Ez a szakasz a hibrid adatbiztonság proxytámogatási funkcióját ismerteti. Célja, hogy kiegészítse a Cisco Webex Hybrid Data Security telepítési útmutatóját, amely a címen érhető https://www.cisco.com/go/hybrid-data-securityel: . Egy új központi telepítés esetén konfigurálja a proxybeállítást az egyes csomópontokon, miután feltöltötte és csatlakoztatta a HDS-konfiguráció ISO-t a csomópontra, és mielőtt regisztrálná a csomópontot a Cisco Webex felhőben.

A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.

A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:

  • Nincs proxy– Az alapértelmezett, ha nem használja a HDS-csomópont trust store & proxy konfigurációját proxy integrálásához. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó, nem ellenőrző proxy– A csomópontok nincsenek beállítva egy adott proxykiszolgáló-cím használatára, és nem igényelnek módosításokat a nem ellenőrző proxyval való együttműködéshez. Nincs szükség tanúsítványfrissítésre.

  • Áttetsző bújtatás vagy proxy ellenőrzése– A csomópontok nincsenek beállítva egy adott proxykiszolgáló-cím használatára. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).

  • Explicit proxy– Explicit proxyval meg kell mondania a HDS-csomópontoknak, hogy melyik proxykiszolgálót és hitelesítési sémát használja. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:

    1. Proxy IP/FQDN– A proxygép eléréséhez használható cím.

    2. Proxyport– Olyan portszám, amelyet a proxy a kiforrott forgalom figyelésére használ.

    3. Proxyprotokoll– Attól függően, hogy mit támogat a proxykiszolgáló, válasszon a következő protokollok közül:

      • HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.

      • HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.

    4. Hitelesítési típus– Válasszon a következő hitelesítési típusok közül:

      • Nincsszükség további hitelesítésre.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

      • Alap— HTTP-felhasználói ügynök számára felhasználónév és jelszó megadására szolgál a kérelem során. Base64 kódolást használ.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

      • Kivonat– A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldenénk. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

Példa hibrid adatbiztonsági csomópontokra és proxykra

Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.

  • Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.

    • Átlátszó proxy – Cisco Web Security Appliance (WSA).

    • Explicit proxy – tintahal.


      A HTTPS-forgalmat ellenőrző tintahal proxyk zavarhatják a websocket (wss:) létrehozását. Kapcsolatok. A probléma megkerülésére lásd: "A Websocket nem tud tintahal-proxyn keresztül csatlakozni" című témakörben a Proxy problémák címűtémakörben.

  • Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:

    • Nincs hitelesítés HTTP-vel vagy HTTPS-rel

    • Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel

    • Hitelesítés megemésztése csak HTTPS-rel

  • Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.

  • A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.

  • A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma bekövetkezik, a forgalom megkerülése (nem ellenőrzése) wbx2.com és ciscospark.com megoldja a problémát.

Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

1

Adja meg a HDS-csomópont beállítási URL-címét https://[HDS Node IP vagy FQDN]/setup egy webböngészőben, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget:

  • Nincs proxy– A proxy integrálása előtti alapértelmezett beállítás. Nincs szükség tanúsítványfrissítésre.
  • Áttetsző nem ellenőrző proxy– A csomópontok nincsenek beállítva egy adott proxykiszolgáló-cím használatára, és nem igényelnek módosításokat a nem ellenőrző proxyval való együttműködéshez. Nincs szükség tanúsítványfrissítésre.
  • Áttetsző proxy– A csomópontok nincsenek beállítva egy adott proxykiszolgáló-cím használatára. A hibrid adatbiztonsági üzembe helyezés során nincs szükség HTTPS-konfigurációs módosításokra, azonban a HDS-csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
  • Explicit proxy– Explicit proxyval megmondja az ügyfélnek (HDS-csomópontok), hogy melyik proxykiszolgálót használja, és ez a beállítás több hitelesítési típust is támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat:
    1. Proxy IP/FQDN– A proxygép eléréséhez használható cím.

    2. Proxyport– Olyan portszám, amelyet a proxy a kiforrott forgalom figyelésére használ.

    3. Proxyprotokoll– Válassza ki a http (az ügyféltől kapott összes kérés megtekintése és ellenőrzése) vagy a https (csatornát biztosít a kiszolgálónak, és az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát). Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján.

    4. Hitelesítési típus– Válasszon a következő hitelesítési típusok közül:

      • Nincsszükség további hitelesítésre.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

      • Alap— HTTP-felhasználói ügynök számára felhasználónév és jelszó megadására szolgál a kérelem során. Base64 kódolást használ.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

      • Kivonat– A fiók megerősítésére szolgál, mielőtt bizalmas információkat küldenénk. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak HTTPS proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit.

3

Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát.

A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.

4

Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez.

Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a telepítést, és a csomópont működni fog. Ha úgy gondolja, hogy ez hiba, hajtsa végre ezeket a lépéseket. Ezután kikapcsolhatja a módot. (Lásd: A Blokkolt külső DNS-feloldási mód kikapcsolása.)

5

A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.

6

Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll.

A csomópont néhány percen belül újraindul.

7

A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

Mi a következő lépés

Ismételje meg a proxykonfigurációt a hibrid adatbiztonsági fürt minden csomópontján.

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.

Mielőtt elkezdené

Győződjön meg arról, hogy a belső DNS-kiszolgálók képesek megoldani a nyilvános DNS-neveket, és hogy a csomópontok képesek kommunikálni velük.

1

Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen az Áttekintés (az alapértelmezett lap) oldalra.

Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva.

3

Lépjen a Megbízhatósági áruház és proxy oldalra.

4

Kattintson a Proxykapcsolat ellenőrzéseelemre.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani.

Mi a következő lépés

Ismételje meg a proxykapcsolati tesztet a hibrid adatbiztonsági fürt minden csomópontján.

Ez a szakasz a Webex Video Mesh proxytámogatási funkcióját ismerteti. Célja, hogy kiegészítse a Cisco Webex Video Mesh telepítési útmutatóját, amely a címen érhető https://www.cisco.com/go/video-meshel: . Egy új központi telepítés során konfigurálja a proxybeállítást az egyes csomópontokon, miután telepítette a Video Mesh szoftvert egy virtuális gépkörnyezetben, és mielőtt regisztrálná a csomópontot a Cisco Webex felhőben.

A Cisco Webex Video Mesh támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat a Webex Video Mesh üzembe helyezéséhez kötheti, így biztosíthatja és figyelheti a vállalattól a felhőig irányuló forgalmat. Ez a funkció jelzi és kezelő https-alapú forgalmat küld a proxynak. Átlátszó proxyk esetén a Video Mesh csomópontok hálózati kéréseit a rendszer vállalati hálózati útválasztási szabályokon keresztül továbbítja egy adott proxyra. A Webex Video Mesh felügyeleti felülettel a tanúsítványkezeléshez és az általános kapcsolati állapothoz használható, miután megvalósította a proxyt a csomópontokkal.


A média nem utazik át a proxyn. A médiafolyamok közvetlen eléréséhez továbbra is meg kell nyitnia a szükséges portokat.

A Video Mesh a következő proxytípusokat támogatja:

  • Explicit proxy (ellenőrzés vagy nem ellenőrzés) – Explicit proxyval meg kell mondania az ügyfélnek (Video Mesh csomópontok), hogy melyik proxykiszolgálót használja. Ez a beállítás az alábbi hitelesítési típusok egyikét támogatja:

    • Nincs szükség további hitelesítésre. (HTTP vagy HTTPS explicit proxy esetén.)

    • Alap – HTTP-felhasználói ügynök számára felhasználónév és jelszó megadására szolgál kérés esetén, és Base64 kódolást használ. (HTTP vagy HTTPS explicit proxy esetén.)

    • Kivonat – A fiók identitásának megerősítésére szolgál, mielőtt bizalmas információkat küld, és kivonat funkciót alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül. (HTTPS explicit proxy esetén.)

    • NTLM – A Digesthez hasonlóan az NTLM a fiók személyazonosságának megerősítésére szolgál, mielőtt bizalmas információkat küldene. A felhasználónév és a jelszó helyett Windows hitelesítő adatokat használ. Ehhez a hitelesítési sémához több cserére van szükség. (HTTP explicit proxy esetén.)

  • Átlátszó proxy (nem ellenőrző) – A Video Mesh csomópontok nincsenek beállítva egy adott proxykiszolgáló-cím használatára, és nem igényelnek módosításokat a nem ellenőrző proxyval való együttműködéshez.

  • Átlátszó proxy (ellenőrzés)– A Video Mesh csomópontok nincsenek beállítva egy adott proxykiszolgáló címének használatára. A Video Mesh-en nincs szükség http(s) konfigurációs módosításokra, azonban a Video Mesh csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat a irányelveket, amelyek mely webhelyek látogathatók, és olyan tartalomtípusokat, amelyek nem engedélyezettek. Ez a fajta proxy visszafejti az összes forgalmat (még https is).

1. ábra. Példa a Webex Video Mesh csomópontokra és a proxyra.

Ez a diagram egy példakapcsolatot mutat be a Webex Video Mesh, a hálózat és a proxy között. Az átlátható ellenőrzési és explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a Video Mesh csomópontokra.

  • Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a Webex Video Mesh csomópontjaival.

    • Cisco Web Security Appliance (WSA) az átlátszó proxyhoz

    • Tintahal explicit proxyhoz

  • Egy explicit proxy vagy átlátszó ellenőrző proxy esetében, amely ellenőrzi (visszafejti a forgalmat), rendelkeznie kell a proxy főtanúsítványának egy példányával, amelyet fel kell töltenie a webfelület Webex Video Mesh csomópont-megbízhatósági tárolójába.

  • A következő explicit proxy és hitelesítési típuskombinációkat támogatjuk:

    • Nincs hitelesítés http-vel és https-rel

    • Alapszintű hitelesítés http-vel és https-rel

    • Hitelesítés megemésztése csak https-rel

    • NTLM hitelesítés csak http-vel

  • Átlátszó proxyk esetén az útválasztót/kapcsolót kell használnia, hogy a HTTPS/443 forgalmat a proxyra kényszerítse. Arra is kényszerítheti a Web Socket/444-et, hogy proxyra lépjen. (A webfoglalat https-t használ.) A 444-es port a hálózat beállításától függ. Ha a 444-es port nem a proxyn keresztül van irányítva, akkor közvetlenül a csomópontról a felhőbe kell nyitnia.


    A Webex Video Mesh webfoglalat-kapcsolatokat igényel a felhőszolgáltatásokhoz, hogy a csomópontok megfelelően működjenek. A proxyk explicit ellenőrzése és átlátható ellenőrzése esetén a megfelelő websocket-kapcsolathoz szükséges http-fejlécek módosulnak, és a websocket kapcsolatok meghibásodnak.

    A tünet, amikor ez a 443-as porton történik (engedélyezve az átlátszó ellenőrző proxyval) a Control Hub regisztráció utáni figyelmeztetése: "A Webex Video Mesh SIP hívás nem működik megfelelően." Ugyanez a riasztás más okból is előfordulhat, ha a proxy nincs engedélyezve. Ha a websocket fejlécek le vannak tiltva a 443-as porton, az adathordozók nem áramlanak az alkalmazások és a SIP-ügyfelek között.

    Ha az adathordozó nem áramlik, ez gyakran akkor fordul elő, ha a csomópont https-forgalma a 444-es port vagy a 443-as port felett sikertelen:

    • A proxy nem ellenőrzi, de a proxy nem engedélyezi a 444-es port forgalmát.

    • Port 443 vagy port 444 forgalom által megengedett a proxy, de ez egy ellenőrző proxy, és megtöri a websocket.

    A problémák megoldásához előfordulhat, hogy a 444-es és a 443-as porton "megkerülni" vagy "splice"-t (ellenőrzés letiltása) kell használnia a 444-es és a 443-as porton: *.wbx2.com és *.ciscospark.com.

Ezzel az eljárással adhatja meg, hogy milyen típusú proxyt szeretne integrálni a Webex Video Meshparancsmal. Ha átlátszó ellenőrző proxyt vagy explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt, ellenőrizheti a proxykapcsolatot, és elháríthatja az esetleges problémákat.

1

Adja meg a Webex Video Mesh beállítási URL-címét https://[IP vagy FQDN/setup egy webböngészőben, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget:

  • Nincs proxy– A proxy integrálása előtti alapértelmezett beállítás. Nincs szükség tanúsítványfrissítésre.
  • Áttetsző nem ellenőrző proxy– A Video Mesh csomópontok nincsenek beállítva egy adott proxykiszolgáló-cím használatára, és nem igényelnek módosításokat a nem ellenőrző proxyval való együttműködéshez. Nincs szükség tanúsítványfrissítésre.
  • Áttetsző proxy– A videoháló csomópontok nincsenek beállítva egy adott proxykiszolgáló-cím használatára. Nincs szükség http(s) konfigurációs módosításokra a Video Mesh-en; a Video Mesh csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat a irányelveket, amelyek mely webhelyek látogathatók, és olyan tartalomtípusokat, amelyek nem engedélyezettek. Ez a fajta proxy visszafejti az összes forgalmat (még https is).
  • Explicit proxy– Explicit proxyval meg kell mondania az ügyfélnek (Video Mesh csomópontok), hogy melyik proxykiszolgálót használja, és ez a beállítás több hitelesítési típust is támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat:
    1. Proxy IP/FQDN– A proxygép eléréséhez használható cím.

    2. Proxyport– Olyan portszám, amelyet a proxy a kiforrott forgalom figyelésére használ.

    3. Proxyprotokoll– Válassza a http (Video Mesh alagutak https forgalmát a http proxyn keresztül) vagy https -t (a Video Mesh csomópontról a proxyra irányuló forgalom a https protokollt használja). Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján.

    4. A proxykörnyezettől függően a következő hitelesítési típusok közül választhat:

      beállítás

      Használat

      Egy sem

      Válassza a HTTP- vagy HTTPS-explicit proxykat, ahol nincs hitelesítési módszer.

      Alapvető

      Elérhető HTTP vagy HTTPS explicit proxykhoz.

      Http-felhasználói ügynökhöz használható felhasználónév és jelszó megadásához kérés esetén, és Base64 kódolást használ.

      Emészt

      Csak HTTPS explicit proxykhoz érhető el.

      A fiók bizalmas információk küldése előtt történő megerősítésére szolgál, és kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

      NTLM

      Csak HTTP explicit proxykhoz érhető el.

      A Digesthez hasonlóan a fiók megerősítésére szolgál, mielőtt bizalmas információkat küld. A felhasználónév és a jelszó helyett Windows hitelesítő adatokat használ.

      Ha ezt a beállítást választja, írja be azt az Active Directory tartományt, amelyet a proxy a hitelesítéshez használ az NTLM tartomány mezőben. Adja meg a proxy munkaállomás nevét (más néven munkaállomás-fiók vagy gépfiók) a megadott NTLM tartományban az NTLM munkaállomás mezőben.

Kövesse az átlátható ellenőrzés vagy explicit proxy következő lépéseit.

3

Kattintson a Főtanúsítvány feltöltése vagy a végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg és válassza ki az explicit vagy átlátható ellenőrző proxy főtanúsítványát.

A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítani a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével rendelkező nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.

4

Az átlátszó ellenőrzéshez vagy explicit proxykhoz kattintson a Proxykapcsolat ellenőrzése gombra a Video Mesh csomópont és a proxy közötti hálózati kapcsolat teszteléséhez.

Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást.

5

Miután a csatlakozási teszt áthaladt, explicit proxy esetén kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra a csomópontról az explicit proxyn keresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.

6

Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (akkor jelenik meg, amikor a proxy beállítása során főtanúsítványt adtak hozzá) vagy indítsa el (akkor jelenik meg, ha nem adtak hozzá főtanúsítványt), olvassa el a parancssort, majd kattintson a Telepítés gombra, ha készen áll.

A csomópont néhány percen belül újraindul.

7

A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

Milyen forgalom megy keresztül Proxy

A Video Mesh esetében az adathordozó nem halad át a proxyn. Ez a funkció jelzi és kezelő https-alapú forgalmat küld a proxynak. A médiafolyamok közvetlen eléréséhez továbbra is meg kell nyitnia a szükséges portokat.

A 444-es TCP-port nincs engedélyezve proxyn

Ez a port a Video Mesh követelménye, mivel a Video Mesh ezt a portot használja a felhőalapú szolgáltatások eléréséhez, amelyeket a megfelelő működéshez kell használnia. Ehhez a porthoz és az ANY-hoz proxy kivételt kell tenni a Video Mesh üzembe helyezési útmutatójában és a Webex Teams-szolgáltatások hálózati követelményeibendokumentálva.


A jelátvitel IP-cím szerinti szűrése nem támogatott, mivel a megoldásaink által használt IP-címek dinamikusak, és bármikor változhatnak.

Nincs telepítve főtanúsítvány

Amikor a csomópontok explicit proxyval beszélgetnek, telepítenie kell a főtanúsítványt, és kivételt kell adnia az adott URL-címhez a tűzfalon.

A kapcsolat ellenőrzése sikertelen

Ha a proxykapcsolat ellenőrzése befejeződött, és a proxy telepítése befejeződött, az áttekintő oldalon végzett kapcsolatellenőrzések az alábbi okok miatt továbbra is meghiúsulhatnak:

  • A proxy ellenőrzi a forgalmat, amely nem megy webex.com.

  • A proxy a webex.com kívüli tartományokat blokkolja.

A hitelesítési adatok helytelenek

A hitelesítési mechanizmust használó proxyk esetében győződjön meg arról, hogy a megfelelő hitelesítési adatokat adja hozzá a csomóponthoz.

Torlódás a proxyn

A proxy torlódása késést okozhat, és csökkenhet a felhőbe irányuló forgalommal. Ellenőrizze a proxykörnyezetet, hogy szükség van-e forgalomkorlátozásra.

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

A HTTPS-forgalmat ellenőrző tintahal-proxyk zavarhatják a websocket létrehozását (wss:) a hibrid adatbiztonság és a Webex Video Mesh által igényelt kapcsolatok. A naplókban egy sor figyelmeztetés is látható, például: "A WebSocket újracsatlakozása..." csomópontként megpróbálja elérni a Webex felhőt. Próbálja ki a tintahal következő konfigurációját a tintahal verziójától függően, hogy a proxy figyelmen kívül hagyja a wss-t: a megfelelő működéshez.

Tintahal 4 és 5

Adja hozzá a on_unsupported_protocolsquid.confirányelv:

on_unsupported_protocol tunnel all

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályokkal, amelyek hozzáadva vannak a squid.conf.conf-hez. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Sikeresen teszteltük a Video Mesh-et a következő szabályokkal, amelyek hozzáadva vannak a squid.conf-hez.(A Video Mesh két további acls-t igényel a hibrid adatbiztonsághoz képest.) Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex mercury-connection
acl ciscoCloud1 ssl::server_name .wbx2.com
acl ciscoCloud2 ssl::server_name .ciscospark.com

ssl_bump splice wssMercuryConnection
ssl_bump splice ciscoCloud1
ssl_bump splice ciscoCloud2

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all