Päätepisteitä koskevat vaatimukset

Webex Calling Edge

Suorittaaksesi SIP-rekisteröinnin tai -puhelun, suorita seuraavat vaiheet:

  • Selvitä aktiivisten Edge-solmujen SIP-päätepisteen isäntäosoite.

  • Täytä kaikki käyttäjä- ja laitemäärityksiin liittyvät ennakkoehdot.

  • Varmista, että päätepisteellä on julkinen verkkoyhteys, jotta palvelun etsintä voidaan aloittaa.

  • Täydennä päätepisteen käynnistyksen edellytykset alue- tai datakeskuskohtaisella valmistelukokoonpanolla. Tämä määritys auttaa hankkimaan asianmukaisen verkkotunnuspäätteen palvelun etsintää varten.

IPv4 vs. IPv6

Laitteet voivat toimia yksiversioisena tai kaksoispinotilassa. Sen kokoonpano määrittää ensisijaisen protokollan muutokset, eivätkä nämä muutokset ole osa palvelun etsintää.

  • Yhden pinon tila – ottaa käyttöön vain yhden IP-protokollan (esimerkiksi IPv4) ja jättää muiden protokollaosoitteiden huomiotta.

  • Kaksoispinotila – valitsee halutun IP-version konfiguroinnin kautta.

Asiakas pitää kaikkien ensisijaisten osoitteiden prioriteettia alhaisempana (eli ensisijaisena) kuin kaikkien IP-osoitteen osoitteiden. Jos IPv4 on ensisijainen vaihtoehto, yritetään kaikkia IPv4-osoitteita ennen IPv6-osoitteen yrittämistä. Jos kaikki osoitteet epäonnistuvat, sykli alkaa alusta alhaisimman prioriteetin omaavalla ensisijaisella protokollaosoitteella.

Mobiiliasiakas, joka rekisteröityy push-ilmoituksen saatuaan, voi optimoida tilan aiempien rekisteröintien perusteella.

Isäntäosoitteen selvittäminen DNS SRV -osoitteesta

Valmistelun yhteydessä saadussa päätepisteen määritystiedostossa verkkotunnusindikaattori määrittää verkkotunnuksen, jolla käyttöreunapalvelu löydetään. Esimerkki verkkotunnuksesta on:

wxc.edge.bcld.webex.com

Esimerkissä päätepiste, joka suorittaa DNS SRV -haun tälle verkkotunnukselle, voi tuottaa seuraavanlaisen vastauksen:


# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com
_sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com.
_sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.

Tässä tapauksessa SRV-tietue viittaa kolmeen A-tietueeseen.


sip-edge1.us-dc1.bcld.webex.com
sip-edge2.us-dc1.bcld.webex.com

Esimerkissä kaikille isännille ilmoitetaan yhteyden ottavan porttiin 5061 eri painotuksella ja prioriteetilla.

Ota huomioon nämä päätepisteiden vaatimukset.

  • Päätepisteen on käytettävä _sips._tcp (palvelu & protokollayhdistelmää) etuliitteenä DNS SRV -haun suorittamiseksi isäntäosoitteen hankkimiseksi TLS-pohjaisen tietoliikenteen aloittamista varten.

  • Päätepisteen on tehtävä DNS SRV -haku Isäntäosoitteen selvitys DNS SRV -osoitteesta -osiossa selitettyjen ehtojen mukaisesti.

  • Päätepisteen on kunnioitettava isäntää, porttia ja painoa & prioriteetti, kuten jokaiselle isäntäosoitteelle ilmoitettiin. Sen on myös luotava isännän ja portin välinen affiniteetti, kun SIP-rekisteröinnin aikana luodaan sokettiyhteys.

  • DNS SRV -tietueen käyttöön liittyvät isäntien valintakriteerit prioriteetin perusteella & Paino on selitetty RFC 2782:ssa.

SIP- ja mediavaatimukset

Vaatimus

Kuvaus

Julkisen avaimen salaukseen vaaditaan luottamussertifikaatti

Katso artikkelistalisätietoja Webex-varmenteiden allekirjoitusvaltuuksista ja laitteilla vaadittavista päävarmentajista.

TLS-versio tuettu suojatulle SIP:lle

TLS 1.2 ja TLS 1.3

TLS-salaukset tuettuja suojattua SIP-protokollaa varten

TLS_AES_256_GCM_SHA384

TLS_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

SRTP-avaimet tuettu suojatulle medialle

AES_CM_128_HMAC_SHA1_80

Suojatun SIP-yhteyden vaatimukset mTLS:n (mutual TLS) avulla

Vaatimukset on selitetty yksityiskohtaisesti täällä.

Runkolinjasta soitettujen puheluiden onnistunut valtuutus ja todennus edellyttää allekirjoitettua varmennetta. Todistuksen on täytettävä seuraavat vaatimukset:

  • Varmenteen on oltava sellaisen varmentajan allekirjoittama, joka mainitaan kohdassa Mitä päävarmentajien varmentajia tuetaan puheluissa Cisco Webex Audio and Video -alustoille?

  • Lataa kohdassa Mitä päävarmentajien varmentajia tuetaan Cisco Webex Audio and Video Platforms -puheluissa?mainittu luottamuspaketti CUBEen.

  • Todistuksen tulee olla voimassa aina:

    • Allekirjoitetuilla varmenteilla on aina oltava voimassa oleva voimassaoloaika.

    • Juuri- tai välivarmenteilla on oltava voimassa oleva vanhenemispäivä, eikä niitä saa peruuttaa.

    • Varmenteet on allekirjoitettava sekä asiakas- että palvelinkäyttöä varten.

    • Varmenteiden on sisällettävä täysin hyväksytty verkkotunnusnimi (FQDN) yleisenä nimenä tai varmenteen haltijan vaihtoehtoisena nimenä, ja FQDN on valittava hallintakeskuksessa. Esimerkiksi:

      • Organisaatiosi ohjauskeskuksesta määritetty runko, jossa on london.lgw.cisco.com:5061 koska FQDN-nimen on sisällettävä london.lgw.cisco.com varmenteen CN- tai SAN-nimessä.

      • Organisaatiosi ohjauskeskuksesta london.lgw.cisco.com-osoitteella konfiguroitu runko oli SRV, jonka varmenteen CN- tai SAN-numerossa on oltava london.lgw.cisco.com. SRV-osoitteen ratkaisemat tietueet to (CNAME/A Tietue/IP-osoite) ovat valinnaisia SAN-verkossa.

    • Voit jakaa varmenteita useamman kuin yhden paikallisen yhdyskäytävän kanssa, mutta varmista, että FQDN-vaatimukset täyttyvät.

Poissa soveltuvuusalueelta

Tämä artikkeli ei sisällä seuraavia verkkoturvallisuuteen liittyviä tietoja:

  • F5-vaatimukset varmentajille ja salakirjoille

  • HTTP-pohjainen API Webexin palomuurisääntöjen lataamiseen.

  • Luottamuspaketin API

  • Palomuurin vaatimus & ALG-poikkeavuus