- الرئيسية
- /
- المقال
شكرًا على ملاحظاتك.
متطلبات شبكة المثيل المكرّس والأمان
في هذه المقالة
هل لديك ملاحظات؟متطلبات الشبكة والأمان لحلول المثيل المخصص هي نهج الطبقات فيما يتعلق بالميزات والوظائف التي توفر الوصول الفعلي الآمن، والشبكة، ونقاط النهاية، وتطبيقات Cisco UC. وهو يصف متطلبات الشبكة ويسرد العناوين والمنافذ والبروتوكولات المستخدمة لتوصيل نقاط النهاية الخاصة بك بالخدمات.
متطلبات الشبكة للمثيل المخصص
يعد مثيل Webex Calling المخصص جزءًا من مجموعة Cisco Cloud Calling المدعومة من تقنية التعاون في Cisco Unified Communications Manager (Cisco Unified CM). يوفر المثيل المخصص حلول الصوت والفيديو والمراسلة والتنقل مع ميزات وفوائد هواتف Cisco IP والأجهزة المحمولة وعملاء سطح المكتب الذين يتصلون بأمان بالمثيل المخصص.
هذه المقالة مخصصة لمسؤولي الشبكات، وعلى وجه التحديد مسؤولي أمان جدار الحماية والوكيل الذين يرغبون في استخدام المثيل المكرّس داخل مؤسستهم.
نظرة عامة على الأمان: الأمان في الطبقات
يستخدم المثيل المكرّس نهج الطبقات للأمان. وتشمل الطبقات ما يلي:
-
الوصول المادي
-
الشبكة
-
نقاط النهاية
-
تطبيقات UC
تصف الأقسام التالية طبقات الأمان في عمليات نشر المثيل المكرّس.
الأمان المادي
من المهم توفير الأمان المادي لمواقع غرفة Equinix Meet-Me ومرافق مركز بيانات المثيل المكرس من Cisco. عندما يتم اختراق الأمان المادي، يمكن بدء هجمات بسيطة مثل تعطيل الخدمة عن طريق إيقاف الطاقة عن محولات العميل. باستخدام الوصول المادي، يمكن للمهاجمين الوصول إلى أجهزة الخادم، وإعادة تعيين كلمات المرور، والوصول إلى المفاتيح. كما يسهل الوصول المادي الهجمات الأكثر تطوراً مثل هجمات الرجل في الوسط، وهذا هو السبب في أن طبقة الأمان الثانية، أمن الشبكة، أمر بالغ الأهمية.
تُستخدم محركات الأقراص ذاتية التشفير في مراكز بيانات المثيلات المكرّسة التي تستضيف تطبيقات UC.
لمزيد من المعلومات حول ممارسات الأمان العامة، راجع الوثائق الموجودة في الموقع التالي: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
أمان الشبكة
يحتاج الشركاء إلى التأكد من تأمين جميع عناصر الشبكة في البنية التحتية للمثيل المخصص (التي تتصل عبر Equinix). تقع على عاتق الشريك مسؤولية ضمان أفضل الممارسات الأمنية مثل:
-
شبكة VLAN منفصلة للصوت والبيانات
-
تمكين أمان المنفذ الذي يحد من عدد عناوين MAC المسموح بها لكل منفذ، مقابل فيضان جدول CAM
-
حماية مصدر IP ضد عناوين IP المزورة
-
فحص فحص ARP الديناميكي (DAI) بروتوكول تحليل العنوان (ARP) وARP المجاني (GARP) للانتهاكات (ضد سرقة ARP)
-
802.1x تقييد الوصول إلى الشبكة لمصادقة الأجهزة على شبكات VLAN المعينة (تدعم الهواتف 802.1x)
-
تكوين جودة الخدمة (QoS) لوضع علامات مناسبة على الحزم الصوتية
-
تكوينات منافذ جدار الحماية لمنع أي حركة مرور أخرى
أمان نقاط النهاية
تدعم نقاط نهاية Cisco ميزات الأمان الافتراضية مثل البرنامج الثابت الموقَّع والتمهيد الآمن (الطرازات المحددة) والشهادة المثبتة من الشركة المصنعة (MIC) وملفات التكوين الموقَّعة، والتي توفر مستوى معين من الأمان لنقاط النهاية.
بالإضافة إلى ذلك، يستطيع الشريك أو العميل تمكين أمان إضافي، مثل:
-
تشفير خدمات هاتف IP (عبر HTTPS) لخدمات مثل Extension Mobility
-
إصدار شهادات مهمة محليًا (LSCs) من وظيفة وكيل جهة منح الشهادات (CAPF) أو جهة منح الشهادات العامة (CA)
-
تشفير ملفات التكوين
-
تشفير الوسائط وإشارات
-
تعطيل هذه الإعدادات إذا لم يتم استخدامها: منفذ الكمبيوتر، الوصول إلى VLAN للصوت بالكمبيوتر، ARP المجاني، الوصول إلى الويب، زر الإعدادات، SSH، وحدة التحكم
إن تنفيذ آليات الأمان في المثيل المخصص يمنع سرقة الهوية للهواتف وخادم Unified CM والتلاعب بالبيانات والتلاعب بإشارات المكالمات / بث الوسائط.
المثيل المكرّس عبر الشبكة:
-
إنشاء وصيانة تدفقات اتصال مصادقة
-
توقيع الملفات رقميًا قبل نقل الملف إلى الهاتف
-
تشفير عمليات دفق الوسائط وإشارات المكالمات بين هواتف Cisco Unified IP
يوفر الأمان بشكل افتراضي ميزات الأمان التلقائية التالية لهواتف Cisco Unified IP:
-
توقيع ملفات تكوين الهاتف
-
دعم تشفير ملف تكوين الهاتف
-
HTTPS مع Tomcat وخدمات الويب الأخرى (MIDlets)
بالنسبة لإصدار Unified CM الأحدث 8.0، يتم توفير ميزات الأمان هذه بشكل افتراضي دون تشغيل عميل قائمة الثقة للشهادات (CTL).
خدمة التحقق الموثوق بهاونظرًا لوجود عدد كبير من الهواتف في الشبكة ولأن هواتف IP لديها ذاكرة محدودة، يعمل Cisco Unified CM كمخزن موثوق به عن بُعد من خلال خدمة التحقق من الثقة (TVS) بحيث لا يلزم وضع مخزن الثقة للشهادات على كل هاتف. تتصل هواتف Cisco IP بخادم TVS للتحقق لأنه لا يمكنه التحقق من توقيع أو شهادة من خلال ملفات CTL أو ITL. من الأسهل إدارة وجود مخزن الثقة المركزي من وجود مخزن الثقة على كل هاتف Cisco Unified IP.
يتيح بروتوكول TVS لهواتف Cisco Unified IP مصادقة خوادم التطبيقات، مثل خدمات EM والدليل وMIDlet، أثناء إنشاء HTTPS.
قائمة الثقة الأوليةيتم استخدام ملف "قائمة الثقة الأولية" (ITL) للأمان الأولي، بحيث يمكن لنقاط النهاية أن تثق في Cisco Unified CM. لا يحتاج ITL إلى تمكين أي ميزات أمان بشكل صريح. يتم إنشاء ملف ITL تلقائيًا عند تثبيت المجموعة. يتم استخدام المفتاح الخاص لخادم Unified CM المبسط بروتوكول نقل الملفات (TFTP) لتوقيع ملف ITL.
عندما تكون مجموعة نظام أو خادم Cisco Unified CM في وضع غير آمن، يتم تنزيل ملف ITL على كل هاتف Cisco IP مدعوم. يمكن للشريك عرض محتويات ملف ITL باستخدام أمر CLI، المسؤول: show itl.
تحتاج هواتف Cisco IP إلى ملف ITL للقيام بالمهام التالية:
-
الاتصال بأمان بـ CAPF، وهو شرط مسبق لدعم تشفير ملفات التكوين
-
مصادقة توقيع ملف التكوين
-
مصادقة خوادم التطبيق، مثل خدمات EM والدليل وMIDlet أثناء إنشاء HTTPS باستخدام TVS
تعتمد مصادقة الجهاز والملف وإشارات الإشارة على إنشاء ملف قائمة الثقة للشهادات (CTL)، الذي يتم إنشاؤه عندما يقوم الشريك أو العميل بتثبيت وتكوين عميل قائمة الثقة لشهادات Cisco.
يحتوي ملف CTL على إدخالات للخوادم التالية أو رموز الأمان التالية:
-
الرمز المميز لأمان مسؤول النظام (SAST)
-
Cisco CallManager وخدمات Cisco TFTP التي تعمل على نفس الخادم
-
وظيفة وكيل جهة منح الشهادات (CAPF)
-
خادم (خوادم) TFTP
-
جدار حماية ASA
يحتوي ملف CTL على شهادة خادم، والمفتاح العام، والرقم التسلسلي، والتوقيع، واسم جهة الإصدار، واسم الموضوع، ووظيفة الخادم، واسم DNS، وعنوان IP لكل خادم.
يوفر أمان الهاتف مع CTL الوظائف التالية:
-
مصادقة الملفات التي تم تنزيلها ببروتوكول TFTP (التكوين والإعدادات المحلية وقائمة الرنين وما إلى ذلك) باستخدام مفتاح التوقيع
-
تشفير ملفات تكوين TFTP باستخدام مفتاح التوقيع
-
إرسال إشارات المكالمات المشفرة لهواتف IP
-
صوت المكالمة المشفر (الوسائط) لهواتف IP
يوفر المثيل المكرّس تسجيل نقطة النهاية ومعالجة المكالمات. تعتمد الإشارات بين Cisco Unified CM ونقاط النهاية على بروتوكول التحكم في العميل النحيف الآمن (SCCP) أو بروتوكول بدء الجلسة (SIP) ويمكن تشفيرها باستخدام أمان طبقة النقل (TLS). تعتمد الوسائط من/إلى نقاط النهاية على بروتوكول النقل في الوقت الحقيقي (RTP) ويمكن أيضًا تشفيرها باستخدام RTP الآمن (SRTP).
يؤدي تمكين الوضع المختلط على Unified CM إلى تمكين تشفير الإشارات وحركة مرور الوسائط من وإلى نقاط نهاية Cisco.
تطبيقات UC الآمنة
تمكين الوضع المختلط في المثيل المكرّسيتم تمكين الوضع المختلط بشكل افتراضي في "المثيل المكرّس".
يؤدي تمكين الوضع المختلط في "المثيل المكرّس" إلى تمكين القدرة على تنفيذ تشفير الإشارات وحركة مرور الوسائط من وإلى نقاط نهاية Cisco.
في إصدار Cisco Unified CM 12.5(1)، تمت إضافة خيار جديد لتمكين تشفير الإشارات والوسائط بناءً على SIP OAuth بدلاً من الوضع المختلط / CTL لعملاء Jabber وWebex. لذلك، في إصدار Unified CM 12.5(1)، يمكن استخدام SIP OAuth وSRTP لتمكين تشفير الإشارات والوسائط لعملاء Jabber أو Webex. يظل تمكين الوضع المختلط مطلوبًا لهواتف Cisco IP ونقاط نهاية Cisco الأخرى في الوقت الحالي. هناك خطة لإضافة دعم SIP OAuth في نقاط نهاية 7800/8800 في إصدار مستقبلي.
أمان المراسلة الصوتيةيتصل اتصال Cisco Unity Connection بنظام Unified CM من خلال منفذ TLS. عندما يكون وضع أمان الجهاز غير آمن، يتصل Cisco Unity Connection بـ Unified CM من خلال منفذ SCCP.
لتكوين الأمان لمنافذ المراسلة الصوتية في Unified CM وأجهزة Cisco Unity التي تعمل ببرنامج SCCP أو أجهزة Cisco Unity Connection التي تعمل ببرنامج SCCP، يستطيع الشريك اختيار وضع أمان جهاز آمن للمنفذ. إذا اخترت منفذ بريد صوتي مُصادق عليه، فسيتم فتح اتصال TLS، والذي يصادق على الأجهزة باستخدام تبادل شهادات متبادل (يقبل كل جهاز شهادة الجهاز الآخر). إذا اخترت منفذ بريد صوتي مشفر، يقوم النظام أولاً بمصادقة الأجهزة ثم يرسل تدفقات صوتية مشفرة بين الأجهزة.
لمزيد من المعلومات حول منافذ المراسلة الصوتية الآمنة، ارجع إلى: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
الأمان لـ SRST، والقنوات، والبوابات، وCUBE/SBC
توفر البوابة التي تم تمكينها للاتصالات الهاتفية للموقع البعيد المتين (SRST) من Cisco Unified مهام معالجة المكالمات إذا لم يتمكن Cisco Unified CM على المثيل المكرس من إكمال المكالمة.
تحتوي البوابات الآمنة الممكنة من SRST على شهادة موقعة ذاتيًا. بعد أن يقوم الشريك بمهام تكوين SRST في إدارة Unified CM، يستخدم Unified CM اتصال TLS للمصادقة مع خدمة موفر الشهادة في البوابة التي تم تمكين SRST بها. ثم يقوم Unified CM باسترداد الشهادة من البوابة الممكنة SRST وإضافة الشهادة إلى قاعدة بيانات Unified CM.
بعد أن يقوم الشريك بإعادة تعيين الأجهزة التابعة في إدارة CM، يضيف خادم TFTP شهادة البوابة الممكنة SRST إلى ملف cnf.xml بالهاتف ويرسل الملف إلى الهاتف. ثم يستخدم الهاتف الآمن بعد ذلك اتصال TLS للتفاعل مع البوابة التي تدعم SRST.
يوصى باستخدام قنوات آمنة للمكالمة التي تنشأ من Cisco Unified CM إلى البوابة لمكالمات PSTN الصادرة أو عبور Cisco Unified Border Element (CUBE).
يمكن أن تدعم قنوات SIP المكالمات الآمنة لإرسال الإشارات وكذلك الوسائط؛ يوفر TLS تشفير الإشارات ويوفر SRTP تشفير الوسائط.
تأمين الاتصالات بين Cisco Unified CM وCUBE
للاتصالات الآمنة بين Cisco Unified CM وCUBE، يحتاج الشركاء/العملاء إلى استخدام شهادة موقعة ذاتيًا أو شهادات موقعة من CA.
للشهادات الموقّعة ذاتيًا:
-
يقوم CUBE وCisco Unified CM بإنشاء شهادات موقعة ذاتيًا
-
تصدر شهادة CUBE إلى Cisco Unified CM
-
تصدر شهادة Cisco Unified CM إلى CUBE
للشهادات الموقعة من CA:
-
يقوم العميل بإنشاء زوج مفتاح ويرسل طلب توقيع الشهادة (CSR) إلى جهة إصدار الشهادة (CA)
-
يقوم CA بتوقيعها باستخدام مفتاحها الخاص، وإنشاء شهادة هوية
-
يقوم العميل بتثبيت قائمة شهادات CA الجذر والوسيطة الموثوق فيها وشهادة الهوية
الأمان لنقاط النهاية البعيدة
باستخدام نقاط نهاية الوصول من الأجهزة المحمولة وعن بُعد (MRA)، يتم دائمًا تشفير الإشارات والوسائط بين نقاط نهاية MRA وعقد Expressway. إذا تم استخدام بروتوكول إنشاء الاتصال التفاعلي (ICE) لنقاط نهاية MRA، فيلزم إدخال الإشارات وتشفير الوسائط لنقاط نهاية MRA. ومع ذلك، يتطلب تشفير الإشارات والوسائط بين Expressway-C وخوادم Unified CM الداخلية أو نقاط النهاية الداخلية أو الأجهزة الداخلية الأخرى، الوضع المختلط أو SIP OAuth.
يوفر Cisco Expressway اجتياز آمن لجدار الحماية ودعم جانبي الخط لتسجيلات Unified CM. يوفر Unified CM إمكانية التحكم في المكالمات لنقاط النهاية في الأجهزة المحمولة وفي المواقع. تعبر إرسال الإشارات حل Expressway بين نقطة النهاية البعيدة وUnified CM. تعبر الوسائط حل Expressway ويتم نقلها بين نقاط النهاية مباشرةً. يتم تشفير جميع الوسائط بين Expressway-C ونقطة نهاية الهاتف الجوال.
يتطلب أي حل MRA Expressway وUnified CM، مع عملاء برمجيين متوافقين مع MRA و/أو نقاط نهاية ثابتة. يمكن أن يتضمن الحل اختياريًا خدمة المراسلة الفورية والوجود وUnity Connection.
ملخص البروتوكول
يوضح الجدول التالي البروتوكولات والخدمات المرتبطة بها المستخدمة في حل Unified CM.
|
البروتوكول |
الأمان |
الخدمة |
|---|---|---|
|
SIP |
TLS |
إنشاء الجلسة: التسجيل والدعوة، وما إلى ذلك. |
|
HTTPS |
TLS |
تسجيل الدخول، التوفير/التكوين، الدليل، البريد الصوتي المرئي |
|
الوسائط |
SRTP |
الوسائط: الصوت والفيديو ومشاركة المحتوى |
|
إكس إم بي بي |
TLS |
المراسلة الفورية، التواجد، الاتحاد |
لمزيد من المعلومات حول تكوين MRA، ارجع إلى: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
خيارات التكوين
يوفر المثيل المخصص للشريك المرونة اللازمة لتخصيص الخدمات للمستخدمين النهائيين من خلال التحكم الكامل في تكوينات اليوم اثنين. ونتيجة لذلك، يكون الشريك مسؤولاً فقط عن التكوين الصحيح لخدمة المثيل المخصص لبيئة المستخدم النهائي. يشمل هذا، على سبيل المثال لا الحصر:
-
اختيار المكالمات الآمنة/غير الآمنة والبروتوكولات الآمنة/غير الآمنة مثل SIP/sSIP وhttp/https وما إلى ذلك وفهم أي مخاطر ذات صلة.
-
بالنسبة لجميع عناوين MAC التي لم يتم تكوينها كـ SIP آمن في "المثيل المكرّس"، يمكن للمهاجم إرسال رسالة SIP Register باستخدام عنوان MAC هذا وأن يكون قادرًا على إجراء مكالمات SIP، مما يؤدي إلى الاحتيال على الرسوم. والفائدة المرجوة هي أن المهاجم يمكن تسجيل جهاز/برنامج SIP الخاص به في المثيل المكرّس دون تفويض إذا كان يعرف عنوان MAC لجهاز مسجل في المثيل المكرّس.
-
يجب تكوين سياسات مكالمات Expressway-E وقواعد التحويل والبحث لمنع الاحتيال على الرسوم. لمزيد من المعلومات عن منع الاحتيال على الرسوم باستخدام Expressways، ارجع إلى قسم أمان Expressway C وExpressway-E في SRND الخاص بالتعاون.
-
تكوين خطة الطلب للتأكد من أنه يمكن للمستخدمين طلب الوجهات المسموح بها فقط، على سبيل المثال، حظر الطلب الوطني/الدولي، توجيه مكالمات الطوارئ بشكل صحيح، وما إلى ذلك. لمزيد من المعلومات حول تطبيق القيود باستخدام خطة الطلب، ارجع إلى قسم خطة الطلب في SRND الخاص بالتعاون.
متطلبات الشهادة للاتصالات الآمنة في "المثيل المكرّس"
بالنسبة للمثيل المخصص، ستقوم Cisco بتوفير المجال والتوقيع على جميع الشهادات لتطبيقات UC باستخدام المرجع العام لإصدار الشهادة (CA).
المثيل المكرّس - أرقام المنافذ والبروتوكولات
تصف الجداول التالية المنافذ والبروتوكولات المدعومة في "المثيل المخصص". تعتمد المنافذ المستخدمة لعميل معين على نشر العميل وحله. تعتمد البروتوكولات على تفضيل العميل (SCCP مقابل SIP)، والأجهزة الموجودة في الموقع ومستوى الأمان لتحديد المنافذ التي سيتم استخدامها في كل عملية نشر.
لا يسمح المثيل المخصص بترجمة عنوان الشبكة (NAT) بين نقاط النهاية وUnified CM لأن بعض ميزات تدفق المكالمات لن تعمل، على سبيل المثال ميزة منتصف المكالمة.
المثيل المكرّس - منافذ العملاء
المنافذ المتاحة للعملاء - بين العميل الداخلي والمثيل المخصص موضح في الجدول 1 منافذ عملاء المثيل المخصص. جميع المنافذ المدرجة أدناه مخصصة لحركة مرور العملاء عبر ارتباطات تحديد النظير.
يتم فتح منفذ SNMP بشكل افتراضي فقط لـ Cisco Emergency Responder لدعم وظائفه. نظرًا لأننا لا ندعم الشركاء أو العملاء الذين يراقبون تطبيقات UC المنشورة في سحابة المثيل المخصص، فإننا لا نسمح بفتح منفذ SNMP لأي تطبيقات UC الأخرى.
يتم حجز المنافذ في النطاق من 5063 إلى 5080 من قِبل Cisco لعمليات تكامل السحابة الأخرى، أو يُوصى المسؤولون الشريك أو العملاء بعدم استخدام هذه المنافذ في التكوينات الخاصة بهم.
|
البروتوكول |
TCP/UDP |
المصدر |
الوجهة |
منفذ المصدر |
منفذ الوجهة |
الغرض |
|---|---|---|---|---|---|---|
|
SSH |
TCP |
العميل |
تطبيقات UC غير مسموح بتطبيقات Cisco Expressway. |
أكبر من 1023 |
22 |
الإدارة |
|
tftp |
UDP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
69 |
دعم نقطة النهاية القديمة |
|
LDAP |
TCP |
تطبيقات UC |
دليل خارجي |
أكبر من 1023 |
389 |
مزامنة الدليل مع LDAP للعميل |
|
HTTPS |
TCP |
المستعرض |
تطبيقات UC |
أكبر من 1023 |
443 |
الوصول إلى الويب لواجهات الرعاية الذاتية والإدارية |
|
البريد الصادر (آمن) |
TCP |
تطبيق UC |
كوكسName |
أكبر من 1023 |
587 |
يُستخدم لإنشاء رسائل آمنة وإرسالها إلى أي مستلمين معينين |
|
ldap (آمن) |
TCP |
تطبيقات UC |
دليل خارجي |
أكبر من 1023 |
636 |
مزامنة الدليل مع LDAP للعميل |
|
H323 |
TCP |
بوابة |
Unified CM |
أكبر من 1023 |
1720 |
إرسال شارات المكالمات |
|
H323 |
TCP |
Unified CM |
Unified CM |
أكبر من 1023 |
1720 |
إرسال شارات المكالمات |
|
كسوبي |
TCP |
نقطة النهاية |
Unified CM، CUCxn |
أكبر من 1023 |
2000 |
إرسال شارات المكالمات |
|
كسوبي |
TCP |
Unified CM |
Unified CM، بوابة |
أكبر من 1023 |
2000 |
إرسال شارات المكالمات |
|
مكبر الصوت |
UDP |
بوابة |
بوابة |
أكبر من 1023 |
2427 |
إرسال شارات المكالمات |
|
خلفية MGCP |
TCP |
بوابة |
Unified CM |
أكبر من 1023 |
2428 |
إرسال شارات المكالمات |
|
sccp (آمن) |
TCP |
نقطة النهاية |
Unified CM، CUCxn |
أكبر من 1023 |
2443 |
إرسال شارات المكالمات |
|
sccp (آمن) |
TCP |
Unified CM |
Unified CM، بوابة |
أكبر من 1023 |
2443 |
إرسال شارات المكالمات |
|
التحقق من الثقة |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
2445 |
توفير خدمة التحقق من الثقة لنقاط النهاية |
|
سي تي آي |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
2748 |
الاتصال بين تطبيقات CTI (JTAPI/TSP) وCTIManager |
|
CTI الآمن |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
2749 |
اتصال آمن بين تطبيقات CTI (JTAPI/TSP) وCTIManager |
|
كتالوج LDAP العالمي |
TCP |
تطبيقات UC |
دليل خارجي |
أكبر من 1023 |
3268 |
مزامنة الدليل مع LDAP للعميل |
|
كتالوج LDAP العالمي |
TCP |
تطبيقات UC |
دليل خارجي |
أكبر من 1023 |
3269 |
مزامنة الدليل مع LDAP للعميل |
|
خدمة CAPF |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
3804 |
منفذ استماع وظيفة وكيل جهة منح الشهادات (CAPF) لإصدار الشهادات المهمة محليًا (LSC) إلى هواتف IP |
|
SIP |
TCP |
نقطة النهاية |
Unified CM، CUCxn |
أكبر من 1023 |
5060 |
إرسال شارات المكالمات |
|
SIP |
TCP |
Unified CM |
Unified CM، بوابة |
أكبر من 1023 |
5060 |
إرسال شارات المكالمات |
|
SIP (آمن) |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
5061 |
إرسال شارات المكالمات |
|
SIP (آمن) |
TCP |
Unified CM |
Unified CM، بوابة |
أكبر من 1023 |
5061 |
إرسال شارات المكالمات |
|
sip (oauth) |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
5090 |
إرسال شارات المكالمات |
|
إكس إم بي بي |
TCP |
عميل Jabber |
بروتوكول IM&P الخاص بشركة Cisco |
أكبر من 1023 |
5222 |
المراسلة الفورية والتواجد |
|
http |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
6970 |
تنزيل التكوين والصور إلى نقاط النهاية |
|
HTTPS |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
6971 |
تنزيل التكوين والصور إلى نقاط النهاية |
|
HTTPS |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
6972 |
تنزيل التكوين والصور إلى نقاط النهاية |
|
http |
TCP |
عميل Jabber |
كوكسName |
أكبر من 1023 |
7080 |
إشعارات البريد الصوتي |
|
HTTPS |
TCP |
عميل Jabber |
كوكسName |
أكبر من 1023 |
7443 |
إشعارات البريد الصوتي الآمنة |
|
HTTPS |
TCP |
Unified CM |
Unified CM |
أكبر من 1023 |
7501 |
يتم استخدامه من قِبل خدمة البحث بين المجموعات (ILS) للمصادقة المستندة إلى شهادة |
|
HTTPS |
TCP |
Unified CM |
Unified CM |
أكبر من 1023 |
7502 |
يُستخدم بواسطة ILS للمصادقة المستندة إلى كلمة المرور |
|
imap |
TCP |
عميل Jabber |
كوكسName |
أكبر من 1023 |
7993 |
IMAP عبر TLS |
|
http |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
8080 |
URI للدليل لدعم نقطة النهاية القديمة |
|
HTTPS |
TCP |
المستعرض، نقطة النهاية |
تطبيقات UC |
أكبر من 1023 |
8443 |
الوصول إلى الويب لواجهات الرعاية الذاتية والإدارية، UDS |
|
HTTPS |
TCP |
الهاتف |
Unified CM |
أكبر من 1023 |
9443 |
بحث جهة اتصال مصدق عليه |
|
HTTPs |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
9444 |
ميزة إدارة سماعات الهواتف |
|
RTP/SRTP الآمن |
UDP |
Unified CM |
الهاتف |
16384 إلى 32767 * |
16384 إلى 32767 * |
الوسائط (الصوت) - موسيقى قيد الانتظار، المعلن، جسر مؤتمر البرامج (مفتوح بناءً على إشارات المكالمات) |
|
RTP/SRTP الآمن |
UDP |
الهاتف |
Unified CM |
16384 إلى 32767 * |
16384 إلى 32767 * |
الوسائط (الصوت) - موسيقى قيد الانتظار، المعلن، جسر مؤتمر البرامج (مفتوح بناءً على إشارات المكالمات) |
|
كوبرا |
TCP |
العميل |
كوكسName |
أكبر من 1023 |
20532 |
النسخ الاحتياطي واستعادة مجموعة التطبيقات |
|
ICMP |
ICMP |
نقطة النهاية |
تطبيقات UC |
غير متوفر |
غير متوفر |
Ping |
|
ICMP |
ICMP |
تطبيقات UC |
نقطة النهاية |
غير متوفر |
غير متوفر |
Ping |
| DNS | UDP وTCP |
إعادة توجيه DNS |
خوادم DNS للمثيل المخصص |
أكبر من 1023 |
53 |
إعادة توجيه DNS للموقع الخاص بالعميل إلى خوادم DNS للمثيل المخصص. للحصول على مزيد من المعلومات، ارجع إلى متطلبات DNS . |
|
* بعض الحالات الخاصة قد تستخدم نطاق أكبر. |
||||||
المثيل المكرّس - منافذ OTT
يمكن للعملاء والشركاء استخدام المنفذ التالي لإعداد الوصول من الأجهزة المحمولة وعن بُعد (MRA):
|
البروتوكول |
tcp/ucp |
المصدر |
الوجهة |
منفذ المصدر |
منفذ الوجهة |
الغرض |
|---|---|---|---|---|---|---|
|
rtp/rtcp الآمن |
UDP |
expressway C |
العميل |
أكبر من 1023 |
36000-59999 |
الوسائط الآمنة لمكالمات MRA وB2B |
خط اتصال SIP بين المستأجر المتعدد والمثيل المخصص (للقناة القائمة على التسجيل فقط)
يجب السماح بقائمة المنافذ التالية على جدار الحماية الخاص بالعميل من أجل قناة SIP القائمة على التسجيل التي تتصل بين المستأجر المتعدد والمثيل المخصص.
|
البروتوكول |
tcp/ucp |
المصدر |
الوجهة |
منفذ المصدر |
منفذ الوجهة |
الغرض |
|---|---|---|---|---|---|---|
|
rtp/rtcp |
UDP |
مستأجر Webex Calling متعدد الأطراف |
العميل |
أكبر من 1023 |
8000-48198 |
الوسائط من Webex Calling متعدد المستأجرين |
المثيل المكرّس - منافذ UCCX
يمكن للعملاء والشركاء استخدام القائمة التالية من المنافذ لتكوين UCCX.
|
البروتوكول |
tcp/ucp |
المصدر |
الوجهة |
منفذ المصدر |
منفذ الوجهة |
الغرض |
|---|---|---|---|---|---|---|
|
SSH |
TCP |
العميل |
أوكس |
أكبر من 1023 |
22 |
SFTP وSSH |
|
إينفورميكس |
TCP |
العميل أو الخادم |
أوكس |
أكبر من 1023 |
1504 |
منفذ قاعدة بيانات Contact Center Express |
|
SIP |
UDP وTCP |
خادم SIP GW أو MCRP |
أوكس |
أكبر من 1023 |
5065 |
الاتصال بعقد GW وMCRP البعيدة |
|
إكس إم بي بي |
TCP |
العميل |
أوكس |
أكبر من 1023 |
5223 |
اتصال XMPP الآمن بين خادم Finesse وتطبيقات الجهات الخارجية المخصصة |
|
قرص مدمج |
TCP |
العميل |
أوكس |
أكبر من 1023 |
6999 |
محرر لتطبيقات CCX |
|
HTTPS |
TCP |
العميل |
أوكس |
أكبر من 1023 |
7443 |
اتصال BOSH الآمن بين خادم Finesse وأجهزة سطح مكتب الوكيل والمشرف للاتصال عبر HTTPS |
|
http |
TCP |
العميل |
أوكس |
أكبر من 1023 |
8080 |
اتصال عملاء تقارير البيانات الحية بخادم socket.IO |
|
http |
TCP |
العميل |
أوكس |
أكبر من 1023 |
8081 |
مستعرض العميل الذي يحاول الوصول إلى واجهة ويب Cisco Unified Intelligence Center |
|
http |
TCP |
العميل |
أوكس |
أكبر من 1023 |
8443 |
واجهة المستخدم الرسومية للمسؤول، وrtmt، والوصول إلى قاعدة البيانات من خلال SOAP |
|
HTTPS |
TCP |
العميل |
أوكس |
أكبر من 1023 |
8444 |
واجهة ويب Cisco Unified Intelligence Center |
|
HTTPS |
TCP |
المستعرض وعملاء REST |
أوكس |
أكبر من 1023 |
8445 |
منفذ آمن لـ Finesse |
|
HTTPS |
TCP |
العميل |
أوكس |
أكبر من 1023 |
8447 |
HTTPS - المساعدة عبر الإنترنت لمركز Unified Intelligence |
|
HTTPS |
TCP |
العميل |
أوكس |
أكبر من 1023 |
8553 |
تصل مكونات تسجيل الدخول الفردي (SSO) إلى هذه الواجهة لمعرفة حالة تشغيل معرِّفات Cisco. |
|
http |
TCP |
العميل |
أوكس |
أكبر من 1023 |
9080 |
العملاء الذين يحاولون الوصول إلى مشغلات HTTP أو المستندات / المطالبات / القواعد / البيانات الحية. |
|
HTTPS |
TCP |
العميل |
أوكس |
أكبر من 1023 |
9443 |
المنفذ الآمن المستخدم للرد على العملاء الذين يحاولون الوصول إلى مشغلات HTTPS |
|
TCP |
TCP |
العميل |
أوكس |
أكبر من 1023 |
12014 |
هذا هو المنفذ حيث يمكن لعملاء تقارير البيانات الحية الاتصال بخادم socket.IO |
|
TCP |
TCP |
العميل |
أوكس |
أكبر من 1023 |
12015 |
هذا هو المنفذ حيث يمكن لعملاء تقارير البيانات الحية الاتصال بخادم socket.IO |
|
سي تي آي |
TCP |
العميل |
أوكس |
أكبر من 1023 |
12028 |
عميل CTI التابع لجهة خارجية إلى CCX |
|
RTP (الوسائط) |
TCP |
نقطة النهاية |
أوكس |
أكبر من 1023 |
أكبر من 1023 |
يتم فتح منفذ الوسائط ديناميكيًا حسب الحاجة |
|
RTP (الوسائط) |
TCP |
العميل |
نقطة النهاية |
أكبر من 1023 |
أكبر من 1023 |
يتم فتح منفذ الوسائط ديناميكيًا حسب الحاجة |
أمان العميل
تأمين Jabber وWebex باستخدام SIP OAuth
يتم مصادقة عملاء Jabber وWebex من خلال رمز OAuth بدلاً من شهادة مهمة محليًا (LSC)، والتي لا تتطلب تمكين وظيفة وكيل جهة منح الشهادات (CAPF) (لـ MRA أيضًا). تم تقديم SIP OAuth الذي يعمل مع الوضع المختلط أو بدونه في Cisco Unified CM 12.5(1) وJabber 12.5 وExpressway X12.5.
في Cisco Unified CM 12.5، لدينا خيار جديد في ملف تعريف أمان الهاتف الذي يقوم بتمكين التشفير دون LSC/CAPF، باستخدام أمان طبقة النقل المفرد (TLS) + رمز OAuth في SIP REGISTER. تستخدم عُقد Expressway-C API لخدمة ويب XML الإدارية (AXL) لإبلاغ Cisco Unified CM بـ SN/SAN في شهادتها. يستخدم Cisco Unified CM هذه المعلومات للتحقق من شهادة EXP-C عند إنشاء اتصال TLS متبادل.
يقوم SIP OAuth بتمكين تشفير الإشارات والوسائط دون شهادة نقطة النهاية (LSC).
يستخدم Cisco Jabber المنافذ المؤقتة والمنافذ الآمنة 6971 و6972 عبر اتصال HTTPS بخادم TFTP لتنزيل ملفات التكوين. يعد المنفذ 6970 منفذًا غير آمن للتنزيل عبر HTTP.
المزيد من التفاصيل حول تكوين SIP OAuth: وضع SIP OAuth.
متطلبات DNS
بالنسبة للمثيل المخصص، توفر Cisco اسم FQDN للخدمة في كل منطقة بالتنسيق التالي: ..wxc-di.webex.com على سبيل المثال، xyz.amer.wxc-di.webex.com.
يقوم المسؤول بتوفير قيمة "العميل" كجزء من "معالج الإعداد لأول مرة" (FTSW). لمزيد من المعلومات، ارجع إلى تنشيط خدمة المثيل المكرّس.
يجب أن تكون سجلات DNS لـ FQDN هذا قابلة للحل من خادم DNS الداخلي للعميل من أجل دعم الأجهزة الموجودة في الموقع التي تتصل بالمثيل المخصص. لتسهيل الحل، يحتاج العميل إلى تكوين "إعادة توجيه مشروط"، لـ FQDN هذا، على خادم DNS الخاص به مع الإشارة إلى خدمة DNS للمثيل المخصص. خدمة DNS للمثيل المخصص إقليمية ويمكن الوصول إليها، عبر تحديد النظير للمثيل المخصص، باستخدام عناوين IP التالية كما هو مذكور في الجدول التالي عنوان IP لخدمة DNS للمثيل المخصص.
|
المنطقة/العاصمة | عنوان IP لخدمة DNS للمثيل المخصص |
مثال على إعادة التوجيه الشرطي |
|---|---|---|
|
AMER |
<customer>.amer.wxc-di.webex.com | |
|
تصنيف: تاريخ الصين |
69.168.17.100 |
|
|
dfw |
69.168.17.228 |
|
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
|
لون |
178.215.138.100 |
|
|
أمواج |
178.215.138.228 |
|
|
الاتحاد الأوروبي |
<customer>.eu.wxc-di.webex.com |
|
|
بين |
178.215.131.100 |
|
|
أمواج |
178.215.131.228 |
|
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
|
بدون |
103.232.71.100 |
|
|
اتصال مباشر |
103.232.71.228 |
|
|
AUS |
<customer>.aus.wxc-di.webex.com | |
|
ميل |
178.215.128.100 |
|
|
دولار أمريكي |
178.215.128.228 |
|
|
المملكة المتحدة |
<customer>.uk.wxc-di.webex.com | |
|
لون |
178.215.135.100 |
|
|
رجل |
178.215.135.228 |
|
يتم تعطيل خيار ping لعناوين IP لخادم DNS المذكورة أعلاه لأسباب تتعلق بالأمان.
لحين تطبيق إعادة التوجيه المشروطة، لن تتمكن الأجهزة من التسجيل في المثيل المخصص من الشبكة الداخلية للعملاء عبر ارتباطات تحديد النظير. إعادة التوجيه المشروط غير مطلوبة للتسجيل عبر الوصول عبر الأجهزة المحمولة والوصول عن بُعد (MRA)، حيث سيتم توفير جميع سجلات DNS الخارجية المطلوبة لتسهيل MRA مسبقًا بواسطة Cisco.
عند استخدام تطبيق Webex كعميل برمجي للاتصال الخاص بك على المثيل المكرّس، يجب تكوين ملف تعريف UC Manager في Control Hub لمجال الخدمة الصوتية (VSD) لكل منطقة. للحصول على مزيد من المعلومات، ارجع إلى ملفات تعريف UC Manager في Cisco Webex Control Hub. سيتمكن تطبيق Webex من حل Expressway Edge الخاص بالعميل تلقائيًا دون أي تدخل من المستخدم النهائي.
سيتم توفير "مجال الخدمة الصوتية" للعميل كجزء من مستند وصول الشريك بمجرد اكتمال تنشيط الخدمة.
استخدام موجه محلي لدقة DNS للهاتف
بالنسبة للهواتف التي لا تتمتع بإمكانية الوصول إلى خوادم DNS الخاصة بالشركة، من الممكن استخدام موجه Cisco محلي لإعادة توجيه طلبات DNS إلى DNS السحابي للمثيل المخصص. يزيل هذا الأمر الحاجة إلى نشر خادم DNS محلي ويوفر دعم DNS الكامل بما في ذلك التخزين المؤقت.
مثال التكوين :
!
خادم DNS IP
خادم اسم ip
!
يكون استخدام DNS في نموذج النشر هذا خاصًا بالهواتف ولا يمكن استخدامه إلا لحل FQDN مع المجال من المثيل المخصص للعملاء.
المراجع
-
تصميمات الشبكة المرجعية لحلول Cisco Collaboration 12.x (SRND)، موضوع الأمان: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
دليل أمان Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html
