- Начало
- /
- Статия
Изисквания за защитата за Webex Calling
Тази статия е предназначена за мрежови администратори, особено администратори на защитна стена и прокси сървъри, които искат да използват Webex Calling в рамките на тяхната организация.
За справочната информация за портовете с оглед на изискванията за защитната стена и достъпа вижте Справочна информация за портовете за Cisco Webex Calling.
Изисквания за крайните точки
Гранични възли за Webex Calling
За да извършите регистриране или повикване чрез SIP, изпълнете следните стъпки:
-
Намерете адреса на хоста за крайна точка на SIP за активните гранични възли.
-
Изпълнете всички предварителни условия, свързани с конфигурацията на устройството.
-
Уверете се, че крайната точка има възможност за свързване с публични мрежи, за да стартирате откриването на услугата.
-
Изпълнете предварителните условия за начално зареждане на крайната точка с конфигурация за осигуряване, специфична за региона или центъра за данни. Тази конфигурация помага да се получи правилният суфикс на името на домейн за откриването на услугата.
IPv4 или IPv6
Устройствата могат да работят в режим на единичен или на двоен стек. Конфигурацията е тази, която определя смените на предпочитания протокол, и тези смени не са част от откриването на услугата.
-
Режим на единичен стек – активира само един IP протокол (например IPv4) и игнорира адресите на другия протокол.
-
Режим на двоен стек – избира предпочитаната версия на IP протокола чрез конфигурацията.
Клиентът счита приоритета на всички предпочитани адреси за по-нисък (т.е. предпочитан) отколкото на всички адреси на IP протокола. Ако предпочитаният протокол е IPv4, се опитва с всички IPv4 адреси, преди да се опита с IPv6 адрес. Ако опитите с всички адреси са неуспешни, цикълът започва отново с адреса с най-нисък приоритет на предпочитания протокол.
Мобилен клиент, който се регистрира при получаването на насочено известие, може да реши да оптимизира режима на база на предишните регистрации.
Преобразуване на адреса на хоста от DNS SRV адреса
В конфигурационния файл за крайната точка, получен от осигуряването, индикаторът на домейна посочва името на домейна за откриване на услугата за достъп до граничните възли. Ето един пример за името на домейна:
wxc.edge.bcld.webex.com
В този пример крайната точка, която извършва проверка на DNS SRV за този домейн, може да даде отговор, подобен на следния:
# nslookup -type=srv_sips ._tcp . wxc.edge.bcld.webex.com_sips ._tcp .wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp .wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
В този случай SRV записът сочи към записите 3 A.
sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com
В примера всички хостове са обявени за свързващи се с порт 5061 с различно тегло и приоритет.
Имайте предвид следните изисквания за крайните точки.
-
Крайна точка трябва да използва
_sips ._tcp
(комбинация от услуга и протокол) като префикс за извършване на DNS SRV търсене за получаване на адрес на хост за иницииране на TLS-базирана комуникация. -
Крайната точка трябва да извърши проверка на DNS SRV за условията, разяснени в раздела Преобразуване на адреса на хоста от DNS SRV адреса.
-
Крайната точка трябва да спазва хоста, порта, теглото и приоритета, които са обявени за всеки от адресите на хостове. Също така трябва да създаде афинитет на хоста към порт, когато създава връзка с гнездо по време на SIP регистрацията.
-
Конкретно за използването на DNS SRV запис, критериите за избор на хостове въз основа на приоритета и теглото са разяснени в RFC 2782.
Изисквания за SIP и мултимедията
Изискване |
Описание |
---|---|
Надежден сертификат, изискван за шифроване с публичен ключ |
Прочетете статията, за да научите повече за сертифициращия орган (CA) и главния сертифициращ орган за сертификатите на Webex, които се изискват за устройствата |
Поддържа се TLS версия за защитен SIP |
TLS 1.2 |
Поддържат се TLS шифри за защитен SIP |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
Поддържат се ключове за SRTP за защитена мултимедия |
AES_CM_128_HMAC_SHA1_80 |
Изисквания за защитен SIP с mTLS (взаимен TLS)
Изискванията са разяснени подробно тук.
За успешно упълномощаване и удостоверяване на повиквания от външната линия се изисква подписан сертификат. Сертификатът трябва да отговаря на следните изисквания:
-
Сертификатът трябва да бъде подписан от CA, посочен в Какви основни центрове за сертифициране се поддържат за обаждания към аудио и видео платформи на Cisco Webex ?
-
Качете пакета за доверие, споменат в Какви основни центрове за сертифициране се поддържат за обаждания към аудио и видео платформи на Cisco Webex ? към CUBE.
-
Сертификатът задължително трябва да е валиден:
-
Подписаните сертификати винаги трябва да имат валидна дата на изтичане.
-
Главните или междинните сертификати трябва да имат валидна дата на изтичане и да не са анулирани.
-
Сертификатите трябва да са подписани за използване от клиента и сървъра.
-
Сертификатите трябва да съдържат напълно определеното име на домейн (FQDN) като общо име или алтернативно име на субекта в сертификата с FQDN, избрано в Control Hub. Например:
-
Външна линия, конфигурирана от Control Hub на вашата организация с london.lgw.cisco.com:5061, тъй като FQDN трябва да съдържа london.lgw.cisco.com в сертификата CN или SAN.
-
Външна линия, конфигурирана от Control Hub на вашата организация с london.lgw.cisco.com, тъй като SRV трябва да съдържа london.lgw.cisco.com в сертификата CN или SAN. Записите, до които се преобразува SRV адресът (CNAME/A запис/IP адрес), са незадължителни в SAN.
-
-
Можете да споделяте сертификати с повече от един локален шлюз, но се погрижете да бъдат спазени изискванията за FQDN.
-
Извън обхвата
Тази статия не включва следната информация, свързана с мрежовата защита:
-
Изисквания на F5 за CA и шифрите
-
Базиран на HTTP API за изтегляне на правилата за защитна стена за Webex.
-
API за надежден пакет
-
Изискване за защитна стена и деактивиране на ALG