Pentru a cunoaște informațiile de referință privind porturile pentru firewall și cerințele privind accesul, consultați Informații de referință privind porturile pentru Cisco Webex Calling.

Cerințe pentru terminale

Webex Calling Edge

Pentru a efectua o înregistrare SIP sau un apel, parcurgeți acești pași:

  • Aflați adresa gazdei unui terminal SIP pentru nodurile Edge active.

  • Asigurați-vă că ați îndeplinit toate condițiile prealabile privind configurarea utilizatorului și a dispozitivului.

  • Asigurați-vă că terminalul are conectivitate la rețeaua publică pentru a începe descoperirea serviciului.

  • Asigurați-vă că ați îndeplinit toate condițiile prealabile pentru sincronizarea terminalului cu o configurație de asigurare a accesului specifică regiunii sau centrului de date. Această configurație ajută la obținerea sufixului numelui de domeniu relevant pentru descoperirea serviciului.

IPv4 versus IPv6

Dispozitivele pot funcționa într-o singură versiune sau în modul stivă dublă. Configurația este cea care determină modificările la protocolul preferat, iar aceste modificări nu fac parte din descoperirea serviciului.

  • Modul stivă unică — activează un singur protocol IP (de exemplu, IPv4) și ignoră celelalte adrese de protocol.

  • Mod stivă dublă — selectează o versiune IP preferată prin intermediul configurării.

Clientul consideră că nivelul de prioritate al tuturor adreselor preferate este mai mic (adică adresele sunt preferate), comparativ cu toate adresele IP. Dacă se preferă IPv4, sunt încercate toate adresele IPv4, înainte de a încerca o adresă IPv6. Dacă nu se reușește identificarea unei adrese, ciclul începe din nou cu adresa cu nivelul de prioritate cel mai scăzut, din protocolul preferat.

Un client mobil care se înregistrează la primirea unei notificări push poate decide să optimizeze modul pe baza înregistrărilor anterioare.

Rezolvarea adresei gazdei din adresa DNS SRV

În fișierul de configurare a terminalului, obținut în timpul asigurării accesului, indicatorul de domeniu specifică numele domeniului pentru care se va descoperi serviciul de acces Edge. Un exemplu de nume de domeniu este:

wxc.edge.bcld.webex.com

În exemplul oferit, terminalul care efectuează o căutare DNS SRV pentru acest domeniu poate genera un răspuns similar cu următorul:


# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com
_sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com.
_sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.

În acest caz, înregistrarea SRV indică înregistrări 3 A.


sip-edge1.us-dc1.bcld.webex.com
sip-edge2.us-dc1.bcld.webex.com

În exemplu, toate gazdele sunt anunțate să contacteze portul 5061 cu ponderi și priorități diferite.

Luați în considerare aceste cerințe pentru terminale.

  • Un terminal trebuie să utilizeze _sips._tcp(o combinație de serviciu și protocol) ca prefix pentru efectuarea unei căutări DNS SRV, în scopul obținerii adresei gazdei, pentru inițierea comunicării bazate pe TLS.

  • Un terminal trebuie să efectueze o căutare DNS SRV pentru condițiile explicate în secțiunea Rezolvarea adresei gazdei din adresa DNS SRV.

  • Un terminal trebuie să respecte condițiile anunțate pentru fiecare adresă gazdă, cum ar fi gazda, portul, ponderea și prioritatea. De asemenea, trebuie să creeze o afinitate între gazdă și port, atunci când se creează o conexiune prin cablu, în timpul înregistrării SIP.

  • În mod specific utilizării unei înregistrări DNS SRV, criteriile de selecție a gazdelor pe baza priorității și a ponderii sunt explicate în RFC 2782.

Cerințe SIP și Media

Obligatoriu

Descriere

Este necesar un certificat de încredere pentru criptarea cu cheie publică

Consultați articolul pentru informații privind autorizația de semnare a certificatelor Webex și Autoritatea de certificare pentru certificatele rădăcină necesare pentru dispozitive

Versiunea TLS acceptată pentru SIP securizat

TLS 1.2

CODURI TLS acceptate pentru SIP securizat

TLS_ECDHE_RSA_CU_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_CU_AES_128_GCM_SHA256

TLS_ECDHE_RSA_CU_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_CU_AES_128_CBC_SHA256

TLS_DHE_DSS_CU_AES_128_GCM_SHA256

TLS_DHE_RSA_CU_AES_128_GCM_SHA256

TLS_DHE_RSA_CU_AES_128_CBC_SHA256

TLS_DHE_DSS_CU_AES_128_CBC_SHA256

TLS_ECDH_RSA_CU_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_CU_AES_128_GCM_SHA256

TLS_ECDH_RSA_CU_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_CU_AES_128_CBC_SHA256

Chei SRTP acceptate pentru conținut media securizat

AES_CM_128_HMAC_SHA1_80

Cerințe pentru SIP securizat cu mTLS (TLS reciproc)

Cerințele sunt explicate în detaliu mai jos.

Este necesar un certificat semnat pentru autorizarea și autentificarea cu succes a apelurilor din trunchi. Certificatul trebuie să îndeplinească următoarele cerințe:

  • Certificatul trebuie să fie semnat de o Autoritate de certificare (CA) menționată în articolul Ce autorități de certificare pentru certificatele rădăcină sunt acceptate pentru apelurile către platformele audio și video Cisco Webex?

  • Încărcați pachetul cu componente de încredere menționat în articolul Ce autorități de certificare pentru certificatele rădăcină sunt acceptate pentru apelurile către platformele audio și video Cisco Webex? pe CUBE.

  • Certificatul trebuie să fie întotdeauna valabil:

    • Certificatele semnate trebuie să aibă întotdeauna o dată de expirare validă.

    • Certificatele rădăcină sau certificatele intermediare trebuie să aibă o dată de expirare validă și nu trebuie să fi fost revocate.

    • Certificatele trebuie să fie semnate, pentru a putea fi utilizate de către client și de către server.

    • Certificatele trebuie să conțină Numele de domeniu complet calificat (FQDN) ca nume comun sau ca nume alternativ al subiectului în certificat, iar FQDN-ul trebuie să fie ales în Control Hub. De exemplu:

      • Un trunchi configurat în aplicația Control Hub a organizației dvs., având london.lgw.cisco.com:5061 ca FQDN trebuie să includă london.lgw.cisco.com în certificatul CN sau SAN.

      • Un trunchi configurat în aplicația Control Hub a organizației dvs., având london.lgw.cisco.com ca SRV trebuie să includă SRV london.lgw.cisco.com în certificatul CN sau SAN. Înregistrările la care se conectează adresa SRV (CNAME/Înregistrare A/Adresă IP) sunt opționale în SAN.

    • Puteți partaja certificate cu mai multe gateway-uri locale. Cu toate acestea, asigurați-vă că cerințele FQDN sunt îndeplinite.

În afara domeniului de aplicare

Acest articol nu include următoarele informații referitoare la securitatea rețelei:

  • Cerințele F5 pentru CA și Cifruri

  • Un API bazat pe HTTP, pentru a descărca reguli de firewall pentru Webex.

  • API pentru un pachet cu componente de încredere

  • Cerință pentru firewall și dezactivare ALG