Tämä artikkeli on tarkoitettu verkonvalvojille, erityisesti palomuurin ja välityspalvelimen suojauksen järjestelmänvalvojille, jotka haluavat käyttää Webex-puheluita organisaatiossaan.
Jos haluat tietää palomuuri- ja käyttövaatimusten portin viitetiedot, katso Portin viitetiedot Cisco Webex -puheluita varten.
Päätepisteiden vaatimukset
Webex Calling Edge
Suorita SIP-rekisteröinti tai puhelu suorittamalla nämä vaiheet:
Löydä aktiivisten Edge-solmujen SIP-päätepisteen isäntäosoite.
Täytä kaikki käyttäjän ja laitteen määritykseen liittyvät ennakkoehdot.
Varmista, että päätepisteellä on julkinen verkkoyhteys palvelun etsinnän aloittamiseksi.
Täydennä päätepisteen käynnistyksen edellytykset alue- tai palvelinkeskuskohtaisella hallintakokoonpanolla. Tämä kokoonpano auttaa saamaan asianmukaisen toimialueen nimen jälkiliitteen palvelun etsintää varten.
IPv4 vs. IPv6
Laitteet voivat toimia yhden version tai kahden pinon tilassa. Se on kokoonpano, joka määrittää muutokset ensisijaiseen protokollaan, eivätkä nämä muutokset ole osa palvelun löytämistä.
Yhden pinon tila – ottaa käyttöön vain yhden IP-protokollan (esimerkiksi IPv4) ja jättää huomioimatta muut protokollaosoitteet.
Kaksoispinotila—valitsee ensisijaisen IP-version määrittämällä.
Asiakas pitää kaikkien ensisijaisten osoitteiden prioriteettia alhaisempana (eli ensisijaisena) kuin kaikkien IP-osoitteiden. Jos IPv4 on parempi, kaikki IPv4-osoitteet yritetään ennen IPv6-osoitetta. Jos kaikki osoitteet epäonnistuvat, sykli alkaa uudelleen alhaisimman prioriteetin ensisijaisella protokollaosoitteella.
Push-ilmoituksen saatuaan rekisteröityvä mobiiliasiakas voi päättää optimoida tilan aikaisempien rekisteröitymisten perusteella.
Isäntäosoitteen erottelu DNS SRV -osoitteesta
Päätepisteen määritystiedostossa, joka on hankittu valmistelusta, toimialueen ilmaisin määrittää toimialueen nimen pääsyreunapalvelun löytämiseksi. Esimerkki verkkotunnuksen nimestä on:
wxc.edge.bcld.webex.comEsimerkistä päätepiste, joka suorittaa DNS SRV -haun tälle toimialueelle, voi antaa seuraavanlaisen vastauksen:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com
_sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com.
_sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
Tässä tapauksessa SRV-tietue osoittaa 3 A-tietuetta.
sip-edge1.us-dc1.bcld.webex.com
sip-edge2.us-dc1.bcld.webex.com
Esimerkissä kaikkien isäntien mainostetaan ottavan yhteyttä porttiin 5061 eri painolla ja prioriteetilla.
Harkitse näitä päätepisteitä koskevia vaatimuksia.
Päätepistettä on käytettävä
_sips._tcp(palvelu & protokollayhdistelmä) etuliitteenä DNS SRV -haun suorittamiseksi isäntäosoitteen saamiseksi TLS-pohjaisen viestinnän aloittamista varten.Päätepisteen on suoritettava DNS SRV -haku kohdassa selitetyille olosuhteille Isäntäosoitteen erottelu DNS SRV -osoitteesta osio.
Päätepisteen on kunnioitettava isäntää, porttia, painoa ja prioriteettia kunkin isäntäosoitteen kohdalla. Sen on myös luotava isäntä-affiniteetti porttiin luodessaan socket-yhteyttä SIP-rekisteröinnin aikana.
DNS SRV -tietueen käyttöön liittyvät isäntien valintakriteerit prioriteetin ja painon perusteella selitetään RFC 2782:ssa.
SIP:n ja median vaatimukset
Vaatimus |
Kuvaus |
|---|---|
Julkisen avaimen salaukseen tarvitaan luottamussertifikaatti |
Viitata artikla, tietääksesi Webex-varmenteiden allekirjoitusvaltuudet ja laitteissa vaadittava päävarmentaja |
TLS-versio tuettu suojatulle SIP:lle |
TLS 1.2 |
TLS-salaukset tuetut suojattua SIP:tä varten |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
Suojatun median SRTP-avaimia tuetaan |
AES_CM_128_HMAC_SHA1_80 |
Vaatimukset suojatulle SIP:lle mTLS:llä (keskinäinen TLS)
Vaatimukset on selitetty yksityiskohtaisesti täällä.
Allekirjoitettu varmenne tarvitaan kaukopuheluiden onnistuneeseen valtuutukseen ja todentamiseen. Sertifikaatin tulee täyttää seuraavat vaatimukset:
Varmenteen on oltava kohdassa mainitun CA:n allekirjoittama Mitä juurivarmenneviranomaisia tuetaan puheluissa Cisco Webexin ääni- ja videoalustoille?
Lataa kohdassa mainittu luottamuspaketti Mitä juurivarmenneviranomaisia tuetaan puheluissa Cisco Webexin ääni- ja videoalustoille? CUBE:lle.
Varmenteen tulee olla aina voimassa:
Allekirjoitetuilla varmenteilla on aina oltava voimassa oleva voimassaoloaika.
Juuri- tai välivarmenteilla on oltava voimassa oleva voimassaoloaika, eikä niitä saa peruuttaa.
Varmenteet tulee allekirjoittaa asiakkaan ja palvelimen käyttöä varten.
Varmenteiden on sisällettävä Fully Qualified Domain Name (FQDN) yleisenä nimenä tai aiheen vaihtoehtoisena nimenä varmenteessa Control Hubissa valitun FQDN:n kanssa. Esimerkiksi:
Runko, joka on määritetty organisaatiosi ohjauskeskuksesta london.lgw.cisco.com:5061 koska FQDN:n täytyy sisältää london.lgw.cisco.com varmenteessa CN tai SAN.
Runko, joka on määritetty organisaatiosi ohjauskeskuksesta london.lgw.cisco.com oli SRV:n oltava london.lgw.cisco.com varmenteessa CN tai SAN. Tietueet, jotka SRV-osoite ratkaisee (CNAME/A-tietue/IP-osoite), ovat valinnaisia SAN:ssa.
Voit jakaa varmenteita useamman kuin yhden paikallisen yhdyskäytävän kanssa, mutta varmista kuitenkin, että FQDN-vaatimukset täyttyvät.
Soveltamisalan ulkopuolella
Tämä artikkeli ei sisällä seuraavia verkon turvallisuuteen liittyviä tietoja:
F5-vaatimukset CA:lle ja salakirjoituksille
HTTP-pohjainen API palomuurisääntöjen lataamiseen Webexille.
Luottamuspaketin API
Palomuurivaatimus ja ALG:n poisto
