Мрежови изисквания за Специализиран екземпляр

Специализиран екземпляр използва многопластов подход за сигурност. Слоевете включват:

• Физически достъп

• Мрежа

• Крайни точки

• UC приложения

Следващите раздели описват слоевете на сигурност в Специализиран екземпляр разгръщания.

Физическа сигурност

Важно е да се осигури физическа сигурност на местата на Equinix Meet-Me Room и Cisco Специализиран екземпляр Съоръжения в центъра за данни. Когато физическата сигурност е компрометирана, могат да бъдат инициирани прости атаки като прекъсване на услугата чрез изключване на захранването на ключовете на клиента. С физически достъп нападателите могат да получат достъп до сървърни устройства, да нулират пароли и да получат достъп до комутатори. Физическият достъп също така улеснява по-сложни атаки, като например атаки човек в средата, поради което вторият слой на сигурността, мрежовата сигурност, е от решаващо значение.

Използват се самокриптиращи устройства Специализиран екземпляр Центрове за данни, които хостват UC приложения.

За повече информация относно общите практики за сигурност вижте документацията на следното място: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Мрежова сигурност

Партньорите трябва да гарантират, че всички мрежови елементи са защитени Специализиран екземпляр инфраструктура (която се свързва чрез Equinix). Отговорност на партньора е да гарантира най-добри практики за сигурност като:

• Отделна VLAN за глас и данни

• Активирайте защитата на порта, която ограничава броя на разрешените MAC адреси на порт срещу заливане на CAM таблица

• IP Source Guard срещу фалшиви IP адреси

• Dynamic ARP Inspection (DAI) проверява протокола за разрешаване на адреси (ARP) и безвъзмездния ARP (GARP) за нарушения (срещу ARP спуфинг)

• 802.1x ограничава мрежовия достъп за удостоверяване на устройства на присвоени VLAN (телефоните поддържат 802.1x )

• Конфигуриране на качество на услугата (QoS) за подходящо маркиране на гласови пакети

• Конфигурации на портове на защитната стена за блокиране на всеки друг трафик

Сигурност на крайните точки

Крайните точки на Cisco поддържат функции за защита по подразбиране, като подписан фърмуер, сигурно зареждане (избрани модели), инсталиран сертификат от производителя (MIC) и подписани конфигурационни файлове, които осигуряват определено ниво на сигурност за крайните точки.

В допълнение, партньор или клиент може да активира допълнителна сигурност, като например:

• Шифроване на IP телефон услуги (чрез HTTPS) за услуги като Мобилност на вътрешни номера

• Издаване на локално значими сертификати (LSC) от прокси функция на органа за сертификати (CAPF) или публичен сертифициращ орган (CA)

• Шифроване на конфигурационни файлове

• Шифроване на медии и сигнализация

• Деактивирайте тези настройки, ако не се използват: компютърен порт, компютър гласов VLAN достъп, безплатен ARP, интернет достъп, бутон за настройки, SSH, конзола

Внедряване на механизми за сигурност в Специализиран екземпляр предотвратява кражба на самоличност на телефоните и сървър в Unified CM, подправяне на данни и подправяне на сигнали за повиквания/медиен поток.

Специализиран екземпляр през мрежата:

• Създава и поддържа удостоверени комуникационни потоци

• Подписва цифрово файлове, преди да прехвърлите файла в телефона

• Криптира медийни потоци и сигнализиране на повиквания между Cisco Unified IP телефони

Настройка на сигурността по подразбиране

Защитата по подразбиране предоставя следните автоматични функции за защита за Cisco Unified IP телефони:

• Подписване на конфигурация на телефона

• Поддръжка за криптиране на конфигурация на телефона

• HTTPS с Tomcat и други интернет услуги (MIDlets)

За Unified CM Release 8.0 по-късно тези функции за защита се предоставят по подразбиране, без да се изпълнява клиентът за доверителен списък на сертификати (CTL).

Услуга за проверка на доверие

Тъй като има голям брой телефони в мрежата и IP телефоните имат ограничена памет, Cisco Unified CM действа като отдалечено хранилище за доверие чрез услугата за проверка на доверието (TVS), така че не е необходимо да се поставя хранилище за доверие на сертификати на всеки телефон. IP телефоните на Cisco се свързват със сървъра на TVS за проверка, тъй като не могат да проверят подпис или сертификат чрез CTL или ITL файлове. Наличието на централен хранилище за доверие е по-лесно за управление, отколкото съхраняване на доверие на всеки Cisco Unified IP телефон.

TVS позволява на Cisco Unified IP телефони да удостоверяват сървъри на приложения, като EM услуги, директория и MIDlet, по време на установяване на HTTPS.

Първоначално надежден списък

Файлът Initial Trust List (ITL) се използва за първоначална защита, така че крайните точки да могат да се доверяват на Cisco Unified CM. ITL не се нуждае от никакви защитни функции, за да бъдат изрично активирани. ITL файлът се създава автоматично, когато клъстерът е инсталиран. Частният ключ на сървъра на Unified CM Trivial File Transfer Protocol (TFTP) се използва за подписване на ITL файла.

Когато Cisco Unified CM клъстер или сървър е в защитен режим, ITL файлът се изтегля на всеки поддържан Cisco IP телефон. Партньорът може да види съдържанието на ITL файл с помощта на команда от командния ред, admin:show itl.

IP телефоните на Cisco се нуждаят от ITL файла, за да изпълняват следните задачи:

• Комуникирайте сигурно с CAPF, предпоставка за поддържане на криптиране на конфигурационен файл

• Удостоверете подписа на конфигурационен файл

• Удостоверяване на сървъри на приложения, като EM услуги, директория и MIDlet по време на установяване на HTTPS с помощта на TVS

Cisco CTL

Удостоверяването на устройство, файл и сигнализация разчитат на създаването на файла със списъка за доверие на сертификати (CTL), който се създава, когато партньорът или клиентът инсталира и конфигурира клиента Cisco Certificate Trust List.

CTL файл съдържа записи за следните сървъри или токени за сигурност:

• Токен за сигурност на системния администратор (SAST)

• Услугите на Cisco CallManager и Cisco TFTP , които се изпълняват на един и същ сървър

• Прокси функция на орган за сертификати (CAPF)

• TFTP сървър(и)

• Защитна стена ASA

CTL файл съдържа сертификат на сървъра, публичен ключ, сериен номер, подпис, име на издател, име на тема, функция на сървъра, DNS име и IP адрес за всеки сървър.

Защитата на телефона с CTL предоставя следните функции:

• Удостоверяване на изтеглени от TFTP файлове (конфигурация, локал, списък на звънене и т.н.) с помощта на ключ за подпис

• Шифроване на TFTP конфигурационни файлове с помощта на ключ за подписване

• Шифрована сигнализация за повиквания за IP телефони

• Шифровано аудио за разговори (медия) за IP телефони

Защита за IP телефони Cisco в Специализиран екземпляр

Специализиран екземпляр осигурява регистрация на крайна точка и обработка на повиквания. Сигнализирането между Cisco Unified CM и крайните точки се основава на SCCP (SCCP) или Session Initiation Protocol (SIP) и може да бъде криптиран с помощта на Защита на транспортния слой (TLS). Медиите от/към крайните точки се базират на транспортен протокол в реално време (RTP) и могат да бъдат криптирани с помощта на защитен RTP (SRTP).

Активирането на смесен режим на Unified CM позволява криптиране на сигналния и трафик на мултимедия от и към крайните точки на Cisco .

Защитени UC приложения

Активиране на смесен режим в Специализиран екземпляр

Смесеният режим е активирано по подразбиране в Специализиран екземпляр .

Активиране на смесен режим в Специализиран екземпляр дава възможност за извършване на криптиране на сигналния и трафик на мултимедия от и към крайните точки на Cisco .

В Cisco Unified CM версия 12.5(1) беше добавена нова опция за активиране на криптиране на сигнализация и медии на базата на SIP OAuth вместо смесен режим / CTL за клиенти на Jabber и Webex . Следователно, в Unified CM версия 12.5(1), SIP OAuth и SRTP могат да се използват за активиране на криптиране за сигнализиране и медия за клиенти на Jabber или Webex . Активирането на смесен режим продължава да се изисква за IP телефони на Cisco и други крайни точки на Cisco понастоящем. Има план за добавяне на поддръжка за SIP OAuth в крайни точки 7800/8800 в бъдеща версия.

Сигурност на гласовите съобщения

Cisco Unity Connection се свързва с Unified CM през TLS порта. Когато режимът на защита на устройството не е защитен, Cisco Unity Connection се свързва с Unified CM през SCCP порта.

За да конфигурирате сигурността за портове за гласови съобщения на Unified CM и устройства на Cisco Unity , които работят с SCCP или устройства Cisco Unity Connection , които изпълняват SCCP, партньорът може да избере защитен режим на защита на устройството за порта. Ако изберете удостоверен порт за гласова поща, се отваря TLS връзка, която удостоверява устройствата чрез взаимен обмен на сертификати (всяко устройство приема сертификата на другото устройство). Ако изберете шифрован порт за гласова поща, системата първо удостоверява устройствата и след това изпраща криптирани гласови потоци между устройствата.

За повече информация относно портовете за защита на гласови съобщения вижте: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Шлюзът с активиран Cisco Unified Survivable Remote Site Telephony (SRST) предоставя ограничени задачи за обработка на повиквания, ако Cisco Unified CM е включен Специализиран екземпляр не може да завърши обаждането.

Защитените шлюзове с активиран SRST съдържат самоподписан сертификат. След като партньор изпълнява задачи за конфигуриране на SRST в администриране на Unified CM, Unified CM използва TLS връзка за удостоверяване с услугата на доставчика на сертификати в Разрешен шлюз SRST. След това Unified CM извлича сертификата от Разрешен шлюз SRST и добавя сертификата към Unified CM база данни.

След като партньорът нулира зависимите устройства в администриране на Unified CM, TFTP сървърът добавя сертификата за Разрешен шлюз SRST към файла cnf.xml на телефона и изпраща файла до телефона. След това защитен телефон използва TLS връзка, за да взаимодейства с Разрешен шлюз SRST.

Препоръчително е да имате защитени магистрали за повикването, произхождащо от Cisco Unified CM към шлюза за изходящи PSTN повиквания или преминаване през Cisco Unified Border Element (CUBE).

SIP каналите могат да поддържат защитени повиквания както за сигнализиране, така и за медии; TLS осигурява криптиране на сигнализация, а SRTP осигурява медийно криптиране.

Осигуряване на комуникации между Cisco Unified CM и CUBE

За сигурна комуникация между Cisco Unified CM и CUBE, партньорите/клиентите трябва да използват или самоподписан сертификат, или сертификат, подписан от CA.

За самоподписани сертификати:

1. CUBE и Cisco Unified CM генерират самоподписани сертификати

2. CUBE експортира сертификат към Cisco Unified CM

3. Cisco Unified CM експортира сертификат към CUBE

За сертификати, подписани от CA:

1. Клиентът генерира двойка ключове и изпраща заявка за подписване на сертификат (CSR) до орган за сертификати (CA)

2. CA го подписва със своя частен ключ, създавайки сертификат за самоличност

3. Клиентът инсталира списъка с доверени CA коренни и междинни сертификати и сертификата за самоличност

С крайните точки за мобилен и Remote Access (MRA), сигнализацията и медиите винаги са криптирани между крайните точки на MRA и възлите на Expressway. Ако протоколът за установяване на интерактивно свързване (ICE) се използва за крайни точки на MRA, се изисква сигнализиране и медийно криптиране на крайните точки на MRA. Въпреки това, криптирането на сигнализацията и медиите между Expressway-C и вътрешните Unified CM сървъри, вътрешни крайни точки или други вътрешни устройства изисква смесен режим или SIP OAuth.

Cisco Expressway осигурява защитено преминаване през защитна стена и поддръжка от страната на линията за Unified CM регистрации. Unified CM осигурява контрол на повикванията както за мобилни, така и в помещението крайни точки. Сигнализирането преминава през решението на Expressway между отдалечената крайна точка и Unified CM. Медиите преминават през решението на Expressway и се предават директно между крайните точки. Всички медии са криптирани между Expressway-C и мобилната крайна точка.

Всяко MRA решение изисква Expressway и Unified CM, с MRA-съвместими меки клиенти и/или фиксирани крайни точки. Решението може по избор да включва услугата IM и услуга за присъствие и Unity Connection.

Резюме на протокола

Следващата таблица показва протоколите и свързаните услуги, използвани в решението Unified CM .

Таблица 1. Протоколи и свързани услуги

Протокол	Защита	Услуга
SIP	TLS	Създаване на сесия: Регистрирайте се, поканете и т.н.
HTTPS	TLS	Влизане, осигуряване/конфигуриране, директория, визуална гласова поща
Мултимедия	SRTP	Медия: Аудио, видео, споделяне на съдържание
XMPP	TLS	Незабавни съобщения, присъствие, федерация

За повече информация относно конфигурацията на MRA вижте: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

В Специализиран екземпляр предоставя на Partner гъвкавост за персонализиране на услугите за крайните потребители чрез пълен контрол върху конфигурациите от втория ден. В резултат на това Партньорът е единствено отговорен за правилното конфигуриране на Специализиран екземпляр услуга за средата на крайния потребител. Това включва, но не само:

• Избор на сигурни/незащитени повиквания, защитени/несигурни протоколи като SIP/sSIP, http/https и т.н. и разбиране на всички свързани рискове.

• За всички MAC адреси, които не са конфигурирани като защитени- SIP вход Специализиран екземпляр , нападателят може да изпрати съобщение за SIP регистър, използвайки този MAC адрес и да може да извършва SIP повиквания, което води до измами с пътни такси. Предпоставката е, че нападателят може да регистрира своето SIP устройство/софтуер Специализиран екземпляр без разрешение, ако знаят MAC адрес на устройство, регистрирано в Специализиран екземпляр .

• Правилата за обаждания на Expressway-E, правилата за трансформиране и търсене трябва да бъдат конфигурирани, за да се предотвратят измами с пътни такси. За повече информация относно предотвратяването на измами с пътни такси при използване на скоростни пътища вижте раздел Сигурност за скоростна магистрала C и скоростна магистрала-E на Сътрудничество SRND .

• Конфигурация на плана за набиране, за да се гарантира, че потребителите могат да набират само дестинации, които са разрешени, напр. забрана на национално/международно набиране, спешните повиквания се пренасочват правилно и т.н. За повече информация относно прилагането на ограничения чрез план за набиране вижте План за набиране раздел на Collaboration SRND.

За специален екземпляр Cisco ще предостави домейна и ще подпише всички сертификати за UC приложенията, използвайки публичен орган за сертификати (CA).

Следващите таблици описват портовете и протоколите, които се поддържат в Специализиран екземпляр. Портовете, които се използват за даден клиент, зависят от внедряването и решението на Клиента. Протоколите зависят от предпочитанията на клиента (SCCP срещу SIP), съществуващите в помещението устройства и какво ниво на сигурност, за да се определи кои портове да се използват при всяко внедряване.

Специализираният екземпляр не позволява преобразуване на мрежови адреси (NAT) между крайни точки и Unified CM , тъй като някои от функциите на потока на повикванията няма да работят, например функция по време на повикване.

Специализиран екземпляр – клиентски портове

Портовете, достъпни за клиентите - между в помещението клиент и Специализирания инстанция, са показани в Таблица 1 Специализирани потребителски портове на екземпляра . Всички изброени по-долу портове са за клиентски трафик, преминаващ през връзките за пиринг.

SNMP портът е отворен по подразбиране само за Cisco Emergency Responder , за да поддържа неговата функционалност. Тъй като не поддържаме партньори или клиенти, наблюдаващи UC приложенията, разгърнати в облака за Специализирани инстанции, ние не позволяваме отваряне на SNMP порт за други UC приложения.

Портовете в диапазона от 5063 до 5080 са запазени от Cisco за други облачни интеграции, препоръчва се на администраторите на партньори или клиенти да не използват тези портове в техните конфигурации.

Таблица 2. Специализиран екземпляр Клиентски портове

Протокол	TCP/UDP	Източник	Дестинация	Порт източник	Целеви порт	Предназначение
SSH	TCP	Клиент	UC приложения	По-голямо от 1023	22	Администриране
TFTP	UDP	Крайна точка	Unified CM	По-голямо от 1023	69	Поддръжка на наследени крайни точки
LDAP	TCP	UC приложения	Външен указател	По-голямо от 1023	389	Синхронизиране на директория с LDAP на клиента
HTTPS	TCP	Браузър	UC приложения	По-голямо от 1023	443	интернет достъп за самообслужване и административни интерфейси
Изходяща поща (СИГУРНА)	TCP	Приложение на UC	CUCxn	По-голямо от 1023	587	Използва се за съставяне и изпращане на защитени съобщения до всички определени получатели
LDAP (СИГУРЕН)	TCP	UC приложения	Външен указател	По-голямо от 1023	636	Синхронизиране на директория с LDAP на клиента
H323	TCP	Портал	Unified CM	По-голямо от 1023	1720 г	Сигнализация за повикване
H323	TCP	Unified CM	Unified CM	По-голямо от 1023	1720 г	Сигнализация за повикване
SCCP	TCP	Крайна точка	Unified CM, CUCxn	По-голямо от 1023	2000 г	Сигнализация за повикване
SCCP	TCP	Unified CM	Unified CM, Gateway	По-голямо от 1023	2000 г	Сигнализация за повикване
MGCP	UDP	Портал	Портал	По-голямо от 1023	2427	Сигнализация за повикване
MGCP Blackhaul	TCP	Портал	Unified CM	По-голямо от 1023	2428	Сигнализация за повикване
SCCP (СИГУРЕН)	TCP	Крайна точка	Unified CM, CUCxn	По-голямо от 1023	2443	Сигнализация за повикване
SCCP (СИГУРЕН)	TCP	Unified CM	Unified CM, Gateway	По-голямо от 1023	2443	Сигнализация за повикване
Проверка на доверието	TCP	Крайна точка	Unified CM	По-голямо от 1023	2445	Предоставяне на услуга за проверка на доверие на крайни точки
CTI	TCP	Крайна точка	Unified CM	По-голямо от 1023	2748	Връзка между CTI приложения (JTAPI/TSP) и CTIManager
Сигурен CTI	TCP	Крайна точка	Unified CM	По-голямо от 1023	2749	Сигурна връзка между CTI приложения (JTAPI/TSP) и CTIManager
Глобален каталог на LDAP	TCP	UC приложения	Външен указател	По-голямо от 1023	3268	Синхронизиране на директория с LDAP на клиента
Глобален каталог на LDAP	TCP	UC приложения	Външен указател	По-голямо от 1023	3269	Синхронизиране на директория с LDAP на клиента
CAPF услуга	TCP	Крайна точка	Unified CM	По-голямо от 1023	3804	Прокси функция на орган за сертификати (CAPF) порт за слушане за издаване на локално значими сертификати (LSC) към IP телефони
SIP	TCP	Крайна точка	Unified CM, CUCxn	По-голямо от 1023	5060	Сигнализация за повикване
SIP	TCP	Unified CM	Unified CM, Gateway	По-голямо от 1023	5060	Сигнализация за повикване
SIP (СИГУРНО)	TCP	Крайна точка	Unified CM	По-голямо от 1023	5061	Сигнализация за повикване
SIP (СИГУРНО)	TCP	Unified CM	Unified CM, Gateway	По-голямо от 1023	5061	Сигнализация за повикване
SIP (OAUTH)	TCP	Крайна точка	Unified CM	По-голямо от 1023	5090	Сигнализация за повикване
XMPP	TCP	Jabber клиент	Cisco IM&P	По-голямо от 1023	5222	Незабавни съобщения и присъствие
HTTP	TCP	Крайна точка	Unified CM	По-голямо от 1023	6970	Изтегляне на конфигурация и изображения до крайни точки
HTTPS	TCP	Крайна точка	Unified CM	По-голямо от 1023	6971	Изтегляне на конфигурация и изображения до крайни точки
HTTPS	TCP	Крайна точка	Unified CM	По-голямо от 1023	6972	Изтегляне на конфигурация и изображения до крайни точки
HTTP	TCP	Jabber клиент	CUCxn	По-голямо от 1023	7080	Известия за гласова поща
HTTPS	TCP	Jabber клиент	CUCxn	По-голямо от 1023	7443	Сигурни известия за гласова поща
HTTPS	TCP	Unified CM	Unified CM	По-голямо от 1023	7501	Използва се от услуга за междуклъстерно търсене (ILS) за удостоверяване, базирано на сертификати
HTTPS	TCP	Unified CM	Unified CM	По-голямо от 1023	7502	Използва се от ILS за удостоверяване, базирано на парола
IMAP	TCP	Jabber клиент	CUCxn	По-голямо от 1023	7993	IMAP през TLS
HTTP	TCP	Крайна точка	Unified CM	По-голямо от 1023	8080	URI на директория за поддръжка на наследени крайни точки
HTTPS	TCP	Браузър, крайна точка	UC приложения	По-голямо от 1023	8443	интернет достъп за самообслужване и административни интерфейси, UDS
HTTPS	TCP	Телефон	Unified CM	По-голямо от 1023	9443	Търсене на удостоверен контакт
HTTPs	TCP	Крайна точка	Unified CM	По-голямо от 1023	9444	Функция за управление на слушалки
Сигурен RTP/ SRTP	UDP	Unified CM	Телефон	16384 до 32767 *	16384 до 32767 *	Медия (аудио) - Музика при задържане, сигнализатор, софтуерен конферентен мост (отворен въз основа на сигнализиране на повикване)
Сигурен RTP/ SRTP	UDP	Телефон	Unified CM	16384 до 32767 *	16384 до 32767 *	Медия (аудио) - Музика при задържане, сигнализатор, софтуерен конферентен мост (отворен въз основа на сигнализиране на повикване)
КОБРИ	TCP	Клиент	CUCxn	По-голямо от 1023	20532	Пакет приложения за архивиране и възстановяване
ICMP	ICMP	Крайна точка	UC приложения	няма	няма	Ping
ICMP	ICMP	UC приложения	Крайна точка	няма	няма	Ping
* Някои специални случаи може да използват по-голям обхват.

Специализиран екземпляр – OTT портове

Следният порт може да се използва от клиенти и партньори за настройка на мобилен и Remote Access (MRA):

Таблица 3. Порт за OTT

Протокол	TCP/UCP	Източник	Дестинация	Порт източник	Целеви порт	Предназначение
СИГУРЕН RTP/ RTCP	UDP	Автомагистрала C	Клиент	По-голямо от 1023	36000-59999	Сигурна медия за MRA и B2B разговори

Inter-op външна линия SIP между Multi-tenant и Dedicated Instance (само за trunk, базиран на регистрация)

Следният списък с портове трябва да бъде разрешен на защитната стена на клиента за базираната на регистрация външна линия SIP, свързваща се между Multi-tenant и Специализирания инстанция.

Таблица 4. Порт за базирани на регистрация транкове

Протокол	TCP/UCP	Източник	Дестинация	Порт източник	Целеви порт	Предназначение
RTP/ RTCP	UDP	Webex Calling Multi-Tentant	Клиент	По-голямо от 1023	8000-48198	Медия от Webex Calling Multi-tenant

Специализиран екземпляр – UCCX портове

Следният списък с портове може да се използва от клиенти и партньори за конфигуриране на UCCX.

Таблица 5. Cisco UCCX портове

Протокол	TCP / UCP	Източник	Дестинация	Порт източник	Целеви порт	Предназначение
SSH	TCP	Клиент	UCCX	По-голямо от 1023	22	SFTP и SSH
Informix	TCP	Клиент или сървър	UCCX	По-голямо от 1023	1504 г	Порт за Unified CCX
SIP	UDP и TCP	SIP GW или MCRP сървър	UCCX	По-голямо от 1023	5065	Комуникация към отдалечени GW и MCRP възли
XMPP	TCP	Клиент	UCCX	По-голямо от 1023	5223	Сигурна XMPP връзка между сървъра на Finesse и персонализирани приложения на трети страни
ССЗ	TCP	Клиент	UCCX	По-голямо от 1023	6999	Редактор към CCX приложения
HTTPS	TCP	Клиент	UCCX	По-голямо от 1023	7443	Сигурна BOSH връзка между сървъра на Finesse и настолните компютри на агенти и надзорници за комуникация през HTTPS
HTTP	TCP	Клиент	UCCX	По-голямо от 1023	8080	Клиентите за отчитане на данни на живо се свързват със сървъра socket.IO
HTTP	TCP	Клиент	UCCX	По-голямо от 1023	8081	Клиентски браузър, който се опитва да получи достъп до уеб интерфейс на Cisco Unified Intelligence Center
HTTP	TCP	Клиент	UCCX	По-голямо от 1023	8443	Администраторски GUI, RTCP, DB достъп чрез SOAP
HTTPS	TCP	Клиент	UCCX	По-голямо от 1023	8444	уеб интерфейс на Cisco Unified Intelligence Center
HTTPS	TCP	Браузър и REST клиенти	UCCX	По-голямо от 1023	8445	Сигурен порт за Finesse
HTTPS	TCP	Клиент	UCCX	По-голямо от 1023	8447	HTTPS – онлайн помощ за Unified Intelligence Center
HTTPS	TCP	Клиент	UCCX	По-голямо от 1023	8553	Компонентите за единичен вход (SSO) имат достъп до този интерфейс, за да знаят работния статус на Cisco IdS.
HTTP	TCP	Клиент	UCCX	По-голямо от 1023	9080	Клиенти, които се опитват да осъществят достъп до HTTP тригери или документи/подкани/граматики/ действителни данни.
HTTPS	TCP	Клиент	UCCX	По-голямо от 1023	9443	Сигурен порт, използван за отговор на клиенти, опитващи се да получат достъп до HTTPS тригери
TCP	TCP	Клиент	UCCX	По-голямо от 1023	12014 г	Това е портът, където клиентите за отчитане на данни на живо могат да се свързват със сървъра socket.IO
TCP	TCP	Клиент	UCCX	По-голямо от 1023	12015 г	Това е портът, където клиентите за отчитане на данни на живо могат да се свързват със сървъра socket.IO
CTI	TCP	Клиент	UCCX	По-голямо от 1023	12028	CTI клиент на трета страна към CCX
RTP(медия)	TCP	Крайна точка	UCCX	По-голямо от 1023	По-голямо от 1023	Медийният порт се отваря динамично според нуждите
RTP(медия)	TCP	Клиент	Крайна точка	По-голямо от 1023	По-голямо от 1023	Медийният порт се отваря динамично според нуждите

Осигуряване на Jabber и Webex със SIP OAuth

Клиентите на Jabber и Webex се удостоверяват чрез токен OAuth вместо местно приложим сертификат (LSC), който не изисква активиране на прокси функция на органа за сертификати (CAPF) (и за MRA). SIP OAuth, работещ със или без смесен режим, беше въведен в Cisco Unified CM 12.5(1), Jabber 12.5 и Expressway X12.5.

В Cisco Unified CM 12.5 имаме нова опция в профила за защита на телефона, която позволява криптиране без LSC/ CAPF, като се използва защита на единичен Защита на транспортния слой (TLS) + OAuth токен в SIP REGISTER. Възлите на Expressway-C използват API за административна XML интернет услуга (AXL ), за да информират Cisco Unified CM за SN/SAN в техния сертификат. Cisco Unified CM използва тази информация, за да потвърди сертификата Exp-C при установяване на взаимна TLS връзка.

SIP OAuth позволява криптиране на медии и сигнализация без сертификат за крайна точка (LSC).

Cisco Jabber използва ефимерни портове и защитени портове 6971 и 6972 портове чрез HTTPS връзка към TFTP сървъра, за да изтегли конфигурационните файлове. Порт 6970 е незащитен порт за изтегляне чрез HTTP.

Повече подробности за конфигурацията на SIP OAuth: SIP OAuth режим .

За специален екземпляр Cisco предоставя FQDN за услугата във всеки регион със следния формат<customer> .<region> .wxc-di.webex.com например xyz.amer.wxc-di.webex.com .

Стойността „клиент“ се предоставя от администратора като част от Помощник за първоначална настройка (FTSW). За повече информация вижте Активиране на специална услуга за инстанция .

DNS записите за това FQDN трябва да могат да бъдат разрешени от вътрешния DNS сървър на клиента, за да поддържат локални устройства, свързващи се към Специализирания екземпляр. За да се улесни разрешаването, клиентът трябва да конфигурира условен пренасочващ за това FQDN на своя DNS сървър , насочващ към услугата DNS за Специализиран екземпляр. DNS услугата за Специализиран екземпляр е регионална и може да бъде достигната чрез пиринг към Специализиран инстанция, като се използват следните IP адреси, както е посочено в таблицата по-долу IP адрес на DNS услугата за специален инстанция .

Таблица 6. IP адрес на DNS услугата за специален инстанция

Регион/DC	IP адрес на DNS услугата за специален инстанция	Пример за условно препращане
AMER		<customer>.amer.wxc-di.webex.com
ВСС	69.168.17.100
DFW	69.168.17.228
EMEA		<customer>.emea.wxc-di.webex.com
LON	178.215.138.100
AMS	178.215.138.228
ЕС		<customer>.eu.wxc-di.webex.com
FRA	178.215.131.100
AMS	178.215.131.228
APAC		<customer>.apjc.wxc-di.webex.com
ГРЕХ	103.232.71.100
TKY	103.232.71.228
AUS		<customer>.aus.wxc-di.webex.com
MEL	178.215.128.100
SYD	178.215.128.228

Опцията ping е деактивирана за гореспоменатите IP адреси на DNS сървър от съображения за сигурност.

Докато условното пренасочване не е на място, устройствата няма да могат да се регистрират в Специализирания екземпляр от вътрешната мрежа на клиента чрез връзките за пиринг. Условно препращане не се изисква за регистрация чрез мобилен и Remote Access (MRA), тъй като всички необходими външни DNS записи за улесняване на MRA ще бъдат предварително предоставени от Cisco.

Когато използвате приложението Webex като ваш софтуерен клиент за повикване на Специализиран екземпляр, профилът на UC Manager трябва да бъде конфигуриран в Control Hub за домейна на гласовата услуга (VSD) на всеки регион. За повече информация вижте Профили на UC Manager в Cisco Webex Control Hub . Приложението Webex ще може автоматично да разреши Expressway Edge на клиента без намеса на краен потребител .

Домейнът за гласова услуга ще бъде предоставен на клиента като част от документа за достъп до партньора, след като активирането на услугата приключи.