למידע עזר על יציאות עבור דרישות חומת האש והגישה, ראה מידע עזר לגבי יציאות עבור Cisco Webex Calling.

דרישות עבור נקודות קצה

Webex Calling Edge

כדי לבצע רישום SIP או שיחה, בצע את השלבים הבאים:

  • גלה את כתובת המארח של נקודת הקצה של SIP עבור צמתי Edge פעילים.

  • השלם את כל התנאים המוקדמים הקשורים לתצורת המשתמש והמכשיר.

  • ודא שלנקודת הקצה יש קישוריות רשת ציבורית כדי להתחיל בגילוי השירות.

  • השלם את התנאים המוקדמים של אתחול נקודת הקצה עם תצורת הקצאה ספציפית לאזור או למרכז נתונים. תצורה זו עוזרת לקבל את סיומת שם הדומיין הרלוונטית לגילוי השירות.

IPv4 לעומת IPv6

מכשירים יכולים לפעול במצב גרסה אחת או ערימה כפולה. התצורה היא זו שקובעת את השינויים בפרוטוקול המועדף ושינויים אלה אינם חלק מגילוי השירות.

  • מצב ערימה יחידה – מאפשר פרוטוקול IP אחד בלבד (לדוגמה, IPv4) ומתעלם מכתובות הפרוטוקול האחרות.

  • מצב ערימה כפולה – בוחר גרסת IP מועדפת באמצעות תצורה.

הלקוח מחשיב את העדיפות של כל הכתובות המועדפות כנמוכה (כלומר, מועדפת) מכל כתובות ה-IP. אם IPv4 מועדף, המערכת מנסה את כל כתובות ה-IPv4 לפני שהיא מנסה את כתובת IPv6. אם כל הכתובות נכשלות, המחזור מתחיל שוב עם כתובת הפרוטוקול המתועדפת בעדיפות הנמוכה ביותר.

לקוח נייד שנרשם בעת קבלת הודעת דחיפה יכול להחליט למטב את המצב בהתבסס על רישומים קודמות.

זיהוי כתובת המארח מכתובת ה-DNS SRV

בקובץ התצורה של נקודת הקצה המתקבל מהקצאה, מחוון הדומיין מציין את שם הדומיין כדי לגלות את שירות הקצה לגישה. דוגמה לשם הדומיין:

wxc.edge.bcld.webex.com

בדוגמה זו, נקודת הקצה שמבצעת בדיקת מידע של DNS SRV עבור דומיין זה עשויה לייצר תגובה דומה לזו:


# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com
_sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com.
_sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.

במקרה זה, רשומת ה-SRV מצביעה ל-3 רשומות A.


sip-edge1.us-dc1.bcld.webex.com
sip-edge2.us-dc1.bcld.webex.com

בדוגמה זו, כל המארחים מתחברים ליציאה 5061 עם נתוני משקל ועדיפות שונים.

שקול את הדרישות הללו עבור נקודות קצה.

  • נקודת קצה חייבת להשתמש ברכיב _sips._tcp(שילוב של שירות ופרוטוקול) כקידומת לביצוע בדיקת מידע של DNS SRV, לקבלת כתובת מארח שתשמש להתחלת תקשורת מבוססת TLS.

  • נקודת הקצה חייבת לבצע בדיקת מידע של DNS SRV עבור התנאים המפורטים בסעיף זיהוי כתובת המארח מכתובת DNS SR.

  • נקודת הקצה חייבת לכבד את המארח, היציאה, המשקל והעדיפות כפי שפורסמו עבור כל אחת מכתובות המארח. כמו כן, עליה ליצור זיקה של מארח ליציאה בעת יצירת חיבור שקע במהלך רישום SIP.

  • ספציפית לשימוש ברשומת DNS SRV, הסבר על קריטריוני הבחירה של מארחים על סמך עדיפות ומשקל מופיע ב-RFC 2782.

דרישות עבור SIP ומדיה

דרישה

תיאור

נדרשת תעודת אמון להצפנת מפתח ציבורי

עיין במאמר לקבלת מידע על רשות החתימה של תעודות Webex ו-Root CA הנדרשת במכשירים

גרסת TLS נתמכת עבור SIP מאובטח

TLS 1.2

צפני TLS נתמכים עבור SIP מאובטח

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

מפתחות SRTP נתמכים עבור מדיה מאובטחת

AES_CM_128_HMAC_SHA1_80

דרישות ל-SIP מאובטח עם mTLS (TLS הדדי)

הדרישות מוסברות כאן בפירוט.

נדרשת תעודה חתומה להרשאה ולאימות מוצלחים של שיחות מה-Trunk. התעודה חייבת לעמוד בדרישות הבאות:

מחוץ לתחום

מאמר זה לא כולל את המידע הבא הקשור לאבטחת רשת:

  • דרישות F5 עבור CA וצפנים

  • API מבוסס HTTP להורדת כללי חומת האש עבור Webex.

  • API עבור חבילת אמון

  • דרישת חומת אש והשבתת ALG