- الرئيسية
- /
- المقال
متطلبات الشبكة والأمان لحل المثيل المخصص هو النهج الطبقي للميزات والوظائف التي توفر وصولاً ماديًا آمنًا والشبكة ونقاط النهاية وتطبيقات Cisco UC. إنه يصف متطلبات الشبكة ويسرد العناوين والمنافذ والبروتوكولات المستخدمة لتوصيل نقاط النهاية الخاصة بك بالخدمات.
متطلبات الشبكة للمثيل المخصص
يعد المثيل المكرس لـ Webex Calling جزءًا من محفظة Cisco Cloud Calling، التي تدعمها تقنية التعاون Cisco Unified Communications Manager (Cisco Unified CM). يقدم المثيل المخصص حلول الصوت والفيديو والمراسلة والتنقل مع ميزات ومزايا هواتف Cisco IP والأجهزة المحمولة وعملاء سطح المكتب التي تتصل بشكل آمن بالمثيل المخصص.
هذه المقالة مخصصة لمسؤولي الشبكة، وخاصة مسؤولي أمان جدار الحماية والوكيل الذين يرغبون في استخدام المثيل المكرس داخل مؤسستهم.
نظرة عامة على الأمان: الأمن في الطبقات
يستخدم المثيل المكرس نهجًا متعدد الطبقات للأمان. وتشمل الطبقات ما يلي:
-
الوصول المادي
-
الشبكة
-
نقاط النهاية
-
تطبيقات UC
تصف الأقسام التالية طبقات الأمان في عمليات نشر المثيل المخصص.
الأمن المادي
من المهم توفير الأمان المادي لمواقع غرفة Equinix Meet-Me ومرافق مركز بيانات المثيل المخصص من Cisco. عند اختراق الأمان المادي، يمكن بدء هجمات بسيطة مثل انقطاع الخدمة عن طريق إغلاق الطاقة إلى مفاتيح العميل. مع الوصول الفعلي، يمكن للمهاجمين الوصول إلى أجهزة الخادم، وإعادة تعيين كلمات المرور، والوصول إلى المفاتيح. كما يسهل الوصول المادي هجمات أكثر تطوراً مثل هجمات الرجل في الوسط، وهذا هو السبب في أن الطبقة الأمنية الثانية، أمن الشبكة، أمر بالغ الأهمية.
يتم استخدام محركات الأقراص ذاتية التشفير في مراكز بيانات المثيل المكرس التي تستضيف تطبيقات UC.
لمزيد من المعلومات حول الممارسات الأمنية العامة، ارجع إلى الوثائق في الموقع التالي: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
أمان الشبكة
يحتاج الشركاء إلى التأكد من أن جميع عناصر الشبكة مؤمنة في البنية التحتية للمثيل المخصص (التي تتصل عبر Equinix). تقع على عاتق الشريك مسؤولية ضمان أفضل الممارسات الأمنية مثل:
-
فصل VLAN للصوت والبيانات
-
تمكين أمان المنفذ الذي يحد من عدد عناوين MAC المسموح بها لكل منفذ، ضد فيضانات جدول CAM
-
حارس مصدر IP ضد عناوين IP المزورة
-
فحص ARP الديناميكي (DAI) يفحص بروتوكول حل العناوين (ARP) و ARP (GARP) دون مبرر للانتهاكات (ضد الاحتيال ARP)
-
يحد 802.1x من الوصول إلى الشبكة لمصادقة الأجهزة على شبكات VLAN المعينة (تدعم الهواتف 802.1x)
-
تكوين جودة الخدمة (QoS) لوضع علامة مناسبة على حزم الصوت
-
تكوينات منافذ جدار الحماية لمنع أي حركة مرور أخرى
أمان نقاط النهاية
تدعم نقاط نهاية Cisco ميزات الأمان الافتراضية مثل البرامج الثابتة الموقعة، والتمهيد الآمن (الموديلات المحددة)، والشهادة المثبتة من الشركة المصنعة (MIC)، وملفات التكوين الموقعة، والتي توفر مستوى معين من الأمان لنقاط النهاية.
بالإضافة إلى ذلك، يمكن لشريك أو عميل تمكين أمان إضافي، مثل:
-
تشفير خدمات هاتف IP (عبر HTTPS) لخدمات مثل Extension Mobility
-
إصدار شهادات مهمة محليًا (LSCs) من وظيفة وكيل جهة منح الشهادات (CAPF) أو جهة شهادة عامة (CA)
-
تشفير ملفات التكوين
-
تشفير الوسائط وإرسال الإشارات
-
قم بتعطيل هذه الإعدادات إذا لم يتم استخدامها: منفذ PC، الوصول إلى VLAN للصوت للكمبيوتر الشخصي، ARP مجانية، الوصول إلى الويب، زر الإعدادات، SSH، وحدة التحكم
يمنع تطبيق آليات الأمان في المثيل المخصص سرقة الهوية للهواتف وخادم Unified CM، والتلاعب بالبيانات، والتلاعب بإشارات المكالمات/ بث الوسائط.
المثيل المكرّس عبر الشبكة:
-
إنشاء وصيانة تدفقات الاتصالات الموثقة
-
التوقيع الرقمي على الملفات قبل نقل الملف إلى الهاتف
-
تشفير تدفقات الوسائط وإشارات المكالمات بين هواتف Cisco Unified IP
يوفر الأمان بشكل افتراضي ميزات الأمان التلقائية التالية لهواتف Cisco Unified IP:
-
توقيع ملفات تكوين الهاتف
-
دعم تشفير ملف تكوين الهاتف
-
HTTPS مع Tomcat وخدمات الويب الأخرى (MIDlets)
بالنسبة لإصدار Unified CM 8.0 لاحقًا، يتم توفير ميزات الأمان هذه بشكل افتراضي دون تشغيل عميل قائمة الثقة للشهادات (CTL).
خدمة التحقق من الثقةنظرًا لوجود عدد كبير من الهواتف في الشبكة وذاكرة IP محدودة، يعمل Cisco Unified CM كمخزن ثقة بعيد من خلال خدمة التحقق من الثقة (TVS) بحيث لا يلزم وضع متجر ثقة للشهادات على كل هاتف. تتصل هواتف Cisco IP بخادم TVS للتحقق لأنها لا تستطيع التحقق من توقيع أو شهادة من خلال ملفات CTL أو ITL. من السهل إدارة وجود متجر ثقة مركزي من وجود متجر ثقة على كل هاتف Cisco Unified IP.
تمكن TVS هواتف Cisco Unified IP من مصادقة خوادم التطبيقات، مثل خدمات EM والدليل وMIDlet، أثناء إنشاء HTTPS.
قائمة الثقة الأوليةيتم استخدام ملف قائمة الثقة الأولية (ITL) للأمان الأولي، بحيث يمكن لنقاط النهاية الثقة في Cisco Unified CM. لا يحتاج سجل المعاملات الدولي إلى تمكين أي ميزات أمان بشكل صريح. يتم إنشاء ملف ITL تلقائيًا عند تثبيت المجموعة. يتم استخدام المفتاح الخاص لخادم بروتوكول نقل الملفات التافه Unified CM (TFTP) لتوقيع ملف ITL.
عندما يكون نظام مجموعة أو خادم Cisco Unified CM في وضع غير آمن، يتم تنزيل ملف ITL على كل هاتف Cisco IP مدعوم. يمكن للشريك عرض محتويات ملف ITL باستخدام أمر CLI، المسؤول:show itl.
تحتاج هواتف Cisco IP إلى ملف ITL لتنفيذ المهام التالية:
-
الاتصال بشكل آمن بـ CAPF، وهو شرط مسبق لدعم تشفير ملف التكوين
-
مصادقة توقيع ملف التكوين
-
مصادقة خوادم التطبيقات، مثل خدمات EM والدليل وMIDlet أثناء إنشاء HTTPS باستخدام TVS
تعتمد مصادقة الجهاز والملف وإرسال الإشارات على إنشاء ملف قائمة الثقة للشهادات (CTL)، والذي يتم إنشاؤه عندما يقوم الشريك أو العميل بتثبيت وتكوين عميل قائمة الثقة لشهادات Cisco.
يحتوي ملف CTL على إدخالات للخوادم التالية أو رموز الأمان:
-
رمز أمان مسؤول النظام (SAST)
-
خدمات Cisco CallManager وCisco TFTP التي تعمل على نفس الخادم
-
وظيفة وكيل جهة منح الشهادات (CAPF)
-
خادم (خوادم) TFTP
-
جدار حماية ASA
يحتوي ملف CTL على شهادة خادم ومفتاح عام ورقم تسلسلي وتوقيع واسم جهة الإصدار واسم الموضوع ووظيفة الخادم واسم DNS وعنوان IP لكل خادم.
يوفر أمان الهاتف باستخدام CTL الوظائف التالية:
-
مصادقة ملفات TFTP التي تم تنزيلها (التكوين والإعدادات المحلية وقائمة الرنين وما إلى ذلك) باستخدام مفتاح التوقيع
-
تشفير ملفات تكوين TFTP باستخدام مفتاح التوقيع
-
إرسال إشارات المكالمات المشفرة لهواتف IP
-
صوت المكالمة المشفر (الوسائط) لهواتف IP
يوفر المثيل المخصص تسجيل نقطة النهاية ومعالجة المكالمات. تعتمد الإشارات بين Cisco Unified CM ونقاط النهاية على بروتوكول التحكم في عميل نحيف آمن (SCCP) أو بروتوكول بدء الجلسة (SIP) ويمكن تشفيرها باستخدام أمان طبقة النقل (TLS). تعتمد الوسائط من/إلى نقاط النهاية على بروتوكول النقل في الوقت الحقيقي (RTP) ويمكن تشفيرها أيضًا باستخدام RTP الآمن (SRTP).
يؤدي تمكين الوضع المختلط على Unified CM إلى تمكين تشفير الإشارات وحركة مرور الوسائط من وإلى نقاط نهاية Cisco.
تطبيقات UC الآمنة
تمكين الوضع المختلط في المثيل المكرّسيتم تمكين الوضع المختلط افتراضيًا في المثيل المخصص.
يؤدي تمكين الوضع المختلط في المثيل المخصص إلى تمكين القدرة على تنفيذ تشفير الإشارات وحركة مرور الوسائط من وإلى نقاط نهاية Cisco.
في الإصدار 12.5(1) من Cisco Unified CM، تمت إضافة خيار جديد لتمكين تشفير الإشارات والوسائط بناءً على SIP OAuth بدلاً من الوضع المختلط/CTL لعملاء Jabber وWebex. لذلك، في إصدار Unified CM 12.5(1)، يمكن استخدام SIP OAuth وSRTP لتمكين التشفير لإرسال الإشارات والوسائط لعملاء Jabber أو Webex. يظل تمكين الوضع المختلط مطلوبًا لهواتف Cisco IP ونقاط نهاية Cisco الأخرى في الوقت الحالي. هناك خطة لإضافة دعم لـ SIP OAuth في نقاط نهاية 7800/8800 في إصدار مستقبلي.
أمان المراسلة الصوتيةيتصل Cisco Unity Connection بـ Unified CM من خلال منفذ TLS. عندما يكون وضع أمان الجهاز غير آمن، يتصل Cisco Unity Connection بـ Unified CM من خلال منفذ SCCP.
لتكوين الأمان لمنافذ المراسلة الصوتية Unified CM وأجهزة Cisco Unity التي تقوم بتشغيل SCCP أو أجهزة Cisco Unity Connection التي تقوم بتشغيل SCCP، يستطيع الشريك اختيار وضع أمان الجهاز الآمن للمنفذ. إذا اخترت منفذ بريد صوتي مصدق عليه، يتم فتح اتصال TLS، والذي يصادق على الأجهزة باستخدام تبادل شهادة متبادلة (يقبل كل جهاز شهادة الجهاز الآخر). إذا اخترت منفذ بريد صوتي مشفر، يقوم النظام أولاً بمصادقة الأجهزة ثم يرسل تيارات صوتية مشفرة بين الأجهزة.
لمزيد من المعلومات حول منافذ المراسلة الصوتية الأمنية، ارجع إلى: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified SU1_chapter_010001.html
أمان SRST، والقنوات، والبوابات، ومكعب/SBC
توفر بوابة Cisco Unified Remote Site Telephony (SRST) التي تم تمكينها من Cisco Unified Survivable Site Telephony (SRST) مهام محدودة لمعالجة المكالمات إذا تعذر على Cisco Unified CM في المثيل المخصص إكمال المكالمة.
تحتوي البوابات الآمنة الممكّنة بـ SRST على شهادة موقعة ذاتيًا. بعد قيام أحد الشركاء بتنفيذ مهام تكوين SRST في إدارة UNIFIED CM، يستخدم Unified CM اتصال TLS للمصادقة على خدمة موفر الشهادة في بوابة ممكّنة بـ SRST. ثم يقوم Unified CM باسترداد الشهادة من بوابة ممكّنة بـ SRST وإضافة الشهادة إلى قاعدة بيانات Unified CM.
بعد قيام الشريك بإعادة تعيين الأجهزة التابعة في إدارة Unified CM، يضيف خادم TFTP شهادة بوابة ممكّنة بـ SRST إلى ملف cnf.xml الخاص بالهاتف ويرسل الملف إلى الهاتف. ثم يستخدم الهاتف الآمن اتصال TLS للتفاعل مع بوابة ممكّنة بـ SRST.
يوصى بالحصول على قنوات آمنة للمكالمة التي تنشأ من Cisco Unified CM إلى بوابة مكالمات PSTN الصادرة أو عبر عنصر Cisco Unified Border (CUBE).
يمكن لقنوات SIP دعم المكالمات الآمنة لكل من إرسال الإشارات والوسائط؛ يوفر TLS تشفير الإشارات ويوفر SRTP تشفير الوسائط.
تأمين الاتصالات بين Cisco Unified CM وCUBE
للاتصالات الآمنة بين Cisco Unified CM وCUBE، يحتاج الشركاء/العملاء إلى استخدام إما شهادة موقعة ذاتيًا أو شهادات موقعة من CA.
للشهادات الموقعة ذاتيًا:
-
يقوم CUBE وCisco Unified CM بإنشاء شهادات موقعة ذاتيًا
-
شهادة تصدير CUBE إلى Cisco Unified CM
-
شهادة تصدير Cisco Unified CM إلى CUBE
للشهادات الموقعة على CA:
-
يقوم العميل بإنشاء زوج مفاتيح ويرسل طلب توقيع الشهادة (CSR) إلى مرجع الشهادة (CA)
-
يقوم CA بتوقيعها باستخدام مفتاحه الخاص ، مما يؤدي إلى إنشاء شهادة هوية
-
يقوم العميل بتثبيت قائمة شهادات CA الجذر والوسيط الموثوق بها وشهادة الهوية
أمان نقاط النهاية البعيدة
باستخدام نقاط النهاية الخاصة بالوصول إلى الأجهزة المحمولة وعن بُعد (MRA)، يتم دائمًا تشفير الإشارات والوسائط بين نقاط نهاية MRA وعقد Expressway. إذا تم استخدام بروتوكول تأسيس الاتصال التفاعلي (ICE) لنقاط نهاية MRA، يلزم إرسال الإشارات وتشفير الوسائط لنقاط نهاية MRA. ومع ذلك، يتطلب تشفير الإشارات والوسائط بين Expressway-C وخوادم Unified CM الداخلية أو نقاط النهاية الداخلية أو الأجهزة الداخلية الأخرى وضع مختلط أو SIP OAuth.
يوفر Cisco Expressway دعمًا آمنًا لاجتياز جدار الحماية وجانب الخط لتسجيلات Unified CM. يوفر Unified CM التحكم في المكالمات لكل من نقاط النهاية المتنقلة والداخلية. تجتاز إرسال الإشارات حل Expressway بين نقطة النهاية البعيدة وUnified CM. تجتاز الوسائط حل Expressway ويتم نقلها بين نقاط النهاية مباشرةً. يتم تشفير جميع الوسائط بين Expressway-C ونقطة نهاية الهاتف المحمول.
يتطلب أي حل MRA Solution Expressway وUnified CM، مع عملاء لينين متوافقين مع MRA و/أو نقاط نهاية ثابتة. يمكن أن يتضمن الحل بشكل اختياري خدمة IM و Presence Service و Unity Connection.
ملخص البروتوكول
يعرض الجدول التالي البروتوكولات والخدمات المرتبطة بها المستخدمة في حل Unified CM.
البروتوكول |
الأمان |
الخدمة |
---|---|---|
SIP |
TLS |
إنشاء الجلسة: التسجيل، الدعوة، الخ. |
HTTPS |
TLS |
تسجيل الدخول، التوفير/التكوين، الدليل، البريد الصوتي المرئي |
الوسائط |
SRTP |
وسائل الإعلام: الصوت والفيديو ومشاركة المحتوى |
XMPP |
TLS |
المراسلة الفورية، الحضور، الاتحاد |
لمزيد من المعلومات حول تكوين MRA، راجع: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/x12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
خيارات التكوين
يوفر المثيل المخصص للشريك المرونة لتخصيص الخدمات للمستخدمين النهائيين من خلال التحكم الكامل في تكوينات اليوم الثاني. ونتيجة لذلك، يكون الشريك وحده المسؤول عن التكوين الصحيح لخدمة المثيل المخصص لبيئة المستخدم النهائي. ويشمل ذلك على سبيل المثال لا الحصر:
-
اختيار المكالمات الآمنة/غير الآمنة والبروتوكولات الآمنة/غير الآمنة مثل SIP/sSIP وhttp/https وما إلى ذلك وفهم أي مخاطر مرتبطة بها.
-
بالنسبة لجميع عناوين MAC التي لم يتم تكوينها على أنها آمنة-SIP في المثيل المخصص، يمكن للمهاجم إرسال رسالة تسجيل SIP باستخدام عنوان MAC هذا ويكون قادرًا على إجراء مكالمات SIP، مما يؤدي إلى احتيال في الرسوم. تتمثل الميزة في أن المهاجم يمكنه تسجيل جهاز/برنامج SIP الخاص به في المثيل المخصص دون الحصول على إذن إذا كان يعرف عنوان MAC الخاص بجهاز مسجل في المثيل المكرّس.
-
يجب تكوين سياسات مكالمات Expressway-E وقواعد التحويل والبحث لمنع الاحتيال على الرسوم. للحصول على مزيد من المعلومات حول منع الاحتيال على الرسوم باستخدام Expressways، راجع قسم الأمان الخاص بـ Expressway C وExpressway-E في Collaboration SRND.
-
تكوين خطة الطلب لضمان تمكين المستخدمين من الاتصال فقط بالوجهات المسموح بها، مثل حظر الاتصال الوطني/الدولي وتوجيه مكالمات الطوارئ بشكل صحيح وما إلى ذلك. لمزيد من المعلومات حول تطبيق القيود باستخدام خطة الطلب، ارجع إلى قسم خطة الطلب في Collaboration SRND.
متطلبات الشهادة للاتصالات الآمنة في المثيل المكرّس
بالنسبة للمثيل المخصص، ستقوم Cisco بتوفير المجال وتوقيع جميع الشهادات الخاصة بتطبيقات UC باستخدام مرجع شهادة عام (CA).
المثيل المخصص - أرقام المنافذ والبروتوكولات
تصف الجداول التالية المنافذ والبروتوكولات المدعومة في المثيل المخصص. تعتمد المنافذ المستخدمة لعميل معين على نشر العميل والحل الخاص به. تعتمد البروتوكولات على تفضيل العميل (SCCP مقابل SIP) والأجهزة الموجودة في الموقع ومستوى الأمان لتحديد المنافذ التي سيتم استخدامها في كل عملية نشر.
لا يسمح المثيل المخصص بترجمة عنوان الشبكة (NAT) بين نقاط النهاية وUnified CM لأن بعض ميزات تدفق المكالمات لن تعمل، على سبيل المثال ميزة وسط المكالمة. |
المثيل المكرّس – منافذ العملاء
يتم عرض المنافذ المتاحة للعملاء - بين العميل في الموقع والممثيل المخصص في الجدول 1 منافذ العميل المثيل المكرّس. جميع المنافذ المذكورة أدناه مخصصة لحركة مرور العملاء عبر روابط النظير.
يتم فتح منفذ SNMP افتراضيًا فقط من أجل Cisco Emergency Responder لدعم وظائفه. نظرًا لأننا لا ندعم الشركاء أو العملاء الذين يراقبون تطبيقات UC المنتشرة في سحابة المثيل المخصص، فإننا لا نسمح بفتح منفذ SNMP لأي تطبيقات UC أخرى. |
يتم حجز المنافذ في النطاق من 5063 إلى 5080 بواسطة Cisco لعمليات تكامل السحابة الأخرى، ويوصى مسؤولو الشركاء أو العملاء بعدم استخدام هذه المنافذ في تكويناتهم. |
البروتوكول |
TCP/UDP |
المصدر |
الوجهة |
منفذ المصدر |
منفذ الوجهة |
الغرض | ||
---|---|---|---|---|---|---|---|---|
SSH |
TCP |
العميل |
تطبيقات UC
|
أكبر من 1023 |
22 |
الإدارة |
||
TFTP |
UDP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
69 |
دعم نقاط النهاية القديمة |
||
LDAP |
TCP |
تطبيقات UC |
دليل خارجي |
أكبر من 1023 |
389 |
مزامنة الدليل مع LDAP العميل |
||
HTTPS |
TCP |
المستعرض |
تطبيقات UC |
أكبر من 1023 |
443 |
الوصول إلى الويب للعناية الذاتية والواجهات الإدارية |
||
البريد الصادر (SECURE) |
TCP |
تطبيق UC |
مكعبComment |
أكبر من 1023 |
587 |
يُستخدم لتكوين وإرسال رسائل آمنة إلى أي مستلمين معينين |
||
LDAP (آمن) |
TCP |
تطبيقات UC |
دليل خارجي |
أكبر من 1023 |
636 |
مزامنة الدليل مع LDAP العميل |
||
H323 |
TCP |
بوابة |
Unified CM |
أكبر من 1023 |
1720 |
إرسال إشارات المكالمة |
||
H323 |
TCP |
Unified CM |
Unified CM |
أكبر من 1023 |
1720 |
إرسال إشارات المكالمة |
||
البارافينات المكلورة القصيرة السلسلة |
TCP |
نقطة النهاية |
Unified CM, CUCxn |
أكبر من 1023 |
2000 |
إرسال إشارات المكالمة |
||
البارافينات المكلورة القصيرة السلسلة |
TCP |
Unified CM |
Unified CM، بوابة |
أكبر من 1023 |
2000 |
إرسال إشارات المكالمة |
||
MGCP |
UDP |
بوابة |
بوابة |
أكبر من 1023 |
2427 |
إرسال إشارات المكالمة |
||
دعم MGCP |
TCP |
بوابة |
Unified CM |
أكبر من 1023 |
2428 |
إرسال إشارات المكالمة |
||
SCCP (آمن) |
TCP |
نقطة النهاية |
Unified CM, CUCxn |
أكبر من 1023 |
2443 |
إرسال إشارات المكالمة |
||
SCCP (آمن) |
TCP |
Unified CM |
Unified CM، بوابة |
أكبر من 1023 |
2443 |
إرسال إشارات المكالمة |
||
الثقة في التحقق |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
2445 |
توفير خدمة التحقق من الثقة لنقاط النهاية |
||
CTI |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
2748 |
الاتصال بين تطبيقات CTI (JTAPI/TSP) و CTIManager |
||
تأمين CTI |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
2749 |
اتصال آمن بين تطبيقات CTI (JTAPI/TSP) و CTIManager |
||
كتالوج LDAP العالمي |
TCP |
تطبيقات UC |
دليل خارجي |
أكبر من 1023 |
3268 |
مزامنة الدليل مع LDAP العميل |
||
كتالوج LDAP العالمي |
TCP |
تطبيقات UC |
دليل خارجي |
أكبر من 1023 |
3269 |
مزامنة الدليل مع LDAP العميل |
||
خدمة CAPF |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
3804 |
منفذ الاستماع لوظيفة وكيل جهة منح الشهادات (CAPF) لإصدار الشهادات المهمة محليًا (LSC) لهواتف IP |
||
SIP |
TCP |
نقطة النهاية |
Unified CM, CUCxn |
أكبر من 1023 |
5060 |
إرسال إشارات المكالمة |
||
SIP |
TCP |
Unified CM |
Unified CM، بوابة |
أكبر من 1023 |
5060 |
إرسال إشارات المكالمة |
||
SIP (آمن) |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
5061 |
إرسال إشارات المكالمة |
||
SIP (آمن) |
TCP |
Unified CM |
Unified CM، بوابة |
أكبر من 1023 |
5061 |
إرسال إشارات المكالمة |
||
SIP (OAUTH) |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
5090 |
إرسال إشارات المكالمة |
||
XMPP |
TCP |
عميل Jabber |
Cisco IM&P |
أكبر من 1023 |
5222 |
المراسلة الفورية والحضور |
||
HTTP |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
6970 |
تنزيل التكوين والصور إلى نقاط النهاية |
||
HTTPS |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
6971 |
تنزيل التكوين والصور إلى نقاط النهاية |
||
HTTPS |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
6972 |
تنزيل التكوين والصور إلى نقاط النهاية |
||
HTTP |
TCP |
عميل Jabber |
مكعبComment |
أكبر من 1023 |
7080 |
إشعارات البريد الصوتي |
||
HTTPS |
TCP |
عميل Jabber |
مكعبComment |
أكبر من 1023 |
7443 |
إشعارات البريد الصوتي الآمنة |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
أكبر من 1023 |
7501 |
تستخدمه خدمة البحث بين المجموعات (ILS) للمصادقة المستندة إلى الشهادة |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
أكبر من 1023 |
7502 |
يُستخدم بواسطة ILS للمصادقة المستندة إلى كلمة المرور |
||
IMAP |
TCP |
عميل Jabber |
مكعبComment |
أكبر من 1023 |
7993 |
IMAP عبر TLS |
||
HTTP |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
8080 |
URI للدليل لدعم نقطة النهاية القديمة |
||
HTTPS |
TCP |
المستعرض، نقطة النهاية |
تطبيقات UC |
أكبر من 1023 |
8443 |
الوصول إلى الويب للعناية الذاتية والواجهات الإدارية، UDS |
||
HTTPS |
TCP |
الهاتف |
Unified CM |
أكبر من 1023 |
9443 |
بحث جهات اتصال مُصادق |
||
HTTPs |
TCP |
نقطة النهاية |
Unified CM |
أكبر من 1023 |
9444 |
ميزة إدارة سماعة الهاتف |
||
RTP/SRTP آمن |
UDP |
Unified CM |
الهاتف |
16384 إلى 32767 * |
16384 إلى 32767 * |
الوسائط (الصوت) - تشغيل موسيقى، Annunciator، جسر مؤتمر البرمجيات (مفتوح بناءً على إشارات المكالمات) |
||
RTP/SRTP آمن |
UDP |
الهاتف |
Unified CM |
16384 إلى 32767 * |
16384 إلى 32767 * |
الوسائط (الصوت) - تشغيل موسيقى، Annunciator، جسر مؤتمر البرمجيات (مفتوح بناءً على إشارات المكالمات) |
||
كوبرا |
TCP |
العميل |
مكعبComment |
أكبر من 1023 |
20532 |
نسخة احتياطية واسترجاع مجموعة التطبيقات |
||
ICMP |
ICMP |
نقطة النهاية |
تطبيقات UC |
غير متاح |
غير متاح |
Ping |
||
ICMP |
ICMP |
تطبيقات UC |
نقطة النهاية |
غير متاح |
غير متاح |
Ping |
||
DNS | UDP وTCP |
أداة إعادة توجيه DNS |
خوادم DNS للمثيل المكرّس |
أكبر من 1023 |
53 |
وكلاء DNS لفرضية العميل إلى خوادم DNS المثيل المكرس. راجع متطلبات DNS للحصول على مزيد من المعلومات. |
||
* قد تستخدم بعض الحالات الخاصة نطاق أكبر. |
المثيل المكرّس - منافذ OTT
يمكن استخدام المنفذ التالي من قبل العملاء والشركاء لإعداد Mobile and Remote Access (MRA):
البروتوكول |
TCP/UCP |
المصدر |
الوجهة |
منفذ المصدر |
منفذ الوجهة |
الغرض |
---|---|---|---|---|---|---|
RTP/RTCP آمن |
UDP |
Expressway C |
العميل |
أكبر من 1023 |
36000-59999 |
وسائط آمنة لمكالمات MRA وB2B |
خط اتصال SIP بين العمليات التشغيلية بين المستأجر والممثيل المخصص (فقط للقناة المستندة إلى التسجيل)
يجب السماح بقائمة المنافذ التالية على جدار حماية العميل من أجل قناة SIP القائمة على التسجيل والتي تتصل بين المثيل المتعدد والمستأجر المكرّس.
البروتوكول |
TCP/UCP |
المصدر |
الوجهة |
منفذ المصدر |
منفذ الوجهة |
الغرض |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
مستأجر Webex Calling المتعدد |
العميل |
أكبر من 1023 |
8000-48198 |
الوسائط من Webex Calling المتعدد |
المثيل المكرّس - منافذ UCCX
يمكن استخدام قائمة المنافذ التالية من قبل العملاء والشركاء لتكوين UCCX.
البروتوكول |
TCP / UCP |
المصدر |
الوجهة |
منفذ المصدر |
منفذ الوجهة |
الغرض |
---|---|---|---|---|---|---|
SSH |
TCP |
العميل |
UCCX |
أكبر من 1023 |
22 |
SFTP وSSH |
معلومات |
TCP |
العميل أو الخادم |
UCCX |
أكبر من 1023 |
1504 |
منفذ قاعدة بيانات مركز الاتصال Express |
SIP |
UDP وTCP |
خادم SIP GW أو MCRP |
UCCX |
أكبر من 1023 |
5065 |
الاتصال بعقد GW و MCRP البعيدة |
XMPP |
TCP |
العميل |
UCCX |
أكبر من 1023 |
5223 |
اتصال XMPP الآمن بين خادم Finesse وتطبيقات الجهات الخارجية المخصصة |
أمراض القلب والأوعية الدموية |
TCP |
العميل |
UCCX |
أكبر من 1023 |
6999 |
المحرر إلى تطبيقات CCX |
HTTPS |
TCP |
العميل |
UCCX |
أكبر من 1023 |
7443 |
اتصال BOSH الآمن بين خادم Finesse وأسطح مكتب الوكيل والمشرف للاتصال عبر HTTPS |
HTTP |
TCP |
العميل |
UCCX |
أكبر من 1023 |
8080 |
عملاء الإبلاغ عن البيانات الحية يتصلون بخادم socket.IO |
HTTP |
TCP |
العميل |
UCCX |
أكبر من 1023 |
8081 |
مستعرض العميل يحاول الوصول إلى واجهة ويب Cisco Unified Intelligence Center |
HTTP |
TCP |
العميل |
UCCX |
أكبر من 1023 |
8443 |
واجهة مستخدم رسومية للمسؤول ، RTMT ، وصول DB عبر SOAP |
HTTPS |
TCP |
العميل |
UCCX |
أكبر من 1023 |
8444 |
واجهة ويب Cisco Unified Intelligence Center |
HTTPS |
TCP |
المتصفح وعملاء REST |
UCCX |
أكبر من 1023 |
8445 |
منفذ آمن لـ Finesse |
HTTPS |
TCP |
العميل |
UCCX |
أكبر من 1023 |
8447 |
HTTPS - مساعدة مركز الاستخبارات الموحد عبر الإنترنت |
HTTPS |
TCP |
العميل |
UCCX |
أكبر من 1023 |
8553 |
تصل مكونات تسجيل الدخول الفردي (SSO) إلى هذه الواجهة لمعرفة حالة تشغيل Cisco IdS. |
HTTP |
TCP |
العميل |
UCCX |
أكبر من 1023 |
9080 |
العملاء الذين يحاولون الوصول إلى مشغلات HTTP أو المستندات / المطالبات / grammars / البيانات الحية. |
HTTPS |
TCP |
العميل |
UCCX |
أكبر من 1023 |
9443 |
المنفذ الآمن المستخدم للرد على العملاء الذين يحاولون الوصول إلى مشغلات HTTPS |
TCP |
TCP |
العميل |
UCCX |
أكبر من 1023 |
12014 |
هذا هو المنفذ حيث يمكن لعملاء الإبلاغ عن البيانات الحية الاتصال بخادم socket.IO |
TCP |
TCP |
العميل |
UCCX |
أكبر من 1023 |
12015 |
هذا هو المنفذ حيث يمكن لعملاء الإبلاغ عن البيانات الحية الاتصال بخادم socket.IO |
CTI |
TCP |
العميل |
UCCX |
أكبر من 1023 |
12028 |
عميل CTI لجهة خارجية إلى CCX |
RTP( وسائط) |
TCP |
نقطة النهاية |
UCCX |
أكبر من 1023 |
أكبر من 1023 |
يتم فتح منفذ الوسائط بشكل ديناميكي حسب الحاجة |
RTP( وسائط) |
TCP |
العميل |
نقطة النهاية |
أكبر من 1023 |
أكبر من 1023 |
يتم فتح منفذ الوسائط بشكل ديناميكي حسب الحاجة |
أمان العميل
تأمين Jabber وWebex باستخدام SIP OAuth
تتم مصادقة عملاء Jabber وWebex من خلال رمز OAuth بدلاً من شهادة مهمة محليًا (LSC)، والتي لا تتطلب تمكين وظيفة وكيل جهة منح الشهادات (CAPF) (لـ MRA كذلك). تم تقديم SIP OAuth الذي يعمل مع أو بدون وضع مختلط في Cisco Unified CM 12.5(1) وJabber 12.5 وExpressway X12.5.
في Cisco Unified CM 12.5، لدينا خيار جديد في ملف تعريف أمان الهاتف الذي يتيح التشفير دون LSC/CAPF، باستخدام رمز أمان طبقة النقل (TLS) + OAuth في SIP REGISTER. تستخدم عُقد Expressway-C واجهة برمجة تطبيقات خدمة ويب XML (AXL) الإدارية لإبلاغ Cisco Unified CM عن SN/SAN في شهادتها. يستخدم Cisco Unified CM هذه المعلومات للتحقق من صحة شهادة EXP-C عند إنشاء اتصال TLS المتبادل.
يقوم SIP OAuth بتمكين تشفير الوسائط والإشارات دون شهادة نقطة نهاية (LSC).
يستخدم Cisco Jabber المنافذ المؤقتة والمنافذ الآمنة 6971 و6972 عبر اتصال HTTPS بخادم TFTP لتنزيل ملفات التكوين. المنفذ 6970 هو منفذ غير آمن للتنزيل عبر HTTP.
مزيد من التفاصيل حول تكوين SIP OAuth: وضع SIP OAuth.
متطلبات DNS
بالنسبة للمثيل المخصص، توفر Cisco FQDN للخدمة في كل منطقة بالتنسيق التالي <customer>.<region>.wxc-di.webex.com على سبيل المثال، xyz.amer.wxc-di.webex.com.
يتم توفير قيمة "العميل" من قبل المسؤول كجزء من معالج الإعداد لأول مرة (FTSW). لمزيد من المعلومات، ارجع إلى تنشيط خدمة المثيل المكرّس.
يجب أن تكون سجلات DNS الخاصة بـ FQDN قابلة للحل من خادم DNS الداخلي للعميل لدعم الأجهزة الداخلية التي تتصل بالمثيل المخصص. لتسهيل الدقة، يحتاج العميل إلى تكوين أداة إعادة توجيه مشروطة، لرقم FQDN هذا، على خادم DNS الخاص به يشير إلى خدمة DNS للمثيل المخصص. خدمة DNS المثيل المكرّس هي خدمة إقليمية ويمكن الوصول إليها، عبر النظير إلى المثيل المكرّس، باستخدام عناوين IP التالية كما هو مذكور في الجدول أدناه عنوان IP الخاص بخدمة المثيل المكرّس DNS.
المنطقة/العاصمة | عنوان IP لخدمة DNS للمثيل المكرّس |
مثال إعادة التوجيه الشرطي |
---|---|---|
AMER |
<customer>.amer.wxc.di.webex.com | |
SJC |
69.168.17.100 |
|
دبي - دبي |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc.di.webex.com |
|
لون |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
الاتحاد الأوروبي |
<customer>eu.wxc.di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc.di.webex.com |
|
خطيئة |
103-232-71-100 |
|
تاكي |
103-232-71-228 |
|
AUS |
<customer>.aus.wxc.di.webex.com | |
ميل |
178.215.128.100 |
|
SYD |
178.215.128.228 |
تم تعطيل خيار البينج لعناوين IP لخادم DNS المذكورة أعلاه لأسباب أمنية. |
حتى يتم وضع إعادة التوجيه المشروط، لن تتمكن الأجهزة من التسجيل في المثيل المخصص من الشبكة الداخلية للعملاء عبر روابط النظير. لا يلزم إعادة التوجيه الشرطي للتسجيل عبر الوصول عبر الأجهزة المحمولة والوصول عن بُعد (MRA)، حيث سيتم توفير جميع سجلات DNS الخارجية المطلوبة لتسهيل MRA بشكل مسبق بواسطة Cisco.
عند استخدام تطبيق Webex كعميل سهل للاتصال الخاص بك في المثيل المكرس، يجب تكوين ملف تعريف UC Manager في Control Hub لكل مجال خدمة صوتية (VSD) في المنطقة. للحصول على مزيد من المعلومات، ارجع إلى ملفات تعريف UC Manager في Cisco Webex Control Hub. سيكون تطبيق Webex قادرًا على حل Expressway Edge الخاص بالعميل تلقائيًا دون أي تدخل من المستخدم النهائي.
سيتم توفير مجال الخدمة الصوتية للعميل كجزء من مستند وصول الشريك بمجرد اكتمال تنشيط الخدمة. |
استخدام جهاز توجيه محلي لدقة DNS للهاتف
بالنسبة للهواتف التي لا تتمتع بإمكانية الوصول إلى خوادم DNS الخاصة بالشركة، من الممكن استخدام جهاز توجيه Cisco المحلي لإعادة توجيه طلبات DNS إلى DNS على السحابة الخاصة بالمثيل المكرس. يؤدي هذا إلى إزالة الحاجة إلى نشر خادم DNS محلي وتوفير دعم DNS الكامل بما في ذلك التخزين المؤقت.
مثال التكوين :
!
خادم IP DNS
خادم اسم ip <DI DNS خادم IP DC1> <DI DNS خادم IP DC2>
!
استخدام DNS في نموذج النشر هذا خاص بالهواتف ولا يمكن استخدامه إلا لحل FQDN باستخدام المجال من المثيل المخصص للعملاء. |
المراجع
-
تصاميم الشبكة المرجعية لحلول Cisco Collaboration 12.x (SRND)، موضوع الأمان: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
دليل أمان Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html