- Startseite
- /
- Artikel
Sicherheitsanforderungen für Webex Calling
Dieser Artikel richtet sich an Netzwerkadministratoren, insbesondere Firewall- und Proxysicherheitsadministratoren, die Webex Calling innerhalb ihrer Organisation verwenden möchten.
Informationen zu den Port-Referenzinformationen für Firewall- und Zugriffsanforderungen finden Sie unter Port-Referenzinformationen für Cisco Webex Calling.
Anforderungen für Endpunkte
Webex Calling-Edge
Führen Sie die folgenden Schritte aus, um eine SIP-Registrierung oder einen Anruf durchzuführen:
-
Ermitteln Sie die Host-Adresse eines SIP-Endpunkts für aktive Edge-Knoten.
-
Erfüllen Sie alle Vorbedingungen in Bezug auf die Benutzer- und Gerätekonfiguration.
-
Stellen Sie sicher, dass der Endpunkt mit einem öffentlichen Netzwerk verbunden ist, um die Diensterkennung zu starten.
-
Erfüllen Sie die Vorbedingungen für das Bootstrapping des Endpunkts mit einer regions- oder rechenzentrumsspezifischen Bereitstellungskonfiguration. Diese Konfiguration hilft, das relevante Domänennamensuffix für die Diensterkennung abzurufen.
IPv4 im Vergleich zu IPv6
Geräte können im Single- oder Dual-Stack-Modus arbeiten. Die Konfiguration bestimmt die Änderungen am bevorzugten Protokoll, und diese Änderungen sind nicht Teil der Diensterkennung.
-
Single-Stack-Modus – Es wird nur ein IP-Protokoll (z. B. IPv4) aktiviert; die anderen Protokolladressen werden ignoriert.
-
Dual-Stack-Modus – Die bevorzugte IP-Version wird über die Konfiguration ausgewählt.
Der Client betrachtet die Priorität aller bevorzugten Adressen als niedriger (d. h. bevorzugt) als die Priorität aller Adressen der IP. Wenn IPv4 bevorzugt wird, werden alle IPv4-Adressen ausprobiert, bevor eine IPv6-Adresse versucht wird. Wenn alle Adressen fehlschlagen, beginnt der Zyklus erneut mit der bevorzugten Protokolladresse der niedrigsten Priorität.
Ein mobiler Client, der sich beim Empfang einer Push-Benachrichtigung registriert, kann den Modus basierend auf früheren Registrierungen optimieren.
Auflösung der Host-Adresse aus der DNS SRV-Adresse
In der Endpunkt-Konfigurationsdatei, die von der Bereitstellung abgerufen wurde, gibt der Domänenindikator den Domänennamen zum Ermitteln des Zugriffs-Edge-Diensts an. Beispiel für den Domänennamen:
wxc.edge.bcld.webex.com
In diesem Beispiel kann der Endpunkt, der eine DNS SRV-Suche für diese Domäne durchführt, eine Antwort ähnlich der folgenden liefern:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
In diesem Fall verweist der SRV-Datensatz auf 3 A-Datensätze.
sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com
In diesem Beispiel wird allen Hosts angekündigt, Port 5061 mit unterschiedlicher Gewichtung und Priorität zu kontaktieren.
Berücksichtigen Sie diese Anforderungen für Endpunkte.
-
Ein Endpunkt muss
_sips._tcp
(Kombination aus Dienst und Protokoll) als Präfix verwenden, um eine DNS SRV-Suche durchzuführen, um die Host-Adresse zum Initiieren der TLS-basierten Kommunikation abzurufen. -
Ein Endpunkt muss eine DNS SRV-Suche nach den im Abschnitt Auflösung der Host-Adresse aus der DNS SRV-Adresse beschriebenen Bedingungen durchführen.
-
Ein Endpunkt muss Host, Port, Gewichtung und Priorität berücksichtigen, wie für jede der Host-Adressen angekündigt. Außerdem muss beim Erstellen einer Socket-Verbindung während der SIP-Registrierung eine Affinität zwischen Host und Port hergestellt werden.
-
Die für die Verwendung des DNS SRV-Datensatzes spezifischen Auswahlkriterien von Hosts basierend auf Priorität und Gewichtung werden in RFC 2782 erläutert.
SIP- und Medienanforderungen
Anforderung |
Description |
---|---|
Vertrauenswürdiges Zertifikat für Verschlüsselung mit öffentlichem Schlüssel erforderlich |
In diesem Artikel erfahren Sie mehr über die auf Geräten erforderliche Signierungsstelle und Stamm-CA für Webex-Zertifikate zu erfahren. |
Für Secure SIP unterstützte TLS-Version |
TLS 1.2 |
Für Secure SIP unterstützte TLS-Verschlüsselung |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
Für sichere Medien unterstützte SRTP-Schlüssel |
AES_CM_128_HMAC_SHA1_80 |
Anforderungen für Secure SIP mit mTLS (mutual TLS)
Die Anforderungen werden hier im Detail erläutert.
Für eine erfolgreiche Autorisierung und Authentifizierung von Anrufen vom Trunk ist ein signiertes Zertifikat erforderlich. Das Zertifikat muss die folgenden Anforderungen erfüllen:
-
Das Zertifikat muss von einer unter Welche Stammzertifizierungsstellen (Root Certificate Authorities) werden für Anrufe an Cisco Webex Audio- und Videoplattformen unterstützt?
-
Laden Sie das unter Welche Stammzertifizierungsstellen (Root Certificate Authorities) werden für Anrufe an Cisco Webex Audio- und Videoplattformen unterstützt? erwähnte Vertrauenspaket in den CUBE hoch.
-
Das Zertifikat muss immer gültig sein:
-
Signierte Zertifikate müssen immer ein gültiges Ablaufdatum haben.
-
Stamm- oder Zwischenzertifikate müssen ein gültiges Ablaufdatum haben und dürfen nicht widerrufen werden.
-
Zertifikate müssen für die Client- und Servernutzung signiert sein.
-
Zertifikate müssen den vollständigen Domänennamen (FQDN) als allgemeinen Namen (Common Name, CN) oder alternativen Antragstellernamen (Subject Alternate Name, SAN) im Zertifikat enthalten, und der FQDN muss im Control Hub ausgewählt sein. Beispiel:
-
Ein Trunk, der über den Control Hub Ihrer Organisation mit dem FQDN „london.lgw.cisco.com:5061“ konfiguriert wurde, muss „london.lgw.cisco.com“ im CN oder SAN des Zertifikats enthalten.
-
Ein Trunk, der über den Control Hub Ihrer Organisation mit dem SRV „london.lgw.cisco.com“ konfiguriert wurde, muss „london.lgw.cisco.com“ im CN oder SAN des Zertifikats enthalten. Die Datensätze, in die die SRV-Adresse aufgelöst wird (CNAME/A-Datensatz/IP-Adresse), sind im SAN optional.
-
-
Sie können Zertifikate mit mehr als einem lokalen Gateway teilen. Stellen Sie jedoch sicher, dass die FQDN-Anforderungen erfüllt sind.
-
Nicht enthalten
Die folgenden Informationen zur Netzwerksicherheit sind in diesem Artikel nicht enthalten:
-
F5-Anforderungen für Zertifizierungsstelle und Verschlüsselungen
-
Eine HTTP-basierte API zum Herunterladen von Firewall-Regeln für Webex
-
API für ein vertrauenswürdiges Paket
-
Firewall-Anforderung und ALG-Deaktivierung