- Domů
- /
- Článek
Požadavky na zabezpečení služby Webex Calling
Tento článek je určen správcům sítě, zejména správcům brány firewall a zabezpečení proxy serveru, kteří chtějí v rámci organizace používat službu Webex Calling.
Referenční informace o portech pro bránu firewall a požadavky na přístup naleznete v části Referenční informace o portech pro službu Cisco Webex Calling.
Požadavky na koncové body
Uzly Edge služby Webex Calling
Chcete-li provést registraci nebo volání SIP, proveďte tyto kroky:
-
Zjistěte adresu hostitele koncového bodu SIP pro aktivní uzly Edge.
-
Zajistěte splnění všech předběžných podmínek souvisejících s konfigurací uživatelů a zařízení.
-
Aby bylo možné spustit zjišťování služeb, zajistěte, aby měl koncový bod síťové připojení.
-
Zajistěte splnění předběžných podmínek pro bootstrapping koncového bodu za použití konfigurace zřizování pro konkrétní oblast nebo datové centrum. Tato konfigurace umožňuje získat relevantní příponu názvu domény pro zjišťování služeb.
IPv4 vs. IPv6
Zařízení mohou pracovat v režimu s jednou verzí nebo v režimu dvou zásobníků. Je to konfigurace, která určuje změny u preferovaného protokolu a tyto změny nejsou součástí zjišťování služeb.
-
Režim jednoho zásobníku: Povolí pouze jeden protokol IP (například IPv4) a ignoruje adresy ostatních protokolů.
-
Režim dvou zásobníků: Prostřednictvím konfigurace vybere preferovanou verzi IP protokolu.
Klient vyhodnotí prioritu pro všechny preferované adresy jako nižší (tj. preferované) než všechny adresy IP. Pokud je upřednostňován protokol IPv4, systém se pokusí použít všechny adresy IPv4 a poté se systém pokusí použít adresu IPv6. Pokud všechny adresy selžou, cyklus začíná znovu s adresou upřednostňovaného protokolu s nejnižší prioritou.
Mobilní klient registrující se po obdržení oznámení push může určit, aby byl režim optimalizován na základě předchozích registrací.
Překlad adresy hostitele z adresy DNS SRV
V konfiguračním souboru koncového bodu získaném při zřizování udává indikátor domény její název pro účely zjišťování přístupové služby Edge. Příklad názvu domény:
wxc.edge.bcld.webex.com
V příkladu, kdy koncový bod provádí vyhledávání DNS SRV pro tuto doménu, může být přijata odpověď, jako je tato:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com
V takovém případě záznam SRV ukazuje na 3 záznamy A.
sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com
V tomto příkladu jsou všichni hostitelé inzerováni, aby kontaktovali port 5061 s jinou vahou a prioritou.
Zvažte tyto požadavky pro koncové body.
-
Koncový bod musí použít
_sips._tcp
(kombinace služby a protokolu) jako předponu k provedení vyhledávání DNS SRV, aby získal adresu hostitele pro zahájení komunikace TLS. -
Koncový bod musí provést vyhledávání DNS SRV za podmínek vysvětlených v části Překlad adresy hostitele z adresy DNS SRV.
-
Koncový bod musí použít hostitele, port, váhu a prioritu tak, jak jsou inzerovány pro každou adresu hostitele. Musí také vytvořit spřažení hostitele s portem při vytváření socketového připojení během registrace protokolu SIP.
-
Kritéria výběru hostitelů na základě priority a váhy, která jsou specifická pro použití záznamu DNS SRV, jsou vysvětlena v dokumentu RFC 2782.
Požadavky na protokol SIP a média
Požadavek |
Popis |
---|---|
Důvěryhodný certifikát nutný pro šifrování veřejným klíčem |
Viz tento článek, kde jsou informace o certifikačních autoritách pro podepisování certifikátů Webex a kořenové certifikační autoritě, které jsou vyžadovány v zařízení. |
Verze protokolu TLS podporovaná pro použití zabezpečeného protokolu SIP |
TLS 1.2 |
Šifry TLS podporované pro použití zabezpečeného protokolu SIP |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
Klíče SRTP podporované pro zabezpečená média |
AES_CM_128_HMAC_SHA1_80 |
Požadavky na zabezpečený protokol SIP s mechanismem mTLS (mutual TLS)
Zde jsou podrobně vysvětleny požadavky.
Pro úspěšnou autorizaci a ověření volání z přenosového spoje je vyžadován podepsaný certifikát. Certifikát musí splňovat následující požadavky:
-
Certifikát musí být podepsán certifikační autoritou uvedenou v části Jaké jsou podporovány kořenové certifikační autority pro audio a video hovory směrované na platformy Cisco Webex?
-
Nahrajte balíček důvěryhodných certifikátů uvedený v části Jaké jsou podporovány kořenové certifikační autority pro audio a video hovory směrované na platformy Cisco Webex? do brány CUBE.
-
Certifikát musí být vždy platný:
-
Podepsané certifikáty musí mít vždy platnou dobu vypršení platnosti.
-
Kořenové nebo zprostředkující certifikáty musí mít vždy platnou dobu vypršení platnosti a nesmí být odvolané.
-
Certifikáty musí být podepsány pro využití klientem a serverem.
-
Certifikáty musí obsahovat plně kvalifikovaný název domény (FQDN) jako běžný název nebo alternativní název předmětu v certifikátu s názvem FQDN zvoleným v centru Control Hub. Příklad:
-
Přenosový spoj nakonfigurovaný z centra Control Hub organizace s názvem FQDN london.lgw.cisco.com:5061 musí v názvu CN nebo SAN certifikátu obsahovat řetězec london.lgw.cisco.com.
-
Přenosový spoj nakonfigurovaný z centra Control Hub organizace s názvem london.lgw.cisco.com byl záznam SRV a v názvu CN nebo SAN certifikátu musí obsahovat řetězec london.lgw.cisco.com. Záznamy, které adresa SRV přeloží na (CNAME/záznam A/IP adresa), jsou v názvu SAN volitelné.
-
-
Certifikáty můžete sdílet s více než jednou místní branou, dbejte však na to, aby byly splněny požadavky na název FQDN.
-
Mimo rozsah
Tento článek nezahrnuje následující informace související se zabezpečením sítě:
-
Požadavky F5 na certifikační autoritu a šifry
-
Rozhraní API HTTP ke stažení pravidel brány firewall pro službu Webex.
-
Rozhraní API pro balíček důvěryhodných certifikátů
-
Požadavek na bránu firewall a deaktivace brány ALG