Ez a szakasz a hibrid adatbiztonság proxytámogatási funkcióját ismerteti. Célja, hogy kiegészítse a Cisco Webex Hybrid Data Security telepítési útmutatóját, amely a címen érhető https://www.cisco.com/go/hybrid-data-securityel: . Egy új központi telepítés esetén konfigurálja a proxybeállítást az egyes csomópontokon, miután feltöltötte és csatlakoztatta a HDS-konfiguráció ISO-t a csomópontra, és mielőtt regisztrálná a csomópontot a Cisco Webex felhőben.

Proxy támogatás

A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.

A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:

  • Nincs proxy – Az alapértelmezett, ha nem használja a Megbízhatósági tároló és proxy konfigurációt a HDS-csomópont beállításához a proxy integrálásához. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó, nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.

  • Átlátszó alagútépítés vagy ellenőrzés proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).

  • Explicit proxy – Az explicit proxy segítségével megmondja a HDS-csomópontoknak, hogy melyik proxykiszolgálót és hitelesítési sémát kell használni. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:

    1. Proxy IP/FQDN – a proxygép elérésére használható cím.

    2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.

    3. Proxyprotokoll – Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:

      • HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.

      • HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.

    4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:

      • Nincs – Nincs szükség további hitelesítésre.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

      • Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.

        Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

      • Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.

        Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

Példa hibrid adatbiztonsági csomópontokra és proxykra

Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.

Proxykiszolgálói követelmények

  • Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.

    • Átlátszó proxy – Cisco Web Security Appliance (WSA).

    • Explicit proxy – tintahal.

      A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását. A probléma megoldásához lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz.

  • Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:

    • Nincs hitelesítés HTTP-vel vagy HTTPS-rel

    • Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel

    • Hitelesítés megemésztése csak HTTPS-rel

  • Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.

  • A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.

  • A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma bekövetkezik, a forgalom megkerülése (nem ellenőrzése) wbx2.com és ciscospark.com megoldja a problémát.

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

1

Adja meg a HDS-csomópont beállítási URL-címét https://[HDS Node IP vagy FQDN]/setup egy webböngészőben, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget:

  • Nincs proxy – Az alapértelmezett beállítás a proxy integrálása előtt. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó ellenőrző proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A hibrid adatbiztonsági üzembe helyezés során nincs szükség HTTPS-konfigurációs módosításokra, azonban a HDS-csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
  • Explicit proxy – Az explicit proxy segítségével megmondja az ügyfélnek (HDS-csomópontok), hogy melyik proxykiszolgálót kell használni, és ez a beállítás több hitelesítési típust támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat:

    1. Proxy IP/FQDN – a proxygép elérésére használható cím.

    2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.

    3. Proxyprotokoll – Válassza a http lehetőséget (az ügyféltől kapott összes kérést megtekintheti és vezérli) vagy a https lehetőséget (csatornát biztosít a szervernek, és az ügyfél megkapja és érvényesíti a szerver tanúsítványát). Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján.

    4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:

      • Nincs – Nincs szükség további hitelesítésre.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

      • Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.

        Elérhető HTTP- vagy HTTPS-proxykhoz.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

      • Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

        Csak HTTPS proxykhoz érhető el.

        Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is.

Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit.

3

Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát.

A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.

4

Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez.

Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a beállítást, és a csomópont blokkolt külső DNS-feloldási módban fog működni. Ha úgy gondolja, hogy ez hiba, hajtsa végre ezeket a lépéseket, majd tekintse meg a Blokkolt külső DNS-feloldási mód kikapcsolása című ismertetőt.

5

A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.

6

Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll.

A csomópont néhány percen belül újraindul.

7

A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

A blokkolt külső DNS-feloldási mód kikapcsolása

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.

Mielőtt elkezdené

Győződjön meg arról, hogy a belső DNS-kiszolgálók képesek megoldani a nyilvános DNS-neveket, és hogy a csomópontok képesek kommunikálni velük.
1

Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.

2

Lépjen az Áttekintés (az alapértelmezett lap) oldalra.

Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva.

3

Lépjen a Megbízhatósági áruház és proxy oldalra.

4

Kattintson a Proxykapcsolat ellenőrzéseelemre.

Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani.

Mi a következő lépés

Ismételje meg a proxykapcsolati tesztet a hibrid adatbiztonsági fürt minden csomópontján.

Ez a szakasz a Webex Video Mesh proxytámogatási funkcióját ismerteti. Célja, hogy kiegészítse a Cisco Webex Video Mesh telepítési útmutatóját, amely a címen érhető https://www.cisco.com/go/video-meshel: . Egy új központi telepítés során konfigurálja a proxybeállítást az egyes csomópontokon, miután telepítette a Video Mesh szoftvert egy virtuális gépkörnyezetben, és mielőtt regisztrálná a csomópontot a Cisco Webex felhőben.

Proxy támogatás a Video Mesh-hez

A Video Mesh támogatja az explicit, átlátható ellenőrzést és az ellenőrzés nélküli proxykat. Ezeket a proxykat a Video Mesh-telepítéséhez kötheti, így biztonságossá teheti és felügyelheti a vállalati forgalmat a felhőbe. Ez a funkció jelzést küld és kezeli a https alapú forgalmat a proxynak. Az átlátszó proxyk esetében a Video Mesh csomópontok hálózati kéréseit a vállalati hálózati útválasztási szabályokon keresztül egy adott proxyhoz továbbítják. A proxynak a csomópontokkal való végrehajtása után a Video Mesh rendszergazdai felületét használhatja a tanúsítványkezeléshez és az általános kapcsolati állapothoz.

A média nem halad át a proxyn. Továbbra is meg kell nyitnia a szükséges portokat, hogy a médiafolyamok közvetlenül elérjék a felhőt. Lásd: Kezelési portok és protokollok.

A Video Mesh a következő proxytípusokat támogatja:

  • Explicit proxy (ellenőrzés vagy nem ellenőrzés) – Explicit proxyval meg kell mondania az ügyfélnek (Video Mesh csomópontok), hogy melyik proxykiszolgálót használja. Ez a beállítás az alábbi hitelesítési típusok egyikét támogatja:

    • Nincs szükség további hitelesítésre. (HTTP vagy HTTPS explicit proxy esetén.)

    • Alap – HTTP-felhasználói ügynök számára felhasználónév és jelszó megadására szolgál kérés esetén, és Base64 kódolást használ. (HTTP vagy HTTPS explicit proxy esetén.)

    • Kivonat – A fiók identitásának megerősítésére szolgál, mielőtt bizalmas információkat küld, és kivonat funkciót alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül. (HTTPS explicit proxy esetén.)

    • NTLM – A Digesthez hasonlóan az NTLM a fiók személyazonosságának megerősítésére szolgál, mielőtt bizalmas információkat küldene. A felhasználónév és a jelszó helyett Windows hitelesítő adatokat használ. Ehhez a hitelesítési sémához több cserére van szükség. (HTTP explicit proxy esetén.)

  • Átlátszó proxy (nem ellenőrző) – A Video Mesh csomópontok nincsenek beállítva egy adott proxykiszolgáló-cím használatára, és nem igényelnek módosításokat a nem ellenőrző proxyval való együttműködéshez.

  • Átlátszó proxy (ellenőrzés)– A Video Mesh csomópontok nincsenek beállítva egy adott proxykiszolgáló címének használatára. A Video Mesh-en nincs szükség http(s) konfigurációs módosításokra, azonban a Video Mesh csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat a irányelveket, amelyek mely webhelyek látogathatók, és olyan tartalomtípusokat, amelyek nem engedélyezettek. Ez a fajta proxy visszafejti az összes forgalmat (még https is).

Példa Video Mesh csomópontokra és proxyra
A Video Mesh proxytámogatásának követelményei

  • Hivatalosan a következő proxymegoldásokat támogatjuk, amelyek integrálhatók a Video Mesh-csomópontjaival.

    • Cisco Web Security Appliance (WSA) az átlátszó proxyhoz

    • Tintahal explicit proxyhoz

  • Egy explicit vagy átlátszó ellenőrző proxy, amely ellenőrzi (visszafejti a forgalmat), rendelkeznie kell a proxy gyökértanúsítványának másolatával, amelyet fel kell töltenie a webinterfész Video Mesh-csomópont megbízhatósági tárolójába.

  • A következő explicit proxy és hitelesítési típuskombinációkat támogatjuk:

    • Nincs hitelesítés http-vel és https-rel

    • Alapszintű hitelesítés http-vel és https-rel

    • Hitelesítés megemésztése csak https-rel

    • NTLM hitelesítés csak http-vel

  • Átlátszó proxyk esetén az útválasztót/kapcsolót kell használnia, hogy a HTTPS/443 forgalmat a proxyra kényszerítse. A Web Socket proxyra is rákényszeríthető. (A webfoglalat https-t használ.)

    A Video Mesh használatához websocket-kapcsolatra van szükség a felhőszolgáltatásokhoz, hogy a csomópontok megfelelően működjenek. Proxyk explicit és átlátszó ellenőrzésekor http fejlécek szükségesek a megfelelő websocket kapcsolathoz. Ha módosítják őket, a websocket kapcsolat nem fog működni.

    Amikor a websocket-kapcsolat meghiúsul a 443-as porton (ahol engedélyezve van az átlátszó ellenőrzési proxy), az a regisztráció utáni figyelmeztetéshez vezet a Control Hubban: „A Webex Video Mesh SIP-hívás nem működik megfelelően.” Ugyanez a riasztás más okból is előfordulhat, ha a proxy nincs engedélyezve. Ha a websocket fejlécek le vannak tiltva a 443-as porton, az adathordozók nem áramlanak az alkalmazások és a SIP-ügyfelek között.

    Ha a média nem folyik, ez gyakran akkor fordul elő, amikor a csomópontból a 443-as porton keresztüli https forgalom sikertelen:

    • A proxy engedélyezte a 443-as portot, de ez egy ellenőrző proxy, és töri a websocket-et.

    Ezen problémák kijavításához előfordulhat, hogy a *.wbx2.com és a *.ciscospark.com felé a 443-as porton kell „megkerülnie” vagy „splice” (letiltania az ellenőrzést) kell használnia.

Video Mesh-csomópont konfigurálása proxyintegrációhoz

Ezzel az eljárással meghatározhatja a Video Meshhez integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt, ellenőrizheti a proxykapcsolatot, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

1

Adja meg a Video Mesh beállítási URL-címét https://[IP vagy FQDN/setup egy webböngészőben, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezés gombra.

2

Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget:

  • Nincs proxy – Az alapértelmezett beállítás a proxy integrálása előtt. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó, nem ellenőrző proxy – A Video Mesh-csomópontok nincsenek konfigurálva adott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.
  • Átlátszó ellenőrzési proxy – A Video Mesh-csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. Nincs szükség http(s) konfigurációs módosításokra a Video Mesh-en; a Video Mesh csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat a irányelveket, amelyek mely webhelyek látogathatók, és olyan tartalomtípusokat, amelyek nem engedélyezettek. Ez a fajta proxy visszafejti az összes forgalmat (még https is).
  • Explicit proxy – Explicit proxyval megmondja az ügyfélnek (Video Mesh-csomópontok), hogy melyik proxykiszolgálót kell használni, és ez a beállítás több hitelesítési típust támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat:

    1. Proxy IP/FQDN – a proxygép elérésére használható cím.

    2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.

    3. Proxyprotokoll – Válassza a http (a Video Mesh-alagutak https-forgalmát a http proxyn keresztül bonyolítja) vagy a https (a Video Mesh-csomópontból a proxyba irányuló forgalom https protokollt használ). Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján.

    4. A proxykörnyezettől függően a következő hitelesítési típusok közül választhat:

      beállítás

      Használat

      Egy sem

      Válassza a HTTP- vagy HTTPS-explicit proxykat, ahol nincs hitelesítési módszer.

      Alapvető

      Elérhető HTTP vagy HTTPS explicit proxykhoz.

      Http-felhasználói ügynökhöz használható felhasználónév és jelszó megadásához kérés esetén, és Base64 kódolást használ.

      Emészt

      Csak HTTPS explicit proxykhoz érhető el.

      A fiók bizalmas információk küldése előtt történő megerősítésére szolgál, és kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.

      NTLM

      Csak HTTP explicit proxykhoz érhető el.

      A Digesthez hasonlóan a fiók megerősítésére szolgál, mielőtt bizalmas információkat küld. A felhasználónév és a jelszó helyett Windows hitelesítő adatokat használ.

      Ha ezt a beállítást választja, írja be azt az Active Directory tartományt, amelyet a proxy a hitelesítéshez használ az NTLM tartomány mezőben. Adja meg a proxy munkaállomás nevét (más néven munkaállomás-fiók vagy gépfiók) a megadott NTLM tartományban az NTLM munkaállomás mezőben.

Kövesse az átlátható ellenőrzés vagy explicit proxy következő lépéseit.

3

Kattintson a Főtanúsítvány feltöltése vagy a végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg és válassza ki az explicit vagy átlátható ellenőrző proxy főtanúsítványát.

A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítani a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével rendelkező nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.

4

Az átlátszó ellenőrzéshez vagy explicit proxykhoz kattintson a Proxykapcsolat ellenőrzése gombra a Video Mesh csomópont és a proxy közötti hálózati kapcsolat teszteléséhez.

Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást.

5

Miután a kapcsolati teszt letelt, az explicit proxy esetében kapcsolja be a kapcsolót: Az összes 443 https-port-kérelem továbbítása erről a csomópontról az explicit proxyn keresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.

6

Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (akkor jelenik meg, amikor a proxy beállítása során főtanúsítványt adtak hozzá) vagy indítsa el (akkor jelenik meg, ha nem adtak hozzá főtanúsítványt), olvassa el a parancssort, majd kattintson a Telepítés gombra, ha készen áll.

A csomópont néhány percen belül újraindul.

7

A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van.

A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

Proxy problémák

Milyen forgalom megy keresztül Proxy

A Video Mesh esetében az adathordozó nem halad át a proxyn. Ez a funkció jelzi és kezelő https-alapú forgalmat küld a proxynak. A médiafolyamok közvetlen eléréséhez továbbra is meg kell nyitnia a szükséges portokat.

A 444-es TCP-port nincs engedélyezve proxyn

Ez a port a Video Mesh követelménye, mivel a Video Mesh ezt a portot használja a felhőalapú szolgáltatások eléréséhez, amelyeket a megfelelő működéshez kell használnia. Ehhez a porthoz és az ANY-hoz proxy kivételt kell tenni a Video Mesh üzembe helyezési útmutatójában és a Webex Teams-szolgáltatások hálózati követelményeibendokumentálva.

A jelátvitel IP-cím szerinti szűrése nem támogatott, mivel a megoldásaink által használt IP-címek dinamikusak, és bármikor változhatnak.

Nincs telepítve főtanúsítvány

Amikor a csomópontok explicit proxyval beszélgetnek, telepítenie kell a főtanúsítványt, és kivételt kell adnia az adott URL-címhez a tűzfalon.

A kapcsolat ellenőrzése sikertelen

Ha a proxykapcsolat ellenőrzése befejeződött, és a proxy telepítése befejeződött, az áttekintő oldalon végzett kapcsolatellenőrzések az alábbi okok miatt továbbra is meghiúsulhatnak:

  • A proxy ellenőrzi a forgalmat, amely nem megy webex.com.

  • A proxy a webex.com kívüli tartományokat blokkolja.

A hitelesítési adatok helytelenek

A hitelesítési mechanizmust használó proxyk esetében győződjön meg arról, hogy a megfelelő hitelesítési adatokat adja hozzá a csomóponthoz.

Torlódás a proxyn

A proxy torlódása késést okozhat, és csökkenhet a felhőbe irányuló forgalommal. Ellenőrizze a proxykörnyezetet, hogy szükség van-e forgalomkorlátozásra.

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását, amelyeket a Hibrid adatbiztonsági szolgáltatás igényel. Ezek a szakaszok útmutatást nyújtanak arról, hogyan konfigurálhatja a Squid különböző verzióit a wss figyelmen kívül hagyásához: a szolgáltatások megfelelő működéséhez szükséges forgalom.

Tintahal 4 és 5

Adja hozzá az on_unsupported_protocol irányelvet a squid.conf fájlhoz:

on_unsupported_protocol az alagút

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályokkal, amelyek hozzáadva vannak a squid.conf.conf-hez. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex Mercury-kapcsolat ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all