Dowiedz się, jak skonfigurować serwer proxy za pomocą Cisco Webex Hybrid Data Security i Webex Video Mesh, w tym wymagania i kroki konfigurowania węzłów do pracy z przezroczystym serwerem proxy inspekcji lub jawnym serwerem proxy. Można również znaleźć podstawowe informacje dotyczące rozwiązywania problemów.
W tej sekcji opisano funkcję obsługi serwera proxy dla hybrydowych zabezpieczeń danych. Ma on na celu uzupełnienie Przewodnika wdrażania Cisco Webex Hybrid Data Security, dostępnego pod adresem https://www.cisco.com/go/hybrid-data-security. W nowym wdrożeniu konfigurujesz konfigurację serwera proxy na każdym węźle po przekazaniu i zamontowaniu iso konfiguracji HDS na węźle, a przed zarejestrowaniem węzła w chmurze Cisco Webex.
Hybrid Data Security obsługuje jawne, przejrzyste inspekcje i niekontrolujące serwery proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy w węzłach można używać do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.
Węzły Hybrid Data Security obsługują następujące opcje serwera proxy:
Brak serwera proxy— ustawienie domyślne, jeśli do zintegrowania serwera proxy nie jest używana konfiguracja magazynu zaufania i serwera proxy węzła HDS. Aktualizacja certyfikatu nie jest wymagana.
Przezroczysty, niekontrolujący serwer proxy— węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w celu pracy z serwerem proxy, który nie przeprowadza inspekcji. Aktualizacja certyfikatu nie jest wymagana.
Przezroczyste tunelowanie lub inspekcja serwera proxy— węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W węzłach nie są wymagane żadne zmiany konfiguracji HTTP ani HTTPS. Jednak węzły potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS).
Jawny serwer proxy— w przypadku jawnego serwera proxy można poinformować węzły HDS, który serwer proxy i schemat uwierzytelniania mają być używane. Aby skonfigurować jawny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
Proxy IP/FQDN— adres, którego można użyć do skontaktowania się z komputerem proxy.
Port serwera proxy— numer portu używany przez serwer proxy do nasłuchiwania ruchu proxy.
Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz jeden z następujących protokołów:
HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
HTTPS — zapewnia kanał do serwera. Klient odbiera i sprawdza poprawność certyfikatu serwera.
Typuwierzytelniania — wybierz jeden z następujących typów uwierzytelniania:
Brak— nie jest wymagane dalsze uwierzytelnianie.
Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
Podstawowy— używany w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas składania żądania. Używa kodowania Base64.
Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Skrót— służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.
Opcja dostępna tylko po wybraniu protokołu HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Przykład hybrydowych węzłów zabezpieczeń danych i serwera proxy
Zablokowany tryb zewnętrznego rozpoznawania DNS (jawne konfiguracje serwera proxy)
Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. We wdrożeniach z jawnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzne rozpoznawanie DNS dla klientów wewnętrznych, jeśli węzeł nie może wysłać kwerendy do serwerów DNS, automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.
Oficjalnie obsługujemy następujące rozwiązania proxy, które można zintegrować z węzłami Hybrid Data Security.
Przezroczysty serwer proxy — Cisco Web Security Appliance (WSA).
Jawny serwer proxy — Squid.
Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać tworzenie websocket (wss:) Połączenia. Aby obejść ten problem, zobacz "Websocket Cannot Connect Through Squid Proxy" w Problemy z serweremproxy.
Obsługujemy następujące kombinacje typów uwierzytelniania dla jawnych serwerów proxy:
Brak uwierzytelniania za pomocą protokołu HTTP lub HTTPS
Uwierzytelnianie podstawowe za pomocą protokołu HTTP lub HTTPS
Uwierzytelnianie szyfrowane tylko przy użyciu protokołu HTTPS
W przypadku przezroczystego serwera proxy inspekcji lub jawnego serwera proxy HTTPS musisz mieć kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania w tym przewodniku informają, jak przekazać kopię do magazynów zaufania węzłów hybrid Data Security.
Sieć obsługująca węzły HDS musi być skonfigurowana tak, aby wymuszała kierowanie wychodzącego ruchu TCP na porcie 443 przez serwer proxy.
Serwery proxy, które sprawdzają ruch sieci web, mogą zakłócać połączenia gniazd internetowych. Jeśli ten problem wystąpi, ominięcie (nie inspekcja) ruchu do wbx2.com i ciscospark.com rozwiąże problem.
Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z hybrid Data Security. Jeśli wybierzesz przezroczysty serwer proxy inspekcji lub jawny serwer proxy HTTPS, możesz użyć interfejsu węzła do przekazania i zainstalowania certyfikatu głównego. Możesz także sprawdzić połączenie proxy z poziomu interfejsu i rozwiązać wszelkie potencjalne problemy.
Przed rozpoczęciem
Zobacz Obsługa serwera proxy, aby zapoznać się z omówieniem obsługiwanych opcji serwera proxy.
1 | Wprowadź adres URL konfiguracji węzła HDS https://[HDS Node IP or FQDN]/setup w przeglądarce sieci Web, wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj. |
2 | Przejdź do pozycji Sklep zaufania i serwer proxy, a następnie wybierz opcję:
Wykonaj kolejne kroki, aby uzyskać przezroczysty serwer proxy inspekcji, jawny serwer proxy HTTP z uwierzytelnianiem podstawowym lub jawny serwer proxy HTTPS. |
3 | Kliknij przycisk Przekaż certyfikat główny lub Certyfikat jednostkikońcowej , a następnie przejdź do wybierz certyfikat główny dla serwera proxy. Certyfikat został przekazany, ale nie został jeszcze zainstalowany, ponieważ należy ponownie uruchomić węzeł, aby zainstalować certyfikat. Kliknij strzałkę cudzysłów ostrokątnych przy nazwie wystawcy certyfikatu, aby uzyskać więcej szczegółów, lub kliknij przycisk Usuń, jeśli popełnisz błąd i chcesz ponownie przesłać plik. |
4 | Kliknij przycisk Sprawdź połączenie z serwerem proxy, aby przetestować łączność sieciową między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie z przyczyną i sposobem rozwiązania problemu. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie może połączyć się z serwerem DNS. Ten warunek jest oczekiwany w wielu jawnych konfiguracjach proxy. Możesz kontynuować konfigurację, a węzeł będzie działał. Jeśli uważasz, że jest to błąd, wykonaj następujące kroki. Następnie możesz wyłączyć tryb. (Zobacz Wyłącz zablokowany zewnętrzny tryb rozpoznawaniaDNS. |
5 | Po przejściu testu połączenia, dla jawnego serwera proxy ustawionego tylko na https, włącz przełącznik na Kieruj wszystkie żądania https portu 443/444 z tego węzła za pośrednictwem jawnego serwera proxy. To ustawienie wymaga 15 sekund, aby zostało wprowadzone. |
6 | Kliknij opcję Zainstaluj wszystkie certyfikaty w magazynie zaufania (pojawia się w przypadku jawnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawia się w przypadku jawnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij przycisk Zainstaluj, jeśli wszystko jest gotowe. Węzeł uruchomi się ponownie w ciągu kilku minut. |
7 | Po ponownym uruchomieniu węzła zaloguj się ponownie, jeśli to konieczne, a następnie otwórz stronę Przegląd, aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie są w stanie zielonym. Sprawdzanie połączenia proxy testuje tylko subdomenę webex.com. Jeśli występują problemy z łącznością, typowym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Co dalej?
Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS.
Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, ponownie uruchamiając test połączenia proxy w każdym węźle.
Przed rozpoczęciem
1 | W przeglądarce sieci Web otwórz interfejs węzła Hybrid Data Security (na przykład adres IP/konfiguracja https://192.0.2.0/setup), wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj. |
2 | Przejdź do Przegląd (strona domyślna). Gdy ta opcja jest włączona, opcja Zablokowane zewnętrzne rozpoznawanie DNS jest ustawiona na Tak. |
3 | Przejdź do strony Trust Store & Proxy. |
4 | Kliknij przycisk Sprawdź połączenie proxy. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie mógł połączyć się z serwerem DNS i pozostanie w tym trybie. W przeciwnym razie, po ponownym uruchomieniu węzła i powrocie do strony Przegląd, Zablokowane zewnętrzne rozpoznawanie DNS powinno być ustawione na nie. |
Co dalej?
W tej sekcji opisano funkcję obsługi serwera proxy dla Webex Video Mesh. Ma on na celu uzupełnienie Przewodnika wdrażania dla Cisco Webex Video Mesh, dostępnego pod adresem https://www.cisco.com/go/video-mesh. W nowym wdrożeniu konfigurujesz konfigurację serwera proxy w każdym węźle po wdrożeniu oprogramowania Video Mesh w środowisku maszyny wirtualnej i przed zarejestrowaniem węzła w chmurze Cisco Webex.
Cisco Webex Video Mesh obsługuje jawne, przezroczyste inspekcje i niekontrolujące serwery proxy. Możesz powiązać te serwery proxy z wdrożeniem Webex Video Mesh, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Ta funkcja wysyła do serwera proxy sygnalizację i zarządzanie ruchem https. W przypadku przezroczystych serwerów proxy żądania sieciowe z węzłów Video Mesh są przekazywane do określonego serwera proxy za pośrednictwem reguł routingu sieciowego przedsiębiorstwa. Interfejsu administratora Webex Video Mesh można używać do zarządzania certyfikatami i ogólnym stanem łączności po zaimplementowaniu serwera proxy z węzłami.
Media nie przechodzą przez serwer proxy. Nadal musisz otworzyć wymagane porty, aby strumienie multimediów docierały bezpośrednio do chmury. |
Następujące typy serwerów proxy są obsługiwane przez Video Mesh:
Jawny serwer proxy (inspekcja lub niekontrolowanie) — za pomocą jawnego serwera proxy użytkownik mówi klientowi (węzłom Video Mesh), którego serwera proxy ma użyć. Ta opcja obsługuje jeden z następujących typów uwierzytelniania:
Brak — nie jest wymagane żadne dodatkowe uwierzytelnianie. (W przypadku jawnego serwera proxy HTTP lub HTTPS).
Podstawowy — używany w przypadku agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania i używa kodowania Base64. (W przypadku jawnego serwera proxy HTTP lub HTTPS).
Skrót — służy do potwierdzania tożsamości konta przed wysłaniem poufnych informacji i stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć. (W przypadku jawnego serwera proxy HTTPS).
NTLM — podobnie jak Digest, NTLM służy do potwierdzania tożsamości konta przed wysłaniem poufnych informacji. Używa poświadczeń systemu Windows zamiast nazwy użytkownika i hasła. Ten schemat uwierzytelniania wymaga ukończenia wielu wymian. (W przypadku jawnego serwera proxy HTTP).
Przezroczysty serwer proxy (bez inspekcji) — węzły Video Mesh nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w celu pracy z serwerem proxy nieoglądającym inspekcji.
Przezroczysty serwer proxy (inspekcja) — węzły Video Mesh nie są skonfigurowane do używania określonego adresu serwera proxy. W video mesh nie są konieczne żadne zmiany konfiguracji http,jednak węzły Video Mesh potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Serwery proxy do inspekcji są zwykle używane przez IT do egzekwowania zasad dotyczących tego, które witryny internetowe mogą być odwiedzane, oraz typów treści, które są niedozwolone. Ten typ proxy odszyfrowuje cały ruch (nawet https).
Oficjalnie obsługujemy następujące rozwiązania proxy, które można zintegrować z węzłami Webex Video Mesh.
Urządzenie Cisco Web Security Appliance (WSA) do przezroczystego serwera proxy
Squid dla jawnego proxy
W przypadku jawnego serwera proxy lub przezroczystego serwera proxy inspekcji, który sprawdza (odszyfrowuje ruch), musisz mieć kopię certyfikatu głównego serwera proxy, który musisz przekazać do magazynu zaufania węzła Webex Video Mesh w interfejsie internetowym.
Obsługujemy następujące jawne kombinacje typów proxy i uwierzytelniania:
Brak uwierzytelniania za pomocą protokołów http i https
Uwierzytelnianie podstawowe za pomocą protokołów http i https
Uwierzytelnianie szyfrowane tylko za pomocą protokołu https
Uwierzytelnianie NTLM tylko za pomocą protokołu http
W przypadku przezroczystych serwerów proxy należy użyć routera/przełącznika, aby wymusić przejście ruchu HTTPS/443 do serwera proxy. Możesz również wymusić przejście Web Socket/444 do serwera proxy. (Web Socket używa https.) Port 444 zależy od konfiguracji sieci. Jeśli port 444 nie jest kierowany przez serwer proxy, musi być otwarty bezpośrednio z węzła do chmury.
Webex Video Mesh wymaga połączeń z gniazdem internetowym z usługami w chmurze, dzięki czemu węzły działają poprawnie. Na jawnej inspekcji i przezroczystych serwerach proxy inspekcji nagłówki http, które są wymagane do prawidłowego połączenia websocket, są zmieniane, a połączenia websocket kończą się niepowodzeniem.
Symptomem występującym na porcie 443 (z włączonym przezroczystym serwerem proxy inspekcji) jest ostrzeżenie po rejestracji w centrum sterowania: "Webex Video Mesh SIP calling is not working correctly." Ten sam alarm może wystąpić z innych powodów, gdy serwer proxy nie jest włączony. Gdy nagłówki websocket są zablokowane na porcie 443, multimedia nie przepływają między aplikacjami a klientami SIP.
Jeśli nośnik nie przepływa, często występuje to, gdy ruch https z węzła przez port 444 lub port 443 nie działa:
Serwer proxy nie jest sprawdzany, ale ruch na porcie 444 nie jest dozwolony przez serwer proxy.
Ruch na porcie 443 lub 444 jest dozwolony przez serwer proxy, ale jest to serwer proxy inspekcji i łamie sieć.
Aby rozwiązać te problemy, może być "ominięcie" lub "spaw" (wyłączenie inspekcji) na portach 444 i 443 do: *.wbx2.com i *.ciscospark.com.
Ta procedura umożliwia określenie typu serwera proxy, który ma zostać zintegrowany z programem Webex VideoMesh. Jeśli wybierzesz przezroczysty serwer proxy inspekcji lub jawny serwer proxy, możesz użyć interfejsu węzła, aby przekazać i zainstalować certyfikat główny, sprawdzić połączenie proxy i rozwiązać wszelkie potencjalne problemy.
Przed rozpoczęciem
Zobacz Obsługa serwera proxy dla Cisco Webex Video Mesh, aby zapoznać się z przeglądem obsługiwanych opcji serwera proxy.
Wymagania dotyczące obsługi serwera proxy dla Webex Video Mesh
1 | Wprowadź adres URL konfiguracji Webex Video Meshhttps://[IP lub FQDN/setup w przeglądarce internetowej, wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj. |
||||||||||||
2 | Przejdź do pozycji Sklep zaufania i serwer proxy, a następnie wybierz opcję:
Wykonaj kolejne kroki, aby uzyskać przezroczysty serwer proxy inspekcji lub jawny. |
||||||||||||
3 | Kliknij przycisk Przekaż certyfikat główny lub Certyfikat jednostki końcowej , a następniezlokalizuj i wybierz certyfikat główny dla jawnego lub przezroczystego serwera proxy inspekcji. Certyfikat został przekazany, ale nie został jeszcze zainstalowany, ponieważ węzeł musi zostać ponownie uruchomiony, aby zainstalować certyfikat. Kliknij strzałkę obok nazwy wystawcy certyfikatu, aby uzyskać więcej informacji, lub kliknij przycisk Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik. |
||||||||||||
4 | W przypadku przezroczystych inspekcji lub jawnych serwerów proxy kliknij przycisk Sprawdź połączenie proxy, aby przetestować łączność sieciową między węzłem Video Mesh a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie z przyczyną i sposobem rozwiązania problemu. |
||||||||||||
5 | Po przejściu testu połączenia, dla jawnego serwera proxy, włącz przełącznik na Kieruj wszystkie żądania https portu 443/444 z tego węzła za pośrednictwem jawnego serwera proxy. To ustawienie wymaga 15 sekund, aby zostało wprowadzone. |
||||||||||||
6 | Kliknij przycisk Zainstaluj wszystkie certyfikaty w magazynie zaufania (pojawia się za każdym razem, gdy certyfikat główny został dodany podczas instalacji serwera proxy) lub Uruchom ponownie (pojawia się, jeśli nie dodano certyfikatu głównego), przeczytaj monit, a następnie kliknij przycisk Zainstaluj, jeśli wszystko jest gotowe. Węzeł uruchomi się ponownie w ciągu kilku minut. |
||||||||||||
7 | Po ponownym uruchomieniu węzła zaloguj się ponownie, jeśli to konieczne, a następnie otwórz stronę Przegląd, aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie są w stanie zielonym. Sprawdzanie połączenia proxy testuje tylko subdomenę webex.com. Jeśli występują problemy z łącznością, typowym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Jaki ruch przechodzi przez proxy
W przypadku usługi Video Mesh multimedia nie przechodzą przez serwer proxy. Ta funkcja wysyła do serwera proxy sygnalizację i zarządzanie ruchem https. Nadal musisz otworzyć wymagane porty, aby strumienie multimediów docierały bezpośrednio do chmury.
Port TCP 444 nie jest włączony na serwerze proxy
Ten port jest wymagany dla Video Mesh, ponieważ Video Mesh używa tego portu do uzyskiwania dostępu do usług opartych na chmurze, których musi używać, aby działać poprawnie. Dla tego portu i DOWOLNEGO portu należy wprowadzić wyjątek dotyczący serwera proxy, jak udokumentowano w przewodniku wdrażania programu Video Mesh i wymaganiach sieciowych dla usług Webex TeamsServices.
Filtrowanie ruchu sygnalizacyjnego według adresu IP nie jest obsługiwane, ponieważ adresy IP używane przez nasze rozwiązania są dynamiczne i mogą ulec zmianie w dowolnym momencie. |
Nie zainstalowano certyfikatu głównego
Gdy węzły rozmawiają z jawnym serwerem proxy, należy zainstalować certyfikat główny i wprowadzić wyjątek dla tego adresu URL na zaporze.
Sprawdzanie łączności kończy się niepowodzeniem
Jeśli sprawdzenie łączności serwera proxy zakończyło się zgodnie z celem i instalacja serwera proxy została zakończona, sprawdzanie łączności na stronie przeglądu może nadal zakończyć się niepowodzeniem z następujących powodów:
Serwer proxy sprawdza ruch, który nie trafia do webex.com.
Serwer proxy blokuje domeny inne niż webex.com.
Szczegóły uwierzytelniania są nieprawidłowe
W przypadku serwerów proxy, które używają mechanizmu uwierzytelniania, upewnij się, że dodasz poprawne szczegóły uwierzytelniania w węźle.
Przeciążenie serwera proxy
Przeciążenie serwera proxy może powodować opóźnienia i spadki ruchu do chmury. Sprawdź środowisko proxy, aby sprawdzić, czy jest wymagane ograniczanie ruchu.
Websocket nie może połączyć się przez Squid Proxy
Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać tworzenie websocket (wss:) połączenia wymagane przez hybrid data security i Webex Video Mesh. W dziennikach może pojawić się szereg ostrzeżeń, takich jak "Ponowne łączenie WebSocket..." jako węzeł próbuje dotrzeć do chmury Webex. Wypróbuj następującą konfigurację Squid, w zależności od wersji Squid, aby serwer proxy zignorował wss: ruch dla prawidłowego działania.
Kalmary 4 i 5
Dodaj on_unsupported_protocol
dyrektywa do squid.conf:
on_unsupported_protocol tunnel all
Kalmary 3.5.27
Z powodzeniem przetestowaliśmy Hybrid Data Security z następującymi regułami dodanymi do squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizowania chmury Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Z powodzeniem przetestowaliśmy Video Mesh z następującymi regułami dodanymi do squid.conf. (Usługa Video Mesh wymaga dwóch dodatkowych acl w porównaniu z hybrid Data Security). Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizowania chmury Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
acl ciscoCloud1 ssl::server_name .wbx2.com
acl ciscoCloud2 ssl::server_name .ciscospark.com
ssl_bump splice wssMercuryConnection
ssl_bump splice ciscoCloud1
ssl_bump splice ciscoCloud2
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all