本节介绍混合数据安全的代理支持功能。 本文旨在补充《Cisco Webex 混合数据安全部署指南》(位于 https://www.cisco.com/go/hybrid-data-security)。 如果是新部署,您需要在于节点上上传和装载 HDS 配置 ISO 之后并且将节点注册到 Cisco Webex 云之前,在每个节点上配置代理设置。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。 您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。 您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理,这是缺省选项。 无需证书更新。

  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。

  • 透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。 无需在节点上进行任何 HTTP 或 HTTPS 配置更改。 但是,节点需要根证书,以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理 - 使用显式代理时,您可以告诉 HDS 节点要使用哪个代理服务器和验证方案。 要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

    2. 代理端口 - 代理用来侦听代理流量的端口号。

    3. 代理协议 - 根据代理服务器支持的内容,选择以下协议之一:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。 客户端接收并验证服务器的证书。

    4. 验证类型 - 从以下验证类型中进行选择:

      • - 无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。 对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。 在此模式下,可以继续进行节点注册和其他代理连接测试。

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。

      用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接。 要解决此问题,请参阅 配置用于混合数据安全的 Squid 代理

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。 本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。 如果发生此问题,绕过(不检查)到 wbx2.comciscospark.com 的流量即可解决。

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。 如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。 您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

开始之前

1

在 Web 浏览器中输入 HDS 节点设置 URL https://[HDS 节点 IP 或 FQDN]/setup,输入您为节点设置的管理员凭证,然后单击登录
2

转至信任库和代理,然后选择一个选项:

  • 无代理 - 集成代理之前的缺省选项。 无需证书更新。
  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。
  • 透明检查代理 - 节点没有配置为使用特定代理服务器地址。 混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理 - 使用显式代理时,您可以告诉客户端(HDS 节点)要使用哪个代理服务器,并且此选项支持多种验证类型。 选择此选项后,您必须输入以下信息:

    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

    2. 代理端口 - 代理用来侦听代理流量的端口号。

    3. 代理协议 - 选择 http(查看和控制从客户端接收的所有请求)或 https(提供到达服务器的通道以及客户端接收和验证服务器证书的通道)。 根据代理服务器支持的内容选择一个选项。

    4. 验证类型 - 从以下验证类型中进行选择:

      • - 无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。
3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。 单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除
4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。 这种情况符合许多显式代理配置的预期。 您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。 如果您认为这是错误,请完成这些步骤,然后查看关闭阻止外部 DNS 解析模式
5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。 此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。
7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。 如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

本节介绍 Webex 视频网格的代理支持功能。 本文旨在补充《Cisco Webex 视频网格部署指南》(位于 https://www.cisco.com/go/video-mesh)。 如果是新部署,您需要在虚拟机环境中部署视频网格软件之后并且将节点注册到 Cisco Webex 云之前,在每个节点上配置代理设置。

Cisco Webex 视频网格的代理支持

Cisco Webex 视频网格支持显示、透明的检查和不检查代理。 您可以将这些代理关联到 Webex 视频网部署,这样就可以保护并监控从企业到云端的流量。 此功能会将基于 https 的信号流量和管理流量发送给代理。 对于透明代理,视频网节点中的网络请求将通过企业网络路由规则转发到特定代理。 在使用节点实施代理后,您可以使用 Webex 视频网管理界面进行证书管理和整体连接状态管理。


媒体不会经过代理。 您仍必须打开媒体流所需的端口才能直接连接云端。

视频网格支持以下代理类型:

  • 显式代理(检查或不检查)- 使用显式代理,您可以告诉客户端(视频网格节点)要使用哪个代理服务器。 此选项支持以下验证类型之一:

    • 无 - 无需进一步验证。 (适用于 HTTP 或 HTTPS 显式代理。)

    • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码,并使用 Base64 编码。 (适用于 HTTP 或 HTTPS 显式代理。)

    • 摘要 - 用于在发送敏感信息之前确认帐户的身份,并在通过网络发送之前对用户名和密码应用哈希函数。 (适用于 HTTPS 显式代理。)

    • NTLM - 与“摘要”类似,NTLM 用于在发送敏感信息之前确认帐户的身份。 使用 Windows 凭证而不是用户名和密码。 此验证方案需要多次交换才能完成。 (适用于 HTTP 显式代理。)

  • 透明代理(不检查)- 视频网格节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。

  • 透明代理(检查)- 视频网格节点没有配置为使用特定代理服务器地址。 视频网格上无需进行任何 http(s) 配置更改,但是视频网格节点需要根证书以便它们信任代理。 IT 部门通常使用检查代理来强制执行有关可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 https)。

图 1. Webex 视频网格节点和代理的示例.

此图显示了 Webex 视频网格、网络和代理之间的连接示例。 对于透明检查和显式检查代理选项,必须在代理和视频节点上安装相同的根证书。

Webex 视频网格的代理支持要求

  • 我们为可与 Webex 视频网格节点集成的下列代理解决方案提供官方支持。

    • 适用于透明代理的 Cisco Web 安全设备 (WSA)

    • 适用于显式代理的 Squid

  • 对于执行检查(解密流量)的显式代理或透明检查代理,您必须拥有代理根证书的副本,您需要在 Web 界面上将其上传到 Webex 视频网格节点信任库。

  • 我们支持以下显式代理和验证类型组合:

    • 不进行 http 和 https 验证

    • 进行 http 和 https 基本验证

    • 仅进行 https 摘要验证

    • 仅进行 http NTLM 验证

  • 对于透明代理,您必须使用路由器/交换机强制 HTTPS/443 流量转发至代理。 您也可以强制 Web 套接字/444 转发至代理。 (Web 套接字使用 https。) 端口 444 取决于您的网络设置。 如果端口 444 未通过代理路由,则必须直接从节点向云端打开。

    Webex 视频网格需要使用 Web 套接字连接到云端服务,以便节点正常运行。 在显式检查和透明检查代理中,实现正确的 Web 套接字连接所需的 http 标头会发生改变,Web 套接字连接失败。

    在端口 443 上(启用透明检查代理)发生这种情况时的症状是在 Control Hub 中出现注册后警告: “Webex 视频网格 SIP 呼叫不正常。” 未启用代理时,可能会因其他原因发生同样的警报。 Web 套接字标头在端口 443 被阻止时,媒体不会在应用程序和 SIP 客户端之间流动。

    如果媒体未流动,通常在端口444或端口443的节点上的 https 流量失败时,会发生这种情况:

    • 代理不执行检查,但代理不允许端口 444 的流量通过。

    • 代理允许端口443或端口444流量,但它是一个检查代理,它会打破 websocket。

    要解决这些问题,您可能需要在端口 444 和 443 上“绕过”或“拼接”(禁用检查)到达下列地址的流量: *. wbx2.com 和 *. ciscospark.com。

配置用于代理集成的 Webex 视频网格节点

使用此程序指定要与 Webex 视频网格集成的代理的类型。 如果选择了透明检查代理或显式代理,则可以使用节点的界面上传和安装根证书、检查代理连接以及对任何潜在问题进行故障排除。

开始之前

1

在 Web 浏览器中输入 Webex 视频网格设置 URL https://[IP 或 FQDN/setup,输入您为节点设置的管理员凭证,然后单击登录
2

转至信任库和代理,然后选择一个选项:

  • 无代理 - 集成代理之前的缺省选项。 无需证书更新。
  • 透明不检查代理 - 视频网格节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。
  • 透明检查代理 - 视频网格节点没有配置为使用特定代理服务器地址。 视频网格上无需进行任何 http(s) 配置更改;但是视频网格节点需要根证书以便它们信任代理。 IT 部门通常使用检查代理来强制执行有关可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 https)。
  • 显式代理 - 使用显式代理,您可以告诉客户端(视频网格节点)要使用哪个代理服务器,并且此选项支持多种验证类型。 选择此选项后,您必须输入以下信息:

    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

    2. 代理端口 - 代理用来侦听代理流量的端口号。

    3. 代理协议 - 选择 http(视频网格通过 http 代理以隧道传输其 https 流量)或 Https(从视频网格节点到代理的流量使用 https 协议传输)。 根据代理服务器支持的内容选择一个选项。

    4. 根据您的代理环境,从以下验证类型中进行选择:

      选项

      使用情况

      没有

      对没有验证方法的 HTTP 或 HTTPS 显式代理选择此项。

      基本

      适用于 HTTP 或 HTTPS 显式代理。

      用于 HTTP 用户代理,以便在发出请求时提供用户名和密码,并使用 Base64 编码。

      摘要

      仅适用于 HTTPS 显式代理。

      用于在发送敏感信息之前确认帐户,并在通过网络发送之前对用户名和密码应用哈希函数。

      NTLM

      仅适用于 HTTP 显式代理。

      与“摘要”类似,用于在发送敏感信息之前确认帐户。 使用 Windows 凭证而不是用户名和密码。

      如果选择此选项,请在 NTLM 域字段中输入代理在验证时使用的 Active Directory 域。 在 NTLM 工作站字段的指定 NTLM 域中输入代理工作站(也称为工作站帐户或机器帐户)的名称。

按照透明检查或显式代理的后续步骤进行操作。
3

单击上传根证书或最终实体证书,然后找到并选择显式或透明检查代理的根证书。

证书已上传但尚未安装,因为需要重启节点才能安装证书。 单击证书颁发者名称旁边的箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除
4

对于透明检查或显式代理,单击检查代理连接以测试视频网格节点和代理之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。
5

在连接测试通过后,对于显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。 此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库中(在代理设置期间添加根证书时显示)或重启(在没有添加根证书时显示);阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。
7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。 如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

代理问题

哪些流量会通过代理

对于视频网格,媒体不会经过代理。 此功能会将基于 https 的信号流量和管理流量发送给代理。您仍必须打开媒体流所需的端口才能直接连接云端。

没有在代理上启用 TCP 端口 444

此端口对视频网格是必需的,因为视频网格要使用此端口访问基于云的服务,它必须使用这些服务才能正常运行。 必须按照视频网格部署指南Webex Teams 服务的网络要求中所述,对此端口和 ANY 进行代理例外设置。


不支持按 IP 地址过滤信令流量,因为我们的解决方案使用的 IP 地址是动态的,随时可能更改。

没有安装根证书

当您的节点与显式代理对话时,必须安装根证书并在防火墙上输入该 URL 的例外。

连接检查失败

即使已通过代理连接检查且代理安装已完成,概述页面上的连接检查可能仍会由于下列原因而失败:

  • 代理检查没有转发至 webex.com 的流量。

  • 代理阻止 webex.com 以外的域。

验证详细信息不正确

对于使用验证机制的代理,请确保在节点中添加正确的验证详细信息。

代理拥塞

代理拥塞可能会造成与云之间的流量延迟和丢包。 检查您的代理环境,以确定是否需要流量限制。

用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接(该连接是混合数据安全所必需的)。 这些章节将指导如何把各种版本的 Squid 配置成忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

on_unsupported_protocol 指令添加至 squid.conf: 

on_unsupported_protocol tunnel all

Squid 3.5.27

我们将以下规则添加到 squid.conf,成功地测试了混合数据安全。 随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。 

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all