Ugotovite, kako nastaviti proxy s Cisco Webex Hybrid Data Security in Webex Video Mesh, vključno z zahtevami in koraki za konfiguracijo vozlišč za delo s preglednim proxy proxyjem ali eksplicitnim proxyjem. Najdete lahko tudi osnovne informacije o odpravljanju težav.
Ta razdelek opisuje funkcijo podpore proxyja za Hybrid Data Security. Namenjen je dopolnitvi Priročnik za uvajanje hibridne varnosti podatkov Cisco Webex, na voljo na https://www.cisco.com/go/hybrid-data-security. Pri novi uvedbi konfigurirate nastavitev proxyja na vsakem vozlišču po nalaganju in namestitvi ISO konfiguracije HDS na vozlišču in pred registracijo vozlišča v oblaku Cisco Webex.
Hybrid Data Security podpira eksplicitne, pregledne inšpekcijske in neinšpekcijske posrednike. Te posrednike lahko povežete s svojo uvedbo, tako da lahko zavarujete in spremljate promet iz podjetja v oblak. Skrbniški vmesnik platforme lahko uporabite na vozliščih za upravljanje potrdil in za preverjanje splošnega stanja povezljivosti, potem ko nastavite proxy na vozliščih.
Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednika:
Brez posrednika— Privzeto, če za integracijo proxyja ne uporabljate nastavitve vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.
Transparenten proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.
Transparentni proxy za tuneliranje ali pregledovanje— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
Eksplicitni posrednik— Z eksplicitnim proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate v vsako vozlišče vnesti naslednje informacije:
Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.
Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.
Proxy protokol—Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:
HTTP—Ogleda in nadzoruje vse zahteve, ki jih pošlje odjemalec.
HTTPS—zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.
Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:
Noben— Nadaljnje preverjanje pristnosti ni potrebno.
Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.
Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
Za vsako vozlišče morate vnesti uporabniško ime in geslo.
prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.
Na voljo samo, če izberete HTTPS kot posredniški protokol.
Za vsako vozlišče morate vnesti uporabniško ime in geslo.
Primer vozlišč hibridne varnosti podatkov in posrednika
Blokiran zunanji način reševanja DNS (eksplicitne konfiguracije proxyja)
Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Pri uvedbah z eksplicitnimi konfiguracijami posrednika, ki ne dovoljujejo zunanjega razreševanja DNS za notranje odjemalce, če vozlišče ne more poizvedovati po strežnikih DNS, samodejno preide v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišča in drugi testi povezljivosti posrednika.
Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.
Transparent proxy—Cisco Web Security Appliance (WSA).
Eksplicitni proxy—Squid.
Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice (wss:) povezave. Če se želite izogniti tej težavi, glejte "Websocket se ne more povezati prek proxyja Squid" v Težave s proxyjem.
Podpiramo naslednje kombinacije vrst preverjanja pristnosti za eksplicitne posrednike:
Ni avtentikacije s HTTP ali HTTPS
Osnovna avtentikacija s HTTP ali HTTPS
Pregled pristnosti samo s HTTPS
Za proxy proxy za pregledovanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v skrbniške shrambe vozlišč Hybrid Data Security.
Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili izhodni promet TCP na vratih 443, da se usmeri prek proxyja.
Posredniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, obide (brez pregleda) promet do wbx2.com in ciscospark.com bo rešil problem.
Če omrežno okolje zahteva proxy, s tem postopkom določite vrsto proxyja, s katerim se želite integrirati Hibridna varnost podatkov. Če izberete proxy proxy za pregledovanje ali eksplicitni proxy HTTPS, lahko uporabite vmesnik vozlišča za nalaganje in namestitev korenskega potrdila. Povezavo proxy lahko preverite tudi prek vmesnika in odpravite morebitne težave.
Preden začneš
glej Podpora za proxy za pregled podprtih možnosti proxyja.
1 | Vnesite URL za nastavitev vozlišča HDS https://[IP ali FQDN vozlišča HDS]/setup v spletni brskalnik vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava. |
2 | Pojdi do Trust Store & Proxyin nato izberite možnost:
Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS. |
3 | Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko. |
4 | Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom. Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo. Če menite, da je to napaka, dokončajte te korake. Potem lahko izklopite način. (Glej Izklopite način razreševanja blokiranega zunanjega DNS-ja.) |
5 | Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah. |
6 | Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen. Vozlišče se znova zažene v nekaj minutah. |
7 | Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju. Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy. |
Kaj storiti naprej
Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preide v način blokiranega zunanjega razreševanja DNS.
Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preskus povezave proxy.
Preden začneš
1 | V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (naslov IP/nastavitev, npr. https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava. |
2 | Pojdi do Pregled (privzeta stran). Ko je omogočeno, Blokirana zunanja razrešitev DNS je nastavljeno na ja. |
3 | Pojdi na Trust Store & Proxy strani. |
4 | Kliknite Preverite povezavo proxy. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru, ko znova zaženete vozlišče in se vrnete na Pregled stran, Blokirana zunanja DNS resolucija mora biti nastavljena na št. |
Kaj storiti naprej
Ta razdelek opisuje funkcijo podpore proxy za Webex Video Mesh. Namenjen je dopolnitvi Vodnik za uvajanje za Cisco Webex Video Mesh, na voljo na https://www.cisco.com/go/video-mesh. Pri novi uvedbi konfigurirate nastavitev proxyja na vsakem vozlišču po uvedbi programske opreme Video Mesh v okolju navideznega stroja in pred registracijo vozlišča v oblaku Cisco Webex.
Cisco Webex Video Mesh podpira eksplicitne, pregledne inšpekcijske in neinšpekcijske posrednike. Te posrednike lahko povežete s svojim Webex Video Mesh uvedbo, tako da lahko zavarujete in spremljate promet iz podjetja v oblak. Ta funkcija pošilja signaliziranje in upravljanje prometa, ki temelji na https, proxyju. Pri preglednih proxyjih se omrežne zahteve iz vozlišč Video Mesh posredujejo določenemu proxyju prek pravil usmerjanja v omrežju podjetja. Lahko uporabite Webex Video Mesh skrbniški vmesnik za upravljanje potrdil in splošno stanje povezljivosti, potem ko implementirate proxy z vozlišči.
Mediji ne potujejo prek proxyja. Še vedno morate odpreti zahtevana vrata za medijske tokove, da lahko neposredno dosežejo oblak. |
Video Mesh podpira naslednje vrste posrednikov:
Eksplicitni proxy (inšpekcijski ali neinšpekcijski) – z eksplicitnim proxy poveste odjemalcu (vozlišča Video Mesh), kateri proxy strežnik naj uporabi. Ta možnost podpira eno od naslednjih vrst preverjanja pristnosti:
Brez — nadaljnje preverjanje pristnosti ni potrebno. (Za HTTP ali HTTPS eksplicitni proxy.)
Osnovno—uporablja se za uporabniškega agenta HTTP za zagotavljanje uporabniškega imena in gesla, ko podaja zahtevo, in uporablja kodiranje Base64. (Za HTTP ali HTTPS eksplicitni proxy.)
Povzetek—Uporablja se za potrditev identitete računa pred pošiljanjem občutljivih informacij in uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju. (Za eksplicitni proxy HTTPS.)
NTLM – tako kot Digest se tudi NTLM uporablja za potrditev identitete računa pred pošiljanjem občutljivih informacij. Namesto uporabniškega imena in gesla uporablja poverilnice za Windows. Ta shema preverjanja pristnosti zahteva več izmenjav. (Za eksplicitni proxy HTTP.)
Transparentni proxy (brez pregledovanja) – vozlišča Video Mesh niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delo s proxyjem brez pregledovanja.
Transparentni proxy (pregledovanje) – vozlišča Video Mesh niso konfigurirana za uporabo določenega naslova strežnika proxy. Na Video Mesh niso potrebne spremembe konfiguracije http(s), vendar vozlišča Video Mesh potrebujejo korensko potrdilo, da zaupajo proxyju. Inšpekcijske pooblaščence običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in vrste vsebine, ki niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi https).
Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašim Webex Video Mesh vozlišča.
Cisco Web Security Appliance (WSA) za pregleden proxy
Squid za eksplicitni proxy
Za eksplicitni proxy ali pregledni proxy, ki pregleduje (dešifrira promet), morate imeti kopijo korenskega potrdila proxyja, ki ga boste morali naložiti v Webex Video Mesh shramba zaupanja vozlišča na spletnem vmesniku.
Podpiramo naslednje eksplicitne kombinacije posredniškega strežnika in vrste preverjanja pristnosti:
Ni avtentikacije s http in https
Osnovna avtentikacija s http in https
Samo preverjanje pristnosti s https
Preverjanje pristnosti NTLM samo s http
Za pregledne posredniške strežnike morate uporabiti usmerjevalnik/stikalo, da prisilite promet HTTPS/443 do posredniškega strežnika. Prav tako lahko prisilite Web Socket/444, da preide na proxy. (Spletna vtičnica uporablja https.) Vrata 444 so odvisna od vaše nastavitve omrežja. Če vrata 444 niso usmerjena prek proxyja, morajo biti odprta neposredno iz vozlišča v oblak.
Webex Video Mesh zahteva povezave spletne vtičnice s storitvami v oblaku, tako da vozlišča delujejo pravilno. Pri eksplicitnem inšpekcijskem in prosojnem pregledovanju posrednikov se glave http, ki so potrebne za pravilno povezavo s spletno vtičnico, spremenijo in povezave s spletno vtičnico ne uspejo.
Simptom, ko se to zgodi na vratih 443 (z omogočenim proxy pregledom) je opozorilo po registraciji v Control Hubu: »Klicanje Webex Video Mesh SIP ne deluje pravilno.« Isti alarm se lahko pojavi iz drugih razlogov, ko proxy ni omogočen. Ko so glave spletnih vtičnic blokirane na vratih 443, mediji ne tečejo med aplikacijami in odjemalci SIP.
Če mediji ne tečejo, se to pogosto zgodi, ko https promet iz vozlišča prek vrat 444 ali vrat 443 ne uspe:
Proxy ne pregleduje, vendar prometa na vratih 444 proxy ne dovoljuje.
Proxy na vratih 443 ali 444 dovoljuje proxy, vendar je proxy za pregledovanje in prekinja spletno vtičnico.
Če želite odpraviti te težave, boste morda morali »bypass« ali »splice« (onemogočiti pregled) na vratih 444 in 443 za: *.wbx2.com in *.ciscospark.com.
S tem postopkom določite vrsto proxyja, ki ga želite integrirati z a Webex Video Mesh. Če izberete proxy proxy za pregledovanje ali eksplicitni proxy, lahko uporabite vmesnik vozlišča za nalaganje in namestitev korenskega potrdila, preverjanje povezave proxy in odpravljanje morebitnih težav.
Preden začneš
glej Proxy podpora za Cisco Webex Video Mesh za pregled podprtih možnosti proxyja.
1 | Vnesite Webex Video Mesh nastavitev URL-ja https://[IP ali FQDN/setup v spletni brskalnik vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava. |
||||||||||||
2 | Pojdi do Trust Store & Proxyin nato izberite možnost:
Sledite naslednjim korakom za pregleden inšpekcijski ali eksplicitni proxy. |
||||||||||||
3 | Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa poiščite in izberite korensko potrdilo za eksplicitni ali pregledni proxy za pregledovanje. Potrdilo je naloženo, vendar še ni nameščeno, ker je treba za namestitev potrdila znova zagnati vozlišče. Za več podrobnosti kliknite puščico ob imenu izdajatelja potrdila ali pa kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko. |
||||||||||||
4 | Kliknite za pregleden pregled ali eksplicitne posrednike Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem Video Mesh in posrednikom. Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo. |
||||||||||||
5 | Ko je preizkus povezave uspešen, za eksplicitni proxy preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah. |
||||||||||||
6 | Kliknite Namestite vsa potrdila v Trust Store (prikaže se vsakič, ko je bilo med nastavitvijo proxyja dodano korensko potrdilo) oz Znova zaženite (prikaže se, če ni bilo dodano korensko potrdilo), preberite poziv in kliknite Namestite če si pripravljen. Vozlišče se znova zažene v nekaj minutah. |
||||||||||||
7 | Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju. Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy. |
Kakšen promet gre skozi proxy
Za Video Mesh mediji ne prečkajo proxyja. Ta funkcija posredniku pošilja signaliziranje in upravljanje prometa, ki temelji na https. Še vedno morate odpreti zahtevana vrata za medijske tokove, da neposredno dosežejo oblak.
Vrata TCP 444 niso omogočena na strežniku proxy
Ta vrata so pogoj za Video Mesh, ker Video Mesh ta vrata uporablja za dostop do storitev v oblaku, ki jih mora uporabiti za pravilno delovanje. Za ta vrata je treba narediti izjemo posrednika in VSE, kot je dokumentirano v Vodnik za uvedbo video Mesh in Omrežne zahteve za storitve Webex Teams.
Filtriranje signalnega prometa po naslovu IP ni podprto, saj so naslovi IP, ki jih uporabljajo naše rešitve, dinamični in se lahko kadar koli spremenijo. |
Ni nameščenega korenskega potrdila
Ko se vaša vozlišča pogovarjajo z eksplicitnim posrednikom, morate namestiti korensko potrdilo in v požarni zid vnesti izjemo za ta URL.
Preverjanje povezave ni uspelo
Če je preverjanje povezljivosti strežnika proxy uspešno in je bila namestitev strežnika proxy dokončana, lahko preverjanja povezljivosti na strani s pregledom še vedno ne uspejo zaradi naslednjih razlogov:
Proxy pregleduje promet, ki ne gre na webex.com.
Proxy blokira domene, ki niso webex.com.
Podrobnosti za preverjanje pristnosti so napačne
Za posrednike, ki uporabljajo mehanizem za preverjanje pristnosti, zagotovite, da ste v vozlišču dodali pravilne podrobnosti za preverjanje pristnosti.
Zastoji na proxyju
Zastoji na vašem posredniku lahko povzročijo zamude in padce prometa v oblaku. Preverite svoje posredniško okolje, da vidite, ali je potrebno dušenje prometa.
Websocket se ne more povezati prek proxyja Squid
Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice (wss:) povezave, ki jih zahtevata Hybrid Data Security in Webex Video Mesh. V dnevnikih boste morda videli vrsto opozoril, kot je »Ponovna povezava WebSocket ...«, ko vozlišče poskuša doseči oblak Webex. Poskusite z naslednjo konfiguracijo Squid, odvisno od vaše različice Squid, da zagotovite, da proxy prezre wss: prometa za pravilno delovanje.
Lignji 4 in 5
Dodajte on_unsupported_protocol
direktiva za lignji.konf:
on_unsupported_protocol tunnel all
Lignji 3.5.27
Hibridno varnost podatkov smo uspešno preizkusili z dodanimi naslednjimi pravili lignji.konf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Uspešno smo preizkusili Video Mesh z dodanimi naslednjimi pravili lignji.konf. (Video Mesh zahteva dva dodatna acl v primerjavi s Hybrid Data Security.) Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
acl ciscoCloud1 ssl::server_name .wbx2.com
acl ciscoCloud2 ssl::server_name .ciscospark.com
ssl_bump splice wssMercuryConnection
ssl_bump splice ciscoCloud1
ssl_bump splice ciscoCloud2
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all