In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Dieses Dokument beschreibt die Schritte zur Einrichtung und Konfiguration von pfSense Community Edition als Load Balancer für Enterprise Chat und Email (ECE).
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
pfSense Community Edition ist ein Multifunktionsprodukt, das eine Firewall, einen Load Balancer, einen Security Scanner und viele andere Dienste auf einem einzigen Server bietet. pfSense basiert auf Free BSD und hat minimale Hardwareanforderungen. Der Load Balancer ist eine Implementierung von HAProxy, und es wird eine einfach zu verwendende grafische Benutzeroberfläche für die Konfiguration des Produkts bereitgestellt.
Sie können diesen Load Balancer sowohl für die ECE als auch für das Contact Center Management Portal (CCMP) verwenden. In diesem Dokument werden die Schritte zum Konfigurieren von pfSense für ECE beschrieben.
Verwenden Sie die pfSense-Website, um das ISO-Installationsprogramm-Image herunterzuladen.
Konfigurieren Sie eine VM mit den Mindestanforderungen:
・ 64-Bit-AMD64-kompatible (x86-64) CPU
・ 1 GB oder mehr RAM
・ 8 GB oder mehr Festplattenlaufwerk (SSD, HDD usw.)
・ Eine oder mehrere kompatible Netzwerkschnittstellenkarten
・ Bootfähiges USB-Laufwerk oder optisches Laufwerk mit hoher Kapazität (DVD oder BD) für die Erstinstallation
Für eine Laborinstallation ist nur eine Netzwerkschnittstelle (NIC) erforderlich. Es gibt mehrere Möglichkeiten, die Appliance auszuführen. Am einfachsten ist es jedoch, eine einzelne NIC zu verwenden, die auch als One-Arm-Modus bezeichnet wird. Im One-Arm-Modus gibt es eine einzelne Schnittstelle, die mit dem Netzwerk kommuniziert. Dies ist zwar eine einfache und für ein Labor geeignete Methode, aber nicht die sicherste.
Eine sicherere Möglichkeit zum Konfigurieren der Appliance besteht darin, mindestens zwei NICs zu haben. Eine Netzwerkkarte ist die WAN-Schnittstelle und kommuniziert direkt mit dem öffentlichen Internet. Die zweite Netzwerkkarte ist die LAN-Schnittstelle und kommuniziert mit dem internen Unternehmensnetzwerk. Sie können auch zusätzliche Schnittstellen hinzufügen, um mit verschiedenen Teilen des Netzwerks zu kommunizieren, die über unterschiedliche Sicherheits- und Firewall-Regeln verfügen. Sie können beispielsweise eine NIC mit dem öffentlichen Internet verbinden, eine NIC mit dem DMZ-Netzwerk, in dem sich alle von außen zugänglichen Webserver befinden, und eine dritte NIC mit dem Unternehmensnetzwerk verbinden. So können interne und externe Benutzer sicher auf die gleichen Webserver zugreifen, die in einer DMZ gespeichert sind. Stellen Sie vor der Implementierung sicher, dass Sie die Sicherheitsauswirkungen jedes Designs verstehen. Wenden Sie sich an einen Sicherheitstechniker, um sicherzustellen, dass für Ihre spezifische Implementierung die Best Practices befolgt werden.
Schrittweise Anleitungen finden Sie in diesem Dokument.
Sie müssen der Appliance IP-Adressen zuweisen, um mit der Konfiguration fortzufahren.
Hinweis: Dieses Dokument zeigt eine Appliance, die im One-Arm-Modus konfiguriert wurde.
Wenn Sie VLAN-Unterstützung benötigen, beantworten Sie mit y die erste Frage. Andernfalls nein.
Die WAN-Schnittstelle ist die ungesicherte Seite der Appliance im Zwei-Arm-Modus und die einzige Schnittstelle im Ein-Arm-Modus. Geben Sie bei Aufforderung den Namen der Schnittstelle ein.
Die LAN-Schnittstelle ist die sichere Seite der Appliance im Zweiarmmodus. Geben Sie bei Bedarf den Namen der Schnittstelle ein.
Konfigurieren Sie alle anderen Schnittstellen, die Sie für Ihre spezifische Installation benötigen. Diese sind optional und nicht üblich.
Wenn Ihr Netzwerk DHCP unterstützt, wird die zugewiesene IP-Adresse im Konsolenbildschirm angezeigt.
Wenn keine Adresse zugewiesen ist oder Sie eine bestimmte Adresse zuweisen möchten, führen Sie diese Schritte aus.
Sie erhalten dann eine Bestätigung, dass die Einstellungen aktualisiert wurden.
Hinweis: Sie müssen zunächst HTTP und nicht HTTPS verwenden.
Klicken Sie auf Next (Weiter) durch die ersten beiden Bildschirme.
Geben Sie den Hostnamen, den Domänennamen und die DNS-Serverinformationen an.
Validieren Sie die IP-Adressinformationen. Wenn Sie zunächst DHCP ausgewählt haben, können Sie dies jetzt ändern.
Geben Sie den Hostnamen des NTP-Zeitservers an, und wählen Sie im Dropdown-Menü die richtige Zeitzone aus.
Fahren Sie mit dem Setup-Assistenten bis zum Ende fort. Die Benutzeroberfläche wird neu gestartet, und Sie werden nach Abschluss des Vorgangs zur neuen URL weitergeleitet.
Hinweis: Wählen Sie vor dem Fortfahren die Schaltfläche Speichern. Sie werden dann zum neuen https-Link weitergeleitet.
Konfigurieren Sie ggf. die Proxyinformationen auf der Registerkarte Verschiedenes. Um Setup und Konfiguration abzuschließen, muss die Appliance über einen Internetzugang verfügen.
Hinweis: Stellen Sie sicher, dass Sie nach dem Ändern die Schaltfläche Speichern auswählen.
Hinweis: Es kann einige Minuten dauern, bis alle verfügbaren Pakete geladen sind. Wenn diese Zeitüberschreitung auftritt, überprüfen Sie, ob die DNS-Server richtig konfiguriert sind. Häufig wird die Internetverbindung durch einen Neustart der Appliance repariert.
Hinweis: Wählen Sie das haproxy-devel-Paket nicht aus.
pfSense kann selbstsigniertes Zertifikat erstellen oder es kann in eine öffentliche Zertifizierungsstelle, eine interne Zertifizierungsstelle integriert werden, oder es kann als Zertifizierungsstelle fungieren und von der Zertifizierungsstelle signierte Zertifikate ausgeben. Dieser Leitfaden zeigt die Schritte zur Integration in eine interne Zertifizierungsstelle.
Bevor Sie mit diesem Abschnitt beginnen, stellen Sie sicher, dass diese Optionen verfügbar sind.
Wählen Sie die Schaltfläche Hinzufügen aus.
Wie in der Abbildung dargestellt:
1. Geben Sie einen eindeutigen beschreibenden Namen ein.
2. Wählen Sie im Dropdown-Menü "Methode" die Option "Vorhandene Zertifizierungsstelle importieren".
3. Stellen Sie sicher, dass die Kontrollkästchen "Seriell übernehmen" und "Seriell zuordnen" aktiviert sind.
4. Fügen Sie das gesamte Zertifikat in das Textfeld Zertifikatdaten ein. Vergewissern Sie sich, dass Sie den Posten -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- hinzufügen.
5. Wählen Sie Speichern.
6. Überprüfen Sie, ob das Zertifikat wie im Bild dargestellt importiert wurde.
Wiederholen Sie die Schritte zum Importieren des Stammzertifikats der Zertifizierungsstelle, um das Zwischenzertifikat der Zertifizierungsstelle zu importieren.
Überprüfen Sie die Zertifizierungsstellen, um sicherzustellen, dass der Intermediate ordnungsgemäß mit dem Stammzertifikat verknüpft ist, wie im Bild gezeigt.
In diesem Abschnitt werden die Schritte zum Erstellen eines CSR, Exportieren des CSR und Importieren des signierten Zertifikats beschrieben. Wenn Sie bereits über ein Zertifikat im PFX-Format verfügen, können Sie dieses Zertifikat importieren. Weitere Informationen zu diesen Schritten finden Sie in der Dokumentation von pfSense.
1. Wählen Sie das Menü Zertifikate und anschließend die Schaltfläche Hinzufügen/Signieren.
2. Füllen Sie das Formular für die Zertifikatsignierungsanforderung aus.
Hinweis: Der allgemeine Name wird dem Feld SAN automatisch hinzugefügt. Sie müssen lediglich weitere Namen hinzufügen.
Wählen Sie Speichern, sobald alle Felder korrekt sind.
3. Exportieren Sie den CSR in eine Datei.
Wählen Sie die Schaltfläche "Exportieren", um den CSR zu speichern, und signieren Sie ihn mit Ihrer Zertifizierungsstelle. Speichern Sie das signierte Zertifikat als PEM- oder Base-64-Datei, um den Vorgang abzuschließen.
4. Importieren Sie das signierte Zertifikat.
Wählen Sie das Bleistiftsymbol aus, um das signierte Zertifikat zu importieren.
5. Fügen Sie die Zertifikatdaten in das Formular ein.
Wählen Sie Aktualisieren, um das Zertifikat zu speichern.
6. Überprüfen Sie die Zertifikatdaten, um sicherzustellen, dass sie richtig sind.
7. Wiederholen Sie diesen Vorgang, wenn Sie mehrere Sites auf dieser pfSense hosten möchten.
Mindestens eine IP ist erforderlich, um Websites auf der pfSense zu hosten. In pfSense geschieht dies mit Virtual IPs (VIPs).
Verwenden Sie die Informationen, um einen VIP hinzuzufügen.
Wählen Sie Speichern, um die Änderung zu übernehmen.
Wiederholen Sie dies für jede IP-Adresse, die für Ihre Konfiguration erforderlich ist.
Klicken Sie auf die Schaltfläche "Änderungen übernehmen", nachdem alle VIPs hinzugefügt wurden.
pfSense hat eine eingebaute Firewall. Der Standardregelsatz ist sehr begrenzt. Bevor die Appliance in Betrieb genommen wird, stellen Sie sicher, dass Sie eine umfassende Firewall-Richtlinie erstellen.
Beachten Sie, dass eine Schaltfläche die neue Regel über der ausgewählten Zeile hinzufügt, während die andere die Regel unter der ausgewählten Regel hinzufügt. Beide Schaltflächen können für die erste Regel verwendet werden.
Verwenden Sie die Informationen, um die Regel zu erstellen.
Wählen Sie Speichern aus.
Klicken Sie auf die Schaltfläche Hinzufügen, um die Regel unter der neu erstellten Regel einzufügen.
Wählen Sie Speichern aus.
Ziehen Sie ggf. die Regeln, um sie zu sortieren.
Wählen Sie Apply Changes (Änderungen anwenden) aus, sobald die Firewall-Regeln in der für Ihre Umgebung erforderlichen Reihenfolge vorliegen.
HAProxy wird mit einem Frontend/Backend-Modell implementiert.
Das Frontend definiert die Seite des Proxys, mit der die Kunden kommunizieren.
Das Frontend besteht aus einer IP- und Port-Kombination, einer Zertifikatsbindung und kann eine gewisse Header-Manipulation implementieren.
Das Backend definiert die Seite des Proxys, die mit den physischen Webservern kommuniziert.
Das Backend definiert die tatsächlichen Server und Ports, die Lastverteilungsmethode für die Erstzuweisung, Integritätsprüfungen und Persistenz.
Ein Frontend weiß, mit welchem Backend es kommunizieren soll, entweder über ein dediziertes Backend oder über ACLs.
ACLs können unterschiedliche Regeln erstellen, sodass ein bestimmtes Frontend mit verschiedenen Backends kommunizieren kann, je nach den verschiedenen Dingen.
Aktivieren Sie das Kontrollkästchen HAProxy aktivieren.
Geben Sie einen Wert für Maximum Connections (Maximale Verbindungen) ein. Weitere Informationen zum erforderlichen Arbeitsspeicher finden Sie in der Tabelle in diesem Abschnitt.
Geben Sie einen Wert für den Port für interne Statistiken ein. Dieser Port wird verwendet, um HAProxy-Statistiken auf der Appliance anzuzeigen, ist jedoch außerhalb der Appliance nicht verfügbar.
Geben Sie einen Wert für die Aktualisierungsrate der internen Statistiken ein.
Überprüfen Sie die verbleibende Konfiguration, und aktualisieren Sie sie bei Bedarf für Ihre Umgebung.
Wählen Sie Speichern.
Hinweis: Konfigurationsänderungen werden erst aktiviert, wenn Sie die Schaltfläche Apply Changes (Änderungen anwenden) auswählen. Sie können mehrere Konfigurationsänderungen vornehmen und sie alle gleichzeitig anwenden. Die Konfiguration muss nicht angewendet werden, um in einem anderen Abschnitt verwendet zu werden.
Beginnen Sie mit dem Backend. Der Grund dafür ist, dass das Frontend auf ein Backend verweisen muss. Stellen Sie sicher, dass Sie das Menü Backend ausgewählt haben.
Wählen Sie die Schaltfläche Hinzufügen aus.
Geben Sie einen Namen für das Backend an.
Wählen Sie den Abwärtspfeil aus, um der Serverliste den ersten Server hinzuzufügen.
Geben Sie einen Namen für den Server an. Dies muss nicht mit dem tatsächlichen Servernamen übereinstimmen. Dies ist der Name, der auf der Statistikseite angezeigt wird.
Geben Sie die Adresse für den Server an. Diese kann entweder als IP-Adresse für FQDN konfiguriert werden.
Geben Sie den Port an, mit dem die Verbindung hergestellt werden soll. Dies muss Port 443 für ECE sein.
Aktivieren Sie das Kontrollkästchen Verschlüsselung (SSL).
Geben Sie im Feld Cookie einen Wert ein. Dies ist der Inhalt des Session Stickiness-Cookies und muss innerhalb des Backends eindeutig sein.
Wenn der erste Server konfiguriert wurde, klicken Sie auf den Pfeil nach unten, um weitere Webserver in der Umgebung zu konfigurieren.
Konfigurieren Sie die Load Balancing-Optionen.
Für ECE-Server muss dies auf "Least Connections" (Geringste Verbindungen) gesetzt werden.
Zugriffskontrolllisten werden in dieser Konfiguration nicht verwendet.
Timeout-/Wiederholungseinstellungen können bei der Standardkonfiguration belassen werden.
Konfigurieren Sie den Abschnitt Health (Diagnose).
Stellen Sie sicher, dass Sie nach dem letzten umgekehrten Schrägstrich, aber vor dem FQDN des Servers ein Leerzeichen einfügen.
Lassen Sie die Agentenüberprüfungen deaktiviert.
Cookie-Persistenz konfigurieren:
Die übrigen Abschnitte des Back-End-Konfigurationsformulars können in den Standardeinstellungen belassen werden.
Wenn Sie HSTS konfigurieren möchten, konfigurieren Sie in diesem Abschnitt einen Timeout-Wert. ECE fügt auch ein HSTS-Cookie ein, sodass diese Konfiguration redundant ist.
Wählen Sie Speichern aus.
Wechseln Sie in das Frontend-Menü.
Wählen Sie die Schaltfläche Hinzufügen
Geben Sie einen Namen für das Front-End an.
Geben Sie eine Beschreibung an, um das Frontend später zu identifizieren.
In der Tabelle Externe Adresse:
Lassen Sie das Feld Max. Verbindungen leer.
Stellen Sie sicher, dass Type (Typ) als http / https(offloading) ausgewählt ist.
Die einfachste Konfiguration besteht darin, ein Standard-Backend aus dem Dropdown-Menü auszuwählen. Dies kann ausgewählt werden, wenn der VIP eine Website hostet.
Wie in der Abbildung dargestellt, können ACLs verwendet werden, um ein einzelnes Frontend auf mehrere Backends umzuleiten, je nach den Bedingungen.
Sie sehen, dass die ACL prüft, ob der Host in der Anfrage mit einem Namen und einer Portnummer beginnt. Oder einfach nur mit dem Namen. Auf dieser Grundlage wird ein spezielles Backend verwendet.
Dies ist bei ECE nicht üblich.
Wählen Sie im Abschnitt "SSL Offloading" (SSL-Auslagerung) das Zertifikat aus, das für die Verwendung mit dieser Site erstellt wurde. Bei diesem Zertifikat muss es sich um ein Serverzertifikat handeln.
Wählen Sie die Option Add ACL (ACL hinzufügen) for certificate Subject Alternative Names aus.
Sie können die übrigen Optionen auf ihren Standardwerten belassen.
Wählen Sie am Ende des Formulars Speichern aus.
Wählen Sie Apply Changes (Änderungen anwenden) aus, um die Frontend- und Backend-Änderungen an der aktuellen Konfiguration zu übernehmen.
Herzlichen Glückwunsch, Sie haben die Einrichtung und Konfiguration von pfSense abgeschlossen.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
26-Feb-2024 |
Erstveröffentlichung |