Požiadavky na koncové body

Webex Calling Edge

Ak chcete vykonať registráciu alebo hovor SIP, vykonajte tieto kroky:

  • Zistite adresu hostiteľa koncového bodu SIP pre aktívne uzly Edge.

  • Splňte všetky predpoklady týkajúce sa konfigurácie používateľa a zariadenia.

  • Uistite sa, že koncový bod má pripojenie k verejnej sieti, aby ste mohli spustiť zisťovanie služby.

  • Dokončite predpoklady zavádzania koncového bodu pomocou konfigurácie poskytovania špecifickej pre oblasť alebo dátové centrum. Táto konfigurácia pomáha získať príslušnú príponu názvu domény na zisťovanie služby.

IPv4 verzus IPv6

Zariadenia môžu pracovať v režime s jednou verziou alebo s dvomi zásobníkmi. Je to konfigurácia, ktorá určuje zmeny preferovaného protokolu a tieto zmeny nie sú súčasťou zisťovania služby.

  • Režim jedného zásobníka—povolí iba jeden protokol IP (napríklad IPv4) a ignoruje adresy ostatných protokolov.

  • Dual-stack mode—vyberie preferovanú verziu IP prostredníctvom konfigurácie.

Klient považuje prioritu všetkých preferovaných adries za nižšiu (teda preferovanú) ako všetky adresy IP. Ak uprednostňujete IPv4, pred pokusom o zadanie adresy IPv6 sa vyskúšajú všetky adresy IPv4. Ak všetky adresy zlyhajú, cyklus začne znova s preferovanou adresou protokolu s najnižšou prioritou.

Mobilný klient registrujúci sa po prijatí oznámenia push sa môže rozhodnúť optimalizovať režim na základe predchádzajúcich registrácií.

Rozlíšenie adresy hostiteľa z adresy DNS SRV

V konfiguračnom súbore koncového bodu získanom z poskytovania určuje indikátor domény názov domény na zistenie služby prístupového okraja. Príklad názvu domény je:

wxc.edge.bcld.webex.com

Z tohto príkladu môže koncový bod, ktorý vykonáva vyhľadávanie DNS SRV pre túto doménu, poskytnúť odpoveď podobnú nasledujúcej:

 # nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com. 

V tomto prípade záznam SRV ukazuje na 3 A záznamy.

 sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com 

V tomto príklade sú všetci hostitelia inzerovaní, aby kontaktovali port 5061 s rôznou váhou a prioritou.

Zvážte tieto požiadavky pre koncové body.

  • Koncový bod musí použiť _sips._tcp (kombinácia služby a protokolu) ako predponu na vykonanie vyhľadávania DNS SRV na získanie adresy hostiteľa na začatie komunikácie založenej na TLS.

  • Koncový bod musí vykonať vyhľadávanie DNS SRV pre podmienky vysvetlené v časti Rozlíšenie adresy hostiteľa z časti Adresa DNS SRV.

  • Koncový bod musí rešpektovať hostiteľa, port, váhu a prioritu, ako je inzerované pre každú adresu hostiteľa. Tiež musí vytvoriť afinitu hostiteľa k portu pri vytváraní pripojenia soketu počas registrácie SIP.

  • Špecifické pre použitie záznamu DNS SRV sú kritériá výberu hostiteľov na základe priority a váhy vysvetlené v RFC 2782.

Požiadavky na SIP a médiá

Požiadavka

Opis

Na šifrovanie verejného kľúča sa vyžaduje dôveryhodný certifikát

V článku sa dozviete o podpisovej autorite certifikátov Webex a koreňovej CA vyžadovanej na zariadeniach

Verzia TLS podporovaná pre bezpečný SIP

TLS 1.2

Šifry TLS sú podporované pre bezpečný SIP

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

Kľúče SRTP sú podporované pre zabezpečené médiá

AES_CM_128_HMAC_SHA1_80

Požiadavky na bezpečný SIP s mTLS (vzájomné TLS)

Požiadavky sú tu podrobne vysvetlené.

Pre úspešnú autorizáciu a autentifikáciu hovorov z hlavnej linky je potrebný Podpísaný certifikát. Certifikát musí spĺňať nasledujúce požiadavky:

  • Certifikát musí byť podpísaný certifikačnou autoritou uvedenou v časti Aké koreňové certifikačné autority sú podporované pre volania na audio a video platformy Cisco Webex?

  • Odovzdajte zväzok dôveryhodnosti uvedený v časti Aké koreňové certifikačné autority sú podporované pre volania na audio a video platformy Cisco Webex? na CUBE.

  • Certifikát by mal byť platný vždy:

    • Podpísané certifikáty musia mať vždy platnú platnosť.

    • Koreňové alebo prechodné certifikáty musia mať platnú platnosť a nesmú byť zrušené.

    • Pre použitie klienta a servera musia byť certifikáty podpísané.

    • Certifikáty musia obsahovať plne kvalifikovaný názov domény (FQDN) ako bežný názov alebo alternatívne meno subjektu v certifikáte s FQDN vybratým v Control Hub. Napríklad:

      • Kmeň nakonfigurovaný z Control Hub vašej organizácie s london.lgw.cisco.com:5061 ako FQDN musí obsahovať london.lgw.cisco.com v certifikáte CN alebo SAN.

      • Kmeň nakonfigurovaný z riadiaceho centra vašej organizácie s london.lgw.cisco.com bol SRV, ktorý musí obsahovať london.lgw.cisco.com v certifikáte CN alebo SAN. Záznamy, ktoré adresa SRV rieši (CNAME/A Record/IP adresa), sú v SAN voliteľné.

    • Certifikáty môžete zdieľať s viac ako jednou lokálnou bránou, ale uistite sa, že sú splnené požiadavky FQDN.

Mimo rozsahu

Tento článok neobsahuje nasledujúce informácie týkajúce sa zabezpečenia siete:

  • Požiadavky F5 na CA a šifry

  • API založené na HTTP na stiahnutie pravidiel brány firewall pre Webex.

  • API pre balík dôveryhodnosti

  • Požiadavka brány firewall a deaktivácia ALG