对于 Webex Calling 的安全要求

Webex Calling Edge

要执行 SIP 注册或呼叫，请完成以下步骤：

• 找到适用于活动 Edge 节点的 SIP 终端的主机地址。

• 完成与用户和设备配置相关的所有前提条件。

• 确保终端拥有公共网络连接，以开始服务发现。

• 使用区域或数据中心特定的设置配置来完成引导终端的前提条件。这样配置有助于获取服务发现的相关域名后缀。

IPv4 与 IPv6 对比

设备可在单版本或双堆栈模式下运行。配置将决定对首选协议的更改，这些更改并非服务发现的组成部分。

• 单堆栈模式 — 仅启用一个 IP 协议（例如 IPv4）并忽略其他协议地址。

• 双堆栈模式 — 通过配置选择首选 IP 版本。

客户端认为所有首选地址的优先级低于（即首选）该 IP 的所有地址。如果首选 IPv4，则会先尝试所有 IPv4 地址，然后再尝试 IPv6 地址。如果所有地址均失败，将使用优先级最低的首选协议地址再次开始循环。

在收到推送通知后进行注册的移动客户端可以决定基于先前的注册对模式进行优化。

从 DNS SRV 地址解析主机地址

在通过设置获得的终端配置文件中，域指示器指定用于发现访问边缘服务的域名。域名的示例如下：

wxc.edge.bcld.webex.com

在该示例中，为此域执行 DNS SRV 查找的终端可能会产生类似于以下内容的响应：

 # nslookup -type=srv._sips。 wxc.edge.bcld.webex.com._tcp。wxc.edge.bcld.webex.com _sips。_tcp。wxc.edge.bcld.webex.com SRV 5,100,5061 sip-edge1.us-dc1.bcld.webex.com。_sips。_tcp。wxc.edge.bcld.webex.com SRV 10,105,5061 sip-edge2.us-dc1. bcld.webex.com。 

在本案例中，SRV 记录指向 3 个 A 记录。

 sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com 

在该示例中，所有主机将以不同权重和优先级被播发到联系端口 5061。

请考虑针对终端的这些要求。

• 终端必须使用 _sips。_tcp （服务和协议组合）作为前缀，执行DNS SRV查找以获取主机地址，从而启动基于TLS的通信。

• 终端必须针对从 DNS SRV 地址解析主机地址部分中所述的条件执行 DNS SRV 查找。

• 终端必须遵循针对每个主机地址播发的主机、端口、权重和优先级。此外，在 SIP 注册期间创建套接字连接时，终端还必须创建主机到端口的关联。

• 具体针对 DNS SRV 记录的使用，RFC 2782 中说明了基于优先级和权重的主机选择标准。

对于使用 mTLS（双向 TLS）的安全 SIP 的要求

此处详细说明了这些要求。

要对来自中继的呼叫进行成功授权和身份验证，需要签名证书。证书必须满足以下要求：

• 证书必须由 Cisco Webex音频和视频平台的呼叫支持哪些根证书颁发机构？

• 将对Cisco Webex音频和视频平台的呼叫支持哪些根证书颁发机构？中提到的信任捆绑包上传到CUBE。

• 证书应该始终有效：

  • 签名的证书必须始终拥有有效的到期日期。

  • 根证书或中间证书必须拥有有效的到期日期，并且不得吊销。

  • 必须对证书进行签名以供客户端和服务器使用。

  • 证书必须包含完全限定域名 (FQDN)，作为该证书中的公用名或使用者替代名称，并且在 Control Hub 中选择该 FQDN。例如：

    • 在贵组织的 Control Hub 中配置的中继包含 london.lgw.cisco.com:5061，因为 FQDN 必须包含证书 CN 或 SAN 中的 london.lgw.cisco.com。

    • 在贵组织的 Control Hub 中配置的中继包含 london.lgw.cisco.com，因为 SRV 必须包含证书 CN 或 SAN 中的 london.lgw.cisco.com。SRV 地址解析到的记录（CNAME/A 记录/IP 地址）在 SAN 中是可选的。

  • 您可以与多个本地网关共享证书，但请确保满足 FQDN 要求。

超出范围

本文章不包括以下与网络安全相关的信息：

• 对于 CA 和密码的 F5 要求

• 基于 HTTP 的 API，用于为 Webex 下载防火墙规则。

• 信任捆绑包的 API

• 防火墙要求和 ALG 禁用