Zistite, ako nastaviť proxy s Cisco Webex Hybrid Data Security a Webex Video Mesh, vrátane požiadaviek a krokov na konfiguráciu uzlov na prácu s transparentným kontrolným proxy alebo explicitným proxy. Môžete tiež nájsť základné informácie o riešení problémov.
Táto časť popisuje funkciu podpory proxy pre Hybrid Data Security. Je určený na doplnenie Sprievodca nasadením pre Cisco Webex Hybrid Data Security, dostupný v https://www.cisco.com/go/hybrid-data-security. V novom nasadení konfigurujete nastavenie servera proxy na každom uzle po nahraní a pripojení ISO konfigurácie HDS do uzla a pred registráciou uzla v cloude Cisco Webex.
Hybrid Data Security podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto servery proxy môžete prepojiť s nasadením, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Rozhranie správcu platformy na uzloch môžete použiť na správu certifikátov a na kontrolu celkového stavu pripojenia po nastavení servera proxy na uzloch.
Uzly Hybrid Data Security podporujú nasledujúce možnosti proxy:
Žiadny proxy—Predvolené, ak na integráciu servera proxy nepoužívate nastavenie uzla HDS Trust Store & Proxy. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentný nekontrolujúci splnomocnenec– Uzly nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom. Nevyžaduje sa žiadna aktualizácia certifikátu.
Transparentné tunelovanie alebo kontrola proxy– Uzly nie sú nakonfigurované na používanie špecifickej adresy servera proxy. Na uzloch nie sú potrebné žiadne zmeny konfigurácie HTTP alebo HTTPS. Uzly však potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel, ktoré webové stránky možno navštíviť a ktoré typy obsahu nie sú povolené. Tento typ proxy servera dešifruje všetku vašu komunikáciu (dokonca aj HTTPS).
Explicitný proxy—S explicitným proxy, poviete HDS uzlom, ktorý proxy server a overovaciu schému použiť. Ak chcete nakonfigurovať explicitný server proxy, musíte do každého uzla zadať nasledujúce informácie:
Proxy IP/FQDN– Adresa, ktorú možno použiť na spojenie so zariadením proxy.
Port proxy—Číslo portu, ktoré server proxy používa na počúvanie prevádzky cez proxy.
Proxy protokol—V závislosti od toho, čo váš proxy server podporuje, vyberte si z nasledujúcich protokolov:
HTTP – zobrazuje a riadi všetky požiadavky, ktoré klient odosiela.
HTTPS – poskytuje kanál pre server. Klient prijme a overí certifikát servera.
autentický typ— Vyberte si z nasledujúcich typov autentifikácie:
žiadne— Nevyžaduje sa žiadna ďalšia autentifikácia.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Základné— Používa sa pre HTTP User Agent na poskytnutie používateľského mena a hesla pri vytváraní požiadavky. Používa kódovanie Base64.
Dostupné, ak ako protokol proxy vyberiete HTTP alebo HTTPS.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Digest– Používa sa na potvrdenie účtu pred odoslaním citlivých informácií. Použije funkciu hash na meno používateľa a heslo pred odoslaním cez sieť.
Dostupné, iba ak vyberiete HTTPS ako protokol proxy.
Vyžaduje, aby ste na každom uzle zadali meno používateľa a heslo.
Príklad uzlov na zabezpečenie hybridných dát a proxy
Tento diagram ukazuje príklad spojenia medzi Hybrid Data Security, sieťou a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly HTTPS proxy musí byť na serveri proxy aj na uzloch Hybrid Data Security nainštalovaný rovnaký koreňový certifikát.
Blokovaný režim externého rozlíšenia DNS (explicitné konfigurácie proxy)
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. V nasadeniach s explicitnými konfiguráciami proxy, ktoré neumožňujú externé rozlíšenie DNS pre interných klientov, ak uzol nemôže dotazovať servery DNS, automaticky prejde do režimu blokovaného externého riešenia DNS. V tomto režime môže pokračovať registrácia uzla a ďalšie testy pripojenia proxy.
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vašimi uzlami Hybrid Data Security.
Transparentný proxy – Cisco Web Security Appliance (WSA).
Explicitný proxy-Squid.
Proxy serverov Squid, ktoré kontrolujú prenos HTTPS, môžu narúšať vytvorenie webovej zásuvky (wss:) spojenia. Ak chcete tento problém vyriešiť, pozrite si časť „Websocket sa nemôže pripojiť cez Squid proxy“ v Problémy so serverom proxy.
Pre explicitné servery proxy podporujeme nasledujúce kombinácie typov overenia:
Žiadna autentifikácia pomocou HTTP alebo HTTPS
Základná autentifikácia pomocou HTTP alebo HTTPS
Digest overenie iba s HTTPS
Pre transparentný kontrolný proxy server alebo explicitný proxy server HTTPS musíte mať kópiu koreňového certifikátu servera proxy. Pokyny na nasadenie v tejto príručke vám povedia, ako nahrať kópiu do dôveryhodných obchodov uzlov Hybrid Data Security.
Sieť, ktorá hostí uzly HDS, musí byť nakonfigurovaná tak, aby vynútila smerovanie odchádzajúcej prevádzky TCP na porte 443 cez server proxy.
Proxy, ktoré kontrolujú webovú prevádzku, môžu narúšať pripojenia webových soketov. Ak sa vyskytne tento problém, obíďte (nie kontrolujte) premávku na wbx2.com a ciscospark.com problém vyrieši.
Ak sieťové prostredie vyžaduje server proxy, použite tento postup na určenie typu servera proxy, s ktorým sa chcete integrovať Hybridná bezpečnosť dát. Ak si vyberiete transparentný kontrolný proxy server alebo explicitný proxy server HTTPS, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu. Môžete tiež skontrolovať pripojenie proxy z rozhrania a vyriešiť prípadné problémy.
Predtým ako začneš
Pozri Podpora proxy pre prehľad podporovaných možností proxy.
| 1 | Zadajte adresu URL nastavenia uzla HDS https://[IP uzla HDS alebo FQDN]/setup vo webovom prehliadači zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa. |
| 2 | Ísť do Trust Store a proxya potom vyberte možnosť:
Postupujte podľa nasledujúcich krokov pre transparentný kontrolný proxy server, explicitný proxy server HTTP so základným overením alebo explicitný proxy HTTPS. |
| 3 | Kliknite Nahrajte koreňový certifikát alebo certifikát koncovej entitya potom prejdite na výber koreňového certifikátu pre server proxy. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu musíte reštartovať uzol. Kliknutím na šípku v tvare šípky vedľa názvu vydavateľa certifikátu získate ďalšie podrobnosti alebo kliknite Odstrániť ak ste urobili chybu a chcete súbor znova nahrať. |
| 4 | Kliknite Skontrolujte pripojenie proxy na testovanie sieťového pripojenia medzi uzlom a proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS. Tento stav sa očakáva v mnohých explicitných konfiguráciách proxy. Môžete pokračovať v nastavovaní a uzol bude fungovať. Ak si myslíte, že ide o chybu, vykonajte tieto kroky. Potom môžete režim vypnúť. (Pozri Vypnite režim zablokovaného externého rozlíšenia DNS.) |
| 5 | Po úspešnom teste pripojenia zapnite prepínač v prípade explicitného servera proxy nastaveného iba na https Smerujte všetky požiadavky https z tohto uzla na port 443/444 cez explicitný proxy server. Toto nastavenie sa prejaví po 15 sekundách. |
| 6 | Kliknite Nainštalujte všetky certifikáty do dôveryhodného úložiska (zobrazí sa pri explicitnom HTTPS proxy alebo transparentnom kontrolnom proxy serveri) alebo Reštartovať (zobrazí sa pri explicitnom serveri proxy HTTP), prečítajte si výzvu a potom kliknite Inštalácia ak si pripravený. Uzol sa reštartuje v priebehu niekoľkých minút. |
| 7 | Po reštartovaní uzla sa v prípade potreby znova prihláste a potom otvorte Prehľad stránku a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
Čo urobiť ďalej
Keď zaregistrujete uzol alebo skontrolujete konfiguráciu proxy uzla, proces otestuje vyhľadávanie DNS a pripojenie ku cloudu Cisco Webex. Ak server DNS uzla nedokáže rozlíšiť verejné názvy DNS, uzol automaticky prejde do režimu zablokovaného externého rozlíšenia DNS.
Ak vaše uzly dokážu rozlíšiť verejné názvy DNS prostredníctvom interných serverov DNS, môžete tento režim vypnúť opätovným spustením testu pripojenia proxy na každom uzle.
Predtým ako začneš
| 1 | Vo webovom prehliadači otvorte rozhranie uzla Hybrid Data Security (IP adresa/nastavenie, napr. https://192.0.2.0/setup), zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa. |
| 2 | Ísť do Prehľad (predvolená stránka).  Keď je povolené, Zablokované externé rozlíšenie DNS je nastavený na Áno. |
| 3 | Choďte na Trust Store a proxy stránku. |
| 4 | Kliknite Skontrolujte pripojenie proxy. Ak sa zobrazí hlásenie, že externé rozlíšenie DNS nebolo úspešné, uzol sa nedokázal spojiť so serverom DNS a zostane v tomto režime. V opačnom prípade po reštartovaní uzla a návrate do Prehľad na stránke Blocked External DNS Resolution by mala byť nastavená na no. |
Čo urobiť ďalej
Táto časť popisuje funkciu podpory proxy pre Webex Video Mesh. Je určený na doplnenie Sprievodca nasadením pre Cisco Webex Video Mesh, dostupný v https://www.cisco.com/go/video-mesh. V novom nasadení konfigurujete nastavenie proxy na každom uzle po nasadení softvéru Video Mesh v prostredí virtuálneho počítača a pred registráciou uzla v cloude Cisco Webex.
Cisco Webex Video Mesh podporuje explicitné, transparentné kontrolné a nekontrolujúce proxy. Tieto proxy môžete prepojiť so svojím Webex Video Mesh nasadenie, aby ste mohli zabezpečiť a monitorovať prevádzku z podniku do cloudu. Táto funkcia odosiela na server proxy signalizáciu a správu na základe protokolu https. V prípade transparentných serverov proxy sa sieťové požiadavky z uzlov Video Mesh preposielajú na konkrétny server proxy prostredníctvom pravidiel smerovania podnikovej siete. Môžete použiť Webex Video Mesh admin rozhranie pre správu certifikátov a celkový stav pripojenia po implementácii proxy s uzlami.
|
Médiá neprechádzajú cez proxy server. Stále musíte otvoriť požadované porty pre mediálne toky, aby sa dostali priamo do cloudu. |
Video Mesh podporuje nasledujúce typy proxy serverov:
Explicitný proxy (kontrolujúci alebo nekontrolujúci) – s explicitným proxy serverom poviete klientovi (Video Mesh uzly), ktorý proxy server má použiť. Táto možnosť podporuje jeden z nasledujúcich typov autentifikácie:
Žiadne – nevyžaduje sa žiadne ďalšie overenie. (Pre explicitný proxy server HTTP alebo HTTPS.)
Základné – používa sa pre používateľského agenta HTTP na poskytnutie používateľského mena a hesla pri vytváraní požiadavky a používa kódovanie Base64. (Pre explicitný proxy server HTTP alebo HTTPS.)
Prehľad – používa sa na potvrdenie identity účtu pred odoslaním citlivých informácií a na používateľské meno a heslo pred odoslaním cez sieť použije hašovaciu funkciu. (Pre explicitný proxy server HTTPS.)
NTLM – Podobne ako Digest, aj NTLM sa používa na potvrdenie identity účtu pred odoslaním citlivých informácií. Namiesto používateľského mena a hesla používa poverenia systému Windows. Táto schéma overenia vyžaduje na dokončenie viacerých výmen. (Pre explicitný proxy server HTTP.)
Transparent Proxy (nekontrolujúci) – uzly Video Mesh nie sú nakonfigurované na používanie špecifickej adresy proxy servera a nemali by vyžadovať žiadne zmeny, aby fungovali s nekontrolujúcim proxy serverom.
Transparent Proxy (kontrola) – uzly Video Mesh nie sú nakonfigurované na používanie špecifickej adresy proxy servera. Na Video Mesh nie sú potrebné žiadne zmeny konfigurácie http(s), avšak uzly Video Mesh potrebujú koreňový certifikát, aby dôverovali proxy. Inšpekčné servery proxy zvyčajne používajú IT na presadzovanie pravidiel týkajúcich sa toho, ktoré webové stránky je možné navštíviť, a typov obsahu, ktorý nie je povolený. Tento typ servera proxy dešifruje všetku vašu komunikáciu (dokonca aj protokol https).
Tento diagram ukazuje príklad spojenia medzi Webex Video Mesh, sieť a proxy. Pre možnosti transparentnej kontroly a explicitnej kontroly proxy musí byť na serveri proxy a na uzloch Video Mesh nainštalovaný rovnaký koreňový certifikát.
Oficiálne podporujeme nasledujúce proxy riešenia, ktoré sa dajú integrovať s vaším Webex Video Mesh uzly.
Cisco Web Security Appliance (WSA) pre transparentný proxy server
Squid pre explicitné proxy
V prípade explicitného servera proxy alebo transparentného servera proxy, ktorý kontroluje (dešifruje prenos), musíte mať kópiu koreňového certifikátu servera proxy, ktorý budete musieť nahrať do Webex Video Mesh dôveryhodný obchod uzla na webovom rozhraní.
Podporujeme nasledujúce explicitné kombinácie proxy a typov overenia:
Žiadna autentifikácia pomocou http a https
Základná autentifikácia pomocou http a https
Overenie súhrnom iba pomocou protokolu https
Overenie NTLM iba s http
V prípade transparentných serverov proxy musíte použiť smerovač/prepínač na prinútenie prenosu HTTPS/443 na server proxy. Môžete tiež prinútiť Web Socket/444 prejsť na proxy. (Web Socket používa https.) Port 444 závisí od nastavenia vašej siete. Ak port 444 nie je smerovaný cez proxy, musí byť otvorený priamo z uzla do cloudu.
Webex Video Mesh vyžaduje pripojenie webového soketu ku cloudovým službám, aby uzly fungovali správne. Pri explicitných kontrolných a transparentných kontrolných proxy serveroch sa hlavičky http, ktoré sú potrebné pre správne pripojenie websocket, zmenia a pripojenia websocket zlyhajú.
Príznakom, keď k tomu dôjde na porte 443 (s povoleným transparentným kontrolným proxy serverom), je varovanie po registrácii v Control Hub: „Volanie SIP Webex Video Mesh nefunguje správne.“ Rovnaký alarm sa môže vyskytnúť z iných dôvodov, keď nie je povolený server proxy. Keď sú hlavičky websocket zablokované na porte 443, médiá medzi aplikáciami a klientmi SIP neprechádzajú.
Ak médiá netečú, často sa to stane, keď zlyhá prenos https z uzla cez port 444 alebo port 443:
Proxy nekontroluje, ale prenos na porte 444 nie je povolený.
Prevádzka portu 443 alebo portu 444 je povolená serverom proxy, ale je to kontrolný server proxy a prerušuje websocket.
Ak chcete opraviť tieto problémy, možno budete musieť „obísť“ alebo „splice“ (zakázať kontrolu) na portoch 444 a 443, aby ste: *.wbx2.com a *.ciscospark.com.
Tento postup použite na určenie typu servera proxy, ktorý chcete integrovať s a Webex Video Mesh. Ak si vyberiete transparentný kontrolný proxy alebo explicitný proxy, môžete použiť rozhranie uzla na nahranie a inštaláciu koreňového certifikátu, kontrolu pripojenia proxy a riešenie prípadných problémov.
Predtým ako začneš
Pozri Podpora proxy pre Cisco Webex Video Mesh pre prehľad podporovaných možností proxy.
| 1 | Zadajte Webex Video Mesh nastaviť URL https://[IP alebo FQDN/setup vo webovom prehliadači zadajte poverenia správcu, ktoré ste nastavili pre uzol, a potom kliknite Prihlásiť sa. |
||||||||||||
| 2 | Ísť do Trust Store a proxya potom vyberte možnosť:
Pre transparentnú kontrolu alebo explicitný proxy postupujte podľa nasledujúcich krokov. |
||||||||||||
| 3 | Kliknite Nahrajte koreňový certifikát alebo certifikát koncovej entitya potom vyhľadajte a vyberte koreňový certifikát pre explicitný alebo transparentný kontrolný proxy server. Certifikát je nahraný, ale ešte nie je nainštalovaný, pretože na inštaláciu certifikátu je potrebné reštartovať uzol. Kliknutím na šípku pri mene vydavateľa certifikátu získate ďalšie podrobnosti alebo kliknite Odstrániť ak ste urobili chybu a chcete súbor znova nahrať. |
||||||||||||
| 4 | Pre transparentnú kontrolu alebo explicitné proxy kliknite Skontrolujte pripojenie proxy na testovanie sieťového pripojenia medzi uzlom Video Mesh a serverom proxy. Ak test pripojenia zlyhá, zobrazí sa chybové hlásenie, ktoré uvádza dôvod a spôsob, ako môžete problém vyriešiť. |
||||||||||||
| 5 | Po úspešnom teste pripojenia pre explicitný proxy prepnite prepínač do polohy Smerujte všetky požiadavky https z tohto uzla na port 443/444 cez explicitný proxy server. Toto nastavenie sa prejaví po 15 sekundách. |
||||||||||||
| 6 | Kliknite Nainštalujte všetky certifikáty do dôveryhodného úložiska (zobrazí sa vždy, keď bol počas nastavenia servera proxy pridaný koreňový certifikát) alebo Reštartovať (zobrazí sa, ak nebol pridaný koreňový certifikát), prečítajte si výzvu a potom kliknite Inštalácia ak si pripravený. Uzol sa reštartuje v priebehu niekoľkých minút. |
||||||||||||
| 7 | Po reštartovaní uzla sa v prípade potreby znova prihláste a potom otvorte Prehľad stránku a skontrolujte kontroly pripojenia, aby ste sa uistili, že sú všetky v zelenom stave. Kontrola pripojenia proxy testuje iba subdoménu webex.com. Ak sa vyskytnú problémy s pripojením, bežným problémom je, že niektoré z cloudových domén uvedených v pokynoch na inštaláciu sú na serveri proxy blokované. |
||||||||||||
Aká návštevnosť prechádza cez proxy
V prípade Video Mesh médiá neprechádzajú cez server proxy. Táto funkcia odosiela na server proxy signalizáciu a správu prenosu založeného na protokole https. Stále musíte otvoriť požadované porty pre toky médií, aby sa dostali priamo do cloudu.
Port TCP 444 nie je povolený na serveri proxy
Tento port je požiadavkou pre Video Mesh, pretože Video Mesh používa tento port na prístup k cloudovým službám, ktoré musí používať na správne fungovanie. Pre tento port a AKÝKOĽVEK sa musí urobiť výnimka proxy, ako je zdokumentované v dokumente Sprievodca nasadením Video Mesh a Sieťové požiadavky pre Webex Teams Services.
|
Filtrovanie signalizačnej prevádzky podľa adresy IP nie je podporované, pretože adresy IP používané našimi riešeniami sú dynamické a môžu sa kedykoľvek zmeniť. |
Nie je nainštalovaný žiadny koreňový certifikát
Keď vaše uzly komunikujú s explicitným serverom proxy, musíte nainštalovať koreňový certifikát a zadať výnimku pre túto adresu URL na vašej bráne firewall.
Kontrola pripojenia zlyhala
Ak kontrola pripojenia servera proxy prebehla úspešne a inštalácia servera proxy bola dokončená, kontroly pripojenia na stránke prehľadu môžu stále zlyhať z týchto dôvodov:
Proxy kontroluje prevádzku, ktorá nesmeruje na webex.com.
Proxy blokuje iné domény ako webex.com.
Podrobnosti overenia sú nesprávne
Pre proxy servery, ktoré používajú autentifikačný mechanizmus, sa uistite, že ste do uzla pridali správne autentifikačné detaily.
Preťaženie na serveri proxy
Preťaženie na vašom serveri proxy môže spôsobiť oneskorenie a poklesy s návštevnosťou v cloude. Skontrolujte prostredie servera proxy a zistite, či nie je potrebné obmedziť návštevnosť.
Websocket sa nemôže pripojiť cez Squid Proxy
Proxy serverov chobotnice, ktoré kontrolujú prenos HTTPS, môžu zasahovať do vytvorenia webovej zásuvky (wss:) pripojenia, ktoré Hybrid Data Security a Webex Video Mesh vyžadujú. V protokoloch môžete vidieť sériu upozornení, ako napríklad „Opätovné pripojenie WebSocket...“, keď sa uzol pokúša dosiahnuť cloud Webex. Vyskúšajte nasledujúcu konfiguráciu Squid v závislosti od vašej verzie Squid, aby ste proxy ignorovali wss: premávky pre správnu prevádzku.
Kalmáre 4 a 5
Pridajte on_unsupported_protocol smernica k chobotnica.conf:
on_unsupported_protocol tunnel allKalmáre 3.5.27
Hybridnú bezpečnosť dát sme úspešne otestovali s nasledujúcimi pravidlami chobotnica.conf. Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allVideo Mesh sme úspešne otestovali s nasledujúcimi pravidlami chobotnica.conf. (Video Mesh vyžaduje dva ďalšie ACL v porovnaní s Hybrid Data Security.) Tieto pravidlá sa môžu meniť, pretože vyvíjame funkcie a aktualizujeme cloud Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
acl ciscoCloud1 ssl::server_name .wbx2.com
acl ciscoCloud2 ssl::server_name .ciscospark.com
ssl_bump splice wssMercuryConnection
ssl_bump splice ciscoCloud1
ssl_bump splice ciscoCloud2
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
