Saznajte kako postaviti proxy s Cisco Webex Hybrid Data Security i Webex Video Mesh, uključujući zahtjeve i korake za konfiguriranje čvorova za rad s transparentnim proxyjem za provjeru ili eksplicitnim proxyjem. Možete pronaći i osnovne informacije o otklanjanju poteškoća.
U ovom se odjeljku opisuje značajka podrške proxy poslužitelja za hibridnu sigurnost podataka. Namijenjen je dopunjavanju Vodiča za implementaciju cisco webex hibridne sigurnosti podataka, dostupnog na https://www.cisco.com/go/hybrid-data-security. U novoj implementaciji konfigurirate postavljanje proxy poslužitelja na svakom čvoru nakon prijenosa i postavljanja HDS konfiguracije ISO na čvor i prije registracije čvora s Cisco Webex oblakom.
Hibridna sigurnost podataka podržava eksplicitne, transparentne preglede i opunomoćene opunomoćenici. Te proxyje možete povezati s implementacijom da biste mogli osigurati i nadzirati promet od poduzeća do oblaka. Možete koristiti sučelje administratora platforme na čvorovima za upravljanje certifikatima i za provjeru cjelokupnog statusa povezivanja nakon postavljanja proxyja na čvorovima.
Čvorovi hibridne sigurnosti podataka podržavaju sljedeće mogućnosti proxy poslužitelja:
Nema proxyja– zadano ako za integraciju proxy poslužitelja ne koristite konfiguraciju pouzdane pohrane i proxyja za postavljanje HDS čvora. Ažuriranje certifikata nije potrebno.
Prozirni proxy koji ne provjerava– čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava. Ažuriranje certifikata nije potrebno.
Prozirno tuneliranje ili provjera proxyposlužitelja – čvorovi nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na čvorovima nisu potrebne promjene HTTP ili HTTPS konfiguracije. Međutim, čvorovi trebaju korijenski certifikat tako da vjeruju proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i koje vrste sadržaja nisu dopuštene. Ova vrsta proxy poslužitelja dešifrira sav vaš promet (čak i HTTPS).
Eksplicitni proxy– pomoću eksplicitnog proxyja HDS čvorovima govorite koji proxy poslužitelj i shemu provjere autentičnosti koristiti. Da biste konfigurirali eksplicitni proxy, na svaki čvor morate unijeti sljedeće podatke:
Proxy IP /FQDN– adresa koja se može koristiti za dosezanje proxy računala.
Proxy priključak– broj priključka koji proxy koristi za slušanje proxy prometa.
Proxy protokol– ovisno o tome što podržava proxy poslužitelj, odaberite između sljedećih protokola:
HTTP – prikazuje i kontrolira sve zahtjeve koje klijent šalje.
HTTPS – pruža kanal poslužitelju. Klijent prima i provjerava valjanost certifikata poslužitelja.
Vrsta provjere autentičnosti– odaberite jednu od sljedećih vrsta provjere autentičnosti:
Ništa– nije potrebna daljnja provjera autentičnosti.
Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
Osnovno– koristi se za HTTP korisničkog agenta za unošenje korisničkog imena i lozinke prilikom spremanja zahtjeva. Koristi Base64 kodiranje.
Dostupno ako kao proxy protokol odaberete HTTP ili HTTPS.
Zahtijeva unos korisničkog imena i lozinke na svaki čvor.
Digest– koristi se za potvrdu računa prije slanja osjetljivih podataka. Primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže.
Dostupno samo ako kao proxy protokol odaberete HTTPS.
Zahtijeva unos korisničkog imena i lozinke na svaki čvor.
Primjer hibridnih čvorova i proxyja za sigurnost podataka
Blokirani način vanjske razlučivosti DNS-a (eksplicitne konfiguracije proxy poslužitelja)
Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. U implementacijama s eksplicitnim konfiguracijama proxy poslužitelja koje ne dopuštaju vanjsko razrješenje DNS-a za interne klijente, ako čvor ne može postaviti upit DNS poslužiteljima, automatski prelazi u način blokiranog vanjskog razrješenja DNS-a. U ovom načinu rada može se nastaviti registracija čvora i drugi testovi proxy povezivanja.
Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim hibridnim čvorovima sigurnosti podataka.
Prozirni proxy – Cisco Web Security Appliance (WSA).
Eksplicitni proxy – lignje.
Opunomoćenici lignji koji pregledavaju HTTPS promet mogu ometati uspostavljanje websocketa (wss:) veze. Da biste zaobišli taj problem, pročitajte članak "Websocket se ne može povezati putem proxy poslužitelja lignji" u odjeljku Problemi s proxyjem.
Podržavamo sljedeće kombinacije vrsta provjere autentičnosti za eksplicitne opune:
Nema provjere autentičnosti s HTTP ili HTTPS-om
Osnovna provjera autentičnosti s HTTP ili HTTPS-om
Probavi provjeru autentičnosti samo s HTTPS-om
Za prozirni proxy za provjeru ili HTTPS eksplicitni proxy morate imati kopiju korijenskog certifikata proxy poslužitelja. Upute za implementaciju u ovom vodiču govore vam kako prenijeti kopiju u spremišta pouzdanih čvorova hibridne sigurnosti podataka.
Mreža na kojoj se nalaze HDS čvorovi mora biti konfigurirana tako da prisiljava odlazni TCP promet na priključku 443 za usmjeravanje kroz proxy.
Opunomoćenici koji pregledavaju web promet mogu ometati priključke web utičnica. Ako se taj problem pojavi, zaobilaženje (ne provjeravanje) prometa u wbx2.com i ciscospark.com riješit će problem.
Ako mrežno okruženje zahtijeva proxy, pomoću ovog postupka odredite vrstu proxy poslužitelja koju želite integrirati s hibridnom sigurnošću podataka. Ako odaberete prozirni proxy za provjeru ili HTTPS eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instaliranje korijenskog certifikata. Također možete provjeriti proxy vezu sa sučelja i otkloniti sve potencijalne probleme.
Prije nego što počnete
1 | U web-preglednik unesite URL za postavljanje HDS čvora https://[HDS Node IP ili FQDN]/setup, unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava. |
2 | Otvorite Spremište pouzdanosti & proxy, a zatim odaberite mogućnost:
Slijedite sljedeće korake za transparentni proxy za provjeru, HTTP eksplicitni proxy s osnovnom provjerom autentičnosti ili HTTPS eksplicitni proxy. |
3 | Kliknite Prenesi korijenski certifikat ili certifikat krajnjeg entiteta, a zatim pronađite korijenski certifikat za proxy. Certifikat je prenesen, ali još nije instaliran jer morate ponovno pokrenuti čvor da biste instalirali certifikat. Kliknite strelicu ševrona pod nazivom izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku. |
4 | Kliknite Provjeri proxy vezu da biste testirali mrežnu vezu između čvora i proxy poslužitelja. Ako test veze ne uspije, prikazat će se poruka o pogrešci koja prikazuje razlog i način na koji možete ispraviti problem. Ako vam se prikaže poruka da vanjska DNS razlučivost nije uspjela, čvor nije mogao doći do DNS poslužitelja. Ovaj se uvjet očekuje u mnogim eksplicitnim konfiguracijama proxy poslužitelja. Možete nastaviti s postavljanjem i čvor će funkcionirati. Ako mislite da je riječ o pogrešci, dovršite ove korake. Tada možete isključiti način rada. (Pogledajte Isključite blokirani način vanjske razlučivosti DNS-a.) |
5 | Nakon što prođe test povezivanja, za eksplicitni proxy postavljen samo na https, uključite preklopni gumb na Route all port 443/444 https zahtjeve iz ovog čvora putem eksplicitnog proxyja. Ova postavka zahtijeva 15 sekundi da stupi na snagu. |
6 | Kliknite Instaliraj sve certifikate u spremište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy ili prozirni proxy za provjeru) ili Ponovno pokretanje (pojavljuje se za HTTP eksplicitni proxy), pročitajte upit, a zatim kliknite Instaliraj ako ste spremni. Čvor se ponovno pokreće za nekoliko minuta. |
7 | Nakon ponovnog pokretanja čvora ponovno se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste provjerili provjere povezivosti da biste provjerili jesu li svi u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s povezivanjem, čest je problem u tome što se neke domene u oblaku navedene u uputama za instalaciju blokiraju na proxyju. |
Što učiniti sljedeće
Kada registrirate čvor ili provjerite konfiguraciju proxyja čvora, proces testira traženje DNS-a i povezivanje s Cisco Webex oblakom. Ako DNS poslužitelj čvora ne može razriješiti javne DNS nazive, čvor automatski prelazi u način blokirane vanjske razlučivosti DNS-a.
Ako čvorovi mogu razriješiti javne DNS nazive putem internih DNS poslužitelja, ovaj način rada možete isključiti ponovnim testiranjem proxy veze na svakom čvoru.
Prije nego što počnete
1 | U web-pregledniku otvorite sučelje čvora Hibridna sigurnost podataka (IP adresa/postavljanje, na primjer, https://192.0.2.0/setup), unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava. |
2 | Idite na Pregled (zadana stranica). Kada je omogućeno, blokirana vanjska DNS razlučivost postavljena je na Da. |
3 | Idite na stranicu Spremište pouzdanosti i proxy poslužitelj. |
4 | Kliknite Provjeri proxy vezu. Ako se prikaže poruka da vanjsko rješenje DNS-a nije uspjelo, čvor nije mogao doći do DNS poslužitelja i ostat će u tom načinu rada. U suprotnom, nakon ponovnog pokretanja čvora i povratka na stranicu Pregled, blokirana vanjska razlučivost DNS-a trebala bi biti postavljena na ne. |
Što učiniti sljedeće
U ovom se odjeljku opisuje značajka proxy podrške za Webex Video Mesh. Namijenjen je dopunjavanju Vodiča za implementaciju Cisco Webex Video Mesh, dostupnog na https://www.cisco.com/go/video-mesh. U novoj implementaciji konfigurirate postavljanje proxy poslužitelja na svakom čvoru nakon implementacije softvera Video Mesh na okruženje virtualnog računala i prije registracije čvora u oblaku Cisco Webex.
Cisco Webex Video Mesh podržava eksplicitne, transparentne preglede i opunomoćene opunomoćenici. Te proxyje možete povezati s implementacijom webex video mreže kako biste mogli osigurati i nadzirati promet iz tvrtke u oblak. Ova značajka proxyju šalje signalizaciju i upravljanje https-based prometom. Za transparentne proxyje, mrežni zahtjevi iz čvorova Video Mesh prosljeđuju se određenom proxyju putem pravila usmjeravanja poslovne mreže. Korisničko sučelje Webex Video Mesh možete koristiti za upravljanje certifikatima i cjelokupni status povezivanja nakon implementacije proxyja s čvorovima.
Mediji ne putuju putem proxyja. I dalje morate otvoriti potrebne priključke da bi medijski tokovi izravno došli do oblaka. |
Video mesh podržava sljedeće vrste proxy poslužitelja:
Eksplicitni proxy (provjera ili neprocjeđivanje)— Pomoću eksplicitnog proxyja klijentu (čvorovi Video Mesh) recite koji proxy poslužitelj koristiti. Ova mogućnost podržava jednu od sljedećih vrsta provjere autentičnosti:
Ništa – nije potrebna daljnja provjera autentičnosti. (Za HTTP ili HTTPS eksplicitni proxy.)
Osnovno – koristi se za HTTP korisničkog agenta za unos korisničkog imena i lozinke prilikom spremanja zahtjeva i koristi kodiranje u sustavu Base64. (Za HTTP ili HTTPS eksplicitni proxy.)
Digest – koristi se za potvrdu identiteta računa prije slanja osjetljivih podataka i primjenjuje funkciju hasha na korisničko ime i lozinku prije slanja putem mreže. (Za HTTPS eksplicitni proxy.)
NTLM – Kao i Digest, NTLM se koristi za potvrdu identiteta računa prije slanja osjetljivih podataka. Koristi vjerodajnice sustava Windows umjesto korisničkog imena i lozinke. Za ovu shemu provjere autentičnosti potrebno je dovršiti više razmjena. (Za HTTP eksplicitni proxy.)
Prozirni proxy (neprocjemiranje) – čvorovi video mreže nisu konfigurirani za korištenje određene adrese proxy poslužitelja i ne bi trebali zahtijevati nikakve promjene za rad s proxyjem koji ne provjerava.
Prozirni proxy (provjera)— čvorovi video mreže nisu konfigurirani za korištenje određene adrese proxy poslužitelja. Na video mreži nisu potrebne promjene konfiguracije http(a), međutim, čvorovi Video Mesh trebaju korijenski certifikat kako bi vjerovali proxyju. It obično koristi pregled opunomoćenicima za provođenje pravila o tome koje se web stranice mogu posjetiti i vrste sadržaja koje nisu dopuštene. Ova vrsta proxyja dešifrira sav vaš promet (čak i https).
Službeno podržavamo sljedeća proxy rješenja koja se mogu integrirati s vašim Webex Video Mesh čvorovima.
Cisco Web Security Appliance (WSA) za prozirni proxy
Lignje za eksplicitni proxy
Za eksplicitni proxy ili transparentni proxy za provjeru koji provjerava (dešifrira promet) morate imati kopiju korijenskog certifikata proxy poslužitelja koji ćete morati prenijeti u spremište pouzdanih čvorova Webex Video Mesh na web-sučelju.
Podržavamo sljedeće eksplicitne kombinacije vrsta proxyja i provjere autentičnosti:
Nema provjere autentičnosti s http i https
Osnovna provjera autentičnosti s http i https
Probavi provjeru autentičnosti samo s https-om
NTLM provjera autentičnosti samo s http
Za transparentne proxyje morate koristiti usmjerivač / prekidač kako biste prisilili HTTPS / 443 promet da biste prešli na proxy. Također možete prisiliti Web Socket/444 da ode na proxy. (Web-utičnica koristi https.) Priključak 444 ovisi o postavljanju mreže. Ako priključak 444 nije preusmjeren putem proxyja, mora biti otvoren izravno iz čvora u oblak.
Webex Video Mesh zahtijeva povezivanje web utičnice s uslugama u oblaku, tako da čvorovi ispravno funkcioniraju. Prilikom eksplicitne inspekcije i transparentne inspekcije opumljavanja mijenjaju se http zaglavlja koja su potrebna za pravilnu vezu s websocketom, a websocket veze ne uspijevaju.
Simptom kada se to dogodi na priključku 443 (s omogućenim prozirnim proxyjem za provjeru) je upozorenje nakon registracije u Kontrolnom središtu: "Webex Video Mesh SIP pozivi ne rade ispravno." Isti alarm može se pojaviti iz drugih razloga kada proxy nije omogućen. Kada su zaglavlja websocketa blokirana na priključku 443, mediji ne teku između aplikacija i SIP klijenata.
Ako medij ne teče, to se često događa kada https promet iz čvora preko priključka 444 ili priključka 443 ne uspijeva:
Proxy ne provjerava, ali proxy ne dopušta promet priključka 444.
Proxy dopušta promet porta 443 ili porta 444, ali to je proxy za provjeru i razbija websocket.
Da biste ispravili te probleme, možda ćete morati "zaobići" ili "spojiti" (onemogućiti pregled) na priključcima 444 i 443 na: *.wbx2.com i *.ciscospark.com.
Ovaj postupak koristite da biste odredili vrstu proxy poslužitelja koju želite integrirati s Webex video mrežom. Ako odaberete prozirni proxy za provjeru ili eksplicitni proxy, možete koristiti sučelje čvora za prijenos i instaliranje korijenskog certifikata, provjeru proxy veze i rješavanje svih potencijalnih problema.
Prije nego što počnete
1 | U web-preglednik unesite URL za postavljanje Webex videomreže https://[IP ili FQDN/setup, unesite administratorske vjerodajnice koje ste postavili za čvor, a zatim kliknite Prijava. |
||||||||||||
2 | Otvorite Spremište pouzdanosti & proxy, a zatim odaberite mogućnost:
Slijedite sljedeće korake za transparentnu provjeru ili eksplicitni proxy. |
||||||||||||
3 | Kliknite Prenesi korijenski certifikat ili certifikat krajnjeg entiteta, a zatim pronađite i odaberite korijenski certifikat za eksplicitni ili transparentni proxy za provjeru. Certifikat je prenesen, ali još nije instaliran jer čvor treba ponovno pokrenuti da bi se instalirao certifikat. Kliknite strelicu pokraj naziva izdavatelja certifikata da biste dobili više pojedinosti ili kliknite Izbriši ako ste pogriješili i želite ponovno učitati datoteku. |
||||||||||||
4 | Da biste transparentno pregledali ili eksplicitne proxyje, kliknite Provjeri proxy vezu da biste testirali mrežnu vezu između čvora Video Mesh i proxyja. Ako test veze ne uspije, prikazat će se poruka o pogrešci koja prikazuje razlog i način na koji možete ispraviti problem. |
||||||||||||
5 | Nakon što prođe test povezivanja, za eksplicitni proxy uključite preklopni gumb na Route all port 443/444 https zahtjeve s ovog čvora putem eksplicitnog proxyja. Ova postavka zahtijeva 15 sekundi da stupi na snagu. |
||||||||||||
6 | Kliknite Instaliraj sve certifikate u spremište pouzdanosti (pojavljuje se svaki put kada je korijenski certifikat dodan tijekom postavljanja proxy poslužitelja) ili Ponovno pokretanje (pojavljuje se ako nije dodan korijenski certifikat), pročitajte upit, a zatim kliknite Instaliraj ako ste spremni. Čvor se ponovno pokreće za nekoliko minuta. |
||||||||||||
7 | Nakon ponovnog pokretanja čvora ponovno se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste provjerili provjere povezivosti da biste provjerili jesu li svi u zelenom statusu. Provjera proxy veze testira samo poddomenu webex.com. Ako postoje problemi s povezivanjem, čest je problem u tome što se neke domene u oblaku navedene u uputama za instalaciju blokiraju na proxyju. |
Što promet prolazi kroz proxy
Za Video Mesh mediji ne prelaze proxy. Ova značajka proxyju šalje signalizaciju i upravljanje https-based prometom. I dalje morate otvoriti potrebne priključke da bi medijski tokovi izravno došli do oblaka.
TCP priključak 444 nije omogućen na proxyju
Ovaj je priključak uvjet za Video Mesh jer Video Mesh koristi ovaj priključak za pristup uslugama u oblaku koje mora koristiti za ispravno funkcioniranje. Za ovaj priključak potrebno je napraviti iznimku proxyja i ANY kao što je dokumentirano u vodiču za implementaciju video mreže i mrežnim preduvjetima za usluge Webex Teams.
Filtriranje signalnog prometa prema IP adresi nije podržano jer su IP adrese koje koriste naša rješenja dinamične i mogu se promijeniti u bilo kojem trenutku. |
Korijenski certifikat nije instaliran
Kada čvorovi razgovaraju s eksplicitnim proxyjem, morate instalirati korijenski certifikat i unijeti iznimku za taj URL u vatrozid.
Provjera povezivosti nije uspjela
Ako je provjera proxy povezivosti prošla i instalacija proxy poslužitelja je dovršena, provjere povezivosti na stranici pregleda možda i dalje neće uspjeti iz sljedećih razloga:
Proxy pregledava promet koji ne ide na webex.com.
Proxy blokira domene koje nisu webex.com.
Detalji provjere autentičnosti nisu točni
Za opune koji koriste mehanizam provjere autentičnosti provjerite jeste li u čvor dodali ispravne detalje provjere autentičnosti.
Zagušenje na proxyju
Zagušenje na vašem proxyju može uzrokovati kašnjenje i padove s prometom u oblaku. Provjerite svoje proxy okruženje da biste vidjeli je li potrebno ograničavanje prometa.
Websocket se ne može povezati putem proxy poslužitelja lignji
Opunomoćenici lignji koji pregledavaju HTTPS promet mogu ometati uspostavljanje websocketa (wss:) veze koje hibridna sigurnost podataka i Webex video mreža zahtijevaju. U zapisnicima ćete možda vidjeti niz upozorenja kao što je "Ponovno povezivanje WebSocketa..." dok čvor pokušava doći do Webex oblaka. Isprobajte sljedeću konfiguraciju lignje, ovisno o verziji lignje, da biste dobili proxy da zanemari wss: prometa radi pravilnog rada.
Lignje 4 i 5
Dodajte on_unsupported_protocol
direktiva na squid.conf:
on_unsupported_protocol tunnel all
Lignje 3.5.27
Uspješno smo testirali hibridnu sigurnost podataka sa sljedećim pravilima dodanim na squid.conf. Ova pravila podložna su promjenama kako razvijamo značajke i ažuriramo Webex oblak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Uspješno smo testirali Video Mesh sa sljedećim pravilima dodanim na squid.conf. (Video Mesh zahtijeva dva dodatna acls u usporedbi s Hibridnom sigurnošću podataka.) Ova pravila podložna su promjenama kako razvijamo značajke i ažuriramo Webex oblak.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
acl ciscoCloud1 ssl::server_name .wbx2.com
acl ciscoCloud2 ssl::server_name .ciscospark.com
ssl_bump splice wssMercuryConnection
ssl_bump splice ciscoCloud1
ssl_bump splice ciscoCloud2
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all