليات التحقق من العميل غير محددة.

    تكوين إستمرارية ملف تعريف الارتباط:

    1. ملفات تعريف الارتباط الممكنة: حدد لتمكين الاستمرارية المستندة إلى ملفات تعريف الارتباط.
    2. اسم ملف تعريف الارتباط: قم بتوفير اسم لملف تعريف الارتباط.
    3. وضع ملف تعريف الارتباط: حدد إدراج من المربع المنسدل.
    4. أترك الخيارات المتبقية غير مضبوطة.

    HAProxy Backend - HSTSHubRoxy Backend - HSTS

    يمكن ترك الأقسام المتبقية من نموذج تكوين الطرف الخلفي في إعداداتها الافتراضية.

    إن يريد أنت أن يشكل HSTS، شكلت تعطيل قيمة في هذا قسم. تقوم ECE بإدراج ملف تعريف إرتباط HSTS أيضا بحيث يكون هذا التكوين متكرر.

    حدد، احفظ.

    تكوين واجهة SHAroxy

    تغيير إلى قائمة الواجهة الأمامية.

    pfSense GUI - HAProxy Add FrontendpfSense GUI - HapRoxy إضافة الواجهة الأمامية

    حدد الزر إضافة

    HAProxy - Frontend HeaderHapRoxy - الرأس الأمامي

    قم بتوفير اسم للطرف الأمامي.

    قم بتوفير وصف للمساعدة في تحديد الواجهة الأمامية لاحقا.

    في جدول العناوين الخارجية:

    1. عنوان الإصغاء: حدد الشخصية المهمة التي أنشأتها لموقع الويب هذا.
    2. المنفذ: أدخل 443.
    3. إلغاء تحميل SSL: حدد هذا الخيار بحيث يمكن إدراج ملف تعريف إرتباط جلسة العمل.

    أترك الحد الأقصى للاتصالات فارغة.

    تأكد من تحديد النوع ك http / https(إلغاء التحميل).

    HAProxy Backend - Default backend selectionIncidentRoxy Backend - تحديد الخلفية الافتراضي

    تعتبر أسهل عملية تهيئة هي إختيار نقطة خلفية افتراضية من القائمة المنسدلة. يمكن تحديد ذلك عندما تقوم الشخصية المهمة باستضافة موقع ويب واحد. 

    HAProxy Backend - ACL AdvancedHubRoxy Backend - قائمة التحكم في الوصول (ACL) متقدمة

    كما هو موضح في الصورة، يمكن إستخدام قوائم التحكم في الوصول (ACL) لإعادة توجيه واجهة واحدة إلى خلفيات متعددة استنادا إلى الظروف. 

    يمكنك أن ترى أن قائمة التحكم في الوصول (ACL) تتحقق لمعرفة ما إذا كان المضيف في الطلب يبدأ بالاسم ورقم المنفذ. أو ببساطة الاسم. استنادا إلى هذا، يتم إستخدام خلفية محددة. 

    وهذا ليس شائعا مع اللجنة الاقتصادية لأوروبا.

    HAProxy Frontend - Certificate bindingواجهة IncidentRoxy الأمامية - ربط الشهادة

    في قسم إلغاء تحميل SSL، حدد الشهادة التي تم إنشاؤها للاستخدام مع هذا الموقع. يجب أن تكون هذه الشهادة شهادة خادم.

    حدد الخيار، أضف قائمة التحكم بالوصول (ACL) لأسماء بديلة لموضوع الشهادة.

    يمكنك ترك الخيارات المتبقية عند قيمها الافتراضية.

    حدد، احفظ في نهاية هذا النموذج.

    HAProxy - Apply ConfigurationSHAroxy - تطبيق التكوين

    حدد التغييرات التي تم تطبيقها لتنفيذ تغييرات الواجهة والخلف على التكوين الجاري تشغيله.

    تهانينا، لقد انتهيت من إعداد وتكوين برنامج PfSense.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    26-Feb-2024
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • روبرت دبليو روجير
      TAC من Cisco

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات