Erfahren Sie, wie Sie einen Proxy mit Cisco Webex Hybriddatensicherheit und Webex videonetz einrichten, einschließlich der Voraussetzungen und Schritte, um die Knoten zu konfigurieren, um mit einem transparenten Bereitstellungsdexy oder einem expliziten Proxy zu arbeiten. Sie können auch grundlegende Informationen zur Fehlerbehebung finden.
Dieser Abschnitt beschreibt die Proxyunterstützungsfunktion für hybride Datensicherheit. Sie soll die Bereitstellungsleitfaden für Cisco Webex Hybriddatensicherheit ergänzen, die unter https://www.cisco.com/go/hybrid-data-security. In einer neuen Bereitstellung konfigurieren Sie die Proxykonfiguration für jeden Knoten nach dem Hochladen und Montage der HDS Konfiguration ISO auf dem Knoten und vor dem Registrieren des Knotens mit der Cisco Webex-CLOAD.
Die Hybriddatensicherheit unterstützt explizite, transparente Inspektionen und Nichtinspizierungsproxys. Sie können diese Proxys an Ihre Bereitstellung binden, damit Sie den Datenverkehr aus dem Unternehmen heraus in die-Cisco sichern und überwachen können. Sie können eine Netzwerkverwaltung auf den Knoten für Zertifikats-Management verwenden und den Status der gesamten Konnektivität überprüfen, nachdem Sie den Proxy auf den Knoten eingerichtet haben.
Die Hybrid Data Sicherheitshinweis unterstützt die folgenden Proxyoptionen:
-
Kein Proxy– die Standardeinstellung, wenn Sie die HDS Knoten Setup Trust Store & Proxy Configuration nicht verwenden, um einen Proxy zu integrieren. Es ist keine Zertifikatsaktualisierung erforderlich.
-
Transparente– die Knoten sind nicht so konfiguriert, dass Sie eine bestimmte Proxy-Server verwenden und keine Änderungen erforderlich sind, um mit einem nicht überforderten Proxy zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.
-
Transparentes Tunneln oder prüfen von– die Knoten sind nicht für die Verwendung einer bestimmten Proxy-Server konfiguriert. Es sind keine Änderungen bei der Konfigurationänderung von http oder HTTPS Allerdings benötigen die Knoten eine Stammzertifikat, sodass Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).
-
Explizite– mit ausdrücklichem Proxy, Sie können die HDS Knoten, die Proxy-Server und Authentifizierungsschema zu verwenden. Um einen expliziten Proxy zu konfigurieren, müssen Sie die folgenden Informationen zu den einzelnen Knoten eingeben:
-
Proxy IP/FQDN–, die für die Proxymaschine verwendet werden kann.
-
Proxy Port– eine Portnummer, die der Proxy für den angezeigten Datenverkehr verwendet.
-
Proxyprotokoll– je nachdem, was Ihre Proxy-Server unterstützt, wählen Sie zwischen den folgenden Protokollen aus:
-
– Und steuert alle Anfragen, die der Client sendet.
-
HTTPS – stellt einen Kanal zum Server bereit. Der Client erhält und prüft das Zertifikat des Servers.
-
-
Authentifizierungsart– Wählen Sie unter den folgenden Authentifizierungsarten aus:
-
Keine– weitere Authentifizierung erforderlich.
Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.
-
Einfache–, die für einen HTTP-Header verwendet werden, um eine Benutzername und ein Passwort bei der Erstellung einer Anfrage bereitzustellen. Zertifikatsformat verwendet.
Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.
Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.
-
Digest– wird verwendet, um den Account vor dem Senden sensibler Informationen zu bestätigen. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.
Nur verfügbar, wenn Sie HTTPS als Proxyprotokoll auswählen.
Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.
-
-
Beispiel für hybride Datensicherheitsknoten und Proxy
Externer DNS Auflösungsmodus blockiert (explizite Proxykonfigurationen)
Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco Webex. Bei Bereitstellungen mit expliziten Proxykonfigurationen, die keine externe DNS für interne Clients zulassen, wenn der Knoten die DNS-Server nicht Abfragen kann, geht er automatisch in den gesperrten externen DNS-Server. In diesem Modus können Knotenregistrierungen und andere Proxyverbindungstests fortgeführt werden.
-
Wir unterstützen offiziell die folgenden Proxylösungen, die in ihre Hybriden Sicherheitsknoten integriert werden können.
-
Transparenter Proxy – Cisco Web Sicherheitsgerät (WSA).
-
Explizite –.
Squid Proxys, die HTTPS Traffic inspizieren, können die Einrichtung von WebSocket stören (WSS:) Verbindungen. Um dieses Problem zu umgehen, lesen Sie Konfigurieren von Tintenfisch für die Hybriddatensicherheit.
-
-
Wir unterstützen die folgenden Authentifizierungskombinationen für explizite Proxys:
-
Keine Authentifizierung mit http oder HTTPS
-
Grundlegende Authentifizierung mit http oder HTTPS
-
Verdauungsauthentifizierung nur mit HTTPS
-
-
Um einen transparenten Proxy oder einen HTTPS expliziten Proxy zu erhalten, müssen Sie eine Kopie des Stammzertifikat des Stellvertreters besitzen. Die Bereitstellungsanweisungen in diesem Handbuch zeigen Ihnen, wie Sie die Kopie in die Vertrauensspeicher der Hybriden Datensicherheitsknoten hochladen können.
-
Das Netzwerk, das die HDS Nodes hostet, muss so konfiguriert sein, dass es den ausgehenden TCP Traffic auf Port 443 durch den Proxy zwingt
-
Proxys, die den Webverkehr inspizieren, können die Websteckverbindung beeinträchtigen. Wenn dieses Problem auftritt, wird das Problem durch Umgehung des Datenverkehrs zu wbx2.com und ciscospark.com gelöst.
Wenn die Netzwerkumgebung einen Proxy erfordert, geben Sie mit diesem Vorgang den Typ des Proxy an, den Sie in die Hybriddatensicherheit integrieren möchten. Wenn Sie einen transparenten Anrufproxy oder einen HTTPS expliziten Proxy wählen, können Sie die Stammzertifikat über die Schnittstelle des Knotens hochladen und installiert werden. Sie können auch die Proxyverbindung über die Schnittstelle überprüfen und mögliche Probleme beheben.
Vorbereitungen
-
Proxy-Support Eine Übersicht über die unterstützten Proxyoptionen finden Sie unter.
1 |
Geben Sie den HDS Knoten Setup URL https://[HDS Node IP oder FQDN]/Setup in einem Webbrowser ein, geben Sie die Administrationsdaten ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden. |
2 |
Gehen Sie zu Trust Store & Proxyund wählen Sie dann eine Option:
Befolgen Sie die nächsten Schritte für einen transparenten Inspektionsproxy, einen HTTP expliziten Proxy mit Basisauthentifizierung oder einen HTTPS expliziten Proxy |
3 |
Klicken Sie auf ein Zertifikat für das Stammzertifikat oder Endnutzerzertifikat hochladen, und navigieren Sie dann zu einer Stammzertifikat für den Proxy. Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den Chevron Pfeil unter dem Namen des Zertifikats, um weitere Details zu erhalten, oder klicken Sie auf löschen, Wenn Sie Fehler gemacht haben und die Datei erneut hochladen möchten. |
4 |
Klicken Sie auf Stellvertreterverbindung prüfen , um die Netzwerkverbindung zwischen dem Knoten und dem Proxy zu testen. Wenn der Verbindungstest ausfällt, wird eine Fehlermeldung angezeigt, die den Grund und die Frage, wie Sie das Problem beheben können, anzeigt. Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxykonfigurationen erwartet. Sie können mit dem Setup fortfahren, und der Knoten wird im gesperrten externen DNS-Server funktionieren. Wenn Sie denken, dass dies ein Fehler ist, führen Sie diese Schritte aus, und sehen Sie dann Blockierte externe DNS Auflösungsmodus deaktivieren. |
5 |
Nach dem Durchführen des Verbindungstests, für expliziten Proxy, der nur auf HTTPS gesetzt ist, aktivieren Sie die Option so schalten Sie alle Port 443/444 https Anfragen aus diesem Knoten durch den expliziten Proxy Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden. |
6 |
Klicken Sie auf alle-Zertifizierungsstellen in den Trust Store installieren (erscheint für einen HTTPS expliziten Proxy oder einen transparenten Inspektionskrimi) oder Neustart (erscheint für einen HTTP expliziten Proxy), lesen Sie die Aufforderung, und klicken Sie dann auf in Der Knoten startet innerhalb weniger Minuten. |
7 |
Nachdem der Knoten erneut gestartet wurde, melden Sie sich bei Bedarf erneut an, und öffnen Sie dann die Übersichtsseite, um die Verbindungsüberprüfungen zu überprüfen, um sicherzustellen, dass Sie alle im grünen Status sind. Die Proxyverbindung prüft nur eine Unterdomäne von Webex.com. Wenn es Verbindungsprobleme gibt, ist ein häufiges Problem, dass einige der in den instructions aufgeführten-C-Domänen beim Proxy gesperrt werden. |
In diesem Abschnitt wird die Proxyunterstützungsfunktion für Webex videonetz beschrieben. Sie soll die Einsatzleitfaden für Cisco Webex-videonetz ergänzen, verfügbar unter https://www.cisco.com/go/video-mesh. In einer neuen Bereitstellung konfigurieren Sie die Proxykonfiguration auf jedem Knoten, nachdem Sie die Videonetzsoftware in einer virtuelle Maschine und vor der Registrierung des Knotens mit der Cisco Webex installiert haben.
Cisco Webex-videonetz unterstützt explizite, transparente Inspektionen und nicht kontrollierende Stellvertreter. Sie können diese Proxys an die Webex für Videonetzstellen binden, sodass Sie den Datenverkehr aus dem Unternehmen in der-Cisco sichern und überwachen können. Diese-Funktion sendet Signalisierung und Management HTTPS-basierten Datenverkehr an den Proxy. Bei transparenten Proxys werden Netzwerkanfragen von Videonetzknoten an einen bestimmten Proxy durch Unternehmensnetzleitungsregeln weitergeleitet. Sie können die Webex Videonetzverwaltung für Zertifikats-Management und den allgemeinen Konnektivitätsstatus verwenden, nachdem Sie den Proxy mit den Knoten umgesetzt haben.
Medien Reisen nicht über den Proxy. Sie müssen weiterhin die erforderlichen Ports für Medienstreams öffnen, um direkt in die-Cisco zu gelangen. |
Die folgenden Proxytypen werden durch videonetz unterstützt:
-
Explizite Proxy (Inspektion oder Nichtbetraerung) – mit ausdrücklichem Proxy teilen Sie dem Client (Videonetzknoten) die Proxy-Server an. Diese Option unterstützt einen der folgenden Authentifizierungstypen:
-
Keine – weitere Authentifizierung erforderlich. (Für http oder HTTPS expliziten Proxy.)
-
Einfache –, die für einen HTTP-Header verwendet werden, um einen Benutzernamen und ein Passwort bei der Erstellung einer Anfrage bereitzustellen, und verwendet die Zertifikatsformat. (Für http oder HTTPS expliziten Proxy.)
-
Digest – wird verwendet, um die Identität des Kontos zu bestätigen, bevor sensible Informationen gesendet werden, und wendet eine Hash Funktion auf den Benutzernamen und das Passwort an, bevor Sie über das Netzwerk senden. (Für HTTPS expliziten Proxy.)
-
NTLM – wie Digest, NTLM wird verwendet, um die Identität des Kontos zu bestätigen, bevor sensible Informationen gesendet werden. Verwendet Windows anmelden anstelle des Nutzernamens und Passworts. Dieses Authentifizierungsschema erfordert einen mehrfachen Austausch. (Für http expliziten Proxy.)
-
-
Transparente Proxy (nicht inspizieren) – sind nicht für die Verwendung einer bestimmten Proxy-Server konfiguriert und sollten keine Änderungen erfordern, die mit einem nicht überforderten Proxy funktionieren.
-
Transparente Proxy (Inspektion) – sind nicht für die Verwendung einer bestimmten Proxy-Server konfiguriert. Keine Änderungen an den HTTP-Header sind in videonetz notwendig, allerdings benötigen die Videonetzknoten eine Stammzertifikat, sodass Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien zu aktivieren, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).
-
Wir unterstützen offiziell die folgenden Proxylösungen, die Sie mit ihren Webex Videonetzknoten integrieren können.
-
Cisco Web Sicherheitsgerät (WSA) für transparenten Proxy
-
Squid für expliziten Proxy
-
-
Für einen expliziten Proxy oder transparenten anweisen von Proxy, der sich prüft (den Datenverkehr entschlüsselt), müssen Sie eine Kopie der Stammzertifikat des Proxy besitzen, die Sie für den Webex Video Mesh Node Trust Store auf der Web-Schnittstelle hochladen müssen.
-
Wir unterstützen die folgenden Kombinationen aus Proxy und Authentifizierungstypen:
-
Keine Authentifizierung mit http und HTTPS
-
Grundlegende Authentifizierung mit http und HTTPS
-
Verdauungsauthentifizierung nur mit HTTPS
-
NTLM Authentifizierung nur mit http
-
-
Bei transparenten Proxys müssen Sie den Router/Schalter verwenden, um HTTPS/443 Traffic zu zwingen, zum Proxy zu wechseln. Sie können auch die Web Socket/444 erzwingen, um zu Proxy zu gehen. (Web Socket verwendet HTTPS.) Port 444 hängt von Ihrer Netzwerkkonfiguration ab. Wenn Port 444 nicht über den Proxy geleitet wird, muss er direkt vom Knoten in die-Cisco geöffnet sein.
Webex videonetz erfordert die Websteckverbindung zu den Campondiensten, sodass die Knoten korrekt funktionieren. Beim expliziten prüfen und transparenten prüfen von Proxys werden HTTP-Header, die für eine ordnungsgemäße Websteckverbindung erforderlich sind, geändert und Websteckverbindungen scheitern.
Das Symptom, wenn dies auf Port 443 (mit aktivierter Überprüfung Proxy aktiviert) auftritt, ist eine Warnmeldung nach der Registrierung in Control Hub: "Webex Video Mesh SIP anrufen funktioniert nicht richtig." Derselbe Alarm kann auch auftreten, wenn Proxy nicht aktiviert ist. Wenn Websteckzeilen auf Port 443 blockiert werden, fließen die Medien nicht zwischen apps und SIP Clients.
Wenn Medien nicht fließen, tritt dies häufig auf, wenn HTTPS Traffic vom Knoten über Port 444 oder Port 443 fehlschlagen:
-
Proxy wird nicht kontrolliert, aber Port 444 ist vom Proxy nicht zulässig.
-
Port 443 oder Port 444 der Datenverkehr ist durch den Proxy zulässig, ist jedoch ein Inspektionsermächtigung und bricht die Websteckdose.
Um diese Probleme zu beheben, müssen Sie unter Umständen auf den Ports 444 und 443 auf: *. wbx2.com und *. ciscospark.com.
-
Verwenden Sie dieses Vorgehen, um den Typ des Proxy anzugeben, den Sie mit einem Webex videonetz integrieren möchten. Wenn Sie einen transparenten Anrufcode oder einen expliziten Proxy wählen, können Sie die Benutzeroberfläche des Knotens verwenden, um die Stammzertifikat zu laden und zu installiert, die Proxyverbindung zu überprüfen und mögliche Probleme zu beheben.
Vorbereitungen
-
Stellvertreterstütze für Cisco Webex-videonetz Eine Übersicht über die unterstützten Proxyoptionen finden Sie unter.
1 |
Geben Sie die Webex Video Mesh Setup URL https://[IP oder FQDN/Einrichtung in einem Webbrowser ein, geben Sie die für den Knoten eingerichteten Anmeldedaten ein, und klicken Sie dann auf Anmelden. |
||||||||||||
2 |
Gehen Sie zu Trust Store & Proxyund wählen Sie dann eine Option:
Befolgen Sie die nächsten Schritte für eine transparente Inspektion oder einen expliziten Proxy. |
||||||||||||
3 |
Klicken Sie auf ein Zertifikat für das Stammzertifikat oder Endnutzwerk hochladen, und suchen Sie dann die Stammzertifikat für den expliziten oder transparenten Anrufproxy. Das Zertifikat ist hochgeladen, aber noch nicht installiert, da der Knoten neu gestartet werden muss, um das Zertifikat zu installieren. Klicken Sie auf den Pfeil unter dem Namen des Zertifikats, um weitere Details zu erhalten, oder klicken Sie auf löschen, Wenn Sie Fehler gemacht haben und die Datei erneut hochladen möchten. |
||||||||||||
4 |
Um transparente Inspektionen oder explizite Proxys zu erhalten, klicken Sie auf Proxy aktivieren, um die Netzwerkverbindung zwischen dem Videonetzknoten und dem Proxy zu testen. Wenn der Verbindungstest ausfällt, wird eine Fehlermeldung angezeigt, die den Grund und die Frage, wie Sie das Problem beheben können, anzeigt. |
||||||||||||
5 |
Nach Ablauf des Verbindungstests können Sie für expliziten Proxy das Umschalten auf alle Port 443/444 https Anfragen aus diesem Knoten durch den expliziten Proxy aktivieren. Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden. |
||||||||||||
6 |
Klicken Sie auf alle---Anweisungen in den Trust Store installieren (erscheint, wenn ein Stammzertifikat während der Proxykonfiguration hinzugefügt wurde) oder Neustart (wird angezeigt, wenn kein Stammzertifikat hinzugefügt wurde), lesen Sie die Eingabeaufforderung, und klicken Sie dann auf in Der Knoten startet innerhalb weniger Minuten. |
||||||||||||
7 |
Nachdem der Knoten erneut gestartet wurde, melden Sie sich bei Bedarf erneut an, und öffnen Sie dann die Übersichtsseite, um die Verbindungsüberprüfungen zu überprüfen, um sicherzustellen, dass Sie alle im grünen Status sind. Die Proxyverbindung prüft nur eine Unterdomäne von Webex.com. Wenn es Verbindungsprobleme gibt, ist ein häufiges Problem, dass einige der in den instructions aufgeführten-C-Domänen beim Proxy gesperrt werden. |
Der Datenverkehr durchläuft Proxy
Für Videonetzchen wird der Proxy durch Medien nicht durchquert. Diese-Funktion sendet Signalisierung und Management HTTPS-basierten Datenverkehr an den Proxy. Sie müssen weiterhin die erforderlichen Ports für Medienstreams öffnen, um direkt in die-Cisco zu gelangen.
TCP-Port 444 ist auf Proxy nicht aktiviert
Dieser Port ist eine Anforderung für videonetz, da das videonetz diesen Port verwendet, um auf Cloud-basierte Dienste zuzugreifen, die er verwenden muss, um richtig zu funktionieren. Für diesen Port und die im Video Mesh Deployment Handbuch sowie die Netzwertanforderungen für Webex Teams Dienste dokumentierten, müssen keine Stellvertretervorrufe abgegeben werden.
Das Filtern des Signalverkehrs per IP-Adresse wird nicht unterstützt, da die von unseren Lösungen verwendeten IP-Adressen dynamisch sind und sich jederzeit ändern können. |
Kein Stammzertifikat installiert
Wenn Ihre Knoten mit einem expliziten Proxy sprechen, müssen Sie die Stammzertifikat und eine Ausnahme für diesen URL in Ihrer Firewall eingeben.
Verbindungskontrolle fehlgeschlagen
Wenn die Proxykonnektivität überprüft und die Proxyinstallation abgeschlossen wurde, werden die Verbindungsüberprüfungen auf der Übersichtsseite aus diesen Gründen möglicherweise noch fehlschlagen:
-
Der Proxy prüft den Datenverkehr, der nicht zur Webex.com führt.
-
Der Proxy blockiert andere Domänen als Webex.com.
Authentifizierungsdetails sind nicht korrekt
Für Proxys, die einen Authentifizierungsmechanismus verwenden, stellen Sie sicher, dass Sie die richtigen Authentifizierungsdetails im Knoten hinzufügen.
Staus auf dem Proxy
Die Überlastung Ihres Proxy kann zu Verzögerungen führen und den Datenverkehr in die CROCDER. Überprüfen Sie Ihre Proxyumgebung, um zu sehen, ob eine Datendrosselung erforderlich ist.
Squid Proxys, die HTTPS Traffic inspizieren, können die Einrichtung von WebSocket (WSS:) stören Verbindungen, die die hybride Datensicherheit erfordert. Diese Abschnitte geben Anweisungen, wie Sie verschiedene Versionen von Squid konfigurieren, um WSS zu ignorieren: Datenverkehr für den ordnungsgemäßen Ablauf der Services.
Squid 4 und 5
Fügen Sie die on_unsupported_protocol
zu squid. conf:
on_unsupported_protocol Tunnel
Squid 3.5.27
Wir haben die Hybriddatensicherheit erfolgreich mit den folgenden Regeln getestet, die zu squid .conf hinzugefügt wurden. Diese Regeln können sich geändert werden, da wir Funktionen entwickeln und die Webex Cisco aktualisieren.
ACL WSSMercuryConnection SSL:: server_name_regex Mercury-Connection ssl_bump Splice WSSMercuryConnection ACL Schritt 1 at_step SslBump1 ACL Schritt at_step SslBump2 ACL Schritt at_step SslBump3 ssl_bump Peek Schritt 1 alle ssl_bump Stare Schritt alle ssl_bump Bump Schritt all