Ta članek je namenjen omrežnim skrbnikom, zlasti varnostnim skrbnikom požarnega zidu in proxyja, ki želijo uporabljati Webex Calling v svoji organizaciji.
Če želite izvedeti referenčne informacije o vratih za požarni zid in zahteve za dostop, glejte Referenčne informacije o vratih za klicanje Cisco Webex.
Zahteve za končne točke
Webex Calling Edge
Če želite izvesti registracijo SIP ali klic, dokončajte te korake:
Odkrijte naslov gostitelja končne točke SIP za aktivna robna vozlišča.
Izpolnite vse predpogoje, povezane s konfiguracijo uporabnika in naprave.
Za začetek odkrivanja storitev zagotovite, da ima končna točka javno omrežno povezljivost.
Izpolnite predpogoje zagona končne točke s konfiguracijo zagotavljanja, specifično za regijo ali podatkovno središče. Ta konfiguracija pomaga pridobiti ustrezno pripono imena domene za odkrivanje storitev.
IPv4 proti IPv6
Naprave lahko delujejo v načinu ene različice ali v načinu dvojnega sklada. To je konfiguracija, ki določa spremembe prednostnega protokola in te spremembe niso del odkrivanja storitve.
Način z enim skladom—omogoči samo en protokol IP (na primer IPv4) in prezre naslove drugih protokolov.
Način dvojnega sklada—s konfiguracijo izbere želeno različico IP.
Odjemalec meni, da je prioriteta za vse prednostne naslove nižja (tj. prednostna) od vseh naslovov IP. Če ima prednost IPv4, se pred poskusom naslova IPv6 poskusijo vsi naslovi IPv4. Če vsi naslovi ne uspejo, se cikel znova začne z naslovom protokola z najnižjo prioriteto.
Mobilni odjemalec, ki se registrira po prejemu potisnega obvestila, se lahko odloči za optimizacijo načina na podlagi prejšnjih registracij.
Ločljivost naslova gostitelja iz naslova DNS SRV
V konfiguracijski datoteki končne točke, pridobljeni z zagotavljanjem, indikator domene določa ime domene za odkrivanje robne storitve dostopa. Primer imena domene je:
wxc.edge.bcld.webex.comIz primera lahko končna točka, ki izvaja iskanje DNS SRV za to domeno, da odgovor, podoben naslednjemu:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com
_sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com.
_sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
V tem primeru zapis SRV kaže na 3 zapise A.
sip-edge1.us-dc1.bcld.webex.com
sip-edge2.us-dc1.bcld.webex.com
V primeru so vsi gostitelji oglašeni za stik z vrati 5061 z različno težo in prioriteto.
Upoštevajte te zahteve za končne točke.
Uporabiti je treba končno točko
_sips._tcp(kombinacija storitve in protokola) kot predpono za izvedbo iskanja DNS SRV za pridobitev naslova gostitelja za začetek komunikacije na podlagi TLS.Končna točka mora opraviti iskanje DNS SRV za pogoje, razložene v Ločljivost naslova gostitelja iz naslova DNS SRV razdelek.
Končna točka mora spoštovati gostitelja, vrata, težo in prednost, kot je oglaševano za vsak naslov gostitelja. Prav tako mora ustvariti afiniteto gostitelja do vrat, ko ustvarja povezavo vtičnice med registracijo SIP.
Specifično za uporabo zapisa DNS SRV so izbirni kriteriji gostiteljev na podlagi prioritete in teže razloženi v RFC 2782.
Zahteve za SIP in medije
Zahteva |
Opis |
|---|---|
Za šifriranje javnega ključa je potrebno potrdilo zaupanja |
Nanašati se na Članek, če želite izvedeti o pooblastilu za podpisovanje potrdil Webex in korenskem CA, ki sta potrebna v napravah |
Podprta različica TLS za varen SIP |
TLS 1.2 |
Podprte šifre TLS za varen SIP |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
Podprti ključi SRTP za varne medije |
AES_CM_128_HMAC_SHA1_80 |
Zahteve za varen SIP z mTLS (vzajemni TLS)
Zahteve so podrobno razložene tukaj.
Podpisano potrdilo je potrebno za uspešno avtorizacijo in avtentikacijo klicev s tranka. Certifikat mora izpolnjevati naslednje zahteve:
Potrdilo mora podpisati CA, omenjen v Kateri overitelji korenskih potrdil so podprti za klice v avdio in video platforme Cisco Webex?
Naložite skrbniški sveženj, omenjen v Kateri overitelji korenskih potrdil so podprti za klice v avdio in video platforme Cisco Webex? na KOCKO.
Potrdilo mora veljati vedno:
Podpisana potrdila morajo vedno imeti veljaven potek.
Korenski ali vmesni certifikati morajo imeti veljaven potek in se ne smejo preklicati.
Potrdila morajo biti podpisana za uporabo odjemalca in strežnika.
Potrdila morajo vsebovati popolnoma kvalificirano ime domene (FQDN) kot splošno ime ali nadomestno ime subjekta v potrdilu s FQDN, izbranim v nadzornem središču. Na primer:
Prtljažnik, konfiguriran iz nadzornega središča vaše organizacije z london.lgw.cisco.com:5061 kot mora vsebovati FQDN london.lgw.cisco.com v potrdilu CN ali SAN.
Prtljažnik, konfiguriran iz nadzornega središča vaše organizacije z london.lgw.cisco.com mora vsebovati SRV london.lgw.cisco.com v potrdilu CN ali SAN. Zapisi, ki jih razreši naslov SRV (CNAME/zapis/naslov IP), so v SAN neobvezni.
Potrdila lahko delite z več kot enim lokalnim prehodom, vendar zagotovite, da so zahteve FQDN izpolnjene.
Izven obsega
Ta članek ne vključuje naslednjih informacij, povezanih z varnostjo omrežja:
Zahteve F5 za CA in šifre
API, ki temelji na HTTP, za prenos pravil požarnega zidu za Webex.
API za paket zaupanja
Zahteva požarnega zidu in onemogočanje ALG
