Изисквания за крайните точки

Гранични възли за Webex Calling

За да извършите регистриране или повикване чрез SIP, изпълнете следните стъпки:

  • Намерете адреса на хоста за крайна точка на SIP за активните гранични възли.

  • Изпълнете всички предварителни условия, свързани с конфигурацията на устройството.

  • Уверете се, че крайната точка има възможност за свързване с публични мрежи, за да стартирате откриването на услугата.

  • Изпълнете предварителните условия за начално зареждане на крайната точка с конфигурация за осигуряване, специфична за региона или центъра за данни. Тази конфигурация помага да се получи правилният суфикс на името на домейн за откриването на услугата.

IPv4 или IPv6

Устройствата могат да работят в режим на единичен или на двоен стек. Конфигурацията е тази, която определя смените на предпочитания протокол, и тези смени не са част от откриването на услугата.

  • Режим на единичен стек – активира само един IP протокол (например IPv4) и игнорира адресите на другия протокол.

  • Режим на двоен стек – избира предпочитаната версия на IP протокола чрез конфигурацията.

Клиентът счита приоритета на всички предпочитани адреси за по-нисък (т.е. предпочитан) отколкото на всички адреси на IP протокола. Ако предпочитаният протокол е IPv4, се опитва с всички IPv4 адреси, преди да се опита с IPv6 адрес. Ако опитите с всички адреси са неуспешни, цикълът започва отново с адреса с най-нисък приоритет на предпочитания протокол.

Мобилен клиент, който се регистрира при получаването на насочено известие, може да реши да оптимизира режима на база на предишните регистрации.

Преобразуване на адреса на хоста от DNS SRV адреса

В конфигурационния файл за крайната точка, получен от осигуряването, индикаторът на домейна посочва името на домейна за откриване на услугата за достъп до граничните възли. Ето един пример за името на домейна:

wxc.edge.bcld.webex.com

В този пример крайната точка, която извършва проверка на DNS SRV за този домейн, може да даде отговор, подобен на следния:

 # nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com. 

В този случай SRV записът сочи към записите 3 A.

 sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com 

В примера всички хостове са обявени за свързващи се с порт 5061 с различно тегло и приоритет.

Имайте предвид следните изисквания за крайните точки.

  • An endpoint must use _sips._tcp (service & protocol combination) as the prefix to perform a DNS SRV lookup for obtaining host address for initiating TLS-based communication.

  • Крайната точка трябва да извърши проверка на DNS SRV за условията, разяснени в раздела Преобразуване на адреса на хоста от DNS SRV адреса.

  • Крайната точка трябва да спазва хоста, порта, теглото и приоритета, които са обявени за всеки от адресите на хостове. Също така трябва да създаде афинитет на хоста към порт, когато създава връзка с гнездо по време на SIP регистрацията.

  • Конкретно за използването на DNS SRV запис, критериите за избор на хостове въз основа на приоритета и теглото са разяснени в RFC 2782.

Изисквания за SIP и мултимедията

Изискване

Описание

Надежден сертификат, изискван за шифроване с публичен ключ

Прочетете статията, за да научите повече за сертифициращия орган (CA) и главния сертифициращ орган за сертификатите на Webex, които се изискват за устройствата

Поддържа се TLS версия за защитен SIP

TLS 1.2

Поддържат се TLS шифри за защитен SIP

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

Поддържат се ключове за SRTP за защитена мултимедия

AES_CM_128_HMAC_SHA1_80

Изисквания за защитен SIP с mTLS (взаимен TLS)

Изискванията са разяснени подробно тук.

За успешно упълномощаване и удостоверяване на повиквания от външната линия се изисква подписан сертификат. Сертификатът трябва да отговаря на следните изисквания:

  • The certificate must be signed by a CA mentioned in  What Root Certificate Authorities are Supported for Calls to Cisco Webex Audio and Video Platforms?

  • Upload the trust bundle mentioned in  What Root Certificate Authorities are Supported for Calls to Cisco Webex Audio and Video Platforms? on to the CUBE.

  • Сертификатът задължително трябва да е валиден:

    • Подписаните сертификати винаги трябва да имат валидна дата на изтичане.

    • Главните или междинните сертификати трябва да имат валидна дата на изтичане и да не са анулирани.

    • Сертификатите трябва да са подписани за използване от клиента и сървъра.

    • Сертификатите трябва да съдържат напълно определеното име на домейн (FQDN) като общо име или алтернативно име на субекта в сертификата с FQDN, избрано в Control Hub. Например:

      • Външна линия, конфигурирана от Control Hub на вашата организация с london.lgw.cisco.com:5061, тъй като FQDN трябва да съдържа london.lgw.cisco.com в сертификата CN или SAN.

      • Външна линия, конфигурирана от Control Hub на вашата организация с london.lgw.cisco.com, тъй като SRV трябва да съдържа london.lgw.cisco.com в сертификата CN или SAN. Записите, до които се преобразува SRV адресът (CNAME/A запис/IP адрес), са незадължителни в SAN.

    • Можете да споделяте сертификати с повече от един локален шлюз, но се погрижете да бъдат спазени изискванията за FQDN.

Извън обхвата

Тази статия не включва следната информация, свързана с мрежовата защита:

  • Изисквания на F5 за CA и шифрите

  • Базиран на HTTP API за изтегляне на правилата за защитна стена за Webex.

  • API за надежден пакет

  • Изискване за защитна стена и деактивиране на ALG