Требования к терминальным устройствам

Пограничное устройство Webex Calling

Для совершения вызова или регистрации SIP выполните приведенные ниже действия.

  • Определите адрес узла терминального устройства SIP для активных пограничных узлов.

  • Выполните все предварительные условия, связанные с конфигурацией пользователя и устройства.

  • Убедитесь, что терминальное устройство имеет общедоступное сетевое подключение, чтобы начать обнаружение службы.

  • Выполните предварительные условия начальной загрузки терминального устройства с конфигурацией подготовки для конкретного региона или центра обработки данных. С помощью этой конфигурации можно получить соответствующий суффикс имени домена для обнаружения службы.

IPv4 и IPv6

Устройства могут работать в режиме с одним или двумя стеками. Изменения предпочтительного протокола определяются конфигурацией, и эти изменения не являются частью функции обнаружения службы.

  • В режиме с одним стеком используется только один протокол IP (например IPv4) и игнорируются адреса других протоколов.

  • В режиме с двумя стеками происходит выбор предпочтительной версии IP посредством конфигурации.

Клиент считает, что для всех предпочтительных адресов приоритет ниже (то есть предпочтительнее), чем для всех остальных адресов IP. Если предпочтительным является IPv4, осуществляется попытка использования всех адресов IPv4, прежде чем будет использован адрес IPv6. Если попытки использования всех адресов будут неудачными, цикл начинается снова с выбором предпочтительного адреса протокола с наименьшим приоритетом.

Мобильный клиент, регистрация которого осуществляется при получении push-уведомления, может принять решение об оптимизации режима на основе предыдущих регистраций.

Разрешение адреса узла из адреса SRV DNS

В файле конфигурации терминального устройства, полученном в процессе подготовки, индикатор домена указывает имя домена для обнаружения пограничной службы доступа. Пример имени домена:

wxc.edge.bcld.webex.com

В приведенном примере терминальное устройство, выполняющее поиск SRV DNS для этого домена, может предоставить ответ, подобный следующему:

 # nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com. 

В этом случае запись SRV указывает на 3 A-записи.

 sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com 

В примере все узлы объявлены для связи с портом 5061 с разным весом и приоритетом.

Учтите эти требования для терминальных устройств.

  • Конечная точка должна использовать _sips._tcp (сочетание службы и протокола) в качестве префикса для выполнения поиска SRV DNS для получения адреса узла для инициирования связи на основе TLS.

  • Терминальное устройство должно выполнить поиск SRV DNS для условий, описанных в разделе Разрешение адреса узла из адреса SRV DNS.

  • Терминальное устройство должно учитывать узел, порт, вес и приоритет, объявленные для каждого адреса узла. Кроме того, оно должно создать привязку узла к порту при создании соединения сокета во время регистрации SIP.

  • Критерии выбора узлов на основе приоритета и веса, характерные для использования записи SRV DNS, описаны в RFC 2782.

Требования к SIP и мультимедиа

Требование

Description

Сертификат доверия, необходимый для шифрования с открытым ключом

Сведения о заверителе подписи и корневом ЦС сертификатов Webex, необходимых на устройствах, см. в этой статье.

Версия TLS, поддерживаемая для безопасного SIP

TLS 1.2

Шифры TLS, поддерживаемые для безопасного SIP

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

Ключи SRTP, поддерживаемые для безопасного мультимедиа

AES_CM_128_HMAC_SHA1_80

Требования к безопасному SIP с mTLS (mutual TLS)

Требования подробно описаны ниже.

Подписанный сертификат необходим для успешной авторизации и аутентификации вызовов из магистрали. Сертификат должен соответствовать приведенным ниже требованиям.

  • Сертификат должен быть подписан ЦС, указанным в разделе Какие корневые центры сертификации поддерживаются для вызовов на платформы аудио и видео Cisco Webex?

  • Загрузите пакет доверия, упомянутый в разделе Какие корневые центры сертификации поддерживаются для вызовов на платформы аудио и видео Cisco Webex? , в CUBE.

  • Сертификат всегда должен быть действительным.

    • Подписанные сертификаты всегда должны иметь действительный срок действия.

    • Корневые или промежуточные сертификаты должны иметь действительный срок действия и не должны быть отозваны.

    • Сертификаты должны быть подписаны для использования клиентом и сервером.

    • Сертификаты должны содержать полное доменное имя (FQDN) в качестве общего имени или альтернативного имени субъекта в сертификате с FQDN, выбранном в Control Hub. Пример.

      • Магистраль, настроенная из Control Hub вашей организации со значением london.lgw.cisco.com:5061 в качестве FQDN, должна содержать запись london.lgw.cisco.com в CN или SAN сертификата.

      • Магистраль, настроенная из Control Hub вашей организации со значением london.lgw.cisco.com в качестве SRV, должна содержать запись london.lgw.cisco.com в CN или SAN сертификата. Записи, в которые преобразуется адрес SRV (CNAME / A-запись / IP-адрес), не являются обязательными в SAN.

    • Сертификаты можно предоставить для нескольких локальных шлюзов, однако необходимо убедиться, что соблюдены требования FQDN.

Вне области

Эта статья не содержит приведенных ниже сведений, относящихся к сетевой безопасности.

  • Требования F5 для ЦС и шифров.

  • API на базе HTTP для скачивания правил брандмауэра для Webex.

  • API для пакета доверия.

  • Требование к брандмауэру и отключение ALG.