本节介绍混合数据安全的代理支持功能。本文旨在补充《Cisco Webex 混合数据安全部署指南》(位于 https://www.cisco.com/go/hybrid-data-security)。如果是新部署,您需要在于节点上上传和装载 HDS 配置 ISO 之后并且将节点注册到 Cisco Webex 云之前,在每个节点上配置代理设置。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理—如果您不使用HDS节点设置Trust Store & Proxy配置以集成代理,则默认设置。无需证书更新。

  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,不应要求任何更改才能使用非检查代理。无需证书更新。

  • 透明隧道或检查代理—节点未配置为使用特定的代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是,节点需要根证书,以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理—通过显式代理,您可以告诉HDS节点使用哪些代理服务器和身份验证方案。要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—根据代理服务器支持的内容,选择以下协议:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。在此模式下,可以继续进行节点注册和其他代理连接测试。

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。

      检查HTTPS流量的Squid代理可能会干扰Websocket (wss:)连接的建立。要解决此问题,请参阅为混合数据安全配置Squid代理

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题,绕过(不检查)到 wbx2.comciscospark.com 的流量即可解决。

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

开始之前

1

在 Web 浏览器中输入 HDS 节点设置 URL https://[HDS 节点 IP 或 FQDN]/setup,输入您为节点设置的管理员凭证,然后单击登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理-集成代理前的默认选项。无需证书更新。
  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,并且不应要求任何更改才能使用非检查代理。无需证书更新。
  • 透明检查代理—节点未配置为使用特定的代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理—使用显式代理,告诉客户端(HDS节点)要使用的代理服务器,此选项支持多种身份验证类型。选择此选项后,您必须输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—选择 http (查看并控制从客户端收到的所有请求)或 https (向服务器提供通道,客户端接收并验证服务器的证书)。根据代理服务器支持的内容选择一个选项。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是一个错误,请完成这些步骤,然后查看关闭受阻的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

开始之前

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点接口(例如IP地址/设置),https://192.0.2.0/setup), 输入为节点设置的管理凭据,然后单击登录

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

本节介绍 Webex 视频网格的代理支持功能。本文旨在补充《Cisco Webex 视频网格部署指南》(位于 https://www.cisco.com/go/video-mesh)。如果是新部署,您需要在虚拟机环境中部署视频网格软件之后并且将节点注册到 Cisco Webex 云之前,在每个节点上配置代理设置。

视频网格的代理支持

Video Mesh支持明确、透明的检查和非检查代理。您可以将这些代理绑定到您的Video Mesh部署,从而确保和监控从企业到云的流量。此功能会将基于 https 的信号流量和管理流量发送给代理。对于透明代理,视频网节点中的网络请求将通过企业网络路由规则转发到特定代理。通过节点实现代理后,您可以使用视频网管理界面进行证书管理和整体连接状态。

媒体不会经过代理。您仍必须打开媒体流所需的端口才能直接连接云端。参见管理端口和协议

视频网格支持以下代理类型:

  • 显式代理(检查或不检查)- 使用显式代理,您可以告诉客户端(视频网格节点)要使用哪个代理服务器。此选项支持以下验证类型之一:

    • 无 - 无需进一步验证。(适用于 HTTP 或 HTTPS 显式代理。)

    • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码,并使用 Base64 编码。(适用于 HTTP 或 HTTPS 显式代理。)

    • 摘要 - 用于在发送敏感信息之前确认帐户的身份,并在通过网络发送之前对用户名和密码应用哈希函数。(适用于 HTTPS 显式代理。)

    • NTLM - 与“摘要”类似,NTLM 用于在发送敏感信息之前确认帐户的身份。使用 Windows 凭证而不是用户名和密码。此验证方案需要多次交换才能完成。(适用于 HTTP 显式代理。)

  • 透明代理(不检查)- 视频网格节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。

  • 透明代理(检查)- 视频网格节点没有配置为使用特定代理服务器地址。视频网格上无需进行任何 http(s) 配置更改,但是视频网格节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行有关可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 https)。

视频网节点和代理示例
视频网格的代理支持要求

  • 我们正式支持以下可与视频网节点集成的代理解决方案。

    • 适用于透明代理的 Cisco Web 安全设备 (WSA)

    • 适用于显式代理的 Squid

  • 对于检查(解密流量)的显式代理或透明的检查代理,您必须拥有代理的根证书副本,您需要上传到Web接口上的Video Mesh节点信任存储。

  • 我们支持以下显式代理和验证类型组合:

    • 不进行 http 和 https 验证

    • 进行 http 和 https 基本验证

    • 仅进行 https 摘要验证

    • 仅进行 http NTLM 验证

  • 对于透明代理,您必须使用路由器/交换机强制 HTTPS/443 流量转发至代理。您还可以强制Web Socket转至代理。(Web 套接字使用 https。)

    Video Mesh需要Web插座连接到云服务,以便节点正常运行。对于显式检查和透明的检查代理,需要使用HTTP头才能正确的WebSocket连接。如果它们被更改,Websocket连接将失败。

    当端口443上的WebSocket连接失败(启用透明检查代理)时,会导致Control Hub中的注册后警告:“Webex Video Mesh SIP呼叫未正常工作。” 未启用代理时,可能会因其他原因发生同样的警报。Web 套接字标头在端口 443 被阻止时,媒体不会在应用程序和 SIP 客户端之间流动。

    如果媒体未流通,当来自端口443上的节点的https流量失败时,通常会发生这种情况:

    • 代理允许端口443流量,但它是一个检查代理,正在破解WebSocket。

    要纠正这些问题,您可能需要在端口443上“绕过”或“splice”(禁用检查)到:*。wbx2.com和*。ciscospark.com。

配置视频网节点用于代理集成

使用此程序指定要与视频网集成的代理类型。如果选择了透明检查代理或显式代理,则可以使用节点的界面上传和安装根证书、检查代理连接以及对任何潜在问题进行故障排除。

开始之前

1

在Web浏览器中输入Video Mesh设置URL https://[IP或FQDN/setup ,输入为节点设置的管理员凭据,然后单击登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理-集成代理前的默认选项。无需证书更新。
  • 透明非检查代理—视频网点节点未配置为使用特定的代理服务器地址,不应要求任何更改才能与非检查代理配合使用。无需证书更新。
  • 透明检查代理—视频网节点未配置为使用特定的代理服务器地址。视频网格上无需进行任何 http(s) 配置更改;但是视频网格节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行有关可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 https)。
  • 显式代理—使用显式代理,告诉客户端(视频网节点)要使用的代理服务器,此选项支持多种身份验证类型。选择此选项后,您必须输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—选择http (通过http代理的视频网隧道其https流量)或https (从视频网节点到代理的流量使用https协议)。根据代理服务器支持的内容选择一个选项。

    4. 根据您的代理环境,从以下验证类型中进行选择:

      选项

      使用情况

      没有

      对没有验证方法的 HTTP 或 HTTPS 显式代理选择此项。

      基本

      适用于 HTTP 或 HTTPS 显式代理。

      用于 HTTP 用户代理,以便在发出请求时提供用户名和密码,并使用 Base64 编码。

      摘要

      仅适用于 HTTPS 显式代理。

      用于在发送敏感信息之前确认帐户,并在通过网络发送之前对用户名和密码应用哈希函数。

      NTLM

      仅适用于 HTTP 显式代理。

      与“摘要”类似,用于在发送敏感信息之前确认帐户。使用 Windows 凭证而不是用户名和密码。

      如果选择此选项,请在 NTLM 域字段中输入代理在验证时使用的 Active Directory 域。在 NTLM 工作站字段的指定 NTLM 域中输入代理工作站(也称为工作站帐户或机器帐户)的名称。

按照透明检查或显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后找到并选择显式或透明检查代理的根证书。

证书已上传但尚未安装,因为需要重启节点才能安装证书。单击证书颁发者名称旁边的箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

对于透明检查或显式代理,单击检查代理连接以测试视频网格节点和代理之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

5

连接测试通过后,对于显式代理,打开切换至通过显式代理路由所有端口443 https请求。此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库中(在代理设置期间添加根证书时显示)或重启(在没有添加根证书时显示);阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

代理问题

哪些流量会通过代理

对于视频网格,媒体不会经过代理。此功能会将基于 https 的信号流量和管理流量发送给代理。您仍必须打开媒体流所需的端口才能直接连接云端。

没有在代理上启用 TCP 端口 444

此端口对视频网格是必需的,因为视频网格要使用此端口访问基于云的服务,它必须使用这些服务才能正常运行。必须按照视频网格部署指南Webex Teams 服务的网络要求中所述,对此端口和 ANY 进行代理例外设置。

不支持按 IP 地址过滤信令流量,因为我们的解决方案使用的 IP 地址是动态的,随时可能更改。

没有安装根证书

当您的节点与显式代理对话时,必须安装根证书并在防火墙上输入该 URL 的例外。

连接检查失败

即使已通过代理连接检查且代理安装已完成,概述页面上的连接检查可能仍会由于下列原因而失败:

  • 代理检查没有转发至 webex.com 的流量。

  • 代理阻止 webex.com 以外的域。

验证详细信息不正确

对于使用验证机制的代理,请确保在节点中添加正确的验证详细信息。

代理拥塞

代理拥塞可能会造成与云之间的流量延迟和丢包。检查您的代理环境,以确定是否需要流量限制。

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰混合数据安全要求的Websocket (wss:)连接的建立。这些章节将指导如何把各种版本的 Squid 配置成忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

on_unsupported_protocol 指令添加到 squid.conf中:

on_unsupported_protocol 隧道全部

Squid 3.5.27

我们将以下规则添加到 squid.conf,成功地测试了混合数据安全。随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex 汞连接ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1ssl_bump stare step2ssl_bump bump step3