- الرئيسية
- /
- المقال
شكرًا على ملاحظاتك.
متطلبات الأمان لتطبيق Webex Calling
في هذه المقالة
هل لديك ملاحظات؟هذه المقالة مخصصة لمسؤولي الشبكات، وخاصة مسؤولي أمن جدار الحماية والوكيل الذين يرغبون في استخدام Webex Calling داخل مؤسساتهم.
لمعرفة معلومات المنفذ المرجعية لجدار الحماية ومتطلبات الوصول، ارجع إلى معلومات المنفذ المرجعية لتطبيق Cisco Webex Calling.
متطلبات نقاط النهاية
Webex Calling Edge
لإجراء عملية تسجيل في SIP أو مكالمة، أكمل هذه الخطوات:
-
اكتشف عنوان مضيف نقطة نهاية SIP لعقد Edge النشطة.
-
أكمل أي شروط مسبقة تتعلق تكوين المستخدم والجهاز.
-
تأكد من أن نقطة النهاية لديها اتصال بالشبكة العامة من أجل بدء اكتشاف الخدمة.
-
أكمل الشروط المسبقة لتمهيد نقطة النهاية بمنطقة أو بتكوين خاص بعملية توفير مخصصة لمركز البيانات. يساعد هذا التكوين في الحصول على لاحقة مناسبة لاسم المجال من أجل اكتشاف الخدمة.
IPv4 مقابل IPv6
يمكن أن تعمل الأجهزة في وضع إصدار واحد أو وضع مكدس مزدوج. هذا هو التكوين الذي يحدد التغييرات على البروتوكول المفضل وهذه التغييرات ليست جزءًا من اكتشاف الخدمة.
-
وضع المكدس الفردي - يتيح بروتوكول IP واحد فقط (على سبيل المثال، IPv4) ويتجاهل عناوين البروتوكول الأخرى.
-
وضع المكدس المزدوج — يحدد إصدار IP المفضل من خلال التكوين.
يضع العميل في اعتباره أولوية جميع العناوين المفضلة لتصبح أقل (أي مفضلة) عن جميع عناوين IP. إذا كان IPv4 هو خيارك المفضل، تتم محاولة استخدام جميع IPv4 قبل محاولة استخدام عنوان IPv6. إذا فشلت جميع العناوين، تبدأ الدورة مرة أخرى باستخدام عنوان البروتوكول المفضل الأقل في الأولوية.
يمكن أن يقرر عميل الهاتف المحمول الذي يقوم بالتسجيل عند استلام إشعار الدفع تحسين الوضع بناءً على عمليات التسجيل السابقة.
تحليل عنوان المضيف من عنوان DNS SRV
في ملف تكوين نقطة النهاية الذي تم الحصول عليه من عملية التوفير، يحدد مؤشر المجال اسم المجال المطلوب لاكتشاف خدمة الوصول إلى Edge. يوجد مثال على اسم المجال هو:
wxc.edge.bcld.webex.comمن المثال، نقطة النهاية التي تجري بحث DNS SRV لهذا المجال قد ينتج عنها استجابة مشابهة لما يلي:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com
_sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com.
_sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
في هذه الحالة، يشير سجل SRV إلى سجلات 3 A.
sip-edge1.us-dc1.bcld.webex.com
sip-edge2.us-dc1.bcld.webex.com
في المثال، يتم الإعلان عن اتصال جميع المضيفين بالمنفذ 5061 مع اختلاف الأهمية والأولوية.
يجب الوضع في الاعتبار هذه المتطلبات لنقاط النهاية.
-
يجب أن تستخدم نقطة النهاية
_sips._tcp(الخدمة) & (مجموعة البروتوكولات) كبادئة لإجراء بحث DNS SRV للحصول على عنوان المضيف لبدء الاتصال القائم على TLS. -
يجب أن تقوم نقطة النهاية بإجراء بحث DNS SRV عن الشروط الموضحة في قسم تحليل عنوان المضيف من عنوان DNS SRV.
-
يجب أن تحترم نقطة النهاية المضيف والمنفذ والأهمية والأولوية كما هو معلن عنها لكل عنوان مضيف. يجب أيضًا أن تنشئ تقاربًا من المضيف إلى المنفذ عند إنشاء اتصال مأخذ توصيل أثناء تسجيل SIP.
-
يتم توضيح معايير اختيار المضيفين بناءً على الأولوية والأهمية في RFC 2782، وهي المعايير المرتبطة باستخدام سجل DNS SRV.
متطلبات بروتوكول SIP والوسائط
|
المتطلبات |
الوصف |
|---|---|
|
شهادة الثقة مطلوبة لتشفير المفتاح العام |
ارجع إلى المقالة، لمعرفة معلومات عن جهة منح وتوقيع شهادات Webex وRoot CA المطلوبة على الأجهزة |
|
إصدار TLS مدعوم من أجل SIP الآمن |
TLS 1.2 و TLS 1.3 |
|
شفرات TLS مدعومة لبروتوكول SIP الآمن |
TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
|
مفاتيح SRTP مدعومة للوسائط الآمنة |
AES_CM_128_HMAC_SHA1_80 |
متطلبات بروتوكول SIP الآمن مع بروتوكول mTLS (بروتوكول TLS المتبادل)
يتم هنا شرح المتطلبات بالتفصيل.
مطلوب شهادة موقعة للحصول على تفويض ناجح ومصادقة للمكالمات من خط الاتصال. يجب أن تلبي الشهادة المتطلبات التالية:
-
يجب أن تكون الشهادة موقعة من قبل جهة إصدار شهادات مذكورة في ما هي جهات إصدار الشهادات الجذرية المدعومة للاتصالات بمنصات الصوت والفيديو من Cisco Webex؟
-
قم بتحميل حزمة الثقة المذكورة في ما هي سلطات شهادات الجذر المدعومة للمكالمات إلى منصات الصوت والفيديو من Cisco Webex؟إلى CUBE.
-
يجب أن تكون الشهادة صالحة دائمًا:
-
يجب أن تحتوي الشهادات الموقعة دائمًا على تاريخ انتهاء صحيح.
-
يجب أن تحتوي الشهادات الجذرية أو الوسيطة على تاريخ انتهاء صحيح مع التأكد من عدم إبطالها.
-
يتم دعم الشهادات التي تحتوي فقط على استخدام مفتاح المصادقة الموسع للخادم (EKU). لا يقوم Webex Calling بالتحقق من وجود Client Authentication EKU أو فرضه أثناء إنشاء مصافحة TLS.
قد تفرض بعض وحدات التحكم في حدود الجلسة (SBC) التابعة لجهات خارجية عملية تحقق صارمة من EKU وقد ترفض الشهادات التي لا تتضمن مصادقة العميل EKU. في مثل هذه الحالات، تأكد من أن SBC مُهيأ لقبول الشهادات التي تحتوي على EKU لمصادقة الخادم فقط أو لتعطيل التحقق الصارم من EKU (إذا كان مدعومًا).
-
يجب أن تحتوي الشهادات على اسم المجال المؤهل بالكامل (FQDN) كاسم شائع أو اسم بديل يشير إلى الموضوع في الشهادة مع FQDN المختار في Control Hub. على سبيل المثال:
-
خط اتصال تم تكوينه من Control Hub الخاص بمؤسستك باستخدام london.lgw.cisco.com:5061 كما يجب أن يحتوي FQDN على london.lgw.cisco.com في CN أو SAN الخاص بالشهادة.
-
خط اتصال تم تكوينه من Control Hub الخاص بمؤسستك باستخدام london.lgw.cisco.com كما يجب أن يحتوي SRV على london.lgw.cisco.com في CN أو SAN الخاص بالشهادة. السجلات التي يقوم عنوان SRV بتحليلها إلى (CNAME/سجل/ عنوان IP) اختيارية في SAN.
-
-
يمكنك مشاركة الشهادات مع أكثر من بوابة محلية واحدة، ومع ذلك، يجب التأكد من استيفاء متطلبات FQDN.
-
خارج النطاق
لا تتضمن هذه المقالة المعلومات التالية المتعلقة بأمان الشبكة:
-
متطلبات F5 لمرجع CA وعمليات التشفير
-
واجهة API القائمة على HTTP لتنزيل قواعد جدار الحماية لتطبيق Webex.
-
واجهة API لحزمة الثقة
-
متطلبات جدار الحماية وتعطيل ALG
