- Domov
- /
- Článok
V tomto článkuTento článok je určený správcom siete, najmä správcom firewallu a zabezpečenia proxy, ktorí chcú v rámci svojej organizácie používať Webex Calling.
Ak chcete poznať referenčné informácie o portoch pre firewall a požiadavky na prístup, pozrite si časť Referenčné informácie o portoch pre volanie Cisco Webex.
Požiadavky na koncové body
Webex Calling Edge
Ak chcete vykonať registráciu alebo hovor SIP, vykonajte tieto kroky:
Zistite adresu hostiteľa koncového bodu SIP pre aktívne uzly Edge.
Splňte všetky predpoklady týkajúce sa konfigurácie používateľa a zariadenia.
Uistite sa, že koncový bod má pripojenie k verejnej sieti, aby ste mohli spustiť zisťovanie služby.
Dokončite predpoklady zavádzania koncového bodu pomocou konfigurácie poskytovania špecifickej pre oblasť alebo dátové centrum. Táto konfigurácia pomáha získať príslušnú príponu názvu domény na zisťovanie služby.
IPv4 verzus IPv6
Zariadenia môžu pracovať v režime s jednou verziou alebo s dvomi zásobníkmi. Je to konfigurácia, ktorá určuje zmeny preferovaného protokolu a tieto zmeny nie sú súčasťou zisťovania služby.
Režim jedného zásobníka—povolí iba jeden protokol IP (napríklad IPv4) a ignoruje adresy ostatných protokolov.
Dual-stack mode—vyberie preferovanú verziu IP prostredníctvom konfigurácie.
Klient považuje prioritu všetkých preferovaných adries za nižšiu (teda preferovanú) ako všetky adresy IP. Ak uprednostňujete IPv4, pred pokusom o zadanie adresy IPv6 sa vyskúšajú všetky adresy IPv4. Ak všetky adresy zlyhajú, cyklus začne znova s preferovanou adresou protokolu s najnižšou prioritou.
Mobilný klient registrujúci sa po prijatí oznámenia push sa môže rozhodnúť optimalizovať režim na základe predchádzajúcich registrácií.
Rozlíšenie adresy hostiteľa z adresy DNS SRV
V konfiguračnom súbore koncového bodu získanom z poskytovania určuje indikátor domény názov domény na zistenie služby prístupového okraja. Príklad názvu domény je:
wxc.edge.bcld.webex.comZ tohto príkladu môže koncový bod, ktorý vykonáva vyhľadávanie DNS SRV pre túto doménu, poskytnúť odpoveď podobnú nasledujúcej:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com
_sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com.
_sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
V tomto prípade záznam SRV ukazuje na 3 A záznamy.
sip-edge1.us-dc1.bcld.webex.com
sip-edge2.us-dc1.bcld.webex.com
V príklade sú všetci hostitelia inzerovaní, aby kontaktovali port 5061 s rôznou váhou a prioritou.
Zvážte tieto požiadavky pre koncové body.
Musí sa použiť koncový bod
_sips._tcp(kombinácia služby a protokolu) ako predpona na vykonanie vyhľadávania DNS SRV na získanie adresy hostiteľa na začatie komunikácie založenej na TLS.Koncový bod musí vykonať vyhľadávanie DNS SRV pre podmienky vysvetlené v Rozlíšenie adresy hostiteľa z adresy DNS SRV oddiele.
Koncový bod musí rešpektovať hostiteľa, port, váhu a prioritu, ako je inzerované pre každú adresu hostiteľa. Tiež musí vytvoriť afinitu hostiteľa k portu pri vytváraní pripojenia soketu počas registrácie SIP.
Špecifické pre použitie záznamu DNS SRV sú kritériá výberu hostiteľov na základe priority a váhy vysvetlené v RFC 2782.
Požiadavky na SIP a médiá
Požiadavka | Opis |
|---|---|
Na šifrovanie verejného kľúča sa vyžaduje dôveryhodný certifikát | Odkazujú na článok, aby ste sa dozvedeli o podpisovej autorite certifikátov Webex a koreňovej CA vyžadovanej na zariadeniach |
Verzia TLS podporovaná pre bezpečný SIP | TLS 1.2 |
Šifry TLS sú podporované pre bezpečný SIP | TLS_ECDHE_RSA_S_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_S_AES_128_GCM_SHA256 TLS_ECDHE_RSA_S_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_S_AES_128_CBC_SHA256 TLS_DHE_DSS_S_AES_128_GCM_SHA256 TLS_DHE_RSA_S_AES_128_GCM_SHA256 TLS_DHE_RSA_S_AES_128_CBC_SHA256 TLS_DHE_DSS_S_AES_128_CBC_SHA256 TLS_ECDH_RSA_S_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_S_AES_128_GCM_SHA256 TLS_ECDH_RSA_S_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_S_AES_128_CBC_SHA256 |
Kľúče SRTP sú podporované pre zabezpečené médiá | AES_CM_128_HMAC_SHA1_80 |
Požiadavky na bezpečný SIP s mTLS (vzájomné TLS)
Požiadavky sú tu podrobne vysvetlené.
Pre úspešnú autorizáciu a autentifikáciu hovorov z hlavnej linky je potrebný Podpísaný certifikát. Certifikát musí spĺňať nasledujúce požiadavky:
Certifikát musí byť podpísaný CA uvedenou v Aké koreňové certifikačné autority sú podporované pre volania na audio a video platformy Cisco Webex?
Nahrajte balík dôveryhodnosti uvedený v Aké koreňové certifikačné autority sú podporované pre volania na audio a video platformy Cisco Webex? na KOCKU.
Certifikát by mal byť platný vždy:
Podpísané certifikáty musia mať vždy platnú platnosť.
Koreňové alebo prechodné certifikáty musia mať platnú platnosť a nesmú byť zrušené.
Pre použitie klienta a servera musia byť certifikáty podpísané.
Certifikáty musia obsahovať plne kvalifikovaný názov domény (FQDN) ako bežný názov alebo alternatívne meno subjektu v certifikáte s FQDN vybratým v Control Hub. Napríklad:
Kmeň nakonfigurovaný z Control Hub vašej organizácie s london.lgw.cisco.com:5061 ako FQDN musí obsahovať london.lgw.cisco.com v certifikáte CN alebo SAN.
Kmeň nakonfigurovaný z ovládacieho centra vašej organizácie s london.lgw.cisco.com bol SRV musí obsahovať london.lgw.cisco.com v certifikáte CN alebo SAN. Záznamy, na ktoré sa adresa SRV prekladá (CNAME/A Record/IP adresa), sú v SAN voliteľné.
Certifikáty môžete zdieľať s viac ako jednou lokálnou bránou, ale uistite sa, že sú splnené požiadavky FQDN.
Mimo rozsah
Tento článok neobsahuje nasledujúce informácie týkajúce sa zabezpečenia siete:
Požiadavky F5 na CA a šifry
API založené na HTTP na stiahnutie pravidiel brány firewall pre Webex.
API pre balík dôveryhodnosti
Požiadavka brány firewall a deaktivácia ALG
