Ovaj odeljak opisuje funkciju proxy podrške za hibridnu bezbednost podataka. Namenjen je da dopuni Vodič za primenu Cisco Webex Hybrid Data Security, dostupan na https://www.cisco.com/go/hybrid-data-security. U novoj primeni konfigurišete podešavanje proxy servera na svakom čmiču nakon otpremanja i postavljanja HDS konfiguracije ISO na nod, kao i pre registracije oglasa pomoću Cisco Webex oblaka.

Proxy podrška

Hibridna bezbednost podataka podržava eksplicitne, transparentne preglede i proksije koji nisu za proveru. Ove proksije možete povezati sa raspoređivanjem tako da možete da obezbedite i nadgledate saobraćaj od preduzeća do oblaka. Možete da koristite interfejs administratora platforme na čvorovima za upravljanje certifikatom i da proverite ukupan status povezivanja nakon što podesite proxy server na čvorovima.

Čvorovi "Bezbednost hibridnih podataka" podržavaju sledeće opcije proxy servera:

  • Nema proksija – Podrazumevana vrednost ako ne koristite konfiguraciju pouzdane prodavnice i proksija HDS čvora za integraciju proksija. Nije potrebna ispravka certifikata.

  • Transparentni proksi koji se ne inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.

  • Transparentno tuneliranje ili inspekciju proksija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na čvorovima nisu potrebne HTTP ili HTTPS promene konfiguracije. Međutim, čvorovima je potreban vrhovni certifikat da bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).

  • Eksplicitni proksi – Sa eksplicitnim proksi serverom saopštavate HDS čvorovima koje proksi server i šemu potvrde identiteta treba da koriste. Da biste konfigurisali eksplicitni proxy server, morate uneti sledeće informacije na svaki oglas:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – U zavisnosti od toga šta proxy server podržava, odaberite neki od sledećih protokola:

      • HTTP – Prikazuje i kontroliše sve zahteve koje klijent šalje.

      • HTTPS – Obezbeđuje kanal serveru. Klijent prima i proverava valjanost certifikata servera.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno ako izaberete HTTP ili HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo ako izaberete HTTPS kao proxy protokol.

        Zahteva da unesete korisničko ime i lozinku na svaki oglas.

Primer hibridnih čvorova za bezbednost podataka i proxy servera

Ovaj dijagram prikazuje primer veze između hibridne bezbednosti podataka, mreže i proxy servera. Za transparentnu proveru i HTTPS eksplicitnu proveru proxy opcija, isti vrhovni certifikat mora biti instaliran na proxy serveru i na čvorovima "Bezbednost hibridnih podataka".

Blokiran režim spoljne DNS rezolucije (eksplicitne proxy konfiguracije)

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. U primenama sa eksplicitnim proxy konfiguracijama koje ne dozvoljavaju spoljnu DNS rezoluciju za interne klijente, ako se u njemu ne može izvršiti upit nad DNS serverima, on automatski ulazi u režim blokirane spoljne DNS rezolucije. U ovom režimu može da se nastavi registracija čvora i drugi testovi proxy povezivanja.

Zahtevi proxy servera

  • Zvanično podržavamo sledeća proxy rešenja koja se mogu integrisati sa vašim Hybrid Data Security čvorovima.

    • Prozirni proxy – Cisco Web Security Appliance (WSA).

    • Eksplicitni proxy – lignje.

      Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometa uspostavljanje websocket veza (wss:) veza. Da biste rešili ovaj problem, pogledajte članak Konfigurisanje proxy servera za hibridnu bezbednost podataka.

  • Podržavamo sledeće kombinacije tipa potvrde identiteta za eksplicitne proksije:

    • Nema potvrde identiteta sa HTTP-om ili HTTPS-om

    • Osnovna potvrda identiteta pomoću HTTP-a ili HTTPS-a

    • Vari potvrdu identiteta samo pomoću HTTPS-a

  • Za prozirno proveravanje proxy servera ili HTTPS eksplicitnog proxy servera, morate imati kopiju vrhovnog certifikata proxy servera. Uputstva za primenu u ovom vodiču vam govore kako da otpremite kopiju u skladišta poverenja čvorova za bezbednost hibridnih podataka.

  • Mreža koja hostuje HDS čvorove mora biti konfigurisana da primora izlazni TCP saobraćaj na portu 443 da bi se usmerio kroz proxy server.

  • Proksije koje proveravaju Veb saobraćaj mogu da ometaju veze sa Veb utičnicama. Ako dođe do ovog problema, zaobilazeći (ne proveravajući) saobraćaj wbx2.com ciscospark.com on će rešiti problem.

Konfigurisanje HDS oglasa za integraciju proxy servera

Ako mrežno okruženje zahteva proxy server, koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa hibridnom bezbednošću podataka. Ako odaberete prozirni server za proveru proxy servera ili HTTPS eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat. Takođe možete da proverite proxy vezu sa interfejsa i rešite sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu za podešavanje HDS kvržice https://[HDS Node IP ili FQDN]/setup u Veb pregledaču, unesite akreditive administratora koje ste podesili za kvržice, a zatim kliknite na dugme Prijavi se.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proksi koji nije inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera i ne bi trebalo da zahtevaju nikakve promene rada sa proksi serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proksi inspekcija – čvorovi nisu konfigurisani za korišćenje određene adrese proksi servera. Na raspoređivanju hibridne bezbednosti podataka nisu potrebne nikakve https promene konfiguracije, međutim, HDS čvorovima je potreban vrhovni certifikat tako da imaju poverenja u proxy server. It obično koristi proveru proksija za primenu smernica na kojima veb lokacije mogu da se posećuju, a koje tipove sadržaja nisu dozvoljene. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i HTTPS).
  • Eksplicitni proksi – sa eksplicitnim proksi serverom, dajete klijentu (HDS čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol – Izaberite http (prikazuje i kontroliše sve zahteve koji se primaju od klijenta) ili https (obezbeđuje kanal serveru, a klijent prima i proverava sertifikat servera). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Tip potvrde identiteta– Izaberite neki od sledećih tipova potvrde identiteta:

      • Nema– Nije potrebna dodatna potvrda identiteta.

        Dostupno za HTTP ili HTTPS proksije.

      • Osnovno– Koristi se za HTTP korisničkog agenta da bi se obezbedio korisničko ime i lozinku prilikom upućivanja zahteva. Koristi Base64 kodiranje.

        Dostupno za HTTP ili HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

      • Sažetak – Koristi se za potvrdu naloga pre slanja osetljivih informacija. Primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

        Dostupno samo za HTTPS proksije.

        Ako odaberete ovu opciju, morate uneti i korisničko ime i lozinku.

Sledite sledeće korake za prozirni proxy server za proveru, HTTP eksplicitni proxy server sa osnovnom potvrdom identiteta ili HTTPS eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjegentiteta , a zatim se krećite do izbora vrhovnog certifikata za proxy server.

Certifikat je otpremljen, ali još uvek nije instaliran jer morate ponovo pokrenuti oglas da biste instalirali certifikat. Kliknite na ševron strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, nije bilo moguće doći do DNS servera. Ovaj uslov se očekuje u mnogim eksplicitnim proxy konfiguracijama. Možete da nastavite sa podešavanjem i čvor će funkcionisati u režimu blokirane spoljne DNS rezolucije. Ako mislite da je ovo greška, dovršite ove korake, a zatim pogledajte članak Isključivanje blokiranog spoljnog DNS režima rezolucije.

5

Nakon što prođe test veze, za eksplicitni proxy podešen samo na https, uključite preklopnik na Route sav port 443/444 https zahteve od ovog oglasa preko eksplicitnog proxy servera. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se za HTTPS eksplicitni proxy server ili prozirni server za proveru) ili na dugme "Ponovo pokreni sistem" (pojavljuje se za HTTP eksplicitni proxy server), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Isključi blokirani režim spoljne DNS rezolucije

Kada registrujete čvor ili proverite proxy konfiguraciju čvora, proces testira DNS izgled i povezivanje sa Cisco Webex oblakom. Ako DNS server oglasa ne može da reši javna DNS imena, on automatski ulazi u režim blokirane spoljne DNS rezolucije.

Ako čvorovi mogu da reše javna DNS imena putem internih DNS servera, možete da isključite ovaj režim tako što ćete ponovo poništiti test proxy veze na svakom čvoru.

Pre nego što počneš

Uverite se da vaši interni DNS serveri mogu da reše javna DNS imena i da čvorovi mogu da komuniciraju sa njima.
1

U Veb pregledaču otvorite interfejs klastera bezbednosti podataka (IP adresa/instalacija, na primer, unesite akreditive administratora koje ste https://192.0.2.0/setup), podesili za klik, a zatim kliknite na dugme Prijavi se.

2

Idite na pregled (podrazumevana stranica).

Kada je omogućeno, blokirana spoljna DNS rezolucija je postavljena na "Da".

3

Idite na stranicu Trust Store & Proxy.

4

Kliknite na dugme Proveri proxy vezu.

Ako vidite poruku koja kaže da spoljna DNS rezolucija nije bila uspešna, oglas nije mogao da dođe do DNS servera i ostaće u ovom režimu. U suprotnom, kada ponovo pokrenete broj i vratite se na stranicu "Pregled", blokirana spoljna DNS rezolucija bi trebalo da bude postavljena na "Ne".

Šta dalje

Ponovite test proxy veze na svakom čvoru u klasteru "Bezbednost hibridnih podataka".

Ovaj odeljak opisuje funkciju podrške proxy servera za Webex Video Mesh. Namenjen je da dopuni Vodič za primenu Cisco Webex Video Mesh,dostupan na https://www.cisco.com/go/video-mesh. U novoj primeni konfigurišete podešavanje proxy servera na svakom nodu nakon primene softvera Video Mesh na virtuelnom okruženju računara, a pre nego što registrujete oglas pomoću Cisco Webex oblaka.

Podrška proxy servera za Video Mesh

Video Mesh podržava eksplicitne, transparentne i proxy servere za neinspekciju. Ove proxy servere možete povezati sa Video Mesh primenom, tako da možete osigurati i nadgledati saobraćaj od preduzeća do oblaka. Ova funkcija šalje signalizaciju i upravljanje https-baziranim saobraćajem proxy serveru. Za prozirne punomoćnike, mrežni zahtevi iz Video Mesh čvorova se prosleđiva određenom proxy serveru putem pravila usmeravanja poslovne mreže. Video Mesh administratorski interfejs možete koristiti za upravljanje sertifikatima i celokupni status povezivanja nakon što primenite proxy sa čvorovima.

Mediji ne putuju preko proxy servera. I dalje morate da otvorite potrebne portove da bi tokovi medija direktno stigli do oblaka. Pogledajte Portovi i protokoli za upravljanje.

Video Mesh podržava sledeće tipove proxy servera:

  • Eksplicitni proxy server (provera ili neisplaćivanje)– Sa eksplicitnim proxy serverom govorite klijentu (Video Mesh čvorovima) koji proxy server da koristi. Ova opcija podržava jedan od sledećih tipova potvrde identiteta:

    • Nijedna – Nije potrebna dalja potvrda identiteta. (Za HTTP ili HTTPS eksplicitni proxy server.)

    • Osnovno – Koristi se za HTTP korisničkog agenta za obezbeđivanje korisničkog imena i lozinke prilikom upisivanja zahteva i koristi Base64 kodiranje. (Za HTTP ili HTTPS eksplicitni proxy server.)

    • Digest – Koristi se za potvrdu identiteta naloga pre slanja osetljivih informacija i primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže. (Za HTTPS eksplicitni proxy server.)

    • NTLM – Kao i Digest, NTLM se koristi za potvrdu identiteta naloga pre slanja osetljivih informacija. Koristi Windows akreditive umesto korisničkog imena i lozinke. Ova šema potvrde identiteta zahteva dovršavanje više razmena. (Za HTTP eksplicitni proxy server.)

  • Prozirni proxy server (neisplaćivanje)– Video Mesh čvorovi nisu konfigurisani da koriste određenu adresu proxy servera i ne bi trebalo da zahtevaju bilo kakve promene za rad sa proxy serverom koji ne proverava.

  • Prozirni proxy server (provera)– Video Mesh čvorovi nisu konfigurisani da koriste određenu adresu proxy servera. Međutim, na Video Mesh-u nisu neophodne http-ove promene konfiguracije, međutim, čvorovima video mesh je potreban vrhovni certifikat kako bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica koje se odnose na veb lokacije koje se mogu posetiti i tipove sadržaja koji nisu dozvoljeni. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i https).

Primer Video Mesh čvorova i proxy servera
Zahtevi za podršku proxy servera za Video Mesh

  • Zvanično podržavamo sledeća proxy rešenja koja mogu da se integrišu sa vašim Video Mesh čvorovima.

    • Cisco Web Security Appliance (WSA) za prozirni proxy server

    • Lignje za eksplicitne proxy servere

  • Za eksplicitni proxy ili transparentni proxy za inspekciju koji pregleda (dešifruje saobraćaj), morate da imate kopiju vrhovnog sertifikata proxy servera koji ćete morati da otpremite u skladište pouzdanosti Video Mesh čvora na veb-interfejsu.

  • Podržavamo sledeće eksplicitne kombinacije tipa proxy servera i potvrde identiteta:

    • Nema potvrde identiteta sa http i https

    • Osnovna potvrda identiteta sa http i https

    • Vari potvrdu identiteta samo pomoću https

    • NTLM potvrda identiteta samo sa http

  • Za prozirne punomoćnike morate koristiti ruter/komutator da biste primorali HTTPS/443 saobraćaj da ode do proxy servera. Takođe možete da prisilite veb-priključak da ode na proxy. (Web utičnica koristi https.)

    Video Mesh zahteva veze sa veb-priključkom sa uslugama u oblaku, tako da čvorovi ispravno funkcionišu. Kod eksplicitnog inspekcije i transparentnog proxy servera, http zaglavlja su potrebna za pravilnu vezu preko websocket-a. Ako se promene, veza sa websocket-om neće uspeti.

    Kada povezivanje websocket-a dođe do greške na portu 443 (sa omogućenim transparentnim proxy serverom za inspekciju), to dovodi do upozorenja posle registracije u kontrolnom čvorištu: „Webex Video Mesh SIP Calling ne funkcioniše ispravno.“ Isti alarm se može pojaviti i iz drugih razloga kada proxy server nije omogućen. Kada su zaglavlja Websocketa blokirana na portu 443, mediji ne teku između aplikacija i SIP klijenata.

    Ako mediji ne protiču, to se često dešava kada https saobraćaj sa čvora preko porta 443 ne uspe:

    • Port 443 saobraćaj je dozvoljen od strane proksija, ali je proksi za inspekciju i lomi veb-priključak.

    Da biste otklonili ove probleme, možda ćete morati da „zaobiđete“ ili „splice“ (onemogućite inspekciju) na portu 443 na: *.wbx2.com i *.ciscospark.com.

Konfiguriši Video Mesh čvor za integraciju proxy servera

Koristite ovu proceduru da biste naveli tip proxy servera koji želite da integrišete sa Video Mesh-om. Ako odaberete prozirni proxy server za proveru ili eksplicitni proxy server, možete da koristite interfejs čvorišta da biste otpremili i instalirali vrhovni certifikat, proverili proxy vezu i rešili sve potencijalne probleme.

Pre nego što počneš

1

Unesite URL adresu podešavanja Video Mesh https://[IP ili FQDN/setup u veb-pregledaču, unesite akreditive administratora koje ste podesili za čvor, a zatim kliknite na Prijavljivanje.

2

Idite na Trust Store & Proxy , azatim odaberite opciju:

  • Nema proksija – podrazumevana opcija pre nego što integrišete proksi. Nije potrebna ispravka certifikata.
  • Transparentni proxy koji nije inspekcija – Video Mesh čvorovi nisu konfigurisani za korišćenje određene adrese proxy servera i ne bi trebalo da zahtevaju nikakve promene rada sa proxy serverom koji nije inspekcija. Nije potrebna ispravka certifikata.
  • Transparentni proxy inspekcija – Video Mesh čvorovi nisu konfigurisani za korišćenje određene adrese proxy servera. Na video mesh-u nisu potrebne http-ove promene konfiguracije; Međutim, video Mesh čvorovima je potreban vrhovni certifikat kako bi imali poverenja u proxy server. It obično koristi proveru proksija za primenu smernica koje se odnose na veb lokacije koje se mogu posetiti i tipove sadržaja koji nisu dozvoljeni. Ovaj tip proxy servera dešifruje sav vaš saobraćaj (čak i https).
  • Eksplicitni proksi – Sa eksplicitnim proksi serverom, dajete klijentu (Video Mesh čvorove) koji proksi server da koristite, a ova opcija podržava nekoliko tipova potvrde identiteta. Kada odaberete ovu opciju, morate uneti sledeće informacije:

    1. Proxy IP/FQDN – adresa koja se može koristiti za pristup proxy mašini.

    2. Proksi port – broj porta koji proksi koristi za slušanje proksija saobraćaja.

    3. Proxy protokol– Izaberite http (Video Mesh tuneli njegov https saobraćaj preko http proxy servera) ili https (saobraćaj od Video Mesh čvora do proxy servera koristi https protokol). Odaberite opciju na osnovu onoga što podržava vaš proxy server.

    4. Odaberite neki od sledećih tipova potvrde identiteta, u zavisnosti od proxy okruženja:

      Opcija

      Upotreba

      Nijedno

      Odaberite http ili HTTPS eksplicitne proxy servere u kojima ne postoji metod potvrde identiteta.

      Osnovno

      Dostupno za HTTP ili HTTPS eksplicitne proksije.

      Koristi se za HTTP korisničkog agenta za obezbeđivanje korisničkog imena i lozinke prilikom upisivanja zahteva i koristi Base64 kodiranje.

      Digest

      Dostupno samo za HTTPS eksplicitne proksije.

      Koristi se za potvrđivanje naloga pre slanja osetljivih informacija i primenjuje hash funkciju na korisničko ime i lozinku pre slanja preko mreže.

      NTLM

      Dostupno samo za HTTP eksplicitne proksije.

      Kao i Digest, koristi se za potvrđivanje naloga pre slanja osetljivih informacija. Koristi Windows akreditive umesto korisničkog imena i lozinke.

      Ako odaberete ovu opciju, unesite domen aktivnog direktorijuma koji proxy server koristi za potvrdu identiteta u polju NTLM domena. Unesite ime proxy radne stanice (naziva se i nalog radne stanice ili nalog računara) u okviru navedenog NTLM domena u polju NTLM Radna stanica.

Sledite sledeće korake za prozirnu proveru ili eksplicitni proxy server.

3

Kliknite na dugme Otpremi vrhovni certifikat ili certifikat krajnjeg entiteta , azatim pronađite i odaberite vrhovni certifikat za izričito ili transparentno proveravanje proxy servera.

Certifikat je otpremljen, ali još uvek nije instaliran jer je potrebno ponovo pokrenuti računar da bi se certifikat instalirao. Kliknite na strelicu po imenu izdavača certifikata da biste dobili više detalja ili kliknite na dugme "Izbriši" ako ste pogrešili i želite ponovo da učitate datoteku.

4

Za prozirnu proveru ili eksplicitne punomoćnike kliknite na dugme Proveri proxy vezu da biste testirali mrežnu vezu između video mesh čvora i proxy servera.

Ako test veze ne uspe, videćete poruku o grešci koja prikazuje razlog i način na koji možete da ispravite problem.

5

Kada prođe test veze, za eksplicitni proksi, uključite preklopnik da biste usmerili sve portove 443 https zahteve iz ovog čvora kroz eksplicitni proksi. Za stupanje na snagu ove postavke potrebno je 15 sekundi.

6

Kliknite na dugme Instaliraj sve certifikate u skladište pouzdanosti (pojavljuje se svaki put kada je vrhovni certifikat dodat tokom podešavanja proxy servera) ili na dugme "Ponovo pokreni sistem" (pojavljuje se ako nije dodat vrhovni certifikat), pročitajte odzivnik, a zatim kliknite na dugme Instaliraj ako ste spremni.

Node se ponovo pokreće u roku od nekoliko minuta.

7

Nakon ponovnog pokretanja čvora, ponovo se prijavite ako je potrebno, a zatim otvorite stranicu Pregled da biste proverili provere veze da biste se uverili da su svi u zelenom statusu.

Provera proxy veze testira samo poddomein webex.com. Ako postoje problemi sa povezivanjem, čest problem je u tome što se neki od domena u oblaku navedenih u uputstvima za instalaciju blokiraju na proxy serveru.

Problemi sa proxy serverom

Šta saobraćaj ide preko proxy servera

Za Video Mesh, mediji ne prelaze preko proxy servera. Ova funkcija šalje signalizaciju i upravljanje https-baziranim saobraćajem proxy serveru. I dalje morate da otvorite potrebne portove da bi tokovi medija direktno stigli do oblaka.

TCP port 444 nije omogućen na proxy serveru

Ovaj port je zahtev za Video Mesh, jer Video Mesh koristi ovaj port za pristup uslugama zasnovanim na oblaku koje mora da koristi da bi ispravno funkcionisao. Za ovaj port i ANY kao što je dokumentovano u vodiču za primenu video mesh-a i mrežnim zahtevima za Usluge Webex Teams morate napraviti izuzetak.

Filtriranje saobraćaja signalizacijom po IP adresi nije podržano jer su IP adrese koje koriste naša rešenja dinamične i mogu se promeniti u bilo kom trenutku.

Nije instaliran vrhovni certifikat

Kada čvorovi razgovaraju sa eksplicitnim proxy serverom, morate da instalirate vrhovni certifikat i unesete izuzetak za tu URL adresu u zaštitni zid.

Provera povezivanja nije uspela

Ako je provera proxy veze prošla i proxy instalacija je dovršena, provere povezivanja na stranici za pregled i dalje mogu otkazati iz sledećih razloga:

  • Punomoćnik proverava saobraćaj koji ne ide u webex.com.

  • Proxy server blokira domene koji nisu webex.com.

Detalji potvrde identiteta su netačni

Za proxy servere koji koriste mehanizam potvrde identiteta uverite se da ste dodali ispravne detalje potvrde identiteta u oglas.

Zagušenje na proxy serveru

Zagušenje na vašem punomoćniku može dovesti do kašnjenja i pada sa saobraćajem u oblak. Proverite proxy okruženje da biste videli da li je potrebno ugušenje saobraćaja.

Websocket ne može da se poveže preko proxy servera sa lignjama

Proxy serveri koji ispituju HTTPS saobraćaj mogu da ometaju uspostavljanje websocket-a (wss:) veza koje zahtevaju hibridnu bezbednost podataka. Ovi odeljci daju uputstva o tome kako konfigurisati različite verzije squid-a da biste ignorisali wss: saobraćaj za pravilan rad usluga.

Lignje 4 i 5

Dodajte on_unsupported_protocol direktivu na squid.conf:

on_unsupported_protocol tunel sve

Lignje 3.5.27

Uspešno smo testirali Hibridnu bezbednost podataka sa sledećim pravilima koja se dodaju na squid.conf. Ova pravila podležu promenama dok razvijamo funkcije i ažuriramo Webex oblak.

acl wssMercuryConnection ssl::server_name_regex Mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump odg step1 sve ssl_bump stare step2 ssl_bump korak3 sve