Síťové požadavky pro vyhrazený případ

Webex Calling Dedicated Instance je součástí portfolia Cisco Cloud Calling, které je poháněno technologií spolupráce Cisco Unified Communications Manager (Cisco Unified CM). Dedikovaná instance nabízí řešení hlasových, video, zpráv a mobility s funkcemi a výhodami Cisco IP telefonů, mobilních zařízení a stolních klientů, kteří se bezpečně připojují k dedikované instanci.

Tento článek je určen pro síťové administrátory, zejména pro správce firewallu a proxy zabezpečení, kteří chtějí ve své organizaci používat dedikovanou instanci. Tento dokument se primárně zaměřuje na požadavky na síť a bezpečnost pro řešení Dedikované instance, včetně vrstveného přístupu k funkcím a funkcím, které poskytují bezpečný fyzický přístup, bezpečnou síť, zabezpečené koncové body a zabezpečené aplikace Cisco UC.

Přehled zabezpečení: Zabezpečení ve vrstvách

Dedikovaný případ používá pro zabezpečení vrstvený přístup. Vrstvy zahrnují:

  • Fyzický přístup

  • Síť

  • komunikaci

  • Aplikace UC

Následující části popisují vrstvy zabezpečení v nasazení dedikovaných instancí.

Fyzická bezpečnost

Je důležité zajistit fyzické zabezpečení místností Equinix Meet-Me Room a zařízení datového centra Cisco Dedicated Instance. Pokud je ohrožena fyzická bezpečnost, mohou být zahájeny jednoduché útoky, jako je přerušení služby vypnutím napájení přepínačů zákazníka. Díky fyzickému přístupu mohou útočníci získat přístup k serverovým zařízením, obnovit hesla a získat přístup k přepínačům. Fyzický přístup také usnadňuje sofistikovanější útoky, jako jsou útoky typu man-in-the-middle, což je důvod, proč je druhá bezpečnostní vrstva, bezpečnost sítě, kritická.

Samošifrovací mechaniky se používají ve specializovaných instančních datových centrech, která hostí aplikace UC.

Další informace o obecných bezpečnostních postupech naleznete v dokumentaci na následujícím místě: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Zabezpečení sítě

Partneři musí zajistit, aby všechny síťové prvky byly zajištěny v infrastruktuře vyhrazené instance (která se připojuje prostřednictvím Equinix). Partner je odpovědný za zajištění osvědčených bezpečnostních postupů, jako jsou:

  • Samostatná síť VLAN pro hlas a data

  • Povolit zabezpečení portu, které omezuje počet MAC adres povolených na jeden port, proti zaplavení tabulky CAM

  • Ochrana zdroje IP proti falešným IP adresám

  • Dynamic ARP Inspection (DAI) zkoumá protokol řešení adres (ARP) a bezplatné ARP (GARP) za porušení (proti ARP spoofing)

  • 802.1x omezuje síťový přístup k autentizaci zařízení na přiřazených VLAN (telefony podporují 802.1x)

  • Konfigurace kvality služby (QoS) pro vhodné značení hlasových paketů

  • Konfigurace portů brány firewall pro blokování jakéhokoli jiného provozu

Zabezpečení koncových bodů

Koncové body Cisco podporují výchozí bezpečnostní funkce, jako je podepsaný firmware, zabezpečený start (vybrané modely), certifikát nainstalovaný výrobcem (MIC) a podepsané konfigurační soubory, které poskytují určitou úroveň zabezpečení koncových bodů.

Kromě toho může partner nebo zákazník povolit další zabezpečení, například:

  • Šifrování IP telefonních služeb (prostřednictvím protokolu HTTPS) pro služby, jako je například Rozšířená mobilita

  • Vydávat místně významná osvědčení (LSC) od funkce zmocněnce certifikačního orgánu (CAPF) nebo orgánu vydávajícího veřejné osvědčení (CA)

  • Šifrovat konfigurační soubory

  • Šifrování médií a signalizace

  • Zakázat tato nastavení, pokud nejsou použita: PC port, PC Voice VLAN Access, Gratuitous ARP, Web Access, tlačítko Nastavení, SSH, konzole

Implementace bezpečnostních mechanismů ve vyhrazené instanci zabraňuje krádeži identity telefonů a jednotného CM serveru, manipulaci s daty a signalizaci hovorů/manipulaci s médii.

Specializovaná instance přes síť:

  • Zřizuje a udržuje ověřené komunikační toky

  • Digitálně podepisuje soubory před přenosem souboru do telefonu

  • Šifruje mediální proudy a signalizaci hovorů mezi telefony Cisco Unified IP

Výchozí nastavení zabezpečení

Bezpečnost ve výchozím nastavení poskytuje následující automatické bezpečnostní funkce pro telefony Cisco Unified IP:

  • Podepisování konfiguračních souborů telefonu

  • Podpora šifrování konfiguračních souborů telefonu

  • HTTPS s Tomcat a dalšími webovými službami (MIDlety)

Pro Unified CM Release 8.0 novější jsou tyto bezpečnostní funkce poskytovány ve výchozím nastavení bez spuštění klienta Certificate Trust List (CTL).

Oddělení pro ověřování důvěry

Vzhledem k tomu, že v síti je velký počet telefonů a IP telefony mají omezenou paměť, funguje Cisco Unified CM jako vzdálený úložiště důvěry prostřednictvím služby Trust Verification Service (TVS), takže certifikační úložiště důvěry nemusí být umístěno na každém telefonu. Telefony Cisco IP kontaktují TVS server pro ověření, protože nemohou ověřit podpis nebo certifikát prostřednictvím CTL nebo ITL souborů. Mít centrální úložiště důvěry je jednodušší než mít úložiště důvěry na každém Cisco Unified IP telefonu.

TELEVIZORY umožňují telefonům Cisco Unified IP autentizovat aplikační servery, jako jsou EM služby, adresář a MIDlet, během založení HTTPS.

Počáteční seznam důvěry

Pro počáteční zabezpečení je použit soubor Počáteční důvěryhodný seznam (ITL), takže koncové body mohou důvěřovat Cisco Unified CM. ITL nepotřebuje žádné bezpečnostní prvky, které by byly výslovně povoleny. Při instalaci clusteru se automaticky vytvoří soubor ITL. K podpisu souboru ITL se používá privátní klíč serveru Unified CM Trivial File Transfer Protocol (TFTP).

Pokud je Cisco Unified CM cluster nebo server v nezabezpečeném režimu, soubor ITL se stáhne do každého podporovaného telefonu Cisco IP. Partner může zobrazit obsah souboru ITL pomocí příkazu CLI, admin:show itl.

Telefony Cisco IP potřebují soubor ITL k provedení následujících úkolů:

  • Bezpečně komunikovat s CAPF, což je nezbytný předpoklad pro podporu šifrování konfiguračního souboru

  • Ověřte podpis konfiguračního souboru

  • Autentizovat aplikační servery, jako jsou EM služby, adresář a MIDlet během instalace HTTPS pomocí TELEVIZORŮ

Cisco CTL

Autentizace zařízení, souborů a signalizace závisí na vytvoření souboru Certifikátu důvěryhodného seznamu (CTL), který se vytvoří, když partner nebo zákazník nainstaluje a nakonfiguruje klienta Certifikátu důvěryhodného seznamu Cisco.

Soubor CTL obsahuje položky pro následující servery nebo bezpečnostní tokeny:

  • Bezpečnostní token správce systému (SAST)

  • Služby Cisco CallManager a Cisco TFTP, které běží na stejném serveru

  • Funkce proxy certifikačního orgánu (CAPF)

  • Server(y) TFTP

  • ASA firewall

Soubor CTL obsahuje certifikát serveru, veřejný klíč, sériové číslo, podpis, název vydavatele, název subjektu, funkci serveru, název DNS a IP adresu pro každý server.

Zabezpečení telefonu pomocí CTL poskytuje následující funkce:

  • Autentizace stažených souborů TFTP (konfigurace, locale, seznam kroužků atd.) pomocí podpisového klíče

  • Šifrování konfiguračních souborů TFTP pomocí podpisového klíče

  • Šifrovaná signalizace volání pro IP telefony

  • Šifrované volání audio (média) pro IP telefony

Zabezpečení pro telefony Cisco IP ve vyhrazeném případě

Specializovaná instance poskytuje registraci koncových bodů a zpracování hovorů. Signalizace mezi Cisco Unified CM a koncovými body je založena na Secure Skinny Client Control Protocol (SCCP) nebo Session Initiation Protocol (SIP) a může být šifrována pomocí Transport Layer Security (TLS). Média z/do koncových bodů jsou založena na protokolu RTP (Real-time Transport Protocol) a lze je také šifrovat pomocí protokolu SRTP (Secure RTP).

Povolení smíšeného režimu na Unified CM umožňuje šifrování signalizačního a mediálního provozu z a do koncových bodů Cisco.

Bezpečné UC aplikace

Povolení smíšeného režimu ve vyhrazené instanci

Smíšený režim není ve výchozím nastavení ve vyhrazené instanci povolen.

Povolení smíšeného režimu ve vyhrazené instanci umožňuje provádět šifrování signalizačního a mediálního provozu z koncových bodů Cisco a do nich.

V Cisco Unified CM vydání 12.5(1) byla přidána nová možnost umožňující šifrování signalizace a médií na bázi SIP OAuth namísto smíšeného módu / CTL pro klienty Jabber a Webex. Proto lze v Unified CM release 12.5(1) použít SIP OAuth a SRTP pro umožnění šifrování pro signalizaci a média pro klienty Jabber nebo Webex. Povolení smíšeného režimu je v současné době nadále vyžadováno pro telefony Cisco IP a další koncové body Cisco. Existuje plán přidat podporu pro SIP OAuth v 7800/8800 koncových bodů v budoucím vydání.

Zabezpečení hlasových zpráv

Cisco Unity Connection se připojuje k Unified CM přes port TLS. Je-li bezpečnostní režim zařízení nezabezpečený, Cisco Unity Connection se připojí k Unified CM prostřednictvím SCCP portu.

Pro konfiguraci zabezpečení Jednotných CM portů pro hlasové zprávy a zařízení Cisco Unity, která používají SCCP nebo zařízení Cisco Unity Connection, která používají SCCP, si může partner vybrat bezpečný režim zabezpečení zařízení pro daný port. Pokud zvolíte ověřený port hlasové schránky, otevře se TLS spojení, které autentizuje zařízení pomocí vzájemné výměny certifikátů (každé zařízení akceptuje certifikát druhého zařízení). Pokud zvolíte šifrovaný port hlasové schránky, systém nejprve zařízení ověří a poté mezi zařízeními odešle šifrované hlasové proudy.

Další informace o portech bezpečnostních hlasových zpráv naleznete na adrese: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Zabezpečení pro SRST, Trunks, Gateways, CUBE/SBC

Brána umožňující Cisco Unified Survivable Remote Site Telephony (SRST) poskytuje omezené úkoly zpracování hovorů, pokud Cisco Unified CM na vyhrazeném místě nemůže hovor dokončit.

Zabezpečené brány s podporou SRST obsahují vlastnoručně podepsaný certifikát. Poté, co partner provádí konfigurační úlohy SRST v jednotné správě CM, používá Unified CM připojení TLS k ověření pomocí služby Certificate Provider v bráně aktivované SRST. Unified CM pak získá certifikát z brány s podporou SRST a přidá jej do databáze Unified CM.

Poté, co partner resetuje závislá zařízení v Unified CM Administration, TFTP server přidá certifikát brány s podporou SRST do souboru cnf.xml telefonu a odešle soubor do telefonu. Zabezpečený telefon pak využívá připojení TLS k interakci s bránou s podporou SRST.

Doporučuje se mít zabezpečené kmeny pro volání z Cisco Unified CM na bránu pro odchozí volání PSTN nebo projíždění přes Cisco Unified Border Element (CUBE).

SIP trunky mohou podporovat zabezpečené hovory jak pro signalizaci, tak pro média; TLS poskytuje šifrování signalizace a SRTP poskytuje šifrování médií.

Zabezpečení komunikace mezi Cisco Unified CM a CUBE

Pro bezpečnou komunikaci mezi Cisco Unified CM a CUBE musí partneři/zákazníci používat buď certifikát s vlastním podpisem, nebo certifikát s CA podpisem.

V případě osvědčení podepsaných vlastnoručně:

  1. CUBE a Cisco Unified CM generují samopodepsané certifikáty

  2. CUBE exportuje certifikát do Cisco Unified CM

  3. Cisco Unified CM exportní certifikát do CUBE

Pro certifikáty podepsané CA:

  1. Klient vygeneruje pár klíčů a odešle žádost o podpis certifikátu (CSR) certifikační autoritě (CA)

  2. CA jej podepíše svým privátním klíčem a vytvoří certifikát totožnosti

  3. Klient nainstaluje seznam důvěryhodných kořenových a zprostředkovatelských certifikátů CA a certifikát totožnosti

Zabezpečení vzdálených koncových bodů

S koncovými body Mobile a Remote Access (MRA) je signalizace a média vždy šifrována mezi koncovými body MRA a uzly dálnice. Pokud se pro koncové body MRA používá protokol Interactive Connectivity Establishment (ICE), je vyžadováno signalizační a mediální šifrování koncových bodů MRA. Šifrování signalizace a médií mezi Expressway-C a interními Unified CM servery, interními koncovými body nebo jinými interními zařízeními však vyžaduje smíšený režim nebo SIP OAuth.

Cisco Expressway poskytuje bezpečnou podporu pro přechod firewallem a liniovou podporu pro jednotné registrace CM. Jednotný CM poskytuje řízení volání jak pro mobilní koncové body, tak pro koncové body on-premises. Signalizace prochází řešením rychlostní silnice mezi vzdáleným koncovým bodem a Jednotným CM. Média procházejí řešením dálnice a jsou přenášena mezi koncovými body přímo. Všechna média jsou šifrována mezi dálnicí C a mobilním koncovým bodem.

Jakékoli řešení MRA vyžaduje Expressway a Unified CM, s měkkými klienty kompatibilními s MRA a/nebo pevnými koncovými body. Řešení může volitelně zahrnovat službu IM a Presence a Unity Connection.

Shrnutí protokolu

Následující tabulka ukazuje protokoly a související služby používané v řešení Unified CM.

Tabulka 1. Protokoly a související služby

Protokol

Zabezpečení

Služba

Protokol SIP

TLS

Zřízení relace: Registrace, pozvání atd.

HTTPS

TLS

Přihlášení, Provisioning/Configuration, Directory, Visual Voicemail

Média

SRTP

Média: Audio, video, sdílení obsahu

XMPP

TLS

Okamžité zasílání zpráv, přítomnost, federace

Další informace o konfiguraci MRA naleznete v části: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Možnosti konfigurace

Dedikovaná instance poskytuje partnerovi flexibilitu pro přizpůsobení služeb pro koncové uživatele prostřednictvím plné kontroly dvoudenních konfigurací. V důsledku toho nese Partner výhradní odpovědnost za správnou konfiguraci služby Vyhrazené instance pro prostředí koncového uživatele. Patří sem mimo jiné:

  • Volba zabezpečených/nezabezpečených hovorů, zabezpečených/nezabezpečených protokolů, jako je SIP/sSIP, http/https atd., a pochopení všech souvisejících rizik.

  • Pro všechny MAC adresy, které nejsou v dedikované instanci nakonfigurovány jako zabezpečené SIP, může útočník odeslat zprávu registru SIP pomocí této adresy Mac a být schopen uskutečnit volání SIP, což vede k podvodu s mýtným. Předpokladem je, že útočník může zaregistrovat své SIP zařízení/software do vyhrazené instance bez autorizace, pokud zná Mac adresu zařízení registrovaného ve vyhrazené instanci.

  • Aby se zabránilo podvodům s mýtným, měly by být nakonfigurovány zásady volání na dálnici E, pravidla pro transformaci a vyhledávání. Další informace o předcházení podvodům s mýtným pomocí rychlostních silnic naleznete v části Bezpečnost pro rychlostní silnice C a E v dokumentu Spolupráce SRND.

  • Konfigurace plánu vytáčení, aby uživatelé mohli vytáčet pouze povolené cíle, např. zakázat vnitrostátní/mezinárodní vytáčení, správně směrovat tísňová volání atd. Další informace o uplatňování omezení pomocí plánu vytáčení naleznete v části Plán vytáčení v dokumentu SRND o spolupráci.

Požadavky na certifikáty pro zabezpečená připojení ve vyhrazeném případě

Pro vyhrazený případ poskytne společnost Cisco doménu a podepíše všechny certifikáty pro aplikace UC pomocí veřejné certifikační autority (CA).

Vyhrazená instance – čísla portů a protokoly

Testovací odstavec

Následující tabulky popisují porty a protokoly, které jsou podporovány ve vyhrazené instanci. Porty, které jsou využívány pro daného zákazníka, závisí na nasazení a řešení zákazníka. Protokoly závisí na preferencích zákazníka (SCCP vs. SIP), na existujících zařízeních v areálu a na úrovni zabezpečení, aby bylo možné určit, které porty mají být při každém nasazení použity.

Vyhrazená instance – zákaznické porty

Porty, které jsou k dispozici zákazníkům - mezi provozovnou zákazníka a vyhrazenou instancí, jsou uvedeny v tabulce 1. Všechny níže uvedené přístavy jsou určeny pro zákaznickou dopravu procházející peeringovými odkazy.


SNMP port je podporován pouze pro funkčnost CER a nikoli pro jiné monitorovací nástroje třetích stran.


Porty v rozsahu 5063 až 5080 jsou vyhrazeny společností Cisco pro jiné cloudové integrace, správcům partnerů nebo zákazníků se doporučuje, aby tyto porty nepoužívali ve svých konfiguracích.

Tabulka 2. Vyhrazené příklady zákaznických portů

Protokol

TCP/UCP

Zdroj

Cíl

Zdrojový port

Cílový přístav

Účel

SSH

TCP

Klient

Aplikace UC

Větší než 1023

22

Správa

LDAP

TCP

Aplikace UC

Externí adresář

Větší než 1023

389

Synchronizace adresáře se zákaznickým LDAP

HTTPS

TCP

Prohlížeč

Aplikace UC

Větší než 1023

443

Přístup na internet pro samoobslužná a administrativní rozhraní

LDAP (ZABEZPEČENÉ)

TCP

Aplikace UC

Externí adresář

Větší než 1023

636

Synchronizace adresáře se zákaznickým LDAP

SCCP

TCP

Koncový bod

Unified CM, CUCxn

Větší než 1023

2000

Signalizace volání

SCCP

TCP

Unified CM

Unified CM, Gateway

Větší než 1023

2000

Signalizace volání

SCCP (ZABEZPEČENÉ)

TCP

Koncový bod

Unified CM, CUCxn

Větší než 1023

2443

Signalizace volání

SCCP (ZABEZPEČENÉ)

TCP

Unified CM

Unified CM, Gateway

Větší než 1023

2443

Signalizace volání

Ověření důvěry

TCP

Koncový bod

Unified CM

Větší než 1023

2445

Poskytování služeb ověřování důvěry koncovým bodům

CTI

TCP

Koncový bod

Unified CM

Větší než 1023

2748

Spojení mezi aplikacemi CTI (JTAPI/TSP) a CTIManager

Zabezpečená CTI

TCP

Koncový bod

Unified CM

Větší než 1023

2749

Bezpečné spojení mezi aplikacemi CTI (JTAPI/TSP) a CTIManager

Globální katalog LDAP

TCP

Aplikace UC

Externí adresář

Větší než 1023

3268

Synchronizace adresáře se zákaznickým LDAP

Globální katalog LDAP

TCP

Aplikace UC

Externí adresář

Větší než 1023

3269

Synchronizace adresáře se zákaznickým LDAP

Služba CAPF

TCP

Koncový bod

Unified CM

Větší než 1023

3804

Poslechový port certifikační autority proxy funkce (CAPF) pro vydávání lokálně významných certifikátů (LSC) pro IP telefony

Protokol SIP

TCP

Koncový bod

Unified CM, CUCxn

Větší než 1023

5060

Signalizace volání

Protokol SIP

TCP

Unified CM

Unified CM, Gateway

Větší než 1023

5060

Signalizace volání

SIP (ZABEZPEČENÉ)

TCP

Koncový bod

Unified CM

Větší než 1023

5061

Signalizace volání

SIP (ZABEZPEČENÉ)

TCP

Unified CM

Unified CM, Gateway

Větší než 1023

5061

Signalizace volání

SIP (OAUTH)

TCP

Koncový bod

Unified CM

Větší než 1023

5090

Signalizace volání

XMPP

TCP

Klient Jabber

Cisco IM&P

Větší než 1023

5222

Okamžité zprávy a přítomnost

HTTP

TCP

Koncový bod

Unified CM

Větší než 1023

6970

Stahování konfigurace a obrázků do koncových bodů

HTTPS

TCP

Koncový bod

Unified CM

Větší než 1023

6971

Stahování konfigurace a obrázků do koncových bodů

HTTPS

TCP

Koncový bod

Unified CM

Větší než 1023

6972

Stahování konfigurace a obrázků do koncových bodů

HTTP

TCP

Klient Jabber

CUCxn

Větší než 1023

7080

Hlasová oznámení

HTTPS

TCP

Klient Jabber

CUCxn

Větší než 1023

7443

Bezpečná oznámení hlasové schránky

HTTPS

TCP

Unified CM

Unified CM

Větší než 1023

7501

Používá Intercluster Lookup Service (ILS) pro autentizaci založenou na certifikátech

Odchozí pošta (ZABEZPEČENÁ)

TCP

Aplikace UC

CUCxn

Větší než 1023

587

Používá se pro psaní a odesílání zabezpečených zpráv všem určeným příjemcům

HTTPS

TCP

Unified CM

Unified CM

Větší než 1023

7502

Používá ILS pro autentizaci na základě hesla

IMAP

TCP

Klient Jabber

CUCxn

Větší než 1023

7993

IMAP přes TLS

HTTPS

TCP

Koncové body - prohlížeče

Aplikace UC

Větší než 1023

8443

Přístup k internetu pro samoobslužná a administrativní rozhraní, UDS

HTTPS

TCP

Prem

Unified CM

Větší než 1023

9443

Ověřené vyhledávání kontaktů

Zabezpečený RTP/SRTP

UDP

Unified CM

Telefon

16384 až 32767 *

16384 až 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Otevřeno na základě signalizace volání)

Zabezpečený RTP/SRTP

UDP

Telefon

Unified CM

16384 až 32767 *

16384 až 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Otevřeno na základě signalizace volání)

ICMP

ICMP

Koncový bod

Aplikace UC

není k dispozici

není k dispozici

Ping

ICMP

ICMP

Aplikace UC

Koncový bod

není k dispozici

není k dispozici

Ping

* Některé zvláštní případy mohou používat větší rozsah.

Vyhrazená instance – OTT porty

Následující seznam portů mohou používat zákazníci a partneři pro mobilní a vzdálený přístup (MRA):

Tabulka 3. Seznam přístavů pro OTT

Protokol

TCP/UCP

Zdroj

Cíl

Zdrojový port

Cílový přístav

Účel

ZABEZPEČENÝ SIP

TCP

Koncový bod

Rychlostní silnice E

Větší než 1023

5061

Zabezpečená signalizace SIP Pro registraci MRA a volání

ZABEZPEČENÝ SIP

TCP

Koncový bod/server

Rychlostní silnice E

Větší než 1023

5062

Zabezpečený SIP pro B2B hovory

ZABEZPEČENÝ RTP/RTCP

UDP

Koncový bod/server

Rychlostní silnice E

Větší než 1023

36000-59999

Zabezpečená média pro MRA a B2B hovory

HTTPS (ZABEZPEČENÉ)

TLS

Klient

Rychlostní silnice E

Větší než 1023

8443

CUCM UDS a CUCxn REST pro volání MRA

XML

TLS

Klient

Rychlostní silnice E

Větší než 1023

5222

IM a přítomnost

OTOČIT

UDP

Klient ICE

Rychlostní silnice E

Větší než 1023

3478

Jednání o LEDU/OMRÁČENÍ/OBRATU

ZABEZPEČENÝ RTP/RTCP

UPD

Klient ICE

Rychlostní silnice E

Větší než 1023

24000-29999

OTOČTE médium pro pádu LEDU

Vyhrazený případ – porty UCCX

Následující seznam portů mohou zákazníci a partneři použít pro konfiguraci UCCX.

Tabulka 4. Cisco UCCX porty

Protokol

TCP / UCP

Zdroj

Cíl

Zdrojový port

Cílový přístav

Účel

SSH

TCP

Klient

UCCX

Větší než 1023

22

SFTP a SSH

Informix

TCP

Klient nebo Server

UCCX

Větší než 1023

1504

Jednotný port databáze CCX

Protokol SIP

UDP a TCP

SIP GW nebo MCRP server

UCCX

Větší než 1023

5065

Komunikace se vzdálenými uzly GW a MCRP

XMPP

TCP

Klient

UCCX

Větší než 1023

5223

Zabezpečené připojení XMPP mezi serverem Finesse a vlastními aplikacemi třetích stran

CVD

TCP

Klient

UCCX

Větší než 1023

6999

Editor aplikací CCX

HTTPS

TCP

Klient

UCCX

Větší než 1023

7443

Zabezpečené BOSH spojení mezi Finesse serverem a desktopy agenta a supervizora pro komunikaci přes HTTPS

HTTP

TCP

Klient

UCCX

Větší než 1023

8080

Live-data reporting klienti se připojují k socket.IO serveru

HTTP

TCP

Klient

UCCX

Větší než 1023

8081

Klientský prohlížeč, který se pokouší o přístup k webovému rozhraní Cisco Unified Intelligence Center

HTTP

TCP

Klient

UCCX

Větší než 1023

8443

Admin GUI, RTMT, DB přístup přes SOAP

HTTPS

TCP

Klient

UCCX

Větší než 1023

8444

Webové rozhraní Cisco Unified Intelligence Center

HTTPS

TCP

Klienti prohlížeče a REST

UCCX

Větší než 1023

8445

Zabezpečený port pro Finesse

HTTPS

TCP

Klient

UCCX

Větší než 1023

8447

HTTPS - Unified Intelligence Center online nápověda

HTTPS

TCP

Klient

UCCX

Větší než 1023

8553

Komponenty Single Sign-On (SSO) přistupují k tomuto rozhraní, aby znaly provozní stav Cisco IdS.

HTTP

TCP

Klient

UCCX

Větší než 1023

9080

Klienti se snaží získat přístup k http spouštěčům nebo dokumentům /výzvám/ gramatikám / živým datům.

HTTPS

TCP

Klient

UCCX

Větší než 1023

9443

Zabezpečený port používaný k odpovědi klientům, kteří se pokoušejí získat přístup k HTTPS spouštěcím prvkům

TCP

TCP

Klient

UCCX

Větší než 1023

12014

Jedná se o port, kde se mohou klienti s živými daty připojit k socket.IO serveru

TCP

TCP

Klient

UCCX

Větší než 1023

12015

Jedná se o port, kde se mohou klienti s živými daty připojit k socket.IO serveru

CTI

TCP

Klient

UCCX

Větší než 1023

12028

Klient CTI třetí strany pro CCX

RTP(Média)

TCP

Koncový bod

UCCX

Větší než 1023

Větší než 1023

Mediální port se otevírá dynamicky podle potřeby

RTP(Média)

TCP

Klient

Koncový bod

Větší než 1023

Větší než 1023

Mediální port se otevírá dynamicky podle potřeby

Zabezpečení klienta

Zabezpečení Jabber a Webex pomocí SIP OAuth

Klienti Jabber a Webex jsou ověřováni pomocí OAuth tokenu namísto lokálně významného certifikátu (LSC), který nevyžaduje povolení funkce proxy certifikační autority (CAPF) (pro MRA také). SIP OAuth pracující se smíšeným režimem nebo bez něj byl představen v Cisco Unified CM 12.5(1), Jabber 12.5 a Expressway X12.5.

V Cisco Unified CM 12.5 máme novou volbu v Phone Security Profile, která umožňuje šifrování bez LSC/CAPF, pomocí jediného Transport Layer Security (TLS) + OAuth tokenu v SIP REGISTRU. Uzly Expressway-C využívají rozhraní API Administrativní XML webová služba (AXL) k informování Cisco Unified CM o SN/SAN ve svém certifikátu. Společnost Cisco Unified CM používá tyto informace k ověření certifikátu EXP-C při navazování vzájemného TLS spojení.

SIP OAuth umožňuje šifrování médií a signalizace bez certifikátu koncového bodu (LSC).

Cisco Jabber používá k stahování konfiguračních souborů porty Ephemeral a zabezpečené porty 6971 a 6972 přes HTTPS připojení k TFTP serveru. Port 6970 je nezabezpečený port ke stažení přes http.

Více informací o konfiguraci SIP OAuth: Režim SIP OAuth.

Požadavky DNS

Pro vyhrazenou instanci poskytuje společnost Cisco FQDN pro službu v každém regionu v následujícím formátu<customer>.<region>.wxc-di.webex.com, například xyz.amer.wxc-di.webex.com.

Hodnotu „zákazník“ poskytuje správce jako součást Průvodce prvním nastavením (FTSW). Další informace naleznete v části Aktivace služby vyhrazené instance.

DNS záznamy pro tento FQDN musí být řešitelné z interního serveru DNS zákazníka pro podporu on-premise zařízení připojených k vyhrazené instance. Pro usnadnění řešení, Zákazník musí nakonfigurovat Podmíněný Zasílatel, Pro tento FQDN, Na jejich DNS serveru ukazující na vyhrazené instance DNS služby. Služba Dedikovaná instance DNS je regionální a lze se k ní dostat prostřednictvím peeringu na Dedikovanou instanci pomocí následujících IP adres, jak je uvedeno v následující tabulce Dedikovaná instance DNS Service IP Address.

Tabulka 5. Dedikovaná IP adresa DNS služby Instance

Region/DC

Dedikovaná IP adresa DNS služby Instance

Příklad podmíněného přeposílání

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

HŘÍCH

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


Možnost ping je pro výše uvedené adresy IP serveru DNS z bezpečnostních důvodů vypnuta.

Dokud nebude zavedeno podmíněné přesměrování, zařízení se nebudou moci zaregistrovat do Vyhrazené instance z interní sítě zákazníků prostřednictvím peeringových odkazů. Podmíněné přeposílání není nutné pro registraci prostřednictvím mobilního a vzdáleného přístupu (MRA), protože všechny požadované externí DNS záznamy pro usnadnění MRA budou předem poskytnuty společností Cisco.

Pokud používáte aplikaci Webex jako volajícího softwarového klienta na vyhrazeném příkladu, musí být profil správce UC nakonfigurován v ovládacím centru pro každou oblast domény hlasových služeb (VSD). Další informace naleznete v profilech UC Manager v Cisco Webex Control Hub. Aplikace Webex bude schopna automaticky vyřešit okraj dálnice zákazníka bez jakéhokoli zásahu koncového uživatele.


Doména hlasových služeb bude zákazníkovi poskytnuta jako součást partnerského přístupového dokumentu po dokončení aktivace služby.