Configuration requise pour les terminaux

Webex Calling Edge

Pour effectuer un enregistrement ou un appel SIP, procédez comme suit :

  • Recherchez l’adresse hôte d’un terminal SIP pour les nœuds Edge opérationnels.

  • Remplissez toutes les conditions préalables liées à la configuration de l’utilisateur et du périphérique.

  • Vérifiez que le terminal dispose d’une connectivité au réseau public pour lancer la détection des services.

  • Terminez la configuration des conditions préalables d’amorçage du terminal à l’aide d’une configuration de mise à disposition spécifique à la région ou au centre de données. Cette configuration permet d’obtenir le suffixe du nom de domaine approprié pour la détection des services.

IPv4 par rapport à IPv6

Les périphériques peuvent fonctionner en mode simple version ou double pile. La configuration détermine les modifications du protocole préféré et ces modifications ne font pas partie de la détection des services.

  • Mode simple pile–n’active qu’un seul protocole IP (par exemple, IPv4) et ignore les adresses des autres protocoles.

  • Mode double pile–sélectionne une version IP préférée en fonction de la configuration.

Le client considère que la priorité de toutes les adresses préférées est plus faible (c’est-à-dire qu’elles sont préférées) par rapport à toutes les adresses de l’IP. Si le protocole IPv4 est préféré, toutes les adresses IPv4 sont tentées avant de tenter une adresse IPv6. Si toutes les adresses échouent, le cycle recommence avec l’adresse de protocole préférée de priorité la plus basse.

Un client mobile qui s’inscrit à la réception d’une notification push peut décider d’optimiser le mode en fonction des inscriptions précédentes.

Résolution de l’adresse de l’hôte à partir de l’adresse DNS SRV

Dans le fichier de configuration du terminal obtenu lors de la mise à disposition, l’indicateur de domaine spécifie le nom de domaine pour découvrir le service de périphérie d’accès. Voici un exemple de nom de domaine :

wxc.edge.bcld.webex.com

D’après cet exemple, le terminal effectuant une recherche DNS SRV pour ce domaine peut donner une réponse similaire à la suivante :

 # nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.

Dans ce cas, l’enregistrement SRV pointe sur 3 enregistrements A.

 sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com

Dans l’exemple, tous les hôtes sont annoncés pour contacter le port 5061 avec un coefficient et une priorité différents.

Considérez ces conditions requises pour les terminaux.

  • Un point de terminaison doit utiliser _sips._tcp (combinaison de service et de protocole) comme préfixe pour effectuer une recherche DNS SRV pour obtenir l'adresse de l'hôte pour initier une communication basée sur TLS.

  • Un terminal doit effectuer une consultation SRV du DNS pour les conditions expliquées dans la section Résolution de l’adresse de l’hôte à partir de l’adresse DNS SRV.

  • Un terminal doit respecter l’hôte, le port, le coefficient et la priorité tels qu’ils sont annoncés pour chacune des adresses d’hôtes. Il doit également créer une affinité entre l’hôte et le port lors de la création d’une connexion par socket pendant l’enregistrement SIP.

  • En ce qui concerne l’utilisation de l’enregistrement SRV du DNS, les critères de sélection des hôtes basés sur la priorité et l’importance sont expliqués dans la norme RFC 2782.

Configuration requise pour les protocoles SIP et média

Exigences

Description

Certificat de confiance requis pour le chiffrement à clé publique

Consulter l’article , pour connaître l’autorité de signature des certificats Webex et l’autorité de certification racine requise sur les périphériques

Version TLS prise en charge pour le SIP sécurisé

TLS 1.2

Chiffres TLS pris en charge pour le protocole SIP sécurisé

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

Clés SRTP prises en charge pour les médias sécurisés

AES_CM_128_HMAC_SHA1_80

Conditions requise pour le protocole SIP sécurisé avec mTLS (TLS mutuel)

Les conditions requises sont expliquées en détail ici.

Un certificat signé est nécessaire pour une autorisation et une authentification réussies des appels à partir du trunk. Le certificat doit répondre aux conditions suivantes :

  • Le certificat doit être signé par une autorité de certification mentionnée dans Quelles autorités de certification racine sont prises en charge pour les appels vers les plateformes audio et vidéo Cisco Webex ?

  • Téléchargez le bundle de confiance mentionné dans Quelles autorités de certification racine sont prises en charge pour les appels vers les plateformes audio et vidéo Cisco Webex ? sur le CUBE.

  • Le certificat doit toujours être valide :

    • les certificats signés doivent toujours avoir une période d’expiration valide.

    • les certificats racine ou intermédiaires doivent avoir une période d’expiration valide et ne doivent pas être révoqués.

    • les certificats doivent être signés pour une utilisation client et serveur.

    • les certificats doivent contenir le Nom de Domaine Pleinement Qualifié (FQDN) comme nom commun ou nom de substitution de sujet dans le certificat avec le FQDN choisi dans le Control Hub. Par exemple :

      • Un trunk configuré à partir du Control Hub de votre organisation avec london.lgw.cisco.com:5061 comme FDQN doit contenir london.lgw.cisco.com dans le CN ou SAN du certificat.

      • Un trunk configuré à partir du Control Hub de votre organisation avec london.lgw.cisco.com comme SRV doit contenir london.lgw.cisco.com dans le CN ou SAN du certificat. Les enregistrements vers lesquels l’adresse SRV se résout (enregistrement CNAME/A/adresse IP) sont facultatifs dans le SAN.

    • Vous pouvez partager des certificats avec plusieurs passerelles locales, mais assurez-vous que les exigences relatives aux FQDN sont respectées.

Hors du champ d’application

Cet article n’inclut pas les informations suivantes relatives à la sécurité du réseau :

  • Exigences F5 pour CA et Ciphers

  • Une API basée sur HTTP pour télécharger les règles de pare-feu pour Webex.

  • API pour un bundle de confiance

  • Exigences en matière de pare-feu et désactivation d’ALG