Síťové požadavky na vyhrazenou instanci

Vyhrazená instance volání Webex je součástí portfolia Cisco Cloud Calling, které využívá technologii spolupráce Cisco Unified Communications Manager (Cisco Unified CM). Vyhrazená instance nabízí řešení pro hlas, video, zasílání zpráv a mobilitu s funkcemi a výhodami IP telefonů Cisco, mobilních zařízení a desktopových klientů, kteří se bezpečně připojují k vyhrazené instanci.

Tento článek je určen správcům sítě, zejména správcům brány firewall a zabezpečení proxy serveru, kteří chtějí používat vyhrazenou instanci v rámci své organizace. Tento dokument se primárně zaměřuje na síťové požadavky a zabezpečení pro řešení vyhrazených instancí, včetně vrstveného přístupu k funkcím a funkcím, které poskytují zabezpečený fyzický přístup, zabezpečenou síť, zabezpečené koncové body a zabezpečené aplikace Cisco UC.

Požadavky na certifikát pro zabezpečená připojení ve vyhrazené instanci

Pro vyhrazenou instanci volání Webexu poskytne společnost Cisco doménu a podepíše všechny certifikáty pro aplikace UC pomocí veřejné certifikační autority (CA).

Vyhrazená instance – čísla portů a protokoly

Následující tabulky popisují porty a protokoly, které jsou podporovány ve vyhrazené instanci. Porty, které se používají pro daného zákazníka, závisí na nasazení a řešení zákazníka. Protokoly závisí na preferencích zákazníka (SCCP vs SIP), stávajících místních zařízeních a na tom, jakou úroveň zabezpečení určují, které porty se mají použít v každém nasazení.

Vyhrazená instance – porty zákazníka

Porty dostupné pro zákazníky – mezi provozovnou zákazníka a vyhrazenou instancí jsou uvedeny v tabulce 1 Vyhrazené porty zákazníkainstance. Všechny níže uvedené porty jsou určeny pro provoz zákazníků procházející partnerskými odkazy.


SnMp port je podporován pouze pro funkce CER a nikoli pro jiné monitorovací nástroje třetích stran.

Tabulka 1. Vyhrazené instance Zákaznických portů

Protokol

TCP/UCP

Zdroj

Cíl

Zdrojový port

Cílový přístav

Účel

SSH

TCP

Klient

Uc aplikace

Větší než 1023

22

Správa

LDAP

TCP

Uc aplikace

Externí adresář

Větší než 1023

389

Synchronizace adresářů s LDAP zákazníka

Identifikátor HTTPS

TCP

Prohlížeč

Uc aplikace

Větší než 1023

443

Webový přístup pro samoobslužná a administrativní rozhraní

LDAP (ZABEZPEČENÝ)

TCP

Uc aplikace

Externí adresář

Větší než 1023

636

Synchronizace adresářů s LDAP zákazníka

SCCP

TCP

Koncový bod

Sjednocený CM, CUCxn

Větší než 1023

2000

Signalizace hovorů

SCCP

TCP

Unified CM

Sjednocený CM, brána

Větší než 1023

2000

Signalizace hovorů

SCCP (ZABEZPEČENÍ)

TCP

Koncový bod

Sjednocený CM, CUCxn

Větší než 1023

2443

Signalizace hovorů

SCCP (ZABEZPEČENÍ)

TCP

Unified CM

Sjednocený CM, brána

Větší než 1023

2443

Signalizace hovorů

Ověření důvěryhodnosti

TCP

Koncový bod

Unified CM

Větší než 1023

2445

Poskytování služby ověření důvěryhodnosti koncovým bodům

CTI

TCP

Koncový bod

Unified CM

Větší než 1023

2748

Propojení mezi aplikacemi CTI (JTAPI/TSP) a CTIManager

Bezpečné CTI

TCP

Koncový bod

Unified CM

Větší než 1023

2749

Zabezpečené propojení mezi aplikacemi CTI (JTAPI/TSP) a CTIManager

Globální katalog LDAP

TCP

Uc Aplikace

Externí adresář

Větší než 1023

3268

Synchronizace adresářů s LDAP zákazníka

Globální katalog LDAP

TCP

Uc Aplikace

Externí adresář

Větší než 1023

3269

Synchronizace adresářů s LDAP zákazníka

Služba CAPF

TCP

Koncový bod

Unified CM

Větší než 1023

3804

Naslouchající port CAPF (Certificate Authority Proxy Function) pro vydávání místně významných certifikátů (LSC) pro IP telefony

Protokol SIP

TCP

Koncový bod

Sjednocený CM, CUCxn

Větší než 1023

5060

Signalizace hovorů

Protokol SIP

TCP

Unified CM

Sjednocený CM, brána

Větší než 1023

5060

Signalizace hovorů

SIP (BEZPEČNÝ)

TCP

Koncový bod

Unified CM

Větší než 1023

5061

Signalizace hovorů

SIP (BEZPEČNÝ)

TCP

Unified CM

Sjednocený CM, brána

Větší než 1023

5061

Signalizace hovorů

SIP (OAUTH)

TCP

Koncový bod

Unified CM

Větší než 1023

5090

Signalizace hovorů

XMPP

TCP

Jabber klient

Cisco IM&P

Větší než 1023

5222

Zasílání rychlých zpráv a informace o stavu

HTTP

TCP

Koncový bod

Unified CM

Větší než 1023

6970

Stahování konfigurace a imagí do koncových bodů

Identifikátor HTTPS

TCP

Koncový bod

Unified CM

Větší než 1023

6971

Stahování konfigurace a imagí do koncových bodů

Identifikátor HTTPS

TCP

Koncový bod

Unified CM

Větší než 1023

6972

Stahování konfigurace a imagí do koncových bodů

HTTP

TCP

Jabber klient

CUCxn

Větší než 1023

7080

Oznámení hlasové schránky

Identifikátor HTTPS

TCP

Jabber klient

CUCxn

Větší než 1023

7443

Oznámení o zabezpečené hlasové schránce

Identifikátor HTTPS

TCP

Unified CM

Unified CM

Větší než 1023

7501

Používá služba ILS (Intercluster Lookup Service) k ověřování na základě certifikátů

Identifikátor HTTPS

TCP

Unified CM

Unified CM

Větší než 1023

7502

Používá ILS pro ověřování na základě hesla

IMAP

TCP

Jabber klient

CUCxn

Větší než 1023

7993

IMAP přes TLS

Identifikátor HTTPS

TCP

Prohlížeč, koncový bod

Uc aplikace

Větší než 1023

8443

Webový přístup pro samoobslužná a administrativní rozhraní, UDS

Identifikátor HTTPS

TCP

Prem

Unified CM

Větší než 1023

9443

Vyhledávání ověřených kontaktů

Zabezpečený RTP/SRTP

UDP

Unified CM

Telefon

16384 až 32767 *

16384 až 32767 *

Média (audio) - Music On Hold, Annunciator, Software Conference Bridge (otevřeno na základě signalizace hovoru)

Zabezpečený RTP/SRTP

UDP

Telefon

Unified CM

16384 až 32767 *

16384 až 32767 *

Média (audio) - Music On Hold, Annunciator, Software Conference Bridge (otevřeno na základě signalizace hovoru)

ICMP

ICMP

Koncový bod

Uc aplikace

není k dispozici

není k dispozici

Ping

ICMP

ICMP

Uc aplikace

Koncový bod

není k dispozici

není k dispozici

Ping

* Některé zvláštní případy mohou používat větší rozsah.

Vyhrazená instance – OTT porty

Následující seznam portů mohou zákazníci a partneři použít pro nastavení mobilního a vzdáleného přístupu (MRA):

Tabulka 2. Seznam portů pro OTT

Protokol

TCP/UCP

Zdroj

Cíl

Zdrojový port

Cílový přístav

Účel

BEZPEČNÝ SIP

TCP

Koncový bod

Rychlostní silnice E

Větší než 1023

5061

Bezpečná SIP signalizace Pro registraci MRA a volání

BEZPEČNÝ SIP

TCP

Koncový bod/server

Rychlostní silnice E

Větší než 1023

5062

Bezpečné SIP pro B2B hovory

ZABEZPEČENÝ RTP/RTCP

UDP

Koncový bod/server

Rychlostní silnice E

Větší než 1023

36000-59999

Zabezpečená média pro HOVORY MRA a B2B

HTTPS (BEZPEČNÉ)

TLS

Klient

Rychlostní silnice E

Větší než 1023

8443

CUCM UDS a CUCxn REST pro volání MRA

Kódy XMLS

TLS

Klient

Rychlostní silnice E

Větší než 1023

5222

Rychlé zprávy a informace o stavu

OBRÁTIT

UDP

Klient ICE

Rychlostní silnice E

Větší než 1023

3478

Vyjednávání ICE/STUN/TURN

ZABEZPEČENÝ RTP/RTCP

UPD

Klient ICE

Rychlostní silnice E

Větší než 1023

24000-29999

TURN media pro ice fallback

Vyhrazená instance – porty UCCX

Následující seznam portů mohou zákazníci a partneři použít ke konfiguraci UCCX.

Tabulka 3. Porty Cisco UCCX

Protokol

TCP / UCP

Zdroj

Cíl

Zdrojový port

Cílový přístav

Účel

SSH

TCP

Klient

UCCX

Větší než 1023

22

SFTP a SSH

Informix

TCP

Klient nebo server

UCCX

Větší než 1023

1504

Sjednocený databázový port CCX

Protokol SIP

UDP a TCP

SIP GW nebo MCRP server

UCCX

Větší než 1023

5065

Komunikace se vzdálenými uzly GW a MCRP

XMPP

TCP

Klient

UCCX

Větší než 1023

5223

Zabezpečené připojení XMPP mezi serverem Finesse a vlastními aplikacemi třetích stran

KVO

TCP

Klient

UCCX

Větší než 1023

6999

Editor aplikací CCX

Identifikátor HTTPS

TCP

Klient

UCCX

Větší než 1023

7443

Zabezpečené připojení BOSH mezi serverem Finesse a desktopy agentů a supervizorů pro komunikaci přes HTTPS

HTTP

TCP

Klient

UCCX

Větší než 1023

8080

Klienti reportující živá data se připojují k soketu. Vstupně-výstupní server

HTTP

TCP

Klient

UCCX

Větší než 1023

8081

Klientský prohlížeč se pokouší o přístup k webovému rozhraní Cisco Unified Intelligence Center

HTTP

TCP

Klient

UCCX

Větší než 1023

8443

Admin GUI, RTMT, DB přístup přes SOAP

Identifikátor HTTPS

TCP

Klient

UCCX

Větší než 1023

8444

Webové rozhraní Cisco Unified Intelligence Center

Identifikátor HTTPS

TCP

Klienti prohlížeče a REST

UCCX

Větší než 1023

8445

Zabezpečený port pro Finesse

Identifikátor HTTPS

TCP

Klient

UCCX

Větší než 1023

8447

HTTPS – Online nápověda k Jednotnému zpravodajskému centru

Identifikátor HTTPS

TCP

Klient

UCCX

Větší než 1023

8553

Komponenty jednotného přihlašování (SSO) přistupují k tomuto rozhraní, aby věděly o provozním stavu Cisco IdS.

HTTP

TCP

Klient

UCCX

Větší než 1023

9080

Klienti, kteří se pokoušejí o přístup k HTTP triggerům nebo dokumentům / výzvám / gramatikám / živým datům.

Identifikátor HTTPS

TCP

Klient

UCCX

Větší než 1023

9443

Zabezpečený port používaný k reakci na klienty, kteří se pokoušejí získat přístup k aktivačním událostem HTTPS

TCP

TCP

Klient

UCCX

Větší než 1023

12014

Toto je port, kde se klienti sestav živých dat mohou připojit k soketu. Vstupně-výstupní server

TCP

TCP

Klient

UCCX

Větší než 1023

12015

Toto je port, kde se klienti sestav živých dat mohou připojit k soketu. Vstupně-výstupní server

CTI

TCP

Klient

UCCX

Větší než 1023

12028

Klient CTI třetí strany pro CCX

RTP (Média)

TCP

Koncový bod

UCCX

Větší než 1023

Větší než 1023

Mediální port se otevírá dynamicky podle potřeby

RTP (Média)

TCP

Klient

Koncový bod

Větší než 1023

Větší než 1023

Mediální port se otevírá dynamicky podle potřeby

Zabezpečení klientů

Zabezpečení Jabber a Webex pomocí SIP OAuth

Klienti Jabber a Webex se ověřují prostřednictvím tokenu OAuth namísto místně významného certifikátu (LSC), který nevyžaduje povolení funkce proxy certifikační autority (CAPF) (také pro MRA). SIP OAuth pracující se smíšeným režimem nebo bez něj byl představen v Cisco Unified CM 12.5(1), Jabber 12.5 a Expressway X12.5.

V Cisco Unified CM 12.5 máme novou možnost v Profilu zabezpečení telefonu, která umožňuje šifrování bez LSC/CAPF pomocí jednoho transportního protokolu (TLS) + tokenu OAuth v SIP REGISTER. Uzly Expressway-C používají rozhraní API webové služby AXL (Administrative XML Web Service) k informování Cisco Unified CM o SN/SAN ve svém certifikátu. Cisco Unified CM používá tyto informace k ověření certifikátu Exp-C při navazování vzájemného připojení TLS.

SIP OAuth umožňuje šifrování médií a signalizace bez certifikátu koncového bodu (LSC).

Cisco Jabber používá dočasné porty a zabezpečené porty 6971 a 6972 prostřednictvím připojení HTTPS k TFTP serveru ke stažení konfiguračních souborů. Port 6970 je nezabezpečený port pro stahování přes HTTP.

Další podrobnosti o konfiguraci SIP OAuth: Režim SIP OAuth.

Požadavky služby DNS

Pro vyhrazenou instanci poskytuje společnost Cisco plně kvalifikovaný název domény pro službu v každé oblasti v následujícím formátu <customer><region>. . wxc-di.webex.com například xyz.amer.wxc-di.webex.com.

Hodnotu "zákazník" poskytuje správce jako součást Průvodce prvním nastavením (FTSW). Další informace naleznete v tématu Aktivace služby vyhrazených instancí.

Záznamy DNS pro tento plně kvalifikovaný název domény musí být přeložitelné z interního serveru DNS zákazníka, aby podporovaly místní zařízení připojující se k vyhrazené instanci. Pro usnadnění překladu musí zákazník nakonfigurovat službu podmíněného předávání pro tento plně kvalifikovaný název domény na svém serveru DNS odkazujícím na službu DNS s vyhrazenou instancí. Služba DNS vyhrazené instance je regionální a lze ji získat prostřednictvím partnerského vztahu k vyhrazené instanci pomocí následujících IP adres, jak je uvedeno v následující tabulce Vyhrazená instance IP adresa služby DNS.

Tabulka 4. Vyhrazená instance IP služby DNS

Oblast/DC

Vyhrazená instance IP služby DNS

Příklad podmíněného předávání

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

HŘÍCH

103.232.71.288

Dokud nebude podmíněné předávání zavedeno, zařízení se nebudou moci zaregistrovat k vyhrazené instanci z interní sítě zákazníků prostřednictvím propojení partnerských vztahů. Podmíněné předávání není vyžadováno pro registraci prostřednictvím mobilního a vzdáleného přístupu (MRA), protože všechny požadované externí záznamy DNS pro usnadnění MRA budou předem zřízeny společností Cisco.

Při použití aplikace Webex jako volajícího měkkého klienta ve vyhrazené instanci je třeba nakonfigurovat profil správce UC v Centru řízení pro doménu hlasové služby (VSD) každé oblasti. Další informace naleznete v tématu Profily správce UC v řídicím centru Cisco Webex. Aplikace Webex bude schopna automaticky vyřešit Expressway Edge zákazníka bez zásahu koncového uživatele.


Doména hlasové služby bude zákazníkovi poskytnuta jako součást dokumentu o přístupu partnera po dokončení aktivace služby.

Odkazy