Cette section décrit la fonction de prise en charge du proxy pour la sécurité des données hybrides. Il est conçu pour compléter le Guide de déploiement de Cisco Webex sécurité des données hybrides, disponible à l’adresse https://www.cisco.com/go/hybrid-data-security. Dans un nouveau déploiement, vous configurez l’installation du proxy sur chaque nœud après avoir téléchargé et monté le fichier ISO de configuration HDS sur le nœud, et avant d’enregistrer le nœud avec le Cisco Webex Cloud.

Prise en charge du proxy

La sécurité des données hybrides prend en charge l’inspection explicite, transparente et les proxys sans inspection. Vous pouvez lier ces proxies à votre déploiement pour que vous puissiez sécuriser et surveiller le trafic de l’entreprise vers le Cloud. Vous pouvez utiliser une interface d’administration de plateforme sur les nœuds pour gestion des certificats et vérifier le statut de connectivité générale après avoir configuré le proxy sur les nœuds.

Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :

  • Aucun proxy—La valeur par défaut si vous n'utilisez pas le nœud HDS Configuration Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est requise.

  • Proxy sans inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy sans inspection. Aucune mise à jour du certificat n’est requise.

  • Proxy transparent à effet tunnel ou inspection–Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucune modification de configuration HTTP ou HTTPs n’est nécessaire sur les nœuds. Cependant, les nœuds nécessitent un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs).

  • Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :

    1. IP/FDQN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.

    2. Port du proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.

    3. Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :

      • HTTP — affiche et contrôle toutes les demandes envoyées par le client.

      • HTTPs — fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.

    4. Type d'authentification—Choisissez parmi les types d'authentification suivants :

      • Aucune—Aucune autre authentification n'est requise.

        Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.

      • Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise le codage Base64.

        Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.

        Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.

      • Résumé—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.

        Disponible uniquement si vous sélectionnez HTTPs comme protocole proxy.

        Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.

Exemple de nœuds de sécurité des données hybrides et proxy

Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy inspection transparente et de l’inspection HTTPs explicites, la même certificat racine doit être installée sur le proxy et sur les nœuds de sécurité des données hybrides.

Mode de résolution DNS externe bloqué (configurations proxy explicites)

Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Dans les déploiements avec des configurations proxy explicites qui n’autorisent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloqué. Dans ce mode, l’inscription du nœud et autres tests de connectivité du proxy peuvent se poursuivre.

Configuration requise du serveur proxy

  • Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s’intégrer à vos nœuds de sécurité des données hybrides.

  • Nous prenons en charge les combinaisons de types d’authentification suivantes pour les proxys explicites :

    • Aucune authentification avec HTTP ou HTTPs

    • Authentification de base avec HTTP ou HTTPs

    • Authentification Digest avec HTTPs uniquement

  • Pour un proxy d’inspection transparent ou un proxy HTTPs explicite, vous devez avoir une copie de l’certificat racine du proxy. Les instructions de déploiement contenues dans ce guide vous indiquent comment télécharger la copie dans les banques de confiance des nœuds de sécurité des données hybrides.

  • Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à acheminer via le proxy.

  • Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions Web Socket. Si ce problème se produit, le passage du trafic (qui ne s’inspecte pas) à wbx2.com et ciscospark.com résoudra le problème.

Configurer le nœud HDS pour l’intégration du proxy

Si l’environnement réseau nécessite un proxy, suivez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d’inspection transparent ou un proxy HTTPs explicite, vous pouvez utiliser l’interface du nœud pour charger et installer la certificat racine. Vous pouvez également vérifier la connexion du proxy à partir de l’interface et résoudre les problèmes potentiels.

Avant de commencer

1

Entrez l’URL de configuration du nœud HDS https://[HDS du nœud IP ou FDQN]/Setup dans un navigateur Web, saisissez les identifiants d’administrateur que vous avez configurés pour le nœud, puis cliquez sur connexion.

2

Allez à Trust Store & proxy, puis choisissez une option :

  • Aucun proxy—L'option par défaut avant d'intégrer un proxy. Aucune mise à jour du certificat n’est requise.
  • Proxy sans inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy sans inspection. Aucune mise à jour du certificat n’est requise.
  • Proxy d'inspection transparente—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucune modification de la configuration HTTPs n’est nécessaire sur le déploiement de sécurité des données hybrides, cependant, les nœuds HDS ont besoin d’un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs).
  • Proxy explicite–Avec un proxy explicite, vous indiquez au client (nœuds HDS) quel serveur proxy utiliser et cette option prend en charge plusieurs types d'authentification. Après avoir choisi cette option, vous devez saisir les informations suivantes :

    1. IP/FDQN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.

    2. Port du proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.

    3. Protocole proxy—Choisissez http (visualise et contrôle toutes les demandes reçues du client) ou https (fournit un canal au serveur et le client reçoit et valide le certificat du serveur). Choisissez une option en fonction de ce que votre Serveur Proxy prend en charge.

    4. Type d'authentification—Choisissez parmi les types d'authentification suivants :

      • Aucune—Aucune autre authentification n'est requise.

        Disponible pour les proxys HTTP ou HTTPs.

      • Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise le codage Base64.

        Disponible pour les proxys HTTP ou HTTPs.

        Si vous choisissez cette option, vous devez également saisir le nom d’utilisateur et le mot de passe.

      • Résumé—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.

        Disponible uniquement pour les proxies HTTPs.

        Si vous choisissez cette option, vous devez également saisir le nom d’utilisateur et le mot de passe.

Suivez les étapes suivantes pour un proxy d’inspection transparent, un proxy HTTP explicite avec l’authentification de base, ou un proxy HTTPs explicite.

3

Cliquez sur Télécharger un certificat racine ou un certificat d’entité finale, puis allez à un choix de l’certificat racine pour le proxy.

Le certificat est chargé mais n’a pas encore été installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche du chevron en regard du nom de l’émetteur du certificat pour obtenir plus de détails ou cliquez sur supprimer si vous avez fait une erreur et souhaitez recharger le fichier.

4

Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy.

Si le test de connexion échoue, vous voyez un message d’erreur qui montre la raison et comment vous pouvez corriger le problème.

Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS. Cette situation est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez poursuivre la configuration et le nœud fonctionnera en mode de résolution DNS externe bloqué. Si vous pensez qu'il s'agit d'une erreur, effectuez ces étapes et consultez Désactiver le mode de résolution DNS externe bloqué.

5

Lorsque le test de connexion réussit, pour le proxy explicite configuré sur HTTPS uniquement, désactivez l’option Activer pour acheminer toutes les demandes HTTPS du port 443/444 à partir de ce nœud via le proxy explicite. Ce paramètre nécessite que 15 secondes prennent effet.

6

Cliquez sur installer tous les certificats dans la Banque de confiance (s’affiche pour un proxy explicite HTTPS ou un proxy d’inspection transparent) ou Redémarrez (s’affiche pour un proxy http explicite), lisez l’invite, puis cliquez sur installer si vous êtes prêt (e).

Le nœud redémarre dans quelques minutes.

7

Après le redémarrage du nœud, reconnectez-vous si nécessaire, puis ouvrez la page de présentation pour vérifier les vérifications de connectivité pour vérifier qu’elles sont toutes dans le statut vert.

La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S’il y a des problèmes de connectivité, un problème commun est que certains domaines du Cloud listés dans les instructions d’installation sont bloqués sur le proxy.

Désactiver le mode de résolution DNS externe bloqué

Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloqué.

Si vos nœuds peuvent résoudre les noms DNS publics via les serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion du proxy sur chaque nœud.

Avant de commencer

Assurez-vous que vos serveurs DNS internes peuvent résoudre les noms DNS publics et que vos nœuds peuvent communiquer avec eux.
1

Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification de l'administrateur que vous avez configurées pour le nœud, puis cliquez sur Se connecter.

2

Allez à Aperçu (page par défaut).

Lorsque cette option est activée, la résolution DNS externe bloquée est paramétrée sur Oui.

3

Allez à la page proxy de la Banque de confiance & .

4

Cliquez sur Vérifier la connexion du proxy.

Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenez à la page d’aperçu, la résolution DNS externe bloquée doit être configurée sur non.

Que faire ensuite

Répétez le test de connexion du proxy sur chaque nœud dans votre cluster de sécurité des données hybrides.

Cette section décrit la fonction de prise en charge du proxy pour Webex maillage vidéo. Il est conçu pour compléter le Guide de déploiement de maillage vidéo Cisco Webex, disponible à l’adresse https://www.cisco.com/go/video-mesh. Dans un nouveau déploiement, vous configurez l’installation du proxy sur chaque nœud après avoir déployé le logiciel de maillage vidéo sur un environnement Machine virtuelle et avant d’enregistrer le nœud avec le Cisco Webex Cloud.

Prise en charge du proxy pour le maillage vidéo

Le maillage vidéo prend en charge les proxys explicites, transparents et non-inspectés. Vous pouvez lier ces proxys à votre déploiement de maillage vidéo afin de pouvoir sécuriser et surveiller le trafic de l’entreprise vers le Cloud. Cette fonctionnalité envoie une signalisation et une gestion du trafic https au proxy. Pour les proxys transparents, les demandes réseau des nodes de maillage vidéo sont mandataires vers un proxy spécifique via les règles d’acheminement du réseau d’entreprise. Vous pouvez utiliser l’interface d’administration du maillage vidéo pour la gestion des certificats et l’état global de la connectivité après avoir implémenté le proxy avec les nœuds.

Le média ne se déplace pas dans le proxy. Vous devez toujours ouvrir les ports requis pour que les flux de médias atteignent le Cloud directement. Voir Gestion des ports et protocoles.

Les types de proxy suivants sont pris en charge par le maillage vidéo :

  • Proxy explicite (inspection ou non-inspection) — avec proxy explicite, vous dites au client (nœuds de maillage vidéo) qui Serveur Proxy à utiliser. Cette option prend en charge l’un des types d’authentification suivants :

    • Aucun — aucune autre authentification n’est requise. (Pour le proxy explicite HTTP ou HTTPs.)

    • Basique — utilisé pour un agent utilisateur HTTP pour fournir un nom d’utilisateur et un mot de passe lorsqu’il fait une demande et utilise le codage Base64. (Pour le proxy explicite HTTP ou HTTPs.)

    • Digest — utilisé pour confirmer l’identité du compte avant d’envoyer des informations sensibles et applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant d’envoyer sur le réseau. (Pour le proxy explicite HTTPs.)

    • NTLM — comme Digest, NTLM est utilisé pour confirmer l’identité du compte avant d’envoyer des informations sensibles. Utilise les identifiants Windows au lieu du nom d’utilisateur et du mot de passe. Ce schéma d’authentification nécessite que plusieurs échanges soient terminés. (Pour le proxy HTTP explicite.)

  • Proxy transparent (ne pas inspecter) — les nœuds de maillage vidéo ne sont pas configurés pour utiliser une adresse Serveur Proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy qui ne s’inspecte pas.

  • Proxy transparent (inspection) — les nœuds de maillage vidéo ne sont pas configurés pour utiliser une adresse Serveur Proxy spécifique. Aucune modification de la configuration http (s) n’est nécessaire sur le maillage vidéo, cependant, les nœuds de maillage vidéo ont besoin d’un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer des politiques concernant les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même https).

Exemple de nœuds de maillage vidéo et de proxy
Configuration minimale requise pour la prise en charge du proxy pour le maillage vidéo

  • Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s’intégrer à vos nœuds de maillage vidéo.

    • Appliance Cisco Web Security (WSA) pour proxy transparent

    • Squid pour Proxy explicite

  • Pour un proxy explicite ou un proxy d’inspection transparent qui inspecte (déchiffre le trafic), vous devez avoir une copie du certificat racine du proxy que vous devez télécharger dans le magasin de confiance du nœud de maillage vidéo sur l’interface Web.

  • Nous prenons en charge les combinaisons de proxy explicite et de type d’authentification suivantes :

    • Aucune authentification avec http et https

    • Authentification de base avec http et https

    • Authentification Digest avec HTTPS uniquement

    • Authentification NTLM avec http uniquement

  • Pour les proxies transparents, vous devez utiliser le routeur/commutateur pour forcer le trafic HTTPs/443 à aller sur le proxy. Vous pouvez également forcer Web Socket à aller sur le proxy. (Le socket Web utilise le protocole HTTPS.)

    Le maillage vidéo nécessite des connexions de socket Web aux services du Cloud, afin que les nœuds fonctionnent correctement. Sur l'inspection explicite et l'inspection transparente des proxys, les en-têtes http sont nécessaires pour une connexion websocket appropriée. S'ils sont modifiés, la connexion websocket échoue.

    Lorsque l’échec de la connexion websocket se produit sur le port 443 (avec proxy d’inspection transparent activé), cela entraîne un avertissement post-enregistrement dans Control Hub : « L’appel SIP du maillage vidéo Webex ne fonctionne pas correctement. » La même alarme peut se produire pour d’autres raisons lorsque le proxy n’est pas activé. Lorsque les en-têtes WebSocket sont bloqués sur le port 443, le média ne circule pas entre les applications et les clients SIP.

    Si le média ne circule pas, cela se produit souvent lorsque le trafic https à partir du nœud via le port 443 échoue :

    • Le trafic du port 443 est autorisé par le proxy, mais il s'agit d'un proxy d'inspection et rompt la websocket.

    Pour corriger ces problèmes, vous devrez peut-être « contourner » ou « épisser » (désactiver l’inspection) sur le port 443 vers : *.wbx2.com et *.ciscospark.com.

Configurer le nœud du maillage vidéo pour l’intégration du proxy

Utilisez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à un maillage vidéo. Si vous choisissez un proxy d’inspection transparent ou un proxy explicite, vous pouvez utiliser l’interface du nœud pour charger et installer le certificat racine, vérifier la connexion du proxy et résoudre les problèmes potentiels.

Avant de commencer

1

Saisissez l’URL d’installation du maillage vidéo https://[IP ou FQDN/setup dans un navigateur Web, saisissez les informations d’authentification de l’administrateur que vous avez configurées pour le nœud, puis cliquez sur Se connecter.

2

Allez à Trust Store & proxy, puis choisissez une option :

  • Aucun proxy—L'option par défaut avant d'intégrer un proxy. Aucune mise à jour du certificat n’est requise.
  • Proxy transparent non inspectant—Les nœuds de maillage vidéo ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n’est requise.
  • Proxy d'inspection transparente—Les nœuds de maillage vidéo ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucune modification de la configuration http (s) n’est nécessaire sur le maillage vidéo ; Cependant, les nœuds de maillage vidéo ont besoin d’un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer des politiques concernant les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même https).
  • Proxy explicite–Avec un proxy explicite, vous indiquez au client (nœuds de maillage vidéo) quel serveur proxy utiliser, et cette option prend en charge plusieurs types d’authentification. Après avoir choisi cette option, vous devez saisir les informations suivantes :

    1. IP/FDQN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.

    2. Port du proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.

    3. Protocole proxy–Choisissez http (Le maillage vidéo tunnel son trafic https via le proxy http) ou https (le trafic du nœud de maillage vidéo vers le proxy utilise le protocole https). Choisissez une option en fonction de ce que votre Serveur Proxy prend en charge.

    4. Choisissez parmi les types d’authentification suivants, selon votre environnement proxy :

      Option

      Utilisation

      Aucun

      Choisissez pour les proxys explicites HTTP ou HTTPs lorsqu’il n’y a pas de méthode d’authentification.

      Simple

      Disponible pour les proxys explicites HTTP ou HTTPs.

      Utilisé pour un agent utilisateur HTTP pour fournir un nom d’utilisateur et un mot de passe lorsqu’il fait une demande et utilise le codage Base64.

      Digérer

      Disponible uniquement pour les proxys explicites HTTPs.

      Utilisé pour confirmer le compte avant d’envoyer des informations sensibles et applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.

      Ntlm

      Disponible uniquement pour les proxys HTTP explicites.

      Comme Digest, utilisé pour confirmer le compte avant d’envoyer des informations sensibles. Utilise les identifiants Windows au lieu du nom d’utilisateur et du mot de passe.

      Si vous choisissez cette option, saisissez le Active Directory domaine que le proxy utilise pour l’authentification dans le champ domaine NTLM . Entrez le nom de la station de travail proxy (également appelé compte de station de travail ou compte d’ordinateur) dans le domaine NTLM spécifié dans le champ de la station de travail NTLM .

Suivez les étapes suivantes pour une inspection transparente ou un proxy explicite.

3

Cliquez sur Télécharger un certificat racine ou un certificatd’entité finale, puis recherchez et choisissez le certificat racine pour le proxy d’inspection explicite ou transparent.

Le certificat est chargé mais n’a pas encore été installé car le nœud doit être redémarré pour installer le certificat. Cliquez sur la flèche en regard du nom de l’émetteur du certificat pour obtenir plus de détails ou cliquez sur supprimer si vous avez fait une erreur et souhaitez recharger le fichier.

4

Pour l’inspection transparente ou les proxys explicites, cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud de maillage vidéo et le proxy.

Si le test de connexion échoue, vous voyez un message d’erreur qui montre la raison et comment vous pouvez corriger le problème.

5

Après la réussite du test de connexion, pour le proxy explicite, activez le commutateur pour Router toutes les demandes https du port 443 de ce nœud via le proxy explicite. Ce paramètre nécessite que 15 secondes prennent effet.

6

Cliquez sur installer tous les certificats dans la Banque de confiance (s’affiche chaque fois qu’un certificat racine a été ajouté pendant l’installation du proxy) ou Redémarrez (s’affiche si aucun certificat racine n’a été ajouté), lisez l’invite, puis cliquez sur installer si vous êtes prêt.

Le nœud redémarre dans quelques minutes.

7

Après le redémarrage du nœud, reconnectez-vous si nécessaire, puis ouvrez la page de présentation pour vérifier les vérifications de connectivité pour vérifier qu’elles sont toutes dans le statut vert.

La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S’il y a des problèmes de connectivité, un problème commun est que certains domaines du Cloud listés dans les instructions d’installation sont bloqués sur le proxy.

Problèmes de proxy

Ce que le trafic traverse via le proxy

Pour le maillage vidéo, le média ne traverse pas le proxy. Cette fonctionnalité envoie le trafic HTTPS de signalisation et de gestion vers le proxy. Vous devez toujours ouvrir les ports requis pour que les flux de médias soient accessibles directement sur le Cloud.

Le port TCP 444 n’est pas activé sur le proxy

Ce port est une exigence pour le maillage vidéo, car le maillage vidéo utilise ce port pour accéder aux services basés sur le Cloud qu’il doit utiliser pour fonctionner correctement. Une exception de proxy doit être effectuée pour ce port et tout comme indiqué dans le Guide de déploiement du maillage vidéo et les exigences réseau pour les services WebEx teams.

Le filtrage du trafic de signalisation par adresse IP n’est pas pris en charge car les adresses IP utilisées par nos solutions sont dynamiques et peuvent changer à tout moment.

Aucun certificat racine n’a été installé

Lorsque vos nœuds communiquent avec un proxy explicite, vous devez installer le certificat racine et saisir une exception pour cette URL sur votre pare-feu.

Échec de la vérification de la connectivité

Si la vérification de la connectivité du proxy a réussi et que l’installation du proxy est terminée, les vérifications de connectivité sur la page d’aperçu peuvent toujours échouer pour les raisons suivantes :

  • Le proxy inspecte le trafic qui ne passe pas à webex.com.

  • Le proxy bloque les domaines autres que webex.com.

Les détails d’authentification sont incorrects

Pour les proxys qui utilisent un mécanisme d’authentification, assurez-vous d’ajouter les détails d’authentification corrects dans le nœud.

Congestion sur le proxy

L’encombrement de votre proxy peut causer des retards et des chutes avec le trafic vers le Cloud. Vérifiez votre environnement proxy pour voir si la limitation du trafic est requise.

WebSocket ne peut pas se connecter via le proxy Squid

Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l’établissement des connexions websocket (wss :) nécessaires pour la sécurité des données hybrides. Ces sections fournissent des conseils sur la façon de configurer différentes versions de Squid pour ignorer WSS : le trafic pour un fonctionnement correct des services.

Squid 4 et 5

Ajoutez la on_unsupported_protocol directive à squid.conf :

on_unsupported_protocol tunnel tous

Squid 3.5.27

Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid. conf. Ces règles sont sujettes à modification au fur et à mesure que nous élaborons des fonctionnalités et que nous mettons à jour le Webex Cloud.

acl wssMercuryConnection ssl ::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl étape1 at_step SslBump1 acl étape2 at_step SslBump2 acl étape3 at_step SslBump3 ssl_bump peek étape1 tous ssl_bump stare étape2 tous ssl_bump bump étape3 tous