W tej sekcji opisano funkcję obsługi serwera proxy dla hybrydowych zabezpieczeń danych. Ma on na celu uzupełnienie Przewodnika wdrażania Cisco Webex Hybrid Data Security, dostępnego pod adresem https://www.cisco.com/go/hybrid-data-security. W nowym wdrożeniu konfigurujesz konfigurację serwera proxy na każdym węźle po przekazaniu i zamontowaniu iso konfiguracji HDS na węźle, a przed zarejestrowaniem węzła w chmurze Cisco Webex.

Obsługa serwera proxy

Hybrid Data Security obsługuje jawne, przejrzyste inspekcje i niekontrolujące serwery proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy w węzłach można używać do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

Węzły Hybrid Data Security obsługują następujące opcje serwera proxy:

  • Brak serwera proxy — domyślnie, jeśli do zintegrowania serwera proxy nie używasz konfiguracji węzła HDS usługi Trust Store i proxy. Aktualizacja certyfikatu nie jest wymagana.

  • Przezroczysty, nieweryfikujący serwer proxy — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana.

  • Przezroczyste tunelowanie lub inspekcja serwera proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W węzłach nie są wymagane żadne zmiany konfiguracji HTTP ani HTTPS. Jednak węzły potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS).

  • Jawny serwer proxy — przy użyciu jawnego serwera proxy można wskazać węzłom HDS, którego serwera proxy i schematu uwierzytelniania mają używać. Aby skonfigurować jawny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:

    1. Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy.

    2. Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy.

    3. Protokół proxy — w zależności od tego, jakie obsługuje serwer proxy, wybierz jeden z następujących protokołów:

      • HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.

      • HTTPS — zapewnia kanał do serwera. Klient odbiera i sprawdza poprawność certyfikatu serwera.

    4. Typ uwierzytelniania — wybierz jeden z następujących typów uwierzytelniania:

      • Brak — dalsze uwierzytelnianie nie jest wymagane.

        Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.

      • Podstawowe — używane w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas wykonywania żądania. Używa kodowania Base64.

        Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.

        Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

      • Szyfrowanie — służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.

        Opcja dostępna tylko po wybraniu protokołu HTTPS jako protokołu proxy.

        Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

Przykład hybrydowych węzłów zabezpieczeń danych i serwera proxy

Ten diagram przedstawia przykładowe połączenie między hybrid data security, siecią i serwerem proxy. W przypadku opcji przezroczystego serwera proxy inspekcji i jawnego sprawdzania HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach Hybrid Data Security.

Zablokowany tryb zewnętrznego rozpoznawania DNS (jawne konfiguracje serwera proxy)

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. We wdrożeniach z jawnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzne rozpoznawanie DNS dla klientów wewnętrznych, jeśli węzeł nie może wysłać kwerendy do serwerów DNS, automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

Wymagania dotyczące serwera proxy

  • Oficjalnie obsługujemy następujące rozwiązania proxy, które można zintegrować z węzłami Hybrid Data Security.

  • Obsługujemy następujące kombinacje typów uwierzytelniania dla jawnych serwerów proxy:

    • Brak uwierzytelniania za pomocą protokołu HTTP lub HTTPS

    • Uwierzytelnianie podstawowe za pomocą protokołu HTTP lub HTTPS

    • Uwierzytelnianie szyfrowane tylko przy użyciu protokołu HTTPS

  • W przypadku przezroczystego serwera proxy inspekcji lub jawnego serwera proxy HTTPS musisz mieć kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania w tym przewodniku informają, jak przekazać kopię do magazynów zaufania węzłów hybrid Data Security.

  • Sieć obsługująca węzły HDS musi być skonfigurowana tak, aby wymuszała kierowanie wychodzącego ruchu TCP na porcie 443 przez serwer proxy.

  • Serwery proxy, które sprawdzają ruch sieci web, mogą zakłócać połączenia gniazd internetowych. Jeśli ten problem wystąpi, ominięcie (nie inspekcja) ruchu do wbx2.com i ciscospark.com rozwiąże problem.

Konfigurowanie węzła HDS do integracji z serwerem proxy

Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z hybrid Data Security. Jeśli wybierzesz przezroczysty serwer proxy inspekcji lub jawny serwer proxy HTTPS, możesz użyć interfejsu węzła do przekazania i zainstalowania certyfikatu głównego. Możesz także sprawdzić połączenie proxy z poziomu interfejsu i rozwiązać wszelkie potencjalne problemy.

Przed rozpoczęciem

1

Wprowadź adres URL konfiguracji węzła HDS https://[HDS Node IP or FQDN]/setup w przeglądarce sieci Web, wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.

2

Przejdź do pozycji Sklep zaufania i serwer proxy, a następnie wybierz opcję:

  • Brak serwera proxy — opcja domyślna przed zintegrowaniem serwera proxy. Aktualizacja certyfikatu nie jest wymagana.
  • Przezroczysty, nieweryfikujący serwer proxy — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana.
  • Przezroczysty serwer proxy sprawdzający — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy. We wdrożeniu Hybrid Data Security nie są konieczne żadne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS).
  • Jawny serwer proxy — przy użyciu jawnego serwera proxy można wskazać klientowi (węzły HDS), którego serwera proxy ma być używany, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje:

    1. Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy.

    2. Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy.

    3. Protokół proxy Protocol — wybierz opcję http (wyświetla i steruje wszystkimi żądaniami otrzymywanymi od klienta) lub https (udostępnia kanał do serwera, a klient odbiera i sprawdza certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje Twój serwer proxy.

    4. Typ uwierzytelniania — wybierz jeden z następujących typów uwierzytelniania:

      • Brak — dalsze uwierzytelnianie nie jest wymagane.

        Dostępne dla serwerów proxy HTTP lub HTTPS.

      • Podstawowe — używane w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas wykonywania żądania. Używa kodowania Base64.

        Dostępne dla serwerów proxy HTTP lub HTTPS.

        W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło.

      • Szyfrowanie — służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.

        Dostępne tylko dla serwerów proxy HTTPS.

        W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło.

Wykonaj kolejne kroki, aby uzyskać przezroczysty serwer proxy inspekcji, jawny serwer proxy HTTP z uwierzytelnianiem podstawowym lub jawny serwer proxy HTTPS.

3

Kliknij przycisk Przekaż certyfikat główny lub Certyfikat jednostkikońcowej , a następnie przejdź do wybierz certyfikat główny dla serwera proxy.

Certyfikat został przekazany, ale nie został jeszcze zainstalowany, ponieważ należy ponownie uruchomić węzeł, aby zainstalować certyfikat. Kliknij strzałkę cudzysłów ostrokątnych przy nazwie wystawcy certyfikatu, aby uzyskać więcej szczegółów, lub kliknij przycisk Usuń, jeśli popełnisz błąd i chcesz ponownie przesłać plik.

4

Kliknij przycisk Sprawdź połączenie z serwerem proxy, aby przetestować łączność sieciową między węzłem a serwerem proxy.

Jeśli test połączenia zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie z przyczyną i sposobem rozwiązania problemu.

Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie może połączyć się z serwerem DNS. Ten warunek jest oczekiwany w wielu jawnych konfiguracjach proxy. Możesz kontynuować konfigurację, a węzeł będzie działać w trybie zablokowanej zewnętrznej rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj te czynności, a następnie zobacz Wyłącz zablokowany zewnętrzny tryb rozdzielczości DNS.

5

Po przejściu testu połączenia, dla jawnego serwera proxy ustawionego tylko na https, włącz przełącznik na Kieruj wszystkie żądania https portu 443/444 z tego węzła za pośrednictwem jawnego serwera proxy. To ustawienie wymaga 15 sekund, aby zostało wprowadzone.

6

Kliknij opcję Zainstaluj wszystkie certyfikaty w magazynie zaufania (pojawia się w przypadku jawnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawia się w przypadku jawnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij przycisk Zainstaluj, jeśli wszystko jest gotowe.

Węzeł uruchomi się ponownie w ciągu kilku minut.

7

Po ponownym uruchomieniu węzła zaloguj się ponownie, jeśli to konieczne, a następnie otwórz stronę Przegląd, aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie są w stanie zielonym.

Sprawdzanie połączenia proxy testuje tylko subdomenę webex.com. Jeśli występują problemy z łącznością, typowym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

Wyłączanie trybu zablokowanego zewnętrznego rozpoznawania DNS

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS.

Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, ponownie uruchamiając test połączenia proxy w każdym węźle.

Przed rozpoczęciem

Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS i że węzły mogą się z nimi komunikować.
1

W przeglądarce sieci Web otwórz interfejs węzła Hybrid Data Security (na przykład adres IP/konfiguracja https://192.0.2.0/setup), wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.

2

Przejdź do Przegląd (strona domyślna).

Gdy ta opcja jest włączona, opcja Zablokowane zewnętrzne rozpoznawanie DNS jest ustawiona na Tak.

3

Przejdź do strony Trust Store & Proxy.

4

Kliknij przycisk Sprawdź połączenie proxy.

Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie mógł połączyć się z serwerem DNS i pozostanie w tym trybie. W przeciwnym razie, po ponownym uruchomieniu węzła i powrocie do strony Przegląd, Zablokowane zewnętrzne rozpoznawanie DNS powinno być ustawione na nie.

Co dalej?

Powtórz test połączenia proxy dla każdego węzła w klastrze hybrid Data Security.

W tej sekcji opisano funkcję obsługi serwera proxy dla Webex Video Mesh. Ma on na celu uzupełnienie Przewodnika wdrażania dla Cisco Webex Video Mesh, dostępnego pod adresem https://www.cisco.com/go/video-mesh. W nowym wdrożeniu konfigurujesz konfigurację serwera proxy w każdym węźle po wdrożeniu oprogramowania Video Mesh w środowisku maszyny wirtualnej i przed zarejestrowaniem węzła w chmurze Cisco Webex.

Obsługa serwera proxy dla usługi Video Mesh

Usługa Video Mesh obsługuje jawne, przejrzyste serwery proxy sprawdzające i niesprawdzające. Można powiązać te serwery proxy z wdrożeniem usługi Video Mesh, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Ta funkcja wysyła do serwera proxy ruch związany z sygnalizacją i zarządzaniem opartym na protokole https. W przypadku przezroczystych serwerów proxy żądania sieciowe z węzłów Video Mesh są przekazywane do określonego serwera proxy za pomocą reguł routingu sieci korporacyjnej. Po zaimplementowaniu serwera proxy z węzłami można używać interfejsu administratora usługi Video Mesh do zarządzania certyfikatami oraz ogólnego stanu łączności.

Media nie podróżują przez pełnomocnika. Nadal musisz otworzyć wymagane porty, aby strumienie multimediów mogły bezpośrednio dotrzeć do chmury. Zobacz Porty i protokoły zarządzania.

Następujące typy serwerów proxy są obsługiwane przez Video Mesh:

  • Jawny serwer proxy (inspekcja lub niekontrolowanie) — za pomocą jawnego serwera proxy użytkownik mówi klientowi (węzłom Video Mesh), którego serwera proxy ma użyć. Ta opcja obsługuje jeden z następujących typów uwierzytelniania:

    • Brak — nie jest wymagane żadne dodatkowe uwierzytelnianie. (W przypadku jawnego serwera proxy HTTP lub HTTPS).

    • Podstawowy — używany w przypadku agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania i używa kodowania Base64. (W przypadku jawnego serwera proxy HTTP lub HTTPS).

    • Skrót — służy do potwierdzania tożsamości konta przed wysłaniem poufnych informacji i stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć. (W przypadku jawnego serwera proxy HTTPS).

    • NTLM — podobnie jak Digest, NTLM służy do potwierdzania tożsamości konta przed wysłaniem poufnych informacji. Używa poświadczeń systemu Windows zamiast nazwy użytkownika i hasła. Ten schemat uwierzytelniania wymaga ukończenia wielu wymian. (W przypadku jawnego serwera proxy HTTP).

  • Przezroczysty serwer proxy (bez inspekcji) — węzły Video Mesh nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w celu pracy z serwerem proxy nieoglądającym inspekcji.

  • Przezroczysty serwer proxy (inspekcja) — węzły Video Mesh nie są skonfigurowane do używania określonego adresu serwera proxy. W video mesh nie są konieczne żadne zmiany konfiguracji http,jednak węzły Video Mesh potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Serwery proxy do inspekcji są zwykle używane przez IT do egzekwowania zasad dotyczących tego, które witryny internetowe mogą być odwiedzane, oraz typów treści, które są niedozwolone. Ten typ proxy odszyfrowuje cały ruch (nawet https).

Przykład węzłów usługi Video Mesh i serwera proxy
Wymagania dotyczące obsługi serwera proxy dla usługi Video Mesh

  • Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami usługi Video Mesh.

    • Urządzenie Cisco Web Security Appliance (WSA) do przezroczystego serwera proxy

    • Squid dla jawnego proxy

  • W przypadku jawnego lub przejrzystego serwera proxy sprawdzającego, który sprawdza (odszyfrowuje ruch), należy mieć kopię certyfikatu głównego serwera proxy, który należy przesłać do magazynu zaufania węzła siatki wideo w interfejsie internetowym.

  • Obsługujemy następujące jawne kombinacje typów proxy i uwierzytelniania:

    • Brak uwierzytelniania za pomocą protokołów http i https

    • Uwierzytelnianie podstawowe za pomocą protokołów http i https

    • Uwierzytelnianie szyfrowane tylko za pomocą protokołu https

    • Uwierzytelnianie NTLM tylko za pomocą protokołu http

  • W przypadku przezroczystych serwerów proxy należy użyć routera/przełącznika, aby wymusić przejście ruchu HTTPS/443 do serwera proxy. Można także wymusić przechodzenie Web Socket do serwera proxy. (Web Socket używa https.)

    Usługa Video Mesh wymaga połączeń Web Socket z usługami w chmurze, aby węzły działały poprawnie. W przypadku jawnych i przejrzystych serwerów proxy sprawdzających, nagłówki HTTP są wymagane dla prawidłowego połączenia WebSocket. Jeśli są one zmienione, połączenie WebSocket nie powiedzie się.

    Jeśli błąd połączenia WebSocket wystąpi na porcie 443 (z włączonym serwerem proxy kontroli przezroczystej), powoduje to ostrzeżenie po rejestracji w Control Hub: „Połączenia SIP usługi Webex Video Mesh nie działają poprawnie”. Ten sam alarm może wystąpić z innych powodów, gdy serwer proxy nie jest włączony. Gdy nagłówki websocket są zablokowane na porcie 443, multimedia nie przepływają między aplikacjami a klientami SIP.

    Jeśli multimedia nie są przesyłane, często występuje to w przypadku niepowodzenia ruchu https z węzła przez port 443:

    • Ruch na porcie 443 jest dozwolony przez serwer proxy, ale jest to serwer proxy sprawdzający i łamie protokół WebSocket.

    Aby naprawić te problemy, może być konieczne „pomijanie” lub „łączenie” (wyłączenie kontroli) na porcie 443 do: *.wbx2.com i *.ciscospark.com.

Skonfiguruj węzeł usługi Video Mesh do integracji z serwerem proxy

Ta procedura służy do określenia typu serwera proxy, który chcesz zintegrować z usługą Video Mesh. Jeśli wybierzesz przezroczysty serwer proxy inspekcji lub jawny serwer proxy, możesz użyć interfejsu węzła, aby przekazać i zainstalować certyfikat główny, sprawdzić połączenie proxy i rozwiązać wszelkie potencjalne problemy.

Przed rozpoczęciem

1

Wprowadź adres URL konfiguracji usługi Video Mesh https://[adres IP lub FQDN/setup w przeglądarce internetowej, wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj.

2

Przejdź do pozycji Sklep zaufania i serwer proxy, a następnie wybierz opcję:

  • Brak serwera proxy — opcja domyślna przed zintegrowaniem serwera proxy. Aktualizacja certyfikatu nie jest wymagana.
  • Przezroczysty, nieweryfikujący serwer proxy — węzły usługi Video Mesh nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana.
  • Przezroczysty serwer proxy sprawdzający — węzły usługi Video Mesh nie są skonfigurowane do używania konkretnego adresu serwera proxy. W video mesh nie są wymagane żadne zmiany konfiguracji http(s); jednak węzły Video Mesh potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Serwery proxy do inspekcji są zwykle używane przez IT do egzekwowania zasad dotyczących tego, które witryny internetowe mogą być odwiedzane, oraz typów treści, które są niedozwolone. Ten typ proxy odszyfrowuje cały ruch (nawet https).
  • Jawny serwer proxy — przy jawnym serwerze proxy można wskazać klientowi (węzły usługi Video Mesh), którego serwera proxy ma być używany, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje:

    1. Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy.

    2. Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy.

    3. Protokół proxy — wybierz opcję http (sieć wideo wysyła tunele ruchu https przez serwer proxy http) lub https (ruch z węzła usługi Video Mesh do serwera proxy korzysta z protokołu https). Wybierz opcję na podstawie tego, co obsługuje Twój serwer proxy.

    4. Wybierz jeden z następujących typów uwierzytelniania, w zależności od środowiska proxy:

      Opcja

      Użycie

      Brak

      Wybierz dla jawnych serwerów proxy HTTP lub HTTPS, w których nie ma metody uwierzytelniania.

      Podstawowe

      Dostępne dla jawnych serwerów proxy HTTP lub HTTPS.

      Używany dla agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania i używa kodowania Base64.

      Trawić

      Dostępne tylko dla jawnych serwerów proxy HTTPS.

      Służy do potwierdzania konta przed wysłaniem poufnych informacji i stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.

      NTLM

      Dostępne tylko dla jawnych serwerów proxy HTTP.

      Podobnie jak Digest, używany do potwierdzania konta przed wysłaniem poufnych informacji. Używa poświadczeń systemu Windows zamiast nazwy użytkownika i hasła.

      W przypadku wybrania tej opcji wprowadź domenę usługi Active Directory używaną przez serwer proxy do uwierzytelniania w polu Domena NTLM. Wprowadź nazwę stacji roboczej proxy (nazywanej również kontem stacji roboczej lub kontem komputera) w określonej domenie NTLM w polu Stacja robocza NTLM.

Wykonaj kolejne kroki, aby uzyskać przezroczysty serwer proxy inspekcji lub jawny.

3

Kliknij przycisk Przekaż certyfikat główny lub Certyfikat jednostki końcowej , a następniezlokalizuj i wybierz certyfikat główny dla jawnego lub przezroczystego serwera proxy inspekcji.

Certyfikat został przekazany, ale nie został jeszcze zainstalowany, ponieważ węzeł musi zostać ponownie uruchomiony, aby zainstalować certyfikat. Kliknij strzałkę obok nazwy wystawcy certyfikatu, aby uzyskać więcej informacji, lub kliknij przycisk Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik.

4

W przypadku przezroczystych inspekcji lub jawnych serwerów proxy kliknij przycisk Sprawdź połączenie proxy, aby przetestować łączność sieciową między węzłem Video Mesh a serwerem proxy.

Jeśli test połączenia zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie z przyczyną i sposobem rozwiązania problemu.

5

Po przejściu testu połączenia, w przypadku jawnego serwera proxy włącz przełącznik, aby kierować wszystkie żądania 443 https z tego węzła przez jawny serwer proxy. To ustawienie wymaga 15 sekund, aby zostało wprowadzone.

6

Kliknij przycisk Zainstaluj wszystkie certyfikaty w magazynie zaufania (pojawia się za każdym razem, gdy certyfikat główny został dodany podczas instalacji serwera proxy) lub Uruchom ponownie (pojawia się, jeśli nie dodano certyfikatu głównego), przeczytaj monit, a następnie kliknij przycisk Zainstaluj, jeśli wszystko jest gotowe.

Węzeł uruchomi się ponownie w ciągu kilku minut.

7

Po ponownym uruchomieniu węzła zaloguj się ponownie, jeśli to konieczne, a następnie otwórz stronę Przegląd, aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie są w stanie zielonym.

Sprawdzanie połączenia proxy testuje tylko subdomenę webex.com. Jeśli występują problemy z łącznością, typowym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

Problemy z serwerem proxy

Jaki ruch przechodzi przez proxy

W przypadku usługi Video Mesh multimedia nie przechodzą przez serwer proxy. Ta funkcja wysyła do serwera proxy sygnalizację i zarządzanie ruchem https. Nadal musisz otworzyć wymagane porty, aby strumienie multimediów docierały bezpośrednio do chmury.

Port TCP 444 nie jest włączony na serwerze proxy

Ten port jest wymagany dla Video Mesh, ponieważ Video Mesh używa tego portu do uzyskiwania dostępu do usług opartych na chmurze, których musi używać, aby działać poprawnie. Dla tego portu i DOWOLNEGO portu należy wprowadzić wyjątek dotyczący serwera proxy, jak udokumentowano w przewodniku wdrażania programu Video Mesh i wymaganiach sieciowych dla usług Webex TeamsServices.

Filtrowanie ruchu sygnalizacyjnego według adresu IP nie jest obsługiwane, ponieważ adresy IP używane przez nasze rozwiązania są dynamiczne i mogą ulec zmianie w dowolnym momencie.

Nie zainstalowano certyfikatu głównego

Gdy węzły rozmawiają z jawnym serwerem proxy, należy zainstalować certyfikat główny i wprowadzić wyjątek dla tego adresu URL na zaporze.

Sprawdzanie łączności kończy się niepowodzeniem

Jeśli sprawdzenie łączności serwera proxy zakończyło się zgodnie z celem i instalacja serwera proxy została zakończona, sprawdzanie łączności na stronie przeglądu może nadal zakończyć się niepowodzeniem z następujących powodów:

  • Serwer proxy sprawdza ruch, który nie trafia do webex.com.

  • Serwer proxy blokuje domeny inne niż webex.com.

Szczegóły uwierzytelniania są nieprawidłowe

W przypadku serwerów proxy, które używają mechanizmu uwierzytelniania, upewnij się, że dodasz poprawne szczegóły uwierzytelniania w węźle.

Przeciążenie serwera proxy

Przeciążenie serwera proxy może powodować opóźnienia i spadki ruchu do chmury. Sprawdź środowisko proxy, aby sprawdzić, czy jest wymagane ograniczanie ruchu.

Websocket nie może połączyć się przez Squid Proxy

Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń Websocket (wss:), których wymaga hybrydowe zabezpieczenia danych. Poniższe sekcje zawierają wskazówki, jak skonfigurować różne wersje Squid, aby ignorować wss: ruchu zapewniającego prawidłowe funkcjonowanie usług.

Kalmary 4 i 5

Dodaj on_unsupported_protocol dyrektywę do squid.conf:

on_unsupported_protocol tunel wszystkie

Kalmary 3.5.27

Z powodzeniem przetestowaliśmy Hybrid Data Security z następującymi regułami dodanymi do squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizowania chmury Webex.

Acl wssMercuryConnection ssl::server_name_regex połączenie z rtęcią ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 wszystko ssl_bump stare step2 wszystko ssl_bump bump3 wszystko