- Domov
- /
- Článok
Ďakujeme za vašu spätnú väzbu.
Požiadavky na zabezpečenie pre Webex Calling
V tomto článku
Spätná väzba?Tento článok je určený pre správcov siete, najmä pre správcov brán firewall a proxy zabezpečenia, ktorí chcú vo svojej organizácii používať Webex Calling .
Informácie o referenčných portoch pre bránu firewall a požiadavky na prístup nájdete v časti Informácie o referenčných portoch pre volania v sieti Cisco Webex.
Požiadavky na koncové body
Webex Calling Edge
Ak chcete vykonať registráciu alebo hovor cez SIP, postupujte podľa týchto krokov:
-
Zistite adresu hostiteľa koncového bodu SIP pre aktívne okrajové uzly.
-
Splňte všetky predpoklady týkajúce sa konfigurácie používateľa a zariadenia.
-
Uistite sa, že koncový bod má pripojenie k verejnej sieti, aby sa spustil prieskum služieb.
-
Splňte predpoklady pre zavedenie koncového bodu s konfiguráciou poskytovania špecifickou pre daný región alebo dátové centrum. Táto konfigurácia pomáha získať príslušnú príponu názvu domény pre vyhľadávanie služieb.
IPv4 verzus IPv6
Zariadenia môžu pracovať v režime s jednou verziou alebo s dvoma zásobníkmi. Zmeny preferovaného protokolu určuje konfigurácia a tieto zmeny nie sú súčasťou vyhľadávania služieb.
-
Režim s jedným zásobníkom – povoľuje iba jeden IP protokol (napríklad IPv4) a ignoruje adresy ostatných protokolov.
-
Režim duálneho zásobníka – vyberá preferovanú verziu IP adresy prostredníctvom konfigurácie.
Klient považuje prioritu všetkých preferovaných adries za nižšiu (teda preferovanú) ako všetky adresy danej IP adresy. Ak sa uprednostňuje IPv4, najprv sa pokúsia o zadanie adresy IPv4, potom sa najprv pokúsia o zadanie adresy IPv6. Ak zlyhajú všetky adresy, cyklus sa začne odznova s preferovanou protokolovou adresou s najnižšou prioritou.
Mobilný klient, ktorý sa zaregistruje po prijatí push notifikácie, sa môže rozhodnúť optimalizovať režim na základe predchádzajúcich registrácií.
Rozlíšenie adresy hostiteľa z adresy DNS SRV
V konfiguračnom súbore koncového bodu získanom zo zriaďovania indikátor domény určuje názov domény na vyhľadanie služby prístupovej hrany. Príklad názvu domény je:
wxc.edge.bcld.webex.comZ príkladu vyplýva, že koncový bod vykonávajúci vyhľadávanie DNS SRV pre túto doménu môže poskytnúť odpoveď podobnú nasledujúcej:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com
_sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com.
_sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
V tomto prípade záznam SRV odkazuje na 3 záznamy A.
sip-edge1.us-dc1.bcld.webex.com
sip-edge2.us-dc1.bcld.webex.com
V tomto príklade sú všetci hostitelia inzerovaní na kontaktovanie portu 5061 s rôznou váhou a prioritou.
Zvážte tieto požiadavky na koncové body.
-
Koncový bod musí používať
_sips._tcp(služba & kombináciu protokolov) ako prefix na vykonanie vyhľadávania DNS SRV na získanie adresy hostiteľa na iniciovanie komunikácie založenej na TLS. -
Koncový bod musí vykonať vyhľadávanie DNS SRV pre podmienky vysvetlené v časti Rozlíšenie adresy hostiteľa z adresy DNS SRV.
-
Koncový bod musí rešpektovať hostiteľa, port a váhu. & priorita, ako je inzerovaná pre každú z hostiteľských adries. Taktiež musí vytvoriť afinitu hostiteľa k portu pri vytváraní soketového pripojenia počas registrácie SIP.
-
Špecificky pre použitie záznamu DNS SRV, kritériá výberu hostiteľov založené na priorite & Hmotnosť je vysvetlená v RFC 2782.
Požiadavky na SIP a médiá
Požiadavky na zabezpečený SIP s mTLS (vzájomné TLS)
Požiadavky sú podrobne vysvetlené tu.
Pre úspešnú autorizáciu a autentifikáciu hovorov z trunku je potrebný podpísaný certifikát. Certifikát musí spĺňať nasledujúce požiadavky:
-
Certifikát musí byť podpísaný certifikačnou autoritou uvedenou v Ktoré koreňové certifikačné autority sú podporované pre volania na audio a video platformy Cisco Webex?
-
Nahrajte balík dôveryhodnosti uvedený v článku Ktoré koreňové certifikačné autority sú podporované pre volania na audio a video platformy Cisco Webex?do zariadenia CUBE.
-
Certifikát by mal byť platný vždy:
-
Podpísané certifikáty musia mať vždy platnú dobu platnosti.
-
Koreňové alebo prechodné certifikáty musia mať platnú dobu platnosti a nesmú byť zrušené.
-
Podporované sú certifikáty obsahujúce iba rozšírené použitie kľúča overovania serverom (EKU). Webex Calling neoveruje ani nevynucuje prítomnosť EKU overenia klienta počas nadväzovania nadväzovania TLS.
Niektoré hraničné ovládače relácií (SBC) od tretích strán môžu vynucovať prísne overovanie EKU a môžu odmietnuť certifikáty, ktoré neobsahujú EKU na overenie klienta. V takýchto prípadoch sa uistite, že SBC je nakonfigurovaný tak, aby akceptoval iba certifikáty s EKU overovania servera alebo aby zakázal prísne overovanie EKU (ak je podporované).
-
Certifikáty musia obsahovať plne kvalifikovaný názov domény (FQDN) ako bežný názov alebo alternatívny názov subjektu v certifikáte s FQDN zvoleným v centre ovládania. Napríklad:
-
Kmeň nakonfigurovaný z riadiaceho centra vašej organizácie pomocou london.lgw.cisco.com:5061 pretože FQDN musí obsahovať london.lgw.cisco.com v certifikáte CN alebo SAN.
-
Trunk nakonfigurovaný z Control Hub vašej organizácie s london.lgw.cisco.com bol SRV, ktorý musel obsahovať london.lgw.cisco.com v certifikáte CN alebo SAN. Záznamy, ktoré adresa SRV rozpoznáva to (CNAME/A Záznam/IP adresa) sú v sieti SAN voliteľné.
-
-
Certifikáty môžete zdieľať s viacerými lokálnymi bránami, uistite sa však, že sú splnené požiadavky na FQDN.
-
Mimo rozsahu
Tento článok neobsahuje nasledujúce informácie týkajúce sa zabezpečenia siete:
-
Požiadavky F5 pre CA a šifry
-
Rozhranie API založené na protokole HTTP na sťahovanie pravidiel brány firewall pre Webex.
-
API pre balík dôveryhodnosti
-
Požiadavka na firewall & Deaktivácia ALG
