Anforderungen für Endpunkte

Webex Calling-Edge

Führen Sie die folgenden Schritte aus, um eine SIP-Registrierung oder einen Anruf durchzuführen:

  • Ermitteln Sie die Host-Adresse eines SIP-Endpunkts für aktive Edge-Knoten.

  • Erfüllen Sie alle Vorbedingungen in Bezug auf die Benutzer- und Gerätekonfiguration.

  • Stellen Sie sicher, dass der Endpunkt mit einem öffentlichen Netzwerk verbunden ist, um die Diensterkennung zu starten.

  • Erfüllen Sie die Vorbedingungen für das Bootstrapping des Endpunkts mit einer regions- oder rechenzentrumsspezifischen Bereitstellungskonfiguration. Diese Konfiguration hilft, das relevante Domänennamensuffix für die Diensterkennung abzurufen.

IPv4 im Vergleich zu IPv6

Geräte können im Single- oder Dual-Stack-Modus arbeiten. Die Konfiguration bestimmt die Änderungen am bevorzugten Protokoll, und diese Änderungen sind nicht Teil der Diensterkennung.

  • Single-Stack-Modus – Es wird nur ein IP-Protokoll (z. B. IPv4) aktiviert; die anderen Protokolladressen werden ignoriert.

  • Dual-Stack-Modus – Die bevorzugte IP-Version wird über die Konfiguration ausgewählt.

Der Client betrachtet die Priorität aller bevorzugten Adressen als niedriger (d. h. bevorzugt) als die Priorität aller Adressen der IP. Wenn IPv4 bevorzugt wird, werden alle IPv4-Adressen ausprobiert, bevor eine IPv6-Adresse versucht wird. Wenn alle Adressen fehlschlagen, beginnt der Zyklus erneut mit der bevorzugten Protokolladresse der niedrigsten Priorität.

Ein mobiler Client, der sich beim Empfang einer Push-Benachrichtigung registriert, kann den Modus basierend auf früheren Registrierungen optimieren.

Auflösung der Host-Adresse aus der DNS SRV-Adresse

In der Endpunkt-Konfigurationsdatei, die von der Bereitstellung abgerufen wurde, gibt der Domänenindikator den Domänennamen zum Ermitteln des Zugriffs-Edge-Diensts an. Beispiel für den Domänennamen:

wxc.edge.bcld.webex.com

In diesem Beispiel kann der Endpunkt, der eine DNS SRV-Suche für diese Domäne durchführt, eine Antwort ähnlich der folgenden liefern:

 # nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com. 

In diesem Fall verweist der SRV-Datensatz auf 3 A-Datensätze.

 sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com 

In diesem Beispiel wird allen Hosts angekündigt, Port 5061 mit unterschiedlicher Gewichtung und Priorität zu kontaktieren.

Berücksichtigen Sie diese Anforderungen für Endpunkte.

  • Ein Endpunkt muss _sips._tcp (Kombination aus Dienst und Protokoll) als Präfix verwenden, um eine DNS SRV-Suche zum Abrufen der Host-Adresse zum Initiieren der TLS-basierten Kommunikation durchzuführen.

  • Ein Endpunkt muss eine DNS SRV-Suche nach den im Abschnitt Auflösung der Host-Adresse aus der DNS SRV-Adresse beschriebenen Bedingungen durchführen.

  • Ein Endpunkt muss Host, Port, Gewichtung und Priorität berücksichtigen, wie für jede der Host-Adressen angekündigt. Außerdem muss beim Erstellen einer Socket-Verbindung während der SIP-Registrierung eine Affinität zwischen Host und Port hergestellt werden.

  • Die für die Verwendung des DNS SRV-Datensatzes spezifischen Auswahlkriterien von Hosts basierend auf Priorität und Gewichtung werden in RFC 2782 erläutert.

SIP- und Medienanforderungen

Anforderung

Description

Vertrauenswürdiges Zertifikat für Verschlüsselung mit öffentlichem Schlüssel erforderlich

In diesem Artikel erfahren Sie mehr über die auf Geräten erforderliche Signierungsstelle und Stamm-CA für Webex-Zertifikate zu erfahren.

Für Secure SIP unterstützte TLS-Version

TLS 1.2

Für Secure SIP unterstützte TLS-Verschlüsselung

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

Für sichere Medien unterstützte SRTP-Schlüssel

AES_CM_128_HMAC_SHA1_80

Anforderungen für Secure SIP mit mTLS (mutual TLS)

Die Anforderungen werden hier im Detail erläutert.

Für eine erfolgreiche Autorisierung und Authentifizierung von Anrufen vom Trunk ist ein signiertes Zertifikat erforderlich. Das Zertifikat muss die folgenden Anforderungen erfüllen:

  • Das Zertifikat muss von einer in Welche Stammzertifizierungsstellen werden für Anrufe an Cisco Webex Audio- und Videoplattformen unterstützt? genannten Zertifizierungsstelle signiert sein.

  • Laden Sie das unter Welche Stammzertifizierungsstellen werden für Anrufe an Cisco Webex Audio- und Videoplattformen unterstützt? erwähnte Vertrauenspaket auf den CUBE hoch.

  • Das Zertifikat muss immer gültig sein:

    • Signierte Zertifikate müssen immer ein gültiges Ablaufdatum haben.

    • Stamm- oder Zwischenzertifikate müssen ein gültiges Ablaufdatum haben und dürfen nicht widerrufen werden.

    • Zertifikate müssen für die Client- und Servernutzung signiert sein.

    • Zertifikate müssen den vollständigen Domänennamen (FQDN) als allgemeinen Namen (Common Name, CN) oder alternativen Antragstellernamen (Subject Alternate Name, SAN) im Zertifikat enthalten, und der FQDN muss im Control Hub ausgewählt sein. Beispiel:

      • Ein Trunk, der über den Control Hub Ihrer Organisation mit dem FQDN „london.lgw.cisco.com:5061“ konfiguriert wurde, muss „london.lgw.cisco.com“ im CN oder SAN des Zertifikats enthalten.

      • Ein Trunk, der über den Control Hub Ihrer Organisation mit dem SRV „london.lgw.cisco.com“ konfiguriert wurde, muss „london.lgw.cisco.com“ im CN oder SAN des Zertifikats enthalten. Die Datensätze, in die die SRV-Adresse aufgelöst wird (CNAME/A-Datensatz/IP-Adresse), sind im SAN optional.

    • Sie können Zertifikate mit mehr als einem lokalen Gateway teilen. Stellen Sie jedoch sicher, dass die FQDN-Anforderungen erfüllt sind.

Nicht enthalten

Die folgenden Informationen zur Netzwerksicherheit sind in diesem Artikel nicht enthalten:

  • F5-Anforderungen für Zertifizierungsstelle und Verschlüsselungen

  • Eine HTTP-basierte API zum Herunterladen von Firewall-Regeln für Webex

  • API für ein vertrauenswürdiges Paket

  • Firewall-Anforderung und ALG-Deaktivierung