Ovaj članak je namenjen administratorima mreže, posebno administratorima zaštitnog zida i proxy servera koji žele da koriste Webex Calling u svojoj organizaciji.
Da biste videli referentne informacije porta u pogledu zahteva za zaštitni zid i za pristup, pogledajte članak Referentne informacije o portu za Cisco Webex Calling.
Zahtevi za krajnje tačke
Webex Calling Edge
Da biste izvršili SIP registraciju ili poziv, ispunite ove korake:
Otkrijte adresu hosta SIP krajnje tačke za aktivne Edge čvorove.
Ispunite sve preduslove povezane sa konfiguracijom korisnika i uređaja.
Uverite se da krajnja tačka ima mogućnost povezivanja na javnu mrežu kako biste pokrenuli otkrivanje usluga.
Ispunite preduslove za obezbeđivanje krajnje tačke pomoću konfiguracije specifične za region ili konfiguracije dodele privilegija za centar podataka. Ova konfiguracija olakšava pribavljanje relevantnog sufiksa imena domena za otkrivanje usluga.
IPv4 nasuprot IPv6
Uređaji mogu da rade u režimu jedne verzije ili dvojnog steka. Konfiguracija režima koja određuje promene željenog protokola i ove promene nisu deo otkrivanja usluge.
Režim jednog steka – omogućava samo jedan IP protokol (na primer, IPv4) i zanemaruje druge adrese protokola.
Režim dvojnog steka – bira željenu IP verziju putem konfiguracije.
Klijent smatra da je prioritet svih željenih adresa manji (to jest, poželjno je) od svih adresa IP-a. Ako je poželjan protokol IPv4, pokušava se sa svakom IPv4 adresom pre IPv6 adresa. Ako sve adrese ne uspeju, ciklus počinje ponovo sa željenom adresom protokola najnižeg prioriteta.
Mobilni klijent koji se registruje po prijemu push obaveštenja može da odluči da optimizuje režim na osnovu prethodnih registracija.
Razrešavanje adrese hosta iz DNS SRV adrese
Indikator domena u datoteci konfiguracije krajnje tačke, dobijenoj tokom dodele privilegija, određuje ime domena kojim se otkriva usluga edge pristupa. Primer imena domena je:
wxc.edge.bcld.webex.comU primeru, krajnja tačka koja izvršava DNS SRV za ovaj domen može da dâ odgovor sličan sledećem:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com
_sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com.
_sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
U ovom slučaju, SRV zapis pokazuje na 3 A zapis.
sip-edge1.us-dc1.bcld.webex.com
sip-edge2.us-dc1.bcld.webex.com
U primeru, pokazuje se da svaki host kontaktira sa portom 5061 sa različitom težinom i prioritetom.
Uzmite u obzir ove zahteve za krajnje tačke.
Krajnja tačka mora da koristi
_sips._tcp(kombinacija usluge i protokola) kao prefiks za izvršavanje DNS SRV pretrage radi pribavljanja adrese hosta za pokretanje komunikacije zasnovane na TLS-u.Krajnja tačka mora da izvrši DNS SRV pretragu uslova objašnjenih u odeljku Razrešavanje adrese hosta iz DNS SRV adrese.
Krajnja tačka mora da ispuni uslove za host, port, težinu i prioritet kao što je navedeno za svaku adresu organizatora. Takođe, tokom SIP registracije mora da se kreira povezanost organizatora za prenos porta.
Kriterijumi izbora hostova na osnovu prioriteta i težine, specifični za upotrebu ovog DNS SRV zapisa, objašnjeni su u RFC 2782.
Zahtevi za SIP i medije
Uslov |
Opis |
|---|---|
Sertifikat pouzdanosti potreban za šifrovanje javnog ključa |
Pogledajte članak da biste se informisali o organu za izdavanje sertifikata za Webex i Root CA potrebnom na uređajima |
TLS verzija podržana za bezbedan SIP |
TLS 1.2 |
TLS šifrovanje podržano za bezbedan SIP |
TLS_ECDHE_RSA_SA_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_SA_AES_128_GCM_SHA256 TLS_ECDHE_RSA_SA_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_SA_AES_128_CBC_SHA256 TLS_DHE_DSS_SA_AES_128_GCM_SHA256 TLS_DHE_RSA_SA_AES_128_GCM_SHA256 TLS_DHE_RSA_SA_AES_128_CBC_SHA256 TLS_DHE_DSS_SA_AES_128_CBC_SHA256 TLS_ECDH_RSA_SA_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_SA_AES_128_GCM_SHA256 TLS_ECDH_RSA_SA_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_SA_AES_128_CBC_SHA256 |
SRTP ključevi podržani za bezbedne medije |
AES_CM_128_HMAC_SHA1_80 |
Zahtevi za bezbedni SIP sa mTLS-om (međusobni TLS)
Zahtevi su detaljno objašnjeni ovde.
Potpisani sertifikat je potreban za uspešnu autorizaciju i potvrdu identiteta poziva sa prenosnika. Sertifikat mora da ispunjava sledeće uslove:
Sertifikat mora da potpiše CA koji je pomenut u odeljku Koji organi za vrhovne sertifikate su podržani za pozive ka Cisco Webex audio i video platformama?
Otpremite paket pouzdanosti koji je pomenut u odeljku Koji organi za vrhovne sertifikate su podržani za pozive ka Cisco Webex audio i video platformama? na CUBE-u.
Sertifikat treba da važi uvek:
Potpisani sertifikati moraju uvek imati važeći istek važenja.
Vrhovni ili posredni sertifikati moraju da imaju važeći istek važenja i ne smeju se opozvati.
Sertifikati moraju biti potpisani za upotrebu klijenta i servera.
Sertifikati moraju da sadrže potpuno kvalifikovano ime domena (FQDN) kao zajedničko ime ili alternativno ime subjekta u sertifikatu sa FQDN-om izabranim na portalu Control Hub. Na primer:
Prenosnik konfigurisan na portalu Control Hub vaše organizacije sa domenom london.lgw.cisco.com:5061 kao FQDN-om mora da sadrži london.lgw.cisco.com u CN-u ili SAN-u sertifikata.
Prenosnik konfigurisan na portalu Control Hub vaše organizacije sa domenom london.lgw.cisco.com kao SRV-om mora da sadrži london.lgw.cisco.com u CN-u ili SAN-u sertifikata. Zapisi u koje se SRV adresa razrešava (CNAME/A zapis/ IP adresa) su opcionalni u SAN-u.
Možete da delite sertifikate sa više od jednog lokalnog mrežnog prolaza, međutim, uverite se da su FQDN zahtevi zadovoljeni.
Van opsega
Ovaj članak ne sadrži sledeće informacije vezane za bezbednost mreže:
F5 zahtevi za CA i šifrovanje
API zasnovan na HTTP-u za preuzimanje pravila zaštitnog zida za Webex.
API za paket pouzdanosti
Zahtevi za zaštitni zid i ALG onemogućavanje
