Цю статтю призначено для адміністраторів мережі, зокрема адміністраторів безпеки проксі й брандмауера, які хочуть використовувати Webex Calling у своїй організації.
Довідкову інформацію щодо портів для брандмауера й вимоги щодо доступу див. в статті Довідкова інформація щодо портів для Cisco Webex Calling.
Вимоги щодо термінальних пристроїв
Edge Webex Calling
Щоб здійснити реєстрацію SIP або виклик, виконайте вказані далі кроки.
Знайдіть адресу хоста SIP-терміналу для активних хостів Edge.
Виконайте всі попередні умови, пов’язані з конфігурацією користувача й пристрою.
Щоб розпочати виявлення служби, переконайтеся, що термінальний пристрій з’єднано із загальнодоступною мережею.
Виконайте попередні умови початкового завантаження термінального пристрою з конфігурацією підготовки відповідно до регіону або центру обробки даних. За допомогою цієї конфігурації можна отримати відповідний суфікс імені домену для виявлення служб.
Порівняння IPv4 й IPv6
Пристрої можуть працювати в одинарному режимі або в режимі подвійного стека. Його конфігурація визначає зміни в бажаному протоколі, і ці зміни не є частиною процесу виявлення служби.
Режим одинарного стека: дозволяє використовувати тільки один протокол IP (наприклад, IPv4) і ігнорує інші адреси протоколів.
Режим подвійного стека: вибирає бажану версію IP через конфігурацію.
Клієнт розцінює пріоритет усіх бажаних адрес як нижчий (тобто бажаний), ніж для всіх адрес IP. Якщо бажаним є протокол IPv4, перш ніж здійснити спробу щодо адреси IPv6, здійснюються спроби щодо всіх адрес IPv4. Якщо жодна спроба щодо всіх адрес не виявиться вдалою, цикл почнеться знову з адреси бажаного протоколу з найменшим пріоритетом.
Мобільний клієнт, який реєструють після отримання push-сповіщення, може оптимізувати режим з огляду на попередні реєстрації.
Визначення адреси хоста за адресою DNS SRV
У файлі конфігурації термінального пристрою, отриманому під час підготовки, індикатор домену вказує на ім’я домену для виявлення межової служби доступу. Прикладом імені домену є:
wxc.edge.bcld.webex.com
З огляду на приклад термінальний пристрій, який виконує пошук DNS SRV для цього домену, може надати відповідь, подібну до такої:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com
_sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com.
_sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
У такому разі запис SRV вказує на 3 записи А.
sip-edge1.us-dc1.bcld.webex.com
sip-edge2.us-dc1.bcld.webex.com
У цьому прикладі оголошуються всі хости для зв’язку з портом 5061 із різними зваженими критеріями й пріоритетом.
Зважайте на ці вимоги щодо термінальних пристроїв.
Термінальний пристрій повинен використовувати
_sips._tcp
(комбінація служби й протоколу) як префікс для виконання пошуку DNS SRV, щоб отримати адресу хоста для ініціювання зв’язку на основі TLS.Термінальний пристрій має виконати пошук DNS SRV для умов, викладених у розділі Визначення адреси хоста за адресою DNS SRV.
Термінальний пристрій має враховувати хост, порт, зважений критерій і пріоритет згідно з оголошенням для кожної адреси хоста. Крім того, він повинен створювати подібність хоста до порту, створюючи підключення сокета під час реєстрації SIP.
Специфічні для використання запису DNS SRV критерії вибору хостів на основі пріоритету й зваженого критерію наведено в RFC 2782.
Вимоги щодо SIP і мультимедіа
Вимоги |
Опис |
---|---|
Для шифрування відкритого ключа необхідний сертифікат довіри. |
Інформацію про повноваження підпису сертифікатів Webex і кореневих ЦС, які є обов’язковими на пристроях, див. в статті. |
Підтримувана версія TLS для безпечного SIP |
TLS 1.2 |
Підтримувані шифри TLS для безпечного SIP |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
Підтримувані ключі SRTP для захищених мультимедіа |
AES_CM_128_HMAC_SHA1_80 |
Вимоги щодо безпечного SIP із mTLS (mutual TLS)
Вимоги детально описано тут.
Підписаний сертифікат необхідний для успішної авторизації та автентифікації викликів із транку. Сертифікат має відповідати описаним далі вимогам.
Сертифікат повинен підписати ЦС, зазначений у статті Які кореневі центри сертифікації підтримуються для здійснення викликів на платформи аудіо й відео Cisco Webex?
Передайте пакет довіри, зазначений у статті «Які кореневі центри сертифікації підтримуються для здійснення викликів на платформи аудіо й відео Cisco Webex?», у CUBE.
Сертифікат має бути дійсним завжди.
У підписаних сертифікатів термін дії завжди має бути дійсним.
У кореневих або проміжних сертифікатів термін дії має бути дійсним, і їх не має бути відкликано.
Щоб сертифікати могли використовувати клієнти й сервери, їх має бути підписано.
У сертифікатах має міститися повне ім’я домену (FQDN) як загальне ім’я або альтернативне ім’я суб’єкта в сертифікаті з FQDN, вибраним у Control Hub. Наприклад:
У CN або SAN сертифіката транку, налаштованого з Control Hub вашої організації зі значенням FQDN london.lgw.cisco.com:5061, має міститися значення london.lgw.cisco.com.
У CN або SAN сертифіката транку, налаштованого з Control Hub вашої організації зі значенням SRV london.lgw.cisco.com, має міститися значення london.lgw.cisco.com. Записи, які адреса SRV визначає в рядку (CNAME/A Record/ IP Address), є необов’язковими в SAN.
Можна розділити сертифікати з декількома локальними шлюзами, однак спочатку переконайтеся, що вимоги щодо FQDN задоволено.
Інформація, що не ввійшла до статті
Ця стаття не містить указану далі інформацію, пов’язану з безпекою мережі.
Вимоги F5 щодо ЦС і шифрів.
Відомості про API на основі HTTP для завантаження правил брандмауера для Webex.
Відомості про API для пакета довіри.
Вимоги щодо брандмауера й вимкнення шлюзу рівня програми (ALG).