Krav til endepunkter

Webex Calling Edge

Følg denne fremgangsmåten for å utføre en SIP-registrering eller et anrop:

  • Oppdag vertsadressen til et SIP-endepunkt for aktive Edge-noder.

  • Fullfør eventuelle forutsetninger relatert til bruker- og enhetskonfigurasjon.

  • Kontroller at endepunktet har offentlig nettverkstilkobling for å starte tjenesteoppdaging.

  • Fullfør forutsetningene for oppstart av endepunktet med en regions- eller datasenterspesifikk klargjøringskonfigurasjon. Denne konfigurasjonen hjelper deg med å hente det relevante domenenavn for tjenesteoppdaging.

IPv4 versus IPv6

Enheter kan operere i enversjons- eller dobbelstabelmodus. Det er konfigurasjonen som bestemmer endringene i den foretrukne protokollen, og disse endringene er ikke en del av tjenesteoppdaging.

  • Enkeltstabelmodus – aktiverer bare én IP-protokoll (for eksempel IPv4) og ignorerer de andre protokolladressene.

  • Dobbelstabelmodus – velger en foretrukket IP-versjon gjennom konfigurasjonen.

Klienten anser at prioriteten for alle foretrukne adresser er lavere (det vil si foretrukket) enn alle adressene til IP-adressen. Hvis IPv4 er foretrukket, forsøkes alle IPv4-adresser før du forsøker en IPv6-adresse. Hvis alle adresser mislykkes, starter syklusen på nytt med den foretrukne protokolladressen med lavest prioritet.

En mobilklient som registrerer seg ved mottak av et push-varsel, kan bestemme seg for å optimalisere modusen basert på tidligere registreringer.

Oppløsning av vertsadresse fra DNS SRV-adresse

I konfigurasjonsfil for endepunkter som ble hentet fra klargjøring, angir domeneindikatoren domenenavn som skal oppdage access edge-tjenesten. Et eksempel på domenenavn er:

wxc.edge.bcld.webex.com

Fra eksemplet kan endepunktet som utfører et DNS SRV-oppslag for dette domenet, gi et svar som ligner på følgende:

 # nslookup -type=srv_sips ._tcp . wxc.edge.bcld.webex.com_sips ._tcp .wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp .wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.

I dette tilfellet peker SRV-oppføringen til 3 A-oppføringer.

 sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com

I eksemplet annonseres alle verter for kontaktport 5061 med forskjellig vekt og prioritet.

Vurder disse kravene for endepunkter.

  • Det må brukes et endepunkt_sips ._tcp (tjeneste- og protokollkombinasjon) som prefiks for å utføre et DNS SRV-oppslag for å hente vertsadresse for å initiere TLS-basert kommunikasjon.

  • Et endepunkt må foreta et DNS SRV-oppslag for forholdene som er forklart i delen Oppløsning av vertsadresse fra DNS SRV-adresse.

  • Et endepunkt må respektere vert, port, vekt og prioritet som annonsert for hver av vertsadressene. Den må også opprette en tilhørighet fra vert til port når du oppretter en socket-tilkobling under SIP-registrering.

  • Spesifikt for bruk av DNS SRV-registrering, er utvalgskriteriene for verter basert på prioritet og vekt forklart i RFC 2782.

Krav til SIP og Media

Krav

Beskrivelse

Klareringssertifikat kreves for kryptering av offentlig nøkkel

Se artikkelen , for å vite om Webex-sertifikatenes signeringsmyndighet og rot-sertifiseringsinstans som kreves på enheter

TLS-versjon støttes for sikker SIP

TLS 1.2

TLS-krypteringer støttes for sikker SIP

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

SRTP-nøkler støttes for sikre medier

AES_CM_128_HMAC_SHA1_80

Krav for sikker SIP med mTLS (gjensidig TLS)

Kravene er forklart i detalj her.

Et signert sertifikat kreves for vellykket godkjenning og autentisering av anrop fra trunk. Sertifikatet må oppfylle følgende krav:

  • Sertifikatet må være signert av en CA nevnt i Hvilke rotsertifikatinstanser støttes for anrop til Cisco Webex lyd- og videoplattformer?

  • Last opp klareringspakken som er nevnt i Hvilke rotsertifikatinstanser støttes for anrop til Cisco Webex lyd- og videoplattformer? videre til CUBE.

  • Sertifikatet skal alltid være gyldig:

    • Signerte sertifikater må alltid ha gyldig utløpsdato.

    • Rotsertifikater eller mellomsertifikater må ha gyldig utløpsdato og kan ikke tilbakekalles.

    • Sertifikater må være signert for klient- og serverbruk.

    • Sertifikater må inneholde det fullstendige domenenavnet (FQDN) som et vanlig navn eller et alternativt emnenavn i sertifikatet med FQDN valgt i Control Hub. For eksempel:

      • En trunk som er konfigurert fra organisasjonens Control Hub med london.lgw.cisco.com:5061 som FQDN, må inneholde london.lgw.cisco.com i sertifikatet CN eller SAN.

      • En trunk konfigurert fra organisasjonens Control Hub med london.lgw.cisco.com var SRV-en må inneholde london.lgw.cisco.com i sertifikatet CN eller SAN. Oppføringene som SRV-adressen løser til (CNAME/A-oppføring/IP-adresse), er valgfrie i SAN.

    • Du kan dele sertifikater med mer enn én lokal gateway, men sørg for at FQDN-kravene er oppfylt.

Utenfor omfang

Denne artikkelen inneholder ikke følgende informasjon relatert til nettverkssikkerhet:

  • F5-krav for CA og kryptering

  • Et HTTP-basert API for nedlasting av brannmurregler for Webex.

  • API for en klareringspakke

  • Brannmurkrav og ALG-deaktivering