Požiadavky na koncové body

Webex Calling Edge

Ak chcete vykonať registráciu alebo hovor cez SIP, postupujte podľa týchto krokov:

  • Zistite adresu hostiteľa koncového bodu SIP pre aktívne okrajové uzly.

  • Splňte všetky predpoklady týkajúce sa konfigurácie používateľa a zariadenia.

  • Uistite sa, že koncový bod má pripojenie k verejnej sieti, aby sa spustil prieskum služieb.

  • Splňte predpoklady pre zavedenie koncového bodu s konfiguráciou poskytovania špecifickou pre daný región alebo dátové centrum. Táto konfigurácia pomáha získať príslušnú príponu názvu domény pre vyhľadávanie služieb.

IPv4 verzus IPv6

Zariadenia môžu pracovať v režime s jednou verziou alebo s dvoma zásobníkmi. Zmeny preferovaného protokolu určuje konfigurácia a tieto zmeny nie sú súčasťou vyhľadávania služieb.

  • Režim s jedným zásobníkom – povoľuje iba jeden IP protokol (napríklad IPv4) a ignoruje adresy ostatných protokolov.

  • Režim duálneho zásobníka – vyberá preferovanú verziu IP adresy prostredníctvom konfigurácie.

Klient považuje prioritu všetkých preferovaných adries za nižšiu (teda preferovanú) ako všetky adresy danej IP adresy. Ak sa uprednostňuje IPv4, najprv sa pokúsia o zadanie adresy IPv4, potom sa najprv pokúsia o zadanie adresy IPv6. Ak zlyhajú všetky adresy, cyklus sa začne odznova s preferovanou protokolovou adresou s najnižšou prioritou.

Mobilný klient, ktorý sa zaregistruje po prijatí push notifikácie, sa môže rozhodnúť optimalizovať režim na základe predchádzajúcich registrácií.

Rozlíšenie adresy hostiteľa z adresy DNS SRV

V konfiguračnom súbore koncového bodu získanom zo zriaďovania indikátor domény určuje názov domény na vyhľadanie služby prístupovej hrany. Príklad názvu domény je:

wxc.edge.bcld.webex.com

Z príkladu vyplýva, že koncový bod vykonávajúci vyhľadávanie DNS SRV pre túto doménu môže poskytnúť odpoveď podobnú nasledujúcej:


# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com
_sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com.
_sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.

V tomto prípade záznam SRV odkazuje na 3 záznamy A.


sip-edge1.us-dc1.bcld.webex.com
sip-edge2.us-dc1.bcld.webex.com

V tomto príklade sú všetci hostitelia inzerovaní na kontaktovanie portu 5061 s rôznou váhou a prioritou.

Zvážte tieto požiadavky na koncové body.

  • Koncový bod musí používať _sips._tcp (služba & kombináciu protokolov) ako prefix na vykonanie vyhľadávania DNS SRV na získanie adresy hostiteľa na iniciovanie komunikácie založenej na TLS.

  • Koncový bod musí vykonať vyhľadávanie DNS SRV pre podmienky vysvetlené v časti Rozlíšenie adresy hostiteľa z adresy DNS SRV.

  • Koncový bod musí rešpektovať hostiteľa, port a váhu. & priorita, ako je inzerovaná pre každú z hostiteľských adries. Taktiež musí vytvoriť afinitu hostiteľa k portu pri vytváraní soketového pripojenia počas registrácie SIP.

  • Špecificky pre použitie záznamu DNS SRV, kritériá výberu hostiteľov založené na priorite & Hmotnosť je vysvetlená v RFC 2782.

Požiadavky na SIP a médiá

Požiadavka

Opis

Pre šifrovanie s verejným kľúčom je potrebný certifikát dôveryhodnosti

Pozrite si článok , kde nájdete informácie o podpisovej autorite certifikátov Webex a koreňovej certifikačnej autorite vyžadovanej na zariadeniach.

Podporovaná verzia TLS pre zabezpečený SIP

TLS 1.2 a TLS 1.3

Podpora šifrovania TLS pre zabezpečený SIP

TLS_AES_256_GCM_SHA384

TLS_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

Podporované kľúče SRTP pre zabezpečené médiá

AES_CM_128_HMAC_SHA1_80

Požiadavky na zabezpečený SIP s mTLS (vzájomné TLS)

Požiadavky sú podrobne vysvetlené tu.

Pre úspešnú autorizáciu a autentifikáciu hovorov z trunku je potrebný podpísaný certifikát. Certifikát musí spĺňať nasledujúce požiadavky:

  • Certifikát musí byť podpísaný certifikačnou autoritou uvedenou v Ktoré koreňové certifikačné autority sú podporované pre volania na audio a video platformy Cisco Webex?

  • Nahrajte balík dôveryhodnosti uvedený v článku Ktoré koreňové certifikačné autority sú podporované pre volania na audio a video platformy Cisco Webex?do zariadenia CUBE.

  • Certifikát by mal byť platný vždy:

    • Podpísané certifikáty musia mať vždy platnú dobu platnosti.

    • Koreňové alebo prechodné certifikáty musia mať platnú dobu platnosti a nesmú byť zrušené.

    • Certifikáty musia byť podpísané pre použitie klientom aj serverom.

    • Certifikáty musia obsahovať plne kvalifikovaný názov domény (FQDN) ako bežný názov alebo alternatívny názov subjektu v certifikáte s FQDN zvoleným v centre ovládania. Napríklad:

      • Kmeň nakonfigurovaný z riadiaceho centra vašej organizácie pomocou london.lgw.cisco.com:5061 pretože FQDN musí obsahovať london.lgw.cisco.com v certifikáte CN alebo SAN.

      • Trunk nakonfigurovaný z Control Hub vašej organizácie s london.lgw.cisco.com bol SRV, ktorý musel obsahovať london.lgw.cisco.com v certifikáte CN alebo SAN. Záznamy, ktoré adresa SRV rozpoznáva to (CNAME/A Záznam/IP adresa) sú v sieti SAN voliteľné.

    • Certifikáty môžete zdieľať s viacerými lokálnymi bránami, uistite sa však, že sú splnené požiadavky na FQDN.

Mimo rozsahu

Tento článok neobsahuje nasledujúce informácie týkajúce sa zabezpečenia siete:

  • Požiadavky F5 pre CA a šifry

  • Rozhranie API založené na protokole HTTP na sťahovanie pravidiel brány firewall pre Webex.

  • API pre balík dôveryhodnosti

  • Požiadavka na firewall & Deaktivácia ALG