엔드포인트에 대한 요구 사항

Webex Calling Edge

SIP 등록 또는 통화를 실행하려면 다음 단계를 완료하십시오.

  • 활동 중인 Edge 노드에 대한 SIP 엔드포인트의 호스트 주소를 검색합니다.

  • 사용자 및 장치 구성과 관련된 전제 조건을 완료합니다.

  • 서비스 검색을 시작하려면 엔드포인트에 공용 네트워크 연결이 있는지 확인합니다.

  • 지역 또는 데이터센터별 프로비저닝 구성을 사용하여 엔드포인트 부트스트랩의 전제 조건을 완료합니다. 이 구성은 서비스 검색에 대한 관련 도메인 이름 서픽스를 얻는 데 도움이 됩니다.

IPv4 대 IPv6

장치는 싱글 버전 또는 듀얼 스택 모드에서 작동할 수 있습니다. 구성은 선호하는 프로토콜에 대한 변경 사항을 결정하며, 이러한 변경 사항은 서비스 검색의 일부가 아닙니다.

  • 싱글 스택 모드—하나의 IP 프로토콜(예: IPv4)만 활성화하고 다른 프로토콜 주소는 무시합니다.

  • 듀얼 스택 모드—구성을 통해 선호하는 IP 버전을 선택합니다.

클라이언트는 모든 기본 설정 주소에 대한 우선순위를 해당 IP의 모든 주소보다 낮은 우선순위로 간주합니다(즉, 기본 설정). IPv4를 선호하는 경우, IPv6 주소를 시도하기 전에 IPv4 주소를 시도합니다. 모든 주소가 실패하는 경우, 가장 낮은 우선순위의 선호하는 프로토콜 주소부터 주기가 다시 시작됩니다.

푸시 알림을 수신하여 등록하는 모바일 클라이언트는 이전 등록을 기반으로 모드를 최적화하도록 결정할 수 있습니다.

DNS SRV 주소에서 호스트 주소 확인

프로비저닝에서 확보한 엔드포인트 구성 파일에서 도메인 표시기는 도메인 이름을 지정하여 액세스 에지 서비스를 검색합니다. 도메인 이름의 예:

wxc.edge.bcld.webex.com

예제에서 이 도메인에 대해 DNS SRV 조회를 수행하는 엔드포인트는 다음과 유사한 응답을 생성할 수 있습니다.

 # nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com. 

이 경우, SRV 레코드는 3 A 레코드를 가리킵니다.

 sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com 

이 예제에서 모든 호스트는 다른 가중치 및 우선순위를 사용하여 포트 5061에 접속하도록 보급됩니다.

엔드포인트에 대해 다음 요구 사항을 고려하십시오.

  • 엔드포인트는 _sips을(를) 사용해야 합니다._tcp (서비스 및 프로토콜 조합)을 프리픽스로 사용하여 TLS 기반 통신을 시작하기 위한 호스트 주소를 확보하기 위한 DNS SRV 조회를 실행합니다.

  • 엔드포인트는 DNS SRV 주소에서 호스트 주소 확인 섹션에 설명된 조건에 대해 DNS SRV 조회를 수행해야 합니다.

  • 엔드포인트는 각 호스트 주소에 대해 보급된 호스트, 포트, 가중치 및 우선순위를 준수해야 합니다. 또한 SIP 등록 중에 소켓 연결을 만들 때 포트에 대한 호스트의 선호도를 만들어야 합니다.

  • DNS SRV 레코드의 사용과 관련된 우선순위 및 가중치를 기반으로 하는 호스트의 선택 기준은 RFC 2782에 설명되어 있습니다.

SIP 및 미디어에 대한 요구 사항

요구 사항

설명

공개 키 암호화에 필요한 신뢰 인증서

Webex 인증서의 서명 기관 및 장치에서 요구하는 Root CA에 대해 알아보려면 문서를 참조하십시오.

보안 SIP에 대해 지원되는 TLS 버전

TLS 1.2

보안 SIP에 대해 지원되는 TLS 암호

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

보안 미디어에 대해 지원되는 SRTP 키

AES_CM_128_HMAC_SHA1_80

mTLS(상호 TLS)를 사용하는 보안 SIP에 대한 요구 사항

요구 사항은 여기에서 자세히 설명합니다.

트렁크에서 통화를 성공적으로 인증하고 권한을 부여하려면 서명된 인증서가 필요합니다. 인증서는 다음 요구 사항을 충족해야 합니다.

  • 해당 인증서는 Cisco Webex 오디오 및 비디오 플랫폼으로의 통화에 대해 어떤 루트 인증 기관이 지원됩니까?에서 언급한 CA에서 서명해야 합니다.

  • Cisco Webex 오디오 및 비디오 플랫폼으로의 통화에 대해 어떤 루트 인증 기관이 지원됩니까?에서 언급한 신뢰 번들을 CUBE에 업로드합니다.

  • 인증서는 항상 유효해야 합니다.

    • 서명된 인증서에는 항상 유효한 만료일이 있어야 합니다.

    • 루트 또는 중간 인증서에는 유효한 만료일이 있어야 하며 해지되지 않아야 합니다.

    • 인증서는 클라이언트 및 서버 사용을 위해 서명되어야 합니다.

    • 인증서에는 정규화된 도메인 이름(FQDN)이 Control Hub에서 FQDN이 선택된 인증서의 일반 이름 또는 주체 대체 이름으로 포함되어야 합니다. 예:

      • 조직의 Control Hub에서 FQDN으로 london.lgw.cisco.com:5061을 사용한 트렁크는 london.lgw.cisco.com을 인증서 CN 또는 SAN에 포함해야 합니다.

      • 조직의 Control Hub에서 SRV로 london.lgw.cisco.com을 사용한 트렁크는  london.lgw.cisco.com을 인증서 CN 또는 SAN에 포함해야 합니다. SRV 주소가 (CNAME/A 레코드/ IP 주소)를 확인하는 레코드는 SAN에서 선택 사항입니다.

    • 두 개 이상의 로컬 게이트웨이와 인증서를 공유할 수 있지만 FQDN 요구 사항이 충족되는지 확인하십시오.

범위 외

이 문서에는 네트워크 보안과 관련된 다음 정보가 포함되지 않습니다.

  • CA 및 암호에 대한 F5 요구 사항

  • Webex에 대한 방화벽 규칙을 다운로드하기 위한 HTTP 기반 API.

  • 트러스트 번들에 대한 API

  • 방화벽 요구 사항 및 ALG 비활성화