Loppupisteitä koskevat vaatimukset

Webex Calling Edge

Suorita SIP-rekisteröinti tai -puhelu suorittamalla seuraavat vaiheet:

  • Selvitä aktiivisten Edge-solmujen SIP-päätepisteen isäntäosoite.

  • Suorita kaikki käyttäjän ja laitteen määritykseen liittyvät ennakkoehdot.

  • Varmista, että päätepisteellä on julkinen verkkoyhteys, jotta palvelun etsiminen voidaan aloittaa.

  • Täytä päätepisteen käynnistyksen edellytykset alue- tai datakeskuskohtaisella käyttöönottoasetuksella. Tämä määritys auttaa saamaan asiaankuuluvan verkkotunnuksen päätteen palveluhakua varten.

IPv4 vs. IPv6

Laitteet voivat toimia yksiversio- tai kaksoispinoamistilassa. Suositeltavan protokollan muutokset määräytyvät konfiguroinnin perusteella, eivätkä nämä muutokset ole osa palveluhakua.

  • Single-stack-tila - ottaa käyttöön vain yhden IP-protokollan (esimerkiksi IPv4) ja jättää muut protokollaosoitteet huomiotta.

  • Dual-stack-tila - valitsee ensisijaisen IP-version konfiguroinnin avulla.

Asiakas pitää kaikkien ensisijaisten osoitteiden prioriteettia alhaisempana (eli ensisijaisena) kuin kaikkien IP-osoitteiden prioriteettia. Jos IPv4 on ensisijainen, kaikkia IPv4-osoitteita yritetään käyttää ennen IPv6-osoitteen yrittämistä. Jos kaikki osoitteet epäonnistuvat, sykli alkaa uudelleen alhaisimman prioriteetin ensisijaisesta protokollaosoitteesta.

Mobiiliasiakas, joka rekisteröityy push-ilmoituksen saatuaan, voi päättää optimoida tilan aiempien rekisteröintien perusteella.

Isäntäosoitteen resoluutio DNS SRV-osoitteesta

Käyttöönotosta saadussa päätepisteen konfigurointitiedostossa toimialue-ilmaisin määrittää toimialueen nimen, jonka perusteella reunapalvelu löydetään. Esimerkki verkkotunnuksesta on:

wxc.edge.bcld.webex.com

Esimerkin perusteella päätepiste, joka suorittaa DNS SRV -hakua tälle verkkotunnukselle, voi saada seuraavan kaltaisen vastauksen:

 # nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com. 

Tässä tapauksessa SRV-tietue osoittaa 3 A-tietueeseen.

 sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com 

Esimerkissä kaikille isännille mainostetaan yhteydenottoa porttiin 5061 eri painolla ja prioriteetilla.

Ota huomioon nämä päätepisteitä koskevat vaatimukset.

  • Päätepisteen on käytettävä _sips._tcp (palvelun ja protokollan yhdistelmä) etuliitettä DNS SRV -hakua varten saadakseen isäntäosoitteen TLS-pohjaisen viestinnän aloittamista varten.

  • Päätepisteen on suoritettava DNS SRV -hakutoiminto DNS SRV -osoitteesta isäntäosoitteen määrittäminen -osiossa selostettujen ehtojen mukaisesti.

  • Päätepisteen on kunnioitettava hostia, porttia, painoa ja prioriteettia, jotka mainostetaan kullekin host-osoitteelle. Lisäksi sen on luotava isäntäportin ja portin välinen yhteys, kun se luo socket-yhteyttä SIP-rekisteröinnin aikana.

  • DNS SRV-tietueen käytön osalta isäntien valintakriteerit prioriteetin ja painon perusteella selitetään RFC 2782:ssa.

SIP:n ja median vaatimukset

Vaatimus

Kuvaus

Julkisen avaimen salaukseen tarvittava luotettavuusvarmenne

Lisätietoja Webex-varmenteiden allekirjoitusviranomaisesta ja laitteisiin vaadittavasta Root CA:sta on osoitteessa artikkelissa.

TLS-versio, jota tuetaan suojatussa SIP:ssä

TLS 1.2

TLS-salauksia tuetaan turvalliseen SIP:iin

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

SRTP-avaimet tuetaan suojattua mediaa varten

AES_CM_128_HMAC_SHA1_80

Turvallisen SIP:n vaatimukset mTLS:llä (keskinäinen TLS)

Vaatimukset selitetään yksityiskohtaisesti tässä.

Allekirjoitettu varmenne tarvitaan, jotta puhelujen valtuutus ja todennus onnistuu runkoverkosta. Todistuksen on täytettävä seuraavat vaatimukset:

  • Varmenteen on oltava osoitteessa mainitun varmentajan allekirjoittama. Mitä juurivarmenteiden myöntäjiä tuetaan puheluissa Cisco Webexin audio- ja videoalustoille?

  • Lataa osoitteessa What Root Certificate Authorities are Supported for Calls to Cisco Webex Audio and Video Platforms?mainittu luottamuspaketti CUBEen.

  • Varmenteen on oltava aina voimassa:

    • Allekirjoitetuilla varmenteilla on aina oltava voimassa oleva voimassaoloaika.

    • Juuri- tai välivarmenteilla on oltava voimassaoloaika, eikä niitä saa peruuttaa.

    • Varmenteet on allekirjoitettava asiakkaan ja palvelimen käyttöä varten.

    • Varmenteiden on sisällettävä FQDN (Fully Qualified Domain Name) yleisenä nimenä tai varmenteen aiheen vaihtoehtoisina niminä, ja FQDN on valittava Control Hubissa. Esimerkiksi:

      • Organisaatiosi ohjauskeskuksesta konfiguroidun runkoverkon, jonka FQDN on london.lgw.cisco.com:5061, on sisällettävä varmenteen CN- tai SAN-osassa london.lgw.cisco.com.

      • Organisaatiosi ohjauskeskuksesta konfiguroidun runkoverkon, jonka SRV-osoite on london.lgw.cisco.com, on sisällettävä london.lgw.cisco.com varmenteen CN- tai SAN-osoitteessa. Tietueet, joihin SRV-osoite ratkaisee (CNAME/A-tietue/IP-osoite), ovat SAN:ssa valinnaisia.

    • Voit jakaa varmenteita useamman kuin yhden paikallisen yhdyskäytävän kanssa, mutta varmista, että FQDN-vaatimukset täyttyvät.

Toiminnan ulkopuolelle

Tämä artikkeli ei sisällä seuraavia verkkoturvallisuuteen liittyviä tietoja:

  • F5:n vaatimukset CA:lle ja salakirjoituksille

  • HTTP-pohjainen API Webexin palomuurisääntöjen lataamiseen.

  • API luottamuspakettia varten

  • Palomuurivaatimus ja ALG:n poistaminen käytöstä