V tem razdelku je opisana funkcija podpore posrednika za hibridno varovanje podatkov. Namenjen je dopolnitvi priročnika Deployment Guide for Cisco Webex Hybrid Data Security, ki je na voljo na naslovu https://www.cisco.com/go/hybrid-data-security. Pri novi namestitvi konfigurirate nastavitev posredniškega strežnika na vsakem vozlišču, potem ko prenesete in namestite konfiguracijski ISO HDS na vozlišče in preden vozlišče registrirate v oblaku Cisco Webex.

Podpora za proxy strežnike

Hibridna varnost podatkov podpira eksplicitne, pregledne in nepregledne proxyje. Te proxyje lahko povežete z namestitvijo, tako da lahko zaščitite in spremljate promet iz podjetja v oblak. Po nastavitvi posrednika v vozliščih lahko za upravljanje certifikatov in preverjanje splošnega stanja povezljivosti v vozliščih uporabljate upraviteljski vmesnik platforme v vozliščih.

Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednikov:

  • No proxy- privzeto, če za vključitev posrednika ne uporabljate konfiguracije HDS Trust Store & Proxy v nastavitvah vozlišča. Posodobitev certifikata ni potrebna.

  • Transparentni nezahteven posredniški strežnik- Vozlišča niso konfigurirana za uporabo določenega naslova posredniškega strežnika in za delovanje z nezahtevenim posredniškim strežnikom ne bi smela zahtevati nobenih sprememb. Posodobitev certifikata ni potrebna.

  • Transparent tunneling or inspecting proxy-Vmesniki niso konfigurirani za uporabo določenega naslova strežnika proxy. V vozliščih ni treba spremeniti konfiguracije HTTP ali HTTPS. Vendar pa vozlišča potrebujejo korensko potrdilo, da lahko zaupajo posredniku. Proxyje za pregledovanje običajno uporabljajo oddelki IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta posredniškega strežnika dešifrira ves vaš promet (tudi HTTPS).

  • Izrecni posrednik- Z izrecnim posrednikom vozliščem HDS poveste, kateri posredniški strežnik in shemo avtentikacije naj uporabijo. Če želite konfigurirati eksplicitni posrednik, morate v vsako vozlišče vnesti naslednje informacije:

    1. Proxy IP/FQDN-Adres, s katerim lahko dosežete proxy napravo.

    2. Proxy Port-Številka vrat, ki jih proxy uporablja za poslušanje posredovanega prometa.

    3. Protokol posredniškega strežnika- Glede na to, kaj podpira vaš posredniški strežnik, lahko izbirate med naslednjimi protokoli:

      • HTTP - pregleduje in nadzoruje vse zahteve, ki jih pošlje odjemalec.

      • HTTPS - zagotavlja kanal do strežnika. Odjemalec prejme in potrdi strežnikovo potrdilo.

    4. Vrsta avtentikacije- Izberite eno od naslednjih vrst avtentikacije:

      • Ni - nadaljnje preverjanje pristnosti ni potrebno.

        Na voljo, če kot protokol proxy izberete HTTP ali HTTPS.

      • Basic- Uporablja se za uporabniškega agenta HTTP, da pri zahtevku navede uporabniško ime in geslo. Uporablja kodiranje Base64.

        Na voljo, če kot protokol proxy izberete HTTP ali HTTPS.

        Zahteva vnos uporabniškega imena in gesla na vsakem vozlišču.

      • Digest- Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Pred pošiljanjem po omrežju uporabniško ime in geslo opremi s funkcijo hash.

        Na voljo samo, če kot protokol posrednika izberete HTTPS.

        Zahteva vnos uporabniškega imena in gesla na vsakem vozlišču.

Primer hibridnih vozlišč za varnost podatkov in posredniškega strežnika

Ta diagram prikazuje primer povezave med hibridnim sistemom za varnost podatkov, omrežjem in posredniškim strežnikom. Za možnosti preglednega pregledovanja in izrecnega pregledovanja HTTPS prek posrednika mora biti v posredniku in vozliščih Hybrid Data Security nameščeno isto korensko potrdilo.

Način blokirane zunanje resolucije DNS (eksplicitne konfiguracije proxy strežnikov)

Ko registrirate vozlišče ali preverite konfiguracijo posredniškega strežnika vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če v namestitvah z izrecnimi konfiguracijami posrednikov, ki ne omogočajo zunanjega razreševanja DNS za notranje odjemalce, vozlišče ne more poizvedovati po strežnikih DNS, samodejno preide v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišča in drugi preskusi povezljivosti posrednika.

Zahteve za proxy strežnik

  • Uradno podpiramo naslednje proxy rešitve, ki se lahko povežejo z vašimi vozlišči za hibridno varnost podatkov.

    • Transparentni proxy-Cisco Web Security Appliance (WSA).

    • Izrecni proxy-Squid.

      Proksi strežniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavljanje povezav websocket (wss:). Če želite zaobiti to težavo, glejte Configure Squid Proxyies for Hybrid Data Security.

  • Za eksplicitne pooblaščence podpiramo naslednje kombinacije vrst avtentikacije:

    • Brez avtentikacije s HTTP ali HTTPS

    • Osnovno preverjanje pristnosti s protokolom HTTP ali HTTPS

    • Preverjanje pristnosti Digest samo s protokolom HTTPS

  • Pri preglednem pregledovalnem posredniku ali izrecnem posredniku HTTPS morate imeti kopijo korenskega potrdila posrednika. V navodilih za namestitev v tem vodniku je opisano, kako naložiti kopijo v shrambe zaupanja vozlišč Hybrid Data Security.

  • Omrežje, v katerem gostujejo vozlišča HDS, mora biti konfigurirano tako, da se odhodni promet TCP na vratih 443 preusmeri prek posredniškega strežnika.

  • Proksi strežniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če se ta težava pojavi, jo boste rešili z izogibanjem (ne pregledovanjem) prometa na naslovih wbx2.com in ciscospark.com .

Konfiguracija vozlišča HDS za integracijo proxy strežnika

Če omrežno okolje zahteva posrednika, s tem postopkom določite vrsto posrednika, ki ga želite integrirati s sistemom Hybrid Data Security. Če izberete pregledni pregledovalni posrednik ali eksplicitni posrednik HTTPS, lahko za prenos in namestitev korenskega potrdila uporabite vmesnik vozlišča. V vmesniku lahko preverite tudi povezavo proxy in odpravite morebitne težave.

Preden začnete

1

V spletni brskalnik vnesite URL za nastavitev vozlišča HDS https://[HDS Node IP ali FQDN]/setup , vnesite poverilnice upravitelja, ki ste jih nastavili za vozlišče, in nato kliknite Sign In.

2

Pojdite na Trust Store & Proxy, nato pa izberite možnost:

  • No Proxy-privzeta možnost pred vključitvijo posrednika. Posodobitev certifikata ni potrebna.
  • Transparent Non-Inspecting Proxy- Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in za delovanje z neinspecting proxy strežnikom ne bi smela potrebovati nobenih sprememb. Posodobitev certifikata ni potrebna.
  • Transparentno pregledovanje strežnika proxy-Vzhodišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Pri uvajanju sistema Hybrid Data Security niso potrebne spremembe konfiguracije HTTPS, vendar vozlišča HDS potrebujejo korensko potrdilo, da lahko zaupajo posredniku. Proxyje za pregledovanje običajno uporabljajo oddelki IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta posredniškega strežnika dešifrira ves vaš promet (tudi HTTPS).
  • Explicit Proxy- Z eksplicitnim proxyjem odjemalcu (vozliščem HDS) poveste, kateri proxy strežnik naj uporabi, ta možnost pa podpira več vrst avtentikacije. Ko izberete to možnost, morate vnesti naslednje podatke:

    1. Proxy IP/FQDN-Adres, s katerim lahko dosežete proxy napravo.

    2. Proxy Port-Številka vrat, ki jih proxy uporablja za poslušanje posredovanega prometa.

    3. Protokol proxy-izberite http (pregleduje in nadzoruje vse zahteve, ki jih prejme odjemalec) ali https (zagotavlja kanal do strežnika, odjemalec pa prejme in potrdi strežnikovo potrdilo). Izberite možnost glede na to, kaj podpira vaš strežnik proxy.

    4. Vrsta avtentikacije- Izberite eno od naslednjih vrst avtentikacije:

      • Ni - nadaljnje preverjanje pristnosti ni potrebno.

        Na voljo za posrednike HTTP ali HTTPS.

      • Basic- Uporablja se za uporabniškega agenta HTTP, da pri zahtevku navede uporabniško ime in geslo. Uporablja kodiranje Base64.

        Na voljo za posrednike HTTP ali HTTPS.

        Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo.

      • Digest- Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Pred pošiljanjem po omrežju uporabniško ime in geslo opremi s funkcijo hash.

        Na voljo samo za posrednike HTTPS.

        Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo.

Sledite naslednjim korakom za pregledni pregledovalni posrednik, izrecni posrednik HTTP z osnovnim preverjanjem pristnosti ali izrecni posrednik HTTPS.

3

Kliknite Upload a Root Certificate or End Entity Certificate, nato pa se pomaknite do in izberite korensko potrdilo za posrednika.

Potrdilo je naloženo, vendar še ni nameščeno, saj morate vozlišče znova zagnati, da bi namestili potrdilo. Če želite dobiti več podrobnosti, kliknite šivankino puščico ob imenu izdajatelja potrdila ali kliknite Delete , če ste se zmotili in želite ponovno naložiti datoteko.

4

Kliknite Check Proxy Connection , da preverite omrežno povezljivost med vozliščem in posrednikom.

Če preizkus povezave ni uspešen, se prikaže sporočilo o napaki, v katerem je naveden razlog in kako lahko težavo odpravite.

Če se prikaže sporočilo, da zunanja resolucija DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih konfiguracijah eksplicitnih posrednikov. Nadaljujete lahko z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje resolucije DNS. Če menite, da gre za napako, dokončajte te korake in si oglejte spletno mesto Turn off Blocked External DNS Resolution Mode.

5

Ko je test povezave uspešno opravljen, za eksplicitni posrednik, nastavljen samo na https, vklopite preklopno stikalo na . Vse zahteve https na vratih 443/444 iz tega vozlišča usmerite prek eksplicitnega posrednika. Ta nastavitev začne učinkovati šele po 15 sekundah.

6

Kliknite Install All Certificates Into the Trust Store (Namesti vsa potrdila v shrambo zaupanja) (prikaže se pri eksplicitnem posredniku HTTPS ali preglednem pregledovalnem posredniku) ali Reboot (Ponovni zagon) (prikaže se pri eksplicitnem posredniku HTTP), preberite poziv in nato kliknite Install , če ste pripravljeni.

Vozlišče se ponovno zažene v nekaj minutah.

7

Po ponovnem zagonu vozlišča se po potrebi znova prijavite in odprite stran Overview ter preverite preverjanja povezljivosti in se prepričajte, da so vsa v zelenem stanju.

Pri preverjanju povezave s posrednikom se preveri samo poddomena webex.com. Če pride do težav s povezljivostjo, je pogosta težava ta, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane v posredniškem strežniku.

Izklopite način blokiranega zunanjega DNS razreševanja

Ko registrirate vozlišče ali preverite konfiguracijo posredniškega strežnika vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preklopi v način blokiranega zunanjega razreševanja DNS.

Če lahko vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da v vsakem vozlišču ponovno izvedete preskus povezave proxy.

Preden začnete

Prepričajte se, da lahko notranji strežniki DNS razrešujejo javna imena DNS in da lahko vozlišča komunicirajo z njimi.
1

V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (na primer IP naslov/nastavitev, https://192.0.2.0/setup), vnesite poverilnice skrbnika, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.

2

Pojdite na Pregled (privzeta stran).

Ko je omogočeno, je Blokirana zunanja resolucija DNS nastavljena na Da.

3

Pojdite na stran Trust Store & Proxy .

4

Kliknite Preverite povezavo proxy.

Če se prikaže sporočilo, da zunanja resolucija DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru morate po ponovnem zagonu vozlišča in vrnitvi na stran Overview nastaviti možnost Blocked External DNS Resolution na ne.

Kaj storiti naprej

Ponovite preskus povezave proxy na vsakem vozlišču v gruči Hybrid Data Security.

V tem razdelku je opisana funkcija podpore posredniškega strežnika za Webex Video Mesh. Namenjen je dopolnitvi priročnika Deployment Guide for Cisco Webex Video Mesh, ki je na voljo na naslovu https://www.cisco.com/go/video-mesh. Pri novi namestitvi konfigurirate nastavitev posredniškega strežnika na vsakem vozlišču, potem ko namestite programsko opremo Video Mesh v okolje virtualnega stroja in preden vozlišče registrirate v oblaku Cisco Webex.

Proxy podpora za videokomunikacijsko omrežje Mesh

Video Mesh podpira eksplicitne, pregledne in nepregledne posrednike. Te proxyje lahko povežete z namestitvijo omrežja Video Mesh, tako da lahko zaščitite in spremljate promet iz podjetja v oblak. Ta funkcija pošilja signalizacijo in promet za upravljanje, ki temelji na protokolu https, posredniku. Pri preglednih posrednikih se omrežne zahteve iz vozlišč Video Mesh posredujejo določenemu posredniku prek pravil usmerjanja v omrežju podjetja. Upraviteljski vmesnik Video Mesh lahko uporabite za upravljanje certifikatov in splošno stanje povezljivosti, ko z vozlišči implementirate proxy.

Mediji ne potujejo prek posrednika. Še vedno morate odpreti zahtevana vrata, da bodo medijski tokovi neposredno dosegli oblak. Glejte Pristanišča in protokoli za upravljanje.

Video Mesh podpira naslednje vrste posrednikov:

  • Izrecni posrednik (pregledovanje ali nepregledovanje) - z izrecnim posrednikom odjemalcu (vozliščem Video Mesh) poveste, kateri strežnik posrednika naj uporabi. Ta možnost podpira eno od naslednjih vrst avtentikacije:

    • Ni - nadaljnje preverjanje pristnosti ni potrebno. (Za izrecni posrednik HTTP ali HTTPS.)

    • Basic - uporablja se za uporabniškega agenta HTTP, ki pri zahtevku navede uporabniško ime in geslo ter uporablja kodiranje Base64. (Za izrecni posrednik HTTP ali HTTPS.)

    • Digest Uporablja se za potrditev identitete računa pred pošiljanjem občutljivih informacij in pred pošiljanjem po omrežju uporabi funkcijo hash za uporabniško ime in geslo. (Za HTTPS eksplicitni proxy.)

    • NTLM - Podobno kot Digest se tudi NTLM uporablja za potrditev identitete računa pred pošiljanjem občutljivih podatkov. Namesto uporabniškega imena in gesla uporablja poverilnice sistema Windows. Ta shema avtentikacije zahteva več izmenjav za dokončanje. (Za izrecni posrednik HTTP.)

  • Transparentni posrednik (brez pregledovanja) - vozlišča Video Mesh niso konfigurirana za uporabo določenega naslova strežnika posrednika in za delovanje s posrednikom brez pregledovanja ne bi smela zahtevati nobenih sprememb.

  • Transparent Proxy (pregledovanje)-Video Mesh vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. V omrežju Video Mesh niso potrebne spremembe konfiguracije protokola http(s), vendar vozlišča omrežja Video Mesh potrebujejo korensko potrdilo, da lahko zaupajo posredniku. Proxyje za pregledovanje običajno uporabljajo oddelki IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta posredniškega strežnika dešifrira ves vaš promet (tudi https).

Primer vozlišč video mreže in proxy strežnika
Zahteve za podporo posredniškega strežnika za omrežje Video Mesh

  • Uradno podpiramo naslednje proxy rešitve, ki se lahko povežejo z vozlišči Video Mesh.

    • Naprava Cisco Web Security Appliance (WSA) za transparentni proxy

    • Squid za eksplicitni proxy

  • Za eksplicitni posredniški strežnik ali pregledni pregledovalni posredniški strežnik, ki pregleduje (dešifrira promet), morate imeti kopijo korenskega potrdila posredniškega strežnika, ki ga boste morali prenesti v shrambo zaupanja vozlišča Video Mesh v spletnem vmesniku.

  • Podprte so naslednje kombinacije izrecnega posrednika in vrste avtentikacije:

    • Ni avtentikacije s http in https

    • Osnovno preverjanje pristnosti s http in https

    • Preverjanje pristnosti Digest samo s protokolom https

    • Preverjanje pristnosti NTLM samo s protokolom http

  • Pri preglednih posredniških strežnikih morate s pomočjo usmerjevalnika/komutatorja prisiliti promet HTTPS/443, da gre v posredniški strežnik. Spletno vtičnico lahko tudi prisilite, da se preusmeri k posredniku. (Web Socket uporablja protokol https.)

    Za pravilno delovanje vozlišč v omrežju Video Mesh so potrebne povezave spletnih vtičnic s storitvami v oblaku. Pri proxyjih z eksplicitnim pregledovanjem in proxyjih s transparentnim pregledovanjem so za pravilno povezavo s spletnim vtičnikom potrebne glave http. Če jih spremenite, povezava s spletnim vtičnikom ne bo uspešna.

    Kadar pride do napake povezave s spletnim vtičnikom na vratih 443 (z omogočenim preglednim pregledovalnim posrednikom), se v vozlišču Control Hub prikaže opozorilo po registraciji: "Webex Video Mesh SIP klicanje ne deluje pravilno." Isti alarm se lahko pojavi iz drugih razlogov, če proxy ni omogočen. Če so glave spletnih vtičnic na vratih 443 blokirane, mediji med aplikacijami in odjemalci SIP ne tečejo.

    Če mediji ne tečejo, se to pogosto zgodi, kadar promet https iz vozlišča prek vrat 443 odpove:

    • Promet na vratih 443 je posredniku dovoljen, vendar gre za pregledovalni posrednik, ki krši spletni vtičnik.

    Te težave lahko odpravite tako, da na vratih 443 obidete ali povežete (onemogočite pregled): *.wbx2.com in *.ciscospark.com.

Konfiguracija vozlišča Video Mesh za integracijo proxy strežnika

S tem postopkom določite vrsto posrednika, ki ga želite povezati z videomrežo. Če izberete pregledni pregledovalni posrednik ali eksplicitni posrednik, lahko z vmesnikom vozlišča prenesete in namestite korensko potrdilo, preverite povezavo posrednika in odpravite morebitne težave.

Preden začnete

1

V spletni brskalnik vnesite URL za nastavitev omrežja Video Mesh https://[IP ali FQDN/nastavitev , vnesite poverilnice upravitelja, ki ste jih nastavili za vozlišče, in kliknite Prijava.

2

Pojdite na Trust Store & Proxy, nato pa izberite možnost:

  • No Proxy-privzeta možnost pred vključitvijo posrednika. Posodobitev certifikata ni potrebna.
  • Transparent Non-Inspecting Proxy- Vozlišča Video Mesh niso konfigurirana za uporabo določenega naslova strežnika proxy in za delovanje z neinspecting proxy strežnikom ne bi smela zahtevati nobenih sprememb. Posodobitev certifikata ni potrebna.
  • Transparentno pregledovanje strežnika proxy-Video Mesh vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. V omrežju Video Mesh niso potrebne spremembe konfiguracije protokola http(s), vendar pa vozlišča omrežja Video Mesh potrebujejo korensko potrdilo, da lahko zaupajo posredniku. Proxyje za pregledovanje običajno uporabljajo oddelki IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta posredniškega strežnika dešifrira ves vaš promet (tudi https).
  • Explicit Proxy- Z eksplicitnim proxyjem odjemalcu (vozliščem Video Mesh) poveste, kateri strežnik proxy naj uporabi, ta možnost pa podpira več vrst avtentikacije. Ko izberete to možnost, morate vnesti naslednje podatke:

    1. Proxy IP/FQDN-Adres, s katerim lahko dosežete proxy napravo.

    2. Proxy Port-Številka vrat, ki jih proxy uporablja za poslušanje posredovanega prometa.

    3. Protokol posredniškega strežnika-izberite http (Video Mesh tunelira promet https prek posredniškega strežnika http) ali https (promet od vozlišča Video Mesh do posredniškega strežnika uporablja protokol https). Izberite možnost glede na to, kaj podpira vaš strežnik proxy.

    4. Glede na okolje proxyja izberite eno od naslednjih vrst avtentikacije:

      Možnost

      Uporaba

      Brez

      Izberite za izrecne posrednike HTTP ali HTTPS, pri katerih ni metode preverjanja pristnosti.

      Osnovno

      Na voljo za izrecne posrednike HTTP ali HTTPS.

      Uporablja se za uporabniškega agenta HTTP, da pri zahtevku navede uporabniško ime in geslo, in uporablja kodiranje Base64.

      Digest

      Na voljo samo za izrecne posrednike HTTPS.

      Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij in pred pošiljanjem po omrežju uporabi funkcijo hash za uporabniško ime in geslo.

      NTLM

      Na voljo samo za izrecne posrednike HTTP.

      Podobno kot Digest se uporablja za potrditev računa pred pošiljanjem občutljivih podatkov. Namesto uporabniškega imena in gesla uporablja poverilnice sistema Windows.

      Če izberete to možnost, v polje NTLM Domain vnesite domeno Active Directory, ki jo posrednik uporablja za preverjanje pristnosti. V polje NTLM Workstation vnesite ime posredniške delovne postaje (imenovane tudi račun delovne postaje ali račun stroja) v določeni domeni NTLM.

Sledite naslednjim korakom za pregledno pregledovanje ali eksplicitni posrednik.

3

Kliknite Upload a Root Certificate or End Entity Certificate, nato pa poiščite in izberite korensko potrdilo za eksplicitni ali pregledni pregledovalni posrednik.

Potrdilo je naloženo, vendar še ni nameščeno, ker je treba vozlišče znova zagnati, da se potrdilo namesti. Kliknite puščico ob imenu izdajatelja potrdila, če želite dobiti več podrobnosti, ali kliknite Delete , če ste se zmotili in želite ponovno naložiti datoteko.

4

Za pregledno pregledovanje ali eksplicitne posredniške strežnike kliknite Check Proxy Connection , da preverite omrežno povezljivost med vozliščem Video Mesh in posredniškim strežnikom.

Če preizkus povezave ni uspešen, se prikaže sporočilo o napaki, v katerem je naveden razlog in kako lahko težavo odpravite.

5

Ko je test povezave uspešno opravljen, za eksplicitni posrednik vklopite preklopnik . Vse zahteve https na vratih 443 iz tega vozlišča usmerite prek eksplicitnega posrednika. Ta nastavitev začne učinkovati šele po 15 sekundah.

6

Kliknite Install All Certificates Into the Trust Store (prikaže se, če je bilo med nastavitvijo posrednika dodano korensko potrdilo) ali Reboot (prikaže se, če korensko potrdilo ni bilo dodano), preberite poziv in nato kliknite Install , če ste pripravljeni.

Vozlišče se ponovno zažene v nekaj minutah.

7

Po ponovnem zagonu vozlišča se po potrebi znova prijavite in odprite stran Overview ter preverite preverjanja povezljivosti in se prepričajte, da so vsa v zelenem stanju.

Pri preverjanju povezave s posrednikom se preveri samo poddomena webex.com. Če pride do težav s povezljivostjo, je pogosta težava ta, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane v posredniškem strežniku.

Vprašanja v zvezi s pooblastili

Kateri promet poteka prek posredniškega strežnika

Pri omrežju Video Mesh mediji ne prečkajo posrednika. Ta funkcija pošilja promet signalizacije in upravljanja, ki temelji na protokolu https, posredniku.Še vedno morate odpreti zahtevana vrata, da bodo medijski tokovi neposredno dosegli oblak.

Pristanišče TCP 444 ni omogočeno v posredniškem strežniku

Ta vrata so za omrežje Video Mesh obvezna, saj ga uporablja za dostop do storitev v oblaku, ki jih mora uporabljati za pravilno delovanje. Za ta vrata in ANY je treba narediti izjemo za posrednika, kot je dokumentirano v priročniku za namestitev Video Mesh in Omrežne zahteve za storitve Webex Teams.

Filtriranje signalnega prometa glede na naslov IP ni podprto, saj so naslovi IP, ki jih uporabljajo naše rešitve, dinamični in se lahko kadar koli spremenijo.

Ni nameščenega korenskega potrdila

Kadar se vozlišča pogovarjajo z izrecnim posrednikom, morate namestiti korensko potrdilo in v požarni zid vnesti izjemo za ta naslov URL.

Preverjanje povezljivosti je neuspešno

Če je bilo preverjanje povezljivosti posrednika uspešno in je bila namestitev posrednika dokončana, lahko preverjanje povezljivosti na strani s pregledom zaradi teh razlogov še vedno ni uspešno:

  • Proxy pregleduje promet, ki ne gre v spletno mesto webex.com.

  • Proxy blokira domene, ki niso webex.com.

Podatki o preverjanju pristnosti so nepravilni

Pri posrednikih, ki uporabljajo mehanizem avtentikacije, poskrbite, da v vozlišče dodate pravilne podatke o avtentikaciji.

Preobremenitve na posredniškem strežniku

Preobremenitve na posredniškem strežniku lahko povzročijo zamude in padce prometa v oblak. Preverite, ali je potrebno omejevanje prometa v okolju posredniškega strežnika.

Websocket se ne more povezati prek posredniškega strežnika Squid

Proksi strežniki Squid, ki pregledujejo promet HTTPS, lahko ovirajo vzpostavitev povezav websocket (wss:), ki jih zahteva sistem Hybrid Data Security. V teh razdelkih so navodila za konfiguracijo različnih različic Squida, da ignorira wss: prometa za pravilno delovanje storitev.

Squid 4 in 5

Dodajte direktivo on_unsupported_protocol v squid.conf:

on_unsupported_protocol predor vse

Squid 3.5.27

Uspešno smo preizkusili hibridno varnost podatkov z naslednjimi pravili, dodanimi v squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.

acl wssMercuryPovezava ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all