متطلبات الشبكة للمثيلات المخصصة

يعد Webex Calling Dedicated Instance جزءًا من محفظة Cisco Cloud Calling ، التي يتم تشغيلها بواسطة تقنية تعاون Cisco Unified Communications Manager (Cisco Unified CM). يوفر المثيل المخصص حلول الصوت والفيديو والمراسلة والتنقل مع ميزات وفوائد هواتف Cisco IP والأجهزة المحمولة وعملاء سطح المكتب التي تتصل بشكل آمن بالمثيل المخصص.

هذه المقالة مخصصة لمسؤولي الشبكات ، وخاصة مسؤولي أمان الجدار الناري والوكيل الذين يرغبون في استخدام مثيل مخصص داخل مؤسستهم.

نظرة عامة على الأمان: الأمان في طبقات

مثيل مخصص يستخدم نهج الطبقات للأمان. تشمل الطبقات:

  • الوصول المادي

  • الشبكة

  • نقاط النهاية

  • تطبيقات جامعة كاليفورنيا

تصف الأقسام التالية طبقات الأمان في مثيل مخصص عمليات النشر.

الأمن المادي

من المهم توفير الأمان المادي لمواقع Equinix Meet-Me Room و Cisco مثيل مخصص مرافق مركز البيانات. عندما يتم اختراق الأمان المادي ، يمكن بدء هجمات بسيطة مثل تعطيل الخدمة عن طريق إيقاف تشغيل الطاقة عن مفاتيح العميل. من خلال الوصول المادي ، يمكن للمهاجمين الوصول إلى أجهزة الخادم وإعادة تعيين كلمات المرور والوصول إلى المفاتيح. يسهل الوصول المادي أيضًا الهجمات الأكثر تعقيدًا مثل هجمات man-in-the-middle ، وهذا هو سبب أهمية طبقة الأمان الثانية ، أمان الشبكة.

يتم استخدام محركات الأقراص ذاتية التشفير في ملفات مثيل مخصص مراكز البيانات التي تستضيف تطبيقات الاتصالات الموحدة.

لمزيد من المعلومات حول ممارسات الأمان العامة ، راجع الوثائق الموجودة في الموقع التالي: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

أمان الشبكة

يحتاج الشركاء إلى التأكد من أن جميع عناصر الشبكة مؤمنة مثيل مخصص البنية التحتية (التي تتصل عبر Equinix). تقع على عاتق الشريك مسؤولية ضمان أفضل الممارسات الأمنية مثل:

  • VLAN منفصلة للصوت والبيانات

  • قم بتمكين أمان المنفذ الذي يحد من عدد عناوين MAC المسموح بها لكل منفذ ، مقابل فيضان جدول CAM

  • حماية مصدر IP من عناوين IP المخادعة

  • يفحص فحص ARP الديناميكي (DAI) بروتوكول حل العنوان (ARP) و ARP غير المبرر (GARP) للانتهاكات (ضد انتحال ARP)

  • 802.1x يحد من الوصول إلى الشبكة لمصادقة الأجهزة على شبكات VLAN المعينة (تدعم الهواتف معيار 802.1x )

  • تكوين جودة الخدمة (QoS) لوضع العلامات المناسبة على حزم الصوت

  • تكوينات منافذ جدار الحماية لحظر أي حركة مرور أخرى

أمان نقاط النهاية

تدعم نقاط نهاية Cisco ميزات الأمان الافتراضية مثل البرامج الثابتة الموقعة والتمهيد الآمن (الطرز المحددة) والشهادة المثبتة من قبل الشركة المصنعة (MIC) وملفات التكوين الموقعة ، والتي توفر مستوى معينًا من الأمان لنقاط النهاية.

بالإضافة إلى ذلك ، يمكن للشريك أو العميل تمكين أمان إضافي ، مثل:

  • تشفير خدمات هاتف IP (عبر HTTPS) لخدمات مثل Extension Mobility

  • إصدار الشهادات المهمة محليًا (LSCs) من وظيفة وكيل جهة منح الشهادات (CAPF) أو هيئة إصدار الشهادات العامة (CA)

  • تشفير ملفات التكوين

  • تشفير الوسائط والإشارات

  • قم بتعطيل هذه الإعدادات إذا لم يتم استخدامها: منفذ PC الشخصي ، الوصول إلى VLAN الصوتي كمبيوتر شخصي ، ARP المجاني ، الوصول إلى الويب ، زر الإعدادات ، SSH ، وحدة التحكم

يتم تنفيذ آليات الأمان في مثيل مخصص يمنع سرقة الهوية للهواتف خادم Unified CM، والتلاعب بالبيانات ، والتلاعب في إشارات المكالمات / تدفق الوسائط.

مثيل مخصص عبر الشبكة:

  • ينشئ ويحافظ على تدفقات الاتصال المصدق عليها

  • توقيع الملفات رقميًا قبل نقل الملف إلى الهاتف

  • يشفر تدفقات الوسائط وإشارات المكالمات بين هواتف Cisco Unified IP

إعداد الأمان الافتراضي

يوفر الأمان افتراضيًا ميزات الأمان التلقائية التالية لهواتف Cisco Unified IP :

  • توقيع ملفات تكوين الهاتف

  • دعم لتشفير ملف تكوين الهاتف

  • HTTPS مع Tomcat وخدمات الويب الأخرى (MIDlets)

بالنسبة للإصدار 8.0 من Unified CM لاحقًا ، يتم توفير ميزات الأمان هذه بشكل افتراضي دون تشغيل عميل قائمة الشهادات الموثوق بها (CTL).

خدمة التحقق من الثقة

نظرًا لوجود عدد كبير من الهواتف في الشبكة وهواتف IP ذات ذاكرة محدودة ، تعمل Cisco Unified CM كمخزن ثقة عن بُعد من خلال خدمة التحقق من الثقة (TVS) بحيث لا يلزم وضع مخزن الشهادات الموثوق به على كل هاتف. تتصل هواتف Cisco IP بخادم TVS للتحقق من صحة التوقيع أو الشهادة من خلال ملفات CTL أو ITL. يعد امتلاك متجر ثقة مركزي أسهل في إدارته من وجود متجر موثوق به على كل هاتف IP Cisco Unified IP.

تعمل خدمة TVS على تمكين هواتف Cisco Unified IP من مصادقة خوادم التطبيقات ، مثل خدمات EM ، والدليل ، و MIDlet ، أثناء إنشاء HTTPS.

قائمة الثقة الأولية

يتم استخدام ملف قائمة الثقة الأولية (ITL) للأمان الأولي ، بحيث يمكن لنقاط النهاية الوثوق بـ Cisco Unified CM. لا يحتاج ITL إلى تمكين أي ميزات أمان بشكل صريح. يتم إنشاء ملف ITL تلقائيًا عند تثبيت المجموعة. يتم استخدام المفتاح الخاص لخادم Unified CM Trivial File Transfer Protocol (TFTP) للتوقيع على ملف ITL.

عندما تكون مجموعة أو خادم Cisco Unified CM في وضع آمن ، يتم تنزيل ملف ITL على كل هاتف IP Cisco IP مدعوم. يمكن للشريك عرض محتويات ملف ITL باستخدام أمر CLI، admin: show itl.

تحتاج هواتف Cisco IP إلى ملف ITL لأداء المهام التالية:

  • الاتصال بشكل آمن بـ CAPF، وهو شرط أساسي لدعم تشفير ملف التكوين

  • قم بمصادقة توقيع ملف التكوين

  • مصادقة خوادم التطبيقات ، مثل خدمات EM والدليل و MIDlet أثناء إنشاء HTTPS باستخدام TVS

Cisco CTL

تعتمد مصادقة الجهاز والملف والإشارة على إنشاء ملف قائمة الشهادات الموثوق بها (CTL) ، والذي يتم إنشاؤه عندما يقوم الشريك أو العميل بتثبيت وتكوين عميل قائمة الشهادات الموثوق بها من Cisco .

يحتوي ملف CTL على إدخالات للخوادم أو رموز الأمان التالية:

  • رمز أمان مسؤول النظام (SAST)

  • خدمات Cisco CallManager و Cisco TFTP التي تعمل على نفس الخادم

  • وظيفة وكيل Certificate Authority (CAPF)

  • خادم (خوادم) TFTP

  • جدار حماية ASA

يحتوي ملف CTL على شهادة الخادم والمفتاح العام رقم تسلسلي والتوقيع واسم المُصدر واسم الموضوع ووظيفة الخادم واسم DNS عنوان IP لكل خادم.

يوفر أمان الهاتف باستخدام CTL الوظائف التالية:

  • مصادقة ملفات TFTP التي تم تنزيلها (التكوين والإعدادات المحلية وقائمة الرنين وما إلى ذلك) باستخدام مفتاح التوقيع

  • تشفير ملفات تكوين TFTP باستخدام مفتاح توقيع

  • إشارات المكالمات المشفرة لهواتف IP

  • صوت المكالمة المشفر (الوسائط) لهواتف IP

أمان هواتف Cisco IP بتنسيق مثيل مخصص

مثيل مخصص يوفر تسجيل نقاط النهاية معالجة المكالمة. تستند الإشارة بين Cisco Unified CM ونقاط النهاية إلى بروتوكول التحكم في عميل Skinny (SCCP) أو بروتوكول بدء الجلسة (SIP) ويمكن تشفيرها باستخدام أمان طبقة النقل (TLS). تعتمد الوسائط من / إلى نقاط النهاية على بروتوكول النقل في الوقت الفعلي (RTP) ويمكن أيضًا تشفيرها باستخدام Secure RTP (SRTP).

يتيح تمكين الوضع المختلط على Unified CM تشفير نقل الوسائط من وإلى نقاط نهاية Cisco .

تطبيقات UC الآمنة

تمكين الوضع المختلط في مثيل مخصص

لا يتم تم تمكينه افتراضيًا في مثيل مخصص .

تمكين الوضع المختلط في مثيل مخصص يتيح القدرة على إجراء تشفير للإشارات نقل الوسائط من وإلى نقاط نهاية Cisco .

في الإصدار 12.5 (1) من Cisco Unified CM ، تمت إضافة خيار جديد لتمكين تشفير الإشارات والوسائط استنادًا إلى SIP OAuth بدلاً من الوضع المختلط / CTL لعملاء Jabber و Webex . لذلك ، في إصدار Unified CM 12.5 (1) ، يمكن استخدام SIP OAuth و SRTP لتمكين التشفير للإشارات والوسائط لعملاء Jabber أو Webex . لا يزال تمكين الوضع المختلط مطلوبًا لهواتف Cisco IP ونقاط نهاية Cisco الأخرى في الوقت الحالي. هناك خطة لإضافة دعم SIP OAuth في 7800/8800 نقطة نهاية في إصدار مستقبلي.

أمان المراسلة الصوتية

يتصل Cisco Unity Connection بـ Unified CM من خلال منفذ TLS . عندما يكون وضع أمان الجهاز غير آمن ، يتصل Cisco Unity Connection بـ Unified CM من خلال منفذ SCCP .

لتكوين الأمان لمنافذ الرسائل الصوتية Unified CM وأجهزة Cisco Unity التي تقوم بتشغيل أجهزة SCCP أو Cisco Unity Connection التي تقوم بتشغيل SCCP، يمكن للشريك اختيار وضع أمان الجهاز الآمن للمنفذ. إذا اخترت منفذ بريد صوتي مصدق عليه ، فسيتم فتح اتصال TLS ، والذي يقوم بمصادقة الأجهزة باستخدام تبادل الشهادات المتبادل (يقبل كل جهاز شهادة الجهاز الآخر). إذا اخترت منفذ بريد صوتي مشفر ، يقوم النظام أولاً بمصادقة الأجهزة ثم إرسال تدفقات صوتية مشفرة بين الأجهزة.

لمزيد من المعلومات حول منافذ المراسلة الصوتية للأمان ، يرجى الرجوع إلى: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

الأمان لـ SRST و Trunks و Gateways و CUBE / SBC

توفر بوابة Cisco Unified Survivable Remote Site Telephony (SRST) مهام معالجة مكالمات محدودة في حالة تشغيل Cisco Unified CM مثيل مخصص لا يمكن إكمال المكالمة.

تحتوي البوابات الآمنة التي تم تمكين SRST شهادة موقعة ذاتيًا. بعد أن يقوم الشريك بتنفيذ مهام تكوين SRST في Unified CM Administration، يستخدم Unified CM اتصال TLS للمصادقة مع خدمة موفر الشهادة في بوابة ممكّنة بـ SRST. بعد ذلك ، يسترد " Unified CM " الشهادة من بوابة ممكّنة بـ SRST ويضيف الشهادة إلى قاعدة بيانات Unified CM .

بعد أن يقوم الشريك بإعادة تعيين الأجهزة التابعة في Unified CM Administration، يضيف خادم TFTP شهادة بوابة ممكّنة بـ SRST SRST بها إلى ملف cnf.xml الخاص بالهاتف ويرسل الملف إلى الهاتف. يستخدم الهاتف الآمن بعد ذلك اتصال TLS للتفاعل مع بوابة ممكّنة بـ SRST.

من المستحسن أن يكون لديك قنوات اتصال آمنة للمكالمة الصادرة من Cisco Unified CM إلى البوابة لمكالمات PSTN الصادرة أو العبور من خلال Cisco Unified Border Element (CUBE).

يمكن أن تدعم قنوات SIP المكالمات الآمنة للإشارة وكذلك للوسائط ؛ يوفر TLS تشفير الإشارات ويوفر SRTP تشفير الوسائط.

تأمين الاتصالات بين Cisco Unified CM و CUBE

للاتصالات الآمنة بين Cisco Unified CM و CUBE ، يحتاج الشركاء / العملاء إلى استخدام شهادة موقعة ذاتيًا من قِبل المرجع المصدق.

للشهادات الموقعة ذاتيًا:

  1. ينشئ CUBE و Cisco Unified CM شهادات موقعة ذاتيًا

  2. يقوم CUBE بتصدير الشهادة إلى Cisco Unified CM

  3. تصدر Cisco Unified CM الشهادة إلى CUBE

للشهادات الموقعة من قِبل المرجع المصدق (CA):

  1. ينشئ العميل زوجًا من المفاتيح ويرسل طلب توقيع الشهادة (CSR) إلى Certificate Authority (CA)

  2. يقوم المرجع المصدق بتسجيله باستخدام مفتاحه الخاص ، مما يؤدي إلى إنشاء شهادة هوية

  3. يقوم العميل بتثبيت قائمة الشهادات الجذرية والوسيطة للمرجع المصدق وشهادة الهوية

الأمان لنقاط النهاية البعيدة

باستخدام نقاط نهاية Remote Access والجوال (MRA) ، يتم دائمًا تشفير الإشارات والوسائط بين نقاط نهاية MRA وعقد Expressway. إذا تم استخدام بروتوكول مؤسسة الاتصال التفاعلي (ICE) لنقاط نهاية MRA ، فإن إرسال الإشارات وتشفير الوسائط لنقاط نهاية MRA مطلوب. ومع ذلك ، فإن تشفير الإشارات والوسائط بين Expressway-C وخوادم Unified CM الداخلية أو نقاط النهاية الداخلية أو الأجهزة الداخلية الأخرى ، تتطلب الوضع المختلط أو SIP OAuth.

يوفر Cisco Expressway آمنًا لجدار الحماية ودعمًا من جانب الخط لتسجيلات Unified CM . يوفر Unified CM التحكم في المكالمة لكل من نقاط النهاية المتنقلة والمحلية. تعبر الإشارات حل Expressway بين نقطة النهاية البعيدة و Unified CM. تتجاوز الوسائط حل Expressway ويتم ترحيلها بين نقاط النهاية مباشرةً. يتم تشفير جميع الوسائط بين Expressway-C ونقطة نهاية الهاتف المحمول.

يتطلب أي حل من حلول MRA Expressway و Unified CM، مع عملاء ناعمين متوافقين مع MRA و / أو نقاط نهاية ثابتة. يمكن أن يتضمن الحل اختياريًا IM وخدمة خدمة الحضور واتصال Unity .

ملخص البروتوكول

يوضح الجدول التالي البروتوكولات والخدمات المرتبطة بها المستخدمة في حل Unified CM .

الجدول رقم 1. البروتوكولات والخدمات المرتبطة بها

البروتوكول

الأمان

الخدمة

SIP

TLS

تأسيس الجلسة: التسجيل والدعوة وما إلى ذلك.

HTTPS

TLS

تسجيل الدخول ، التزويد / التكوين ، الدليل ، البريد الصوتي المرئي

الوسائط

SRTP

الوسائط: الصوت والفيديو ومشاركة المحتوى

XMPP

TLS

المراسلة الفورية والحضور والاتحاد

لمزيد من المعلومات حول تكوين MRA ، راجع: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

خيارات التكوين

ال مثيل مخصص يوفر للشريك المرونة لتخصيص الخدمات للمستخدمين النهائيين من خلال التحكم الكامل في تكوينات اليوم الثاني. ونتيجة لذلك ، فإن الشريك هو المسؤول الوحيد عن التكوين الصحيح لـ مثيل مخصص خدمة لبيئة المستخدم النهائي. يتضمن ذلك ، على سبيل المثال لا الحصر:

  • اختيار المكالمات الآمنة / غير الآمنة والبروتوكولات الآمنة / غير الآمنة مثل SIP/ sSIP و http / https وما إلى ذلك وفهم أي مخاطر مرتبطة بها.

  • لجميع عناوين MAC التي لم يتم تكوينها كعناوين آمنة- SIP في مثيل مخصص ، يمكن للمهاجم إرسال رسالة تسجيل SIP باستخدام عنوان MAC هذا ويكون قادرًا على إجراء مكالمات SIP ، مما يؤدي إلى احتيال حصيلة. الشرط الأساسي هو أن المهاجم يمكنه تسجيل جهاز SIP الخاص به مثيل مخصص بدون إذن إذا كانوا يعرفون عنوان MAC بجهاز مسجل في مثيل مخصص .

  • يجب تكوين سياسات مكالمات Expressway-E وقواعد التحويل والبحث لمنع الاحتيال في الرسوم. للحصول على مزيد من المعلومات حول منع الاحتيال في الرسوم باستخدام Expressway ، راجع قسم الأمان لـ Expressway C و Expressway-E في التعاون SRND .

  • تكوين خطة الاتصال للتأكد من أن المستخدمين يمكنهم الاتصال بالوجهات المسموح بها فقط ، على سبيل المثال ، حظر الاتصال المحلي / الدولي ، وتوجيه مكالمات الطوارئ بشكل صحيح وما إلى ذلك. لمزيد من المعلومات حول تطبيق القيود باستخدام خطة الاتصال ، ارجع إلى خطة الطلب قسم التعاون SRND.

متطلبات الشهادة للاتصالات الآمنة في مثيل مخصص

بالنسبة إلى المثيل المخصص ، ستوفر Cisco المجال وتوقع جميع الشهادات لتطبيقات UC باستخدام Certificate Authority عام (CA).

مثيل مخصص - أرقام وبروتوكولات المنافذ

تصف الجداول التالية المنافذ والبروتوكولات المدعومة في المثيل المخصص. تعتمد المنافذ المستخدمة لعميل معين على النشر والحل الخاصين بالعميل. تعتمد البروتوكولات على تفضيلات العميل (SCCP مقابل SIP) ، والأجهزة داخلي الموجودة ومستوى الأمان لتحديد المنافذ التي سيتم استخدامها في كل عملية نشر.


لا يسمح المثيل المخصص بترجمة عنوان الشبكة (NAT) بين نقاط النهاية و Unified CM لأن بعض ميزات تدفق المكالمات لن تعمل ، على سبيل المثال ميزة وسط المكالمة.

مثيل مخصص - منافذ العملاء

يتم عرض المنافذ المتاحة للعملاء - بين العميل داخلي والمثيل المخصص في الجدول 1 منافذ العملاء المثيلة المخصصة . جميع المنافذ المدرجة أدناه مخصصة لحركة مرور العملاء عبر روابط التناظر.


منفذ SNMP مدعوم فقط لوظيفة CER وليس لأي أدوات مراقبة تابعة لجهات خارجية.


يتم حجز المنافذ في النطاق من 5063 إلى 5080 بواسطة Cisco لعمليات التكامل السحابية الأخرى ، ويوصى بمسؤولي الشركاء أو العملاء بعدم استخدام هذه المنافذ في تكويناتهم.

الجدول رقم 2. مثيل مخصص منافذ العملاء

البروتوكول

TCP/ UCP

المصدر

الوجهة

منفذ المصدر

منفذ الوجهة

الغرض

SSH

TCP

العميل

تطبيقات جامعة كاليفورنيا

أكبر من 1023

22

الإدارة

LDAP

TCP

تطبيقات جامعة كاليفورنيا

الدليل الخارجي

أكبر من 1023

389

مزامنة الدليل مع العميل LDAP

HTTPS

TCP

المستعرض

تطبيقات جامعة كاليفورنيا

أكبر من 1023

443

الوصول إلى الويب للرعاية الذاتية والواجهات الإدارية

LDAP (آمن)

TCP

تطبيقات جامعة كاليفورنيا

الدليل الخارجي

أكبر من 1023

636

مزامنة الدليل مع العميل LDAP

SCCP

TCP

نقطة النهاية

Unified CM، CUCxn

أكبر من 1023

2000

إشارات المكالمات

SCCP

TCP

Unified CM

بوابة Unified CM

أكبر من 1023

2000

إشارات المكالمات

SCCP (آمن)

TCP

نقطة النهاية

Unified CM، CUCxn

أكبر من 1023

2443

إشارات المكالمات

SCCP (آمن)

TCP

Unified CM

بوابة Unified CM

أكبر من 1023

2443

إشارات المكالمات

التحقق من الثقة

TCP

نقطة النهاية

Unified CM

أكبر من 1023

2445

توفير خدمة التحقق من الثقة لنقاط النهاية

CTI

TCP

نقطة النهاية

Unified CM

أكبر من 1023

2748

الاتصال بين تطبيقات CTI (JTAPI/ TSP) و CTIManager

تأمين CTI

TCP

نقطة النهاية

Unified CM

أكبر من 1023

2749

اتصال آمن بين تطبيقات CTI (JTAPI/ TSP) و CTIManager

كتالوج LDAP العالمي

TCP

تطبيقات جامعة كاليفورنيا

الدليل الخارجي

أكبر من 1023

3268

مزامنة الدليل مع العميل LDAP

كتالوج LDAP العالمي

TCP

تطبيقات جامعة كاليفورنيا

الدليل الخارجي

أكبر من 1023

3269

مزامنة الدليل مع العميل LDAP

خدمة CAPF

TCP

نقطة النهاية

Unified CM

أكبر من 1023

3804

منفذ الاستماع لوظيفة وكيل Certificate Authority (CAPF) لإصدار الشهادات المهمة محليًا (LSC) لهواتف IP

SIP

TCP

نقطة النهاية

Unified CM، CUCxn

أكبر من 1023

5060

إشارات المكالمات

SIP

TCP

Unified CM

بوابة Unified CM

أكبر من 1023

5060

إشارات المكالمات

SIP (آمن)

TCP

نقطة النهاية

Unified CM

أكبر من 1023

5061

إشارات المكالمات

SIP (آمن)

TCP

Unified CM

بوابة Unified CM

أكبر من 1023

5061

إشارات المكالمات

SIP (OAUTH)

TCP

نقطة النهاية

Unified CM

أكبر من 1023

5090

إشارات المكالمات

XMPP

TCP

عميل جابر

Cisco IM&P

أكبر من 1023

5222

المراسلة الفورية والحضور

HTTP

TCP

نقطة النهاية

Unified CM

أكبر من 1023

6970

تنزيل التكوين والصور إلى نقاط النهاية

HTTPS

TCP

نقطة النهاية

Unified CM

أكبر من 1023

6971

تنزيل التكوين والصور إلى نقاط النهاية

HTTPS

TCP

نقطة النهاية

Unified CM

أكبر من 1023

6972

تنزيل التكوين والصور إلى نقاط النهاية

HTTP

TCP

عميل جابر

CUCxn

أكبر من 1023

7080

إشعارات البريد الصوتي

HTTPS

TCP

عميل جابر

CUCxn

أكبر من 1023

7443

إخطارات البريد الصوتي الآمنة

HTTPS

TCP

Unified CM

Unified CM

أكبر من 1023

7501

تُستخدم بواسطة خدمة البحث في مجموعة النظام المتداخلة (ILS) للمصادقة المستندة إلى الشهادة

البريد الصادر (آمن)

TCP

تطبيق UC

CUCxn

أكبر من 1023

587

تُستخدم لإنشاء رسائل آمنة وإرسالها إلى أي مستلمين معينين

HTTPS

TCP

Unified CM

Unified CM

أكبر من 1023

7502

مستخدمة بواسطة ILS للمصادقة المستندة إلى كلمة المرور

IMAP

TCP

عميل جابر

CUCxn

أكبر من 1023

7993

IMAP عبر TLS

HTTPS

TCP

المستعرض ، نقطة النهاية

تطبيقات جامعة كاليفورنيا

أكبر من 1023

8443

الوصول إلى الويب للرعاية الذاتية والواجهات الإدارية ، UDS

HTTPS

TCP

بريم

Unified CM

أكبر من 1023

9443

بحث عن جهة اتصال مصدق عليه

تأمين RTP/ SRTP

UDP

Unified CM

الهاتف

16384 إلى 32767 *

16384 إلى 32767 *

الوسائط (الصوت) - التعليق مع تشغيل موسيقى، المذيع ، جسر مؤتمر البرنامج (مفتوح بناءً على إشارات المكالمات)

تأمين RTP/ SRTP

UDP

الهاتف

Unified CM

16384 إلى 32767 *

16384 إلى 32767 *

الوسائط (الصوت) - التعليق مع تشغيل موسيقى، المذيع ، جسر مؤتمر البرنامج (مفتوح بناءً على إشارات المكالمات)

ICMP

ICMP

نقطة النهاية

تطبيقات جامعة كاليفورنيا

غير متاح

غير متاح

Ping

ICMP

ICMP

تطبيقات جامعة كاليفورنيا

نقطة النهاية

غير متاح

غير متاح

Ping

* قد تستخدم بعض الحالات الخاصة نطاقًا أكبر.

مثيل مخصص - منافذ OTT

يمكن استخدام قائمة المنافذ التالية بواسطة العملاء والشركاء لإعداد Remote Access والجوال (MRA):

الجدول رقم 3. قائمة منافذ OTT

البروتوكول

TCP/ UCP

المصدر

الوجهة

منفذ المصدر

منفذ الوجهة

الغرض

SIP آمن

TCP

نقطة النهاية

الطريق السريع هـ

أكبر من 1023

5061

تأمين إرسال إشارات SIP لتسجيل MRA والمكالمات

SIP آمن

TCP

نقطة النهاية / الخادم

الطريق السريع هـ

أكبر من 1023

5062

تأمين SIP لمكالمات B2B

تأمين RTP/ RTCP

UDP

نقطة النهاية / الخادم

الطريق السريع هـ

أكبر من 1023

36000-59999

الوسائط الآمنة لمكالمات MRA و B2B

HTTPS (آمن)

TLS

العميل

الطريق السريع هـ

أكبر من 1023

8443

CUCM UDS و CUCxn REST لمكالمات MRA

XMLS

TLS

العميل

الطريق السريع هـ

أكبر من 1023

5222

IM والحضور

TURN

UDP

عميل ICE

الطريق السريع هـ

أكبر من 1023

3478

مفاوضات ICE / STUN / TURN

تأمين RTP/ RTCP

محدث

عميل ICE

الطريق السريع هـ

أكبر من 1023

24000-29999

TURN وسائط ICE الاحتياطية

مثيل مخصص - منافذ UCCX

يمكن استخدام قائمة المنافذ التالية بواسطة العملاء والشركاء لتكوين UCCX.

الجدول رقم 4. منافذ Cisco UCCX

البروتوكول

TCP / UCP

المصدر

الوجهة

منفذ المصدر

منفذ الوجهة

الغرض

SSH

TCP

العميل

UCCX

أكبر من 1023

22

SFTP و SSH

Informix

TCP

العميل أو الخادم

UCCX

أكبر من 1023

1504

منفذ قاعدة بيانات Unified CCX

SIP

UDP وTCP

خادم SIP GW أو MCRP

UCCX

أكبر من 1023

5065

الاتصال بعقدتي GW و MCRP البعيدة

XMPP

TCP

العميل

UCCX

أكبر من 1023

5223

اتصال XMPP آمن بين خادم Finesse وتطبيقات الطرف الثالث المخصصة

CVD

TCP

العميل

UCCX

أكبر من 1023

6999

محرر لتطبيقات CCX

HTTPS

TCP

العميل

UCCX

أكبر من 1023

7443

تأمين اتصال BOSH بين خادم Finesse وسطح مكتب الوكيل والمشرف للتواصل عبر HTTPS

HTTP

TCP

العميل

UCCX

أكبر من 1023

8080

يتصل عملاء تقارير البيانات الحية بخادم socket.IO

HTTP

TCP

العميل

UCCX

أكبر من 1023

8081

يحاول مستعرض العميل الوصول إلى واجهة ويب Cisco Unified Intelligence Center

HTTP

TCP

العميل

UCCX

أكبر من 1023

8443

واجهة مستخدم رسومية الإدارية ، RTCP، الوصول إلى قاعدة البيانات عبر SOAP

HTTPS

TCP

العميل

UCCX

أكبر من 1023

8444

واجهة ويب Cisco Unified Intelligence Center

HTTPS

TCP

عملاء المستعرض و REST

UCCX

أكبر من 1023

8445

منفذ آمن للبراعة

HTTPS

TCP

العميل

UCCX

أكبر من 1023

8447

HTTPS - تعليمات مركز المعلومات الموحدة عبر الإنترنت

HTTPS

TCP

العميل

UCCX

أكبر من 1023

8553

تصل مكونات الدخول الأحادي (SSO) إلى هذه الواجهة لمعرفة حالة تشغيل Cisco IdS.

HTTP

TCP

العميل

UCCX

أكبر من 1023

9080

العملاء الذين يحاولون الوصول إلى مشغلات HTTP أو المستندات / المطالبات / القواعد النحوية / بيانات مباشرة.

HTTPS

TCP

العميل

UCCX

أكبر من 1023

9443

يستخدم المنفذ الآمن للرد على العملاء الذين يحاولون الوصول إلى مشغلات HTTPS

TCP

TCP

العميل

UCCX

أكبر من 1023

12014

هذا هو المنفذ الذي يمكن لعملاء تقارير البيانات الحية الاتصال به بخادم socket.IO

TCP

TCP

العميل

UCCX

أكبر من 1023

12015

هذا هو المنفذ الذي يمكن لعملاء تقارير البيانات الحية الاتصال به بخادم socket.IO

CTI

TCP

العميل

UCCX

أكبر من 1023

12028

عميل CTI من جهة خارجية إلى CCX

RTP(وسائط)

TCP

نقطة النهاية

UCCX

أكبر من 1023

أكبر من 1023

يتم فتح منفذ الوسائط ديناميكيًا حسب الحاجة

RTP(وسائط)

TCP

العميل

نقطة النهاية

أكبر من 1023

أكبر من 1023

يتم فتح منفذ الوسائط ديناميكيًا حسب الحاجة

أمان العميل

تأمين Jabber و Webex باستخدام SIP OAuth

تتم مصادقة عملاء Jabber و Webex من خلال رمز OAuth المميز بدلاً من شهادة مهمة محليًا (LSC) ، والتي لا تتطلب تمكين وظيفة وكيل جهة منح الشهادات (CAPF) (لـ MRA أيضًا). تم تقديم SIP OAuth الذي يعمل مع الوضع المختلط أو بدونه في Cisco Unified CM 12.5 (1) و Jabber 12.5 و Expressway X12.5.

في Cisco Unified CM 12.5 ، لدينا خيار جديد في ملف تعريف أمان الهاتف الذي يتيح التشفير بدون LSC/ CAPF، باستخدام أمان طبقة النقل (TLS) + رمز OAuth المميز في SIP REGISTER. تستخدم عُقد Expressway-C API خدمة الويب XML الإدارية ( AXL ) لإبلاغ Cisco Unified CM بـ SN / SAN في شهادتها. يستخدم Cisco Unified CM هذه المعلومات للتحقق من صحة شهادة Exp-C عند إنشاء اتصال TLS متبادل.

يتيح SIP OAuth تشفير الوسائط والإشارات بدون شهادة نقطة النهاية (LSC).

يستخدم Cisco Jabber المنافذ المؤقتة والمنافذ الآمنة 6971 و 6972 عبر اتصال HTTPS بخادم TFTP لتنزيل ملفات التكوين. المنفذ 6970 هو منفذ غير آمن للتنزيل عبر HTTP.

مزيد من التفاصيل حول تكوين SIP OAuth: وضع SIP OAuth .

متطلبات DNS

بالنسبة للمثيل المخصص ، توفر Cisco FQDN للخدمة في كل منطقة بالتنسيق التالي<customer> .<region> .wxc-di.webex.com على سبيل المثال ، xyz.amer.wxc-di.webex.com .

يتم توفير قيمة "العميل" من قبل المسؤول كجزء من معالج الإعداد لأول مرة (FTSW). لمزيد من المعلومات الرجوع إلى تفعيل خدمة المثيل المخصص .

يجب أن تكون سجلات DNS الخاصة بـ FQDN قابلة للحل من خادم DNS الداخلي للعميل لدعم الأجهزة المحلية المتصلة بالمثيل المخصص. لتسهيل الحل ، يحتاج العميل إلى تكوين معيد توجيه شرطي ، لـ FQDN هذا ، على خادم DNS به للإشارة إلى خدمة DNS المثيل المخصص. خدمة DNS الخاصة بالمثيلات هي خدمة إقليمية ويمكن الوصول إليها ، عبر التناظر إلى المثيل المخصص ، باستخدام عناوين IP التالية كما هو مذكور في الجدول أدناه عنوان IP المخصص لخدمة DNS .

الجدول 5. عنوان IP المخصص لخدمة DNS

المنطقة / العاصمة

عنوان IP المخصص لخدمة DNS

مثال على إعادة التوجيه الشرطي

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

لون

178.215.138.100

AMS

178.215.138.228

APJC

<customer>.apjc.wxc-di.webex.com

توك

103.232.71.100

خطيئة

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


تم تعطيل خيار ping لعناوين IP خادم DNS المذكورة أعلاه لأسباب أمنية.

حتى يتم تشغيل إعادة التوجيه الشرطي ، لن تتمكن الأجهزة من التسجيل في المثيل المخصص من الشبكة الداخلية للعملاء عبر روابط التناظر. إعادة التوجيه المشروط غير مطلوب للتسجيل عبر الهاتف المحمول Remote Access (MRA) ، حيث سيتم توفير جميع سجلات DNS الخارجية المطلوبة لتسهيل MRA مسبقًا بواسطة Cisco.

عند استخدام تطبيق Webex كعميل مرن للاتصال على مثيل مخصص ، يجب تكوين ملف تعريف UC Manager في Control Hub لكل مجال خدمة الصوت (VSD) في كل منطقة. لمزيد من المعلومات الرجوع إلى ملفات تعريف UC Manager في Cisco Webex Control Hub . سيتمكن تطبيق Webex من حل Expressway Edge للعميل تلقائيًا دون أي تدخل من المستخدم النهائي .


سيتم توفير مجال الخدمة الصوتية للعميل كجزء من وثيقة وصول الشريك بمجرد اكتمال تنشيط الخدمة.