Požadavky na síť pro vyhrazenou instanci

Vyhrazená instance Webex Calling je součástí portfolia služby Cisco Cloud Calling, založeného na technologii spolupráce Cisco Unified Communications Manager (řešení Cisco Unified CM). Vyhrazená instance nabízí řešení pro hlas, video, zasílání zpráv a mobilní zařízení s funkcemi a výhodami IP telefonů, mobilních zařízení a počítačových klientů Cisco , které se připojují k vyhrazené instanci zabezpečeně.

Tento článek je určen správcům sítě, zejména správcům brány firewall a zabezpečení proxy, kteří chtějí ve své organizaci používat vyhrazenou instanci.

Přehled zabezpečení: Zabezpečení vrstev

Vyhrazená instance používá z důvodu zabezpečení přístup vrstev. Mezi vrstvy patří:

  • Fyzický přístup

  • Síť

  • komunikaci

  • Aplikace UC

V následujících částech jsou popsány vrstvy zabezpečení Vyhrazená instance nasazení.

Fyzické zabezpečení

Je důležité zajistit fyzické zabezpečení poboček Meet-Me Room Equinix a společnosti Cisco Vyhrazená instance Zařízení datového centra. Když je ohroženo fyzické zabezpečení, lze inicializovat jednoduché útoky, jako je narušení služby vypnutím napájení přepínačů zákazníka. Díky fyzickému přístupu mohou útočníci získat přístup k serverovým zařízením, resetovat hesla a získat přístup k přepínačům. Fyzický přístup také umožňuje propracovanější útoky, jako jsou útoky man-in-the-middle, a proto je druhá vrstva zabezpečení, zabezpečení sítě, klíčová.

Jsou používány samošifrovací jednotky v Vyhrazená instance Datová centra, která hostuje aplikace UC.

Další informace o obecných postupech zabezpečení naleznete v dokumentaci na následujícím umístění: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Zabezpečení sítě

Partneři musí zajistit, aby všechny síťové prvky byly zabezpečeny Vyhrazená instance infrastruktura (která se připojuje prostřednictvím Equinix). Partner je odpovědný za zajištění osvědčené postupy zabezpečení, jako například:

  • Samostatná síť VLAN pro hlas a data

  • Povolte zabezpečení portů, které omezuje počet povolených adres MAC na jeden port proti zahlcení tabulky CAM

  • Ochrana zdroje IP před podvrženými adresami IP

  • Dynamická inspekce ARP (DAI) prověřuje protokol ARP (Address Resolution Protocol) a bezplatný protokol ARP (GARP) z důvodu možného porušení zásad (proti spoofingu ARP)

  • 802.1x omezuje přístup k síti za účelem ověřování zařízení v přiřazených sítích VLAN (telefony nepodporují číslo 802.1x )

  • Konfigurace kvality služby (QoS) pro příslušné značkování hlasových paketů

  • Konfigurace portů brány firewall pro blokování jakéhokoli jiného provozu

Zabezpečení koncových bodů

Koncové body Cisco podporují výchozí funkce zabezpečení, jako je podepsaný firmware, zabezpečené spouštění (vybrané modely), certifikát nainstalovaný výrobcem (MIC) a podepsané konfigurační soubory, které poskytují určitou úroveň zabezpečení koncovým bodům.

Partner nebo zákazník může navíc povolit další zabezpečení, například:

  • Šifrovat IP telefon (přes protokol HTTPS) pro služby, jako je například Extension Mobility

  • Vydávání místně významných certifikátů (LSC) z služba Certificate Authority Proxy Function (CAPF) nebo veřejné certifikační autority (CA)

  • Šifrovat konfigurační soubory

  • Šifrovat média a signalizaci

  • Pokud nejsou tato nastavení používána, zakažte je: port PC PC , přístup k hlasové síti síť VLAN počítače, bezplatné ARP, Web přístup, tlačítko Nastavení, SSH, konzola

Implementace bezpečnostních mechanismů do Vyhrazená instance zabraňuje odcizení identity telefonů a server Unified CM, neoprávněné manipulaci s daty a manipulaci signalizace hovorů / mediálního streamu.

Vyhrazená instance po síti:

  • Navazuje a spravuje ověřené komunikační streamy

  • Před přenosem souboru do telefonu soubory digitálně podepíše

  • Šifruje mediální toky a signalizaci hovorů mezi telefony Cisco Unified IP

Výchozí nastavení zabezpečení

Zabezpečení ve výchozím nastavení poskytuje následující automatické funkce zabezpečení pro telefony Cisco Unified IP :

  • Podepisování konfigurace telefonu

  • Podpora šifrování souborů s konfigurace telefonu

  • HTTPS se službou Tomcat a dalšími Web službami (MIDlety)

V aplikaci Unified CM verze 8.0 jsou tyto funkce zabezpečení ve výchozím nastavení poskytovány bez spouštění klienta seznamu důvěryhodných certifikátů (CTL).

Důvěryhodná ověřovací služba

Protože v síti je velký počet telefonů a IP telefony mají omezenou paměť, chová se řešení Cisco Unified CM jako vzdálené úložiště důvěryhodnosti prostřednictvím služby Trust Verification Service (TVS), takže úložiště důvěryhodných certifikátů není třeba umístit na každý telefon. Telefony Cisco IP kontaktují server TVS za účelem ověření, protože nemohou ověřit podpis nebo certifikát prostřednictvím souborů CTL nebo ITL. Správa centrálního úložiště důvěryhodnosti je snazší než mít úložiště důvěryhodnosti v každém IP telefon se systémem Cisco Unified IP.

TVS umožňuje telefonům Cisco Unified IP telefony během navazování protokolu HTTPS ověřovat aplikační servery, jako jsou služby funkce EM , adresář a MIDlet.

Počáteční seznam důvěryhodných

Soubor počátečního seznamu důvěryhodných uživatelů (ITL) se používá pro počáteční zabezpečení, aby koncové body mohly důvěřovat aplikaci řešení Cisco Unified CM. ITL nevyžaduje explicitní povolení žádných funkcí zabezpečení. Soubor ITL se automaticky vytvoří při instalaci clusteru. K podepsání souboru ITL se používá soukromý klíč serveru TFTP ( Unified CM Trivial File Transfer Protocol ).

Když je cluster nebo server řešení Cisco Unified CM v zabezpečený režim , soubor ITL se stáhne na všechny podporované IP telefon Cisco IP. Partner může zobrazit obsah souboru ITL pomocí příkaz rozhraní příkazového řádku admin:show itl.

Telefony Cisco IP potřebují soubor ITL k provádění následujících úkolů:

  • Komunikujte bezpečně s CAPF, což je předpoklad pro podporu šifrování konfigurační soubor

  • Ověřte podpis konfigurační soubor

  • Ověřovat aplikační servery, například služby funkce EM , adresář a MIDlet během navazování protokolu HTTPS pomocí služby TVS

Cisco CTL

Ověřování zařízení, souborů a signalizace závisí na vytvoření souboru seznamu důvěryhodných certifikátů (CTL), který se vytvoří, když partner nebo zákazník instaluje a nakonfiguruje klienta seznamu důvěryhodných certifikátů Cisco .

Soubor soubor CTL obsahuje položky pro následující servery nebo tokeny zabezpečení:

  • Token zabezpečení správce systému (SAST)

  • služby Cisco CallManager a Cisco TFTP , které jsou spuštěny na stejném serveru

  • Funkce proxy Certificate Authority (CAPF)

  • TFTP

  • brána firewall ASA

Soubor soubor CTL obsahuje certifikát serveru, veřejný klíč, sériové číslo, podpis, název vydavatele, název předmětu, funkci serveru, název DNS a adresa IP .

Zabezpečení telefonu pomocí CTL poskytuje následující funkce:

  • Ověření souborů stažených pomocí TFTP (konfigurace, národní prostředí, seznam vyzvánění atd.) pomocí podpisového klíče

  • Šifrování konfiguračních souborů TFTP pomocí podpisového klíče

  • Signalizace šifrovaných hovorů pro IP telefony

  • Šifrovaný zvuk (média) hovorů pro telefony IP

Zabezpečení pro telefony Cisco IP telefony Vyhrazená instance

Vyhrazená instance poskytuje registraci koncového bodu a zpracování hovorů. Signalizace mezi aplikací řešení Cisco Unified CM a koncovými body je založena na protokolu SCCP (Secure protokol SCCP (Skinny Client Control Protocol) ) nebo Session Initiation Protocol (SIP) a lze ji šifrovat pomocí TLS ( TLS (zabezpečení přenášených dat) ). Média z/do koncových bodů jsou založena na protokolu RTP(Real-time Transport Protocol) a lze je také šifrovat pomocí zabezpečeného RTP (SRTP).

Povolením smíšeného režimu v aplikaci Unified CM aktivujete šifrování signalizace a přenos médií za do koncových bodů Cisco .

Zabezpečené aplikace UC

Povoluje se smíšený režim v Vyhrazená instance

Smíšený režim je ve výchozím nastavení povoleno Vyhrazená instance .

Povoluje se smíšený režim v Vyhrazená instance umožňuje šifrovat signalizaci a přenos médií za do koncových bodů Cisco .

Ve verzi řešení Cisco Unified CM verze 12.5(1) byla pro klienty Jabber a Webex přidána nová možnost, která umožňuje šifrování signalizace a médií na základě protokol SIP OAuth místo smíšeného režimu / CTL . Proto lze v Unified CM verze 12.5(1) použít protokol SIP OAuth a SRTP k povolení šifrování pro signalizaci a média pro klienty Jabber nebo Webex . Pro telefony Cisco IP telefony a další koncové body Cisco je v tuto chvíli i nadále vyžadována povolení smíšeného režimu. V budoucí verzi se plánuje přidání podpory pro protokol SIP OAuth do koncových bodů 7800/8800.

Zabezpečení hlasových Zasílání zpráv

Cisco Unity Connection se připojuje k aplikaci Unified CM prostřednictvím portu TLS . Pokud je režim zabezpečení zařízení nezabezpečený, systém Cisco Unity Connection se připojí k aplikaci Unified CM prostřednictvím portu SCCP .

Ke konfiguraci zabezpečení pro porty hlasových zpráv Unified CM a zařízení Cisco Unity se systémem SCCP nebo zařízení Cisco Unity Connection se systémem SCCP, může partner pro port zvolit režim zabezpečení zabezpečeného zařízení. Pokud vyberete ověřený port hlasové schránky, otevře se připojení TLS , které ověřuje zařízení pomocí vzájemné výměny certifikátů (každé zařízení přijímá certifikát druhého zařízení). Pokud zvolíte šifrovaný port hlasové schránky, systém nejprve ověří zařízení a poté mezi zařízeními odešle šifrované hlasové streamy.

Další informace o portech zabezpečení pro odesílání hlasových zpráv naleznete zde: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Zabezpečení SRST, přenosové spoje, brány, CUBE/SBC

Brána s podporou Cisco Unified Survivable Remote Site Telephony (SRST) umožňuje omezené úlohy zpracování hovorů, pokud je aplikace řešení Cisco Unified CM v zapnutém stavu Vyhrazená instance nemůže dokončit hovor.

Zabezpečené brány s SRST obsahují certifikát podepsaný svým držitelem (self-signed certificate) svým držitelem. Poté, co partner provede konfigurační úlohy SRST v rámci produkt Unified CM Administration, Unified CM použije připojení TLS k ověření u služby poskytovatele certifikátů v brána s podporou SRST. Unified CM pak načte certifikát z brána s podporou SRST a přidá certifikát do databáze Unified CM .

Poté, co partner resetuje závislá zařízení v produkt Unified CM Administration, server TFTP přidá certifikát brána s podporou SRST SRST do souboru cnf.xml telefonu a odešle soubor na telefon. Zabezpečený telefon pak použije připojení TLS k interakci s brána s podporou SRST.

Doporučuje se mít pro odchozí hovory PSTN zabezpečené kmeny pro hovor pocházející z řešení Cisco Unified CM k bráně pro odchozí hovory PSTN nebo přecházející přes prvek CUBE ( Cisco Unified Border Element ).

Sdružené spoje protokol SIP mohou podporovat bezpečná volání pro signalizaci i pro mediální účely; TLS poskytuje šifrování signalizace a SRTP poskytuje šifrování médií.

Zabezpečení komunikace mezi řešení Cisco Unified CM a CUBE

Pro zabezpečenou komunikaci mezi aplikacemi řešení Cisco Unified CM a CUBE musí partneři/zákazníci používat certifikát podepsaný svým držitelem (self-signed certificate) svým držitelem nebo certifikační autoritou.

Pro certifikáty podepsané svým držitelem:

  1. CUBE a řešení Cisco Unified CM generují certifikáty podepsané svým držitelem

  2. CUBE exportuje certifikát do řešení Cisco Unified CM

  3. řešení Cisco Unified CM exportuje certifikát do formátu CUBE

Pro certifikáty podepsané certifikační autoritou:

  1. Klient vygeneruje dvojici klíčů a odešle Certificate Authority (CA) žádost o podepsání certifikátu ( oddělení služeb zákazníkům ).

  2. certifikační autorita jej podepíše svým soukromým klíčem, čímž vytvoří certifikát identity

  3. Klient nainstaluje seznam důvěryhodných kořenových a zprostředkujících certifikátů certifikačních autorit a certifikát identity

Zabezpečení vzdálených koncových bodů

U koncových bodů MRA (mobilní a Remote Access ) jsou signalizace a média mezi koncovými body MRA a uzly Expressway vždy šifrovány. Pokud se pro koncové body MRA používá protokol ICE (Interactive Connectivity Establishment), je vyžadována signalizace a šifrování médií na koncových bodech MRA. Šifrování signalizace a médií mezi službou Expressway-C a interními servery Unified CM , interními koncovými body nebo jinými interními zařízeními však vyžaduje smíšený režim nebo protokol SIP OAuth.

Cisco Expressway poskytuje zabezpečené procházení brány firewall a podporu na straně linky pro registrace Unified CM . Unified CM poskytuje řízení hovorů pro mobilní i místní koncové body. Signalizace překračuje řešení Expressway mezi vzdáleným koncovým bodem a Unified CM. Média procházejí řešením Expressway a jsou předávána přímo mezi koncovými body. Všechna média jsou mezi zařízením Expressway-C a mobilním koncovým bodem šifrována.

Jakékoli řešení MRA vyžaduje služby Expressway a Unified CM s softwarovými klienty a/nebo pevnými koncovými body kompatibilními s MRA. Řešení může volitelně obsahovat služby IM a služba Presence a Unity Connection.

Souhrnné informace o protokolu

Následující tabulka obsahuje protokoly a přidružené služby používané v řešení Unified CM .

Tabulka 1. Protokoly a přidružené služby

Protokol

Zabezpečení

Služba

Protokol SIP

TLS

Zřízení relace: Registrovat, Pozvat atd.

HTTPS

TLS

Přihlašování, Zřizování/konfigurace, Adresář, Vizuální hlasová pošta

Média

SRTP

Média: Zvuk, video, sdílení obsahu

XMPP

TLS

Zasílání rychlých Zasílání zpráv, Přítomnost, federace

Další informace o konfiguraci MRA naleznete zde: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Možnosti konfigurace

Stránka Vyhrazená instance poskytuje partnerovi flexibilitu při přizpůsobení služeb pro koncové uživatele prostřednictvím úplné kontroly nad konfiguracími druhého dne. V důsledku toho je za správnou konfiguraci služby odpovědný výhradně partner Vyhrazená instance službu pro prostředí koncového uživatele. To zahrnuje mimo jiné:

  • Výběr zabezpečených/nezabezpečených hovorů, zabezpečených/nezabezpečených protokolů, jako je protokol SIP/sSIP, http/https atd., a pochopení všech souvisejících rizik.

  • Pro všechny adresy MAC , které nejsou nakonfigurovány jako zabezpečený vstup protokol SIP Vyhrazená instance , může útočník odeslat zprávu o registraci protokol SIP pomocí této adresa MAC a uskutečňovat hovory protokol SIP , což může vést k mýtnému podvodu. Podmínkou je, že útočník může registrovat své zařízení SIP Vyhrazená instance bez autorizace, pokud znají adresa MAC zařízení registrovaného v Vyhrazená instance .

  • Zásady volání, transformace a pravidla vyhledávání Expressway-E by měly být nakonfigurovány tak, aby nedocházelo k podvodům s mýtným. Další informace o předcházení podvodům s mýtným pomocí řešení Expressway naleznete v části Zabezpečení pro dálnici C a Expressway-E SRND spolupráce .

  • Konfigurace plánu vytáčení tak, aby uživatelé mohli vytáčet pouze povolené cíle, např. zakazují celostátní/mezinárodní vytáčení, tísňová volání jsou správně směrována atd. Další informace o použití omezení pomocí plánu vytáčení naleznete v části Plán číslování části systému Collaboration SRND.

Požadavky na certifikáty pro zabezpečená připojení ve vyhrazené instanci

U vyhrazené instance společnost Cisco poskytne doménu a podepíše všechny certifikáty pro aplikace UC pomocí veřejné Certificate Authority (CA).

Vyhrazená instance – čísla portů a protokoly

V následujících tabulkách jsou popsány porty a protokoly, které jsou podporovány ve vyhrazené instanci. Počet portů, které se používají pro daného zákazníka, závisí na nasazení a řešení u zákazníka. Protokoly závisí na preferencích zákazníka (SCCP vs protokol SIP), stávajících místní zařízeních a úrovni zabezpečení, aby se určilo, které porty se mají v jednotlivých nasazeních použít.

Vyhrazená instance neumožňuje překlad síťových adres (NAT) mezi koncovými body a Unified CM , protože některé funkce toku hovoru nebudou fungovat, například funkce během hovoru.

Vyhrazená instance – zákaznické porty

Tabulka 1 dostupné porty pro zákazníky – mezi místním místní a vyhrazenou instancí. Vyhrazené zákaznické porty instance . Všechny níže uvedené porty jsou určeny pro zákaznický provoz procházející přes odkazy partnerského vztahu.

Port SNMP je podporován pouze pro funkci CER. Není podporován žádnými jinými monitorovacími nástroji třetích stran.

Porty v rozsahu 5063 až 5080 jsou společností Cisco vyhrazeny pro jiné cloudové integrace. Správcům partnerů nebo zákazníků doporučujeme, aby tyto porty ve svých konfiguracích nepoužívali.
Tabulka 2. Vyhrazená instance Zákaznické porty

Protokol

TCP/UDP

Zdroj

Cíl

Zdrojový port

Cílový port

Účel

SSH

TCP

Klient

Aplikace UC

Více než 1023

22

Správa

TFTP

UDP

Koncový bod

Služba Unified CM

Více než 1023

69

Podpora starších koncových bodů

LDAP

TCP

Aplikace UC

Externí adresář

Více než 1023

389

Synchronizace adresáře s protokol LDAP zákazníka

HTTPS

TCP

Prohlížeč

Aplikace UC

Více než 1023

443

Web přístup pro rozhraní samoobslužné služby a rozhraní pro správu

Odchozí pošta (zabezpečená)

TCP

Aplikace UC

CUCxn

Více než 1023

587

Používá se k vytváření a odesílání zabezpečených zpráv určeným příjemcům

protokol LDAP (ZABEZPEČENÉ)

TCP

Aplikace UC

Externí adresář

Více než 1023

636

Synchronizace adresáře s protokol LDAP zákazníka

H323

TCP

Brána

Služba Unified CM

Více než 1023

1720

Signalizace volání

H323

TCP

Služba Unified CM

Služba Unified CM

Více než 1023

1720

Signalizace volání

SCCP

TCP

Koncový bod

Unified CM, CUCxn

Více než 1023

2000

Signalizace volání

SCCP

TCP

Služba Unified CM

Unified CM, brána

Více než 1023

2000

Signalizace volání

MGCP

UDP

Brána

Brána

Více než 1023

2427

Signalizace volání

MGCP Blackhaul

TCP

Brána

Služba Unified CM

Více než 1023

2428

Signalizace volání

SCCP (ZABEZPEČENÉ)

TCP

Koncový bod

Unified CM, CUCxn

Více než 1023

2443

Signalizace volání

SCCP (ZABEZPEČENÉ)

TCP

Služba Unified CM

Unified CM, brána

Více než 1023

2443

Signalizace volání

Ověření důvěry

TCP

Koncový bod

Služba Unified CM

Více než 1023

2445

Poskytování služby ověření důvěry koncovým bodům

CTI

TCP

Koncový bod

Služba Unified CM

Více než 1023

2748

Spojení mezi aplikacemi CTI (JTAPI/TSP) a aplikací CTIManager

Zabezpečená CTI

TCP

Koncový bod

Služba Unified CM

Více než 1023

2749

Zabezpečené připojení mezi aplikacemi CTI (JTAPI/TSP) a aplikací CTIManager

Globální katalog protokol LDAP

TCP

Aplikace UC

Externí adresář

Více než 1023

3268

Synchronizace adresáře s protokol LDAP zákazníka

Globální katalog protokol LDAP

TCP

Aplikace UC

Externí adresář

Více než 1023

3269

Synchronizace adresáře s protokol LDAP zákazníka

Služba CAPF

TCP

Koncový bod

Služba Unified CM

Více než 1023

3804

Port naslouchající funkce proxy Certificate Authority (CAPF) pro vydávání místně významných certifikátů (LSC) na IP telefony

Protokol SIP

TCP

Koncový bod

Unified CM, CUCxn

Více než 1023

5060

Signalizace volání

Protokol SIP

TCP

Služba Unified CM

Unified CM, brána

Více než 1023

5060

Signalizace volání

protokol SIP (ZABEZPEČENÉ)

TCP

Koncový bod

Služba Unified CM

Více než 1023

5061

Signalizace volání

protokol SIP (ZABEZPEČENÉ)

TCP

Služba Unified CM

Unified CM, brána

Více než 1023

5061

Signalizace volání

protokol SIP (OAUTH)

TCP

Koncový bod

Služba Unified CM

Více než 1023

5090

Signalizace volání

XMPP

TCP

Klient Jabber

Cisco IM&P

Více než 1023

5222

Zasílání rychlých Zasílání zpráv a přítomnost

HTTP

TCP

Koncový bod

Služba Unified CM

Více než 1023

6970

Stahování konfigurace a obrázků do koncových bodů

HTTPS

TCP

Koncový bod

Služba Unified CM

Více než 1023

6971

Stahování konfigurace a obrázků do koncových bodů

HTTPS

TCP

Koncový bod

Služba Unified CM

Více než 1023

6972

Stahování konfigurace a obrázků do koncových bodů

HTTP

TCP

Klient Jabber

CUCxn

Více než 1023

7080

Oznámení hlasové schránky

HTTPS

TCP

Klient Jabber

CUCxn

Více než 1023

7443

Zabezpečená oznámení hlasové schránky

HTTPS

TCP

Služba Unified CM

Služba Unified CM

Více než 1023

7501

Používáno službou služba meziklastrového vyhledávání (ILS) k ověřování na základě certifikátů

HTTPS

TCP

Služba Unified CM

Služba Unified CM

Více než 1023

7502

Používáno ILS k ověření na základě hesla

Protokol IMAP

TCP

Klient Jabber

CUCxn

Více než 1023

7993

IMAP přes TLS

HTTP

TCP

Koncový bod

Služba Unified CM

Více než 1023

8080

URI adresáře pro podporu starších koncových bodů

HTTPS

TCP

Prohlížeč, Koncový bod

Aplikace UC

Více než 1023

8443

Web přístup pro samoobslužné rozhraní a rozhraní pro správu, UDS

HTTPS

TCP

Telefon

Služba Unified CM

Více než 1023

9443

Hledání ověřených kontaktů

HTTP

TCP

Koncový bod

Služba Unified CM

Více než 1023

9444

Funkce správy náhlavní soupravy

Zabezpečené RTP/ SRTP

UDP

Služba Unified CM

Telefon

16384 až 32767 *

16384 až 32767 *

Média (zvuk) – Music On Hold, Annunciator, Softwarový konferenční most (otevřeno na základě signalizace volání)

Zabezpečené RTP/ SRTP

UDP

Telefon

Služba Unified CM

16384 až 32767 *

16384 až 32767 *

Média (zvuk) – Music On Hold, Annunciator, Softwarový konferenční most (otevřeno na základě signalizace volání)

KONRY

TCP

Klient

CUCxn

Více než 1023

20532

Sada aplikací pro zálohování a obnovení

Protokol ICMP

Protokol ICMP

Koncový bod

Aplikace UC

není k dispozici

není k dispozici

Ping

Protokol ICMP

Protokol ICMP

Aplikace UC

Koncový bod

není k dispozici

není k dispozici

Ping

* V některých zvláštních případech může být použit větší rozsah.

Vyhrazená instance – porty OTT

Následující port mohou použít zákazníci a partneři pro nastavení mobilního a Remote Access (MRA):

Tabulka 3. Port pro OTT

Protokol

TCP/UCP

Zdroj

Cíl

Zdrojový port

Cílový port

Účel

ZABEZPEČENÝ RTP/ RTCP

UDP

Rychlostní komunikace C

Klient

Více než 1023

36 000–59999

Zabezpečená média pro MRA a B2B hovory

Vyhrazená instance – Porty UCCX

Následující seznam portů mohou použít zákazníci a partneři pro konfiguraci UCCX.

Tabulka 4. Porty Cisco UCCX

Protokol

TCP / UCP

Zdroj

Cíl

Zdrojový port

Cílový port

Účel

SSH

TCP

Klient

UCCX

Více než 1023

22

SFTP a SSH

Informix

TCP

Klient nebo Server

UCCX

Více než 1023

1504

Unified CCX

Protokol SIP

UDP a TCP

Server protokol SIP GW nebo MCRP

UCCX

Více než 1023

5065

Komunikace se vzdálenými uzly GW a MCRP

XMPP

TCP

Klient

UCCX

Více než 1023

5223

 Zabezpečené připojení XMPP mezi serverem Finesse a vlastními aplikacemi třetích stran

CVD

TCP

Klient

UCCX

Více než 1023

6999

Editor aplikací CCX

HTTPS

TCP

Klient

UCCX

Více než 1023

7443

Zabezpečené připojení BOSH mezi serverem Finesse a stolními počítači agenta a správce pro komunikaci přes HTTPS

HTTP

TCP

Klient

UCCX

Více než 1023

8080

Klienti pro vytváření sestav s dynamickými daty se připojují k serveru soket.IO

HTTP

TCP

Klient

UCCX

Více než 1023

8081

Prohlížeč klienta se pokouší o přístup k webové rozhraní Cisco Unified Intelligence Center

HTTP

TCP

Klient

UCCX

Více než 1023

8443

Přístup správce grafické uživatelské rozhraní, RTMT, databáze prostřednictvím SOAP

HTTPS

TCP

Klient

UCCX

Více než 1023

8444

webové rozhraní Cisco Unified Intelligence Center

HTTPS

TCP

Prohlížeč a klienti REST

UCCX

Více než 1023

8445

Zabezpečený port pro Finesse

HTTPS

TCP

Klient

UCCX

Více než 1023

8447

HTTPS – online nápověda aplikace Unified Intelligence Center

HTTPS

TCP

Klient

UCCX

Více než 1023

8553

Součásti jednotného přihlašování (SSO) přistupují k tomuto rozhraní a chtějí zjišťovat provozní stav služby Cisco IdS.

HTTP

TCP

Klient

UCCX

Více než 1023

9080

Klienti pokoušející se o přístup k aktivačním událostem HTTP nebo dokumentům/výzvy/gramatika/ živá data.

HTTPS

TCP

Klient

UCCX

Více než 1023

9443

Zabezpečený port, který se používá pro odpovědi klientům pokoušejícím se o přístup k aktivačním událostem HTTPS

TCP

TCP

Klient

UCCX

Více než 1023

12014

Toto je port, ke kterému se mohou klienti hlášení s živými daty připojit k serveru soket.IO

TCP

TCP

Klient

UCCX

Více než 1023

12015

Toto je port, ke kterému se mohou klienti hlášení s živými daty připojit k serveru soket.IO

CTI

TCP

Klient

UCCX

Více než 1023

12028

Klient CTI třetí strany pro CCX

RTP(média)

TCP

Koncový bod

UCCX

Více než 1023

Více než 1023

Port pro média se otevírá dynamicky podle potřeby

RTP(média)

TCP

Klient

Koncový bod

Více než 1023

Více než 1023

Port pro média se otevírá dynamicky podle potřeby

Zabezpečení klienta

Zabezpečení služeb Jabber a Webex pomocí protokol SIP OAuth

Klienti Jabber a Webex se ověřují prostřednictvím tokenu OAuth místo certifikát s místní platností (LSC), což nevyžaduje povolení služba Certificate Authority Proxy Function (CAPF) ( také pro MRA). protokol SIP OAuth pracující se smíšeným režimem nebo bez něj bylo představeno v aplikacích řešení Cisco Unified CM 12.5(1), Jabber 12.5 a Expressway X12.5.

V aplikaci řešení Cisco Unified CM 12.5 máme novou možnost v profilu zabezpečení telefonu, která umožňuje šifrování bez LSC/ CAPF pomocí jednoho tokenu TLS (zabezpečení přenášených dat) (TLS) + OAuth v aplikaci protokol SIP REGISTER. Uzly Expressway-C používají API pro správu XML Web služby (AXL ) k informování aplikace řešení Cisco Unified CM o SN/SAN ve svém certifikátu. řešení Cisco Unified CM využívá tyto informace k ověření certifikátu Exp-C při navazování vzájemného připojení TLS .

protokol SIP OAuth umožňuje šifrování médií a signalizace bez certifikátu koncového bodu (LSC).

Cisco Jabber používá dočasné porty a zabezpečené porty 6971 a 6972 prostřednictvím připojení k serveru TFTP protokolem HTTPS ke stažení konfiguračních souborů. Port 6970 je nezabezpečený port pro stahování prostřednictvím protokolu HTTP.

Další podrobnosti o konfiguraci protokol SIP OAuth: Režim protokol SIP OAuth .

Požadavky na DNS

Pro vyhrazené instance poskytuje společnost Cisco FQDN pro službu v každé oblasti v následujícím formátu<customer> .<region> .wxc-di.webex.com například xyz.amer.wxc-di.webex.com .

Hodnotu „customer“ zadá správce v rámci průvodce počátečním nastavením (FTSW). Další informace viz Aktivace vyhrazené služby instance .

Záznamy DNS pro tento FQDN musí být možné přeložit z interního server DNS zákazníka, aby bylo možné podporovat připojení místních zařízení k vyhrazené instanci. K usnadnění překladu musí zákazník nakonfigurovat pro tento FQDN podmíněný server pro předávání na svém server DNS směřující na službu DNS vyhrazené instance. Služba DNS vyhrazené instance je místní a lze se k ní dostat prostřednictvím partnerského vztahu k vyhrazené instanci pomocí následujících adres IP , jak je uvedeno v následující tabulce. Adresa IP vyhrazené DNS instance .

Tabulka 5. Adresa IP vyhrazené DNS instance

Oblast/DC

 Adresa IP vyhrazené DNS instance

Příklad podmíněného přesměrování

AMER

 <customer>.amer.wxc-di.webex.com

Nejvyšší JC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

AMS

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

HŘÍCH

103 232.71.100

TKY

103.232.71.228

AUS

 <customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228

Možnost ping je z bezpečnostních důvodů zakázána pro výše uvedené IP adresy server DNS .

Dokud nebude podmíněné přesměrování nastaveno, zařízení se nebudou moci registrovat do vyhrazené instance z interní sítě zákazníka prostřednictvím peeringových odkazů. Podmíněné přesměrování není vyžadováno při registraci prostřednictvím mobilního a Remote Access (MRA), protože všechny požadované externí záznamy DNS pro usnadnění MRA budou předem zřízeny společností Cisco.

Při používání aplikace Webex jako softwarového klienta volání ve vyhrazené instanci je nutné v centru Control Hub nakonfigurovat profil UC Manager pro doménu hlasové služby (VSD) každé oblasti. Další informace viz Profily aplikace UC Manager v Cisco Webex Control Hub . Aplikace Webex bude schopna automaticky vyřešit problém zákazníka Expressway Edge bez jakéhokoli zásahu koncový uživatel .

Doména hlasové služby bude zákazníkovi poskytnuta jako součást přístupového dokumentu partnera po dokončení aktivace služby.