Tato část popisuje funkci podpory proxy serveru pro zabezpečení hybridních dat. Je určen k doplnění Příručky pro nasazení pro Cisco Webex Hybrid Data Security , která jek dispozici na adrese https://www.cisco.com/go/hybrid-data-security. V novém nasazení nakonfigurujete nastavení proxy serveru na každém uzlu po nahrání a připojení ISO konfigurace HDS na uzel a před registrací uzlu v cloudu Cisco Webex.

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.

Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:

  • Žádný proxy server – výchozí nastavení, pokud k integraci proxy serveru nepoužíváte konfiguraci uzlu HDS Trust Store a proxy. Není nutná žádná aktualizace certifikátu.

  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.

  • Transparentní tunelování nebo kontrola proxy serveru – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).

  • Explicitní proxy– Pomocí explicitního proxy indikujete uzlům HDS, který proxy server a schéma ověřování použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – v závislosti na tom, co proxy server podporuje, vyberte z následujících protokolů:

      • HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.

      • HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.

        Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

Příklad hybridních uzlů zabezpečení dat a proxy serveru

Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.

Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.

Požadavky na proxy server

  • Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.

    • Transparentní proxy server – Cisco Web Security Appliance (WSA).

    • Explicitní proxy – chobotnice.

      Squid proxy servery, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:). Informace o řešení tohoto problému najdete v tématu Konfigurace proxy serverů Squid pro hybridní zabezpečení dat.

  • Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:

    • Žádné ověřování pomocí protokolu HTTP nebo HTTPS

    • Základní ověřování pomocí protokolu HTTP nebo HTTPS

    • Ověřování algoritmem Digest pouze pomocí protokolu HTTPS

  • Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.

  • Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.

  • Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud k tomuto problému dojde, problém vyřeší obejití (nekontrolování) provozu na wbx2.com a ciscospark.com.

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k určení typu proxy serveru, který chcete integrovat s hybridním zabezpečením dat. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Můžete také zkontrolovat připojení proxy serveru z rozhraní a vyřešit případné problémy.

Než začnete

1

Zadejte adresu URL nastavení uzlu HDS https://[IP nebo FQDN]/setup hds ve webovém prohlížeči, zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se .

2

Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:

  • Žádný proxy server – výchozí možnost před integrací proxy serveru. Není nutná žádná aktualizace certifikátu.
  • Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.
  • Transparent Inspection Proxy (Transparentní kontrolní proxy) – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Při nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, ale uzly HDS potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
  • Explicitní proxy– Pomocí explicitního proxy indikujete klientovi (uzly HDS), který proxy server má použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – Zvolte možnost http (zobrazí a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje server kanál a klient obdrží a ověří certifikát serveru). Vyberte možnost na základě toho, co proxy server podporuje.

    4. Typ ověřování – vyberte z následujících typů ověřování:

      • None (Žádné) – není vyžadováno žádné další ověření.

        K dispozici pro proxy servery HTTP nebo HTTPS.

      • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku. Používá kódování Base64.

        K dispozici pro proxy servery HTTP nebo HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

      • Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

        K dispozici pouze pro proxy servery HTTPS.

        Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo.

Postupujte podle následujících kroků pro transparentní kontrolní proxy server, explicitní proxy server HTTP se základním ověřováním nebo explicitní proxy server HTTPS.

3

Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity a přejděte na vyberte kořenový certifikát proxyserveru.

Certifikát je nahrán, ale ještě není nainstalován, protože pro instalaci certifikátu je nutné restartovat uzel. Kliknutím na šipku prýmku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.

4

Kliknutím na Zkontrolovat připojení proxy serveru otestujte síťové připojení mezi uzlem a proxy serverem.

Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. V nastavování můžete pokračovat a uzel bude fungovat v režimu blokovaného externího rozlišení DNS. Pokud se domníváte, že jde o chybu, proveďte tyto kroky a přečtěte si téma Vypnutí blokovaného externího režimu rozlišení DNS.

5

Po uplynutí testu připojení zapněte přepínač pouze pro explicitní proxy server https na Směrovat všechny požadavky https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví.

6

Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se pro explicitní proxy server HTTPS nebo transparentní kontrolní proxy server) nebo Restartovat (zobrazí se pro explicitní proxy server HTTP), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat.

Uzel se restartuje během několika minut.

7

Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu.

Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Vypnout blokovaný režim externího rozlišení DNS

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nedokáže přeložit veřejné názvy DNS, uzel automaticky přejde do režimu blokovaného externího překladu DNS.

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy serveru na každém uzlu.

Než začnete

Ujistěte se, že vaše interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.
1

Ve webovém prohlížeči otevřete rozhraní uzlu Hybridní zabezpečení dat (IP adresa/nastavení například https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se.

2

Přejděte na Přehled (výchozí stránka).

Je-li tato možnost povolena, je blokované externí překlady DNS nastaveny na ano.

3

Přejděte na stránku Obchod důvěryhodnosti a proxy server.

4

Klikněte na Zkontrolovat připojení proxy serveru.

Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS a zůstane v tomto režimu. V opačném případě po restartování uzlu a návratu na stránku Přehled by mělo být blokované externí překlady DNS nastaveny na ne.

Co dělat dál

Opakujte test připojení proxy serveru na každém uzlu v clusteru hybridního zabezpečení dat.

Tato část popisuje funkci podpory proxy serveru webex video mesh. Je určen k doplnění Průvodce nasazením pro Cisco Webex Video Mesh , který jek dispozici na adrese https://www.cisco.com/go/video-mesh. V novém nasazení nakonfigurujete nastavení proxy serveru na každém uzlu po nasazení softwaru Video Mesh v prostředí virtuálního počítače a před registrací uzlu v cloudu Cisco Webex.

Podpora serveru proxy pro službu Video Mesh

Služba Video Mesh podporuje explicitní, transparentní inspekční a neinspekční proxy servery. Tyto proxy servery můžete propojit s nasazením služby Video Mesh, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Tato funkce odesílá signalizaci a správu provozu založeného na https do proxy serveru. U transparentních proxy serverů jsou síťové požadavky z uzlů Video Mesh přeposílány do konkrétního proxy serveru prostřednictvím pravidel směrování podnikových sítí. Po implementaci proxy serveru s uzly můžete použít rozhraní správce videosítě pro správu certifikátů a celkový stav připojení.

Média necestují přes proxy. Pro přímý přístup do cloudu musíte stále otevřít požadované porty pro streamování médií. Přečtěte si článek Porty a protokoly pro správu.

Video Mesh podporuje následující typy proxy:

  • Explicitní proxy server (kontrola nebo nekontrolování)– S explicitním proxy serverem sdělíte klientovi (uzly Video Mesh), který proxy server použít. Tato možnost podporuje jeden z následujících typů ověřování:

    • Žádné – není vyžadováno žádné další ověřování. (Pro explicitní proxy server HTTP nebo HTTPS.)

    • Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření žádosti a používá kódování Base64. (Pro explicitní proxy server HTTP nebo HTTPS.)

    • Digest – Slouží k potvrzení identity účtu před odesláním citlivých informací a před odesláním přes síť použije funkci hash na uživatelské jméno a heslo. (Pro https explicitní proxy.)

    • NTLM – Stejně jako Digest se NTLM používá k potvrzení identity účtu před odesláním citlivých informací. Místo uživatelského jména a hesla používá přihlašovací údaje Systému Windows. Toto schéma ověřování vyžaduje dokončení více výměn. (Pro http explicitní proxy.)

  • Transparentní proxy server (nekontrolování)– Uzly video mesh nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolujícím proxy serverem.

  • Transparentní proxy server (kontrola)– Uzly sítě videa nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. V síti Video Mesh nejsou nutné žádné změny konfigurace http(y), ale uzly video mesh potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů se obvykle používá IT k vynucení zásad týkajících se toho, které weby lze navštívit, a typů obsahu, které nejsou povoleny. Tento typ proxy serveru dešifruje veškerý váš provoz (dokonce i https).

Příklad uzlů Video Mesh a serveru proxy
Požadavky na podporu serveru proxy pro službu Video Mesh

  • Oficiálně podporujeme následující řešení proxy serveru, která mohou být integrována s vašimi uzly služby Video Mesh.

    • Cisco Web Security Appliance (WSA) pro transparentní proxy server

    • Chobotnice pro explicitní proxy

  • Pro explicitní proxy nebo transparentní kontrolní proxy server, který kontroluje (dešifruje provoz), musíte mít kopii kořenového certifikátu proxy, který budete muset nahrát do úložiště důvěryhodných certifikátů uzlu Video Mesh ve webovém rozhraní.

  • Podporujeme následující explicitní kombinace typů proxy a ověřování:

    • Žádné ověřování pomocí http a https

    • Základní ověřování pomocí http a https

    • Ověřování algoritmem Digest pouze pomocí protokolu HTTPS

    • Ověřování NTLM pouze s http

  • U transparentních proxy serverů musíte použít router/přepínač, abyste vynutili, aby provoz HTTPS/443 přešel do proxy serveru. Můžete také vynutit přechod protokolu Web Socket na proxy server. (Web Socket používá https.)

    Video Mesh vyžaduje připojení pomocí websocketu ke cloudovým službám, aby uzly fungovaly správně. V případě explicitní kontroly a průhledné kontroly proxy serverů jsou pro správné připojení websocket vyžadovány hlavičky http. Pokud jsou změněny, připojení WebSocket se nezdaří.

    Když dojde k selhání připojení protokolu WebSocket na portu 443 (s povoleným transparentním kontrolním proxy serverem), zobrazí se v centru Control Hub varování po registraci: „Volání Webex Video Mesh SIP nefunguje správně.“ Stejný alarm může nastat z jiných důvodů, pokud není povolen proxy server. Když jsou hlavičky websocketu blokovány na portu 443, média nepřetéká mezi aplikacemi a klienty SIP.

    Pokud média neproudí, k tomu často dochází, když dochází k selhání provozu protokolu HTTPS z uzlu přes port 443:

    • Provoz portu 443 je proxy povolen, ale jedná se o kontrolní proxy server a porušuje websocket.

    Chcete-li tyto problémy opravit, bude nutné „obejít“ nebo „splice“ (zakázání kontroly) na portu 443 do adres: *.wbx2.com a *.ciscospark.com.

Konfigurace uzlu Video Mesh Node pro integraci serveru proxy

Tento postup použijte k určení typu proxy serveru, který chcete integrovat se službou Video Mesh. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server, můžete pomocí rozhraní uzlu nahrát a nainstalovat kořenový certifikát, zkontrolovat připojení proxy serveru a vyřešit případné problémy.

Než začnete

1

Ve webovém prohlížeči zadejte adresu URL pro nastavení videosítě https://[IP nebo FQDN/setup , zadejte přihlašovací údaje správce, které jste nastavili pro uzel, a klikněte na tlačítko Přihlásit se.

2

Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:

  • Žádný proxy server – výchozí možnost před integrací proxy serveru. Není nutná žádná aktualizace certifikátu.
  • Transparentní nekontrolovaný proxy server – uzly videosítě nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru, a neměly by vyžadovat žádné změny pro práci se serverem proxy, který nekontroluje. Není nutná žádná aktualizace certifikátu.
  • Transparent Inspection Proxy (Transparentní kontrolní proxy) – uzly videosítě nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. V síti Video Mesh nejsou nutné žádné změny konfigurace http(y); Uzly video mesh však potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů se obvykle používá IT k vynucení zásad týkajících se toho, které weby lze navštívit, a typů obsahu, které nejsou povoleny. Tento typ proxy serveru dešifruje veškerý váš provoz (dokonce i https).
  • Explicitní proxy– Pomocí explicitního proxy indikujete klientovi (uzly videosítě), který proxy server má použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace:

    1. IP/FQDN proxy – Adresa, kterou lze použít k dosažení počítače proxy.

    2. Port proxy – číslo portu, které server proxy používá k poslechu proxy serveru proxy.

    3. Protokol proxy – Zvolte http (tunely videosítě svůj provoz https přes proxy http) nebo https (provoz z uzlu videosítě do proxy používá protokol https). Vyberte možnost na základě toho, co proxy server podporuje.

    4. Vyberte si z následujících typů ověřování v závislosti na prostředí proxy serveru:

      Možnost

      Využití

      Žádné

      Vyberte pro explicitní proxy servery HTTP nebo HTTPS, kde neexistuje žádná metoda ověřování.

      Základní

      K dispozici pro explicitní proxy servery HTTP nebo HTTPS.

      Používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku a používá kódování Base64.

      Trávit

      K dispozici pouze pro explicitní proxy servery HTTPS.

      Slouží k potvrzení účtu před odesláním citlivých informací a před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.

      NTLM

      K dispozici pouze pro explicitní proxy servery HTTP.

      Podobně jako Digest, který se používá k potvrzení účtu před odesláním citlivých informací. Místo uživatelského jména a hesla používá přihlašovací údaje Systému Windows.

      Pokud zvolíte tuto možnost, zadejte doménu služby Active Directory, kterou proxy server používá k ověřování, do pole Domény NTLM. Do zadané domény NTLM zadejte název pracovní stanice proxy (označované také jako účet pracovní stanice nebo účet počítače) do zadané domény NTLM do pole Pracovní stanice NTLM.

Postupujte podle následujících kroků pro transparentní kontrolu nebo explicitní proxy server.

3

Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity avyhledejte a vyberte kořenový certifikát pro explicitní nebo transparentní kontrolní proxy server.

Certifikát je nahrán, ale ještě není nainstalován, protože uzel je třeba restartovat, aby bylo nutné certifikát nainstalovat. Kliknutím na šipku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.

4

Chcete-li transparentní kontrolu nebo explicitní proxy servery, klikněte na Zkontrolovat připojení proxy a otestujte síťové připojení mezi uzlem video mesh a proxy serverem.

Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit.

5

Po dokončení testu připojení zapněte u explicitního proxy přepínač Směrovat všechny požadavky na port 443 HTTPS z tohoto uzlu přes explicitní proxy. Toto nastavení vyžaduje 15 sekund, než se projeví.

6

Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se vždy, když byl během instalace proxy serveru přidán kořenový certifikát) nebo Restartovat (zobrazí se, pokud nebyl přidán žádný kořenový certifikát), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat.

Uzel se restartuje během několika minut.

7

Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu.

Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Problémy se proxy serverem

Jaký provoz prochází proxy

U video mesh média neprocházet proxy serverem. Tato funkce odesílá do proxy serveru signalizační a správu provozu založeného na protokolu HTTPS. Abyste se dostali přímo do cloudu, musíte stále otevřít požadované porty, aby se datové proudy médií dostaly přímo do cloudu.

Port TCP 444 není v proxy serveru povolen

Tento port je požadavkem pro síť video, protože síť video mesh používá tento port pro přístup ke cloudovým službám, které musí použít ke správnému fungování. Pro tento port a jakýkoli port musí být provedena výjimka proxy, jak je uvedeno v příručce k nasazení video mesh a v požadavcích sítě pro služby Webex Teams.

Filtrování signalizačního provozu podle IP adresy není podporováno, protože IP adresy používané našimi řešeními jsou dynamické a mohou se kdykoli změnit.

Není nainstalován žádný kořenový certifikát

Když vaše uzly mluví s explicitním proxy serverem, musíte nainstalovat kořenový certifikát a zadat výjimku pro tuto adresu URL do brány firewall.

Kontrola připojení se nezdaří

Pokud kontrola připojení proxy serveru prošla a instalace proxy serveru byla dokončena, kontroly připojení na stránce přehledu mohou z těchto důvodů stále selhat:

  • Proxy server kontroluje provoz, který nejde do webex.com.

  • Proxy server blokuje jiné domény než webex.com.

Podrobnosti o ověření jsou nesprávné

U proxy serverů, které používají mechanismus ověřování, se ujistěte, že do uzlu přidáte správné podrobnosti ověřování.

Přetížení na proxy serveru

Přetížení proxy serveru může způsobit zpoždění a pokles provozu do cloudu. Zkontrolujte prostředí proxy serveru a zjistěte, zda je nutné omezení provozu.

Websocket se nemůže připojit přes Squid Proxy

Proxy servery squid, které kontrolují provoz HTTPS, mohou narušit navázání připojení websocket (wss:), která hybridní zabezpečení dat vyžaduje. Tyto části poskytují pokyny, jak nakonfigurovat různé verze Squid tak, aby ignorovaly wss: doprava pro řádné fungování služeb.

Chobotnice 4 a 5

Přidejte on_unsupported_protocol direktivu do squid.conf:

on_unsupported_protocol tunel vše

Chobotnice 3.5.27

Úspěšně jsme testovali hybridní zabezpečení dat s následujícími pravidly přidanými do squid.conf. Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.

acl wssMercuryConnection ssl::server_name_regex rtuť-připojení ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump nahlédnout step1 all ssl_bump stare step2 all ssl_bump bump step3 all