متطلبات الشبكة للمثيل المخصص

يعد Webex Calling Dedicated Instance جزءًا من مجموعة Cisco Cloud Calling، وهو مدعوم بتقنية التعاون Cisco Unified Communications Manager (Cisco Unified CM). توفر Dedicated Instance حلولاً للصوت والفيديو والمراسلة والتنقل مع ميزات وفوائد هواتف Cisco IP والأجهزة المحمولة وعملاء سطح المكتب الذين يتصلون بشكل آمن بالمثيل المخصص.

تهدف هذه المقالة إلى مسؤولي الشبكات، وخاصة مسؤولي جدران الحماية وأمان الوكيل الذين يرغبون في استخدام مثيل مخصص داخل مؤسستهم.

نظرة عامة على الأمان: الأمن في الطبقات

تستخدم المثيلات المخصصة نهجًا متعدد الطبقات للأمان. تتضمن الطبقات:

  • الوصول المادي

  • الشبكة

  • نقاط النهاية

  • تطبيقات الاتصالات الموحدة

تتناول الأقسام التالية طبقات الأمان في عمليات نشر المثيلات المخصصة.

الأمن المادي

من المهم توفير الأمن المادي لمواقع Equinix Meet-Me Room ومرافق Cisco Dedicated Instance Data Center. عندما يتم المساس بالأمن المادي، يمكن البدء في شن هجمات بسيطة مثل تعطيل الخدمة عن طريق إيقاف تشغيل الطاقة لمفاتيح العميل. باستخدام الوصول المادي، يمكن للمهاجمين الوصول إلى أجهزة الخادم وإعادة تعيين كلمات المرور والحصول على إمكانية الوصول إلى المفاتيح. ويسهل الوصول المادي أيضًا شن هجمات أكثر تعقيدًا مثل هجمات الرجل في المنتصف، ولهذا السبب فإن طبقة الأمان الثانية، أي أمان الشبكة، تعد بالغة الأهمية.

يتم استخدام محركات التشفير الذاتي في مراكز بيانات المثيلات المخصصة التي تستضيف تطبيقات الاتصالات الموحدة.

لمزيد من المعلومات حول ممارسات الأمان العامة، راجع الوثائق الموجودة في الموقع التالي: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

أمن الشبكات

يتعين على الشركاء التأكد من تأمين جميع عناصر الشبكة في البنية التحتية للمثيل المخصص (الذي يتصل عبر Equinix). تقع على عاتق الشريك مسؤولية ضمان أفضل ممارسات الأمن مثل:

  • شبكة VLAN منفصلة للصوت والبيانات

  • تمكين أمان المنفذ الذي يحد من عدد عناوين MAC المسموح بها لكل منفذ، ضد إغراق جدول CAM

  • حماية مصدر IP ضد عناوين IP المزيفة

  • فحص ARP الديناميكي (DAI) يفحص بروتوكول حل العناوين (ARP) وARP المجاني (GARP) بحثًا عن الانتهاكات (ضد انتحال ARP)

  • 802.⁦1x⁩ يحد من الوصول إلى الشبكة للتحقق من صحة الأجهزة على شبكات VLAN المخصصة (الهواتف تدعم 802.⁦1x⁩)

  • تكوين جودة الخدمة (QoS) لوضع العلامات المناسبة على حزم الصوت

  • تكوينات منافذ جدار الحماية لحظر أي حركة مرور أخرى

أمان نقاط النهاية

تدعم نقاط نهاية Cisco ميزات الأمان الافتراضية مثل البرامج الثابتة الموقعة، والتمهيد الآمن (طرازات محددة)، وشهادة الشركة المصنعة المثبتة (MIC)، وملفات التكوين الموقعة، والتي توفر مستوى معينًا من الأمان لنقاط النهاية.

بالإضافة إلى ذلك، يمكن للشريك أو العميل تمكين الأمان الإضافي، مثل:

  • تشفير خدمات الهاتف IP (عبر HTTPS) للخدمات مثل Extension Mobility

  • إصدار شهادات ذات أهمية محلية (LSCs) من وظيفة وكيل هيئة الشهادات (CAPF) أو هيئة الشهادات العامة (CA)

  • تشفير ملفات التكوين

  • تشفير الوسائط والإشارات

  • قم بتعطيل هذه الإعدادات إذا لم يتم استخدامها: منفذ الكمبيوتر، وصول VLAN الصوتي للكمبيوتر، ARP مجاني، الوصول إلى الويب، زر الإعدادات، SSH، وحدة التحكم

يؤدي تنفيذ آليات الأمان في المثيل المخصص إلى منع سرقة هوية الهواتف وخادم Unified CM، والتلاعب بالبيانات، وإشارات المكالمات / التلاعب بتدفق الوسائط.

مثيل مخصص عبر الشبكة:

  • إنشاء وصيانة تدفقات الاتصالات المعتمدة

  • التوقيع الرقمي على الملفات قبل نقلها إلى الهاتف

  • يقوم بتشفير تدفقات الوسائط وإشارات المكالمات بين هواتف Cisco Unified IP

إعداد الأمان الافتراضي

يوفر الأمان بشكل افتراضي ميزات الأمان التلقائية التالية لهواتف Cisco Unified IP:

  • توقيع ملفات تكوين الهاتف

  • دعم تشفير ملف تكوين الهاتف

  • HTTPS مع Tomcat وخدمات الويب الأخرى (MIDlets)

بالنسبة لإصدار Unified CM 8.0 الأحدث، يتم توفير ميزات الأمان هذه بشكل افتراضي دون تشغيل عميل قائمة شهادات الثقة (CTL).

خدمة التحقق من الثقة

نظرًا لوجود عدد كبير من الهواتف في الشبكة ولأن هواتف IP لها ذاكرة محدودة، يعمل Cisco Unified CM كمخزن ثقة عن بعد من خلال خدمة التحقق من الثقة (TVS) بحيث لا يتعين وضع مخزن ثقة الشهادة على كل هاتف. تتصل هواتف IP الخاصة بشركة Cisco بخادم TVS للتحقق لأنها لا تستطيع التحقق من التوقيع أو الشهادة من خلال ملفات CTL أو ITL. يعد إنشاء مخزن ثقة مركزي أسهل في الإدارة من إنشاء مخزن الثقة على كل هاتف Cisco Unified IP.

يتيح TVS للهواتف Cisco Unified IP التحقق من صحة خوادم التطبيقات، مثل خدمات EM والدليل وMIDlet، أثناء إنشاء HTTPS.

قائمة الثقة الأولية

يتم استخدام ملف قائمة الثقة الأولية (ITL) للأمان الأولي، حتى تتمكن نقاط النهاية من الثقة في Cisco Unified CM. لا يحتاج ITL إلى تمكين أي ميزات أمان بشكل صريح. يتم إنشاء ملف ITL تلقائيًا عند تثبيت المجموعة. يتم استخدام المفتاح الخاص لخادم Unified CM Trivial File Transfer Protocol (TFTP) لتوقيع ملف ITL.

عندما يكون مجموعة أو خادم Cisco Unified CM في وضع غير آمن، يتم تنزيل ملف ITL على كل هاتف IP Cisco مدعوم. يمكن للشريك عرض محتويات ملف ITL باستخدام أمر CLI، admin:show إيطاليا

بشكل افتراضي، يتم منح مسؤول الشريك حق الوصول إلى المستوى 1 لـ CLI. راجع حول CLI للحصول على مزيد من المعلومات ورؤية الأوامر المسموح بها في المستوى 1.

تحتاج هواتف IP الخاصة بشركة Cisco إلى ملف ITL لأداء المهام التالية:

  • التواصل بشكل آمن مع CAPF، وهو شرط أساسي لدعم تشفير ملف التكوين

  • التحقق من صحة توقيع ملف التكوين

  • مصادقة خوادم التطبيقات، مثل خدمات EM والدليل وMIDlet أثناء إنشاء HTTPS باستخدام TVS

سيسكو CTL

تعتمد مصادقة الجهاز والملف والإشارات على إنشاء ملف قائمة ثقة الشهادات (CTL)، والذي يتم إنشاؤه عندما يقوم الشريك أو العميل بتثبيت وتكوين عميل قائمة ثقة الشهادات من Cisco.

يحتوي ملف CTL على إدخالات للخوادم أو رموز الأمان التالية:

  • رمز أمان مسؤول النظام (SAST)

  • خدمات Cisco CallManager وCisco TFTP التي تعمل على نفس الخادم

  • وظيفة وكيل هيئة الشهادات (CAPF)

  • خادم(ات) TFTP

  • جدار الحماية ASA

يحتوي ملف CTL على شهادة خادم، ومفتاح عام، ورقم تسلسلي، وتوقيع، واسم المُصدر، واسم الموضوع، ووظيفة الخادم، واسم DNS، وعنوان IP لكل خادم.

يوفر أمان الهاتف باستخدام CTL الوظائف التالية:

  • مصادقة ملفات TFTP التي تم تنزيلها (التكوين، والإعدادات المحلية، وقائمة الحلقات، وما إلى ذلك) باستخدام مفتاح التوقيع

  • تشفير ملفات تكوين TFTP باستخدام مفتاح التوقيع

  • إشارات المكالمات المشفرة للهواتف IP

  • مكالمات صوتية مشفرة (وسائط) للهواتف IP

الأمان لهواتف Cisco IP في المثيل المخصص

توفر المثيلات المخصصة تسجيل نقطة النهاية ومعالجة المكالمات. تعتمد الإشارات بين Cisco Unified CM ونقاط النهاية على بروتوكول التحكم الآمن بالعميل (SCCP) أو بروتوكول بدء الجلسة (SIP) ويمكن تشفيرها باستخدام أمان طبقة النقل (TLS). وسائل الاعلام from/to تعتمد نقاط النهاية على بروتوكول النقل في الوقت الفعلي (RTP) ويمكن أيضًا تشفيرها باستخدام Secure RTP (SRTP).

يتيح تمكين الوضع المختلط على Unified CM تشفير الإشارات وحركة الوسائط من وإلى نقاط نهاية Cisco.

تطبيقات الاتصالات الموحدة الآمنة

تمكين الوضع المختلط في المثيل المخصص

يتم تمكين الوضع المختلط بشكل افتراضي في المثيل المخصص.

يتيح تمكين الوضع المختلط في المثيل المخصص إمكانية إجراء تشفير للإشارات وحركة الوسائط من وإلى نقاط نهاية Cisco.

في إصدار Cisco Unified CM 12.5(1)، خيار جديد لتمكين تشفير الإشارات والوسائط استنادًا إلى SIP OAuth بدلاً من الوضع المختلط / تمت إضافة CTL لعملاء Jabber وWebex. لذلك، في إصدار Unified CM 12.5(1)، يمكن استخدام SIP OAuth وSRTP لتمكين التشفير للإشارات والوسائط لعملاء Jabber أو Webex. لا يزال تمكين الوضع المختلط مطلوبًا بالنسبة لهواتف Cisco IP ونقاط نهاية Cisco الأخرى في هذا الوقت. هناك خطة لإضافة دعم لـ SIP OAuth في 7800/8800 نقاط النهاية في إصدار مستقبلي.

أمان الرسائل الصوتية

يتصل Cisco Unity Connection بـ Unified CM عبر منفذ TLS. عندما يكون وضع أمان الجهاز غير آمن، يتصل Cisco Unity Connection بـ Unified CM عبر منفذ SCCP.

لتكوين الأمان لمنافذ الرسائل الصوتية Unified CM وأجهزة Cisco Unity التي تعمل بنظام SCCP أو أجهزة Cisco Unity Connection التي تعمل بنظام SCCP، يمكن للشريك اختيار وضع أمان الجهاز الآمن للمنفذ. إذا اخترت منفذ بريد صوتي معتمد، فسيتم فتح اتصال TLS، والذي يقوم بمصادقة الأجهزة باستخدام تبادل الشهادات المتبادلة (يقبل كل جهاز شهادة الجهاز الآخر). إذا اخترت منفذ بريد صوتي مشفر، يقوم النظام أولاً بمصادقة الأجهزة ثم يرسل تدفقات صوتية مشفرة بين الأجهزة.

لمزيد من المعلومات حول منافذ المراسلة الصوتية الأمنية، راجع: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

الأمان لـ SRST، والخطوط، والبوابات، CUBE/SBC

توفر بوابة Cisco Unified Survivable Remote Site Telephony (SRST) الممكّنة مهام معالجة المكالمات المحدودة إذا لم يتمكن Cisco Unified CM على Dedicated Instance من إكمال المكالمة.

تحتوي بوابات SRST الآمنة على شهادة موقعة ذاتيًا. بعد أن يقوم الشريك بتنفيذ مهام تكوين SRST في إدارة Unified CM، يستخدم Unified CM اتصال TLS للمصادقة مع خدمة موفر الشهادة في البوابة الممكّنة لـ SRST. يقوم Unified CM بعد ذلك باسترجاع الشهادة من البوابة الممكّنة لـ SRST ويضيف الشهادة إلى قاعدة بيانات Unified CM.

بعد أن يقوم الشريك بإعادة تعيين الأجهزة التابعة في إدارة Unified CM، يقوم خادم TFTP بإضافة شهادة البوابة الممكّنة لـ SRST إلى ملف cnf.xml الخاص بالهاتف ويرسل الملف إلى الهاتف. ثم يستخدم الهاتف الآمن اتصال TLS للتفاعل مع البوابة الممكّنة لـ SRST.

يوصى بالحصول على جذوع آمنة للمكالمة الصادرة من Cisco Unified CM إلى البوابة الخاصة بمكالمات PSTN الصادرة أو التي تمر عبر Cisco Unified Border Element (CUBE).

يمكن أن تدعم جذوع SIP المكالمات الآمنة لكل من الإشارات والوسائط؛ حيث يوفر TLS تشفير الإشارات ويوفر SRTP تشفير الوسائط.

تأمين الاتصالات بين Cisco Unified CM وCUBE

للاتصالات الآمنة بين Cisco Unified CM وCUBE، partners/customers يجب استخدام إما شهادة موقعة ذاتيًا أو شهادات موقعة من قبل هيئة التصديق.

بالنسبة للشهادات الموقعة ذاتيًا:

  1. يقوم CUBE وCisco Unified CM بإنشاء شهادات موقعة ذاتيًا

  2. يقوم CUBE بتصدير الشهادة إلى Cisco Unified CM

  3. يقوم Cisco Unified CM بتصدير الشهادة إلى CUBE

بالنسبة للشهادات الموقعة من قبل CA:

  1. يقوم العميل بإنشاء زوج مفاتيح ويرسل طلب توقيع الشهادة (CSR) إلى هيئة الشهادات (CA)

  2. تقوم سلطة التصديق بالتوقيع عليه باستخدام مفتاحها الخاص، مما يؤدي إلى إنشاء شهادة هوية

  3. يقوم العميل بتثبيت قائمة شهادات الجذر والوسيط CA الموثوقة وشهادة الهوية

الأمان لنقاط النهاية البعيدة

مع نقاط نهاية الوصول عن بعد والمحمول (MRA)، يتم دائمًا تشفير الإشارات والوسائط بين نقاط نهاية MRA وعقد Expressway. إذا تم استخدام بروتوكول إنشاء الاتصال التفاعلي (ICE) لنقاط نهاية MRA، فإن الإشارة وتشفير الوسائط لنقاط نهاية MRA مطلوبان. ومع ذلك، فإن تشفير الإشارات والوسائط بين Expressway-C وخوادم Unified CM الداخلية أو نقاط النهاية الداخلية أو الأجهزة الداخلية الأخرى يتطلب وضعًا مختلطًا أو SIP OAuth.

توفر Cisco Expressway عبورًا آمنًا لجدار الحماية ودعمًا على جانب الخط لتسجيلات Unified CM. يوفر Unified CM التحكم في المكالمات لكل من نقاط النهاية المحمولة والمحلية. تنتقل الإشارات عبر حل الطريق السريع بين نقطة النهاية البعيدة وUnified CM. تنتقل الوسائط عبر حل الطريق السريع ويتم نقلها بين النقاط النهائية بشكل مباشر. يتم تشفير كافة الوسائط بين Expressway-C ونقطة النهاية المحمولة.

يتطلب أي حل MRA Expressway وUnified CM، مع عملاء برمجيين متوافقين مع MRA and/or نقاط النهاية الثابتة. يمكن أن يتضمن الحل بشكل اختياري خدمة المراسلة الفورية والحضور وخدمة Unity Connection.

ملخص البروتوكول

يوضح الجدول التالي البروتوكولات والخدمات المرتبطة المستخدمة في حل Unified CM.

الجدول 1. البروتوكولات والخدمات المرتبطة بها

البروتوكول

الأمان

الخدمة

SIP

TLS

إنشاء الجلسة: التسجيل، الدعوة، الخ.

HTTPS

TLS

تسجيل الدخول، Provisioning/Configuration, الدليل، البريد الصوتي المرئي

الوسائط

SRTP

وسائط: الصوت والفيديو ومشاركة المحتوى

إكس إم بي بي

TLS

المراسلة الفورية، الحضور، الاتحاد

لمزيد من المعلومات حول تكوين MRA، راجع: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

خيارات التكوين

توفر المثيل المخصص للشريك المرونة اللازمة لتخصيص الخدمات للمستخدمين النهائيين من خلال التحكم الكامل في تكوينات اليوم الثاني. ونتيجة لذلك، يكون الشريك مسؤولاً وحده عن التكوين المناسب لخدمة المثيل المخصص لبيئة المستخدم النهائي. ويتضمن ذلك، على سبيل المثال لا الحصر:

  • اختيار secure/un-secure مكالمات، secure/unsecure بروتوكولات مثل SIP/sSIP, http/https إلخ وفهم أي مخاطر مرتبطة بها.

  • بالنسبة لجميع عناوين MAC غير المهيأة كـ SIP آمنة في المثيل المخصص، يمكن للمهاجم إرسال رسالة تسجيل SIP باستخدام عنوان MAC هذا والقدرة على إجراء مكالمات SIP، مما يؤدي إلى الاحتيال في الرسوم. الشرط الأساسي هو أن يتمكن المهاجم من تسجيل SIP الخاص به device/software إلى مثيل مخصص دون إذن إذا كانوا يعرفون عنوان MAC لجهاز مسجل في المثيل المخصص.

  • يجب تكوين سياسات الاتصال والتحويل وقواعد البحث الخاصة بالطريق السريع E لمنع الاحتيال في الرسوم. لمزيد من المعلومات حول منع الاحتيال في الرسوم باستخدام الطرق السريعة، راجع قسم الأمان للطريق السريع C والطريق السريع E في التعاون SRND.

  • تكوين خطة الاتصال لضمان أن يتمكن المستخدمون من الاتصال بالوجهات المسموح بها فقط، على سبيل المثال، حظر national/international الاتصال، وتوجيه مكالمات الطوارئ بشكل صحيح وما إلى ذلك. لمزيد من المعلومات حول تطبيق القيود باستخدام خطة الاتصال، راجع قسم خطة الاتصال في Collaboration SRND.

متطلبات الشهادة للاتصالات الآمنة في المثيل المخصص

بالنسبة للنسخة المخصصة، ستوفر Cisco المجال وتوقع جميع الشهادات لتطبيقات UC باستخدام هيئة شهادة عامة (CA).

المثيل المخصص – أرقام المنافذ والبروتوكولات

تصف الجداول التالية المنافذ والبروتوكولات المدعومة في المثيل المخصص. تعتمد المنافذ المستخدمة لعميل معين على نشر العميل والحل. تعتمد البروتوكولات على تفضيلات العميل (SCCP مقابل SIP) والأجهزة المحلية الموجودة ومستوى الأمان لتحديد المنافذ التي يجب استخدامها في كل نشر.

لا تسمح المثيلات المخصصة بترجمة عنوان الشبكة (NAT) بين نقاط النهاية وUnified CM لأن بعض ميزات تدفق المكالمات لن تعمل، على سبيل المثال ميزة منتصف المكالمة.

مثيل مخصص – منافذ العملاء

يتم عرض المنافذ المتاحة للعملاء - بين العميل المحلي والمثيل المخصص - في الجدول 1 منافذ عملاء المثيل المخصص. جميع المنافذ المدرجة أدناه مخصصة لحركة مرور العملاء التي تعبر روابط النظير.

يكون منفذ SNMP مفتوحًا بشكل افتراضي فقط لبرنامج Cisco Emergency Responder لدعم وظائفه. نظرًا لأننا لا ندعم الشركاء أو العملاء الذين يراقبون تطبيقات UC المنتشرة في سحابة Dedicated Instance، فإننا لا نسمح بفتح منفذ SNMP لأي تطبيقات UC أخرى.

تم تمكين منفذ SNMP لتطبيق Singlewire (Informacast) (لتطبيق Unified CM فقط). عند إرسال طلب، تأكد من ذكر عناوين IP المرتبطة بتطبيق Singlewire صراحةً في قسم سبب السماح من الطلب. راجع رفع طلب الخدمة للحصول على مزيد من المعلومات.

يتم حجز المنافذ الموجودة في النطاق 5063–5080 بواسطة Cisco للتكاملات السحابية الأخرى، ويُنصح مسؤولي الشركاء أو العملاء بعدم استخدام هذه المنافذ في تكويناتهم.

الجدول 2. منافذ عملاء المثيلات المخصصة

البروتوكول

TCP/UDP

المصدر

الوجهة

منفذ المصدر

منفذ الوجهة

الغرض

SSH

TCP

العميل

تطبيقات الاتصالات الموحدة

غير مسموح بتطبيقات Cisco Expressway.

أكبر من 1023

22

الإدارة

بروتوكول نقل الملفات المبسط (TFTP)

UDP

نقطة النهاية

Unified CM

أكبر من 1023

69

دعم نقطة النهاية القديمة

LDAP

TCP

تطبيقات الاتصالات الموحدة

الدليل الخارجي

أكبر من 1023

389

مزامنة الدليل مع LDAP الخاص بالعميل

HTTPS

TCP

المتصفح

تطبيقات الاتصالات الموحدة

أكبر من 1023

443

الوصول إلى الويب للعناية الذاتية والواجهات الإدارية

البريد الصادر (آمن)

TCP

تطبيق UC

كوكسن

أكبر من 1023

587

تُستخدم لإنشاء رسائل آمنة وإرسالها إلى أي مستلمين محددين

LDAP (آمن)

TCP

تطبيقات الاتصالات الموحدة

الدليل الخارجي

أكبر من 1023

636

مزامنة الدليل مع LDAP الخاص بالعميل

H323

TCP

بوابة

Unified CM

أكبر من 1023

1720

إشارات النداء

H323

TCP

Unified CM

Unified CM

أكبر من 1023

1720

إشارات النداء

مركبات الكلوروفلوروكربون المكلورة القصيرة السلسلة

TCP

نقطة النهاية

CM موحد، CUCxn

أكبر من 1023

2000

إشارات النداء

مركبات الكلوروفلوروكربون المكلورة القصيرة السلسلة

TCP

Unified CM

إدارة موحدة، بوابة

أكبر من 1023

2000

إشارات النداء

إم جي بي سي بي

UDP

بوابة

بوابة

أكبر من 1023

2427

إشارات النداء

شبكة MGCP الخلفية

TCP

بوابة

Unified CM

أكبر من 1023

2428

إشارات النداء

SCCP (آمن)

TCP

نقطة النهاية

CM موحد، CUCxn

أكبر من 1023

2443

إشارات النداء

SCCP (آمن)

TCP

Unified CM

إدارة موحدة، بوابة

أكبر من 1023

2443

إشارات النداء

التحقق من الثقة

TCP

نقطة النهاية

Unified CM

أكبر من 1023

2445

توفير خدمة التحقق من الثقة لنقاط النهاية

سي تي آي

TCP

نقطة النهاية

Unified CM

أكبر من 1023

2748

العلاقة بين تطبيقات CTI (JTAPI/TSP) ومدير CTIManager

CTI آمن

TCP

نقطة النهاية

Unified CM

أكبر من 1023

2749

اتصال آمن بين تطبيقات CTI (JTAPI/TSP) ومدير CTIManager

كتالوج LDAP العالمي

TCP

تطبيقات UC

الدليل الخارجي

أكبر من 1023

3268

مزامنة الدليل مع LDAP الخاص بالعميل

كتالوج LDAP العالمي

TCP

تطبيقات UC

الدليل الخارجي

أكبر من 1023

3269

مزامنة الدليل مع LDAP الخاص بالعميل

خدمة CAPF

TCP

نقطة النهاية

Unified CM

أكبر من 1023

3804

منفذ الاستماع لوظيفة وكيل هيئة الشهادات (CAPF) لإصدار الشهادات ذات الأهمية المحلية (LSC) للهواتف IP

SIP

TCP

نقطة النهاية

CM موحد، CUCxn

أكبر من 1023

5060

إشارات النداء

SIP

TCP

Unified CM

إدارة موحدة، بوابة

أكبر من 1023

5060

إشارات النداء

SIP (آمن)

TCP

نقطة النهاية

Unified CM

أكبر من 1023

5061

إشارات النداء

SIP (آمن)

TCP

Unified CM

إدارة موحدة، بوابة

أكبر من 1023

5061

إشارات النداء

SIP (OAUTH)

TCP

نقطة النهاية

Unified CM

أكبر من 1023

5090

إشارات النداء

إكس إم بي بي

TCP

عميل جابر

سيسكو IM & ص

أكبر من 1023

5222

المراسلة الفورية والتواجد

HTTP

TCP

نقطة النهاية

Unified CM

أكبر من 1023

6970

تنزيل التكوين والصور إلى نقاط النهاية

HTTPS

TCP

نقطة النهاية

Unified CM

أكبر من 1023

6971

تنزيل التكوين والصور إلى نقاط النهاية

HTTPS

TCP

نقطة النهاية

Unified CM

أكبر من 1023

6972

تنزيل التكوين والصور إلى نقاط النهاية

HTTP

TCP

عميل جابر

كوكسن

أكبر من 1023

7080

إشعارات البريد الصوتي

HTTPS

TCP

عميل جابر

كوكسن

أكبر من 1023

7443

إشعارات البريد الصوتي الآمن

HTTPS

TCP

Unified CM

Unified CM

أكبر من 1023

7501

تستخدمه خدمة البحث بين المجموعات (ILS) للمصادقة القائمة على الشهادة

HTTPS

TCP

Unified CM

Unified CM

أكبر من 1023

7502

يستخدمه ILS للمصادقة القائمة على كلمة المرور

بروتوكول IMAP

TCP

عميل جابر

كوكسن

أكبر من 1023

7993

IMAP عبر TLS

HTTP

TCP

نقطة النهاية

Unified CM

أكبر من 1023

8080

دليل URI لدعم نقطة النهاية القديمة

HTTPS

TCP

المتصفح، نقطة النهاية

تطبيقات الاتصالات الموحدة

أكبر من 1023

8443

الوصول إلى الويب للعناية الذاتية والواجهات الإدارية، UDS

HTTPS

TCP

الهاتف

Unified CM

أكبر من 1023

9443

البحث عن جهة اتصال معتمدة

بروتوكول HTTPS

TCP

نقطة النهاية

Unified CM

أكبر من 1023

9444

ميزة إدارة سماعة الرأس

يؤمن RTP/SRTP

UDP

Unified CM

الهاتف

16384 إلى 32767 *

16384 إلى 32767 *

الوسائط (الصوتية) - موسيقى قيد الانتظار، جهاز الإعلان، جسر مؤتمرات البرامج (مفتوح بناءً على إشارات المكالمة)

يؤمن RTP/SRTP

UDP

الهاتف

Unified CM

16384 إلى 32767 *

16384 إلى 32767 *

الوسائط (الصوتية) - موسيقى قيد الانتظار، جهاز الإعلان، جسر مؤتمرات البرامج (مفتوح بناءً على إشارات المكالمة)

الكوبرا

TCP

العميل

كوكسن

أكبر من 1023

20532

النسخ الاحتياطي واستعادة مجموعة التطبيقات

اللجنة الدولية لمكافحة الفساد

اللجنة الدولية لمكافحة الفساد

نقطة النهاية

تطبيقات الاتصالات الموحدة

غير متوفر

غير متوفر

Ping

اللجنة الدولية لمكافحة الفساد

اللجنة الدولية لمكافحة الفساد

تطبيقات الاتصالات الموحدة

نقطة النهاية

غير متوفر

غير متوفر

Ping
DNS UDP وTCP

مُعيد توجيه DNS

خوادم DNS المخصصة

أكبر من 1023

 53

إعادة توجيه DNS في موقع العميل إلى خوادم DNS المخصصة. راجع متطلبات DNS للحصول على مزيد من المعلومات.

* قد تستخدم بعض الحالات الخاصة نطاقًا أكبر.

مثيل مخصص – منافذ OTT

يمكن للعملاء والشركاء استخدام المنفذ التالي لإعداد الوصول عن بعد عبر الهاتف المحمول (MRA):

الجدول 3. منفذ لـ OTT

البروتوكول

بروتوكول التحكم في الإرسال / حزب المحافظين المتحد

المصدر

الوجهة

منفذ المصدر

منفذ الوجهة

الغرض

يؤمن RTP/RTCP

UDP

الطريق السريع ج

العميل

أكبر من 1023

36000-59999

وسائل آمنة لمكالمات MRA و B2B

جذع SIP المتداخل بين المستأجرين المتعددين والمثيل المخصص (للجذع القائم على التسجيل فقط)

يتعين السماح بقائمة المنافذ التالية على جدار حماية العميل لجذع SIP المستند إلى التسجيل والذي يربط بين المستأجرين المتعددين والمثيل المخصص.

الجدول رقم 4. منفذ للجذوع القائمة على التسجيل

البروتوكول

بروتوكول التحكم في الإرسال / حزب المحافظين المتحد

المصدر

الوجهة

منفذ المصدر

منفذ الوجهة

الغرض

RTP/RTCP

UDP

مكالمات Webex متعددة المستأجرين

العميل

أكبر من 1023

8000-48198

الوسائط من Webex Calling Multitenant

مثيل مخصص - منافذ UCCX

يمكن للعملاء والشركاء استخدام القائمة التالية من المنافذ لتكوين UCCX.

الجدول 5. منافذ Cisco UCCX

البروتوكول

TCP/UCP

المصدر

الوجهة

منفذ المصدر

منفذ الوجهة

الغرض

SSH

TCP

العميل

يو سي سي إكس

أكبر من 1023

22

SFTP و SSH

إنفورميكس

TCP

العميل أو الخادم

يو سي سي إكس

أكبر من 1023

1504

منفذ قاعدة بيانات مركز الاتصال السريع

SIP

UDP وTCP

خادم SIP GW أو MCRP

يو سي سي إكس

أكبر من 1023

5065

الاتصال بعقد GW وMCRP البعيدة

إكس إم بي بي

TCP

العميل

يو سي سي إكس

أكبر من 1023

5223

اتصال XMPP آمن بين خادم Finesse وتطبيقات الطرف الثالث المخصصة

أمراض القلب والأوعية الدموية

TCP

العميل

يو سي سي إكس

أكبر من 1023

6999

محرر لتطبيقات CCX

HTTPS

TCP

العميل

يو سي سي إكس

أكبر من 1023

7443

اتصال BOSH آمن بين خادم Finesse وأجهزة سطح المكتب الخاصة بالوكيل والمشرف للتواصل عبر HTTPS

HTTP

TCP

العميل

يو سي سي إكس

أكبر من 1023

8080

يتصل عملاء إعداد التقارير بالبيانات المباشرة بخادم socket.IO

HTTP

TCP

العميل

يو سي سي إكس

أكبر من 1023

8081

يحاول متصفح العميل الوصول إلى واجهة الويب الخاصة بمركز Cisco Unified Intelligence Center

HTTP

TCP

العميل

يو سي سي إكس

أكبر من 1023

8443

واجهة المستخدم الرسومية للمسؤول، وRTMT، والوصول إلى قاعدة البيانات عبر SOAP

HTTPS

TCP

العميل

يو سي سي إكس

أكبر من 1023

8444

واجهة الويب لمركز Cisco Unified Intelligence Center

HTTPS

TCP

متصفح وعملاء REST

يو سي سي إكس

أكبر من 1023

8445

منفذ آمن لـ Finesse

HTTPS

TCP

العميل

يو سي سي إكس

أكبر من 1023

8447

HTTPS - مساعدة مركز الاستخبارات الموحدة عبر الإنترنت

HTTPS

TCP

العميل

يو سي سي إكس

أكبر من 1023

8553

تتمكن مكونات تسجيل الدخول الفردي (SSO) من الوصول إلى هذه الواجهة لمعرفة حالة تشغيل Cisco IdS.

HTTP

TCP

العميل

يو سي سي إكس

أكبر من 1023

9080

العملاء الذين يحاولون الوصول إلى مشغلات HTTP أو المستندات / المطالبات / القواعد النحوية / البيانات المباشرة.

HTTPS

TCP

العميل

يو سي سي إكس

أكبر من 1023

9443

منفذ آمن يستخدم للرد على العملاء الذين يحاولون الوصول إلى مشغلات HTTPS

TCP

TCP

العميل

يو سي سي إكس

أكبر من 1023

12014

هذا هو المنفذ الذي يمكن لعملاء إعداد التقارير عن البيانات المباشرة من خلاله الاتصال بخادم socket.IO

TCP

TCP

العميل

يو سي سي إكس

أكبر من 1023

12015

هذا هو المنفذ الذي يمكن لعملاء إعداد التقارير عن البيانات المباشرة من خلاله الاتصال بخادم socket.IO

سي تي آي

TCP

العميل

يو سي سي إكس

أكبر من 1023

12028

عميل CTI التابع لجهة خارجية إلى CCX

RTP (الوسائط)

TCP

نقطة النهاية

يو سي سي إكس

أكبر من 1023

أكبر من 1023

يتم فتح منفذ الوسائط بشكل ديناميكي حسب الحاجة

RTP (الوسائط)

TCP

العميل

نقطة النهاية

أكبر من 1023

أكبر من 1023

يتم فتح منفذ الوسائط بشكل ديناميكي حسب الحاجة

أمن العميل

تأمين Jabber وWebex باستخدام SIP OAuth

يتم مصادقة عملاء Jabber وWebex من خلال رمز OAuth بدلاً من شهادة ذات أهمية محلية (LSC)، والتي لا تتطلب تمكين وظيفة وكيل هيئة الشهادات (CAPF) (لـ MRA أيضًا). تم تقديم SIP OAuth الذي يعمل مع أو بدون الوضع المختلط في Cisco Unified CM 12.5(1)، وJabber 12.5، وExpressway X12.5.

في Cisco Unified CM 12.5، لدينا خيار جديد في ملف تعريف أمان الهاتف الذي يمكّن التشفير دون LSC/CAPF, استخدام طبقة النقل الآمنة (TLS) الفردية + رمز OAuth في سجل SIP. تستخدم عقد Expressway-C واجهة برمجة تطبيقات خدمة ويب XML الإدارية (AXL) لإعلام Cisco Unified CM بـ SN/SAN في شهادتهم. تستخدم Cisco Unified CM هذه المعلومات للتحقق من صحة شهادة Exp-C عند إنشاء اتصال TLS متبادل.

يتيح SIP OAuth تشفير الوسائط والإشارات دون شهادة نقطة نهاية (LSC).

يستخدم Cisco Jabber المنافذ المؤقتة والمنافذ الآمنة 6971 و6972 عبر اتصال HTTPS بخادم TFTP لتنزيل ملفات التكوين. المنفذ 6970 هو منفذ غير آمن للتنزيل عبر HTTP.

مزيد من التفاصيل حول تكوين SIP OAuth: وضع SIP OAuth.

متطلبات DNS

بالنسبة للمثيل المخصص، توفر Cisco اسم المجال المؤهل بالكامل للخدمة في كل منطقة بالتنسيق التالي <customer>.<region>.wxc-di.webex.com على سبيل المثال، xyz.amer.wxc-di.webex.com.

يتم توفير قيمة "العميل" بواسطة المسؤول كجزء من معالج الإعداد لأول مرة (FTSW). لمزيد من المعلومات راجع تنشيط خدمة المثيل المخصص.

يجب أن تكون سجلات DNS لهذا FQDN قابلة للحل من خادم DNS الداخلي الخاص بالعميل لدعم الأجهزة المحلية المتصلة بالمثيل المخصص. لتسهيل الحل، يحتاج العميل إلى تكوين مُرسِل مشروط، لهذا الاسم الكامل المؤهل، على خادم DNS الخاص به والذي يشير إلى خدمة DNS للمثيل المخصص. خدمة DNS للمثيل المخصص هي خدمة إقليمية ويمكن الوصول إليها، عبر الاتصال بالمثيل المخصص، باستخدام عناوين IP التالية كما هو مذكور في الجدول أدناه عنوان IP لخدمة DNS للمثيل المخصص.

الجدول 6. عنوان IP لخدمة DNS المخصصة

Region/DC

عنوان IP لخدمة DNS المخصصة

مثال على إعادة التوجيه المشروط

AMER

 <customer>.amer.wxc-di.webex.com

المحكمة العليا

69.168.17.100

دالاس فورت وورث

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

لندن

178.215.138.100

أ.م.س

178.215.138.228

الاتحاد الأوروبي

<customer>.eu.wxc-di.webex.com

فرنسا

178.215.131.100

أ.م.س

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

الخطيئة

103.232.71.100

تي كي واي

103.232.71.228

AUS

 <customer>.aus.wxc-di.webex.com

ميل

178.215.128.100

سيدني

178.215.128.228

المملكة المتحدة

 <customer>.uk.wxc-di.webex.com

لندن

178.215.135.100

رجل

178.215.135.228

المملكة العربية السعودية

 <customer>.sa.wxc-di.webex.com

جيد

 178.215.140.100

وحدة العناية المركزة

 178.215.140.228

تم تعطيل خيار ping لعناوين IP الخاصة بخادم DNS المذكورة أعلاه لأسباب أمنية.

حتى يتم تطبيق إعادة التوجيه المشروط، لن تتمكن الأجهزة من التسجيل في المثيل المخصص من الشبكة الداخلية للعملاء عبر روابط الاقتران. لا يلزم إعادة التوجيه المشروط للتسجيل عبر الوصول عن بعد عبر الهاتف المحمول (MRA)، حيث سيتم توفير جميع سجلات DNS الخارجية المطلوبة لتسهيل الوصول عن بعد عبر الهاتف المحمول مسبقًا بواسطة شركة Cisco.

عند استخدام تطبيق Webex كعميل اتصال ناعم على Dedicated Instance، يلزم تكوين ملف تعريف UC Manager في Control Hub لنطاق خدمة الصوت (VSD) لكل منطقة. لمزيد من المعلومات راجع ملفات تعريف UC Manager في Cisco Webex Control Hub. سيتمكن تطبيق Webex من حل مشكلة Expressway Edge الخاصة بالعميل تلقائيًا دون أي تدخل من المستخدم النهائي.

سيتم توفير نطاق خدمة الصوت للعميل كجزء من وثيقة وصول الشريك بمجرد اكتمال تنشيط الخدمة.

استخدم جهاز توجيه محلي لحل مشكلة DNS الخاصة بالهاتف

بالنسبة للهواتف التي لا تتوفر لديها إمكانية الوصول إلى خوادم DNS الخاصة بالشركة، فمن الممكن استخدام جهاز توجيه Cisco محلي لإعادة توجيه طلبات DNS إلى DNS السحابي المخصص. يؤدي هذا إلى إزالة الحاجة إلى نشر خادم DNS محلي ويوفر دعم DNS الكامل بما في ذلك التخزين المؤقت.

مثال على التكوين :

!

خادم IP DNS

خادم اسم IP <DI DNS Server IP DC1> <DI DNS Server IP DC2>

!

يعد استخدام DNS في نموذج النشر هذا خاصًا بالهواتف ولا يمكن استخدامه إلا لحل FQDN مع المجال من المثيل المخصص للعملاء.

حل DNS للهاتف