متطلبات الشبكة للمثيل المخصص

يعد Webex Calling Dedicated Instance جزءًا من مجموعة Cisco Cloud Calling، وهو مدعوم بتقنية التعاون Cisco Unified Communications Manager (Cisco Unified CM). توفر Dedicated Instance حلول الصوت والفيديو والمراسلة والتنقل مع ميزات وفوائد هواتف Cisco IP والأجهزة المحمولة وعملاء سطح المكتب الذين يتصلون بشكل آمن بالمثيل المخصص.

تهدف هذه المقالة إلى مسؤولي الشبكات، وخاصة مسؤولي أمان جدران الحماية والوكيل الذين يرغبون في استخدام مثيل مخصص داخل مؤسستهم.

نظرة عامة على الأمان: الأمن في الطبقات

تستخدم المثيلات المخصصة نهجًا متعدد الطبقات للأمان. تتضمن الطبقات:

  • الوصول المادي

  • الشبكة

  • نقاط النهاية

  • تطبيقات الاتصالات الموحدة

تتناول الأقسام التالية طبقات الأمان في عمليات نشر المثيلات المخصصة.

الأمن المادي

من المهم توفير الأمان المادي لمواقع Equinix Meet-Me Room ومرافق Cisco Dedicated Instance Data Center. عندما يتم المساس بالأمن المادي، يمكن البدء بهجمات بسيطة مثل تعطيل الخدمة عن طريق إيقاف الطاقة عن مفاتيح العميل. باستخدام الوصول المادي، يمكن للمهاجمين الوصول إلى أجهزة الخادم وإعادة تعيين كلمات المرور والوصول إلى المفاتيح. ويسهل الوصول المادي أيضًا شن هجمات أكثر تعقيدًا مثل هجمات الرجل في المنتصف، ولهذا السبب فإن طبقة الأمان الثانية، أي أمان الشبكة، تعد بالغة الأهمية.

يتم استخدام محركات التشفير الذاتي في مراكز البيانات المخصصة التي تستضيف تطبيقات الاتصالات الموحدة.

لمزيد من المعلومات حول ممارسات الأمان العامة، راجع الوثائق الموجودة في الموقع التالي: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

أمن الشبكات

يتعين على الشركاء التأكد من تأمين جميع عناصر الشبكة في البنية التحتية للمثيل المخصص (الذي يتصل عبر Equinix). تقع على عاتق الشريك مسؤولية ضمان أفضل ممارسات الأمن مثل:

  • شبكة VLAN منفصلة للصوت والبيانات

  • تمكين أمان المنفذ الذي يحد من عدد عناوين MAC المسموح بها لكل منفذ، ضد إغراق جدول CAM

  • حماية مصدر IP من عناوين IP المزيفة

  • فحص ARP الديناميكي (DAI) يفحص بروتوكول حل العناوين (ARP) وARP المجاني (GARP) بحثًا عن الانتهاكات (ضد انتحال ARP)

  • 802.⁦1x⁩ يحد من الوصول إلى الشبكة للتحقق من صحة الأجهزة الموجودة على شبكات VLAN المخصصة (الهواتف تدعم 802.⁦1x⁩)

  • تهيئة جودة الخدمة (QoS) لوضع العلامات المناسبة على حزم الصوت

  • تكوينات منافذ جدار الحماية لمنع أي حركة مرور أخرى

أمان نقاط النهاية

تدعم نقاط نهاية Cisco ميزات الأمان الافتراضية مثل البرامج الثابتة الموقعة، والتمهيد الآمن (طرازات محددة)، وشهادة الشركة المصنعة المثبتة (MIC)، وملفات التكوين الموقعة، والتي توفر مستوى معينًا من الأمان لنقاط النهاية.

بالإضافة إلى ذلك، يمكن للشريك أو العميل تمكين الأمان الإضافي، مثل:

  • تشفير خدمات الهاتف IP (عبر HTTPS) للخدمات مثل Extension Mobility

  • إصدار شهادات ذات أهمية محلية (LSCs) من وظيفة وكيل هيئة الشهادات (CAPF) أو هيئة الشهادات العامة (CA)

  • تشفير ملفات التكوين

  • تشفير الوسائط والإشارات

  • قم بتعطيل هذه الإعدادات إذا لم يتم استخدامها: منفذ الكمبيوتر الشخصي، وصول VLAN الصوتي للكمبيوتر الشخصي، ARP مجاني، وصول الويب، زر الإعدادات، SSH، وحدة التحكم

يؤدي تنفيذ آليات الأمان في المثيل المخصص إلى منع سرقة هوية الهواتف وخادم Unified CM، والتلاعب بالبيانات، والتلاعب بإشارات المكالمات/تدفق الوسائط.

مثيل مخصص عبر الشبكة:

  • إنشاء وصيانة تدفقات الاتصالات المعتمدة

  • التوقيع رقميًا على الملفات قبل نقل الملف إلى الهاتف

  • يقوم بتشفير تدفقات الوسائط وإشارات المكالمات بين هواتف Cisco Unified IP

إعداد الأمان الافتراضي

يوفر الأمان بشكل افتراضي ميزات الأمان التلقائية التالية لهواتف Cisco Unified IP:

  • توقيع ملفات تكوين الهاتف

  • دعم تشفير ملف تكوين الهاتف

  • HTTPS مع Tomcat وخدمات الويب الأخرى (MIDlets)

بالنسبة لإصدار Unified CM 8.0 الأحدث، يتم توفير ميزات الأمان هذه بشكل افتراضي دون تشغيل عميل قائمة شهادات الثقة (CTL).

خدمة التحقق من الثقة

نظرًا لوجود عدد كبير من الهواتف في الشبكة ولأن هواتف IP لها ذاكرة محدودة، فإن Cisco Unified CM يعمل كمخزن ثقة عن بعد من خلال خدمة التحقق من الثقة (TVS) بحيث لا يتعين وضع مخزن ثقة الشهادة على كل هاتف. تتصل هواتف IP الخاصة بشركة Cisco بخادم TVS للتحقق لأنها لا تستطيع التحقق من التوقيع أو الشهادة من خلال ملفات CTL أو ITL. يعد إنشاء مخزن ثقة مركزي أسهل في الإدارة من وجود مخزن الثقة على كل هاتف Cisco Unified IP.

يتيح TVS للهواتف Cisco Unified IP التحقق من صحة خوادم التطبيقات، مثل خدمات EM والدليل وMIDlet، أثناء إنشاء HTTPS.

قائمة الثقة الأولية

يتم استخدام ملف قائمة الثقة الأولية (ITL) للأمان الأولي، حتى تتمكن نقاط النهاية من الثقة في Cisco Unified CM. لا يحتاج ITL إلى تمكين أي ميزات أمان بشكل صريح. يتم إنشاء ملف ITL تلقائيًا عند تثبيت المجموعة. يتم استخدام المفتاح الخاص لخادم Unified CM Trivial File Transfer Protocol (TFTP) لتوقيع ملف ITL.

عندما يكون مجموعة أو خادم Cisco Unified CM في وضع غير آمن، يتم تنزيل ملف ITL على كل هاتف IP Cisco مدعوم. يمكن للشريك عرض محتويات ملف ITL باستخدام أمر CLI، admin:show itl.

تحتاج هواتف IP من Cisco إلى ملف ITL لأداء المهام التالية:

  • التواصل بشكل آمن مع CAPF، وهو شرط أساسي لدعم تشفير ملف التكوين

  • التحقق من صحة توقيع ملف التكوين

  • مصادقة خوادم التطبيقات، مثل خدمات EM والدليل وMIDlet أثناء إنشاء HTTPS باستخدام TVS

سيسكو CTL

تعتمد مصادقة الجهاز والملف والإشارات على إنشاء ملف قائمة ثقة الشهادات (CTL)، والذي يتم إنشاؤه عندما يقوم الشريك أو العميل بتثبيت عميل قائمة ثقة الشهادات من Cisco وتكوينه.

يحتوي ملف CTL على إدخالات للخوادم أو رموز الأمان التالية:

  • رمز أمان مسؤول النظام (SAST)

  • خدمات Cisco CallManager وCisco TFTP التي تعمل على نفس الخادم

  • وظيفة وكيل هيئة الشهادة (CAPF)

  • خادم(ات) TFTP

  • جدار الحماية ASA

يحتوي ملف CTL على شهادة الخادم والمفتاح العام والرقم التسلسلي والتوقيع واسم المصدر واسم الموضوع ووظيفة الخادم واسم DNS وعنوان IP لكل خادم.

يوفر أمان الهاتف باستخدام CTL الوظائف التالية:

  • مصادقة الملفات التي تم تنزيلها عبر TFTP (التكوين، والإعدادات المحلية، وقائمة الحلقات، وما إلى ذلك) باستخدام مفتاح التوقيع

  • تشفير ملفات تكوين TFTP باستخدام مفتاح التوقيع

  • إشارات المكالمات المشفرة للهواتف IP

  • مكالمات صوتية مشفرة (وسائط) للهواتف IP

الأمان لهواتف Cisco IP في المثيل المخصص

توفر المثيلات المخصصة تسجيل نقطة النهاية ومعالجة المكالمات. تعتمد الإشارات بين Cisco Unified CM ونقاط النهاية على بروتوكول التحكم الآمن بالعميل (SCCP) أو بروتوكول بدء الجلسة (SIP) ويمكن تشفيرها باستخدام أمان طبقة النقل (TLS). تعتمد الوسائط من/إلى نقاط النهاية على بروتوكول النقل في الوقت الفعلي (RTP) ويمكن أيضًا تشفيرها باستخدام Secure RTP (SRTP).

يتيح تمكين الوضع المختلط على Unified CM تشفير الإشارات وحركة الوسائط من وإلى نقاط نهاية Cisco.

تطبيقات UC الآمنة

تمكين الوضع المختلط في المثيل المخصص

يتم تمكين الوضع المختلط بشكل افتراضي في المثيل المخصص.

يتيح تمكين الوضع المختلط في المثيل المخصص إمكانية تشفير الإشارات وحركة الوسائط من وإلى نقاط نهاية Cisco.

في إصدار Cisco Unified CM 12.5(1)، تمت إضافة خيار جديد لتمكين تشفير الإشارات والوسائط استنادًا إلى SIP OAuth بدلاً من الوضع المختلط / CTL لعملاء Jabber وWebex. لذلك، في إصدار Unified CM 12.5(1)، يمكن استخدام SIP OAuth وSRTP لتمكين التشفير للإشارات والوسائط لعملاء Jabber أو Webex. لا يزال تمكين الوضع المختلط مطلوبًا بالنسبة لهواتف Cisco IP ونقاط نهاية Cisco الأخرى في هذا الوقت. هناك خطة لإضافة الدعم لـ SIP OAuth في نقاط نهاية 7800/8800 في إصدار مستقبلي.

أمان الرسائل الصوتية

يتصل Cisco Unity Connection بـ Unified CM عبر منفذ TLS. عندما يكون وضع أمان الجهاز غير آمن، يتصل Cisco Unity Connection بـ Unified CM عبر منفذ SCCP.

لتكوين الأمان لمنافذ الرسائل الصوتية Unified CM وأجهزة Cisco Unity التي تعمل بنظام SCCP أو أجهزة Cisco Unity Connection التي تعمل بنظام SCCP، يمكن للشريك اختيار وضع أمان الجهاز الآمن للمنفذ. إذا اخترت منفذ بريد صوتي معتمد، فسيتم فتح اتصال TLS، والذي يقوم بمصادقة الأجهزة باستخدام تبادل الشهادات المتبادلة (يقبل كل جهاز شهادة الجهاز الآخر). إذا اخترت منفذ بريد صوتي مشفر، يقوم النظام أولاً بمصادقة الأجهزة ثم يرسل تدفقات صوتية مشفرة بين الأجهزة.

لمزيد من المعلومات حول منافذ الرسائل الصوتية الأمنية، راجع: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

الأمان لـ SRST، والخطوط، والبوابات، وCUBE/SBC

توفر بوابة Cisco Unified Survivable Remote Site Telephony (SRST) الممكّنة بمهام معالجة المكالمات المحدودة إذا لم يتمكن Cisco Unified CM على Dedicated Instance من إكمال المكالمة.

تحتوي بوابات SRST الآمنة على شهادة موقعة ذاتيًا. بعد أن يقوم الشريك بتنفيذ مهام تكوين SRST في إدارة Unified CM، يستخدم Unified CM اتصال TLS للمصادقة باستخدام خدمة موفر الشهادة في البوابة التي تدعم SRST. يقوم Unified CM بعد ذلك باسترجاع الشهادة من البوابة الممكّنة لـ SRST ويضيف الشهادة إلى قاعدة بيانات Unified CM.

بعد أن يقوم الشريك بإعادة تعيين الأجهزة التابعة في إدارة Unified CM، يقوم خادم TFTP بإضافة شهادة البوابة الممكّنة لـ SRST إلى ملف cnf.xml الخاص بالهاتف ويرسل الملف إلى الهاتف. ثم يستخدم الهاتف الآمن اتصال TLS للتفاعل مع البوابة التي تدعم SRST.

يوصى بالحصول على جذوع آمنة للمكالمة الصادرة من Cisco Unified CM إلى البوابة الخاصة بمكالمات PSTN الصادرة أو التي تمر عبر Cisco Unified Border Element (CUBE).

يمكن أن تدعم جذوع SIP المكالمات الآمنة لكل من الإشارات والوسائط؛ يوفر TLS تشفير الإشارات ويوفر SRTP تشفير الوسائط.

تأمين الاتصالات بين Cisco Unified CM وCUBE

للحصول على اتصالات آمنة بين Cisco Unified CM وCUBE، يتعين على الشركاء/العملاء استخدام شهادة ذاتية التوقيع أو شهادات موقعة من CA.

بالنسبة للشهادات الموقعة ذاتيًا:

  1. يقوم CUBE وCisco Unified CM بإنشاء شهادات ذاتية التوقيع

  2. يقوم CUBE بتصدير الشهادة إلى Cisco Unified CM

  3. يقوم Cisco Unified CM بتصدير الشهادة إلى CUBE

بالنسبة للشهادات الموقعة من قبل CA:

  1. يقوم العميل بإنشاء زوج مفاتيح وإرسال طلب توقيع الشهادة (CSR) إلى هيئة الشهادات (CA)

  2. تقوم CA بالتوقيع عليه باستخدام مفتاحها الخاص، مما يؤدي إلى إنشاء شهادة هوية

  3. يقوم العميل بتثبيت قائمة شهادات الجذر والوسيط CA الموثوقة وشهادة الهوية

الأمان لنقاط النهاية البعيدة

مع نقاط نهاية الوصول عن بعد والمتنقل (MRA)، يتم دائمًا تشفير الإشارات والوسائط بين نقاط نهاية MRA وعقد Expressway. إذا تم استخدام بروتوكول إنشاء الاتصال التفاعلي (ICE) لنقاط نهاية MRA، فإن التشفير للإشارات والوسائط لنقاط نهاية MRA مطلوب. ومع ذلك، فإن تشفير الإشارات والوسائط بين Expressway-C وخوادم Unified CM الداخلية أو نقاط النهاية الداخلية أو الأجهزة الداخلية الأخرى يتطلب وضعًا مختلطًا أو SIP OAuth.

يوفر Cisco Expressway عبورًا آمنًا لجدار الحماية ودعمًا على جانب الخط لتسجيلات Unified CM. يوفر Unified CM التحكم في المكالمات لنقاط النهاية المحمولة والمحلية. تنتقل الإشارات عبر حل الطريق السريع بين نقطة النهاية البعيدة و Unified CM. تنتقل الوسائط عبر حل الطريق السريع ويتم نقلها بين النقاط النهائية بشكل مباشر. يتم تشفير كافة الوسائط بين Expressway-C ونقطة النهاية المحمولة.

يتطلب أي حل MRA Expressway وUnified CM، مع عملاء برمجيين متوافقين مع MRA و/أو نقاط نهاية ثابتة. يمكن أن يتضمن الحل اختياريا خدمة المراسلة الفورية والحضور وخدمة Unity Connection.

ملخص البروتوكول

يوضح الجدول التالي البروتوكولات والخدمات المرتبطة المستخدمة في حل Unified CM.

الجدول رقم 1. البروتوكولات والخدمات المرتبطة بها

البروتوكول

الأمان

الخدمة

SIP

TLS

إنشاء الجلسة: التسجيل، الدعوة، الخ.

HTTPS

TLS

تسجيل الدخول، التجهيز/التكوين، الدليل، البريد الصوتي المرئي

الوسائط

SRTP

وسائط: الصوت والفيديو ومشاركة المحتوى

إكس إم بي بي

TLS

المراسلة الفورية، الحضور، الاتحاد

لمزيد من المعلومات حول تكوين MRA، راجع: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

خيارات التكوين

توفر المثيل المخصص للشريك المرونة اللازمة لتخصيص الخدمات للمستخدمين النهائيين من خلال التحكم الكامل في تكوينات اليوم الثاني. ونتيجة لذلك، يكون الشريك مسؤولاً بشكل كامل عن التكوين الصحيح لخدمة المثيل المخصص لبيئة المستخدم النهائي. ويتضمن ذلك، على سبيل المثال لا الحصر:

  • اختيار مكالمات آمنة/غير آمنة، وبروتوكولات آمنة/غير آمنة مثل SIP/sSIP، وhttp/https وما إلى ذلك، وفهم أي مخاطر مرتبطة بها.

  • بالنسبة لجميع عناوين MAC غير المهيأة كـ SIP آمن في Dedicated Instance، يمكن للمهاجم إرسال رسالة تسجيل SIP باستخدام عنوان MAC هذا ويكون قادرًا على إجراء مكالمات SIP، مما يؤدي إلى الاحتيال على الرسوم. الشرط المسبق هو أن يتمكن المهاجم من تسجيل جهاز/برنامج SIP الخاص به في مثيل مخصص دون إذن إذا كان يعرف عنوان MAC الخاص بجهاز مسجل في مثيل مخصص.

  • يجب تكوين سياسات الاتصال والتحويل وقواعد البحث الخاصة بالطريق السريع E لمنع الاحتيال في الرسوم. لمزيد من المعلومات حول منع الاحتيال في الرسوم باستخدام الطرق السريعة، راجع قسم الأمان للطرق السريعة C والطرق السريعة E في تعاون SRND.

  • تكوين خطة الاتصال لضمان أن يتمكن المستخدمون من الاتصال بالوجهات المسموح بها فقط، على سبيل المثال، حظر الاتصال الوطني/الدولي، وتوجيه مكالمات الطوارئ بشكل صحيح وما إلى ذلك. لمزيد من المعلومات حول تطبيق القيود باستخدام خطة الاتصال، راجع قسم خطة الاتصال في Collaboration SRND.

متطلبات الشهادة للاتصالات الآمنة في المثيل المخصص

بالنسبة للنسخة المخصصة، ستوفر Cisco المجال وتوقع جميع الشهادات لتطبيقات UC باستخدام هيئة شهادة عامة (CA).

المثيل المخصص – أرقام المنافذ والبروتوكولات

تصف الجداول التالية المنافذ والبروتوكولات المدعومة في المثيل المخصص. تعتمد المنافذ المستخدمة لعميل معين على نشر العميل والحل. تعتمد البروتوكولات على تفضيلات العميل (SCCP مقابل SIP) والأجهزة الموجودة في المؤسسة ومستوى الأمان لتحديد المنافذ التي يجب استخدامها في كل نشر.

لا تسمح المثيلات المخصصة بترجمة عنوان الشبكة (NAT) بين نقاط النهاية وUnified CM لأن بعض ميزات تدفق المكالمات لن تعمل، على سبيل المثال ميزة منتصف المكالمة.

مثيل مخصص – منافذ العملاء

تظهر المنافذ المتاحة للعملاء - بين العميل المحلي والمثيل المخصص - في الجدول 1 منافذ عملاء المثيل المخصص. جميع المنافذ المدرجة أدناه مخصصة لحركة مرور العملاء التي تعبر روابط النظير.

يكون منفذ SNMP مفتوحًا بشكل افتراضي فقط لبرنامج Cisco Emergency Responder لدعم وظائفه. نظرًا لأننا لا ندعم الشركاء أو العملاء الذين يراقبون تطبيقات UC المنتشرة في سحابة Dedicated Instance، فإننا لا نسمح بفتح منفذ SNMP لأي تطبيقات UC أخرى.

يتم حجز المنافذ الموجودة في النطاق من 5063 إلى 5080 بواسطة Cisco للتكاملات السحابية الأخرى، ولا يُنصح مسؤولي الشركاء أو العملاء باستخدام هذه المنافذ في تكويناتهم.

الجدول رقم 2. منافذ العملاء المخصصة

البروتوكول

TCP/UDP

المصدر

الوجهة

منفذ المصدر

منفذ الوجهة

الغرض

SSH

TCP

العميل

تطبيقات الاتصالات الموحدة

غير مسموح بتطبيقات Cisco Expressway.

أكبر من 1023

22

الإدارة

تي اف تي بي

UDP

نقطة النهاية

Unified CM

أكبر من 1023

69

دعم نقطة النهاية القديمة

بروتوكول LDAP

TCP

تطبيقات الاتصالات الموحدة

الدليل الخارجي

أكبر من 1023

389

مزامنة الدليل مع LDAP الخاص بالعميل

HTTPS

TCP

المستعرض

تطبيقات الاتصالات الموحدة

أكبر من 1023

443

الوصول إلى الويب للعناية الذاتية والواجهات الإدارية

البريد الصادر (آمن)

TCP

تطبيق UC

كوكسن

أكبر من 1023

587

تُستخدم لإنشاء رسائل آمنة وإرسالها إلى أي مستلمين محددين

LDAP (آمن)

TCP

تطبيقات الاتصالات الموحدة

الدليل الخارجي

أكبر من 1023

636

مزامنة الدليل مع LDAP الخاص بالعميل

H323

TCP

بوابة

Unified CM

أكبر من 1023

1720

إشارات النداء

H323

TCP

Unified CM

Unified CM

أكبر من 1023

1720

إشارات النداء

مركبات الكلورو فلورو كربون

TCP

نقطة النهاية

CM موحد، CUCxn

أكبر من 1023

2000

إشارات النداء

مركبات الكلورو فلورو كربون

TCP

Unified CM

CM الموحد، البوابة

أكبر من 1023

2000

إشارات النداء

إم جي سي بي

UDP

بوابة

بوابة

أكبر من 1023

2427

إشارات النداء

شبكة MGCP الخلفية

TCP

بوابة

Unified CM

أكبر من 1023

2428

إشارات النداء

SCCP (آمن)

TCP

نقطة النهاية

CM موحد، CUCxn

أكبر من 1023

2443

إشارات النداء

SCCP (آمن)

TCP

Unified CM

CM الموحد، البوابة

أكبر من 1023

2443

إشارات النداء

التحقق من الثقة

TCP

نقطة النهاية

Unified CM

أكبر من 1023

2445

توفير خدمة التحقق من الثقة لنقاط النهاية

سي تي آي

TCP

نقطة النهاية

Unified CM

أكبر من 1023

2748

الاتصال بين تطبيقات CTI (JTAPI/TSP) وCTIManager

تأمين CTI

TCP

نقطة النهاية

Unified CM

أكبر من 1023

2749

اتصال آمن بين تطبيقات CTI (JTAPI/TSP) وCTIManager

كتالوج LDAP العالمي

TCP

تطبيقات الاتصالات الموحدة

الدليل الخارجي

أكبر من 1023

3268

مزامنة الدليل مع LDAP الخاص بالعميل

كتالوج LDAP العالمي

TCP

تطبيقات الاتصالات الموحدة

الدليل الخارجي

أكبر من 1023

3269

مزامنة الدليل مع LDAP الخاص بالعميل

خدمة CAPF

TCP

نقطة النهاية

Unified CM

أكبر من 1023

3804

منفذ الاستماع لوظيفة وكيل الهيئة المصدرة للشهادة (CAPF) لإصدار الشهادات ذات الأهمية المحلية (LSC) للهواتف التي تعمل عبر بروتوكول الإنترنت (IP)

SIP

TCP

نقطة النهاية

CM موحد، CUCxn

أكبر من 1023

5060

إشارات النداء

SIP

TCP

Unified CM

CM الموحد، البوابة

أكبر من 1023

5060

إشارات النداء

SIP (آمن)

TCP

نقطة النهاية

Unified CM

أكبر من 1023

5061

إشارات النداء

SIP (آمن)

TCP

Unified CM

CM الموحد، البوابة

أكبر من 1023

5061

إشارات النداء

SIP (OAUTH)

TCP

نقطة النهاية

Unified CM

أكبر من 1023

5090

إشارات النداء

إكس إم بي بي

TCP

عميل جابر

سيسكو IM&P

أكبر من 1023

5222

المراسلة الفورية والتواجد

HTTP

TCP

نقطة النهاية

Unified CM

أكبر من 1023

6970

تنزيل التكوين والصور إلى نقاط النهاية

HTTPS

TCP

نقطة النهاية

Unified CM

أكبر من 1023

6971

تنزيل التكوين والصور إلى نقاط النهاية

HTTPS

TCP

نقطة النهاية

Unified CM

أكبر من 1023

6972

تنزيل التكوين والصور إلى نقاط النهاية

HTTP

TCP

عميل جابر

كوكسن

أكبر من 1023

7080

إشعارات البريد الصوتي

HTTPS

TCP

عميل جابر

كوكسن

أكبر من 1023

7443

إشعارات البريد الصوتي الآمن

HTTPS

TCP

Unified CM

Unified CM

أكبر من 1023

7501

تستخدمه خدمة البحث بين المجموعات (ILS) للمصادقة المستندة إلى الشهادة

HTTPS

TCP

Unified CM

Unified CM

أكبر من 1023

7502

يستخدمه ILS للمصادقة القائمة على كلمة المرور

بروتوكول IMAP

TCP

عميل جابر

كوكسن

أكبر من 1023

7993

IMAP عبر TLS

HTTP

TCP

نقطة النهاية

Unified CM

أكبر من 1023

8080

دليل URI لدعم نقاط النهاية القديمة

HTTPS

TCP

المتصفح، نقطة النهاية

تطبيقات الاتصالات الموحدة

أكبر من 1023

8443

الوصول إلى الويب للعناية الذاتية والواجهات الإدارية، UDS

HTTPS

TCP

الهاتف

Unified CM

أكبر من 1023

9443

البحث عن جهة اتصال معتمدة

بروتوكول HTTPS

TCP

نقطة النهاية

Unified CM

أكبر من 1023

9444

ميزة إدارة سماعة الرأس

بروتوكول RTP/SRTP آمن

UDP

Unified CM

الهاتف

16384 إلى 32767 *

16384 إلى 32767 *

الوسائط (الصوت) - الموسيقى قيد الانتظار، جهاز الإعلان، جسر مؤتمرات البرامج (مفتوح بناءً على إشارات المكالمة)

بروتوكول RTP/SRTP آمن

UDP

الهاتف

Unified CM

16384 إلى 32767 *

16384 إلى 32767 *

الوسائط (الصوت) - الموسيقى قيد الانتظار، جهاز الإعلان، جسر مؤتمرات البرامج (مفتوح بناءً على إشارات المكالمة)

الكوبرا

TCP

العميل

كوكسن

أكبر من 1023

20532

النسخ الاحتياطي واستعادة مجموعة التطبيقات

بروتوكول الإنترنت لمكافحة مرض التصلب العصبي المتعدد

بروتوكول الإنترنت لمكافحة مرض التصلب العصبي المتعدد

نقطة النهاية

تطبيقات الاتصالات الموحدة

غير متوفر

غير متوفر

بينغ

بروتوكول الإنترنت لمكافحة مرض التصلب العصبي المتعدد

بروتوكول الإنترنت لمكافحة مرض التصلب العصبي المتعدد

تطبيقات الاتصالات الموحدة

نقطة النهاية

غير متوفر

غير متوفر

بينغ
DNS UDP وTCP

مُعيد توجيه DNS

خوادم DNS المخصصة

أكبر من 1023

 53

مُعيدو توجيه DNS في مقر العميل إلى خوادم DNS المخصصة. راجع متطلبات DNS لمزيد من المعلومات.

* قد تستخدم بعض الحالات الخاصة نطاقًا أكبر.

مثيل مخصص – منافذ OTT

يمكن للعملاء والشركاء استخدام المنفذ التالي لإعداد الوصول عن بعد والاتصال عبر الهاتف المحمول (MRA):

الجدول رقم 3. منفذ لـ OTT

البروتوكول

بروتوكول التحكم في الإرسال/بروتوكول التحكم الموحد

المصدر

الوجهة

منفذ المصدر

منفذ الوجهة

الغرض

بروتوكول RTP/RTCP آمن

UDP

الطريق السريع ج

العميل

أكبر من 1023

36000-59999

وسائط آمنة لمكالمات MRA وB2B

جذع SIP المتداخل بين المستأجرين المتعددين والمثيل المخصص (للجذع القائم على التسجيل فقط)

يجب السماح بقائمة المنافذ التالية على جدار حماية العميل لجذع SIP المستند إلى التسجيل والذي يربط بين المستأجرين المتعددين والمثيل المخصص.

الجدول رقم 4. منفذ للجذوع القائمة على التسجيل

البروتوكول

بروتوكول التحكم في الإرسال/بروتوكول التحكم الموحد

المصدر

الوجهة

منفذ المصدر

منفذ الوجهة

الغرض

بروتوكول RTP/بروتوكول RTCP

UDP

مكالمات Webex متعددة المستأجرين

العميل

أكبر من 1023

8000-48198

وسائط من Webex Calling Multitenant

مثيل مخصص – منافذ UCCX

يمكن للعملاء والشركاء استخدام القائمة التالية من المنافذ لتكوين UCCX.

الجدول 5. منافذ Cisco UCCX

البروتوكول

بروتوكول التحكم في الإرسال/بروتوكول التحكم الموحد

المصدر

الوجهة

منفذ المصدر

منفذ الوجهة

الغرض

SSH

TCP

العميل

يو سي سي اكس

أكبر من 1023

22

SFTP و SSH

إنفورميكس

TCP

العميل أو الخادم

يو سي سي اكس

أكبر من 1023

1504

منفذ قاعدة بيانات مركز الاتصال السريع

SIP

UDP وTCP

خادم SIP GW أو MCRP

يو سي سي اكس

أكبر من 1023

5065

الاتصال بعقد GW وMCRP البعيدة

إكس إم بي بي

TCP

العميل

يو سي سي اكس

أكبر من 1023

5223

اتصال XMPP آمن بين خادم Finesse وتطبيقات الطرف الثالث المخصصة

أمراض القلب والأوعية الدموية

TCP

العميل

يو سي سي اكس

أكبر من 1023

6999

محرر لتطبيقات CCX

HTTPS

TCP

العميل

يو سي سي اكس

أكبر من 1023

7443

اتصال BOSH آمن بين خادم Finesse وأجهزة سطح المكتب الخاصة بالوكيل والمشرف للتواصل عبر HTTPS

HTTP

TCP

العميل

يو سي سي اكس

أكبر من 1023

8080

يتصل عملاء إعداد التقارير بالبيانات المباشرة بخادم socket.IO

HTTP

TCP

العميل

يو سي سي اكس

أكبر من 1023

8081

يحاول متصفح العميل الوصول إلى واجهة الويب الخاصة بمركز Cisco Unified Intelligence Center

HTTP

TCP

العميل

يو سي سي اكس

أكبر من 1023

8443

واجهة المستخدم الرسومية للمسؤول، وRTMT، والوصول إلى قاعدة البيانات عبر SOAP

HTTPS

TCP

العميل

يو سي سي اكس

أكبر من 1023

8444

واجهة الويب لمركز Cisco Unified Intelligence

HTTPS

TCP

المتصفح وعملاء REST

يو سي سي اكس

أكبر من 1023

8445

منفذ آمن للدقة

HTTPS

TCP

العميل

يو سي سي اكس

أكبر من 1023

8447

تعليمات عبر الإنترنت لمركز الاستخبارات الموحدة - HTTPS

HTTPS

TCP

العميل

يو سي سي اكس

أكبر من 1023

8553

تتمكن مكونات تسجيل الدخول الفردي (SSO) من الوصول إلى هذه الواجهة لمعرفة حالة تشغيل Cisco IdS.

HTTP

TCP

العميل

يو سي سي اكس

أكبر من 1023

9080

العملاء الذين يحاولون الوصول إلى مشغلات HTTP أو المستندات / المطالبات / القواعد النحوية / البيانات المباشرة.

HTTPS

TCP

العميل

يو سي سي اكس

أكبر من 1023

9443

منفذ آمن يستخدم للرد على العملاء الذين يحاولون الوصول إلى مشغلات HTTPS

TCP

TCP

العميل

يو سي سي اكس

أكبر من 1023

12014

هذا هو المنفذ الذي يمكن لعملاء إعداد التقارير عن البيانات المباشرة من خلاله الاتصال بخادم socket.IO

TCP

TCP

العميل

يو سي سي اكس

أكبر من 1023

12015

هذا هو المنفذ الذي يمكن لعملاء إعداد التقارير عن البيانات المباشرة من خلاله الاتصال بخادم socket.IO

سي تي آي

TCP

العميل

يو سي سي اكس

أكبر من 1023

12028

عميل CTI التابع لجهة خارجية إلى CCX

RTP(وسائل الإعلام)

TCP

نقطة النهاية

يو سي سي اكس

أكبر من 1023

أكبر من 1023

يتم فتح منفذ الوسائط بشكل ديناميكي حسب الحاجة

RTP(وسائل الإعلام)

TCP

العميل

نقطة النهاية

أكبر من 1023

أكبر من 1023

يتم فتح منفذ الوسائط بشكل ديناميكي حسب الحاجة

أمن العميل

تأمين Jabber وWebex باستخدام SIP OAuth

يتم مصادقة عملاء Jabber وWebex من خلال رمز OAuth بدلاً من شهادة ذات أهمية محلية (LSC)، والتي لا تتطلب تمكين وظيفة وكيل هيئة الشهادات (CAPF) (لـ MRA أيضًا). تم تقديم SIP OAuth الذي يعمل مع أو بدون الوضع المختلط في Cisco Unified CM 12.5(1)، وJabber 12.5، وExpressway X12.5.

في Cisco Unified CM 12.5، لدينا خيار جديد في ملف تعريف أمان الهاتف الذي يمكّن التشفير بدون LSC/CAPF، باستخدام رمز Transport Layer Security (TLS) + OAuth واحد في SIP REGISTER. تستخدم عقد Expressway-C واجهة برمجة تطبيقات خدمة ويب XML الإدارية (AXL) لإعلام Cisco Unified CM برقم SN/SAN في شهادتها. تستخدم Cisco Unified CM هذه المعلومات للتحقق من صحة شهادة Exp-C عند إنشاء اتصال TLS متبادل.

يتيح SIP OAuth تشفير الوسائط والإشارات دون شهادة نقطة نهاية (LSC).

يستخدم Cisco Jabber المنافذ المؤقتة والمنافذ الآمنة 6971 و6972 عبر اتصال HTTPS بخادم TFTP لتنزيل ملفات التكوين. المنفذ 6970 هو منفذ غير آمن للتنزيل عبر HTTP.

مزيد من التفاصيل حول تكوين SIP OAuth: وضع SIP OAuth.

متطلبات DNS

بالنسبة للمثيل المخصص، توفر Cisco اسم المجال المؤهل بالكامل للخدمة في كل منطقة بالتنسيق التالي ..wxc-di.webex.com على سبيل المثال، xyz.amer.wxc-di.webex.com .

يتم توفير قيمة "العميل" بواسطة المسؤول كجزء من معالج الإعداد لأول مرة (FTSW). لمزيد من المعلومات راجع تنشيط خدمة المثيل المخصص.

يجب أن تكون سجلات DNS لهذا الاسم المؤهل بالكامل قابلة للحل من خادم DNS الداخلي الخاص بالعميل لدعم الأجهزة المحلية المتصلة بالمثيل المخصص. لتسهيل الحل، يحتاج العميل إلى تكوين مُعيد توجيه مشروط، لهذا الاسم المؤهل بالكامل، على خادم DNS الخاص به والذي يشير إلى خدمة DNS للمثيل المخصص. خدمة DNS للمثيلات المخصصة هي خدمة إقليمية ويمكن الوصول إليها، عبر الاتصال بالمثيلات المخصصة، باستخدام عناوين IP التالية كما هو مذكور في الجدول أدناه عنوان IP لخدمة DNS للمثيلات المخصصة.

الجدول 6. عنوان IP لخدمة DNS المخصصة

المنطقة/العاصمة

عنوان IP لخدمة DNS المخصصة

مثال على إعادة التوجيه المشروط

AMER

 <customer>.amer.wxc-di.webex.com

المحكمة العليا

69.168.17.100

دالاس فورت وورث

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

لون

178.215.138.100

أ.م.س

178.215.138.228

الاتحاد الأوروبي

<customer>.eu.wxc-di.webex.com

فرنسا

178.215.131.100

أ.م.س

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

الخطيئة

103.232.71.100

تي كي واي

103.232.71.228

أستراليا

 <customer>.aus.wxc-di.webex.com

ميل

178.215.128.100

سيدني

178.215.128.228

تم تعطيل خيار ping لعناوين IP لخادم DNS المذكورة أعلاه لأسباب أمنية.

حتى يتم تنفيذ إعادة التوجيه المشروط، لن تتمكن الأجهزة من التسجيل في المثيل المخصص من الشبكة الداخلية للعملاء عبر روابط الاقتران. لا يلزم إعادة التوجيه المشروط للتسجيل عبر الوصول عن بعد عبر الهاتف المحمول (MRA)، حيث سيتم توفير جميع سجلات DNS الخارجية المطلوبة لتسهيل الوصول عن بعد عبر الهاتف المحمول مسبقًا بواسطة Cisco.

عند استخدام تطبيق Webex كعميل اتصال ناعم على Dedicated Instance، يلزم تكوين ملف تعريف UC Manager في Control Hub لنطاق خدمة الصوت (VSD) لكل منطقة. لمزيد من المعلومات راجع ملفات تعريف UC Manager في Cisco Webex Control Hub. سيتمكن تطبيق Webex من حل مشكلة Expressway Edge الخاصة بالعميل تلقائيًا دون أي تدخل من المستخدم النهائي.

سيتم توفير نطاق خدمة الصوت للعميل كجزء من مستند وصول الشريك بمجرد اكتمال تنشيط الخدمة.

استخدم جهاز توجيه محلي لحل مشكلة DNS بالهاتف

بالنسبة للهواتف التي لا يمكنها الوصول إلى خوادم DNS الخاصة بالشركة، فمن الممكن استخدام جهاز توجيه Cisco محلي لإعادة توجيه طلبات DNS إلى DNS السحابي المخصص. يؤدي هذا إلى إزالة الحاجة إلى نشر خادم DNS محلي وتوفير دعم DNS الكامل بما في ذلك التخزين المؤقت.

مثال على التكوين :

!

خادم IP DNS

خادم اسم IP

!

يعد استخدام DNS في نموذج النشر هذا خاصًا بالهواتف ولا يمكن استخدامه إلا لحل FQDN مع المجال من المثيل المخصص للعملاء.

حل DNS للهاتف