Aflați cum să configurați un proxy cu Cisco Webex Hybrid Data Security și Webex Video Mesh, inclusiv cerințele și pașii pentru a configura nodurile să funcționeze cu un proxy de inspectare transparent sau cu un proxy explicit. De asemenea, puteți găsi informații de depanare de bază.
Această secțiune descrie caracteristica de suport proxy pentru securitatea datelor hibride. Acesta este destinat să completeze Ghidul de implementare pentru Cisco Webex Hybrid Data Security, disponibil la https://www.cisco.com/go/hybrid-data-security. Într-o nouă implementare, configurați configurarea proxy pe fiecare nod după încărcarea și montarea ISO de configurare HDS pe nod și înainte de a înregistra nodul cu cloud Cisco Webex.
Hybrid Data Security acceptă inspectarea explicită, transparentă și proxy-uri care nu inspectează. Puteți lega aceste proxy-uri de implementare, astfel încât să puteți securiza și monitoriza traficul de la întreprindere în cloud. Puteți utiliza o interfață de administrator de platformă pe nodurile pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.
Nodurile hibride de securitate a datelor acceptă următoarele opțiuni proxy:
Nici un proxy—Implicit dacă nu utilizați configurația HDS nod setup Trust Store & Proxy pentru a integra un proxy. Nu este necesară actualizarea certificatului.
Proxy transparent care nu inspectează- Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a lucra cu un proxy care nu inspectează. Nu este necesară actualizarea certificatului.
Tunelare transparentă sau inspectarea proxy-Nodurile nu sunt configurate pentru a utiliza o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
Proxy explicit- Cu proxy explicit, spuneți nodurilor HDS ce server proxy și schemă de autentificare să utilizeze. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:
Proxy IP/FQDN- Adresă care poate fi utilizată pentru a ajunge la mașina proxy.
Port proxy- Un număr de port pe care proxy-ul îl utilizează pentru a asculta traficul proxy.
Protocol proxy- În funcție de ceea ce acceptă serverul proxy, alegeți între următoarele protocoale:
HTTP - Vizualizează și controlează toate solicitările pe care le trimite clientul.
HTTPS - Oferă un canal serverului. Clientul primește și validează certificatul serverului.
Tip de autentificare— Alegeți dintre următoarele tipuri de autentificare:
Niciuna– Nu este necesară autentificarea suplimentară.
Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
De bază- Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când faceți o solicitare. Utilizează codificarea Base64.
Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.
Digest- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea.
Disponibil numai dacă selectați HTTPS ca protocol proxy.
Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.
Exemplu de noduri hibride de securitate a datelor și proxy
Modul de rezolvare DNS extern blocat (configurații proxy explicite)
Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul Rezoluție DNS externă blocată. În acest mod, înregistrarea nodului și alte teste de conectivitate proxy pot continua.
Acceptăm oficial următoarele soluții proxy care se pot integra cu nodurile hibride de securitate a datelor.
Proxy transparent - Cisco Web Security Appliance (WSA).
Proxy explicit - Calmar.
Proxy-urile calmar care inspectează traficul HTTPS pot interfera cu înființarea websocket (wss:) Conexiuni. Pentru a rezolva această problemă, consultați "Websocket nu se poate conecta prin Squid Proxy" în probleme proxy.
Acceptăm următoarele combinații de tip de autentificare pentru proxy-uri explicite:
Fără autentificare cu HTTP sau HTTPS
Autentificare de bază cu HTTP sau HTTPS
Autentificare digest numai cu HTTPS
Pentru un proxy de inspectare transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în depozitele de încredere ale nodurilor hibride de securitate a datelor.
Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire pe portul 443 pentru a ruta prin proxy.
Proxy-urile care inspectează traficul web pot interfera cu conexiunile de soclu web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului către wbx2.com și ciscospark.com va rezolva problema.
Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu Securitatea datelor hibride. Dacă alegeți un proxy de inspectare transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți depana orice probleme potențiale.
Înainte de a începe
Consultați Suport proxy pentru o prezentare generală a opțiunilor proxy acceptate.
1 | Introduceți URL-ul de configurare a nodului HDS https://[HDS Node IP sau FQDN]/setup într-un browser web, introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare. |
2 | Accesați Trust Store & Proxy, apoi alegeți o opțiune:
Urmați pașii următori pentru un proxy de inspectare transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS. |
3 | Faceți clic pe Încărcare certificat rădăcină sau certificat de entitate de sfârșit , apoi navigați la o alegeți certificatul rădăcină pentruproxy. Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata ghilimelei unghiulare de numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul. |
4 | Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy. Dacă testul de conexiune nu reușește, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a reușit să ajungă la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua cu configurarea și nodul va funcționa. Dacă credeți că aceasta este o eroare, parcurgeți acești pași. Apoi, puteți dezactiva modul. (A se vedea Dezactivați Modul de rezoluție DNS extern blocat.) |
5 | După ce trece testul de conexiune, pentru proxy explicit setat la https numai, activați comutatorul pentru a ruta toate port 443/444 https solicitările de la acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare. |
6 | Faceți clic pe Instalare toate certificatele în Depozitul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspectare transparent) sau pe Repornire (apare pentru un proxy explicit HTTP), citiți solicitarea, apoi faceți clic pe Instalare dacă sunteți gata. Nodul repornește în câteva minute. |
7 | După repornirea nodului, conectați-vă din nou, dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu de webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud listate în instrucțiunile de instalare sunt blocate la proxy. |
Ce trebuie să faceți în continuare
Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul Rezoluție DNS externă blocată.
Dacă nodurile sunt capabile să rezolve numele DNS publice prin serverele DNS interne, puteți dezactiva acest mod prin reluarea testului de conexiune proxy pe fiecare nod.
Înainte de a începe
1 | Într-un browser web, deschideți interfața nodului Hibrid Data Security (adresa IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare. |
2 | Accesați Prezentare generală (pagina implicită). Când este activată, Rezoluția DNS externă blocată este setată la Da. |
3 | Accesați pagina Trust Store & Proxy. |
4 | Faceți clic pe Verificare conexiune proxy. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a reușit să ajungă la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală, Rezoluția DNS externă blocată ar trebui să fie setată la nu. |
Ce trebuie să faceți în continuare
Această secțiune descrie caracteristica de suport proxy pentru Webex Video Mesh. Acesta este destinat să completeze Ghidul de implementare pentru Cisco Webex Video Mesh ,disponibil la https://www.cisco.com/go/video-mesh. Într-o nouă implementare, configurați configurarea proxy pe fiecare nod după implementarea software-ului Video Mesh pe un mediu de mașină virtuală și înainte de a înregistra nodul cu cloud-ul Cisco Webex.
Cisco Webex Video Mesh acceptă inspectarea explicită, transparentă și proxy-urile care nu inspectează. Puteți lega aceste proxy-uri de implementarea Webex Video Mesh, astfel încât să puteți securiza și monitoriza traficul de la întreprindere în cloud. Această caracteristică trimite semnalizarea și gestionarea traficului bazat pe https către proxy. Pentru proxy-uri transparente, solicitările de rețea din nodurile Video Mesh sunt redirecționate către un anumit proxy prin reguli de rutare a rețelei de întreprindere. Puteți utiliza interfața de administrare Webex Video Mesh pentru gestionarea certificatelor și starea generală a conectivității după implementarea proxy-ului cu nodurile.
Mass-media nu se deplasează prin proxy. Trebuie să deschideți în continuare porturile necesare pentru fluxurile media pentru a ajunge direct în cloud. |
Următoarele tipuri de proxy sunt acceptate de Video Mesh:
Proxy explicit (inspectare sau non-inspectare)-Cu proxy explicit, îi spuneți clientului (nodurile Video Mesh) ce server proxy să utilizeze. Această opțiune acceptă unul dintre următoarele tipuri de autentificare:
Niciuna — Nu este necesară autentificarea suplimentară. (Pentru proxy explicit HTTP sau HTTPS.)
De bază - Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când faceți o solicitare și utilizează codificarea Base64. (Pentru proxy explicit HTTP sau HTTPS.)
Digest - Folosit pentru a confirma identitatea contului înainte de a trimite informații sensibile și aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea. (Pentru proxy explicit HTTPS.)
NTLM — La fel ca Digest, NTLM este utilizat pentru a confirma identitatea contului înainte de a trimite informații sensibile. Utilizează acreditările Windows în locul numelui de utilizator și al parolei. Această schemă de autentificare necesită mai multe schimburi pentru a finaliza. (Pentru proxy explicit HTTP.)
Proxy transparent (fără inspectare) - Nodurile Fileu video nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a lucra cu un proxy care nu inspectează.
Proxy transparent (inspectare)- Nodurile Fileu video nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare http(s) pe Video Mesh, cu toate acestea, nodurile Video Mesh au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici cu privire la site-urile web care pot fi vizitate și tipurile de conținut care nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și https).
Acceptăm oficial următoarele soluții proxy care se pot integra cu nodurile Webex Video Mesh.
Cisco Web Security Appliance (WSA) pentru proxy transparent
Calmar pentru proxy explicit
Pentru un proxy explicit sau un proxy de inspectare transparent care inspectează (decriptează traficul), trebuie să aveți o copie a certificatului rădăcină al proxy-ului pe care va trebui să îl încărcați în magazinul de încredere al nodului Webex Video Mesh din interfața web.
Acceptăm următoarele combinații explicite de tip proxy și autentificare:
Fără autentificare cu http și https
Autentificare de bază cu http și https
Digest autentificarea doar cu https
Autentificare NTLM doar cu http
Pentru proxy-uri transparente, trebuie să utilizați routerul / comutatorul pentru a forța traficul HTTPS/443 pentru a merge la proxy. De asemenea, puteți forța Web Socket/444 să meargă la proxy. (Web Socket utilizează https.) Portul 444 depinde de configurarea rețelei. Dacă portul 444 nu este dirijat prin proxy, acesta trebuie să fie deschis direct de la nod la cloud.
Webex Video Mesh necesită conexiuni de soclu web la serviciile cloud, astfel încât nodurile să funcționeze corect. Pe inspectarea explicită și proxy-uri transparente inspectarea, anteturile http care sunt necesare pentru o conexiune websocket corespunzătoare sunt modificate și conexiunile websocket nu reușesc.
Simptomul atunci când acest lucru se întâmplă pe portul 443 (cu proxy de inspectare transparent activat) este un avertisment post-înregistrare în Control Hub: "Apelarea SIP Webex Video Mesh nu funcționează corect." Aceeași alarmă poate apărea din alte motive atunci când proxy-ul nu este activat. Când anteturile websocket sunt blocate pe portul 443, media nu curge între aplicații și clienții SIP.
Dacă media nu curge, acest lucru se întâmplă adesea atunci când traficul https din nodul peste portul 444 sau portul 443 nu reușește:
Proxy nu este inspectarea, dar portul 444 trafic nu este permisă de proxy.
Portul 443 sau portul 444 traficul este permis de proxy, dar este un proxy de inspectare și este de rupere websocket.
Pentru a corecta aceste probleme, poate fi necesar să "ocoliți" sau "să îmbinați" (dezactivați inspecția) în porturile 444 și 443 pentru: *.wbx2.com și *.ciscospark.com.
Utilizați această procedură pentru a specifica tipul de proxy pe care doriți să-l integrați cu un Webex Video Mesh. Dacă alegeți un proxy de inspectare transparent sau un proxy explicit, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină, a verifica conexiunea proxy și a depana orice probleme potențiale.
Înainte de a începe
Consultați Asistență proxy pentru Cisco Webex Video Mesh pentru o prezentare generală a opțiunilor proxy acceptate.
1 | Introduceți adresa URL de configurare Webex Video Meshhttps://[IP sau FQDN/setup într-un browser web, introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare. |
||||||||||||
2 | Accesați Trust Store & Proxy, apoi alegeți o opțiune:
Urmați pașii următori pentru o inspectare transparentă sau un proxy explicit. |
||||||||||||
3 | Faceți clic pe Încărcare certificat rădăcină sau certificat de entitate finală , apoigăsiți și alegeți certificatul rădăcină pentru proxy-ul de inspectare explicit sau transparent. Certificatul este încărcat, dar nu este încă instalat, deoarece nodul trebuie să fie repornit pentru a instala certificatul. Faceți clic pe săgeata de la numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul. |
||||||||||||
4 | Pentru inspectare transparentă sau proxy-uri explicite, faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nodul Fileu video și proxy. Dacă testul de conexiune nu reușește, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. |
||||||||||||
5 | După ce trece testul de conexiune, pentru proxy explicit, activați comutatorul pentru a ruta toate solicitările port 443/444 https de la acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare. |
||||||||||||
6 | Faceți clic pe Instalare toate certificatele în Depozitul de autorizare (apare ori de câte ori a fost adăugat un certificat rădăcină în timpul configurării proxy) sau pe Repornire (apare dacă nu a fost adăugat niciun certificat rădăcină), citiți solicitarea, apoi faceți clic pe Instalare dacă sunteți gata. Nodul repornește în câteva minute. |
||||||||||||
7 | După repornirea nodului, conectați-vă din nou, dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu de webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud listate în instrucțiunile de instalare sunt blocate la proxy. |
Ce trafic trece prin Proxy
Pentru Video Mesh, mass-media nu traversează proxy-ul. Această caracteristică trimite semnalizarea și gestionarea traficului bazat pe https către proxy. Trebuie să deschideți în continuare porturile necesare pentru fluxurile media pentru a ajunge direct în cloud.
Portul TCP 444 nu este activat pe Proxy
Acest port este o cerință pentru Video Mesh, deoarece Video Mesh utilizează acest port pentru a accesa serviciile bazate pe cloud pe care trebuie să le utilizeze pentru a funcționa corect. Trebuie făcută o excepție proxy pentru acest port și ORICE, așa cum este documentat în ghidul de implementare Video Mesh șicerințele de rețea pentru Webex Teams Services.
Filtrarea traficului de semnalizare în funcție de adresa IP nu este acceptată, deoarece adresele IP utilizate de soluțiile noastre sunt dinamice și se pot schimba în orice moment. |
Nu este instalat niciun certificat rădăcină
Când nodurile vorbesc cu un proxy explicit, trebuie să instalați certificatul rădăcină și să introduceți o excepție pentru acel URL în paravanul de protecție.
Verificarea conectivității nu reușește
Dacă verificarea conectivității proxy a trecut și instalarea proxy a fost finalizată, verificările de conectivitate din pagina prezentare generală pot totuși să nu reușească din aceste motive:
Proxy-ul inspectează traficul care nu merge la webex.com.
Proxy-ul blochează alte domenii decât webex.com.
Detaliile de autentificare sunt incorecte
Pentru proxy-uri care utilizează un mecanism de autentificare, asigurați-vă că adăugați detaliile corecte de autentificare în nod.
Congestie pe Proxy
Congestia de pe proxy poate provoca întârzieri și scăderi cu trafic în cloud. Verificați mediul proxy pentru a vedea dacă este necesară limitarea traficului.
Websocket nu se poate conecta prin Squid Proxy
Proxy-urile calmarului care inspectează traficul HTTPS pot interfera cu stabilirea websocket(wss:) conexiunile de care necesită Hybrid Data Security și Webex Video Mesh. Este posibil să vedeți o serie de avertismente în jurnalele, cum ar fi, "Reconectarea WebSocket ..." ca un nod încearcă să ajungă în cloud Webex. Încercați următoarea configurație Squid, în funcție de versiunea de Squid, pentru a obține proxy-ul să ignore wss: trafic pentru buna funcționare.
Calmar 4 și 5
Adăugați on_unsupported_protocol
directiva la squid.conf:
on_unsupported_protocol tunnel all
Calmar 3.5.27
Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf. Aceste reguli pot fi modificate pe măsură ce dezvoltăm caracteristici și actualizăm cloud-ul Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Am testat cu succes Video Mesh cu următoarele reguli adăugate la squid.conf. (Video Mesh necesită două acls suplimentare în comparație cu hibrid de securitate a datelor.) Aceste reguli pot fi modificate pe măsură ce dezvoltăm caracteristici și actualizăm cloud-ul Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
acl ciscoCloud1 ssl::server_name .wbx2.com
acl ciscoCloud2 ssl::server_name .ciscospark.com
ssl_bump splice wssMercuryConnection
ssl_bump splice ciscoCloud1
ssl_bump splice ciscoCloud2
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all