Requisitos para terminales

Webex Calling Edge

Para realizar una inscripción o una llamada SIP, siga estos pasos:

  • Detecte la dirección de host de una terminal SIP para los nodos Edge activos.

  • Complete todas las condiciones previas relacionadas con la configuración del dispositivo y del usuario.

  • Asegúrese de que la terminal tenga conectividad de red pública para iniciar la detección de servicios.

  • Complete las condiciones previas de arranque de la terminal con una configuración de aprovisionamiento específica de la región o del centro de datos. Con esta configuración, se contribuye a obtener el sufijo del nombre del dominio pertinente para la detección de servicios.

IPv4 contra IPv6

Los dispositivos pueden funcionar en modo de pila única o doble. Con la configuración, se determinan los cambios en el protocolo preferido, que no forman parte de la detección de servicios.

  • Modo de pila única: se habilita solo un protocolo IP (por ejemplo, IPv4) y se omiten las otras direcciones de protocolo.

  • Modo de pila doble: se selecciona una versión de IP preferida a través de la configuración.

El cliente considera que la gravedad de todas las direcciones preferidas es menor (es decir, preferida) respecto de todas las direcciones de la IP. Si se prefiere IPv4, se prueban todas las direcciones IPv4 antes de una dirección IPv6. Si todas las direcciones fallan, el ciclo comienza de nuevo con la dirección del protocolo preferida de menor gravedad.

Un cliente móvil que se inscriba cuando recibe una notificación automática puede decidir optimizar el modo en función de las inscripciones anteriores.

Resolución de la dirección de host de la dirección DNS SRV

En el indicador de dominio del archivo de configuración de la terminal, obtenido del aprovisionamiento, se especifica el nombre del dominio para detectar el servicio periférico de acceso. Un ejemplo de nombre del dominio es el siguiente:

wxc.edge.bcld.webex.com

En el ejemplo, desde la terminal en la que se realiza una búsqueda de DNS SRV para este dominio, se puede producir una respuesta similar a esta:

 # nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com. 

En este caso, el registro SRV apunta a registros 3 A.

 sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com 

En el ejemplo, se anuncia que todos los hosts se contacten con el puerto 5061 sobre distintos pesos y niveles de gravedad.

Tenga en cuenta estos requisitos sobre las terminales.

  • Un endpoint debe utilizar _sips._tcp (combinación de servicio y protocolo) como prefijo para realizar una búsqueda DNS SRV con el fin de obtener la dirección de host para iniciar una comunicación basada en TLS.

  • En una terminal, se debe realizar una búsqueda de DNS SRV para las condiciones explicadas en la sección Resolución de la dirección de host de la dirección DNS SRV.

  • En una terminal, se debe respetar el host, el puerto, el peso y la gravedad, como se menciona para cada dirección de host. Además, se debe crear una afinidad de host a puerto al momento de generar una conexión de socket durante la inscripción SIP.

  • Específicamente para el uso del registro DNS SRV, los criterios de selección de hosts basados en la gravedad y el peso se explican en RFC 2782.

Requisitos para SIP y medios

Requisito

Description

Se requiere un certificado de confianza para el cifrado de clave pública

Consulte el siguiente artículo para obtener información sobre la autoridad de firma de los certificados de Webex y la autoridad de certificación (CA, certificate authority) raíz requerida en los dispositivos

Versión de TLS compatible con SIP seguro

TLS 1.2

Cifrados TLS compatibles con SIP seguro

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

Claves SRTP compatibles con medios seguros

AES_CM_128_HMAC_SHA1_80

Requisitos para SIP seguro con mTLS (TLS mutuo)

Los requisitos se explican en detalle aquí.

Se requiere un certificado firmado para obtener una autorización y una autenticación correctas de las llamadas desde el enlace troncal. El certificado debe cumplir con los siguientes requisitos:

  • El certificado debe estar firmado por una CA mencionada en ¿Qué autoridades de certificación raíz se admiten para las llamadas a las plataformas de audio y vídeo Cisco Webex?

  • Cargue en el CUBE el paquete de confianza mencionado en ¿Qué autoridades de certificación raíz son compatibles con las llamadas a las plataformas de audio y vídeo Cisco Webex?.

  • El certificado debe ser válido siempre:

    • Los certificados firmados siempre deben tener una caducidad válida.

    • Los certificados raíz o intermedios deben tener una caducidad válida y no deben revocarse.

    • Los certificados deben estar firmados para uso del cliente y del servidor.

    • Los certificados deben contener el nombre de dominio totalmente calificado (FQDN), como un nombre común o un nombre alternativo del sujeto en el certificado con el FQDN elegido en Control Hub. Por ejemplo:

      • Un enlace troncal configurado desde Control Hub de su organización con london.lgw.cisco.com:5061 como FQDN debe contener london.lgw.cisco.com en el nombre común (CN, common name) o en el nombre alternativo del sujeto (SAN, subject alternate name) del certificado.

      • Un enlace troncal configurado desde Control Hub de su organización con london.lgw.cisco.com como SRV debe contener london.lgw.cisco.com en el CN o en el SAN del certificado. Los registros que la dirección SRV resuelve (Registro de Nombre Canónico [CNAME, Canonical Name Record], registro A o dirección IP) son opcionales en el SAN.

    • Puede compartir certificados con más de una puerta de enlace local; sin embargo, debe asegurarse de que se cumplan los requisitos del FQDN.

Fuera de alcance

En este artículo no se incluye la siguiente información relacionada con la seguridad de la red:

  • Requisitos de F5 para CA y cifrados

  • API basada en HTTP para descargar reglas de firewall para Webex

  • API para un conjunto de confianza

  • Requisito de firewall y deshabilitación de ALG