Síťové požadavky na vyhrazenou instanci

Vyhrazená instance volání Webex je součástí portfolia Cisco Cloud Calling, které využívá technologii spolupráce Cisco Unified Communications Manager (Cisco Unified CM). Vyhrazená instance nabízí řešení pro hlas, video, zasílání zpráv a mobilitu s funkcemi a výhodami IP telefonů Cisco, mobilních zařízení a desktopových klientů, kteří se bezpečně připojují k vyhrazené instanci.

Tento článek je určen správcům sítě, zejména správcům brány firewall a zabezpečení proxy serveru, kteří chtějí používat vyhrazenou instanci v rámci své organizace. Tento dokument se primárně zaměřuje na síťové požadavky a zabezpečení pro řešení vyhrazených instancí, včetně vrstveného přístupu k funkcím a funkcím, které poskytují zabezpečený fyzický přístup, zabezpečenou síť, zabezpečené koncové body a zabezpečené aplikace Cisco UC.

Přehled zabezpečení: Zabezpečení ve vrstvách

Vyhrazená instance používá vrstvený přístup k zabezpečení. Vrstvy zahrnují:

  • Fyzický přístup

  • Síť

  • komunikaci

  • Uc aplikace

Následující části popisují vrstvy zabezpečení v nasazeních vyhrazených instancí .

Fyzické zabezpečení

Je důležité zajistit fyzické zabezpečení místností Equinix Meet-Me Room a zařízení Cisco Dedicated Instance Data Center. Pokud je ohroženo fyzické zabezpečení, mohou být zahájeny jednoduché útoky, jako je přerušení služby vypnutím napájení přepínačů zákazníka. S fyzickým přístupem by útočníci mohli získat přístup k serverovým zařízením, resetovat hesla a získat přístup k přepínačům. Fyzický přístup také usnadňuje sofistikovanější útoky, jako jsou útoky typu man-in-the-middle, což je důvod, proč je druhá vrstva zabezpečení, zabezpečení sítě, kritická.

Samošifrovací jednotky se používají ve vyhrazených datových centrech instancí , která hostují aplikace UC.

Další informace o obecných postupech zabezpečení naleznete v dokumentaci v následujícím umístění: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Zabezpečení sítě

Partneři musí zajistit, aby všechny síťové prvky byly zabezpečeny v infrastruktuře vyhrazené instance (která se připojuje přes Equinix). Je odpovědností partnera zajistit osvědčené postupy zabezpečení, jako jsou:

  • Samostatná síť VLAN pro hlas a data

  • Povolit zabezpečení portů, které omezuje počet MAC adres povolených na port, proti zaplavení tabulky CAM

  • Ochrana zdroje IP proti falešným IP adresám

  • Dynamická kontrola ARP (DAI) zkoumá protokol ARP (Address Resolution Protocol) a bezdůvodné ARP (GARP) z hlediska porušení (proti falšování identity ARP)

  • 802.1x omezuje přístup k síti pro ověřování zařízení v přiřazených sítích VLAN (telefony podporují 8021x).

  • Konfigurace kvality služby (QoS) pro vhodné označení hlasových paketů

  • Konfigurace portů brány firewall pro blokování jakéhokoli jiného provozu

Zabezpečení koncových bodů

Koncové body Cisco podporují výchozí funkce zabezpečení, jako je podepsaný firmware, zabezpečené spouštění (vybrané modely), certifikát nainstalovaný výrobcem (MIC) a podepsané konfigurační soubory, které poskytují určitou úroveň zabezpečení koncových bodů.

Kromě toho může partner nebo zákazník povolit další zabezpečení, například:

  • Šifrování telefonních služeb IP (prostřednictvím protokolu HTTPS) pro služby, jako je mobilita rozšíření

  • Vydávání místně významných certifikátů (LSC) z funkce proxy certifikační autority (CAPF) nebo veřejné certifikační autority (CA)

  • Šifrování konfiguračních souborů

  • Šifrování médií a signalizace

  • Zakažte tato nastavení, pokud se nepoužívají: PC port, PC Voice VLAN Access, bezdůvodné ARP, Web Access, tlačítko Nastavení, SSH, konzole

Implementace bezpečnostních mechanismů ve vyhrazené instanci zabraňuje krádeži identity telefonů a serveru Unified CM, manipulaci s daty a signalizaci hovorů / manipulaci s mediálním proudem.

Vyhrazená instance v síti:

  • Vytváří a udržuje ověřené komunikační streamy

  • Digitálně podepisuje soubory před přenosem souboru do telefonu

  • Šifruje datové proudy médií a signalizaci hovorů mezi IP telefony Cisco Unified

Výchozí nastavení zabezpečení

Zabezpečení ve výchozím nastavení poskytuje následující automatické funkce zabezpečení pro telefony Cisco Unified IP:

  • Podepisování konfiguračních souborů telefonu

  • Podpora šifrování konfiguračních souborů telefonu

  • HTTPS s Tomcat a dalšími webovými službami (MIDlets)

Pro Unified CM verze 8.0 novější jsou tyto funkce zabezpečení poskytovány ve výchozím nastavení bez spuštění klienta Seznamu důvěryhodných certifikátů (CTL).

Služba ověřování důvěry

Vzhledem k tomu, že v síti je velký počet telefonů a IP telefony mají omezenou paměť, Cisco Unified CM funguje jako vzdálené úložiště důvěryhodných certifikátů prostřednictvím služby Ověření důvěry (TVS), takže úložiště důvěryhodných certifikátů nemusí být umístěno na každém telefonu. IP telefony Cisco kontaktují server TVS k ověření, protože nemohou ověřit podpis nebo certifikát prostřednictvím souborů CTL nebo ITL. Centrální úložiště důvěryhodných certifikátů se spravuje snadněji než úložiště důvěryhodných certifikátů na každém telefonu Cisco Unified IP.

TVS umožňuje IP telefonům Cisco Unified ověřovat aplikační servery, jako jsou služby EM, adresář a MIDlet, během vytváření protokolu HTTPS.

Počáteční seznam důvěryhodných certifikátů

Soubor ITL (Initial Trust List) se používá pro počáteční zabezpečení, takže koncové body mohou důvěřovat Cisco Unified CM. ITL nepotřebuje žádné funkce zabezpečení, které by měly být explicitně povoleny. Soubor ITL je automaticky vytvořen při instalaci clusteru. Soukromý klíč serveru UNIFIED CM Trivial File Transfer Protocol (TFTP) se používá k podepsání souboru ITL.

Pokud je cluster nebo server Cisco Unified CM v nezabezpečeném režimu, soubor ITL se stáhne do všech podporovaných IP telefonů Cisco. Partner může zobrazit obsah souboru ITL pomocí příkazu CLI admin:show itl.

IP telefony Cisco potřebují soubor ITL k provádění následujících úloh:

  • Bezpečná komunikace s CAPF, předpoklad pro podporu šifrování konfiguračního souboru

  • Ověření podpisu konfiguračního souboru

  • Ověřte aplikační servery, jako jsou služby EM, adresář a MIDlet během vytváření HTTPS pomocí TVS

Cisco CTL

Ověřování zařízení, souborů a signalizace závisí na vytvoření souboru seznamu důvěryhodných certifikátů (CTL), který je vytvořen, když partner nebo zákazník nainstaluje a nakonfiguruje klienta seznamu důvěryhodných certifikátů Cisco.

Soubor CTL obsahuje položky pro následující servery nebo tokeny zabezpečení:

  • Token zabezpečení správce systému (SAST)

  • Služby Cisco CallManager a Cisco TFTP, které jsou spuštěny na stejném serveru

  • Funkce proxy certifikační autority (CAPF)

  • TFTP server(y)

  • Brána firewall ASA

Soubor CTL obsahuje certifikát serveru, veřejný klíč, sériové číslo, podpis, název vystavitele, název subjektu, funkci serveru, název DNS a IP adresu pro každý server.

Zabezpečení telefonu pomocí seznamu CTL poskytuje následující funkce:

  • Autentizace stažených souborů TFTP (konfigurace, národní prostředí, kruhový seznam atd.) pomocí podpisového klíče

  • Šifrování konfiguračních souborů TFTP pomocí podpisového klíče

  • Šifrovaná signalizace hovorů pro IP telefony

  • Šifrovaný zvuk hovoru (média) pro IP telefony

Zabezpečení IP telefonů Cisco ve vyhrazené instanci

Vyhrazená instance poskytuje registraci koncového bodu a zpracování volání. Signalizace mezi Cisco Unified CM a koncovými body je založena na protokolu SCCP (Secure Skinny Client Control Protocol) nebo protokolu SIP (Session Initiation Protocol) a lze ji šifrovat pomocí protokolu TLS (Transport Layer Security). Média z/do koncových bodů jsou založena na protokolu RTP (Real-time Transport Protocol) a lze je také šifrovat pomocí protokolu SRTP (Secure RTP).

Povolení smíšeného režimu na Unified CM umožňuje šifrování signalizačního a mediálního provozu z a do koncových bodů Cisco.

Zabezpečené uc aplikace

Povolení smíšeného režimu ve vyhrazené instanci

Smíšený režim není ve výchozím nastavení ve vyhrazené instancipovolen.

Povolení smíšeného režimu ve vyhrazené instanci umožňuje provádět šifrování signalizačního a mediálního provozu z koncových bodů Cisco a do nich.

V Cisco Unified CM verze 12.5(1) byla přidána nová možnost povolit šifrování signalizace a médií na základě SIP OAuth namísto smíšeného režimu / CTL pro klienty Jabber a Webex. Proto v Unified CM verze 12.5(1) lze SIP OAuth a SRTP použít k povolení šifrování pro signalizaci a média pro klienty Jabber nebo Webex. Povolení smíšeného režimu je v současné době i nadále vyžadováno pro IP telefony Cisco a další koncové body Cisco. V budoucí verzi je plánováno přidání podpory pro SIP OAuth v koncových bodech 7800/8800.

Zabezpečení hlasových zpráv

Připojení Cisco Unity se připojuje k Unified CM prostřednictvím portu TLS. Pokud je režim zabezpečení zařízení nezabezpečený, připojení Cisco Unity se připojí k Unified CM prostřednictvím portu SCCP.

Chcete-li nakonfigurovat zabezpečení pro porty hlasového zasílání zpráv Unified CM a zařízení Cisco Unity se systémem SCCP nebo Cisco Unity Connection se systémem SCCP, může partner pro port zvolit zabezpečený režim zabezpečení zařízení. Pokud zvolíte ověřený port hlasové schránky, otevře se připojení TLS, které ověří zařízení pomocí vzájemné výměny certifikátů (každé zařízení přijímá certifikát druhého zařízení). Pokud zvolíte šifrovaný port hlasové schránky, systém nejprve ověří zařízení a poté odešle šifrované hlasové streamy mezi zařízeními.

Další informace o zabezpečení portů hlasových zpráv naleznete v tématu: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Zabezpečení pro SRST, Trunky, Brány, CUBE/SBC

Brána s podporou SRST (Cisco Unified Survivable Remote Site Telephony) poskytuje omezené úlohy zpracování hovorů, pokud Cisco Unified CM ve vyhrazené instanci nemůže dokončit volání.

Zabezpečené brány s povoleným SRST obsahují certifikát podepsaný svým držitelem. Poté, co partner provede úlohy konfigurace SRST v Unified CM Administration, Unified CM použije připojení TLS k ověření pomocí služby Poskytovatele certifikátů v bráně s povoleným SRST. Unified CM pak načte certifikát z brány s povoleným SRST a přidá certifikát do databáze Unified CM.

Poté, co partner resetuje závislá zařízení v Unified CM Administration, TFTP server přidá certifikát brány s povoleným SRST do souboru cnf.xml telefonu a odešle soubor do telefonu. Zabezpečený telefon pak používá připojení TLS k interakci s bránou s povoleným SRST.

Doporučuje se mít zabezpečené kmeny pro volání pocházející z Cisco Unified CM do brány pro odchozí volání veřejné telefonní sítě nebo procházející přes Cisco Unified Border Element (CUBE).

SIP trunky mohou podporovat bezpečné hovory jak pro signalizaci, tak pro média; Protokol TLS poskytuje šifrování signalizace a protokol SRTP poskytuje šifrování médií.

Zabezpečení komunikace mezi Cisco Unified CM a CUBE

Pro zabezpečenou komunikaci mezi Cisco Unified CM a CUBE musí partneři/zákazníci používat certifikát podepsaný svým držitelem nebo certifikáty podepsané certifikační autoritou.

Certifikáty podepsané svým držitelem:

  1. CUBE a Cisco Unified CM generují certifikáty podepsané svým držitelem

  2. CUBE exportuje certifikát do Cisco Unified CM

  3. Cisco Unified CM exportuje certifikát do CUBE

Certifikáty podepsané certifikační autoritou:

  1. Klient vygeneruje pár klíčů a odešle žádost o podpis certifikátu (CSR) certifikační autoritě (CA)

  2. Certifikační autorita ji podepíše svým privátním klíčem a vytvoří certifikát identity

  3. Klient nainstaluje seznam kořenových a zprostředkujících certifikátů důvěryhodné certifikační autority a certifikát identity.

Zabezpečení vzdálených koncových bodů

U koncových bodů mobilního a vzdáleného přístupu (MRA) je signalizace a média vždy šifrována mezi koncovými body MRA a uzly dálnice. Pokud se pro koncové body MRA používá protokol ICE (Interactive Connectivity Establishment), vyžaduje se signalizace a šifrování médií koncových bodů MRA. Šifrování signalizace a médií mezi Expressway-C a interními servery Unified CM, interními koncovými body nebo jinými interními zařízeními však vyžaduje smíšený režim nebo SIP OAuth.

Cisco Expressway poskytuje zabezpečený průchod bránou firewall a linkovou podporu pro registrace Unified CM. Sjednocený CM poskytuje řízení hovorů pro mobilní i místní koncové body. Signalizace prochází řešením dálnice mezi vzdáleným koncovým bodem a Unified CM. Médium prochází řešením Expressway a je přenášeno přímo mezi koncovými body. Všechna média jsou šifrována mezi Expressway-C a mobilním koncovým bodem.

Jakékoli řešení MRA vyžaduje Expressway a Unified CM s měkkými klienty kompatibilními s MRA a/nebo pevnými koncovými body. Řešení může volitelně zahrnovat služby IM a Presence Service a připojení Unity.

Shrnutí protokolu

V následující tabulce jsou uvedeny protokoly a přidružené služby používané v řešení Unified CM.

Tabulka 1. Protokoly a související služby

Protokol

Zabezpečení

Služba

Protokol SIP

TLS

Založení relace: Zaregistrujte se, pozvěte atd.

Identifikátor HTTPS

TLS

Přihlášení, zřizování/konfigurace, adresář, vizuální hlasová schránka

Média

SRTP

Média: Audio, video, sdílení obsahu

XMPP

TLS

Zasílání rychlých zpráv, stav, federace

Další informace o konfiguraci MRA najdete v těchto tématech: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Možnosti konfigurace

Vyhrazená instance poskytuje partnerovi flexibilitu pro přizpůsobení služeb koncovým uživatelům prostřednictvím plné kontroly nad konfiguracemi druhého dne. V důsledku toho je partner výhradně odpovědný za správnou konfiguraci služby vyhrazené instance pro prostředí koncového uživatele. To zahrnuje, ale není omezeno na:

  • Výběr zabezpečených/nezabezpečených hovorů, zabezpečených/nezabezpečených protokolů, jako jsou SIP/sSIP, http/https atd., a pochopení všech souvisejících rizik.

  • U všech MAC adres, které nejsou nakonfigurovány jako secure-SIP ve vyhrazené instanci, může útočník odeslat zprávu SIP Register pomocí této MAC adresy a být schopen provádět SIP hovory, což vede k mýtným podvodům. Předpokladem je, že útočník může zaregistrovat své SIP zařízení/software do dedicated instance bez autorizace, pokud zná MAC adresu zařízení registrovaného ve dedicated instance.

  • Zásady volání Dálnice-E, pravidla transformace a vyhledávání by měly být nakonfigurovány tak, aby se zabránilo podvodům s mýtným. Další informace o prevenci podvodů s mýtným pomocí dálnic naleznete v části Zabezpečení pro dálnice C a dálnice E v části Collaboration SRND.

  • Konfigurace vytáčecího plánu, která zajistí, že uživatelé mohou vytáčet pouze cíle, které jsou povoleny, např. zakázat národní / mezinárodní vytáčení, tísňová volání jsou správně směrována atd. Další informace o použití omezení pomocí vytáčecího plánu naleznete v části Vytáčecí plán v článku Spolupráce SRND.

Požadavky na certifikát pro zabezpečená připojení ve vyhrazené instanci

Pro vyhrazenou instanci společnost Cisco poskytne doménu a podepíše všechny certifikáty pro aplikace UC pomocí veřejné certifikační autority (CA).

Vyhrazená instance – čísla portů a protokoly

Následující tabulky popisují porty a protokoly, které jsou podporovány ve vyhrazené instanci. Porty, které se používají pro daného zákazníka, závisí na nasazení a řešení zákazníka. Protokoly závisí na preferencích zákazníka (SCCP vs SIP), stávajících místních zařízeních a na tom, jakou úroveň zabezpečení určují, které porty se mají použít v každém nasazení.

Vyhrazená instance – porty zákazníka

Porty dostupné pro zákazníky – mezi provozovnou zákazníka a vyhrazenou instancí jsou uvedeny v tabulce 1 Vyhrazené portyzákazníka instance. Všechny níže uvedené porty jsou určeny pro provoz zákazníků procházející partnerskými odkazy.


SnMp port je podporován pouze pro funkce CER a nikoli pro jiné monitorovací nástroje třetích stran.


Porty v rozsahu 5063 až 5080 jsou rezervovány společností Cisco pro jiné cloudové integrace, partnerům nebo správcům zákazníků se doporučuje nepoužívat tyto porty ve svých konfiguracích.

Tabulka 2. Vyhrazené instance Zákaznických portů

Protokol

TCP/UCP

Zdroj

Cíl

Zdrojový port

Cílový přístav

Účel

SSH

TCP

Klient

Uc aplikace

Větší než 1023

22

Správa

LDAP

TCP

Uc aplikace

Externí adresář

Větší než 1023

389

Synchronizace adresářů s LDAP zákazníka

Identifikátor HTTPS

TCP

Prohlížeč

Uc aplikace

Větší než 1023

443

Webový přístup pro samoobslužná a administrativní rozhraní

LDAP (ZABEZPEČENÝ)

TCP

Uc aplikace

Externí adresář

Větší než 1023

636

Synchronizace adresářů s LDAP zákazníka

SCCP

TCP

Koncový bod

Sjednocený CM, CUCxn

Větší než 1023

2000

Signalizace hovorů

SCCP

TCP

Unified CM

Sjednocený CM, brána

Větší než 1023

2000

Signalizace hovorů

SCCP (ZABEZPEČENÍ)

TCP

Koncový bod

Sjednocený CM, CUCxn

Větší než 1023

2443

Signalizace hovorů

SCCP (ZABEZPEČENÍ)

TCP

Unified CM

Sjednocený CM, brána

Větší než 1023

2443

Signalizace hovorů

Ověření důvěryhodnosti

TCP

Koncový bod

Unified CM

Větší než 1023

2445

Poskytování služby ověření důvěryhodnosti koncovým bodům

CTI

TCP

Koncový bod

Unified CM

Větší než 1023

2748

Propojení mezi aplikacemi CTI (JTAPI/TSP) a CTIManager

Bezpečné CTI

TCP

Koncový bod

Unified CM

Větší než 1023

2749

Zabezpečené propojení mezi aplikacemi CTI (JTAPI/TSP) a CTIManager

Globální katalog LDAP

TCP

Uc Aplikace

Externí adresář

Větší než 1023

3268

Synchronizace adresářů s LDAP zákazníka

Globální katalog LDAP

TCP

Uc Aplikace

Externí adresář

Větší než 1023

3269

Synchronizace adresářů s LDAP zákazníka

Služba CAPF

TCP

Koncový bod

Unified CM

Větší než 1023

3804

Naslouchající port CAPF (Certificate Authority Proxy Function) pro vydávání místně významných certifikátů (LSC) pro IP telefony

Protokol SIP

TCP

Koncový bod

Sjednocený CM, CUCxn

Větší než 1023

5060

Signalizace hovorů

Protokol SIP

TCP

Unified CM

Sjednocený CM, brána

Větší než 1023

5060

Signalizace hovorů

SIP (BEZPEČNÝ)

TCP

Koncový bod

Unified CM

Větší než 1023

5061

Signalizace hovorů

SIP (BEZPEČNÝ)

TCP

Unified CM

Sjednocený CM, brána

Větší než 1023

5061

Signalizace hovorů

SIP (OAUTH)

TCP

Koncový bod

Unified CM

Větší než 1023

5090

Signalizace hovorů

XMPP

TCP

Jabber klient

Cisco IM&P

Větší než 1023

5222

Zasílání rychlých zpráv a informace o stavu

HTTP

TCP

Koncový bod

Unified CM

Větší než 1023

6970

Stahování konfigurace a imagí do koncových bodů

Identifikátor HTTPS

TCP

Koncový bod

Unified CM

Větší než 1023

6971

Stahování konfigurace a imagí do koncových bodů

Identifikátor HTTPS

TCP

Koncový bod

Unified CM

Větší než 1023

6972

Stahování konfigurace a imagí do koncových bodů

HTTP

TCP

Jabber klient

CUCxn

Větší než 1023

7080

Oznámení hlasové schránky

Identifikátor HTTPS

TCP

Jabber klient

CUCxn

Větší než 1023

7443

Oznámení o zabezpečené hlasové schránce

Identifikátor HTTPS

TCP

Unified CM

Unified CM

Větší než 1023

7501

Používá služba ILS (Intercluster Lookup Service) k ověřování na základě certifikátů

Identifikátor HTTPS

TCP

Unified CM

Unified CM

Větší než 1023

7502

Používá ILS pro ověřování na základě hesla

IMAP

TCP

Jabber klient

CUCxn

Větší než 1023

7993

IMAP přes TLS

Identifikátor HTTPS

TCP

Prohlížeč, koncový bod

Uc aplikace

Větší než 1023

8443

Webový přístup pro samoobslužná a administrativní rozhraní, UDS

Identifikátor HTTPS

TCP

Prem

Unified CM

Větší než 1023

9443

Vyhledávání ověřených kontaktů

Zabezpečený RTP/SRTP

UDP

Unified CM

Telefon

16384 až 32767 *

16384 až 32767 *

Média (audio) - Music On Hold, Annunciator, Software Conference Bridge (otevřeno na základě signalizace hovoru)

Zabezpečený RTP/SRTP

UDP

Telefon

Unified CM

16384 až 32767 *

16384 až 32767 *

Média (audio) - Music On Hold, Annunciator, Software Conference Bridge (otevřeno na základě signalizace hovoru)

ICMP

ICMP

Koncový bod

Uc aplikace

není k dispozici

není k dispozici

Ping

ICMP

ICMP

Uc aplikace

Koncový bod

není k dispozici

není k dispozici

Ping

* Některé zvláštní případy mohou používat větší rozsah.

Vyhrazená instance – OTT porty

Následující seznam portů mohou zákazníci a partneři použít pro nastavení mobilního a vzdáleného přístupu (MRA):

Tabulka 3. Seznam portů pro OTT

Protokol

TCP/UCP

Zdroj

Cíl

Zdrojový port

Cílový přístav

Účel

BEZPEČNÝ SIP

TCP

Koncový bod

Rychlostní silnice E

Větší než 1023

5061

Bezpečná SIP signalizace Pro registraci MRA a volání

BEZPEČNÝ SIP

TCP

Koncový bod/server

Rychlostní silnice E

Větší než 1023

5062

Bezpečné SIP pro B2B hovory

ZABEZPEČENÝ RTP/RTCP

UDP

Koncový bod/server

Rychlostní silnice E

Větší než 1023

36000-59999

Zabezpečená média pro HOVORY MRA a B2B

HTTPS (BEZPEČNÉ)

TLS

Klient

Rychlostní silnice E

Větší než 1023

8443

CUCM UDS a CUCxn REST pro volání MRA

Kódy XMLS

TLS

Klient

Rychlostní silnice E

Větší než 1023

5222

Rychlé zprávy a informace o stavu

OBRÁTIT

UDP

Klient ICE

Rychlostní silnice E

Větší než 1023

3478

Vyjednávání ICE/STUN/TURN

ZABEZPEČENÝ RTP/RTCP

UPD

Klient ICE

Rychlostní silnice E

Větší než 1023

24000-29999

TURN media pro ice fallback

Vyhrazená instance – porty UCCX

Následující seznam portů mohou zákazníci a partneři použít ke konfiguraci UCCX.

Tabulka 4. Porty Cisco UCCX

Protokol

TCP / UCP

Zdroj

Cíl

Zdrojový port

Cílový přístav

Účel

SSH

TCP

Klient

UCCX

Větší než 1023

22

SFTP a SSH

Informix

TCP

Klient nebo server

UCCX

Větší než 1023

1504

Sjednocený databázový port CCX

Protokol SIP

UDP a TCP

SIP GW nebo MCRP server

UCCX

Větší než 1023

5065

Komunikace se vzdálenými uzly GW a MCRP

XMPP

TCP

Klient

UCCX

Větší než 1023

5223

Zabezpečené připojení XMPP mezi serverem Finesse a vlastními aplikacemi třetích stran

KVO

TCP

Klient

UCCX

Větší než 1023

6999

Editor aplikací CCX

Identifikátor HTTPS

TCP

Klient

UCCX

Větší než 1023

7443

Zabezpečené připojení BOSH mezi serverem Finesse a desktopy agentů a supervizorů pro komunikaci přes HTTPS

HTTP

TCP

Klient

UCCX

Větší než 1023

8080

Klienti reportující živá data se připojují k soketu. Vstupně-výstupní server

HTTP

TCP

Klient

UCCX

Větší než 1023

8081

Klientský prohlížeč se pokouší o přístup k webovému rozhraní Cisco Unified Intelligence Center

HTTP

TCP

Klient

UCCX

Větší než 1023

8443

Admin GUI, RTMT, DB přístup přes SOAP

Identifikátor HTTPS

TCP

Klient

UCCX

Větší než 1023

8444

Webové rozhraní Cisco Unified Intelligence Center

Identifikátor HTTPS

TCP

Klienti prohlížeče a REST

UCCX

Větší než 1023

8445

Zabezpečený port pro Finesse

Identifikátor HTTPS

TCP

Klient

UCCX

Větší než 1023

8447

HTTPS – Online nápověda k Jednotnému zpravodajskému centru

Identifikátor HTTPS

TCP

Klient

UCCX

Větší než 1023

8553

Komponenty jednotného přihlašování (SSO) přistupují k tomuto rozhraní, aby věděly o provozním stavu Cisco IdS.

HTTP

TCP

Klient

UCCX

Větší než 1023

9080

Klienti, kteří se pokoušejí o přístup k HTTP triggerům nebo dokumentům / výzvám / gramatikám / živým datům.

Identifikátor HTTPS

TCP

Klient

UCCX

Větší než 1023

9443

Zabezpečený port používaný k reakci na klienty, kteří se pokoušejí získat přístup k aktivačním událostem HTTPS

TCP

TCP

Klient

UCCX

Větší než 1023

12014

Toto je port, kde se klienti sestav živých dat mohou připojit k soketu. Vstupně-výstupní server

TCP

TCP

Klient

UCCX

Větší než 1023

12015

Toto je port, kde se klienti sestav živých dat mohou připojit k soketu. Vstupně-výstupní server

CTI

TCP

Klient

UCCX

Větší než 1023

12028

Klient CTI třetí strany pro CCX

RTP (Média)

TCP

Koncový bod

UCCX

Větší než 1023

Větší než 1023

Mediální port se otevírá dynamicky podle potřeby

RTP (Média)

TCP

Klient

Koncový bod

Větší než 1023

Větší než 1023

Mediální port se otevírá dynamicky podle potřeby

Zabezpečení klientů

Zabezpečení Jabber a Webex pomocí SIP OAuth

Klienti Jabber a Webex se ověřují prostřednictvím tokenu OAuth namísto místně významného certifikátu (LSC), který nevyžaduje povolení funkce proxy certifikační autority (CAPF) (také pro MRA). SIP OAuth pracující se smíšeným režimem nebo bez něj byl představen v Cisco Unified CM 12.5(1), Jabber 12.5 a Expressway X12.5.

V Cisco Unified CM 12.5 máme novou možnost v Profilu zabezpečení telefonu, která umožňuje šifrování bez LSC/CAPF pomocí jednoho transportního protokolu (TLS) + tokenu OAuth v SIP REGISTER. Uzly Expressway-C používají rozhraní API webové služby AXL (Administrative XML Web Service) k informování Cisco Unified CM o SN/SAN ve svém certifikátu. Cisco Unified CM používá tyto informace k ověření certifikátu Exp-C při navazování vzájemného připojení TLS.

SIP OAuth umožňuje šifrování médií a signalizace bez certifikátu koncového bodu (LSC).

Cisco Jabber používá dočasné porty a zabezpečené porty 6971 a 6972 prostřednictvím připojení HTTPS k TFTP serveru ke stažení konfiguračních souborů. Port 6970 je nezabezpečený port pro stahování přes HTTP.

Další podrobnosti o konfiguraci SIP OAuth: RežimSIP OAuth.

Požadavky služby DNS

Pro vyhrazenou instanci poskytuje společnost Cisco plně kvalifikovaný název domény pro službu v každé oblasti v následujícím formátu <customer>.<region> wxc-di.webex.com například xyz.amer.wxc-di.webex.com.

Hodnotu "zákazník" poskytuje správce jako součást Průvodce prvním nastavením (FTSW). Další informace najdete v tématu Aktivace služby vyhrazených instancí.

Záznamy DNS pro tento plně kvalifikovaný název domény musí být přeložitelné z interního serveru DNS zákazníka, aby podporovaly místní zařízení připojující se k vyhrazené instanci. Pro usnadnění překladu musí zákazník nakonfigurovat službu podmíněného předávání pro tento plně kvalifikovaný název domény na svém serveru DNS odkazujícím na službu DNS s vyhrazenou instancí. Služba DNS vyhrazené instance je regionální a lze ji získat prostřednictvím partnerského vztahu k vyhrazené instanci pomocí následujících IP adres, jak je uvedeno v následující tabulce Vyhrazená instance IPadres služby DNS.

Tabulka 5. Vyhrazená instance IP služby DNS

Oblast/DC

Vyhrazená instance IP služby DNS

Příklad podmíněného předávání

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

APJC

<customer>.apjc.wxc-di.webex.com

ToK

103.232.71.100

HŘÍCH

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


Možnost ping je z bezpečnostních důvodů zakázána pro výše uvedené IP adresy DNS serverů.

Dokud nebude podmíněné předávání zavedeno, zařízení se nebudou moci zaregistrovat k vyhrazené instanci z interní sítě zákazníků prostřednictvím propojení partnerských vztahů. Podmíněné předávání není vyžadováno pro registraci prostřednictvím mobilního a vzdáleného přístupu (MRA), protože všechny požadované externí záznamy DNS pro usnadnění MRA budou předem zřízeny společností Cisco.

Při použití aplikace Webex jako volajícího měkkého klienta ve vyhrazené instanci je třeba nakonfigurovat profil správce UC v Centru řízení pro doménu hlasové služby (VSD) každé oblasti. Další informace naleznete v tématu Profily správce UC v řídicím centru Cisco Webex. Aplikace Webex bude schopna automaticky vyřešit Expressway Edge zákazníka bez zásahu koncového uživatele.


Doména hlasové služby bude zákazníkovi poskytnuta jako součást dokumentu o přístupu partnera po dokončení aktivace služby.