Zahtevi za krajnje tačke

Webex Calling Edge

Da biste izvršili SIP registraciju ili poziv, ispunite ove korake:

  • Otkrijte adresu hosta SIP krajnje tačke za aktivne Edge čvorove.

  • Ispunite sve preduslove povezane sa konfiguracijom korisnika i uređaja.

  • Uverite se da krajnja tačka ima mogućnost povezivanja na javnu mrežu kako biste pokrenuli otkrivanje usluga.

  • Ispunite preduslove za obezbeđivanje krajnje tačke pomoću konfiguracije specifične za region ili konfiguracije dodele privilegija za centar podataka. Ova konfiguracija olakšava pribavljanje relevantnog sufiksa imena domena za otkrivanje usluga.

IPv4 nasuprot IPv6

Uređaji mogu da rade u režimu jedne verzije ili dvojnog steka. Konfiguracija režima koja određuje promene željenog protokola i ove promene nisu deo otkrivanja usluge.

  • Režim jednog steka – omogućava samo jedan IP protokol (na primer, IPv4) i zanemaruje druge adrese protokola.

  • Režim dvojnog steka – bira željenu IP verziju putem konfiguracije.

Klijent smatra da je prioritet svih željenih adresa manji (to jest, poželjno je) od svih adresa IP-a. Ako je poželjan protokol IPv4, pokušava se sa svakom IPv4 adresom pre IPv6 adresa. Ako sve adrese ne uspeju, ciklus počinje ponovo sa željenom adresom protokola najnižeg prioriteta.

Mobilni klijent koji se registruje po prijemu push obaveštenja može da odluči da optimizuje režim na osnovu prethodnih registracija.

Razrešavanje adrese hosta iz DNS SRV adrese

Indikator domena u datoteci konfiguracije krajnje tačke, dobijenoj tokom dodele privilegija, određuje ime domena kojim se otkriva usluga edge pristupa. Primer imena domena je:

wxc.edge.bcld.webex.com

U primeru, krajnja tačka koja izvršava DNS SRV za ovaj domen može da dâ odgovor sličan sledećem:

 # nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com. 

U ovom slučaju, SRV zapis pokazuje na 3 A zapis.

 sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com 

U primeru, pokazuje se da svaki host kontaktira sa portom 5061 sa različitom težinom i prioritetom.

Uzmite u obzir ove zahteve za krajnje tačke.

  • Krajnja tačka mora da koristi _sips._tcp (kombinacija usluge i protokola) kao prefiks za izvršavanje DNS SRV pretrage radi pribavljanja adrese hosta za pokretanje komunikacije zasnovane na TLS-u.

  • Krajnja tačka mora da izvrši DNS SRV pretragu uslova objašnjenih u odeljku Razrešavanje adrese hosta iz DNS SRV adrese.

  • Krajnja tačka mora da ispuni uslove za host, port, težinu i prioritet kao što je navedeno za svaku adresu organizatora. Takođe, tokom SIP registracije mora da se kreira povezanost organizatora za prenos porta.

  • Kriterijumi izbora hostova na osnovu prioriteta i težine, specifični za upotrebu ovog DNS SRV zapisa, objašnjeni su u RFC 2782.

Zahtevi za SIP i medije

Uslov

Opis

Sertifikat pouzdanosti potreban za šifrovanje javnog ključa

Pogledajte članak da biste se informisali o organu za izdavanje sertifikata za Webex i Root CA potrebnom na uređajima

TLS verzija podržana za bezbedan SIP

TLS 1.2

TLS šifrovanje podržano za bezbedan SIP

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

SRTP ključevi podržani za bezbedne medije

AES_CM_128_HMAC_SHA1_80

Zahtevi za bezbedni SIP sa mTLS-om (međusobni TLS)

Zahtevi su detaljno objašnjeni ovde.

Potpisani sertifikat je potreban za uspešnu autorizaciju i potvrdu identiteta poziva sa prenosnika. Sertifikat mora da ispunjava sledeće uslove:

  • Sertifikat mora da potpiše CA koji je pomenut u odeljku Koji organi za vrhovne sertifikate su podržani za pozive ka Cisco Webex audio i video platformama?

  • Otpremite paket pouzdanosti koji je pomenut u odeljku Koji organi za vrhovne sertifikate su podržani za pozive ka Cisco Webex audio i video platformama? na CUBE-u.

  • Sertifikat treba da važi uvek:

    • Potpisani sertifikati moraju uvek imati važeći istek važenja.

    • Vrhovni ili posredni sertifikati moraju da imaju važeći istek važenja i ne smeju se opozvati.

    • Sertifikati moraju biti potpisani za upotrebu klijenta i servera.

    • Sertifikati moraju da sadrže potpuno kvalifikovano ime domena (FQDN) kao zajedničko ime ili alternativno ime subjekta u sertifikatu sa FQDN-om izabranim na portalu Control Hub. Na primer:

      • Prenosnik konfigurisan na portalu Control Hub vaše organizacije sa domenom london.lgw.cisco.com:5061 kao FQDN-om mora da sadrži london.lgw.cisco.com u CN-u ili SAN-u sertifikata.

      • Prenosnik konfigurisan na portalu Control Hub vaše organizacije sa domenom london.lgw.cisco.com kao SRV-om mora da sadrži london.lgw.cisco.com u CN-u ili SAN-u sertifikata. Zapisi u koje se SRV adresa razrešava (CNAME/A zapis/ IP adresa) su opcionalni u SAN-u.

    • Možete da delite sertifikate sa više od jednog lokalnog mrežnog prolaza, međutim, uverite se da su FQDN zahtevi zadovoljeni.

Van opsega

Ovaj članak ne sadrži sledeće informacije vezane za bezbednost mreže:

  • F5 zahtevi za CA i šifrovanje

  • API zasnovan na HTTP-u za preuzimanje pravila zaštitnog zida za Webex.

  • API za paket pouzdanosti

  • Zahtevi za zaštitni zid i ALG onemogućavanje