Dieser Abschnitt beschreibt die Proxyunterstützungsfunktion für hybride Datensicherheit. Sie soll die Bereitstellungsleitfaden für Cisco WebEx Hybriddatensicherheit ergänzen, die unter https://www.cisco.com/go/hybrid-data-security. In einer neuen Bereitstellung konfigurieren Sie die Proxykonfiguration für jeden Knoten nach dem Hochladen und Montage der HDS Konfiguration ISO auf dem Knoten und vor dem Registrieren des Knotens mit der Cisco WebEx-CLOAD.

Proxy-Support

Die Hybriddatensicherheit unterstützt explizite, transparente Inspektionen und Nichtinspizierungsproxys. Sie können diese Proxys an Ihre Bereitstellung binden, damit Sie den Datenverkehr aus dem Unternehmen heraus in die-Cisco sichern und überwachen können. Sie können eine Netzwerkverwaltung auf den Knoten für Zertifikats-Management verwenden und den Status der gesamten Konnektivität überprüfen, nachdem Sie den Proxy auf den Knoten eingerichtet haben.

Die Hybrid Data Sicherheitshinweis unterstützt die folgenden Proxyoptionen:

  • Kein Proxy: Der Standardwert, wenn Sie nicht die Konfiguration von Vertrauensspeicher und Proxy für die Integration eines Proxys beim Einrichten des HDS-Knotens verwenden. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparenter Proxy ohne Prüfung – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem Proxy ohne Prüfung zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparentes Tunneln oder Proxyprüfen: Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Es sind keine Änderungen bei der Konfigurationänderung von http oder HTTPS Allerdings benötigen die Knoten eine Stammzertifikat, sodass Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).

  • Expliziter Proxy: Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welcher Proxyserver und welches Authentifizierungsschema verwendet werden sollen. Um einen expliziten Proxy zu konfigurieren, müssen Sie die folgenden Informationen zu den einzelnen Knoten eingeben:

    1. Proxy-IP/FQDN: Adresse, die verwendet werden kann, um die Proxy-Maschine zu erreichen.

    2. Proxy-Port: Eine Portnummer, die der Proxy verwendet, um nach proxyem Datenverkehr zu suchen.

    3. Proxy-Protokoll: Wählen Sie je nachdem, was Ihr Proxy-Server unterstützt, zwischen den folgenden Protokollen aus:

      • – Und steuert alle Anfragen, die der Client sendet.

      • HTTPS – stellt einen Kanal zum Server bereit. Der Client erhält und prüft das Zertifikat des Servers.

    4. Authentifizierungstyp: Wählen Sie aus den folgenden Authentifizierungstypen aus:

      • Keine: Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

      • Basic – wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort anzugeben. Zertifikatsformat verwendet.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

      • Digest – wird verwendet, um das Konto vor dem Senden sensibler Informationen zu bestätigen. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur verfügbar, wenn Sie HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

Beispiel für hybride Datensicherheitsknoten und Proxy

Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybriddatensicherheit, dem Netzwerk und einem Proxy. Für die transparente Inspektion und HTTPS explizite Überprüfung der Proxyoptionen müssen dieselben Stammzertifikat auf dem Proxy und auf den Hybriden Datensicherheitsknoten installiert sein.

Externer DNS Auflösungsmodus blockiert (explizite Proxykonfigurationen)

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Bei Bereitstellungen mit expliziten Proxykonfigurationen, die keine externe DNS für interne Clients zulassen, wenn der Knoten die DNS-Server nicht Abfragen kann, geht er automatisch in den gesperrten externen DNS-Server. In diesem Modus können Knotenregistrierungen und andere Proxyverbindungstests fortgeführt werden.

Vorgaben für Proxy-Server

  • Wir unterstützen offiziell die folgenden Proxylösungen, die in ihre Hybriden Sicherheitsknoten integriert werden können.

    • Transparenter Proxy – Cisco Web Sicherheitsgerät (WSA).

    • Explizite –.

      Squid-Proxys, die den HTTPS-Datenverkehr untersuchen, können die Einrichtung von Websocket-Verbindungen (wss:) beeinträchtigen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid-Datensicherheit.

  • Wir unterstützen die folgenden Authentifizierungskombinationen für explizite Proxys:

    • Keine Authentifizierung mit http oder HTTPS

    • Grundlegende Authentifizierung mit http oder HTTPS

    • Verdauungsauthentifizierung nur mit HTTPS

  • Um einen transparenten Proxy oder einen HTTPS expliziten Proxy zu erhalten, müssen Sie eine Kopie des Stammzertifikat des Stellvertreters besitzen. Die Bereitstellungsanweisungen in diesem Handbuch zeigen Ihnen, wie Sie die Kopie in die Vertrauensspeicher der Hybriden Datensicherheitsknoten hochladen können.

  • Das Netzwerk, das die HDS Nodes hostet, muss so konfiguriert sein, dass es den ausgehenden TCP Traffic auf Port 443 durch den Proxy zwingt

  • Proxys, die den Webverkehr inspizieren, können die Websteckverbindung beeinträchtigen. Wenn dieses Problem auftritt, wird das Problem durch Umgehung des Datenverkehrs zu wbx2.com und ciscospark.com gelöst.

Konfigurieren des HDS-Knotens für die Proxy-Integration

Wenn die Netzwerkumgebung einen Proxy erfordert, geben Sie mit diesem Vorgang den Typ des Proxy an, den Sie in die Hybriddatensicherheit integrieren möchten. Wenn Sie einen transparenten Anrufproxy oder einen HTTPS expliziten Proxy wählen, können Sie die Stammzertifikat über die Schnittstelle des Knotens hochladen und installiert werden. Sie können auch die Proxyverbindung über die Schnittstelle überprüfen und mögliche Probleme beheben.

Vorbereitungen

1

Geben Sie den HDS Knoten Setup URL https://[HDS Node IP oder FQDN]/Setup in einem Webbrowser ein, geben Sie die Administrationsdaten ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Trust Store & Proxyund wählen Sie dann eine Option:

  • Kein Proxy – Die Standardoption, bevor Sie einen Proxy integrieren. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparenter Proxy ohne Prüfung: Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem Proxy ohne Prüfung zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparentes Prüfen des Proxys: Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Bei der Bereitstellung der Hybriden Datensicherheit sind keine HTTPS-Konfigurationshinstellungsänderungen erforderlich, allerdings benötigen die Hägg-Knoten eine Stammzertifikat, damit Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).
  • Expliziter Proxy – Mit explizitem Proxy können Sie dem Client (HDS-Knoten) mitteilen, welcher Proxyserver verwendet werden soll. Diese Option unterstützt mehrere Authentifizierungstypen. Nachdem Sie diese Option aktiviert haben, müssen Sie folgende Informationen eingeben:

    1. Proxy-IP/FQDN: Adresse, die verwendet werden kann, um die Proxy-Maschine zu erreichen.

    2. Proxy-Port: Eine Portnummer, die der Proxy verwendet, um nach proxyem Datenverkehr zu suchen.

    3. Proxy-Protokoll – Wählen Sie http (zeigt alle Anforderungen an und steuert sie, die vom Client empfangen werden) oder https (stellt einen Kanal zum Server bereit, und der Client empfängt und validiert das Serverzertifikat). Wählen Sie eine Option, basierend auf Ihren Proxy-Server unterstützt.

    4. Authentifizierungstyp: Wählen Sie aus den folgenden Authentifizierungstypen aus:

      • Keine: Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar für http oder HTTPS.

      • Basic – wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort anzugeben. Zertifikatsformat verwendet.

        Verfügbar für http oder HTTPS.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

      • Digest – wird verwendet, um das Konto vor dem Senden sensibler Informationen zu bestätigen. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur für HTTPS Proxies verfügbar.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

Befolgen Sie die nächsten Schritte für einen transparenten Inspektionsproxy, einen HTTP expliziten Proxy mit Basisauthentifizierung oder einen HTTPS expliziten Proxy

3

Klicken Sie auf ein Zertifikat für das Stammzertifikat oder Endnutzerzertifikat hochladen, und navigieren Sie dann zu einer Stammzertifikat für den Proxy.

Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den Chevron Pfeil unter dem Namen des Zertifikats, um weitere Details zu erhalten, oder klicken Sie auf löschen, Wenn Sie Fehler gemacht haben und die Datei erneut hochladen möchten.

4

Klicken Sie auf Stellvertreterverbindung prüfen , um die Netzwerkverbindung zwischen dem Knoten und dem Proxy zu testen.

Wenn der Verbindungstest ausfällt, wird eine Fehlermeldung angezeigt, die den Grund und die Frage, wie Sie das Problem beheben können, anzeigt.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxykonfigurationen erwartet. Sie können mit dem Setup fortfahren, und der Knoten wird im gesperrten externen DNS-Server funktionieren. Wenn Sie glauben, dass es sich um einen Fehler handelt, führen Sie die folgenden Schritte aus. Siehe Modus für blockierte externe DNS-Auflösung deaktivieren.

5

Nach dem Durchführen des Verbindungstests, für expliziten Proxy, der nur auf HTTPS gesetzt ist, aktivieren Sie die Option so schalten Sie alle Port 443/444 https Anfragen aus diesem Knoten durch den expliziten Proxy Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden.

6

Klicken Sie auf alle-Zertifizierungsstellen in den Trust Store installieren (erscheint für einen HTTPS expliziten Proxy oder einen transparenten Inspektionskrimi) oder Neustart (erscheint für einen HTTP expliziten Proxy), lesen Sie die Aufforderung, und klicken Sie dann auf in

Der Knoten startet innerhalb weniger Minuten.

7

Nachdem der Knoten erneut gestartet wurde, melden Sie sich bei Bedarf erneut an, und öffnen Sie dann die Übersichtsseite, um die Verbindungsüberprüfungen zu überprüfen, um sicherzustellen, dass Sie alle im grünen Status sind.

Die Proxyverbindung prüft nur eine Unterdomäne von WebEx.com. Wenn es Verbindungsprobleme gibt, ist ein häufiges Problem, dass einige der in den instructions aufgeführten-C-Domänen beim Proxy gesperrt werden.

Blockierte externe DNS Auflösungsmodus deaktivieren

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Wenn der DNS-Server des Knotens öffentliche DNS nicht auflösen kann, geht der Knoten automatisch in den gesperrten externen DNS-Server.

Wenn Ihre Knoten öffentliche DNS über interne DNS-Server auflösen können, aktivieren Sie diesen Modus, indem Sie den Proxyverbindungstest für jeden Knoten deaktivieren.

Vorbereitungen

Stellen Sie sicher, dass Ihre internen DNS-Server öffentliche DNS und ihre Knoten mit Ihnen kommunizieren können.
1

Öffnen Sie in einem Webbrowser die Schnittstelle für den Hybrid-Datensicherheitsknoten (IP-Adresse/Einrichtung, https://192.0.2.0/setup), geben Sie beispielsweise die für den Knoten eingerichteten Admin-Anmeldeinformationen ein, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Übersicht (Standardseite).

Wenn diese Option aktiviert ist, wird die externe DNS auf "Ja" gesetzt .

3

Gehen Sie zur Seite Vertrauensspeicher und Proxy .

4

Klicken Sie auf Stellvertreterverbindung prüfen.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und wird in diesem Modus verbleiben. Andernfalls sollte nach dem Neustart des Knotens und der Rückfahrt zur Übersichtsseite die gesperrte externe DNS auf "Nein" gesetzt werden.

Nächste Schritte

Wiederholen Sie den Proxy Verbindungstest für jeden Knoten in Ihrem Cisco Data SicherheitCluster.

In diesem Abschnitt wird die Proxyunterstützungsfunktion für WebEx videonetz beschrieben. Sie soll die Einsatzleitfaden für Cisco WebEx-videonetz ergänzen, verfügbar unter https://www.cisco.com/go/video-mesh. In einer neuen Bereitstellung konfigurieren Sie die Proxykonfiguration auf jedem Knoten, nachdem Sie die Videonetzsoftware in einer virtuelle Maschine und vor der Registrierung des Knotens mit der Cisco WebEx installiert haben.

Proxy-Unterstützung für Videonetz

Videonetz unterstützt die explizite, transparente Inspektion und Nichtinspektion von Proxys. Sie können diese Proxys mit Ihrer Videonetz-Bereitstellung verknüpfen, um den Datenverkehr aus dem Unternehmen in die Cloud zu sichern und zu überwachen. Diese Funktion sendet Signalisierung und Verwaltung https-basierten Datenverkehr an den Proxy. Bei transparenten Proxys werden Netzwerkanforderungen von Videonetzknoten über Die Routing-Regeln des Unternehmens an einen bestimmten Proxy weitergeleitet. Sie können die Videonetz-Administratorschnittstelle für die Zertifikatsverwaltung und den allgemeinen Verbindungsstatus verwenden, nachdem Sie den Proxy mit den Knoten implementiert haben.

Medien reisen nicht durch den Proxy. Sie müssen weiterhin die erforderlichen Ports für Medienstreams öffnen, um die Cloud direkt zu erreichen. Siehe Ports und Protokolle für die Verwaltung.

Die folgenden Proxytypen werden durch videonetz unterstützt:

  • Explizite Proxy (Inspektion oder Nichtbetraerung) – mit ausdrücklichem Proxy teilen Sie dem Client (Videonetzknoten) die Proxy-Server an. Diese Option unterstützt einen der folgenden Authentifizierungstypen:

    • Keine – weitere Authentifizierung erforderlich. (Für http oder HTTPS expliziten Proxy.)

    • Einfache –, die für einen HTTP-Header verwendet werden, um einen Benutzernamen und ein Passwort bei der Erstellung einer Anfrage bereitzustellen, und verwendet die Zertifikatsformat. (Für http oder HTTPS expliziten Proxy.)

    • Digest – wird verwendet, um die Identität des Kontos zu bestätigen, bevor sensible Informationen gesendet werden, und wendet eine Hash Funktion auf den Benutzernamen und das Passwort an, bevor Sie über das Netzwerk senden. (Für HTTPS expliziten Proxy.)

    • NTLM – wie Digest, NTLM wird verwendet, um die Identität des Kontos zu bestätigen, bevor sensible Informationen gesendet werden. Verwendet Windows anmelden anstelle des Nutzernamens und Passworts. Dieses Authentifizierungsschema erfordert einen mehrfachen Austausch. (Für http expliziten Proxy.)

  • Transparente Proxy (nicht inspizieren) – sind nicht für die Verwendung einer bestimmten Proxy-Server konfiguriert und sollten keine Änderungen erfordern, die mit einem nicht überforderten Proxy funktionieren.

  • Transparente Proxy (Inspektion) – sind nicht für die Verwendung einer bestimmten Proxy-Server konfiguriert. Keine Änderungen an den HTTP-Header sind in videonetz notwendig, allerdings benötigen die Videonetzknoten eine Stammzertifikat, sodass Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien zu aktivieren, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).

Beispiel für Videonetzknoten und Proxy
Anforderungen an die Proxy-Unterstützung für das Videonetz

  • Wir unterstützen offiziell die folgenden Proxy-Lösungen, die in Ihre Videonetzknoten integriert werden können.

    • Cisco Web Sicherheitsgerät (WSA) für transparenten Proxy

    • Squid für expliziten Proxy

  • Für einen expliziten Proxy oder einen transparenten Prüfproxy, der den Datenverkehr überprüft (entschlüsselt), benötigen Sie eine Kopie des Proxystammzertifikats, das Sie in den Vertrauensspeicher des Videonetzknotens auf der Weboberfläche hochladen müssen.

  • Wir unterstützen die folgenden Kombinationen aus Proxy und Authentifizierungstypen:

    • Keine Authentifizierung mit http und HTTPS

    • Grundlegende Authentifizierung mit http und HTTPS

    • Verdauungsauthentifizierung nur mit HTTPS

    • NTLM Authentifizierung nur mit http

  • Bei transparenten Proxys müssen Sie den Router/Schalter verwenden, um HTTPS/443 Traffic zu zwingen, zum Proxy zu wechseln. Sie können auch erzwingen, dass Web-Socket zum Proxy wechselt. (Web Socket verwendet HTTPS.)

    Videonetz erfordert Websocket-Verbindungen zu Cloud-Diensten, damit die Knoten korrekt funktionieren. Für die explizite Prüfung und die transparente Prüfung von Proxys sind HTTP-Header für eine ordnungsgemäße Websocket-Verbindung erforderlich. Wenn sie geändert werden, schlägt die Websocket-Verbindung fehl.

    Wenn ein Websocket-Verbindungsfehler auf Port 443 auftritt (bei aktiviertem Proxy für die transparente Prüfung), führt dies zu einer Warnung nach der Registrierung im Control Hub: „Webex-Videonetz-SIP-Anrufe funktionieren nicht richtig.“ Derselbe Alarm kann auch auftreten, wenn Proxy nicht aktiviert ist. Wenn Websteckzeilen auf Port 443 blockiert werden, fließen die Medien nicht zwischen apps und SIP Clients.

    Wenn Medien nicht fließen, tritt dies häufig auf, wenn der HTTPS-Datenverkehr vom Knoten über Port 443 ausfällt:

    • Der Port 443-Datenverkehr wird vom Proxy zugelassen, ist jedoch ein Proxy, der die Überprüfung durchführt und den Websocket durchbricht.

    Um diese Probleme zu beheben, müssen Sie möglicherweise auf Port 443 „umgehen“ oder „Splice“ (Inspektion deaktivieren) an *.wbx2.com und *.ciscospark.com senden.

Videonetzknoten für Proxy-Integration konfigurieren

Mit diesem Verfahren können Sie den Proxy-Typ angeben, den Sie in ein Videonetz integrieren möchten. Wenn Sie einen transparenten Anrufcode oder einen expliziten Proxy wählen, können Sie die Benutzeroberfläche des Knotens verwenden, um die Stammzertifikat zu laden und zu installiert, die Proxyverbindung zu überprüfen und mögliche Probleme zu beheben.

Vorbereitungen

1

Geben Sie die Videonetz-Einrichtungs-URL https://[IP oder FQDN/setup in einem Webbrowser ein, geben Sie die Administrator-Anmeldeinformationen ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Trust Store & Proxyund wählen Sie dann eine Option:

  • Kein Proxy – Die Standardoption, bevor Sie einen Proxy integrieren. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparenter Proxy ohne Prüfung: Videonetzknoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem Proxy ohne Prüfung zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparentes Prüfen des Proxys: Videonetzknoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Es sind keine Änderungen an der Konfigurationänderung in Videonetzchen notwendig. Die Videonetzknoten benötigen jedoch eine Stammzertifikat, damit Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien zu aktivieren, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).
  • Expliziter Proxy – Mit explizitem Proxy können Sie dem Client (Videonetzknoten) mitteilen, welchen Proxyserver er verwenden soll. Diese Option unterstützt mehrere Authentifizierungstypen. Nachdem Sie diese Option aktiviert haben, müssen Sie folgende Informationen eingeben:

    1. Proxy-IP/FQDN: Adresse, die verwendet werden kann, um die Proxy-Maschine zu erreichen.

    2. Proxy-Port: Eine Portnummer, die der Proxy verwendet, um nach proxyem Datenverkehr zu suchen.

    3. Proxy-Protokoll: Wählen Sie http (Videonetz tunnelt seinen HTTPS-Verkehr durch den HTTP-Proxy) oder https (Verkehr vom Videonetzknoten zum Proxy verwendet das HTTPS-Protokoll). Wählen Sie eine Option, basierend auf Ihren Proxy-Server unterstützt.

    4. Wählen Sie zwischen den folgenden Authentifizierungstypen, abhängig von ihrer Proxyumgebung:

      Option

      Verwendung

      Ohne

      Wählen Sie für http oder HTTPS explizite Proxys aus, wenn es keine Authentifizierungsmethode gibt.

      Standard

      Verfügbar für http oder HTTPS explizite Proxys.

      Wird für einen HTTP User Agent verwendet, um einen Benutzernamen und ein Passwort bei der Erstellung einer Anfrage bereitzustellen und Zertifikatsformat zu verwenden.

      Digest

      Nur für HTTPS explizite Proxys verfügbar.

      Wird verwendet, um das Konto vor dem Senden sensibler Informationen zu bestätigen, und wendet eine Hash Funktion auf die Benutzername und Passwort, bevor Sie über das Netzwerk übertragen.

      Ntlm

      Nur für http explizite Proxys verfügbar.

      Wie Digest verwendet, um den Account zu bestätigen, bevor sensible Informationen gesendet werden. Verwendet Windows anmelden anstelle des Nutzernamens und Passworts.

      Wenn Sie diese Option auswählen, geben Sie die Active Directory aus, die der Proxy für die Authentifizierung im Feld NTLM verwendet . Geben Sie innerhalb der angegebenen NTLM Domäne im Feld NTLM Workstation den Namen des Proxyarbeitsplatzes (auch als Arbeitsplatzkonto oder Computerkonto bezeichnet) ein .

Befolgen Sie die nächsten Schritte für eine transparente Inspektion oder einen expliziten Proxy.

3

Klicken Sie auf ein Zertifikat für das Stammzertifikat oder Endnutzwerk hochladen, und suchen Sie dann die Stammzertifikat für den expliziten oder transparenten Anrufproxy.

Das Zertifikat ist hochgeladen, aber noch nicht installiert, da der Knoten neu gestartet werden muss, um das Zertifikat zu installieren. Klicken Sie auf den Pfeil unter dem Namen des Zertifikats, um weitere Details zu erhalten, oder klicken Sie auf löschen, Wenn Sie Fehler gemacht haben und die Datei erneut hochladen möchten.

4

Um transparente Inspektionen oder explizite Proxys zu erhalten, klicken Sie auf Proxy aktivieren, um die Netzwerkverbindung zwischen dem Videonetzknoten und dem Proxy zu testen.

Wenn der Verbindungstest ausfällt, wird eine Fehlermeldung angezeigt, die den Grund und die Frage, wie Sie das Problem beheben können, anzeigt.

5

Nachdem der Verbindungstest bestanden hat, aktivieren Sie für den expliziten Proxy den Umschalter auf Alle Port 443-HTTPS-Anfragen von diesem Knoten über den expliziten Proxy weiterleiten. Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden.

6

Klicken Sie auf alle---Anweisungen in den Trust Store installieren (erscheint, wenn ein Stammzertifikat während der Proxykonfiguration hinzugefügt wurde) oder Neustart (wird angezeigt, wenn kein Stammzertifikat hinzugefügt wurde), lesen Sie die Eingabeaufforderung, und klicken Sie dann auf in

Der Knoten startet innerhalb weniger Minuten.

7

Nachdem der Knoten erneut gestartet wurde, melden Sie sich bei Bedarf erneut an, und öffnen Sie dann die Übersichtsseite, um die Verbindungsüberprüfungen zu überprüfen, um sicherzustellen, dass Sie alle im grünen Status sind.

Die Proxyverbindung prüft nur eine Unterdomäne von WebEx.com. Wenn es Verbindungsprobleme gibt, ist ein häufiges Problem, dass einige der in den instructions aufgeführten-C-Domänen beim Proxy gesperrt werden.

Stellvertreterprobleme

Der Datenverkehr durchläuft Proxy

Für Videonetzchen wird der Proxy durch Medien nicht durchquert. Diese-Funktion sendet Signalisierung und Management HTTPS-basierten Datenverkehr an den Proxy. Sie müssen weiterhin die erforderlichen Ports für Medienstreams öffnen, um direkt in die-Cisco zu gelangen.

TCP-Port 444 ist auf Proxy nicht aktiviert

Dieser Port ist eine Anforderung für videonetz, da das videonetz diesen Port verwendet, um auf Cloud-basierte Dienste zuzugreifen, die er verwenden muss, um richtig zu funktionieren. Für diesen Port und die im Video Mesh Deployment Handbuch sowie die Netzwertanforderungen für WebEx Teams Dienste dokumentierten, müssen keine Stellvertretervorrufe abgegeben werden.

Das Filtern des Signalverkehrs per IP-Adresse wird nicht unterstützt, da die von unseren Lösungen verwendeten IP-Adressen dynamisch sind und sich jederzeit ändern können.

Kein Stammzertifikat installiert

Wenn Ihre Knoten mit einem expliziten Proxy sprechen, müssen Sie die Stammzertifikat und eine Ausnahme für diesen URL in Ihrer Firewall eingeben.

Verbindungskontrolle fehlgeschlagen

Wenn die Proxykonnektivität überprüft und die Proxyinstallation abgeschlossen wurde, werden die Verbindungsüberprüfungen auf der Übersichtsseite aus diesen Gründen möglicherweise noch fehlschlagen:

  • Der Proxy prüft den Datenverkehr, der nicht zur WebEx.com führt.

  • Der Proxy blockiert andere Domänen als WebEx.com.

Authentifizierungsdetails sind nicht korrekt

Für Proxys, die einen Authentifizierungsmechanismus verwenden, stellen Sie sicher, dass Sie die richtigen Authentifizierungsdetails im Knoten hinzufügen.

Staus auf dem Proxy

Die Überlastung Ihres Proxy kann zu Verzögerungen führen und den Datenverkehr in die CROCDER. Überprüfen Sie Ihre Proxyumgebung, um zu sehen, ob eine Datendrosselung erforderlich ist.

WebSocket kann nicht über SquID Proxy verbunden werden

Squid-Proxys, die den HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket-Verbindungen (wss:) beeinträchtigen, die für Hybrid Data Security erforderlich ist. Diese Abschnitte geben Anweisungen, wie Sie verschiedene Versionen von Squid konfigurieren, um WSS zu ignorieren: Datenverkehr für den ordnungsgemäßen Ablauf der Services.

Squid 4 und 5

Fügen Sie die on_unsupported_protocol Richtlinie zu squid.conf hinzu:

on_unsupported_protocol Alle tunnel

Squid 3.5.27

Wir haben die Hybriddatensicherheit erfolgreich mit den folgenden Regeln getestet, die zu squid .conf hinzugefügt wurden. Diese Regeln können sich geändert werden, da wir Funktionen entwickeln und die WebEx Cisco aktualisieren.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 alle ssl_bump stare step2 alle ssl_bump bump step3 alle