Мрежови изисквания за специализиран екземпляр

Webex Calling Dedicated Instance е част от портфолиото cisco Cloud Calling, захранвано от технологията за сътрудничество Cisco Unified Communications Manager (Cisco Unified CM). Специализиран Instance предлага гласови, видео, съобщения и решения за мобилност с функциите и ползите от Cisco IP телефони, мобилни устройства и настолни клиенти, които се свързват сигурно с посветения екземпляр.

Тази статия е предназначена за мрежови администратори, особено администратори на защитна стена и прокси защита, които искат да използват специализиран екземпляр в рамките на своята организация. Този документ се фокусира предимно върху мрежовите изисквания и защитата за решение "Специален екземпляр", включително слоестата подход към функциите и функционалността, които осигуряват защитен физически достъп, защитена мрежа, сигурни крайни точки и защитени приложения на Cisco UC.

Изисквания към сертификата за защитени връзки в специализиран екземпляр

За Webex Calling Специализиран екземпляр, Cisco ще предостави домейна и ще подпише всички сертификати за UC приложения с помощта на публичен сертификат орган (CA).

Специализиран екземпляр – Номера на портове и протоколи

Следващите таблици описва портовете и протоколите, които се поддържат в специализиран екземпляр. Портовете, които се използват за даден клиент, зависят от разполагането и решението на Клиента. Протоколите зависят от предпочитанието на клиента (SCCP срещу SIP), съществуващите локална устройства и какво ниво на сигурност, за да се определи кои портове да се използват при всяко разполагане.

Специализиран екземпляр – Клиентски портове

Наличните портове за клиенти - между клиента предпоставка и специализиран екземпляр е показан в Таблица 1 Специализиран екземпляр Клиентски портове. Всички портове, изброени по-долу, са за трафик на клиенти, които превъртат връстниците връзки.


SNMP порт се поддържа само за CER функционалност, а не за други инструменти за наблюдение на трети страни.

Таблица 1. Портове за клиенти на специализиран екземпляр

Протокол

TCP/UCP

Източник

Дестинация

Порт източник

Пристанище местоназначение

Предназначение

SSH

TCP

Клиент

UC приложения

По-голяма от 1023

22

Администриране

LDAP

TCP

UC приложения

Външна директория

По-голяма от 1023

389

Синхронизиране на директория с клиент LDAP

HTTPS

TCP

Браузер

UC приложения

По-голяма от 1023

443

Уеб достъп за самогрижи и административни интерфейси

LDAP (СИГУРНА)

TCP

UC приложения

Външна директория

По-голяма от 1023

636

Синхронизиране на директория с клиент LDAP

SCCP

TCP

Крайната точка

Унифициран CM, CUCxn

По-голяма от 1023

2000

Сигнализация на обажданията

SCCP

TCP

Unified CM

Унифициран CM, Шлюз

По-голяма от 1023

2000

Сигнализация на обажданията

SCCP (ЗАЩИТЕН)

TCP

Крайната точка

Унифициран CM, CUCxn

По-голяма от 1023

2443

Сигнализация на обажданията

SCCP (ЗАЩИТЕН)

TCP

Unified CM

Унифициран CM, Шлюз

По-голяма от 1023

2443

Сигнализация на обажданията

Проверка на доверието

TCP

Крайната точка

Unified CM

По-голяма от 1023

2445

Предоставяне на услуга за проверка на доверието на крайни точки

CTI

TCP

Крайната точка

Unified CM

По-голяма от 1023

2748

Връзка между CTI приложения (JTAPI/TSP) и CTIManager

Защитена CTI

TCP

Крайната точка

Unified CM

По-голяма от 1023

2749

Защитена връзка между CTI приложения (JTAPI/TSP) и CTIManager

Глобален каталог на LDAP

TCP

UC приложения

Външна директория

По-голяма от 1023

3268

Синхронизиране на директория с клиент LDAP

Глобален каталог на LDAP

TCP

UC приложения

Външна директория

По-голяма от 1023

3269

Синхронизиране на директория с клиент LDAP

УСЛУГА CAPF

TCP

Крайната точка

Unified CM

По-голяма от 1023

3804

Сертификат орган прокси функция (CAPF) слушане порт за издаване на локално значими сертификати (LSC) на IP телефони

SIP

TCP

Крайната точка

Унифициран CM, CUCxn

По-голяма от 1023

5060

Сигнализация на обажданията

SIP

TCP

Unified CM

Унифициран CM, Шлюз

По-голяма от 1023

5060

Сигнализация на обажданията

SIP (СИГУРЕН)

TCP

Крайната точка

Unified CM

По-голяма от 1023

5061

Сигнализация на обажданията

SIP (СИГУРЕН)

TCP

Unified CM

Унифициран CM, Шлюз

По-голяма от 1023

5061

Сигнализация на обажданията

SIP (OAUTH)

TCP

Крайната точка

Unified CM

По-голяма от 1023

5090

Сигнализация на обажданията

XMPP

TCP

Джабър Клиент

Cisco IM&P

По-голяма от 1023

5222

Незабавни съобщения и присъствие

HTTP

TCP

Крайната точка

Unified CM

По-голяма от 1023

6970

Изтегляне на конфигурация и изображения в крайни точки

HTTPS

TCP

Крайната точка

Unified CM

По-голяма от 1023

6971

Изтегляне на конфигурация и изображения в крайни точки

HTTPS

TCP

Крайната точка

Unified CM

По-голяма от 1023

6972

Изтегляне на конфигурация и изображения в крайни точки

HTTP

TCP

Джабър Клиент

CUCxn

По-голяма от 1023

7080

Известия за гласова поща

HTTPS

TCP

Джабър Клиент

CUCxn

По-голяма от 1023

7443

Защитени известия за гласова поща

HTTPS

TCP

Unified CM

Unified CM

По-голяма от 1023

7501

Използва се от интерклустър справочна услуга (ILS) за удостоверяване, базирано на сертификат

HTTPS

TCP

Unified CM

Unified CM

По-голяма от 1023

7502

Използва се от ILS за удостоверяване, базирано на парола

IMAP

TCP

Джабър Клиент

CUCxn

По-голяма от 1023

7993

IMAP през TLS

HTTPS

TCP

Браузър, Крайна точка

UC приложения

По-голяма от 1023

8443

Уеб достъп за самогрижи и административни интерфейси, UDS

HTTPS

TCP

Прем

Unified CM

По-голяма от 1023

9443

Удостоверено търсене на контакти

Защитена RTP/SRTP

UDP

Unified CM

Телефон

16384 до 32767 *

16384 до 32767 *

Медия (аудио) - Музика на изчакване, Анунциатор, Софтуерен конферентен мост (Отворен въз основа на сигнална сигнализация)

Защитена RTP/SRTP

UDP

Телефон

Unified CM

16384 до 32767 *

16384 до 32767 *

Медия (аудио) - Музика на изчакване, Анунциатор, Софтуерен конферентен мост (Отворен въз основа на сигнална сигнализация)

ICMP

ICMP

Крайната точка

UC приложения

n/a

n/a

Пинг

ICMP

ICMP

UC приложения

Крайната точка

n/a

n/a

Пинг

* Някои специални случаи могат да използват по-голям диапазон.

Специализиран екземпляр – OTT портове

Следният списък с портове може да се използва от клиентите и партньорите за настройка на Мобилни устройства и отдалечен достъп (MRA):

Таблица 2. Списък на пристанищата за OTT

Протокол

TCP/UCP

Източник

Дестинация

Порт източник

Пристанище местоназначение

Предназначение

СИГУРНА ГЛЪТКА

TCP

Крайната точка

Автомагистрала Е

По-голяма от 1023

5061

Сигурна SIP сигнализация За регистрация на MRA и повиквания

СИГУРНА ГЛЪТКА

TCP

Крайна точка/сървър

Автомагистрала Е

По-голяма от 1023

5062

Защитен SIP за B2B разговори

ЗАЩИТЕНА RTP/RTCP

UDP

Крайна точка/сървър

Автомагистрала Е

По-голяма от 1023

36000-59999

Сигурни медии за MRA и B2B разговори

HTTPS (ЗАЩИТЕН)

TLS

Клиент

Автомагистрала Е

По-голяма от 1023

8443

CUCM UDS и CUCxn ПОЧИВКА за MRA разговори

XMLS

TLS

Клиент

Автомагистрала Е

По-голяма от 1023

5222

IM и Присъствие

ОБЪРНА

UDP

ICE Клиент

Автомагистрала Е

По-голяма от 1023

3478

Преговори за ICE/STUN/TURN

ЗАЩИТЕНА RTP/RTCP

UPD

ICE Клиент

Автомагистрала Е

По-голяма от 1023

24000-29999

TURN носител за ICE отпадане

Специализиран екземпляр – UCCX портове

Следният списък с портове може да се използва от Клиенти и партньори за конфигуриране на UCCX.

Таблица 3. Cisco UCCX портове

Протокол

TCP / UCP

Източник

Дестинация

Порт източник

Пристанище местоназначение

Предназначение

SSH

TCP

Клиент

UCCX

По-голяма от 1023

22

SFTP и SSH

Информикс

TCP

Клиент или сървър

UCCX

По-голяма от 1023

1504

Унифициран CCX порт за база данни

SIP

UDP и TCP

SIP GW или MCRP сървър

UCCX

По-голяма от 1023

5065

Комуникация към отдалечените GW и MCRP възли

XMPP

TCP

Клиент

UCCX

По-голяма от 1023

5223

Защитена XMPP връзка между finesse сървъра и персонализирани приложения на трети страни

CVD

TCP

Клиент

UCCX

По-голяма от 1023

6999

Редактор на CCX приложения

HTTPS

TCP

Клиент

UCCX

По-голяма от 1023

7443

Защитена BOSH връзка между finesse сървъра и агент и надзорни настолни компютри за комуникация по HTTPS

HTTP

TCP

Клиент

UCCX

По-голяма от 1023

8080

Клиентите за отчитане на данни на живо се свързват с гнездо. IO сървър

HTTP

TCP

Клиент

UCCX

По-голяма от 1023

8081

Клиентски браузър, който се опитва да получи достъп до уеб интерфейса на Унифицирания разузнавателен център на Cisco

HTTP

TCP

Клиент

UCCX

По-голяма от 1023

8443

Администратор GUI, RTMT, DB достъп чрез SOAP

HTTPS

TCP

Клиент

UCCX

По-голяма от 1023

8444

Уеб интерфейс на Унифицирания разузнавателен център на Cisco

HTTPS

TCP

Браузър и REST клиенти

UCCX

По-голяма от 1023

8445

Охраняем порт за Финес

HTTPS

TCP

Клиент

UCCX

По-голяма от 1023

8447

HTTPS - Онлайн помощ за Унифициран разузнавателни център

HTTPS

TCP

Клиент

UCCX

По-голяма от 1023

8553

Единичен Sign-On (SSO) компоненти достъп до този интерфейс, за да се знае състоянието на работа на Cisco IDS.

HTTP

TCP

Клиент

UCCX

По-голяма от 1023

9080

Клиенти, които се опитват да получат достъп до HTTP тригери или документи / подкани / граматики / живи данни.

HTTPS

TCP

Клиент

UCCX

По-голяма от 1023

9443

Защитен порт, използван за отговор на клиенти, които се опитват да получат достъп до HTTPS задействания

TCP

TCP

Клиент

UCCX

По-голяма от 1023

12014

Това е портът, където клиентите за отчитане на данни на живо могат да се свържат с гнездо. IO сървър

TCP

TCP

Клиент

UCCX

По-голяма от 1023

12015

Това е портът, където клиентите за отчитане на данни на живо могат да се свържат с гнездо. IO сървър

CTI

TCP

Клиент

UCCX

По-голяма от 1023

12028

Трета страна CTI клиент към CCX

RTP(Носител)

TCP

Крайната точка

UCCX

По-голяма от 1023

По-голяма от 1023

Мултимедийният порт се отваря динамично при необходимост

RTP(Носител)

TCP

Клиент

Крайната точка

По-голяма от 1023

По-голяма от 1023

Мултимедийният порт се отваря динамично при необходимост

Защита на клиента

Осигуряване на Jabber и Webex с SIP OAuth

Jabber и Webex клиенти са удостоверени чрез маркер OAuth вместо локално значим сертификат (LSC), което не изисква сертификат орган прокси функция (CAPF) разрешаване (за MRA, както добре). SIP OAuth, работещ със или без смесен режим, е въведен в Cisco Unified CM 12.5(1), Jabber 12.5 и Expressway X12.5.

В Cisco Unified CM 12.5 имаме нова опция в Профил за защита на телефона, която позволява криптиране без LSC/CAPF, с помощта на един транспортен слой сигурност (TLS) + OAuth маркер в SIP РЕГИСТЪР. Възлите Expressway-C използват API на административната XML уеб услуга (AXL), за да информират Cisco Unified CM на SN/SAN в сертификата си. Cisco Unified CM използва тази информация за валидиране на Exp-C серт при установяване на взаимна TLS връзка.

SIP OAuth дава възможност за шифроване на мултимедия и сигнализация без сертификат за крайна точка (LSC).

Cisco Jabber използва ефимерни портове и защитени портове 6971 и 6972 портове чрез HTTPS връзка към TFTP сървъра за изтегляне на конфигурационните файлове. Порт 6970 е несигурен порт за изтегляне чрез HTTP.

Повече подробности за конфигурацията на SIP OAuth: SIP OAuth режим.

DNS изисквания

За специализиран екземпляр Cisco предоставя FQDN за услугата във всеки регион със следния формат <customer><region>. . wxc-di.webex.com например xyz.amer.wxc-di.webex.com.

Стойността "клиент" се предоставя от администратора като част от съветника за настройка за първи път (FTSW). За повече информация вижте Активиране на услугата за специализиран екземпляр.

DNS записи за този FQDN трябва да бъде разрешим от вътрешния DNS сървър на клиента, за да поддържате устройства на място, свързващи се към специализирания екземпляр. За да улесни разделителната способност, клиентът трябва да конфигурира условен спедитор, за този FQDN, на своя DNS сървър, сочещ към услугата за специализиран екземпляр DNS. Услугата за специализиран екземпляр DNS е регионална и може да се стигне, чрез връстването към специализиран екземпляр, като се използват следните IP адреси, както е споменато в таблицата по-долу специализиран екземпляр DNS услуга IP адрес.

Таблица 4. IP адрес на специализиран екземпляр DNS услуга

Регион/Постоянен ток

IP адрес на специализиран екземпляр DNS услуга

Условен спедиторски пример

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

ГРЯХ

103.232.71.288

Докато не се въведе условното препращане, устройствата няма да могат да се регистрират в Специализиран екземпляр от клиентите вътрешна мрежа чрез връстниците. Условно препращане не се изисква за регистрация чрез Mobile и Отдалечен достъп (MRA), тъй като всички необходими външни DNS записи за улесняване на MRA ще бъдат предварително предвидени от Cisco.

Когато използвате приложението Webex като вашия извикващ мек клиент на специализиран екземпляр, трябва да бъде конфигуриран профил на UC Manager в контролния център за домейна на гласовата услуга на всеки регион (VSD). За повече информация вижте профили на мениджър на UC в Cisco Webex контролен център. Приложението Webex ще може автоматично да разреши Expressway Edge на клиента без никаква намеса на крайния потребител.


Домейн за гласова услуга ще бъде предоставен на клиента като част от документа за достъп до партньора, след като активирането на услугата завърши.

Препратки