- الرئيسية
- /
- المقال
يركز هذا المستند بشكل أساسي على متطلبات الشبكة والأمان لحل المثيل المخصص ، بما في ذلك النهج متعدد الطبقات للميزات والوظائف التي توفر وصولاً ماديًا آمنًا وشبكة آمنة ونقاط نهاية آمنة وتطبيقات Cisco UC الآمنة.
متطلبات الشبكة للمثيل المخصص
يعد Webex Calling Dedicated Instance جزءًا من محفظة Cisco Cloud Calling ، التي يتم تشغيلها بواسطة تقنية تعاون Cisco Unified Communications Manager (Cisco Unified CM). يوفر المثيل المخصص حلول الصوت والفيديو والمراسلة والتنقل مع ميزات وفوائد هواتف Cisco IP والأجهزة المحمولة وعملاء سطح المكتب التي تتصل بشكل آمن بالمثيل المخصص.
هذه المقالة مخصصة لمسؤولي الشبكات ، وخاصة مسؤولي أمان الجدار الناري والوكيل الذين يرغبون في استخدام مثيل مخصص داخل مؤسستهم.
نظرة عامة على الأمان: الأمن في الطبقات
مثيل مخصص يستخدم نهج الطبقات للأمان. تشمل الطبقات:
الوصول المادي
الشبكة
نقاط النهاية
تطبيقات جامعة كاليفورنيا
تصف الأقسام التالية طبقات الأمان في مثيل مخصص عمليات النشر.
الأمن المادي
من المهم توفير الأمان المادي لمواقع Equinix Meet-Me Room و Cisco مثيل مخصص مرافق مركز البيانات. عندما يتم اختراق الأمان المادي ، يمكن بدء هجمات بسيطة مثل تعطيل الخدمة عن طريق إيقاف تشغيل الطاقة عن مفاتيح العميل. من خلال الوصول المادي ، يمكن للمهاجمين الوصول إلى أجهزة الخادم وإعادة تعيين كلمات المرور والوصول إلى المفاتيح. يسهل الوصول المادي أيضًا الهجمات الأكثر تعقيدًا مثل هجمات man-in-the-middle ، وهذا هو سبب أهمية طبقة الأمان الثانية ، أمان الشبكة.
يتم استخدام محركات الأقراص ذاتية التشفير في ملفات مثيل مخصص مراكز البيانات التي تستضيف تطبيقات الاتصالات الموحدة.
لمزيد من المعلومات حول ممارسات الأمان العامة ، راجع الوثائق الموجودة في الموقع التالي: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
أمان الشبكة
يحتاج الشركاء إلى التأكد من أن جميع عناصر الشبكة مؤمنة مثيل مخصص البنية التحتية (التي تتصل عبر Equinix). تقع على عاتق الشريك مسؤولية ضمان أفضل الممارسات الأمنية مثل:
VLAN منفصلة للصوت والبيانات
قم بتمكين أمان المنفذ الذي يحد من عدد عناوين MAC المسموح بها لكل منفذ ، مقابل فيضان جدول CAM
حماية مصدر IP من عناوين IP المخادعة
يفحص فحص ARP الديناميكي (DAI) بروتوكول حل العنوان (ARP) و ARP غير المبرر (GARP) للانتهاكات (ضد انتحال ARP)
802.1x يحد من الوصول إلى الشبكة لمصادقة الأجهزة على شبكات VLAN المعينة (تدعم الهواتف معيار 802.1x )
تكوين جودة الخدمة (QoS) لوضع العلامات المناسبة على حزم الصوت
تكوينات منافذ جدار الحماية لحظر أي حركة مرور أخرى
أمان نقاط النهاية
تدعم نقاط نهاية Cisco ميزات الأمان الافتراضية مثل البرامج الثابتة الموقعة والتمهيد الآمن (الطرز المحددة) والشهادة المثبتة من قبل الشركة المصنعة (MIC) وملفات التكوين الموقعة ، والتي توفر مستوى معينًا من الأمان لنقاط النهاية.
بالإضافة إلى ذلك ، يمكن للشريك أو العميل تمكين أمان إضافي ، مثل:
تشفير خدمات هاتف IP (عبر HTTPS) لخدمات مثل Extension Mobility
إصدار الشهادات المهمة محليًا (LSCs) من وظيفة وكيل جهة منح الشهادات (CAPF) أو هيئة إصدار الشهادات العامة (CA)
تشفير ملفات التكوين
تشفير الوسائط والإشارات
قم بتعطيل هذه الإعدادات إذا لم يتم استخدامها: منفذ PC الشخصي ، الوصول إلى VLAN الصوتي كمبيوتر شخصي ، ARP المجاني ، الوصول إلى الويب ، زر الإعدادات ، SSH ، وحدة التحكم
يتم تنفيذ آليات الأمان في مثيل مخصص يمنع سرقة الهوية للهواتف خادم Unified CM، والتلاعب بالبيانات ، والتلاعب في إشارات المكالمات / تدفق الوسائط.
مثيل مخصص عبر الشبكة:
ينشئ ويحافظ على تدفقات الاتصال المصدق عليها
توقيع الملفات رقميًا قبل نقل الملف إلى الهاتف
يشفر تدفقات الوسائط وإشارات المكالمات بين هواتف Cisco Unified IP
يوفر الأمان افتراضيًا ميزات الأمان التلقائية التالية لهواتف Cisco Unified IP :
توقيع ملفات تكوين الهاتف
دعم لتشفير ملف تكوين الهاتف
HTTPS مع Tomcat وخدمات الويب الأخرى (MIDlets)
بالنسبة للإصدار 8.0 من Unified CM لاحقًا ، يتم توفير ميزات الأمان هذه بشكل افتراضي دون تشغيل عميل قائمة الشهادات الموثوق بها (CTL).
خدمة التحقق من الثقةنظرًا لوجود عدد كبير من الهواتف في الشبكة وهواتف IP ذات ذاكرة محدودة ، تعمل Cisco Unified CM كمخزن ثقة عن بُعد من خلال خدمة التحقق من الثقة (TVS) بحيث لا يلزم وضع مخزن الشهادات الموثوق به على كل هاتف. تتصل هواتف Cisco IP بخادم TVS للتحقق من صحة التوقيع أو الشهادة من خلال ملفات CTL أو ITL. يعد امتلاك متجر ثقة مركزي أسهل في إدارته من وجود متجر موثوق به على كل هاتف IP Cisco Unified IP.
تعمل خدمة TVS على تمكين هواتف Cisco Unified IP من مصادقة خوادم التطبيقات ، مثل خدمات EM ، والدليل ، و MIDlet ، أثناء إنشاء HTTPS.
قائمة الثقة الأوليةيتم استخدام ملف قائمة الثقة الأولية (ITL) للأمان الأولي ، بحيث يمكن لنقاط النهاية الوثوق بـ Cisco Unified CM. لا يحتاج ITL إلى تمكين أي ميزات أمان بشكل صريح. يتم إنشاء ملف ITL تلقائيًا عند تثبيت المجموعة. يتم استخدام المفتاح الخاص لخادم Unified CM Trivial File Transfer Protocol (TFTP) للتوقيع على ملف ITL.
عندما تكون مجموعة أو خادم Cisco Unified CM في وضع آمن ، يتم تنزيل ملف ITL على كل هاتف IP Cisco IP مدعوم. يمكن للشريك عرض محتويات ملف ITL باستخدام أمر CLI، admin: show itl.
تحتاج هواتف Cisco IP إلى ملف ITL لأداء المهام التالية:
الاتصال بشكل آمن بـ CAPF، وهو شرط أساسي لدعم تشفير ملف التكوين
قم بمصادقة توقيع ملف التكوين
مصادقة خوادم التطبيقات ، مثل خدمات EM والدليل و MIDlet أثناء إنشاء HTTPS باستخدام TVS
تعتمد مصادقة الجهاز والملف والإشارة على إنشاء ملف قائمة الشهادات الموثوق بها (CTL) ، والذي يتم إنشاؤه عندما يقوم الشريك أو العميل بتثبيت وتكوين عميل قائمة الشهادات الموثوق بها من Cisco .
يحتوي ملف CTL على إدخالات للخوادم أو رموز الأمان التالية:
رمز أمان مسؤول النظام (SAST)
خدمات Cisco CallManager و Cisco TFTP التي تعمل على نفس الخادم
وظيفة وكيل Certificate Authority (CAPF)
خادم (خوادم) TFTP
جدار حماية ASA
يحتوي ملف CTL على شهادة الخادم والمفتاح العام رقم تسلسلي والتوقيع واسم المُصدر واسم الموضوع ووظيفة الخادم واسم DNS عنوان IP لكل خادم.
يوفر أمان الهاتف باستخدام CTL الوظائف التالية:
مصادقة ملفات TFTP التي تم تنزيلها (التكوين والإعدادات المحلية وقائمة الرنين وما إلى ذلك) باستخدام مفتاح التوقيع
تشفير ملفات تكوين TFTP باستخدام مفتاح توقيع
إشارات المكالمات المشفرة لهواتف IP
صوت المكالمة المشفر (الوسائط) لهواتف IP
مثيل مخصص يوفر تسجيل نقاط النهاية معالجة المكالمة. تستند الإشارة بين Cisco Unified CM ونقاط النهاية إلى بروتوكول التحكم في عميل Skinny (SCCP) أو بروتوكول بدء الجلسة (SIP) ويمكن تشفيرها باستخدام أمان طبقة النقل (TLS). تعتمد الوسائط من / إلى نقاط النهاية على بروتوكول النقل في الوقت الفعلي (RTP) ويمكن أيضًا تشفيرها باستخدام Secure RTP (SRTP).
يتيح تمكين الوضع المختلط على Unified CM تشفير نقل الوسائط من وإلى نقاط نهاية Cisco .
تطبيقات UC الآمنة
تمكين الوضع المختلط في المثيل المكرّسيتم تم تمكينه افتراضيًا في مثيل مخصص .
تمكين الوضع المختلط في مثيل مخصص يتيح القدرة على إجراء تشفير للإشارات نقل الوسائط من وإلى نقاط نهاية Cisco .
في الإصدار 12.5 (1) من Cisco Unified CM ، تمت إضافة خيار جديد لتمكين تشفير الإشارات والوسائط استنادًا إلى SIP OAuth بدلاً من الوضع المختلط / CTL لعملاء Jabber و Webex . لذلك ، في إصدار Unified CM 12.5 (1) ، يمكن استخدام SIP OAuth و SRTP لتمكين التشفير للإشارات والوسائط لعملاء Jabber أو Webex . لا يزال تمكين الوضع المختلط مطلوبًا لهواتف Cisco IP ونقاط نهاية Cisco الأخرى في الوقت الحالي. هناك خطة لإضافة دعم SIP OAuth في 7800/8800 نقطة نهاية في إصدار مستقبلي.
أمان المراسلة الصوتيةيتصل Cisco Unity Connection بـ Unified CM من خلال منفذ TLS . عندما يكون وضع أمان الجهاز غير آمن ، يتصل Cisco Unity Connection بـ Unified CM من خلال منفذ SCCP .
لتكوين الأمان لمنافذ الرسائل الصوتية Unified CM وأجهزة Cisco Unity التي تقوم بتشغيل أجهزة SCCP أو Cisco Unity Connection التي تقوم بتشغيل SCCP، يمكن للشريك اختيار وضع أمان الجهاز الآمن للمنفذ. إذا اخترت منفذ بريد صوتي مصدق عليه ، فسيتم فتح اتصال TLS ، والذي يقوم بمصادقة الأجهزة باستخدام تبادل الشهادات المتبادل (يقبل كل جهاز شهادة الجهاز الآخر). إذا اخترت منفذ بريد صوتي مشفر ، يقوم النظام أولاً بمصادقة الأجهزة ثم إرسال تدفقات صوتية مشفرة بين الأجهزة.
لمزيد من المعلومات حول منافذ المراسلة الصوتية للأمان ، يرجى الرجوع إلى: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
الأمان لـ SRST و Trunks و Gateways و CUBE / SBC
توفر بوابة Cisco Unified Survivable Remote Site Telephony (SRST) مهام معالجة مكالمات محدودة في حالة تشغيل Cisco Unified CM مثيل مخصص لا يمكن إكمال المكالمة.
تحتوي البوابات الآمنة التي تم تمكين SRST شهادة موقعة ذاتيًا. بعد أن يقوم الشريك بتنفيذ مهام تكوين SRST في Unified CM Administration، يستخدم Unified CM اتصال TLS للمصادقة مع خدمة موفر الشهادة في بوابة ممكّنة بـ SRST. بعد ذلك ، يسترد " Unified CM " الشهادة من بوابة ممكّنة بـ SRST ويضيف الشهادة إلى قاعدة بيانات Unified CM .
بعد أن يقوم الشريك بإعادة تعيين الأجهزة التابعة في Unified CM Administration، يضيف خادم TFTP شهادة بوابة ممكّنة بـ SRST SRST بها إلى ملف cnf.xml الخاص بالهاتف ويرسل الملف إلى الهاتف. يستخدم الهاتف الآمن بعد ذلك اتصال TLS للتفاعل مع بوابة ممكّنة بـ SRST.
من المستحسن أن يكون لديك قنوات اتصال آمنة للمكالمة الصادرة من Cisco Unified CM إلى البوابة لمكالمات PSTN الصادرة أو العبور من خلال Cisco Unified Border Element (CUBE).
يمكن أن تدعم قنوات SIP المكالمات الآمنة للإشارة وكذلك للوسائط ؛ يوفر TLS تشفير الإشارات ويوفر SRTP تشفير الوسائط.
تأمين الاتصالات بين Cisco Unified CM وCUBE
للاتصالات الآمنة بين Cisco Unified CM و CUBE ، يحتاج الشركاء / العملاء إلى استخدام شهادة موقعة ذاتيًا من قِبل المرجع المصدق.
للشهادات الموقعة ذاتيًا:
ينشئ CUBE و Cisco Unified CM شهادات موقعة ذاتيًا
يقوم CUBE بتصدير الشهادة إلى Cisco Unified CM
تصدر Cisco Unified CM الشهادة إلى CUBE
للشهادات الموقعة من قِبل المرجع المصدق (CA):
ينشئ العميل زوجًا من المفاتيح ويرسل طلب توقيع الشهادة (CSR) إلى Certificate Authority (CA)
يقوم المرجع المصدق بتسجيله باستخدام مفتاحه الخاص ، مما يؤدي إلى إنشاء شهادة هوية
يقوم العميل بتثبيت قائمة الشهادات الجذرية والوسيطة للمرجع المصدق وشهادة الهوية
أمان نقاط النهاية البعيدة
باستخدام نقاط نهاية Remote Access والجوال (MRA) ، يتم دائمًا تشفير الإشارات والوسائط بين نقاط نهاية MRA وعقد Expressway. إذا تم استخدام بروتوكول مؤسسة الاتصال التفاعلي (ICE) لنقاط نهاية MRA ، فإن إرسال الإشارات وتشفير الوسائط لنقاط نهاية MRA مطلوب. ومع ذلك ، فإن تشفير الإشارات والوسائط بين Expressway-C وخوادم Unified CM الداخلية أو نقاط النهاية الداخلية أو الأجهزة الداخلية الأخرى ، تتطلب الوضع المختلط أو SIP OAuth.
يوفر Cisco Expressway آمنًا لجدار الحماية ودعمًا من جانب الخط لتسجيلات Unified CM . يوفر Unified CM التحكم في المكالمة لكل من نقاط النهاية المتنقلة والمحلية. تعبر الإشارات حل Expressway بين نقطة النهاية البعيدة و Unified CM. تتجاوز الوسائط حل Expressway ويتم ترحيلها بين نقاط النهاية مباشرةً. يتم تشفير جميع الوسائط بين Expressway-C ونقطة نهاية الهاتف المحمول.
يتطلب أي حل من حلول MRA Expressway و Unified CM، مع عملاء ناعمين متوافقين مع MRA و / أو نقاط نهاية ثابتة. يمكن أن يتضمن الحل اختياريًا IM وخدمة خدمة الحضور واتصال Unity .
ملخص البروتوكول
يوضح الجدول التالي البروتوكولات والخدمات المرتبطة بها المستخدمة في حل Unified CM .
البروتوكول | الأمان | الخدمة |
---|---|---|
SIP | TLS | تأسيس الجلسة: التسجيل والدعوة وما إلى ذلك. |
HTTPS | TLS | تسجيل الدخول ، التزويد / التكوين ، الدليل ، البريد الصوتي المرئي |
الوسائط | SRTP | الوسائط: الصوت والفيديو ومشاركة المحتوى |
XMPP | TLS | المراسلة الفورية والحضور والاتحاد |
لمزيد من المعلومات حول تكوين MRA ، راجع: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
خيارات الإعداد
ال مثيل مخصص يوفر للشريك المرونة لتخصيص الخدمات للمستخدمين النهائيين من خلال التحكم الكامل في تكوينات اليوم الثاني. ونتيجة لذلك ، فإن الشريك هو المسؤول الوحيد عن التكوين الصحيح لـ مثيل مخصص خدمة لبيئة المستخدم النهائي. يتضمن ذلك ، على سبيل المثال لا الحصر:
اختيار المكالمات الآمنة / غير الآمنة والبروتوكولات الآمنة / غير الآمنة مثل SIP/ sSIP و http / https وما إلى ذلك وفهم أي مخاطر مرتبطة بها.
لجميع عناوين MAC التي لم يتم تكوينها كعناوين آمنة- SIP في مثيل مخصص ، يمكن للمهاجم إرسال رسالة تسجيل SIP باستخدام عنوان MAC هذا ويكون قادرًا على إجراء مكالمات SIP ، مما يؤدي إلى احتيال حصيلة. الشرط الأساسي هو أن المهاجم يمكنه تسجيل جهاز SIP الخاص به مثيل مخصص بدون إذن إذا كانوا يعرفون عنوان MAC بجهاز مسجل في مثيل مخصص .
يجب تكوين سياسات مكالمات Expressway-E وقواعد التحويل والبحث لمنع الاحتيال في الرسوم. للحصول على مزيد من المعلومات حول منع الاحتيال في الرسوم باستخدام Expressway ، راجع قسم الأمان لـ Expressway C و Expressway-E في التعاون SRND .
تكوين خطة الاتصال للتأكد من أن المستخدمين يمكنهم الاتصال بالوجهات المسموح بها فقط ، على سبيل المثال ، حظر الاتصال المحلي / الدولي ، وتوجيه مكالمات الطوارئ بشكل صحيح وما إلى ذلك. لمزيد من المعلومات حول تطبيق القيود باستخدام خطة الاتصال ، ارجع إلى خطة الطلب قسم التعاون SRND.
متطلبات الشهادة للاتصالات الآمنة في المثيل المكرّس
بالنسبة إلى المثيل المخصص ، ستوفر Cisco المجال وتوقع جميع الشهادات لتطبيقات UC باستخدام Certificate Authority عام (CA).
المثيل المخصص - أرقام المنافذ والبروتوكولات
تصف الجداول التالية المنافذ والبروتوكولات المدعومة في المثيل المخصص. تعتمد المنافذ المستخدمة لعميل معين على النشر والحل الخاصين بالعميل. تعتمد البروتوكولات على تفضيل العميل (SCCP مقابل SIP) والأجهزة الموجودة في الموقع ومستوى الأمان لتحديد المنافذ التي سيتم استخدامها في كل عملية نشر.
لا يسمح المثيل المخصص بترجمة عنوان الشبكة (NAT) بين نقاط النهاية وUnified CM لأن بعض ميزات تدفق المكالمات لن تعمل، على سبيل المثال ميزة وسط المكالمة. |
مثيل مخصص - منافذ العملاء
يتم عرض المنافذ المتاحة للعملاء - بين العميل داخلي والمثيل المخصص في الجدول 1 منافذ العملاء المثيلة المخصصة . جميع المنافذ المدرجة أدناه مخصصة لحركة مرور العملاء عبر روابط التناظر.
يتم فتح منفذ SNMP افتراضيًا فقط من أجل Cisco Emergency Responder لدعم وظائفه. نظرًا لأننا لا ندعم الشركاء أو العملاء الذين يراقبون تطبيقات UC المنتشرة في سحابة المثيل المخصص، فإننا لا نسمح بفتح منفذ SNMP لأي تطبيقات UC أخرى. |
يتم حجز المنافذ في النطاق من 5063 إلى 5080 بواسطة Cisco لعمليات تكامل السحابة الأخرى، ويوصى مسؤولو الشركاء أو العملاء بعدم استخدام هذه المنافذ في تكويناتهم. |
البروتوكول | TCP/UDP | المصدر | الوجهة | منفذ المصدر | منفذ الوجهة | الغرض | ||
---|---|---|---|---|---|---|---|---|
SSH |
TCP |
العميل |
تطبيقات جامعة كاليفورنيا
|
أكبر من 1023 |
22 |
الإدارة |
||
TFTP |
UDP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
69 |
دعم نقطة النهاية القديمة |
||
LDAP |
TCP |
تطبيقات جامعة كاليفورنيا |
الدليل الخارجي |
أكبر من 1023 |
389 |
مزامنة الدليل مع العميل LDAP |
||
HTTPS |
TCP |
المستعرض |
تطبيقات جامعة كاليفورنيا |
أكبر من 1023 |
443 |
الوصول إلى الويب للرعاية الذاتية والواجهات الإدارية |
||
البريد الصادر (آمن) |
TCP |
تطبيق UC |
CUCxn |
أكبر من 1023 |
587 |
تُستخدم لإنشاء رسائل آمنة وإرسالها إلى أي مستلمين معينين |
||
LDAP (آمن) |
TCP |
تطبيقات جامعة كاليفورنيا |
الدليل الخارجي |
أكبر من 1023 |
636 |
مزامنة الدليل مع العميل LDAP |
||
H323 |
TCP |
بوابة |
Unified CM |
أكبر من 1023 |
1720 |
إشارات المكالمات |
||
H323 |
TCP |
Unified CM |
Unified CM |
أكبر من 1023 |
1720 |
إشارات المكالمات |
||
SCCP |
TCP |
نقطة النهاية |
Unified CM، CUCxn |
أكبر من 1023 |
2000 |
إشارات المكالمات |
||
SCCP |
TCP |
Unified CM |
بوابة Unified CM |
أكبر من 1023 |
2000 |
إشارات المكالمات |
||
MGCP |
UDP |
بوابة |
بوابة |
أكبر من 1023 |
2427 |
إشارات المكالمات |
||
دعم MGCP |
TCP |
بوابة |
Unified CM |
أكبر من 1023 |
2428 |
إشارات المكالمات |
||
SCCP (آمن) |
TCP |
نقطة النهاية |
Unified CM، CUCxn |
أكبر من 1023 |
2443 |
إشارات المكالمات |
||
SCCP (آمن) |
TCP |
Unified CM |
بوابة Unified CM |
أكبر من 1023 |
2443 |
إشارات المكالمات |
||
التحقق من الثقة |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
2445 |
توفير خدمة التحقق من الثقة لنقاط النهاية |
||
CTI |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
2748 |
الاتصال بين تطبيقات CTI (JTAPI/ TSP) و CTIManager |
||
تأمين CTI |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
2749 |
اتصال آمن بين تطبيقات CTI (JTAPI/ TSP) و CTIManager |
||
كتالوج LDAP العالمي |
TCP |
تطبيقات جامعة كاليفورنيا |
الدليل الخارجي |
أكبر من 1023 |
3268 |
مزامنة الدليل مع العميل LDAP |
||
كتالوج LDAP العالمي |
TCP |
تطبيقات جامعة كاليفورنيا |
الدليل الخارجي |
أكبر من 1023 |
3269 |
مزامنة الدليل مع العميل LDAP |
||
خدمة CAPF |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
3804 |
منفذ الاستماع لوظيفة وكيل Certificate Authority (CAPF) لإصدار الشهادات المهمة محليًا (LSC) لهواتف IP |
||
SIP |
TCP |
نقطة النهاية |
Unified CM، CUCxn |
أكبر من 1023 |
5060 |
إشارات المكالمات |
||
SIP |
TCP |
Unified CM |
بوابة Unified CM |
أكبر من 1023 |
5060 |
إشارات المكالمات |
||
SIP (آمن) |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
5061 |
إشارات المكالمات |
||
SIP (آمن) |
TCP |
Unified CM |
بوابة Unified CM |
أكبر من 1023 |
5061 |
إشارات المكالمات |
||
SIP (OAUTH) |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
5090 |
إشارات المكالمات |
||
XMPP |
TCP |
عميل جابر |
Cisco IM&P |
أكبر من 1023 |
5222 |
المراسلة الفورية والحضور |
||
HTTP |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
6970 |
تنزيل التكوين والصور إلى نقاط النهاية |
||
HTTPS |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
6971 |
تنزيل التكوين والصور إلى نقاط النهاية |
||
HTTPS |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
6972 |
تنزيل التكوين والصور إلى نقاط النهاية |
||
HTTP |
TCP |
عميل جابر |
CUCxn |
أكبر من 1023 |
7080 |
إشعارات البريد الصوتي |
||
HTTPS |
TCP |
عميل جابر |
CUCxn |
أكبر من 1023 |
7443 |
إخطارات البريد الصوتي الآمنة |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
أكبر من 1023 |
7501 |
تُستخدم بواسطة خدمة البحث في مجموعة النظام المتداخلة (ILS) للمصادقة المستندة إلى الشهادة |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
أكبر من 1023 |
7502 |
مستخدمة بواسطة ILS للمصادقة المستندة إلى كلمة المرور |
||
IMAP |
TCP |
عميل جابر |
CUCxn |
أكبر من 1023 |
7993 |
IMAP عبر TLS |
||
HTTP |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
8080 |
URI للدليل لدعم نقطة النهاية القديمة |
||
HTTPS |
TCP |
المستعرض ، نقطة النهاية |
تطبيقات جامعة كاليفورنيا |
أكبر من 1023 |
8443 |
الوصول إلى الويب للرعاية الذاتية والواجهات الإدارية ، UDS |
||
HTTPS |
TCP |
الهاتف |
Unified CM |
أكبر من 1023 |
9443 |
بحث عن جهة اتصال مصدق عليه |
||
HTTPs |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
9444 |
ميزة إدارة سماعة الرأس |
||
تأمين RTP/ SRTP |
UDP |
Unified CM |
الهاتف |
16384 إلى 32767 * |
16384 إلى 32767 * |
الوسائط (الصوت) - التعليق مع تشغيل موسيقى، المذيع ، جسر مؤتمر البرنامج (مفتوح بناءً على إشارات المكالمات) |
||
تأمين RTP/ SRTP |
UDP |
الهاتف |
Unified CM |
16384 إلى 32767 * |
16384 إلى 32767 * |
الوسائط (الصوت) - التعليق مع تشغيل موسيقى، المذيع ، جسر مؤتمر البرنامج (مفتوح بناءً على إشارات المكالمات) |
||
كوبراس |
TCP |
العميل |
CUCxn |
أكبر من 1023 |
20532 |
نسخة احتياطية واسترجاع مجموعة التطبيقات |
||
ICMP |
ICMP |
نقطة النهاية |
تطبيقات جامعة كاليفورنيا |
غير متاح |
غير متاح |
Ping |
||
ICMP |
ICMP |
تطبيقات جامعة كاليفورنيا |
نقطة النهاية |
غير متاح |
غير متاح |
Ping |
||
DNS | UDP وTCP | أداة إعادة توجيه DNS |
خوادم DNS للمثيل المكرّس |
أكبر من 1023 |
53 | وكلاء DNS لفرضية العميل إلى خوادم DNS المثيل المكرس. راجع متطلبات DNS للحصول على مزيد من المعلومات. |
||
* قد تستخدم بعض الحالات الخاصة نطاقًا أكبر. |
المثيل المكرّس - منافذ OTT
يمكن استخدام المنفذ التالي بواسطة العملاء والشركاء لإعداد Remote Access والجوال (MRA):
البروتوكول | TCP/ UCP | المصدر | الوجهة | منفذ المصدر | منفذ الوجهة | الغرض |
---|---|---|---|---|---|---|
تأمين RTP/ RTCP |
UDP |
الطريق السريع ج |
العميل |
أكبر من 1023 |
36000-59999 |
الوسائط الآمنة لمكالمات MRA و B2B |
خط اتصال SIP بين العمليات التشغيلية بين المستأجر والممثيل المخصص (فقط للقناة المستندة إلى التسجيل)
يجب السماح بقائمة المنافذ التالية على جدار حماية العميل من أجل قناة SIP القائمة على التسجيل والتي تتصل بين المثيل المتعدد والمستأجر المكرّس.
البروتوكول | TCP/ UCP | المصدر | الوجهة | منفذ المصدر | منفذ الوجهة | الغرض |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
مستأجر Webex Calling المتعدد |
العميل |
أكبر من 1023 |
8000-48198 |
الوسائط من Webex Calling المتعدد |
المثيل المكرّس - منافذ UCCX
يمكن استخدام قائمة المنافذ التالية بواسطة العملاء والشركاء لتكوين UCCX.
البروتوكول | TCP / UCP | المصدر | الوجهة | منفذ المصدر | منفذ الوجهة | الغرض |
---|---|---|---|---|---|---|
SSH |
TCP |
العميل |
UCCX |
أكبر من 1023 |
22 |
SFTP و SSH |
Informix |
TCP |
العميل أو الخادم |
UCCX |
أكبر من 1023 |
1504 |
منفذ قاعدة بيانات مركز الاتصال Express |
SIP |
UDP وTCP |
خادم SIP GW أو MCRP |
UCCX |
أكبر من 1023 |
5065 |
الاتصال بعقدتي GW و MCRP البعيدة |
XMPP |
TCP |
العميل |
UCCX |
أكبر من 1023 |
5223 |
اتصال XMPP آمن بين خادم Finesse وتطبيقات الطرف الثالث المخصصة |
CVD |
TCP |
العميل |
UCCX |
أكبر من 1023 |
6999 |
محرر لتطبيقات CCX |
HTTPS |
TCP |
العميل |
UCCX |
أكبر من 1023 |
7443 |
تأمين اتصال BOSH بين خادم Finesse وسطح مكتب الوكيل والمشرف للتواصل عبر HTTPS |
HTTP |
TCP |
العميل |
UCCX |
أكبر من 1023 |
8080 |
عملاء الإبلاغ عن البيانات الحية يتصلون بخادم socket.IO |
HTTP |
TCP |
العميل |
UCCX |
أكبر من 1023 |
8081 |
يحاول مستعرض العميل الوصول إلى واجهة ويب Cisco Unified Intelligence Center |
HTTP |
TCP |
العميل |
UCCX |
أكبر من 1023 |
8443 |
واجهة مستخدم رسومية للمسؤول ، RTMT ، وصول DB عبر SOAP |
HTTPS |
TCP |
العميل |
UCCX |
أكبر من 1023 |
8444 |
واجهة ويب Cisco Unified Intelligence Center |
HTTPS |
TCP |
عملاء المستعرض و REST |
UCCX |
أكبر من 1023 |
8445 |
منفذ آمن للبراعة |
HTTPS |
TCP |
العميل |
UCCX |
أكبر من 1023 |
8447 |
HTTPS - تعليمات مركز المعلومات الموحدة عبر الإنترنت |
HTTPS |
TCP |
العميل |
UCCX |
أكبر من 1023 |
8553 |
تصل مكونات تسجيل الدخول الفردي (SSO) إلى هذه الواجهة لمعرفة حالة تشغيل Cisco IdS. |
HTTP |
TCP |
العميل |
UCCX |
أكبر من 1023 |
9080 |
العملاء الذين يحاولون الوصول إلى مشغلات HTTP أو المستندات / المطالبات / القواعد النحوية / بيانات مباشرة. |
HTTPS |
TCP |
العميل |
UCCX |
أكبر من 1023 |
9443 |
يستخدم المنفذ الآمن للرد على العملاء الذين يحاولون الوصول إلى مشغلات HTTPS |
TCP |
TCP |
العميل |
UCCX |
أكبر من 1023 |
12014 |
هذا هو المنفذ حيث يمكن لعملاء الإبلاغ عن البيانات الحية الاتصال بخادم socket.IO |
TCP |
TCP |
العميل |
UCCX |
أكبر من 1023 |
12015 |
هذا هو المنفذ حيث يمكن لعملاء الإبلاغ عن البيانات الحية الاتصال بخادم socket.IO |
CTI |
TCP |
العميل |
UCCX |
أكبر من 1023 |
12028 |
عميل CTI لجهة خارجية إلى CCX |
RTP(وسائط) |
TCP |
نقطة النهاية |
UCCX |
أكبر من 1023 |
أكبر من 1023 |
يتم فتح منفذ الوسائط ديناميكيًا حسب الحاجة |
RTP(وسائط) |
TCP |
العميل |
نقطة النهاية |
أكبر من 1023 |
أكبر من 1023 |
يتم فتح منفذ الوسائط ديناميكيًا حسب الحاجة |
أمان العميل
تأمين Jabber و Webex باستخدام SIP OAuth
تتم مصادقة عملاء Jabber و Webex من خلال رمز OAuth المميز بدلاً من شهادة مهمة محليًا (LSC) ، والتي لا تتطلب تمكين وظيفة وكيل جهة منح الشهادات (CAPF) (لـ MRA أيضًا). تم تقديم SIP OAuth الذي يعمل مع الوضع المختلط أو بدونه في Cisco Unified CM 12.5 (1) و Jabber 12.5 و Expressway X12.5.
في Cisco Unified CM 12.5 ، لدينا خيار جديد في ملف تعريف أمان الهاتف الذي يتيح التشفير بدون LSC/ CAPF، باستخدام أمان طبقة النقل (TLS) + رمز OAuth المميز في SIP REGISTER. تستخدم عُقد Expressway-C API خدمة الويب XML الإدارية ( AXL ) لإبلاغ Cisco Unified CM بـ SN / SAN في شهادتها. يستخدم Cisco Unified CM هذه المعلومات للتحقق من صحة شهادة Exp-C عند إنشاء اتصال TLS متبادل.
يتيح SIP OAuth تشفير الوسائط والإشارات بدون شهادة نقطة النهاية (LSC).
يستخدم Cisco Jabber المنافذ المؤقتة والمنافذ الآمنة 6971 و 6972 عبر اتصال HTTPS بخادم TFTP لتنزيل ملفات التكوين. المنفذ 6970 هو منفذ غير آمن للتنزيل عبر HTTP.
مزيد من التفاصيل حول تكوين SIP OAuth: وضع SIP OAuth .
متطلبات DNS
بالنسبة للمثيل المخصص ، توفر Cisco FQDN للخدمة في كل منطقة بالتنسيق التالي<customer> .<region> .wxc-di.webex.com على سبيل المثال ، xyz.amer.wxc-di.webex.com .
يتم توفير قيمة "العميل" من قبل المسؤول كجزء من معالج الإعداد لأول مرة (FTSW). لمزيد من المعلومات الرجوع إلى تفعيل خدمة المثيل المخصص .
يجب أن تكون سجلات DNS الخاصة بـ FQDN قابلة للحل من خادم DNS الداخلي للعميل لدعم الأجهزة المحلية المتصلة بالمثيل المخصص. لتسهيل الحل ، يحتاج العميل إلى تكوين معيد توجيه شرطي ، لـ FQDN هذا ، على خادم DNS به للإشارة إلى خدمة DNS المثيل المخصص. خدمة DNS الخاصة بالمثيلات هي خدمة إقليمية ويمكن الوصول إليها ، عبر التناظر إلى المثيل المخصص ، باستخدام عناوين IP التالية كما هو مذكور في الجدول أدناه عنوان IP المخصص لخدمة DNS .
المنطقة / العاصمة | عنوان IP المخصص لخدمة DNS | مثال على إعادة التوجيه الشرطي |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
لون |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
الاتحاد الأوروبي |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
خطيئة |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
تم تعطيل خيار ping لعناوين IP خادم DNS المذكورة أعلاه لأسباب أمنية. |
حتى يتم تشغيل إعادة التوجيه الشرطي ، لن تتمكن الأجهزة من التسجيل في المثيل المخصص من الشبكة الداخلية للعملاء عبر روابط التناظر. إعادة التوجيه المشروط غير مطلوب للتسجيل عبر الهاتف المحمول Remote Access (MRA) ، حيث سيتم توفير جميع سجلات DNS الخارجية المطلوبة لتسهيل MRA مسبقًا بواسطة Cisco.
عند استخدام تطبيق Webex كعميل مرن للاتصال على مثيل مخصص ، يجب تكوين ملف تعريف UC Manager في Control Hub لكل مجال خدمة الصوت (VSD) في كل منطقة. لمزيد من المعلومات الرجوع إلى ملفات تعريف UC Manager في Cisco Webex Control Hub . سيتمكن تطبيق Webex من حل Expressway Edge للعميل تلقائيًا دون أي تدخل من المستخدم النهائي .
سيتم توفير مجال الخدمة الصوتية للعميل كجزء من وثيقة وصول الشريك بمجرد اكتمال تنشيط الخدمة. |
المراجع
تصميمات شبكة مرجعية للحلول 12.x من Cisco Collaboration (SRND) ، موضوع الأمان: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
دليل الأمان لـ Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html