- الرئيسية
- /
- المقال
شكرًا على ملاحظاتك.
متطلبات الشبكة والأمان للمثيل المخصص
في هذه المقالة
هل لديك ملاحظات؟متطلبات الشبكة والأمان لحل Dedicated Instance هي النهج متعدد الطبقات للميزات والوظائف التي توفر وصولاً مادياً آمناً، وشبكة، ونقاط نهاية، وتطبيقات Cisco UC. يصف هذا القسم متطلبات الشبكة ويسرد العناوين والمنافذ والبروتوكولات المستخدمة لربط نقاط النهاية الخاصة بك بالخدمات.
متطلبات الشبكة للمثيل المخصص
يُعد Webex Calling Dedicated Instance جزءًا من مجموعة Cisco Cloud Calling، وهو مدعوم بتقنية التعاون Cisco Unified Communications Manager (Cisco Unified CM). توفر خدمة Dedicated Instance حلولاً للصوت والفيديو والمراسلة والتنقل مع ميزات وفوائد هواتف Cisco IP والأجهزة المحمولة وعملاء سطح المكتب الذين يتصلون بشكل آمن بخدمة Dedicated Instance.
هذه المقالة مخصصة لمسؤولي الشبكات، وخاصة مسؤولي أمن جدار الحماية والوكيل الذين يرغبون في استخدام مثيل مخصص داخل مؤسستهم.
نظرة عامة على الأمن: الأمن متعدد الطبقات
تستخدم النسخة المخصصة نهجًا متعدد الطبقات للأمان. تتضمن الطبقات ما يلي:
-
الوصول المادي
-
الشبكة
-
نقاط النهاية
-
طلبات جامعة كاليفورنيا
تصف الأقسام التالية طبقات الأمان في عمليات نشر المثيلات المخصصة.
الطعام المادي
من المهم توفير الأمن المادي لمواقع غرف الاجتماعات الخاصة بشركة Equinix ومرافق مركز بيانات Cisco Dedicated Instance. عندما يتم اختراق الأمن المادي، يمكن شن هجمات بسيطة مثل تعطيل الخدمة عن طريق قطع التيار الكهربائي عن محولات العميل. بفضل الوصول المادي، يمكن للمهاجمين الوصول إلى أجهزة الخادم، وإعادة تعيين كلمات المرور، والوصول إلى المحولات. كما أن الوصول المادي يسهل الهجمات الأكثر تعقيدًا مثل هجمات الوسيط، ولهذا السبب تعتبر طبقة الأمان الثانية، وهي أمان الشبكة، أمرًا بالغ الأهمية.
تُستخدم محركات الأقراص ذاتية التشفير في مراكز بيانات المثيلات المخصصة التي تستضيف تطبيقات الاتصالات الموحدة.
للحصول على مزيد من المعلومات حول ممارسات الأمن العامة، يرجى الرجوع إلى الوثائق الموجودة في الموقع التالي: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
أمن الشبكات
يتعين على الشركاء التأكد من تأمين جميع عناصر الشبكة في البنية التحتية للمثيل المخصص (التي تتصل عبر Equinix). تقع على عاتق الشريك مسؤولية ضمان تطبيق أفضل الممارسات الأمنية مثل:
-
شبكة VLAN منفصلة للصوت والبيانات
-
قم بتفعيل خاصية أمان المنفذ التي تحد من عدد عناوين MAC المسموح بها لكل منفذ، وذلك للحماية من هجمات إغراق جدول عناوين MAC.
-
حماية مصدر IP ضد عناوين IP المزيفة
-
يقوم فحص ARP الديناميكي (DAI) بفحص بروتوكول حل العناوين (ARP) و ARP المجاني (GARP) بحثًا عن انتهاكات (ضد انتحال ARP).
-
802.1x يحد من الوصول إلى الشبكة لمصادقة الأجهزة على شبكات VLAN المخصصة (تدعم الهواتف 802.1x)
-
تهيئة جودة الخدمة (QoS) لوضع علامات مناسبة على حزم الصوت
-
إعدادات منافذ جدار الحماية لحظر أي حركة مرور أخرى
أمن نقاط النهاية
تدعم نقاط نهاية Cisco ميزات الأمان الافتراضية مثل البرامج الثابتة الموقعة، والتمهيد الآمن (في بعض الطرازات)، وشهادة الشركة المصنعة المثبتة (MIC)، وملفات التكوين الموقعة، والتي توفر مستوى معينًا من الأمان لنقاط النهاية.
بالإضافة إلى ذلك، يمكن للشريك أو العميل تفعيل إجراءات أمان إضافية، مثل:
-
تشفير خدمات الهاتف عبر بروتوكول الإنترنت (عبر HTTPS) لخدمات مثل التنقل الداخلي
-
إصدار شهادات ذات أهمية محلية (LSCs) من وظيفة وكيل سلطة الشهادات (CAPF) أو سلطة شهادات عامة (CA).
-
تشفير ملفات التكوين
-
تشفير الوسائط والإشارات
-
قم بتعطيل هذه الإعدادات إذا لم يتم استخدامها: منفذ الكمبيوتر، الوصول إلى شبكة VLAN الصوتية للكمبيوتر، بروتوكول ARP المجاني، الوصول إلى الويب، زر الإعدادات، SSH، وحدة التحكم
يساهم تطبيق آليات الأمان في النسخة المخصصة في منع سرقة هوية الهواتف وخادم إدارة الاتصالات الموحد، والتلاعب بالبيانات، وإشارات المكالمات. / التلاعب بتدفق الوسائط.
نسخة مخصصة عبر الشبكة:
-
يقوم بإنشاء قنوات اتصال موثقة والحفاظ عليها.
-
يقوم بتوقيع الملفات رقميًا قبل نقلها إلى الهاتف
-
يقوم بتشفير تدفقات الوسائط وإشارات المكالمات بين هواتف Cisco Unified IP
يوفر نظام الأمان الافتراضي ميزات الأمان التلقائية التالية لهواتف Cisco Unified IP:
-
توقيع ملفات تهيئة الهاتف
-
دعم تشفير ملفات تكوين الهاتف
-
بروتوكول HTTPS مع Tomcat وخدمات الويب الأخرى (MIDlets)
بالنسبة لإصدار Unified CM 8.0 وما بعده، يتم توفير ميزات الأمان هذه بشكل افتراضي دون تشغيل عميل قائمة الثقة بالشهادات (CTL).
خدمة التحقق من الثقةنظراً لوجود عدد كبير من الهواتف في الشبكة ولأن هواتف IP لديها ذاكرة محدودة، فإن Cisco Unified CM يعمل كمخزن ثقة عن بعد من خلال خدمة التحقق من الثقة (TVS) بحيث لا يلزم وضع مخزن ثقة الشهادات على كل هاتف. تتصل هواتف Cisco IP بخادم TVS للتحقق لأنها لا تستطيع التحقق من التوقيع أو الشهادة من خلال ملفات CTL أو ITL. إن وجود مخزن ثقة مركزي أسهل في الإدارة من وجود مخزن الثقة على كل هاتف Cisco Unified IP.
تتيح خدمة TVS لهواتف Cisco Unified IP مصادقة خوادم التطبيقات، مثل خدمات EM والدليل و MIDlet، أثناء إنشاء HTTPS.
قائمة الثقة الأوليةيتم استخدام ملف قائمة الثقة الأولية (ITL) للأمان الأولي، بحيث يمكن لنقاط النهاية أن تثق في Cisco Unified CM. لا يحتاج نظام إدارة تكنولوجيا المعلومات (ITL) إلى تفعيل أي ميزات أمان بشكل صريح. يتم إنشاء ملف ITL تلقائيًا عند تثبيت المجموعة. يتم استخدام المفتاح الخاص لخادم بروتوكول نقل الملفات البسيط الموحد (TFTP) لتوقيع ملف ITL.
عندما يكون نظام Cisco Unified CM أو الخادم في وضع غير آمن، يتم تنزيل ملف ITL على كل هاتف Cisco IP مدعوم. يمكن للشريك عرض محتويات ملف ITL باستخدام أمر CLI، admin:show itl.
بشكل افتراضي، يتم منح مسؤول الشريك مستوى الوصول 1 لواجهة سطر الأوامر (CLI). راجع حول واجهة سطر الأوامر لمزيد من المعلومات ولمعرفة الأوامر المسموح بها في المستوى 1.
تحتاج هواتف Cisco IP إلى ملف ITL لأداء المهام التالية:
-
التواصل بشكل آمن مع CAPF، وهو شرط أساسي لدعم تشفير ملف التكوين
-
التحقق من صحة توقيع ملف التكوين
-
مصادقة خوادم التطبيقات، مثل خدمات إدارة المؤسسة (EM) والدليل وMIDlet، أثناء إنشاء HTTPS باستخدام TVS
تعتمد مصادقة الجهاز والملف والإشارات على إنشاء ملف قائمة الثقة بالشهادات (CTL)، والذي يتم إنشاؤه عندما يقوم الشريك أو العميل بتثبيت وتكوين عميل قائمة الثقة بالشهادات من سيسكو.
يحتوي ملف CTL على إدخالات للخوادم أو رموز الأمان التالية:
-
رمز أمان مسؤول النظام (SAST)
-
خدمات Cisco CallManager وCisco TFTP التي تعمل على نفس الخادم
-
وظيفة وكيل سلطة إصدار الشهادات (CAPF)
-
خادم (خوادم) TFTP
-
جدار الحماية ASA
يحتوي ملف CTL على شهادة خادم، ومفتاح عام، ورقم تسلسلي، وتوقيع، واسم جهة الإصدار، واسم الموضوع، ووظيفة الخادم، واسم DNS، وعنوان IP لكل خادم.
يوفر نظام أمان الهاتف CTL الوظائف التالية:
-
مصادقة الملفات التي تم تنزيلها عبر بروتوكول نقل الملفات البسيط (التكوين، اللغة، قائمة الخوادم، وما إلى ذلك) باستخدام مفتاح توقيع
-
تشفير ملفات تكوين TFTP باستخدام مفتاح التوقيع
-
إشارات المكالمات المشفرة لهواتف IP
-
تشفير الصوت (الوسائط) للمكالمات عبر هواتف IP
توفر النسخة المخصصة تسجيل نقاط النهاية ومعالجة المكالمات. تعتمد الإشارات بين Cisco Unified CM ونقاط النهاية على بروتوكول التحكم الآمن للعميل النحيف (SCCP) أو بروتوكول بدء الجلسة (SIP) ويمكن تشفيرها باستخدام أمان طبقة النقل (TLS). وسائل الإعلام from/to تعتمد نقاط النهاية على بروتوكول النقل في الوقت الحقيقي (RTP) ويمكن أيضًا تشفيرها باستخدام بروتوكول النقل الآمن في الوقت الحقيقي (SRTP).
يتيح تفعيل الوضع المختلط في Unified CM تشفير إشارات وحركة الوسائط من وإلى نقاط نهاية Cisco.
تطبيقات الاتصالات الموحدة الآمنة
تفعيل الوضع المختلط في المثيل المخصصيتم تمكين الوضع المختلط بشكل افتراضي في المثيل المخصص.
يتيح تمكين الوضع المختلط في Dedicated Instance إمكانية إجراء تشفير لحركة الإشارات والوسائط من وإلى نقاط نهاية Cisco.
ابتداءً من إصدار Cisco Unified CM 12.5(1)، يتوفر خيار جديد لتمكين تشفير الإشارات والوسائط استنادًا إلى SIP OAuth بدلاً من الوضع المختلط / تمت إضافة CTL لعملاء Jabber وWebex. لذلك، في الإصدار 12.5(1) من Unified CM، يمكن استخدام SIP OAuth و SRTP لتمكين التشفير للإشارات والوسائط لعملاء Jabber أو Webex. لا يزال تفعيل الوضع المختلط مطلوبًا لهواتف Cisco IP وغيرها من نقاط نهاية Cisco في الوقت الحالي. هناك خطة لإضافة دعم بروتوكول SIP OAuth في 7800/8800 نقاط النهاية في إصدار مستقبلي.
أمان الرسائل الصوتيةيتصل برنامج Cisco Unity Connection بـ Unified CM عبر منفذ TLS. عندما يكون وضع أمان الجهاز غير آمن، يتصل Cisco Unity Connection بـ Unified CM من خلال منفذ SCCP.
لتكوين الأمان لمنافذ الرسائل الصوتية Unified CM وأجهزة Cisco Unity التي تعمل بنظام SCCP أو أجهزة Cisco Unity Connection التي تعمل بنظام SCCP، يمكن للشريك اختيار وضع أمان الجهاز الآمن للمنفذ. إذا اخترت منفذ بريد صوتي مصادق عليه، فسيتم فتح اتصال TLS، والذي يقوم بمصادقة الأجهزة باستخدام تبادل الشهادات المتبادل (يقبل كل جهاز شهادة الجهاز الآخر). إذا اخترت منفذ بريد صوتي مشفر، يقوم النظام أولاً بمصادقة الأجهزة ثم يرسل تدفقات صوتية مشفرة بين الأجهزة.
للحصول على مزيد من المعلومات حول منافذ الرسائل الصوتية الأمنية، راجع قسم أمان الرسائل الصوتية من دليل الأمان الخاص بـ Cisco Unified Communications Manager.
أمن SRST، والوصلات، والبوابات، CUBE/SBC
توفر بوابة Cisco Unified Survivable Remote Site Telephony (SRST) مهام معالجة المكالمات المحدودة في حالة عدم قدرة Cisco Unified CM على Dedicated Instance على إكمال المكالمة.
تحتوي البوابات الآمنة التي تدعم تقنية SRST على شهادة موقعة ذاتيًا. بعد أن يقوم الشريك بتنفيذ مهام تكوين SRST في إدارة Unified CM، يستخدم Unified CM اتصال TLS للمصادقة مع خدمة موفر الشهادات في البوابة التي تدعم SRST. ثم يقوم Unified CM باسترداد الشهادة من البوابة التي تدعم SRST ويضيف الشهادة إلى قاعدة بيانات Unified CM.
بعد أن يقوم الشريك بإعادة ضبط الأجهزة التابعة في إدارة Unified CM، يقوم خادم TFTP بإضافة شهادة البوابة التي تدعم SRST إلى ملف cnf.xml الخاص بالهاتف ويرسل الملف إلى الهاتف. ثم يستخدم الهاتف الآمن اتصال TLS للتفاعل مع البوابة التي تدعم SRST.
يوصى بوجود خطوط اتصال آمنة للمكالمات الصادرة من Cisco Unified CM إلى البوابة للمكالمات الصادرة عبر PSTN أو التي تمر عبر Cisco Unified Border Element (CUBE).
يمكن لخطوط SIP دعم المكالمات الآمنة لكل من الإشارات والوسائط؛ يوفر TLS تشفير الإشارات ويوفر SRTP تشفير الوسائط.
تأمين الاتصالات بين Cisco Unified CM و CUBE
لضمان الاتصالات الآمنة بين Cisco Unified CM و CUBE، partners/customers يجب استخدام إما شهادة موقعة ذاتيًا أو شهادات موقعة من قبل هيئة إصدار الشهادات.
بالنسبة للشهادات الموقعة ذاتيًا:
-
يقوم كل من CUBE و Cisco Unified CM بإنشاء شهادات موقعة ذاتيًا
-
يقوم برنامج CUBE بتصدير الشهادة إلى Cisco Unified CM
-
يقوم Cisco Unified CM بتصدير الشهادة إلى CUBE
بالنسبة للشهادات الموقعة من قبل هيئة التصديق:
-
يقوم العميل بإنشاء زوج من المفاتيح ويرسل طلب توقيع الشهادة (CSR) إلى هيئة إصدار الشهادات (CA).
-
تقوم هيئة التصديق بتوقيعها باستخدام مفتاحها الخاص، مما يؤدي إلى إنشاء شهادة هوية.
-
يقوم العميل بتثبيت قائمة شهادات المرجع المصدق الجذرية والوسيطة الموثوقة وشهادة الهوية
أمان نقاط النهاية البعيدة
مع نقاط الوصول المتنقلة والبعيدة (MRA)، يتم تشفير الإشارات والوسائط دائمًا بين نقاط الوصول المتنقلة والبعيدة وعقد Expressway. إذا تم استخدام بروتوكول إنشاء الاتصال التفاعلي (ICE) لنقاط نهاية MRA، فإن الإشارة وتشفير الوسائط لنقاط نهاية MRA مطلوبان. ومع ذلك، فإن تشفير الإشارات والوسائط بين Expressway-C وخوادم Unified CM الداخلية، أو نقاط النهاية الداخلية، أو الأجهزة الداخلية الأخرى، يتطلب الوضع المختلط أو SIP OAuth.
يوفر Cisco Expressway إمكانية اجتياز جدار الحماية بشكل آمن ودعم جانب الخط لتسجيلات Unified CM. يوفر نظام إدارة المكالمات الموحد إمكانية التحكم في المكالمات لكل من نقاط النهاية المحمولة ونقاط النهاية الموجودة في الموقع. تنتقل الإشارات عبر حل Expressway بين نقطة النهاية البعيدة و Unified CM. تنتقل الوسائط عبر حل Expressway ويتم نقلها بين نقاط النهاية مباشرة. يتم تشفير جميع الوسائط بين جهاز Expressway-C ونقطة النهاية المتنقلة.
أي حل لـ MRA يتطلب Expressway و Unified CM، مع عملاء برمجيين متوافقين مع MRA and/or نقاط نهاية ثابتة. يمكن أن يشمل الحل اختيارياً خدمة المراسلة الفورية وخدمة الحضور وخدمة الاتصال بـ Unity.
ملخص البروتوكول
يوضح الجدول التالي البروتوكولات والخدمات المرتبطة بها المستخدمة في حل إدارة التكوين الموحد.
|
البروتوكول |
الأمان |
الخدمة |
|---|---|---|
|
SIP |
TLS |
تأسيس الجلسة: التسجيل، الدعوة، إلخ. |
|
HTTPS |
TLS |
تسجيل الدخول، Provisioning/Configuration, دليل الهاتف، البريد الصوتي المرئي |
|
الوسائط |
SRTP |
وسائط: مشاركة الصوت والفيديو والمحتوى |
|
إكس إم بي بي |
TLS |
المراسلة الفورية، حالة التواجد، الاتحاد |
للمزيد من المعلومات حول تكوين MRA، انظر: سيناريوهات نشر MRA قسم من دليل نشر الوصول عبر الأجهزة المحمولة والوصول عن بعد من خلال Cisco Expressway.
خيارات التكوين
توفر النسخة المخصصة للشريك المرونة اللازمة لتخصيص الخدمات للمستخدمين النهائيين من خلال التحكم الكامل في إعدادات اليوم الثاني. ونتيجة لذلك، يكون الشريك مسؤولاً وحده عن التكوين الصحيح لخدمة المثيل المخصص لبيئة المستخدم النهائي. يشمل ذلك، على سبيل المثال لا الحصر:
-
اختيار secure/un-secure المكالمات، secure/unsecure بروتوكولات مثل SIP/sSIP, http/https إلخ، وفهم أي مخاطر مرتبطة بذلك.
-
بالنسبة لجميع عناوين MAC غير المُهيأة كـ secure-SIP في Dedicated Instance، يمكن للمهاجم إرسال رسالة تسجيل SIP باستخدام عنوان MAC هذا والقدرة على إجراء مكالمات SIP، مما يؤدي إلى الاحتيال في المكالمات. الشرط الأساسي هو أن يتمكن المهاجم من تسجيل بروتوكول SIP الخاص به device/software الوصول إلى مثيل مخصص بدون إذن إذا كانوا يعرفون عنوان MAC لجهاز مسجل في مثيل مخصص.
-
ينبغي تكوين سياسات الاتصال وقواعد التحويل والبحث الخاصة بـ Expressway-E لمنع الاحتيال في رسوم المرور. للحصول على مزيد من المعلومات حول منع الاحتيال في رسوم المرور باستخدام الطرق السريعة، راجع قسم الأمن الخاص بالطريق السريع C والطريق السريع E من التعاون SRND.
-
تكوين خطة الاتصال لضمان أن يتمكن المستخدمون من الاتصال فقط بالوجهات المسموح بها، على سبيل المثال، حظرها. national/international الاتصال، وتوجيه مكالمات الطوارئ بشكل صحيح، إلخ.
للحصول على مزيد من المعلومات حول تطبيق القيود باستخدام خطة الاتصال لـ Cisco Unified Communications Manager 12.x وما فوق، راجع قسم خطة الاتصال من Collaboration SRND.
للحصول على مزيد من المعلومات حول نماذج النشر المختبرة والموصى بها، راجع البنية المفضلة لعمليات النشر المحلية لإصدار Cisco Collaboration 15.
متطلبات الشهادات للاتصالات الآمنة في المثيل المخصص
بالنسبة للمثيل المخصص، ستقوم شركة سيسكو بتوفير المجال وتوقيع جميع الشهادات لتطبيقات الاتصالات الموحدة باستخدام هيئة إصدار شهادات عامة (CA).
مثيل مخصص – أرقام المنافذ والبروتوكولات
توضح الجداول التالية المنافذ والبروتوكولات المدعومة في Dedicated Instance. تعتمد المنافذ المستخدمة لعميل معين على عملية النشر والحل الخاص بالعميل. تعتمد البروتوكولات على تفضيلات العميل (SCCP مقابل SIP)، والأجهزة الموجودة في الموقع، ومستوى الأمان لتحديد المنافذ التي سيتم استخدامها في كل عملية نشر.
لا تسمح النسخة المخصصة بترجمة عناوين الشبكة (NAT) بين نقاط النهاية و Unified CM حيث أن بعض ميزات تدفق المكالمات لن تعمل، على سبيل المثال ميزة منتصف المكالمة.
نسخة مخصصة – منافذ العميل
يتم عرض المنافذ المتاحة للعملاء - بين موقع العميل المحلي والمثيل المخصص - في الجدول 1 منافذ العميل للمثيل المخصص. جميع المنافذ المدرجة أدناه مخصصة لحركة مرور العملاء التي تعبر روابط التناظر.
يتم فتح منفذ SNMP افتراضيًا فقط لبرنامج Cisco Emergency Responder لدعم وظائفه. بما أننا لا ندعم الشركاء أو العملاء الذين يراقبون تطبيقات الاتصالات الموحدة المنشورة في سحابة المثيل المخصص، فإننا لا نسمح بفتح منفذ SNMP لأي تطبيقات اتصالات موحدة أخرى.
تم تمكين منفذ SNMP لتطبيق Singlewire (Informacast) (فقط لتطبيق Unified CM). عند تقديم الطلب، تأكد من ذكر عناوين IP المرتبطة بتطبيق Singlewire بشكل صريح في قسم سبب السماح من الطلب. راجع تقديم طلب خدمة لمزيد من المعلومات.
تم حجز المنافذ في النطاق 5063-5080 بواسطة Cisco لعمليات التكامل السحابي الأخرى، ويوصى بعدم استخدام هذه المنافذ في تكوينات الشركاء أو مسؤولي العملاء.
|
البروتوكول |
TCP/UDP |
المصدر |
الوجهة |
منفذ المصدر |
منفذ الوجهة |
الغرض |
|---|---|---|---|---|---|---|
|
SSH |
TCP |
العميل |
طلبات جامعة كاليفورنيا غير مسموح به لتطبيقات Cisco Expressway. |
أكبر من 1023 |
22 |
الإدارة |
|
بروتوكول نقل الملفات البسيط (TFTP) |
UDP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
69 |
دعم نقاط النهاية القديمة |
|
LDAP |
TCP |
طلبات جامعة كاليفورنيا |
دليل خارجي |
أكبر من 1023 |
389 |
مزامنة الدليل مع LDAP الخاص بالعميل |
|
HTTPS |
TCP |
المتصفح |
طلبات جامعة كاليفورنيا |
أكبر من 1023 |
443 |
الوصول إلى الإنترنت للرعاية الذاتية والواجهات الإدارية |
|
البريد الصادر (آمن) |
TCP |
تطبيق UC |
CUCxn |
أكبر من 1023 |
587 |
تُستخدم لإنشاء وإرسال رسائل آمنة إلى أي مستلمين محددين |
|
LDAP (آمن) |
TCP |
طلبات جامعة كاليفورنيا |
دليل خارجي |
أكبر من 1023 |
636 |
مزامنة الدليل مع LDAP الخاص بالعميل |
|
H323 |
TCP |
بوابة |
Unified CM |
أكبر من 1023 |
1720 |
إشارات الاتصال |
|
H323 |
TCP |
Unified CM |
Unified CM |
أكبر من 1023 |
1720 |
إشارات الاتصال |
|
SCCP |
TCP |
نقطة النهاية |
Unified CM, CUCxn |
أكبر من 1023 |
2000 |
إشارات الاتصال |
|
SCCP |
TCP |
Unified CM |
بوابة إدارة التكوين الموحدة |
أكبر من 1023 |
2000 |
إشارات الاتصال |
|
MGCP |
UDP |
بوابة |
بوابة |
أكبر من 1023 |
2427 |
إشارات الاتصال |
|
MGCP Backhaul |
TCP |
بوابة |
Unified CM |
أكبر من 1023 |
2428 |
إشارات الاتصال |
|
SCCP (آمن) |
TCP |
نقطة النهاية |
Unified CM, CUCxn |
أكبر من 1023 |
2443 |
إشارات الاتصال |
|
SCCP (آمن) |
TCP |
Unified CM |
بوابة إدارة التكوين الموحدة |
أكبر من 1023 |
2443 |
إشارات الاتصال |
|
التحقق من الثقة |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
2445 |
تقديم خدمة التحقق من الثقة لنقاط النهاية |
|
سي تي آي |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
2748 |
الربط بين تطبيقات CTI (JTAPI/TSP) ومدير إدارة الاتصالات عبر الأقمار الصناعية |
|
تأمين CTI |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
2749 |
اتصال آمن بين تطبيقات CTI (JTAPI/TSP) ومدير إدارة الاتصالات عبر الأقمار الصناعية |
|
كتالوج LDAP العالمي |
TCP |
تطبيقات UC |
دليل خارجي |
أكبر من 1023 |
3268 |
مزامنة الدليل مع LDAP الخاص بالعميل |
|
كتالوج LDAP العالمي |
TCP |
تطبيقات UC |
دليل خارجي |
أكبر من 1023 |
3269 |
مزامنة الدليل مع LDAP الخاص بالعميل |
|
خدمة قوات الشرطة المركزية المسلحة |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
3804 |
منفذ استماع وظيفة وكيل سلطة إصدار الشهادات (CAPF) لإصدار الشهادات ذات الأهمية المحلية (LSC) لهواتف IP |
|
SIP |
TCP |
نقطة النهاية |
Unified CM, CUCxn |
أكبر من 1023 |
5060 |
إشارات الاتصال |
|
SIP |
TCP |
Unified CM |
بوابة إدارة التكوين الموحدة |
أكبر من 1023 |
5060 |
إشارات الاتصال |
|
بروتوكول SIP (آمن) |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
5061 |
إشارات الاتصال |
|
بروتوكول SIP (آمن) |
TCP |
Unified CM |
بوابة إدارة التكوين الموحدة |
أكبر من 1023 |
5061 |
إشارات الاتصال |
|
بروتوكول بدء الجلسة (OAuth) |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
5090 |
إشارات الاتصال |
|
إكس إم بي بي |
TCP |
عميل جابر |
سيسكو آي إم & P |
أكبر من 1023 |
5222 |
المراسلة الفورية والتواجد |
|
HTTP |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
6970 |
تنزيل التكوين والصور إلى نقاط النهاية |
|
HTTPS |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
6971 |
تنزيل التكوين والصور إلى نقاط النهاية |
|
HTTPS |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
6972 |
تنزيل التكوين والصور إلى نقاط النهاية |
|
HTTP |
TCP |
عميل جابر |
CUCxn |
أكبر من 1023 |
7080 |
إشعارات البريد الصوتي |
|
HTTPS |
TCP |
عميل جابر |
CUCxn |
أكبر من 1023 |
7443 |
إشعارات البريد الصوتي الآمنة |
|
HTTPS |
TCP |
Unified CM |
Unified CM |
أكبر من 1023 |
7501 |
يستخدم بواسطة خدمة البحث بين المجموعات (ILS) للمصادقة القائمة على الشهادات |
|
HTTPS |
TCP |
Unified CM |
Unified CM |
أكبر من 1023 |
7502 |
يستخدمه نظام إدارة الأنظمة المتكاملة (ILS) للمصادقة القائمة على كلمة المرور |
|
IMAP |
TCP |
عميل جابر |
CUCxn |
أكبر من 1023 |
7993 |
بروتوكول IMAP عبر بروتوكول TLS |
|
HTTP |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
8080 |
دليل URI لدعم نقاط النهاية القديمة |
|
HTTPS |
TCP |
المتصفح، نقطة النهاية |
طلبات جامعة كاليفورنيا |
أكبر من 1023 |
8443 |
الوصول إلى الإنترنت للرعاية الذاتية والواجهات الإدارية، UDS |
|
HTTPS |
TCP |
الهاتف |
Unified CM |
أكبر من 1023 |
9443 |
بحث موثق عن جهات الاتصال |
|
HTTPS |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
9444 |
ميزة إدارة سماعات الرأس |
|
يؤمن RTP/SRTP |
UDP |
Unified CM |
الهاتف |
من 16384 إلى 32767 * |
من 16384 إلى 32767 * |
الوسائط (الصوتية) - موسيقى الانتظار، جهاز الإعلان، جسر مؤتمرات البرمجيات (مفتوح بناءً على إشارات المكالمات) |
|
يؤمن RTP/SRTP |
UDP |
الهاتف |
Unified CM |
من 16384 إلى 32767 * |
من 16384 إلى 32767 * |
الوسائط (الصوتية) - موسيقى الانتظار، جهاز الإعلان، جسر مؤتمرات البرمجيات (مفتوح بناءً على إشارات المكالمات) |
|
الكوبرا |
TCP |
العميل |
CUCxn |
أكبر من 1023 |
20532 |
نسخ احتياطي واستعادة مجموعة التطبيقات |
|
ICMP |
ICMP |
نقطة النهاية |
طلبات جامعة كاليفورنيا |
غير متوفر |
غير متوفر |
Ping |
|
ICMP |
ICMP |
طلبات جامعة كاليفورنيا |
نقطة النهاية |
غير متوفر |
غير متوفر |
Ping |
| DNS | UDP وTCP |
مُعيد توجيه نظام أسماء النطاقات (DNS) |
خوادم DNS مخصصة |
أكبر من 1023 |
53 |
أجهزة إعادة توجيه نظام أسماء النطاقات (DNS) الخاصة بالعميل إلى خوادم نظام أسماء النطاقات المخصصة. راجع متطلبات نظام أسماء النطاقات ( DNS ) لمزيد من المعلومات. |
|
* قد تستخدم بعض الحالات الخاصة نطاقًا أوسع. |
||||||
مثيل مخصص - منافذ OTT
يمكن للعملاء والشركاء استخدام المنفذ التالي لإعداد الوصول عبر الأجهزة المحمولة والوصول عن بُعد (MRA):
|
البروتوكول |
بروتوكول التحكم بالنقل (TCP) / UCP |
المصدر |
الوجهة |
منفذ المصدر |
منفذ الوجهة |
الغرض |
|---|---|---|---|---|---|---|
|
يؤمن RTP/RTCP |
UDP |
الطريق السريع ج |
العميل |
أكبر من 1023 |
36000-59999 |
وسائط آمنة لمكالمات MRA و B2B |
وصلة SIP بين مثيل متعدد المستأجرين ومثيل مخصص (فقط للوصلة القائمة على التسجيل)
يجب السماح بقائمة المنافذ التالية على جدار الحماية الخاص بالعميل لربط SIP القائم على التسجيل بين Multi-Tenant و Dedicated Instance.
|
البروتوكول |
بروتوكول التحكم بالنقل (TCP) / UCP |
المصدر |
الوجهة |
منفذ المصدر |
منفذ الوجهة |
الغرض |
|---|---|---|---|---|---|---|
|
RTP/RTCP |
UDP |
مكالمات Webex متعددة المستأجرين |
العميل |
أكبر من 1023 |
8000-48198 |
الوسائط من Webex Calling Multi-Tenant |
مثيل مخصص - منافذ UCCX
يمكن للعملاء والشركاء استخدام قائمة المنافذ التالية لتكوين UCCX.
|
البروتوكول |
TCP/UCP |
المصدر |
الوجهة |
منفذ المصدر |
منفذ الوجهة |
الغرض |
|---|---|---|---|---|---|---|
|
SSH |
TCP |
العميل |
UCCX |
أكبر من 1023 |
22 |
SFTP و SSH |
|
إنفورميكس |
TCP |
العميل أو الخادم |
UCCX |
أكبر من 1023 |
1504 |
منفذ قاعدة بيانات مركز الاتصال السريع |
|
SIP |
UDP وTCP |
خادم SIP GW أو خادم MCRP |
UCCX |
أكبر من 1023 |
5065 |
الاتصال بعقد GW و MCRP البعيدة |
|
إكس إم بي بي |
TCP |
العميل |
UCCX |
أكبر من 1023 |
5223 |
اتصال XMPP آمن بين خادم Finesse وتطبيقات الطرف الثالث المخصصة |
|
أمراض القلب والأوعية الدموية |
TCP |
العميل |
UCCX |
أكبر من 1023 |
6999 |
محرر تطبيقات CCX |
|
HTTPS |
TCP |
العميل |
UCCX |
أكبر من 1023 |
7443 |
اتصال BOSH آمن بين خادم Finesse وأجهزة سطح المكتب الخاصة بالوكيل والمشرف للتواصل عبر HTTPS |
|
HTTP |
TCP |
العميل |
UCCX |
أكبر من 1023 |
8080 |
تتصل عملاء الإبلاغ عن البيانات المباشرة بخادم socket.IO |
|
HTTP |
TCP |
العميل |
UCCX |
أكبر من 1023 |
8081 |
يحاول متصفح العميل الوصول إلى واجهة الويب الخاصة بمركز سيسكو الموحد للذكاء |
|
HTTP |
TCP |
العميل |
UCCX |
أكبر من 1023 |
8443 |
واجهة المستخدم الرسومية للإدارة، وRTMT، والوصول إلى قاعدة البيانات عبر SOAP |
|
HTTPS |
TCP |
العميل |
UCCX |
أكبر من 1023 |
8444 |
واجهة الويب لمركز سيسكو الموحد للذكاء |
|
HTTPS |
TCP |
متصفحات الإنترنت وعملاء REST |
UCCX |
أكبر من 1023 |
8445 |
منفذ آمن لشركة Finesse |
|
HTTPS |
TCP |
العميل |
UCCX |
أكبر من 1023 |
8447 |
HTTPS - المساعدة عبر الإنترنت لمركز الاستخبارات الموحد |
|
HTTPS |
TCP |
العميل |
UCCX |
أكبر من 1023 |
8553 |
تقوم مكونات تسجيل الدخول الموحد (SSO) بالوصول إلى هذه الواجهة لمعرفة حالة تشغيل Cisco IdS. |
|
HTTP |
TCP |
العميل |
UCCX |
أكبر من 1023 |
9080 |
العملاء الذين يحاولون الوصول إلى مشغلات HTTP أو المستندات / المطالبات / القواعد / بيانات مباشرة. |
|
HTTPS |
TCP |
العميل |
UCCX |
أكبر من 1023 |
9443 |
يُستخدم منفذ آمن للاستجابة للعملاء الذين يحاولون الوصول إلى مُشغّلات HTTPS |
|
TCP |
TCP |
العميل |
UCCX |
أكبر من 1023 |
12014 |
هذا هو المنفذ الذي يمكن من خلاله لعملاء الإبلاغ عن البيانات المباشرة الاتصال بخادم socket.IO |
|
TCP |
TCP |
العميل |
UCCX |
أكبر من 1023 |
12015 |
هذا هو المنفذ الذي يمكن من خلاله لعملاء الإبلاغ عن البيانات المباشرة الاتصال بخادم socket.IO |
|
سي تي آي |
TCP |
العميل |
UCCX |
أكبر من 1023 |
12028 |
عميل CTI تابع لجهة خارجية إلى CCX |
|
RTP (الإعلام) |
TCP |
نقطة النهاية |
UCCX |
أكبر من 1023 |
أكبر من 1023 |
يتم فتح منفذ الوسائط ديناميكيًا حسب الحاجة |
|
RTP (الإعلام) |
TCP |
العميل |
نقطة النهاية |
أكبر من 1023 |
أكبر من 1023 |
يتم فتح منفذ الوسائط ديناميكيًا حسب الحاجة |
أمن العميل
تأمين Jabber وWebex باستخدام SIP OAuth
يتم التحقق من صحة عملاء Jabber و Webex من خلال رمز OAuth بدلاً من شهادة ذات أهمية محلية (LSC)، والتي لا تتطلب تمكين وظيفة وكيل سلطة الشهادات (CAPF) (لـ MRA أيضًا). تم تقديم SIP OAuth الذي يعمل مع أو بدون الوضع المختلط في Cisco Unified CM 12.5(1) والإصدارات الأحدث، و Jabber 12.5 والإصدارات الأحدث، و Expressway X12.5.
في Cisco Unified CM 12.5 والإصدارات الأحدث، لدينا خيار جديد في ملف تعريف أمان الهاتف يُمكّن التشفير بدون LSC/CAPF, باستخدام بروتوكول أمان طبقة النقل (TLS) المفرد + رمز OAuth في سجل SIP. تستخدم عقد Expressway-C واجهة برمجة تطبيقات خدمة الويب XML الإدارية (AXL) لإبلاغ Cisco Unified CM بـ SN/SAN في شهادتهم. يستخدم Cisco Unified CM هذه المعلومات للتحقق من صحة شهادة Exp-C عند إنشاء اتصال TLS متبادل.
يُمكّن بروتوكول SIP OAuth تشفير الوسائط والإشارات بدون شهادة نقطة النهاية (LSC).
يستخدم Cisco Jabber المنافذ المؤقتة والمنافذ الآمنة 6971 و 6972 عبر اتصال HTTPS بخادم TFTP لتنزيل ملفات التكوين. المنفذ 6970 هو منفذ غير آمن للتنزيل عبر بروتوكول HTTP.
مزيد من التفاصيل حول إعدادات SIP OAuth: وضع SIP OAuth.
متطلبات نظام أسماء النطاقات (DNS)
بالنسبة للمثيل المخصص، توفر سيسكو اسم النطاق المؤهل بالكامل (FQDN) للخدمة في كل منطقة بالتنسيق التالي: <customer>.<region>.wxc-di.webex.com على سبيل المثال، xyz.amer.wxc-di.webex.com.
يتم توفير قيمة "العميل" من قبل المسؤول كجزء من معالج الإعداد لأول مرة (FTSW). للمزيد من المعلومات، راجع تفعيل خدمة المثيل المخصص.
يجب أن تكون سجلات نظام أسماء النطاقات (DNS) لهذا الاسم المؤهل بالكامل (FQDN) قابلة للحل من خادم نظام أسماء النطاقات الداخلي للعميل لدعم الأجهزة الموجودة في الموقع والتي تتصل بالمثيل المخصص. لتسهيل عملية الحل، يحتاج العميل إلى تكوين مُعيد توجيه شرطي، لهذا الاسم المؤهل بالكامل، على خادم DNS الخاص به يشير إلى خدمة DNS للمثيل المخصص. خدمة نظام أسماء النطاقات (DNS) للمثيل المخصص إقليمية ويمكن الوصول إليها، عبر التناظر مع المثيل المخصص، باستخدام عناوين IP التالية كما هو مذكور في الجدول أدناه عنوان IP لخدمة نظام أسماء النطاقات (DNS) للمثيل المخصص.
|
Region/DC | عنوان IP لخدمة DNS مخصصة |
مثال على إعادة التوجيه المشروط |
|---|---|---|
|
AMER |
<customer>.amer.wxc-di.webex.com | |
|
مطار لوس أنجلوس |
69.168.17.100 |
|
|
شعبة التدقيق الداخلي |
69.168.17.228 |
|
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
|
لندن |
178.215.138.100 |
|
|
AMS |
178.215.138.228 |
|
|
الاتحاد الأوروبي |
<customer>.eu.wxc-di.webex.com |
|
|
فرنسا |
178.215.131.100 |
|
|
AMS |
178.215.131.228 |
|
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
|
الخطيئة |
103.232.71.100 |
|
|
TKY |
103.232.71.228 |
|
|
AUS |
<customer>.aus.wxc-di.webex.com | |
|
ميل |
178.215.128.100 |
|
|
سيد |
178.215.128.228 |
|
|
المملكة المتحدة |
<customer>.uk.wxc-di.webex.com | |
|
لندن |
178.215.135.100 |
|
|
رجل |
178.215.135.228 |
|
|
المملكة العربية السعودية |
<customer>.sa.wxc-di.webex.com | |
|
جيد |
178.215.140.100 | |
|
وحدة العناية المركزة اليمنى |
178.215.140.228 | |
تم تعطيل خيار اختبار الاتصال (ping) لعناوين IP لخادم DNS المذكورة أعلاه لأسباب أمنية.
إلى حين تفعيل خاصية إعادة التوجيه المشروط، لن تتمكن الأجهزة من التسجيل في المثيل المخصص من الشبكة الداخلية للعملاء عبر روابط التناظر. لا يلزم إعادة التوجيه المشروط للتسجيل عبر الوصول عبر الهاتف المحمول والوصول عن بعد (MRA)، حيث سيتم توفير جميع سجلات DNS الخارجية المطلوبة لتسهيل MRA مسبقًا بواسطة Cisco.
عند استخدام تطبيق Webex كعميل اتصال برمجي على مثيل مخصص، يجب تكوين ملف تعريف مدير الاتصالات الموحدة في مركز التحكم لكل نطاق خدمة صوتية (VSD) في المنطقة. للمزيد من المعلومات، راجع ملفات تعريف مدير الاتصالات الموحدة في مركز تحكم Cisco Webex. سيكون تطبيق Webex قادراً على حل مشكلة Expressway Edge الخاصة بالعميل تلقائياً دون أي تدخل من المستخدم النهائي.
سيتم تزويد العميل بنطاق خدمة الصوت كجزء من وثيقة الوصول الخاصة بالشريك بمجرد اكتمال تفعيل الخدمة.
استخدم جهاز توجيه محلي لحل أسماء النطاقات (DNS) للهاتف
بالنسبة للهواتف التي لا يمكنها الوصول إلى خوادم DNS الخاصة بالشركة، فمن الممكن استخدام جهاز توجيه Cisco محلي لإعادة توجيه طلبات DNS إلى خدمة DNS السحابية المخصصة. هذا يلغي الحاجة إلى نشر خادم DNS محلي ويوفر دعمًا كاملاً لنظام أسماء النطاقات بما في ذلك التخزين المؤقت.
مثال على التكوين :
!
خادم نظام أسماء النطاقات (DNS) الخاص ببروتوكول الإنترنت
خادم أسماء IP <DI DNS Server IP DC1> <DI DNS Server IP DC2>
!
يُعد استخدام نظام أسماء النطاقات (DNS) في نموذج النشر هذا خاصًا بالهواتف ولا يمكن استخدامه إلا لحل أسماء النطاقات المؤهلة بالكامل (FQDN) باستخدام النطاق من مثيل العميل المخصص.
المراجع
-
تصميم شبكة مرجعية للحل (SRND)، Cisco Collaboration 12.x وما فوق.
-
البنية المفضلة لعمليات نشر Cisco Collaboration الإصدار 15 في المواقع المحلية.
