Ontdek hoe u een proxy instelt met Cisco Webex hybride gegevensbeveiliging en Webex-videomesh, inclusief de vereisten en stappen voor het configureren van de knooppunten om te werken met een transparante inspectie proxy of een expliciete proxy. U kunt ook de basisinformatie voor probleemoplossing vinden.
Dit gedeelte beschrijft de functie voor proxy ondersteuning voor hybride data beveiliging. Het is bedoeld als aanvulling op de Implementatiehandleiding voor Cisco Webex hybride gegevensbeveiliging, beschikbaar op https://www.cisco.com/go/hybrid-data-security. In een nieuwe implementatie configureert u de proxyconfiguratie op elk knooppunt na het uploaden en koppelen van de HDS-configuratie ISO op het knooppunt en voordat u het knooppunt registreert met de Cisco Webex Cloud.
Hybride gegevensbeveiliging biedt ondersteuning voor expliciete, transparante inspectie en het niet-geïnspecteerde proxy's. U kunt deze proxy's koppelen aan uw implementatie zodat u verkeer van de onderneming kunt beveiligen en controleren naar de Cloud. U kunt een platformbeheer interface gebruiken op de knooppunten voor certificaatbeheer en de algehele verbindingsstatus controleren nadat u de proxy op de knooppunten hebt ingesteld.
De knooppunten voor hybride data beveiliging ondersteunen de volgende proxy opties:
-
Geen proxy: de standaard als u de vertrouwens opslag van de HDS-knooppunt instellingen niet gebruikt om een proxy te integreren. Er is geen certificaat update vereist.
-
Transparante niet-geïnspecteerde proxy: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres en moeten geen wijzigingen aanbrengen om te kunnen werken met een niet-geïnspecteerde proxy. Er is geen certificaat update vereist.
-
Transparante tunneling of inspectering proxy: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres. Er zijn geen HTTP-of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).
-
Expliciete proxy— met expliciete proxy, geeft u de HDS-knooppunten aan welke proxyserver en welk verificatieschema u moet gebruiken. Als u een expliciete proxy wilt configureren, moet u op elk knooppunt de volgende informatie invoeren:
-
Proxy-IP/FQDN: het adres dat kan worden gebruikt om de proxy machine te bereiken.
-
Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar het proxy verkeer.
-
Proxy Protocol:u kunt kiezen uit de volgende protocollen, afhankelijk van wat uw proxyserver ondersteunt:
-
HTTP: alle aanvragen die de client verzendt, worden weergegeven en beheerd.
-
HTTPS: geeft een kanaal aan de server. De client ontvangt en valideert het certificaat van de server.
-
-
Verificatie type:Kies uit de volgende verificatietypen:
-
Geen: er is geen verdere verificatie vereist.
Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.
-
Basic: gebruikt voor een HTTP-gebruikers agent om een gebruikersnaam en wachtwoord te leveren bij het maken van een verzoek. Gebruikt base64-codering.
Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.
Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.
-
Digest: gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.
Alleen beschikbaar als u HTTPS als proxy protocol selecteert.
Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.
-
-
Voorbeeld van knooppunten en proxy voor hybride data beveiliging
Geblokkeerde externe DNS-omzettingsmodus (expliciete proxy configuraties)
Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. In implementaties met expliciete proxyconfiguraties die geen externe DNS-omzetting voor interne clients toestaan, als het knooppunt de DNS-servers niet kan opvragen, wordt de geblokkeerde externe DNS-omzettingsmodus automatisch ingeschakeld. In deze modus kan de registratie van knooppunten en andere proxy connectiviteitstests worden voortgezet.
-
We ondersteunen de volgende proxy oplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride data beveiliging.
-
Transparante proxy: Cisco Web Security Appliance (WSA).
-
Expliciete proxy-pijlinktvis.
Inktvis-proxy's die het inspecteren van HTTPS-verkeer kunnen de totstandbrenging van WebSocket (WSS:) belemmeren Verbindingen. Zie voor meer informatie Het configureren van inktvis-Proxy's voor hybride data beveiliging.
-
-
We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:
-
Geen verificatie met HTTP of HTTPS
-
Basisverificatie met HTTP of HTTPS
-
Alleen verificatiesamenvatting met HTTPS
-
-
Voor een transparante inspectie proxy of een HTTPS-expliciete proxy moet u een kopie van de hoofdcertificaat van de proxy hebben. De implementatie-instructies in deze handleiding geven aan hoe u de kopie kunt uploaden naar de vertrouwens archieven van de hybride Data Security-knooppunten.
-
Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 af te ronden via de proxy.
-
Proxy's die het webverkeer controleren, kunnen de WebSocket-verbindingen belemmeren. Als dit probleem zich voordoet, kunt u het probleem oplossen door het verkeer niet te controleren op wbx2.com en ciscospark.com .
Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride gegevensbeveiliging. Als u een transparante inspectering proxy of een HTTPS-expliciete proxy kiest, kunt u de interface van het knooppunt gebruiken om de hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding vanuit de interface controleren en mogelijke problemen oplossen.
Voordat u begint
-
Zie Proxy ondersteuning voor een overzicht van de ondersteunde proxy opties.
1 |
Voer de installatie-URL van het HDS-knooppunt https://[HDS node IP of FQDN]/Setup in een webbrowser in, voer de beheerders gegevens in die u hebt ingesteld voor het knooppunt en klik vervolgens op aanmelden. |
2 |
Ga naar vertrouwens archieven voor vertrouwde proxyen kies een optie:
Volg de volgende stappen voor een transparante inspectie proxy, een HTTP Explicit-proxy met basisverificatie of een HTTPS-expliciete proxy. |
3 |
Klik op een hoofdcertificaat of eindentiteit certificaat uploadenen navigeer vervolgens naar een kies de hoofdcertificaat voor de proxy. Het certificaat is geüpload, maar is nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijlpunt punthaak op de naam van de certificaatuitgever voor meer informatie of klik op verwijderen Als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden. |
4 |
Klik op proxy verbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen. Als de verbindingstest mislukt, wordt er een foutbericht weergegeven met de reden en hoe u het probleem kunt oplossen. Als u een bericht ziet dat de externe DNS-omzetting niet is geslaagd, kan het knooppunt de DNS-server niet bereiken. Deze situatie wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de geblokkeerde externe DNS-omzettingsmodus. Als u denkt dat dit een fout is, voert u deze stappen uit en bekijkt u vervolgens Geblokkeerde externe DNS-omzettingsmodus uitschakelen. |
5 |
Nadat de verbindingstest is geslaagd, voor expliciete proxy ingesteld op alleen https, schakelt u het in-/uitschakelen in om alle poort 443/444 HTTPS-aanvragen van dit knooppunt te routeren via de expliciete proxy. Deze instelling vereist 15 seconden om van kracht te worden. |
6 |
Klik op alle certificaten installeren in het vertrouwde archief (wordt weergegeven voor een HTTPS-expliciete proxy of een transparante inspectie proxy) of opnieuw opstarten (wordt weergegeven voor een http-expliciete proxy), lees de prompt en klik vervolgens op installeren Als u klaar bent. Het knooppunt wordt binnen een paar minuten opnieuw opgestart. |
7 |
Nadat het knooppunt opnieuw is opgestart, meldt u zich opnieuw aan indien nodig en opent u de overzichts pagina om te controleren of ze allemaal in de groene status zijn. De controle van de proxyverbinding test alleen een subdomein van webex.com. Als er problemen zijn met de verbinding, is een veelvoorkomend probleem dat sommige Cloud domeinen die worden vermeld in de installatie-instructies, worden geblokkeerd op de proxy. |
In dit gedeelte wordt de functie voor proxy ondersteuning voor Webex-videomesh beschreven. Het is bedoeld om de Implementatiehandleiding voor Cisco Webex-videomesh aante vullen, beschikbaar op https://www.cisco.com/go/video-mesh. In een nieuwe implementatie configureert u de proxyconfiguratie op elk knooppunt na implementatie van de software voor videomesh in een virtuele machine omgeving en voordat u het knooppunt registreert met de Cisco Webex Cloud.
Cisco Webex-videomesh ondersteunt het expliciet, transparant inspecteren en het niet controleren van proxy's. U kunt deze proxy's koppelen aan uw Webex videomesh, zodat u het verkeer van de onderneming kunt beveiligen en controleren naar de Cloud. Deze functie verzendt op https gebaseerd signaal-en beheer verkeer naar de proxy. Voor transparante proxy's worden netwerkaanvragen van videomesh-knooppunten doorgestuurd naar een specifieke proxy via de routeringsregels van het bedrijfsnetwerk. U kunt de Webex videomesh-beheerinterface gebruiken voor certificaatbeheer en de algehele verbindingsstatus nadat u de proxy met de knooppunten hebt geïmplementeerd.
Media reist niet via de proxy. U moet nog steeds de vereiste poorten voor media streams openen om de Cloud rechtstreeks te bereiken. |
De volgende proxy typen worden ondersteund door videomesh:
-
Expliciete proxy (inspecteren of niet controleren): met expliciete proxy geeft u de client (videomesh-knooppunten) aan die proxyserver moeten gebruiken. Deze optie ondersteunt een van de volgende verificatietypen:
-
Geen: er is geen verdere verificatie vereist. (Voor HTTP-of HTTPS-expliciete proxy.)
-
Basic: gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een verzoek en voor het gebruik van base64-codering. (Voor HTTP-of HTTPS-expliciete proxy.)
-
Samenvatting: wordt gebruikt om de identiteit van het account te bevestigen voordat gevoelige informatie wordt verzonden, en past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden. (Voor http expliciete proxy.)
-
NTLM: zoals Digest, wordt NTLM gebruikt om de identiteit van het account te bevestigen voordat gevoelige informatie wordt verzonden. Gebruikt Windows-aanmeldgegevens in plaats van de gebruikersnaam en het wachtwoord. Dit verificatieschema vereist meerdere uitwisselingen om te voltooien. (Voor HTTP expliciete proxy.)
-
-
Transparante proxy (niet-inspectie): videomesh-knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres en vereisen geen wijzigingen om te werken met een niet-inspectie proxy.
-
Transparante proxy (inspectie): video mesh-knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres. Er zijn geen http (s)-configuratiewijzigingen nodig op videomesh, de videomesh-knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid met betrekking tot de websites die kunnen worden bezocht en typen inhoud die niet zijn toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook https).
-
We ondersteunen de volgende proxy oplossingen die kunnen worden geïntegreerd met uw Webex videomesh-knooppunten.
-
Cisco Web Security Appliance (WSA) voor transparante proxy
-
Pijlinktvis voor een expliciete proxy
-
-
Voor een expliciete proxy of transparante inspectering van de proxy die inspecteert (decoderen van het verkeer), moet u een kopie van de hoofdcertificaat van de proxy hebben die u nodig hebt om te uploaden naar de vertrouwens opslag van het Webex videomesh-knooppunt in de web-interface.
-
We ondersteunen de volgende expliciete combinaties van proxy-en verificatietypen:
-
Geen verificatie met http en https
-
Basisverificatie met http en https
-
Alleen verificatiesamenvatting met https
-
NTLM-verificatie met alleen http
-
-
Voor transparante proxy's moet u de router/switch gebruiken om HTTPS/443-verkeer te forceren om naar de proxy te gaan. U kunt ook WebSocket/444 dwingen om naar de proxy te gaan. (WebSocket gebruikt HTTPS.) Poort 444 is afhankelijk van uw netwerkinstallatie. Als poort 444 niet via de proxy wordt gerouteerd, moet deze rechtstreeks vanuit het knooppunt worden geopend naar de Cloud.
Voor Webex video mesh zijn WebSocket-verbindingen naar de cloudservices vereist, zodat de knooppunten correct functioneren. Bij expliciete inspectie en transparante inspecties van proxy's worden HTTP-headers die vereist zijn voor een juiste WebSocket verbinding, gewijzigd en kunnen WebSocket-verbindingen mislukken.
Het symptoom wanneer dit gebeurt op poort 443 (met transparante ingeschakelde proxy inschakelen) is een waarschuwing na de registratie in Control hub: ' Webex voor SIP bellen met videomesh werkt niet correct. ' Dezelfde waarschuwing kan om andere redenen optreden wanneer proxy niet is ingeschakeld. Wanneer WebSocket-headers worden geblokkeerd op poort 443, stromen media niet tussen apps en SIP-clients.
Als media niet stromen, gebeurt dit meestal wanneer HTTPS-verkeer van het knooppunt via poort 444 of poort 443 defect raakt:
-
Proxy wordt niet geïnspecteerd, maar poort 444 verkeer is niet toegestaan door de proxy.
-
Poort 443 of poort 444 verkeer is toegestaan door de proxy, maar is een inspectie proxy en de WebSocket wordt verbroken.
Om deze problemen op te lossen, moet u mogelijk ' bypass ' of ' splice ' (inspectie uitschakelen) op de poorten 444 en 443 gebruiken om: *. wbx2.com en *. ciscospark.com.
-
Gebruik deze procedure om het type proxy op te geven dat u wilt integreren met een Webex-videomesh. Als u een transparante inspectie proxy of een expliciete proxy kiest, kunt u de interface van het knooppunt gebruiken om de hoofdcertificaat te uploaden en te installeren, de proxyverbinding te controleren en mogelijke problemen op te lossen.
Voordat u begint
-
Zie Proxy ondersteuning voor Cisco Webex-videomesh voor een overzicht van de ondersteunde proxy opties.
1 |
Voer de Webex-URL voor de installatie van videomesh https://[IP of FQDN/Setup in een webbrowser in, voer de beheerdersreferenties in die u voor het knooppunt instelt en klik vervolgens op aanmelden. |
||||||||||||
2 |
Ga naar vertrouwens archieven voor vertrouwde proxyen kies een optie:
Volg de volgende stappen voor een transparante inspectie of expliciete proxy. |
||||||||||||
3 |
Klik op een hoofdcertificaat of eindentiteit certificaat uploadenen zoek en kies vervolgens de hoofdcertificaat voor de expliciete of transparante inspecteren proxy. Het certificaat is geüpload, maar is nog niet geïnstalleerd omdat het knooppunt opnieuw moet worden opgestart om het certificaat te installeren. Klik op de pijl op de naam van de certificaatuitgever om meer informatie te krijgen of klik op verwijderen Als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden. |
||||||||||||
4 |
Voor transparante proxy's of expliciete inspecteren klikt u op proxy verbinding controleren om de netwerkverbinding tussen het knooppunt voor videomesh en de proxy te testen. Als de verbindingstest mislukt, wordt er een foutbericht weergegeven met de reden en hoe u het probleem kunt oplossen. |
||||||||||||
5 |
Nadat de verbindingstest is geslaagd, schakelt u voor expliciete proxy de optie inschakelen in om alle poort 443/444 HTTPS-aanvragen van dit knooppunt te routeren via de expliciete proxy. Deze instelling vereist 15 seconden om van kracht te worden. |
||||||||||||
6 |
Klik op alle certificaten installeren in het vertrouwde archief (wordt weergegeven wanneer er een hoofdcertificaat is toegevoegd tijdens de proxy-installatie) of opnieuw opstarten (wordt weergegeven als er geen hoofdcertificaat is toegevoegd), lees de prompt en klik vervolgens op installeren Als u klaar bent. Het knooppunt wordt binnen een paar minuten opnieuw opgestart. |
||||||||||||
7 |
Nadat het knooppunt opnieuw is opgestart, meldt u zich opnieuw aan indien nodig en opent u de overzichts pagina om te controleren of ze allemaal in de groene status zijn. De controle van de proxyverbinding test alleen een subdomein van webex.com. Als er problemen zijn met de verbinding, is een veelvoorkomend probleem dat sommige Cloud domeinen die worden vermeld in de installatie-instructies, worden geblokkeerd op de proxy. |
Welk verkeer gaat via de proxy
Voor videomesh gaat media niet door naar de proxy. Deze functie verzendt op https gebaseerd signaal-en beheer verkeer naar de proxy. U moet nog steeds de vereiste poorten voor media streams openen om de Cloud rechtstreeks te bereiken.
TCP-poort 444 is niet ingeschakeld op de proxy
Deze poort is vereist voor videomesh, omdat de videomesh deze poort gebruikt voor toegang tot de cloud-gebaseerde services die ze moeten gebruiken om goed te functioneren. Er moet een proxy-uitzondering worden gemaakt voor deze poort en alle zoals beschreven in de Implementatiehandleiding voor videomesh en de netwerkvereisten voor Webex teams Services.
Filteren van signaal verkeer via IP-adres wordt niet ondersteund omdat de IP-adressen die door onze oplossingen worden gebruikt, dynamisch zijn en op elk gewenst moment kunnen worden gewijzigd. |
Geen hoofdcertificaat geïnstalleerd
Wanneer uw knooppunten praten met een expliciete proxy, moet u de hoofdcertificaat installeren en een uitzondering voor die URL invoeren op uw firewall.
Verbindings controle mislukt
Als de controle van de proxyverbinding is geslaagd en de proxy-installatie is voltooid, kan de verbindings controle op de overzichtspagina mogelijk nog steeds mislukken voor de volgende redenen:
-
De proxy inspecteert verkeer dat niet naar webex.com gaat.
-
De proxy blokkeert domeinen anders dan webex.com.
De verificatiegegevens zijn onjuist
Voor proxy's die gebruikmaken van een verificatiemechanisme, moet u ervoor zorgen dat u de juiste verificatiegegevens toevoegt aan het knooppunt.
Congestie op de proxy
Congestie op uw proxy kan vertraging veroorzaken en met verkeer naar de cloud gaan. Controleer uw proxy omgeving om te zien of er bandbreedtebeperking is vereist.
Inktvis-proxy's die het inspecteren van HTTPS-verkeer kunnen de totstandbrenging van WebSocket (WSS:) belemmeren. verbindingen waarvoor hybride data beveiliging vereist is. Deze secties bevatten leidraden voor het configureren van verschillende versies van inktvis om WSS te negeren: verkeer voor de juiste werking van de services.
Pijlinktvis 4 en 5
Voeg de on_unsupported_protocol-
instructie toe aan pijlinktvis. conf:
alles on_unsupported_protocol tunnel
Inktvis 3.5.27
De hybride gegevensbeveiliging is getest met de volgende regels die zijn toegevoegd aan inktvis. conf. Deze regels kunnen worden gewijzigd wanneer we functies ontwikkelen en de Webex Cloud bijwerken.
ACL wssMercuryConnection SSL:: server_name_regex kwik-verbinding ssl_bump toegangsbeheerlijst ACL stap 1 at_step SslBump1 ACL stap 2 at_step SslBump2 ACL stap 3 at_step SslBump3 ssl_bump Peek stap 1 alle ssl_bump Star stap 2 alle ssl_bump reliëf stap 3 alle