Referentne informacije o ulazima za zahtjeve po pitanju vatrozida i pristupa potražite u odjeljku Referentne informacije o ulazima za Cisco Webex Calling.

Zahtjevi za krajnje točke

Webex Calling Edge

Za obavljanje SIP registracije ili poziva izvršite sljedeće korake:

  • Za aktivne Edge čvorove otkrijte adresu glavnog računala krajnje točke za SIP.

  • Ispunite sve preduvjete vezane uz korisnika i konfiguraciju uređaja.

  • Kako biste započeli otkrivanje usluge, provjerite je li krajnja točka povezana s javnom mrežom.

  • Dovršite preduvjete za samopokretanje krajnje točke s konfiguracijom omogućavanja specifičnom za regiju ili podatkovni centar. Ova konfiguracija pomaže pri dobivanju relevantnog sufiksa naziva domene za otkrivanje usluge.

IPv4 u odnosu na IPv6

Uređaji mogu raditi u načinu rada s jednom verzijom ili dvostrukim stogovima. To je konfiguracija koja određuje promjene preferiranog protokola, pri čemu te promjene nisu dio otkrivanja usluge.

  • Način rada s jednim stogom – omogućuje samo jedan IP protokol (na primjer, IPv4), zanemarujući druge adrese protokola.

  • Način rada s dvostrukim stogovima – odabire željenu IP verziju kroz konfiguraciju.

Klijent smatra kako je prioritet za sve preferirane adrese niži (preferirani) u odnosu na sve adrese IP-a. Ako je IPv4 preferiran, isprobat će se sve IPv4 adrese prije pokušaja upotrebe IPv6 adrese. Ako nijedna adresa ne uspije, ciklus će započeti ponovno s preferiranom adresom protokola najnižeg prioriteta.

Mobilni klijent koji se registrira nakon primitka push obavijesti može odlučiti optimizirati način rada na temelju prethodnih registracija.

Razrješavanje adrese glavnog računala iz adrese DNS SRV-a

U konfiguracijskoj datoteci krajnje točke dobivenoj omogućavanjem, indikator domene definira naziv domene za otkrivanje pristupne rubne usluge. Primjer naziva domene je:

wxc.edge.bcld.webex.com

Iz tog primjera, krajnja točka koja izvodi DNS SRV traženje za ovu domenu može ponuditi odgovor poput sljedećega:


# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com
_sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com.
_sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.

U tom slučaju, SRV zapis upućuje na 3 A zapise.


sip-edge1.us-dc1.bcld.webex.com
sip-edge2.us-dc1.bcld.webex.com

U primjeru su sva glavna računala oglašena za kontaktni ulaz 5061 s različitim ponderom i prioritetom.

Razmotrite ove zahtjeve za krajnje točke.

  • Krajnja točka mora upotrebljavati _sips._tcp(kombinacija usluge i protokola) kao prefiks za izvođenje DNS SRV pretraživanja radi dobivanja adrese glavnog računala za pokretanje komunikacije temeljene na TLS-u.

  • Krajnja točka mora izvršiti DNS SRV pretragu za uvjete objašnjene u odjeljku Razrješavanje adrese glavnog računala iz adrese DNS SRV-a.

  • Krajnja točka mora poštovati glavno računalo, ulaz, ponder i prioritet, kao što je oglašeno za svaku adresu glavnog računala. Osim toga, pri stvaranju socket protokola tijekom SIP registracije mora stvoriti priključak glavnog računala prema ulazu.

  • Specifično za upotrebu DNS SRV zapisa, kriteriji odabira glavnih računala temeljem prioriteta i pondera objašnjeni su pod RFC 2782.

Zahtjevi za SIP i medije

Uvjet

Opis

Za šifriranje javnog ključa potreban je certifikat vjerodajnica

Provjerite članak kako biste saznali više o ovlaštenom tijelu za potpisivanje Webex certifikata i korijenskom CA koji je potreban na uređajima

Podržana TLS verzija za sigurni SIP

TLS 1.2

Podržane TLS šifre za sigurni SIP

TLS_ECDHE_RSA_I_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_I_AES_128_GCM_SHA256

TLS_ECDHE_RSA_I_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_I_AES_128_CBC_SHA256

TLS_DHE_DSS_I_AES_128_GCM_SHA256

TLS_DHE_RSA_I_AES_128_GCM_SHA256

TLS_DHE_RSA_I_AES_128_CBC_SHA256

TLS_DHE_DSS_I_AES_128_CBC_SHA256

TLS_ECDH_RSA_I_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_I_AES_128_GCM_SHA256

TLS_ECDH_RSA_I_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_I_AES_128_CBC_SHA256

SRTP ključevi podržani za sigurne medije

AES_CM_128_HMAC_SHA1_80

Zahtjevi za sigurni SIP s mTLS-om (uzajamni TLS)

Zahtjevi su detaljno objašnjeni ovdje.

Za uspješnu autorizaciju i provjeru autentičnosti poziva iz grupiranja potreban je potpisani certifikat. Certifikat mora ispunjavati sljedeće zahtjeve:

  • Certifikat mora biti potpisan od strane CA koji je naveden u odjeljku Koja su ovlaštena tijela za izdavanje korijenskog certifikata podržana za pozive na Cisco Webex audio i video platforme?

  • Prenesite paket pouzdanosti koji je naveden u odjeljku Koja su ovlaštena tijela za izdavanje korijenskog certifikata podržana za pozive na Cisco Webex zvučne i video platforme? u CUBE.

  • Certifikat uvijek mora biti valjan:

    • Potpisani certifikati uvijek moraju imati valjani rok trajanja.

    • Korijenski ili srednji certifikati moraju imati valjani rok trajanja i ne smijete ih opozvati.

    • Certifikati moraju biti potpisani za upotrebu od strane klijenta i poslužitelja.

    • Certifikati moraju sadržavati potpuno kvalificirani naziv domene (FQDN) kao uobičajeno ime ili zamjensko ime subjekta u certifikatu s FQDN-om odabranim u okruženju Control Hub. Na primjer:

      • Grupiranje konfigurirano u okruženju Control Hub vaše organizacije uz london.lgw.cisco.com:5061 kao FQDN-om mora sadržavati london.lgw.cisco.com u CN-u ili SAN-u certifikata.

      • Grupiranje konfigurirano iz okruženja Control Hub vaše organizacije uz london.lgw.cisco.com kao SRV mora sadržavati london.lgw.cisco.com u CN-u ili SAN-u certifikata. Zapisi na koje se SRV adresa razrješava (CNAME/A zapis/ IP adresa) nisu obavezni u SAN-u.

    • Certifikate možete dijeliti s većim brojem lokalnih pristupnika, međutim, provjerite jesu li zahtjevi FQDN-a zadovoljeni.

Izvan djelokruga

Ovaj članak ne uključuje sljedeće informacije vezane za mrežnu sigurnost:

  • F5 zahtjevi za CA i šifre

  • API koji se temelji na HTTP-u za preuzimanje pravila vatrozida za Webex.

  • API za paket pouzdanosti

  • Zahtjevi po pitanju vatrozida i onemogućavanja ALG-a