Мрежови изисквания за специализиран екземпляр

Webex Calling Dedicated Instance е част от портфолиото cisco Cloud Calling, захранвано от технологията за сътрудничество Cisco Unified Communications Manager (Cisco Unified CM). Специализиран Instance предлага гласови, видео, съобщения и решения за мобилност с функциите и ползите от Cisco IP телефони, мобилни устройства и настолни клиенти, които се свързват сигурно с посветения екземпляр.

Тази статия е предназначена за мрежови администратори, особено администратори на защитна стена и прокси защита, които искат да използват специализиран екземпляр в рамките на своята организация. Този документ се фокусира предимно върху мрежовите изисквания и защитата за решение "Специален екземпляр", включително слоестата подход към функциите и функционалността, които осигуряват защитен физически достъп, защитена мрежа, сигурни крайни точки и защитени приложения на Cisco UC.

Общ преглед на защитата: Сигурност в слоеве

Специализиран екземпляр използва напластен подход за защита. Слоевете включват:

  • Физически достъп

  • Мрежа

  • Крайни точки

  • UC приложения

Следващите раздели описват слоевете на сигурността в разгръщания на специализиран екземпляр .

Физическа сигурност

Важно е да осигурите физическа сигурност на местата на Equinix Meet-Me Room и съоръженията на Cisco Dedicated Instance Data Center. Когато физическата защита е компрометирана, могат да се инициират прости атаки като прекъсване на услугата чрез изключване на захранването към превключвателите на клиента. С физически достъп нападателите биха могли да получат достъп до сървърни устройства, да нулират паролите и да получат достъп до превключватели. Физическият достъп също така улеснява по-изтънчените атаки като атаки "човек по средата", поради което вторият слой за сигурност , мрежовата сигурност, е критичен.

Самошифроващи устройства се използват в центрове за данни за специализиран екземпляр , които хостват UC приложения.

За повече информация относно общите практики за сигурност вижте документацията на следното място: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Мрежова защита

Партньорите трябва да гарантират, че всички мрежови елементи са обезпечени в инфраструктурата на Специализиран екземпляр (която се свързва чрез Equinix). Отговорност на партньора е да гарантира най-добрите практики за сигурност като:

  • Отделен VLAN за глас и данни

  • Разрешаване на защитата на портове, която ограничава броя на MAC адресите, разрешени на порт, срещу НАВОДНЯВАНЕ НА CAM таблица

  • IP източник Guard срещу подправен IP адреси

  • Динамичната ARP инспекция (DAI) разглежда протокола за решаване на адреси (ARP) и безпристоен ARP (GARP) за нарушения (срещу Подправяне на ARP)

  • 802.1x ограничава мрежовия достъп до удостоверителни устройства на присвоени VLANs (телефоните наистина поддържат 802.1x)

  • Конфигурация на качеството на услугата (QoS) за подходящо маркиране на гласови пакети

  • Конфигурации на портовете на защитната стена за блокиране на всеки друг трафик

Защита на крайни точки

Cisco крайни точки поддържат функции по подразбиране за защита като подписан фърмуер, защитено зареждане (избрани модели), производител инсталиран сертификат (MIC), и подписани конфигурационни файлове, които осигуряват определено ниво на защита за крайни точки.

Освен това партньор или клиент може да разреши допълнителна защита, като например:

  • Криптиране на IP телефонни услуги (чрез HTTPS) за услуги като Мобилност с разширение

  • Издаване на локално значими сертификати (LSCs) от функцията за пълномощни на сертифициращия орган (CAPF) или орган за публичен сертификат (CA)

  • Шифроване на конфигурационните файлове

  • Криптиране на носител и сигнализация

  • Деактивирайте тези настройки, ако не се използват: PC порт, PC глас VLAN достъп, безполезен ARP, уеб достъп, бутон настройки, SSH, конзола

Внедряването на механизми за сигурност в специализирания екземпляр предотвратява кражба на самоличност на телефоните и сървъра на Унифициран CM, подправяне на данни и подправяне на повиквания / подправяне на мултимедия-поток.

Специализиран екземпляр по мрежата:

  • Установява и поддържа удостоверени комуникационни потоци

  • Цифрово подписва файлове, преди да прехвърлите файла в телефона

  • Шифрова медийни потоци и сигнал за обаждания между Cisco Унифицирани IP телефони

Настройка на защитата по подразбиране

Защитата по подразбиране предоставя следните функции за автоматична защита за Cisco Unified IP телефони:

  • Подписване на файловете за конфигуриране на телефона

  • Поддръжка за шифроване на файлове за конфигуриране на телефона

  • HTTPS с Tomcat и други уеб услуги (MIDlets)

За Единни CM освобождаване 8.0 по-късно тези функции за защита са предоставени по подразбиране, без да стартирате клиента на списъка с гаранти на сертификати (CTL).

Услуга за проверка на доверие

Тъй като има голям брой телефони в мрежа и IP телефони имат ограничена памет, Cisco Unified CM действа като отдалечен магазин за доверие чрез услугата за проверка на доверието (TVS), така че магазин за доверие на сертификат не трябва да се поставя на всеки телефон. Cisco IP телефони контакт TVS сървър за проверка, защото те не могат да проверят подпис или сертификат чрез CTL или ITL файлове. Наличието на централен магазин за доверие е по-лесно да се управлява, отколкото да има хранилището за доверие на всеки Cisco Unified IP телефон.

TVS дава възможност на Cisco Unified IP телефони за удостоверяване на сървъри за приложения, като EM услуги, директория и MIDlet, по време на HTTPS установяване.

Първоначален списък с гаранти

Първоначалният списък с гаранти (ITL) файл се използва за първоначалната защита, така че крайните точки могат да се доверят cisco унифициран CM. ITL не се нуждае от никакви функции за защита, за да бъдат разрешени изрично. ITL файлът се създава автоматично, когато клъстерът е инсталиран. Частният ключ на сървъра на Унифицирания CM тривиален протокол за прехвърляне на файлове (TFTP) се използва за подписване на ITL файла.

Когато Cisco Унифициран CM клъстер или сървър е в несигурен режим, ITL файлът се изтегля на всеки поддържан Cisco IP телефон. Партньор може да видите съдържанието на ITL файл с помощта на командата CLI, администратор:покажи itl.

Cisco IP телефони се нуждаят от ITL файла за изпълнение на следните задачи:

  • Комуникирайте сигурно с CAPF, предпоставка за поддръжка на шифроването на конфигурационния файл

  • Удостоверяване на подписа на конфигурационния файл

  • Удостоверяване на сървъри за приложения, като em услуги, директория и MIDlet по време на HTTPS установяване с помощта на TVS

Сиско ЦТЛ

Удостоверяване на устройството, файла и сигнализацията разчитат на създаването на файла списък с гаранти на сертификати (CTL), който се създава, когато партньорът или клиентът инсталира и конфигурира клиента на списъка с гаранти на сертификати cisco.

CTL файлът съдържа записи за следните сървъри или маркери за защита:

  • Маркер за защита на системен администратор (SAST)

  • Cisco CallManager и Cisco TFTP услуги, които се изпълняват на един и същ сървър

  • Функция за прокси на орган на сертификата (CAPF)

  • TFTP сървър(и)

  • Защитна стена на ASA

CTL файлът съдържа сертификат на сървъра, публичен ключ, сериен номер, подпис, име на издателя, име на тема, функция на сървъра, DNS име и IP адрес за всеки сървър.

Телефонната защита с CTL предоставя следните функции:

  • Удостоверяване на TFTP изтеглени файлове (конфигурация, езикова променлива, списък с пръстени и така нататък) с помощта на ключ за подписване

  • Шифроване на TFTP конфигурационни файлове с помощта на ключ за подписване

  • Шифрована сигнализация за обаждания за IP телефони

  • Шифровано обаждане аудио (носител) за IP телефони

Сигурност за Cisco IP телефони в специализиран екземпляр

Специализиран екземпляр осигурява регистрация на крайна точка и обработка на повиквания. Сигнализацията между Cisco Unified CM и крайни точки се основава на Secure Skinny Client Control Protocol (SCCP) или Протокол за започване на сесия (SIP) и може да бъде криптирана с помощта на защита на транспортния слой (TLS). Носителят от/до крайните точки се основава на Транспортен протокол в реално време (RTP) и също може да бъде шифрован с помощта на Secure RTP (SRTP).

Разрешаването на смесен режим на Unified CM позволява шифроване на сигнала и медийния трафик от и към крайните точки на Cisco.

Защитени UC приложения

Разрешаване на смесен режим в специализиран екземпляр

Смесеният режим не е разрешен по подразбиране в "Специализиран екземпляр".

Разрешаването на смесен режим в "Специализиран екземпляр" дава възможност за извършване на шифроване на сигнала и медийния трафик от и към крайните точки на Cisco.

В Cisco Unified CM освобождаване 12.5(1), нова опция, за да се даде възможност за криптиране на сигнализация и медии на базата на SIP OAuth вместо смесен режим / CTL е добавен за Jabber и Webex клиенти. Затова в Unified CM издание 12.5(1), SIP OAuth и SRTP може да се използва за разрешаване на криптиране за сигнализация и носители за Jabber или Webex клиенти. Разрешаването на смесен режим продължава да се изисква за Cisco IP телефони и други cisco крайни точки по това време. Има план за добавяне на поддръжка за SIP OAuth в 7800/8800 крайни точки в бъдещо издание.

Защита на гласови съобщения

Cisco единство връзка се свързва с Унифициран CM чрез TLS порта. Когато режимът на защита на устройството е несигурен, Cisco Unity Connection се свързва с Унифициран CM през SCCP порта.

За да конфигурирате защитата за портове за гласови съобщения на Unified CM и устройства cisco Unity, работещи под SCCP или Cisco Unity Connection устройства, работещи под SCCP, партньорът може да избере защитен режим на защита на устройството за порта. Ако изберете удостоверен порт за гласова поща, се отваря TLS връзка, която удостоверява устройствата с помощта на взаимен обмен на сертификати (всяко устройство приема сертификата на другото устройство). Ако изберете шифрован порт за гласова поща, системата първо удостоверява устройствата и след това изпраща шифровани гласови потоци между устройствата.

За повече информация относно портовете за съобщения на Security Voice вижте: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Сигурност за SRST, Стволове, Шлюзове, КУБ/SBC

Cisco Унифициран оцелял отдалечен сайт телефония (SRST) активиран шлюз осигурява ограничени задачи за обработка на повиквания, ако Cisco унифициран CM на специализиран екземпляр не може да завърши повикването.

Защитените шлюзове с възможност за SRST съдържат самоподписан сертификат. След партньор изпълнява SRST конфигурационни задачи в единни CM администрация, Унифициран CM използва TLS връзка за удостоверяване с услугата доставчик на сертификати в шлюза, разрешен за SRST. След това унифициран CM извлича сертификата от шлюза, разрешен за SRST, и добавя сертификата към базата данни на Unified CM.

След партньора възстановява зависимите устройства в Unified CM администрация, TFTP сървър добавя sRST активиран шлюз сертификат на телефона cnf.xml файл и изпраща файла към телефона. След това защитен телефон използва TLS връзка за взаимодействие с шлюза, разрешен за SRST.

Препоръчва се да има сигурни стволове за повикването с произход от Cisco Unified CM към шлюза за изходящи PSTN разговори или траверсиране през Cisco унифициран граничен елемент (CUBE).

SIP багажниците могат да поддържат сигурни обаждания както за сигнализация, така и за медии; TLS осигурява криптиране на сигнализацията и SRTP осигурява медийно криптиране.

Осигуряване на комуникации между Cisco Унифициран CM и CUBE

За сигурни комуникации между Cisco Unified CM и CUBE партньорите/клиентите трябва да използват или самоподписани сертификати, или подписани от CA сертификати.

За самоподписани сертификати:

  1. CUBE и Cisco Унифициран CM генерират самоподписани сертификати

  2. CUBE експортира сертификат в Cisco унифициран CM

  3. Cisco унифициран CM експортира сертификат в CUBE

За ca-подписани сертификати:

  1. Клиентът генерира ключ-двойка и изпраща искане за подписване на сертификат (CSR) на сертификат орган (CA)

  2. CA го подписва с частния си ключ, създавайки Сертификат за самоличност

  3. Клиентът инсталира списъка на надеждниТЕ CA Главни и посреднически сертификати и сертификата за самоличност

Защита за отдалечени крайни точки

С крайни точки за мобилен и отдалечен достъп (MRA) сигнализацията и носителят винаги се шифроват между крайните точки на MRA и възлите на Expressway. Ако протоколът за установяване на интерактивна свързаност (ICE) се използва за крайни точки на MRA, е необходимо сигнализиране и медийно криптиране на крайните точки на MRA. Обаче криптиране на сигнализацията и носителя между Expressway-C и вътрешните Унифицирани CM сървъри, вътрешни крайни точки или други вътрешни устройства, изискват смесен режим или SIP OAuth.

Cisco Expressway осигурява сигурна защитна стена траверсална и линия страна поддръжка за Унифицирани CM регистрации. Унифициран CM осигурява контрол на обажданията както за мобилните, така и за крайните точки в помещенията. Сигнализацията престъпва решението Expressway между отдалечената крайна точка и Унифицирания CM. Мултимедията престъпва решението Expressway и се препредава между крайните точки директно. Всички носители се шифроват между Expressway-C и мобилната крайна точка.

Всяко MRA решение изисква Expressway и Унифициран CM, със съвместими с MRA меки клиенти и/или фиксирани крайни точки. Решението може по желание да включва IM и Услугата за присъствие и Връзка за единство.

Резюме на протокола

Следната таблица показва протоколите и свързаните услуги, използвани в решението Унифициран CM.

Таблица 1. Протоколи и свързани услуги

Протокол

Защита

Услуга

SIP

TLS

Сесиен обект: Регистрирайте се, Поканете и т.н.

HTTPS

TLS

Влизане, Осигуряване/конфигуриране, Директория, Визуална гласова поща

Мултимедия

SRTP

Медии: Аудио, Видео, Споделяне на съдържание

XMPP

TLS

Незабавни съобщения, Присъствие, Федерация

За повече информация относно конфигурацията на MRA вижте: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Опции за конфигуриране

Специализираният екземпляр предоставя на Партньора гъвкавост за персонализиране на услугите за крайни потребители чрез пълен контрол на конфигурациите на ден две. В резултат на това Партньорът носи цялата отговорност за правилната конфигурация на услугата "Специализиран екземпляр" за средата на крайния потребител. Това включва, но не само:

  • Избор на сигурни/несигурни разговори, сигурни/несигурни протоколи като SIP/sSIP, http/https и т.н. и разбиране на всички свързани рискове.

  • За всички MAC адреси, които не са конфигурирани като secure-SIP в специализиран екземпляр, хакер може да изпрати SIP Регистър съобщение с помощта на този MAC адрес и да бъде в състояние да направи SIP повиквания, което води до измами с ТОЛ такси. Предпоставката е, че нападателят може да регистрира своето SIP устройство/софтуер на "Специализиран екземпляр" без разрешение, ако знае MAC адреса на устройство, регистрирано в "Специализиран екземпляр".

  • Правилата за обажданията на Expressway-E, правилата за трансформиране и търсене следва да бъдат конфигурирани, за да се предотврати измамата с пътни такси. За повече информация относно предотвратяването на измамите с пътни такси с помощта на Expressways вижте сигурност за Expressway C и Expressway-E раздел сътрудничество SRND.

  • Конфигурацията на плана за набиране, за да се гарантира, че потребителите могат да набират само дестинации, които са разрешени например, да забраняват националното/международното набиране, спешните повиквания се насочват правилно и т.н. За повече информация относно прилагането на ограничения с помощта на план за набиране вижте набиране план раздел на Сътрудничество SRND.

Изисквания към сертификата за защитени връзки в специализиран екземпляр

За специализиран екземпляр Cisco ще предостави домейна и ще подпише всички сертификати за UC приложения с помощта на публичен орган за сертификати (CA).

Специализиран екземпляр – Номера на портове и протоколи

Следващите таблици описва портовете и протоколите, които се поддържат в специализиран екземпляр. Портовете, които се използват за даден клиент, зависят от разполагането и решението на Клиента. Протоколите зависят от предпочитанието на клиента (SCCP срещу SIP), съществуващите локална устройства и какво ниво на сигурност, за да се определи кои портове да се използват при всяко разполагане.

Специализиран екземпляр – Клиентски портове

Портовете, налични за клиенти - между клиента предпоставка и специализиран екземпляр е показан в таблица 1 Специализиран екземпляр клиентски портове. Всички портове, изброени по-долу, са за трафик на клиенти, които превъртат връстниците връзки.


SNMP порт се поддържа само за CER функционалност, а не за други инструменти за наблюдение на трети страни.


Портовете в диапазона от 5063 до 5080 са запазени от Cisco за други облачни интеграции, на администраторите на партньори или клиенти се препоръчва да не използват тези портове в конфигурациите си.

Таблица 2. Портове за клиенти на специализиран екземпляр

Протокол

TCP/UCP

Източник

Дестинация

Порт източник

Пристанище местоназначение

Предназначение

SSH

TCP

Клиент

UC приложения

По-голяма от 1023

22

Администриране

LDAP

TCP

UC приложения

Външна директория

По-голяма от 1023

389

Синхронизиране на директория с клиент LDAP

HTTPS

TCP

Браузер

UC приложения

По-голяма от 1023

443

Уеб достъп за самогрижи и административни интерфейси

LDAP (СИГУРНА)

TCP

UC приложения

Външна директория

По-голяма от 1023

636

Синхронизиране на директория с клиент LDAP

SCCP

TCP

Крайна точка

Унифициран CM, CUCxn

По-голяма от 1023

2000

Сигнализация на обажданията

SCCP

TCP

Unified CM

Унифициран CM, Шлюз

По-голяма от 1023

2000

Сигнализация на обажданията

SCCP (ЗАЩИТЕН)

TCP

Крайна точка

Унифициран CM, CUCxn

По-голяма от 1023

2443

Сигнализация на обажданията

SCCP (ЗАЩИТЕН)

TCP

Unified CM

Унифициран CM, Шлюз

По-голяма от 1023

2443

Сигнализация на обажданията

Проверка на доверието

TCP

Крайна точка

Unified CM

По-голяма от 1023

2445

Предоставяне на услуга за проверка на доверието на крайни точки

CTI

TCP

Крайна точка

Unified CM

По-голяма от 1023

2748

Връзка между CTI приложения (JTAPI/TSP) и CTIManager

Защитена CTI

TCP

Крайна точка

Unified CM

По-голяма от 1023

2749

Защитена връзка между CTI приложения (JTAPI/TSP) и CTIManager

Глобален каталог на LDAP

TCP

UC приложения

Външна директория

По-голяма от 1023

3268

Синхронизиране на директория с клиент LDAP

Глобален каталог на LDAP

TCP

UC приложения

Външна директория

По-голяма от 1023

3269

Синхронизиране на директория с клиент LDAP

УСЛУГА CAPF

TCP

Крайна точка

Unified CM

По-голяма от 1023

3804

Сертификат орган прокси функция (CAPF) слушане порт за издаване на локално значими сертификати (LSC) на IP телефони

SIP

TCP

Крайна точка

Унифициран CM, CUCxn

По-голяма от 1023

5060

Сигнализация на обажданията

SIP

TCP

Unified CM

Унифициран CM, Шлюз

По-голяма от 1023

5060

Сигнализация на обажданията

SIP (СИГУРЕН)

TCP

Крайна точка

Unified CM

По-голяма от 1023

5061

Сигнализация на обажданията

SIP (СИГУРЕН)

TCP

Unified CM

Унифициран CM, Шлюз

По-голяма от 1023

5061

Сигнализация на обажданията

SIP (OAUTH)

TCP

Крайна точка

Unified CM

По-голяма от 1023

5090

Сигнализация на обажданията

XMPP

TCP

Джабър Клиент

Cisco IM&P

По-голяма от 1023

5222

Незабавни съобщения и присъствие

HTTP

TCP

Крайна точка

Unified CM

По-голяма от 1023

6970

Изтегляне на конфигурация и изображения в крайни точки

HTTPS

TCP

Крайна точка

Unified CM

По-голяма от 1023

6971

Изтегляне на конфигурация и изображения в крайни точки

HTTPS

TCP

Крайна точка

Unified CM

По-голяма от 1023

6972

Изтегляне на конфигурация и изображения в крайни точки

HTTP

TCP

Джабър Клиент

CUCxn

По-голяма от 1023

7080

Известия за гласова поща

HTTPS

TCP

Джабър Клиент

CUCxn

По-голяма от 1023

7443

Защитени известия за гласова поща

HTTPS

TCP

Unified CM

Unified CM

По-голяма от 1023

7501

Използва се от интерклустър справочна услуга (ILS) за удостоверяване, базирано на сертификат

HTTPS

TCP

Unified CM

Unified CM

По-голяма от 1023

7502

Използва се от ILS за удостоверяване, базирано на парола

IMAP

TCP

Джабър Клиент

CUCxn

По-голяма от 1023

7993

IMAP през TLS

HTTPS

TCP

Браузър, Крайна точка

UC приложения

По-голяма от 1023

8443

Уеб достъп за самогрижи и административни интерфейси, UDS

HTTPS

TCP

Прем

Unified CM

По-голяма от 1023

9443

Удостоверено търсене на контакти

Защитена RTP/SRTP

UDP

Unified CM

Телефон

16384 до 32767 *

16384 до 32767 *

Медия (аудио) - Музика на изчакване, Анунциатор, Софтуерен конферентен мост (Отворен въз основа на сигнална сигнализация)

Защитена RTP/SRTP

UDP

Телефон

Unified CM

16384 до 32767 *

16384 до 32767 *

Медия (аудио) - Музика на изчакване, Анунциатор, Софтуерен конферентен мост (Отворен въз основа на сигнална сигнализация)

ICMP

ICMP

Крайна точка

UC приложения

няма

няма

Ping

ICMP

ICMP

UC приложения

Крайна точка

няма

няма

Ping

* Някои специални случаи могат да използват по-голям диапазон.

Специализиран екземпляр – OTT портове

Следният списък с портове може да се използва от клиентите и партньорите за настройка на Мобилни устройства и отдалечен достъп (MRA):

Таблица 3. Списък на пристанищата за OTT

Протокол

TCP/UCP

Източник

Дестинация

Порт източник

Пристанище местоназначение

Предназначение

СИГУРНА ГЛЪТКА

TCP

Крайна точка

Автомагистрала Е

По-голяма от 1023

5061

Сигурна SIP сигнализация За регистрация на MRA и повиквания

СИГУРНА ГЛЪТКА

TCP

Крайна точка/сървър

Автомагистрала Е

По-голяма от 1023

5062

Защитен SIP за B2B разговори

ЗАЩИТЕНА RTP/RTCP

UDP

Крайна точка/сървър

Автомагистрала Е

По-голяма от 1023

36000-59999

Сигурни медии за MRA и B2B разговори

HTTPS (ЗАЩИТЕН)

TLS

Клиент

Автомагистрала Е

По-голяма от 1023

8443

CUCM UDS и CUCxn ПОЧИВКА за MRA разговори

XMLS

TLS

Клиент

Автомагистрала Е

По-голяма от 1023

5222

IM и Присъствие

ОБЪРНА

UDP

ICE Клиент

Автомагистрала Е

По-голяма от 1023

3478

Преговори за ICE/STUN/TURN

ЗАЩИТЕНА RTP/RTCP

UPD

ICE Клиент

Автомагистрала Е

По-голяма от 1023

24000-29999

TURN носител за ICE отпадане

Специализиран екземпляр – UCCX портове

Следният списък с портове може да се използва от Клиенти и партньори за конфигуриране на UCCX.

Таблица 4. Cisco UCCX портове

Протокол

TCP / UCP

Източник

Дестинация

Порт източник

Пристанище местоназначение

Предназначение

SSH

TCP

Клиент

UCCX

По-голяма от 1023

22

SFTP и SSH

Информикс

TCP

Клиент или сървър

UCCX

По-голяма от 1023

1504

Унифициран CCX порт за база данни

SIP

UDP и TCP

SIP GW или MCRP сървър

UCCX

По-голяма от 1023

5065

Комуникация към отдалечените GW и MCRP възли

XMPP

TCP

Клиент

UCCX

По-голяма от 1023

5223

Защитена XMPP връзка между finesse сървъра и персонализирани приложения на трети страни

CVD

TCP

Клиент

UCCX

По-голяма от 1023

6999

Редактор на CCX приложения

HTTPS

TCP

Клиент

UCCX

По-голяма от 1023

7443

Защитена BOSH връзка между finesse сървъра и агент и надзорни настолни компютри за комуникация по HTTPS

HTTP

TCP

Клиент

UCCX

По-голяма от 1023

8080

Клиентите за отчитане на данни на живо се свързват с гнездо. IO сървър

HTTP

TCP

Клиент

UCCX

По-голяма от 1023

8081

Клиентски браузър, който се опитва да получи достъп до уеб интерфейса на Унифицирания разузнавателен център на Cisco

HTTP

TCP

Клиент

UCCX

По-голяма от 1023

8443

Администратор GUI, RTMT, DB достъп чрез SOAP

HTTPS

TCP

Клиент

UCCX

По-голяма от 1023

8444

Уеб интерфейс на Унифицирания разузнавателен център на Cisco

HTTPS

TCP

Браузър и REST клиенти

UCCX

По-голяма от 1023

8445

Охраняем порт за Финес

HTTPS

TCP

Клиент

UCCX

По-голяма от 1023

8447

HTTPS - Онлайн помощ за Унифициран разузнавателни център

HTTPS

TCP

Клиент

UCCX

По-голяма от 1023

8553

Единичен Sign-On (SSO) компоненти достъп до този интерфейс, за да се знае състоянието на работа на Cisco IDS.

HTTP

TCP

Клиент

UCCX

По-голяма от 1023

9080

Клиенти, които се опитват да получат достъп до HTTP тригери или документи / подкани / граматики / живи данни.

HTTPS

TCP

Клиент

UCCX

По-голяма от 1023

9443

Защитен порт, използван за отговор на клиенти, които се опитват да получат достъп до HTTPS задействания

TCP

TCP

Клиент

UCCX

По-голяма от 1023

12014

Това е портът, където клиентите за отчитане на данни на живо могат да се свържат с гнездо. IO сървър

TCP

TCP

Клиент

UCCX

По-голяма от 1023

12015

Това е портът, където клиентите за отчитане на данни на живо могат да се свържат с гнездо. IO сървър

CTI

TCP

Клиент

UCCX

По-голяма от 1023

12028

Трета страна CTI клиент към CCX

RTP(Носител)

TCP

Крайна точка

UCCX

По-голяма от 1023

По-голяма от 1023

Мултимедийният порт се отваря динамично при необходимост

RTP(Носител)

TCP

Клиент

Крайна точка

По-голяма от 1023

По-голяма от 1023

Мултимедийният порт се отваря динамично при необходимост

Защита на клиента

Осигуряване на Jabber и Webex с SIP OAuth

Jabber и Webex клиенти са удостоверени чрез маркер OAuth вместо локално значим сертификат (LSC), което не изисква сертификат орган прокси функция (CAPF) разрешаване (за MRA, както добре). SIP OAuth, работещ със или без смесен режим, е въведен в Cisco Unified CM 12.5(1), Jabber 12.5 и Expressway X12.5.

В Cisco Unified CM 12.5 имаме нова опция в Профил за защита на телефона, която позволява криптиране без LSC/CAPF, с помощта на един транспортен слой сигурност (TLS) + OAuth маркер в SIP РЕГИСТЪР. Възлите Expressway-C използват API на административната XML уеб услуга (AXL), за да информират Cisco Unified CM на SN/SAN в сертификата си. Cisco Unified CM използва тази информация за валидиране на Exp-C серт при установяване на взаимна TLS връзка.

SIP OAuth дава възможност за шифроване на мултимедия и сигнализация без сертификат за крайна точка (LSC).

Cisco Jabber използва ефимерни портове и защитени портове 6971 и 6972 портове чрез HTTPS връзка към TFTP сървъра за изтегляне на конфигурационните файлове. Порт 6970 е несигурен порт за изтегляне чрез HTTP.

Повече подробности за конфигурацията на SIP OAuth: Режим SIP OAuth.

DNS изисквания

За специализиран екземпляр Cisco предоставя FQDN за услугата във всеки регион със следния формат <customer>.<region>. wxc-di.webex.com например xyz.amer.wxc-di.webex.com.

Стойността "клиент" се предоставя от администратора като част от съветника за настройка за първи път (FTSW). За повече информация вижте Активиране науслугата за специализиран екземпляр.

DNS записи за този FQDN трябва да бъде разрешим от вътрешния DNS сървър на клиента, за да поддържате устройства на място, свързващи се към специализирания екземпляр. За да улесни разделителната способност, клиентът трябва да конфигурира условен спедитор, за този FQDN, на своя DNS сървър, сочещ към услугата за специализиран екземпляр DNS. Услугата за специализиран екземпляр DNS е регионална и може да се достигне, чрез връстването към специализиран екземпляр, като се използват следните IP адреси, както е споменато в таблицата по-долу специализиран екземпляр DNS услуга IP адрес.

Таблица 5. IP адрес на специализиран екземпляр DNS услуга

Регион/Постоянен ток

IP адрес на специализиран екземпляр DNS услуга

Условен спедиторски пример

AMER

<customer>.amer.wxc-di.webex.com

ВСС

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

АМС

178.215.138.228

APAC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

ГРЯХ

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

МЕЛ

178.215.128.100

СИД

178.215.128.228


Опцията за пинг е забранено за посочените по-горе IP адреси на DNS сървър от съображения за сигурност.

Докато не се въведе условното препращане, устройствата няма да могат да се регистрират в Специализиран екземпляр от клиентите вътрешна мрежа чрез връстниците. Условно препращане не се изисква за регистрация чрез Mobile и Отдалечен достъп (MRA), тъй като всички необходими външни DNS записи за улесняване на MRA ще бъдат предварително предвидени от Cisco.

Когато използвате приложението Webex като вашия извикващ мек клиент на специализиран екземпляр, трябва да бъде конфигуриран профил на UC Manager в контролния център за домейна на гласовата услуга на всеки регион (VSD). За повече информация вижте профили на мениджър на UC в Cisco Webex контролен център. Приложението Webex ще може автоматично да разреши Expressway Edge на клиента без никаква намеса на крайния потребител.


Домейн за гласова услуга ще бъде предоставен на клиента като част от документа за достъп до партньора, след като активирането на услугата завърши.