Podpora proxy serveru pro hybridní zabezpečení dat a síť videí Webex

Tato část popisuje funkci podpory proxy serveru pro zabezpečení hybridních dat. Je určen k doplnění Příručky pro nasazení pro Cisco Webex Hybrid Data Security , která jek dispozici na adrese https://www.cisco.com/go/hybrid-data-security. V novém nasazení nakonfigurujete nastavení proxy serveru na každém uzlu po nahrání a připojení ISO konfigurace HDS na uzel a před registrací uzlu v cloudu Cisco Webex.

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.

Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:

Žádný proxy– Výchozí, pokud k integraci proxy serveru nepoužijete konfiguraci úložiště důvěryhodnosti úložiště zabezpečení a proxy serveru nastavení uzlu HDS. Není nutná žádná aktualizace certifikátu.
Transparentní nekontrolující proxyserver – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolujícím proxy serverem. Není nutná žádná aktualizace certifikátu.
Transparentní tunelové propojení nebo kontrola proxyserveru – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
Explicitní proxyserver – S explicitním proxy serverem sdělíte uzlům HDS, který proxy server a schéma ověřování použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:
1. Proxy IP/FQDN– Adresa, kterou lze použít k dosažení proxy počítače.
2. Proxy port– číslo portu, které proxy server používá k naslouchání proxied provozu.
3. Proxy protokol– V závislosti na tom, co proxy server podporuje, vyberte si mezi následujícími protokoly:
  - HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.
  - HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.
4. Typ ověřování– Vyberte si z následujících typů ověřování:
  - Žádné– není vyžadováno žádné další ověřování.
    
    K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.
  - Základní– používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při podání žádosti. Používá kódování Base64.
    
    K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.
    
    Vyžaduje zadání uživatelského jména a hesla na každém uzlu.
  - Digest– Slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.
    
    K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.
    
    Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

Příklad hybridních uzlů zabezpečení dat a proxy serveru

Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.

Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.

Požadavky na proxy server

Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.

Transparentní proxy server – Cisco Web Security Appliance (WSA).

Explicitní proxy – chobotnice.

Proxy chobotnice, které kontrolují provoz HTTPS, mohou narušit vytvoření websocketu (wss:) konexe. Chcete-li tento problém vyřešit, přečtěte si téma Websocket Nelze se připojit přes proxy oližní v tématu Problémy s proxyserverem .

Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:
- Žádné ověřování pomocí protokolu HTTP nebo HTTPS
- Základní ověřování pomocí protokolu HTTP nebo HTTPS
- Ověřování algoritmem Digest pouze pomocí protokolu HTTPS
Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.
Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.
Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud k tomuto problému dojde, problém vyřeší obejití (nekontrolování) provozu na wbx2.com a ciscospark.com.

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k určení typu proxy serveru, který chcete integrovat s hybridním zabezpečením dat. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Můžete také zkontrolovat připojení proxy serveru z rozhraní a vyřešit případné problémy.

Než začnete

Přehled podporovaných možností proxy serveru najdete v tématu Podpora proxy serveru.
Požadavky na proxy server

1	Zadejte adresu URL nastavení uzlu HDS https://[IP nebo FQDN]/setup hds ve webovém prohlížeči, zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se .
2	Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností: Žádný proxy– výchozí možnost před integrací proxy serveru. Není nutná žádná aktualizace certifikátu. Transparentní nekontrolující proxyserver – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolujícím proxy serverem. Není nutná žádná aktualizace certifikátu. Transparentní kontrola proxyserveru – uzly nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. Při nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, ale uzly HDS potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS). Explicitní proxyserver – S explicitním proxy serverem sdělíte klientovi (uzly HDS), který proxy server použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace: Proxy IP/FQDN– Adresa, kterou lze použít k dosažení proxy počítače. Proxy port– číslo portu, které proxy server používá k naslouchání proxied provozu. Proxy protokol– Zvolte http (zobrazí a řídí všechny požadavky přijaté od klienta) nebo https (poskytuje kanál serveru a klient obdrží a ověří certifikát serveru). Vyberte možnost na základě toho, co proxy server podporuje. Typ ověřování– Vyberte si z následujících typů ověřování: Žádné– není vyžadováno žádné další ověřování. K dispozici pro proxy servery HTTP nebo HTTPS. Základní– používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při podání žádosti. Používá kódování Base64. K dispozici pro proxy servery HTTP nebo HTTPS. Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo. Digest– Slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo. K dispozici pouze pro proxy servery HTTPS. Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo. Postupujte podle následujících kroků pro transparentní kontrolní proxy server, explicitní proxy server HTTP se základním ověřováním nebo explicitní proxy server HTTPS.
3	Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity a přejděte na vyberte kořenový certifikát proxyserveru. Certifikát je nahrán, ale ještě není nainstalován, protože pro instalaci certifikátu je nutné restartovat uzel. Kliknutím na šipku prýmku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.
4	Kliknutím na Zkontrolovat připojení proxy serveru otestujte síťové připojení mezi uzlem a proxy serverem. Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit. Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. Můžete pokračovat v nastavení a uzel bude fungovat. Pokud se domníváte, že se jedná o chybu, proveďte tyto kroky. Pak můžete režim vypnout. (Viz Vypnout blokovaný režim externího rozlišení DNS.)
5	Po uplynutí testu připojení zapněte přepínač pouze pro explicitní proxy server https na Směrovat všechny požadavky https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví.
6	Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se pro explicitní proxy server HTTPS nebo transparentní kontrolní proxy server) nebo Restartovat (zobrazí se pro explicitní proxy server HTTP), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat. Uzel se restartuje během několika minut.
7	Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu. Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Co dělat dál

Opakujte konfiguraci proxy serveru na každém uzlu v clusteru hybridního zabezpečení dat.

Vypnout blokovaný režim externího rozlišení DNS

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nedokáže přeložit veřejné názvy DNS, uzel automaticky přejde do režimu blokovaného externího překladu DNS.

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy serveru na každém uzlu.

Než začnete

Ujistěte se, že vaše interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.

1	Ve webovém prohlížeči otevřete rozhraní uzlu Hybridní zabezpečení dat (IP adresa/nastavení například https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se.
2	Přejděte na Přehled (výchozí stránka). Je-li tato možnost povolena, je blokované externí překlady DNS nastaveny na ano.
3	Přejděte na stránku Obchod důvěryhodnosti a proxy server.
4	Klikněte na Zkontrolovat připojení proxy serveru. Pokud se zobrazí zpráva, že externí překlad DNS nebyl úspěšný, uzel se nemohl dostat na server DNS a zůstane v tomto režimu. V opačném případě po restartování uzlu a návratu na stránku Přehled by mělo být blokované externí překlady DNS nastaveny na ne.

Co dělat dál

Opakujte test připojení proxy serveru na každém uzlu v clusteru hybridního zabezpečení dat.

Tato část popisuje funkci podpory proxy serveru webex video mesh. Je určen k doplnění Průvodce nasazením pro Cisco Webex Video Mesh , který jek dispozici na adrese https://www.cisco.com/go/video-mesh. V novém nasazení nakonfigurujete nastavení proxy serveru na každém uzlu po nasazení softwaru Video Mesh v prostředí virtuálního počítače a před registrací uzlu v cloudu Cisco Webex.

Podpora proxy serveru Cisco Webex Video Mesh

Cisco Webex Video Mesh podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením sítě Webex Video Mesh, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Tato funkce odesílá do proxy serveru signalizační a správu provozu založeného na protokolu HTTPS. U transparentních proxy serverů jsou síťové požadavky z uzlů Video Mesh předávány konkrétnímu proxy serveru prostřednictvím pravidel směrování podnikové sítě. Rozhraní správce Webex Video Mesh můžete použít pro správu certifikátů a celkový stav připojení po implementaci proxy serveru s uzly.

Média neprobídá přes proxy server. Abyste se dostali přímo do cloudu, musíte stále otevřít požadované porty, aby se datové proudy médií dostaly přímo do cloudu.

Video Mesh podporuje následující typy proxy:

Explicitní proxy server (kontrola nebo nekontrolování)– S explicitním proxy serverem sdělíte klientovi (uzly Video Mesh), který proxy server použít. Tato možnost podporuje jeden z následujících typů ověřování:
- Žádné – není vyžadováno žádné další ověřování. (Pro explicitní proxy server HTTP nebo HTTPS.)
- Základní – používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření žádosti a používá kódování Base64. (Pro explicitní proxy server HTTP nebo HTTPS.)
- Digest – Slouží k potvrzení identity účtu před odesláním citlivých informací a před odesláním přes síť použije funkci hash na uživatelské jméno a heslo. (Pro https explicitní proxy.)
- NTLM – Stejně jako Digest se NTLM používá k potvrzení identity účtu před odesláním citlivých informací. Místo uživatelského jména a hesla používá přihlašovací údaje Systému Windows. Toto schéma ověřování vyžaduje dokončení více výměn. (Pro http explicitní proxy.)
Transparentní proxy server (nekontrolování)– Uzly video mesh nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolujícím proxy serverem.
Transparentní proxy server (kontrola)– Uzly sítě videa nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. V síti Video Mesh nejsou nutné žádné změny konfigurace http(y), ale uzly video mesh potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů se obvykle používá IT k vynucení zásad týkajících se toho, které weby lze navštívit, a typů obsahu, které nejsou povoleny. Tento typ proxy serveru dešifruje veškerý váš provoz (dokonce i https).

Obrázek 1. Příklad uzlů sítě videa Webex a proxy serveru.
Tento diagram ukazuje ukázkové spojení mezi sítí Webex Video Mesh, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech video mesh.

Požadavky na podporu proxy serveru pro síť Webex Video Mesh

Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly Webex Video Mesh.
- Cisco Web Security Appliance (WSA) pro transparentní proxy server
- Chobotnice pro explicitní proxy
Pro explicitní proxy nebo transparentní kontrolní proxy server, který kontroluje (dešifruje provoz), musíte mít kopii kořenového certifikátu proxy serveru, který budete muset nahrát do úložiště důvěryhodnosti uzlů Webex Video Mesh ve webovém rozhraní.
Podporujeme následující explicitní kombinace typů proxy a ověřování:
- Žádné ověřování pomocí http a https
- Základní ověřování pomocí http a https
- Ověřování algoritmem Digest pouze pomocí protokolu HTTPS
- Ověřování NTLM pouze s http

U transparentních proxy serverů musíte použít router/přepínač, abyste vynutili, aby provoz HTTPS/443 přešel do proxy serveru. Můžete také vynutit, aby webová zásuvka/444 odešla do proxy serveru. (Web Socket používá https.) Port 444 závisí na nastavení sítě. Pokud port 444 není směrován přes proxy server, musí být otevřený přímo z uzlu do cloudu.

Webex Video Mesh vyžaduje připojení webového soketu ke cloudovým službám, aby uzly fungovaly správně. Při explicitní kontrole a transparentní kontrole proxy serverů se změní hlavičky http, které jsou vyžadovány pro správné připojení websocketu, a připojení websocketu selžou.

Příznakem, pokud k tomu dojde na portu 443 (s povoleným transparentním kontrolním proxy serverem), je upozornění po registraci v Control Hubu: "Webex Video Mesh SIP volání nefunguje správně." Stejný alarm může nastat z jiných důvodů, pokud není povolen proxy server. Když jsou hlavičky websocketu blokovány na portu 443, média nepřetéká mezi aplikacemi a klienty SIP.

Pokud média neteče, často k tomu dochází, když https provoz z uzlu přes port 444 nebo port 443 selhává:

Proxy není kontrolován, ale přenos portu 444 není proxy povolen.
Přenos portu 443 nebo portu 444 je povolen proxy serverem, ale jedná se o kontrolní proxy server a porušuje websocket.

Chcete-li tyto problémy opravit, možná budete muset "obejít" nebo "splice" (zakázat kontrolu) na portech 444 a 443 na: *.wbx2.com a *.ciscospark.com.

Konfigurace uzlu Sítě videa Webex pro integraci proxy serveru

Tento postup slouží k určení typu proxy serveru, který chcete integrovat se sítí Webex Video Mesh. Pokud zvolíte transparentní kontrolní proxy server nebo explicitní proxy server, můžete pomocí rozhraní uzlu nahrát a nainstalovat kořenový certifikát, zkontrolovat připojení proxy serveru a vyřešit případné problémy.

Než začnete

Přehled podporovaných možností proxy serveru najdete v tématu Podpora proxy pro Cisco Webex Video Mesh.
Požadavky na podporu proxy serveru pro síť Webex Video Mesh

Zadejte adresu URL nastavení sítě Webex Video Meshhttps://[IP nebo FQDN/setup/ setup ve webovém prohlížeči, zadejte přihlašovací údaje správce, které jste pro uzel nastavili, a klikněte na Přihlásit se.

Přejděte do Obchodu důvěryhodnosti a proxyserveru a vyberte některou z možností:

Žádný proxy– výchozí možnost před integrací proxy serveru. Není nutná žádná aktualizace certifikátu.
Transparentní nekontrolní proxyserver – uzly sítě videa nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru, a neměly by vyžadovat žádné změny pro práci s nekontrolujícím proxy serverem. Není nutná žádná aktualizace certifikátu.
Transparentní kontrola proxyserveru – uzly video mesh nejsou nakonfigurovány tak, aby používaly konkrétní adresu proxy serveru. V síti Video Mesh nejsou nutné žádné změny konfigurace http(y); Uzly video mesh však potřebují kořenový certifikát, aby proxy serveru důvěřovaly. Kontrola proxy serverů se obvykle používá IT k vynucení zásad týkajících se toho, které weby lze navštívit, a typů obsahu, které nejsou povoleny. Tento typ proxy serveru dešifruje veškerý váš provoz (dokonce i https).

Explicitní proxyserver – s explicitním proxy serverem sdělíte klientovi (uzly video mesh), který proxy server se má použít, a tato možnost podporuje několik typů ověřování. Po výběru této možnosti je nutné zadat následující informace:

Proxy IP/FQDN– Adresa, kterou lze použít k dosažení proxy počítače.
Proxy port– číslo portu, které proxy server používá k naslouchání proxied provozu.
Proxy protokol– Zvolte http (Video Mesh tuneluje jeho https provoz přes http proxy) nebo https (provoz z uzlu Video Mesh do proxy používá protokol https). Vyberte možnost na základě toho, co proxy server podporuje.

Vyberte si z následujících typů ověřování v závislosti na prostředí proxy serveru:


Možnost	Využití

Žádné	Vyberte pro explicitní proxy servery HTTP nebo HTTPS, kde neexistuje žádná metoda ověřování.
Základní	K dispozici pro explicitní proxy servery HTTP nebo HTTPS. Používá se pro uživatelského agenta HTTP k zadání uživatelského jména a hesla při vytváření požadavku a používá kódování Base64.
Trávit	K dispozici pouze pro explicitní proxy servery HTTPS. Slouží k potvrzení účtu před odesláním citlivých informací a před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.
NTLM	K dispozici pouze pro explicitní proxy servery HTTP. Podobně jako Digest, který se používá k potvrzení účtu před odesláním citlivých informací. Místo uživatelského jména a hesla používá přihlašovací údaje Systému Windows. Pokud zvolíte tuto možnost, zadejte doménu služby Active Directory, kterou proxy server používá k ověřování, do pole Domény NTLM. Do zadané domény NTLM zadejte název pracovní stanice proxy (označované také jako účet pracovní stanice nebo účet počítače) do zadané domény NTLM do pole Pracovní stanice NTLM.

Postupujte podle následujících kroků pro transparentní kontrolu nebo explicitní proxy server.

Klikněte na Nahrát kořenový certifikát nebo certifikát koncové entity avyhledejte a vyberte kořenový certifikát pro explicitní nebo transparentní kontrolní proxy server.

Certifikát je nahrán, ale ještě není nainstalován, protože uzel je třeba restartovat, aby bylo nutné certifikát nainstalovat. Kliknutím na šipku podle názvu vystavitele certifikátu získáte další podrobnosti nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu načíst.

Chcete-li transparentní kontrolu nebo explicitní proxy servery, klikněte na Zkontrolovat připojení proxy a otestujte síťové připojení mezi uzlem video mesh a proxy serverem.

Pokud test připojení selže, zobrazí se chybová zpráva, která zobrazuje důvod a způsob, jakým můžete problém opravit.

Po absolvování testu připojení zapněte přepínač na Směrovat všechny požadavky na port 443/444 https z tohoto uzlu prostřednictvím explicitního proxyserveru . Toto nastavení vyžaduje 15 sekund, než se projeví.

Klikněte na Instalovat všechny certifikáty do úložiště zabezpečení (zobrazí se vždy, když byl během instalace proxy serveru přidán kořenový certifikát) nebo Restartovat (zobrazí se, pokud nebyl přidán žádný kořenový certifikát), přečtěte si výzvu a v případě připravenosti klikněte na Instalovat.

Uzel se restartuje během několika minut.

Po restartování uzlu se v případě potřeby znovu přihlaste a pak otevřete stránku Přehled a zkontrolujte kontroly připojení, abyste se ujistili, že jsou všechny v zeleném stavu.

Kontrola připojení proxy serveru testuje pouze subdoménu webex.com. Pokud dojde k problémům s připojením, běžným problémem je, že některé cloudové domény uvedené v pokynech k instalaci jsou blokovány v proxy serveru.

Problémy se proxy serverem

Jaký provoz prochází proxy

U video mesh média neprocházet proxy serverem. Tato funkce odesílá do proxy serveru signalizační a správu provozu založeného na protokolu HTTPS. Abyste se dostali přímo do cloudu, musíte stále otevřít požadované porty, aby se datové proudy médií dostaly přímo do cloudu.

Port TCP 444 není v proxy serveru povolen

Tento port je požadavkem pro síť video, protože síť video mesh používá tento port pro přístup ke cloudovým službám, které musí použít ke správnému fungování. Pro tento port a jakýkoli port musí být provedena výjimka proxy, jak je uvedeno v příručce k nasazení video mesh a v požadavcích sítě pro služby Webex Teams.

Filtrování signalizačního provozu podle IP adresy není podporováno, protože IP adresy používané našimi řešeními jsou dynamické a mohou se kdykoli změnit.

Není nainstalován žádný kořenový certifikát

Když vaše uzly mluví s explicitním proxy serverem, musíte nainstalovat kořenový certifikát a zadat výjimku pro tuto adresu URL do brány firewall.

Kontrola připojení se nezdaří

Pokud kontrola připojení proxy serveru prošla a instalace proxy serveru byla dokončena, kontroly připojení na stránce přehledu mohou z těchto důvodů stále selhat:

Proxy server kontroluje provoz, který nejde do webex.com.
Proxy server blokuje jiné domény než webex.com.

Podrobnosti o ověření jsou nesprávné

U proxy serverů, které používají mechanismus ověřování, se ujistěte, že do uzlu přidáte správné podrobnosti ověřování.

Přetížení na proxy serveru

Přetížení proxy serveru může způsobit zpoždění a pokles provozu do cloudu. Zkontrolujte prostředí proxy serveru a zjistěte, zda je nutné omezení provozu.

Websocket se nemůže připojit přes Squid Proxy

Proxy chobotnice, které kontrolují provoz HTTPS, mohou narušit zřízení websocket (wss:) připojení, která hybridní zabezpečení dat a síť Webex Video Mesh vyžadují. V protokolech se může zobrazit řada upozornění, například "Opětovné připojení WebSocket..." jako uzel se pokouší dostat do cloudu Webex. Vyzkoušejte následující konfiguraci chobotnice v závislosti na vaší verzi chobotnice, aby proxy server ignoroval wss: provoz pro řádný provoz.

Chobotnice 4 a 5

Přidejte on_unsupported_protocol směrnice o chobotnici.conf:

on_unsupported_protocol tunnel all

Chobotnice 3.5.27

Úspěšně jsme testovali hybridní zabezpečení dat s následujícími pravidly přidanými do squid.conf. Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Úspěšně jsme testovali Video Mesh s následujícími pravidly přidanými do chobotnice.conf. (Video Mesh vyžaduje dvě další acls ve srovnání s hybridním zabezpečením dat.) Tato pravidla se mohou měnit při vývoji funkcí a aktualizaci cloudu Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection
acl ciscoCloud1 ssl::server_name .wbx2.com
acl ciscoCloud2 ssl::server_name .ciscospark.com

ssl_bump splice wssMercuryConnection
ssl_bump splice ciscoCloud1
ssl_bump splice ciscoCloud2

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all