本文章适用于网络管理员,尤其是要在其组织中使用 Webex Calling 的防火墙和代理安全管理员。
要了解有关防火墙的端口参考信息和访问要求,请参阅 Cisco Webex Calling 的端口参考信息。
对于终端的要求
Webex Calling Edge
要执行 SIP 注册或呼叫,请完成以下步骤:
找到适用于活动 Edge 节点的 SIP 终端的主机地址。
完成与用户和设备配置相关的所有前提条件。
确保终端拥有公共网络连接,以开始服务发现。
使用区域或数据中心特定的设置配置来完成引导终端的前提条件。 这样配置有助于获取服务发现的相关域名后缀。
IPv4 与 IPv6 对比
设备可在单版本或双堆栈模式下运行。 配置将决定对首选协议的更改,这些更改并非服务发现的组成部分。
单堆栈模式 — 仅启用一个 IP 协议(例如 IPv4)并忽略其他协议地址。
双堆栈模式 — 通过配置选择首选 IP 版本。
客户端认为所有首选地址的优先级低于(即首选)该 IP 的所有地址。 如果首选 IPv4,则会先尝试所有 IPv4 地址,然后再尝试 IPv6 地址。 如果所有地址均失败,将使用优先级最低的首选协议地址再次开始循环。
在收到推送通知后进行注册的移动客户端可以决定基于先前的注册对模式进行优化。
从 DNS SRV 地址解析主机地址
在通过设置获得的终端配置文件中,域指示器指定用于发现访问边缘服务的域名。 域名的示例如下:
wxc.edge.bcld.webex.com
在该示例中,为此域执行 DNS SRV 查找的终端可能会产生类似于以下内容的响应:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com
_sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com.
_sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
在本案例中,SRV 记录指向 3 个 A 记录。
sip-edge1.us-dc1.bcld.webex.com
sip-edge2.us-dc1.bcld.webex.com
在该示例中,所有主机将以不同权重和优先级被播发到联系端口 5061。
请考虑针对终端的这些要求。
终端必须使用
_sips._tcp
(服务和协议组合)作为前缀来执行 DNS SRV 查找,以获取主机地址,从而发起基于 TLS 的通信。终端必须针对从 DNS SRV 地址解析主机地址部分中所述的条件执行 DNS SRV 查找。
终端必须遵循针对每个主机地址播发的主机、端口、权重和优先级。 此外,在 SIP 注册期间创建套接字连接时,终端还必须创建主机到端口的关联。
具体针对 DNS SRV 记录的使用,RFC 2782 中说明了基于优先级和权重的主机选择标准。
对于 SIP 和媒体的要求
要求 |
说明 |
---|---|
公钥加密需要信任证书 |
请参阅文章,了解设备上所需的 Webex 证书的签发机构和根 CA |
安全 SIP 支持的 TLS 版本 |
TLS 1.2 |
安全 SIP 支持的 TLS 密码 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
安全媒体支持的 SRTP 密钥 |
AES_CM_128_HMAC_SHA1_80 |
对于使用 mTLS(双向 TLS)的安全 SIP 的要求
此处详细说明了这些要求。
要对来自中继的呼叫进行成功授权和身份验证,需要签名证书。 证书必须满足以下要求:
将对 Cisco Webex 音频和视频平台的呼叫支持哪些根证书颁发机构?中提及的信任捆绑包移上传到 CUBE。
证书应该始终有效:
签名的证书必须始终拥有有效的到期日期。
根证书或中间证书必须拥有有效的到期日期,并且不得吊销。
必须对证书进行签名以供客户端和服务器使用。
证书必须包含完全限定域名 (FQDN),作为该证书中的公用名或使用者替代名称,并且在 Control Hub 中选择该 FQDN。 例如:
在贵组织的 Control Hub 中配置的中继包含 london.lgw.cisco.com:5061,因为 FQDN 必须包含证书 CN 或 SAN 中的 london.lgw.cisco.com。
在贵组织的 Control Hub 中配置的中继包含 london.lgw.cisco.com,因为 SRV 必须包含证书 CN 或 SAN 中的 london.lgw.cisco.com。 SRV 地址解析到的记录(CNAME/A 记录/IP 地址)在 SAN 中是可选的。
您可以与多个本地网关共享证书,但请确保满足 FQDN 要求。
超出范围
本文章不包括以下与网络安全相关的信息:
对于 CA 和密码的 F5 要求
基于 HTTP 的 API,用于为 Webex 下载防火墙规则。
信任捆绑包的 API
防火墙要求和 ALG 禁用