Få oplysninger om portreference for firewall og adgangskrav i Portreferenceoplysninger for Cisco Webex Calling.

Krav til slutpunkter

Webex Calling Edge

Hvis du vil udføre en SIP-registrering eller et SIP-opkald skal du udføre disse trin:

  • Find værtsadressen for et SIP-slutpunkt for aktive Edge-noder.

  • Sørg for, at alle forudsætninger relateret til bruger- og enhedskonfiguration er på plads.

  • Sørg for, at slutpunktet har en offentlig netværksforbindelse for at starte serviceregistrering.

  • Sørg for, at forudsætningerne for selvstart af slutpunktet med en regional eller datacenterspecifik klargøringskonfiguration er på plads. Denne konfiguration hjælper med at hente det relevante domænenavn til serviceregistrering.

IPv4 versus IPv6

Enheder kan fungere i tilstanden med en enkelt eller to stakke. Det er konfigurationen, der fastlægger ændringerne af den foretrukne protokol, og disse ændringer er ikke en del af serviceregistreringen.

  • Tilstand med enkelt stak – aktiverer kun én IP-protokol (f.eks. IPv4) og ignorerer de andre protokoladresser.

  • Tilstand med to stakke – vælger en foretrukken IP-version gennem konfiguration.

Klienten anser prioriteten for alle foretrukne adresser for at være lavere (det vil sige foretrukken) end alle IP'ens adresser. Hvis IPv4 foretrækkes, forsøges alle IPv4-adresser, før der forsøges med en IPv6-adresse. Hvis alle adresser mislykkes, starter cyklussen igen med den foretrukne protokoladresse med laveste prioritet.

En mobilklient, der tilmelder sig efter modtagelse af en push-besked, kan beslutte at optimere tilstanden baseret på tidligere registreringer.

Løsning af værtsadresse fra DNS SRV-adressen

I slutpunktskonfigurationsfilen, der hentes ved klargøring, angiver domæneindikatoren domænenavnet til registrering af Access Edge-tjenesten. Et eksempel på domænenavn er:

wxc.edge.bcld.webex.com

I eksemplet kan det slutpunkt, der udfører et DNS SRV-opslag for dette domæne, give et svar, der ligner følgende:


# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com
_sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com.
_sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.

I dette tilfælde peger SRV-posten på 3 A-poster.


sip-edge1.us-dc1.bcld.webex.com
sip-edge2.us-dc1.bcld.webex.com

I eksemplet annonceres alle værter for kontaktport 5061 med forskellig vægtning og prioritet.

Overvej disse krav til slutpunkter.

  • Et slutpunkt skal anvende _sips._tcp(tjeneste- og protokolkombination) som præfiks til at udføre et DNS SRV-opslag for at hente værtsadressen til initiering af TLS-baseret kommunikation.

  • Et slutpunkt skal foretage et DNS SRV-opslag for de betingelser, der er forklaret i afsnittet Løsning af værtsadresse fra DNS SRV-adressen.

  • Et slutpunkt skal efterkomme vært, port, vægtning og prioritet som annonceret for hver af værtsadresserne. Desuden skal det oprette en affinitet for vært til port, når der oprettes en socket-forbindelse under SIP-registrering.

  • Specifikt for brug af DNS SRV-post gælder det, at udvælgelseskriterierne for værter er baseret på prioritet og vægtning som forklaret i RFC 2782.

Krav til SIP og medier

Krav

Beskrivelse

Tillidscertifikat påkrævet til kryptering af offentlig nøgle

Der henvises til artiklen for yderligere oplysninger om Webex-certifikaters underskriftsgodkendelse og rodnøgle påkrævet på enheder

TLS-version understøttet til sikker SIP

TLS 1.2

TLS-kryptering understøttes til sikker SIP

TLS_ECDHE_RSA_MED_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_MED_AES_128_GCM_SHA256

TLS_ECDHE_RSA_MED_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_MED_AES_128_CBC_SHA256

TLS_DHE_DSS_MED_AES_128_GCM_SHA256

TLS_DHE_RSA_MED_AES_128_GCM_SHA256

TLS_DHE_RSA_MED_AES_128_CBC_SHA256

TLS_DHE_DSS_MED_AES_128_CBC_SHA256

TLS_ECDH_RSA_MED_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_MED_AES_128_GCM_SHA256

TLS_ECDH_RSA_MED_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_MED_AES_128_CBC_SHA256

SRTP-nøgler understøttes for sikre medier

AES_CM_128_HMAC_SHA1_80

Krav til sikker SIP med mTLS (gensidig TLS)

Kravene forklares i detaljer her.

Et signeret certifikat er påkrævet for en vellykket godkendelse og bekræftelse af opkald fra trunken. Certifikatet skal overholde følgende krav:

  • Certifikatet skal være signeret af et CA, der er nævnt i Hvilke rodcertifikatudstedere understøttes ved opkald til Cisco Webex-lyd- og videoplatforme?

  • Upload det tillidsbundt, der er nævnt i Hvilke rodcertifikatudstedere understøttes ved opkald til Cisco Webex-lyd- og videoplatforme videre til CUBE.

  • Certifikatet skal altid være gyldigt:

    • Signerede certifikater skal altid have en gyldig udløbsdato.

    • Rodcertifikater eller midlertidige certifikater skal have en gyldig udløbsdato og må ikke tilbagekaldes.

    • Certifikater skal være signeret for klient- og serverbrug.

    • Certifikater skal indeholde det fuldt kvalificerede domænenavn (FQDN) som et almindeligt navn eller et alternativt emnenavn i certifikatet med det FQDN, der er valgt i Control Hub. Eksempel:

      • En trunk, der er konfigureret fra din organisations Control Hub med london.lgw.cisco.com:5061 som FQDN, skal indeholde london.lgw.cisco.com i certifikatet, CN eller SAN.

      • En trunk, der er konfigureret fra din organisations Control Hub med london.lgw.cisco.com, som SRV'en, skal indeholde london.lgw.cisco.com i certifikatet, CN eller SAN. De poster, som SRV-adressen ekspederes til (CNAME/A-post/IP-adresse), er valgfri i SAN.

    • Du kan dele certifikater med mere end én lokal gateway, men sørg for, at FQDN-kravene er opfyldt.

Uden for anvendelsesområde

Denne artikel indeholder ikke følgende oplysninger om netværkssikkerhed:

  • F5-krav til CA og kryptering

  • En HTTP-baseret API til download af firewallregler for Webex.

  • API til et tillidsbundt

  • Firewallkrav og ALG-deaktivering