ファイアウォールのポート参照情報とアクセス要件については、「Cisco Webex Calling のポート参照情報」を参照してください。

エンドポイントの要件

Webex Calling Edge

SIP 登録または発信を行うには、次の手順を実行します。

  • アクティブな Edge ノードの SIP エンドポイントのホスト アドレスを検出します。

  • ユーザーとデバイスの構成に関する必須条件を満たします。

  • エンドポイントにパブリック ネットワーク へのネットワーク接続があることを確認し、サービス検出を開始します。

  • 地域またはデータセンター固有のプロビジョニング設定を使用して、エンドポイントをブートストラップする必須条件を満たします。 この設定により、サービス検出に使用できる適切なドメイン名のサフィックスを取得できます。

IPv4 と IPv6 の比較

デバイスは、シングル バージョンまたはデュアル スタック モードで動作します。 優先プロトコルへの変更は設定によって決定されるもので、サービス検出の一部ではありません。

  • シングル スタック モード: 1 つの IP プロトコル (例: IPv4) のみを有効にし、他のプロトコル アドレスを無視します。

  • デュアル スタック モード: 設定を通じて優先 IP バージョンを選択します。

クライアントは、すべての優先アドレスの優先度が、その IP のすべてのアドレスより低い (すなわち優先) と見なします。 IPv4 が優先される場合、すべての IPv4 アドレスは IPv6 アドレスより先に試行されます。 すべてのアドレスで障害が発生した場合、最も優先順位の低い優先プロトコル アドレスからサイクルが再開します。

モバイル クライアントはプッシュ通知を受信すると登録され、過去の登録に基づいて最適なモードを選択します。

DNS SRV アドレスからのホスト アドレスの解決

プロビジョニングの際に取得したエンドポイント設定ファイルでは、アクセス エッジ サービスを検出するためのドメイン名がドメイン インジケータによって指定されています。 ドメイン名の例は次のとおりです。

wxc.edge.bcld.webex.com

この例では、このドメインに対して DNS SRV ルックアップを実行するエンドポイントから、以下のような応答がある可能性があります。


# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com
_sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com.
_sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.

この場合、SRV レコードは 3 つの A レコードを示しています。


sip-edge1.us-dc1.bcld.webex.com
sip-edge2.us-dc1.bcld.webex.com

この例では、すべてのホストは異なる重みと優先度でポート 5061 への接続をアドバタイズされます。

エンドポイントの要件は以下のとおりです。

  • エンドポイントは _sips._tcp(サービスとプロトコルの組み合わせ) をプレフィックスとして DNS SRV ルックアップを実行し、TLS ベースの通信を開始するためのホスト アドレスを取得する必要があります。

  • エンドポイントは、DNS SRV アドレスからのホスト アドレスの解決セクションに記載されている条件について DNS SRV ルックアップを実行する必要があります。

  • エンドポイントは、各ホスト アドレスに対してアドバタイズされたホスト、ポート、重み、優先度に従う必要があります。 また、SIP 登録中にソケット接続を作成する場合、ポートに対するホストのアフィニティを作成する必要があります。

  • DNS SRV レコードの使用に固有の、優先度と重みに基づくホストの選択基準については、RFC 2782 で説明されています。

SIP とメディアの要件

要件

説明

公開鍵の暗号化に必要な信頼証明書

Webex 証明書の署名機関およびデバイスに必要な Root CA についての詳細は記事を参照

セキュアな SIP でサポートされる TLS バージョン

TLS 1.2

セキュアな SIP でサポートされる TLS 暗号

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

セキュア メディアでサポートされる SRTP キー

AES_CM_128_HMAC_SHA1_80

mTLS (相互 TLS) を使用したセキュアな SIP の要件

要件の詳細をこちらで説明します。

トランクからのコールの認証には、署名済みの証明書が必要です。 証明書は、以下の要件を満たす必要があります。

  • 証明書には、「Cisco Webex 音声とビデオ プラットフォームへの通話をサポートするルート証明機関は?」に記載されている証明機関の署名が必要です。

  • 「Cisco Webex 音声とビデオ プラットフォームへの通話をサポートするルート証明機関は?」に記載されている信頼バンドルを CUBE にアップロードします。

  • 証明書は、以下のとおり常に有効である必要があります。

    • 署名済み証明書には、有効期限が必要です。

    • ルート証明書または中間証明書には有効期限が必要で、失効したものは使用できません。

    • クライアントとサーバーで使用する証明書には、署名が必要です。

    • 証明書には、Control Hub で選択された完全修飾ドメイン名 (FQDN) を持つ証明書の共通名またはサブジェクト代替名 (SAN) に、FQDN が含まれている必要があります。 以下に例を挙げます。

      • 組織の Control Hub から FQDN が london.lgw.cisco.com:5061 として設定されたトランクでは、証明書の共通名またはサブジェクト代替名に london.lgw.cisco.com が含まれている必要があります。

      • 組織の Control Hub から SRV が london.lgw.cisco.com として設定されたトランクでは、証明書の共通名またはサブジェクト代替名に london.lgw.cisco.com が含まれている必要があります。 SRV アドレスが (CNAME/A レコード/IP アドレス) に解決するレコードは、SAN では任意です。

    • 証明書は複数のローカルゲートウェイと共有できますが、FQDN の要件が満たされていることを確認してください。

範囲外

この記事には、ネットワーク セキュリティに関する以下の情報は含まれていません。

  • CA および暗号に関する F5 の要件

  • HTTP ベースの API による Webex のファイアウォール ルールのダウンロード

  • 信頼バンドルの API

  • ファイアウォールの要件および ALG 無効化