Požadavky na síť pro vyhrazenou instanci

Vyhrazená instance volání Webex je součástí portfolia Cisco Cloud Calling, které využívá technologii spolupráce Cisco Unified Communications Manager (Cisco Unified CM). Vyhrazená instance nabízí řešení pro hlas, video, zasílání zpráv a mobilitu s funkcemi a výhodami IP telefonů Cisco, mobilních zařízení a desktopových klientů, kteří se bezpečně připojují k vyhrazené instanci.

Tento článek je určen správcům sítě, zejména správcům brány firewall a zabezpečení proxy serveru, kteří chtějí používat vyhrazenou instanci v rámci své organizace.

Přehled zabezpečení: Zabezpečení ve vrstvách

Vyhrazená instance používá vrstvený přístup k zabezpečení. Vrstvy zahrnují:

  • Fyzický přístup

  • Síť

  • komunikaci

  • Uc aplikace

Následující části popisují vrstvy zabezpečení v nasazeních vyhrazených instancí .

Fyzické zabezpečení

Je důležité zajistit fyzické zabezpečení místností Equinix Meet-Me Room a zařízení Cisco Dedicated Instance Data Center. Pokud je ohroženo fyzické zabezpečení, mohou být zahájeny jednoduché útoky, jako je přerušení služby vypnutím napájení přepínačů zákazníka. S fyzickým přístupem by útočníci mohli získat přístup k serverovým zařízením, resetovat hesla a získat přístup k přepínačům. Fyzický přístup také usnadňuje sofistikovanější útoky, jako jsou útoky typu man-in-the-middle, což je důvod, proč je druhá vrstva zabezpečení, zabezpečení sítě, kritická.

Samošifrovací jednotky se používají ve vyhrazených datových centrech instancí , která hostují aplikace UC.

Další informace o obecných bezpečnostních postupech naleznete v dokumentaci na následujícím místě: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Zabezpečení sítě

Partneři musí zajistit, aby všechny síťové prvky byly zabezpečeny v infrastruktuře vyhrazené instance (která se připojuje přes Equinix). Je odpovědností partnera zajistit osvědčené postupy zabezpečení, jako jsou:

  • Samostatná síť VLAN pro hlas a data

  • Povolit zabezpečení portů, které omezuje počet MAC adres povolených na port, proti zaplavení tabulky CAM

  • Ochrana zdroje IP proti falešným IP adresám

  • Dynamická kontrola ARP (DAI) zkoumá protokol ARP (Address Resolution Protocol) a bezdůvodné ARP (GARP) z hlediska porušení (proti falšování identity ARP)

  • 802.1x omezuje přístup k síti pro ověřování zařízení v přiřazených sítích VLAN (telefony podporují 8021x).

  • Konfigurace kvality služby (QoS) pro vhodné označení hlasových paketů

  • Konfigurace portů brány firewall pro blokování jakéhokoli jiného provozu

Zabezpečení koncových bodů

Koncové body Cisco podporují výchozí funkce zabezpečení, jako je podepsaný firmware, zabezpečené spouštění (vybrané modely), certifikát nainstalovaný výrobcem (MIC) a podepsané konfigurační soubory, které poskytují určitou úroveň zabezpečení koncových bodů.

Kromě toho může partner nebo zákazník povolit další zabezpečení, například:

  • Šifrování telefonních služeb IP (prostřednictvím protokolu HTTPS) pro služby, jako je mobilita rozšíření

  • Vydávání místně významných certifikátů (LSC) z funkce proxy certifikační autority (CAPF) nebo veřejné certifikační autority (CA)

  • Šifrování konfiguračních souborů

  • Šifrování médií a signalizace

  • Zakažte tato nastavení, pokud se nepoužívají: PC port, PC Voice VLAN Access, bezdůvodné ARP, Web Access, tlačítko Nastavení, SSH, konzole

Implementace bezpečnostních mechanismů ve vyhrazené instanci zabraňuje krádeži identity telefonů a serveru Unified CM, manipulaci s daty a signalizaci hovorů / manipulaci s mediálním proudem.

Vyhrazená instance v síti:

  • Vytváří a udržuje ověřené komunikační streamy

  • Digitálně podepisuje soubory před přenosem souboru do telefonu

  • Šifruje datové proudy médií a signalizaci hovorů mezi IP telefony Cisco Unified

Výchozí nastavení zabezpečení

Zabezpečení ve výchozím nastavení poskytuje následující automatické funkce zabezpečení pro telefony Cisco Unified IP:

  • Podepisování konfiguračních souborů telefonu

  • Podpora šifrování konfiguračních souborů telefonu

  • HTTPS s Tomcat a dalšími webovými službami (MIDlets)

Pro Unified CM verze 8.0 novější jsou tyto funkce zabezpečení poskytovány ve výchozím nastavení bez spuštění klienta Seznamu důvěryhodných certifikátů (CTL).

Služba ověření důvěryhodnosti

Vzhledem k tomu, že v síti je velký počet telefonů a IP telefony mají omezenou paměť, Cisco Unified CM funguje jako vzdálené úložiště důvěryhodných certifikátů prostřednictvím služby Ověření důvěry (TVS), takže úložiště důvěryhodných certifikátů nemusí být umístěno na každém telefonu. IP telefony Cisco kontaktují server TVS k ověření, protože nemohou ověřit podpis nebo certifikát prostřednictvím souborů CTL nebo ITL. Centrální úložiště důvěryhodných certifikátů se spravuje snadněji než úložiště důvěryhodných certifikátů na každém telefonu Cisco Unified IP.

TVS umožňuje IP telefonům Cisco Unified ověřovat aplikační servery, jako jsou služby EM, adresář a MIDlet, během vytváření protokolu HTTPS.

Seznam počátečních důvěryhodných položek

Soubor ITL (Initial Trust List) se používá pro počáteční zabezpečení, takže koncové body mohou důvěřovat Cisco Unified CM. ITL nepotřebuje žádné funkce zabezpečení, které by měly být explicitně povoleny. Soubor ITL je automaticky vytvořen při instalaci clusteru. Soukromý klíč serveru UNIFIED CM Trivial File Transfer Protocol (TFTP) se používá k podepsání souboru ITL.

Pokud je cluster nebo server Cisco Unified CM v nezabezpečeném režimu, soubor ITL se stáhne do všech podporovaných IP telefonů Cisco. Partner může zobrazit obsah souboru ITL pomocí příkazu CLI admin:show itl.

IP telefony Cisco potřebují soubor ITL k provádění následujících úloh:

  • Bezpečná komunikace s CAPF, předpoklad pro podporu šifrování konfiguračního souboru

  • Ověření podpisu konfiguračního souboru

  • Ověřte aplikační servery, jako jsou služby EM, adresář a MIDlet během vytváření HTTPS pomocí TVS

Cisco CTL

Ověřování zařízení, souborů a signalizace závisí na vytvoření souboru seznamu důvěryhodných certifikátů (CTL), který je vytvořen, když partner nebo zákazník nainstaluje a nakonfiguruje klienta seznamu důvěryhodných certifikátů Cisco.

Soubor CTL obsahuje položky pro následující servery nebo tokeny zabezpečení:

  • Token zabezpečení správce systému (SAST)

  • Služby Cisco CallManager a Cisco TFTP, které jsou spuštěny na stejném serveru

  • Funkce proxy certifikační autority (CAPF)

  • TFTP server(y)

  • Brána firewall ASA

Soubor CTL obsahuje certifikát serveru, veřejný klíč, sériové číslo, podpis, název vystavitele, název subjektu, funkci serveru, název DNS a IP adresu pro každý server.

Zabezpečení telefonu pomocí seznamu CTL poskytuje následující funkce:

  • Autentizace stažených souborů TFTP (konfigurace, národní prostředí, kruhový seznam atd.) pomocí podpisového klíče

  • Šifrování konfiguračních souborů TFTP pomocí podpisového klíče

  • Šifrovaná signalizace hovorů pro IP telefony

  • Šifrovaný zvuk hovoru (média) pro IP telefony

Zabezpečení pro Cisco IP telefony ve vyhrazené instanci

Vyhrazená instance poskytuje registraci koncového bodu a zpracování volání. Signalizace mezi Cisco Unified CM a koncovými body je založena na protokolu SCCP (Secure Skinny Client Control Protocol) nebo protokolu SIP (Session Initiation Protocol) a lze ji šifrovat pomocí protokolu TLS (Transport Layer Security). Média z/do koncových bodů jsou založena na protokolu RTP (Real-time Transport Protocol) a lze je také šifrovat pomocí protokolu SRTP (Secure RTP).

Povolení smíšeného režimu na Unified CM umožňuje šifrování signalizačního a mediálního provozu z a do koncových bodů Cisco.

Zabezpečené aplikace UC

Povolení smíšeného režimu ve vyhrazené instanci

Smíšený režim je ve výchozím nastavení povolen pro vyhrazenou instanci.

Povolení smíšeného režimu ve vyhrazené instanci umožňuje provádět šifrování signalizačního a mediálního provozu z koncových bodů Cisco a do nich.

V Cisco Unified CM verze 12.5(1) byla přidána nová možnost povolit šifrování signalizace a médií na základě SIP OAuth namísto smíšeného režimu / CTL pro klienty Jabber a Webex. Proto v Unified CM verze 12.5(1) lze SIP OAuth a SRTP použít k povolení šifrování pro signalizaci a média pro klienty Jabber nebo Webex. Povolení smíšeného režimu je v současné době i nadále vyžadováno pro IP telefony Cisco a další koncové body Cisco. V budoucí verzi je plánováno přidání podpory pro SIP OAuth v koncových bodech 7800/8800.

Zabezpečení hlasových zpráv

Připojení Cisco Unity se připojuje k Unified CM prostřednictvím portu TLS. Pokud je režim zabezpečení zařízení nezabezpečený, připojení Cisco Unity se připojí k Unified CM prostřednictvím portu SCCP.

Chcete-li nakonfigurovat zabezpečení pro porty hlasového zasílání zpráv Unified CM a zařízení Cisco Unity se systémem SCCP nebo Cisco Unity Connection se systémem SCCP, může partner pro port zvolit zabezpečený režim zabezpečení zařízení. Pokud zvolíte ověřený port hlasové schránky, otevře se připojení TLS, které ověří zařízení pomocí vzájemné výměny certifikátů (každé zařízení přijímá certifikát druhého zařízení). Pokud zvolíte šifrovaný port hlasové schránky, systém nejprve ověří zařízení a poté odešle šifrované hlasové streamy mezi zařízeními.

Další informace o zabezpečení portů hlasových zpráv naleznete v tématu: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Zabezpečení pro SRST, Trunky, Brány, CUBE/SBC

Brána s podporou SRST (Cisco Unified Survivable Remote Site Telephony) poskytuje omezené úlohy zpracování hovorů, pokud Cisco Unified CM ve vyhrazené instanci nemůže dokončit volání.

Zabezpečené brány s povoleným SRST obsahují certifikát podepsaný svým držitelem. Poté, co partner provede úlohy konfigurace SRST v Unified CM Administration, Unified CM použije připojení TLS k ověření pomocí služby Poskytovatele certifikátů v bráně s povoleným SRST. Unified CM pak načte certifikát z brány s povoleným SRST a přidá certifikát do databáze Unified CM.

Poté, co partner resetuje závislá zařízení v Unified CM Administration, TFTP server přidá certifikát brány s povoleným SRST do souboru cnf.xml telefonu a odešle soubor do telefonu. Zabezpečený telefon pak používá připojení TLS k interakci s bránou s povoleným SRST.

Doporučuje se mít zabezpečené kmeny pro volání pocházející z Cisco Unified CM do brány pro odchozí volání veřejné telefonní sítě nebo procházející přes Cisco Unified Border Element (CUBE).

SIP trunky mohou podporovat bezpečné hovory jak pro signalizaci, tak pro média; Protokol TLS poskytuje šifrování signalizace a protokol SRTP poskytuje šifrování médií.

Zabezpečení komunikace mezi Cisco Unified CM a CUBE

Pro zabezpečenou komunikaci mezi Cisco Unified CM a CUBE musí partneři/zákazníci používat certifikát podepsaný svým držitelem nebo certifikáty podepsané certifikační autoritou.

Certifikáty podepsané svým držitelem:

  1. CUBE a Cisco Unified CM generují certifikáty podepsané svým držitelem

  2. CUBE exportuje certifikát do Cisco Unified CM

  3. Cisco Unified CM exportuje certifikát do CUBE

Certifikáty podepsané certifikační autoritou:

  1. Klient vygeneruje pár klíčů a odešle žádost o podpis certifikátu (CSR) certifikační autoritě (CA)

  2. Certifikační autorita ji podepíše svým privátním klíčem a vytvoří certifikát identity

  3. Klient nainstaluje seznam kořenových a zprostředkujících certifikátů důvěryhodné certifikační autority a certifikát identity.

Zabezpečení vzdálených koncových bodů

U koncových bodů mobilního a vzdáleného přístupu (MRA) je signalizace a média vždy šifrována mezi koncovými body MRA a uzly dálnice. Pokud se pro koncové body MRA používá protokol ICE (Interactive Connectivity Establishment), vyžaduje se signalizace a šifrování médií koncových bodů MRA. Šifrování signalizace a médií mezi Expressway-C a interními servery Unified CM, interními koncovými body nebo jinými interními zařízeními však vyžaduje smíšený režim nebo SIP OAuth.

Cisco Expressway poskytuje zabezpečený průchod bránou firewall a linkovou podporu pro registrace Unified CM. Sjednocený CM poskytuje řízení hovorů pro mobilní i místní koncové body. Signalizace prochází řešením dálnice mezi vzdáleným koncovým bodem a Unified CM. Médium prochází řešením Expressway a je přenášeno přímo mezi koncovými body. Všechna média jsou šifrována mezi Expressway-C a mobilním koncovým bodem.

Jakékoli řešení MRA vyžaduje Expressway a Unified CM s měkkými klienty kompatibilními s MRA a/nebo pevnými koncovými body. Řešení může volitelně zahrnovat služby IM a Presence Service a připojení Unity.

Souhrn protokolu

V následující tabulce jsou uvedeny protokoly a přidružené služby používané v řešení Unified CM.

Tabulka 1. Protokoly a související služby

Protokol

Zabezpečení

Služba

Protokol SIP

TLS

Založení relace: Zaregistrujte se, pozvěte atd.

Identifikátor HTTPS

TLS

Přihlášení, zřizování/konfigurace, adresář, vizuální hlasová schránka

Média

SRTP

Média: Audio, video, sdílení obsahu

XMPP

TLS

Zasílání rychlých zpráv, stav, federace

Další informace o konfiguraci MRA najdete v těchto tématech: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Možnosti konfigurace

Vyhrazená instance poskytuje partnerovi flexibilitu pro přizpůsobení služeb koncovým uživatelům prostřednictvím plné kontroly nad konfiguracemi druhého dne. V důsledku toho je partner výhradně odpovědný za správnou konfiguraci služby vyhrazené instance pro prostředí koncového uživatele. To zahrnuje, ale není omezeno na:

  • Výběr zabezpečených/nezabezpečených hovorů, zabezpečených/nezabezpečených protokolů, jako jsou SIP/sSIP, http/https atd., a pochopení všech souvisejících rizik.

  • U všech MAC adres, které nejsou nakonfigurovány jako secure-SIP ve vyhrazené instanci, může útočník odeslat zprávu SIP Register pomocí této MAC adresy a být schopen provádět SIP hovory, což vede k mýtným podvodům. Předpokladem je, že útočník může zaregistrovat své SIP zařízení/software do dedicated instance bez autorizace, pokud zná MAC adresu zařízení registrovaného ve dedicated instance.

  • Zásady volání Dálnice-E, pravidla transformace a vyhledávání by měly být nakonfigurovány tak, aby se zabránilo podvodům s mýtným. Další informace o prevenci podvodů s mýtným pomocí dálnic naleznete v části Zabezpečení pro dálnice C a dálnice E v části Collaboration SRND.

  • Konfigurace plánu vytáčení zajišťující, aby uživatelé mohli vytáčet pouze povolené cíle, např. zakazovat vnitrostátní/mezinárodní vytáčení, správně směrování tísňových volání atd. Další informace o uplatňování omezení pomocí plánu vytáčení naleznete v části Plán vytáčení nástroje Collaboration SRND.

Požadavky na certifikát pro zabezpečená připojení ve vyhrazené instanci

Pro vyhrazenou instanci společnost Cisco poskytne doménu a podepíše všechny certifikáty pro aplikace UC pomocí veřejné certifikační autority (CA).

Vyhrazená instance – čísla portů a protokoly

Následující tabulky popisují porty a protokoly, které jsou podporovány ve vyhrazené instanci. Porty, které se používají pro daného zákazníka, závisí na nasazení a řešení zákazníka. Protokoly závisí na preferencích zákazníka (SCCP vs SIP), na stávajících místních zařízeních a na úrovni zabezpečení při určování, které porty se mají v každém nasazení použít.

Vyhrazená instance neumožňuje překlad síťové adresy (NAT) mezi koncovými body a platformou Unified CM, protože některé funkce toku hovorů nebudou fungovat, například funkce během hovoru.

Vyhrazená instance – porty zákazníka

Porty dostupné pro zákazníky – mezi místní a vyhrazenou instancí zákazníka jsou uvedené v tabulce 1 Vyhrazené portyzákazníka instance. Všechny níže uvedené porty jsou určeny pro provoz zákazníků procházející partnerskými odkazy.

Port SNMP je ve výchozím nastavení otevřen pouze pro řešení Cisco Emergency Responder za účelem podpory jeho funkcí. Protože nepodporujeme partnery ani zákazníky monitorující aplikace UC nasazené v cloudu vyhrazené instance, nepovolujeme otevření portu SNMP pro žádné jiné aplikace UC.

Porty v rozsahu 5063 až 5080 vyhrazuje společnost Cisco pro jiné cloudové integrace, partnerské nebo zákaznické správce, kteří tyto porty ve svých konfiguracích nepoužívají.

Tabulka 2. Porty zákazníků vyhrazené instance

Protokol

TCP/UDP

Zdroj

Cíl

Zdrojový port

Cílový port

Účel

SSH

TCP

Klient

Uc aplikace

Není povoleno pro aplikace Cisco Expressway.

Větší než 1023

22

Správa

tftp

UDP

Koncový bod

Unified CM

Větší než 1023

69

Podpora staršího koncového bodu

LDAP

TCP

Uc aplikace

Externí adresář

Větší než 1023

389

Synchronizace adresářů s LDAP zákazníka

Identifikátor HTTPS

TCP

Prohlížeč

Uc aplikace

Větší než 1023

443

Webový přístup pro samoobslužná a administrativní rozhraní

Odchozí pošta (SECURE)

TCP

Aplikace UC

CUCxn

Větší než 1023

587

Používá se k vytváření a odesílání zabezpečených zpráv určeným příjemcům

LDAP (ZABEZPEČENÝ)

TCP

Uc aplikace

Externí adresář

Větší než 1023

636

Synchronizace adresářů s LDAP zákazníka

H323

TCP

Brána

Unified CM

Větší než 1023

1720

Signalizace hovorů

H323

TCP

Unified CM

Unified CM

Větší než 1023

1720

Signalizace hovorů

SCCP

TCP

Koncový bod

Sjednocený CM, CUCxn

Větší než 1023

2000

Signalizace hovorů

SCCP

TCP

Unified CM

Sjednocený CM, brána

Větší než 1023

2000

Signalizace hovorů

mgcp

UDP

Brána

Brána

Větší než 1023

2427

Signalizace hovorů

MGCP Backhaul

TCP

Brána

Unified CM

Větší než 1023

2428

Signalizace hovorů

SCCP (ZABEZPEČENÍ)

TCP

Koncový bod

Sjednocený CM, CUCxn

Větší než 1023

2443

Signalizace hovorů

SCCP (ZABEZPEČENÍ)

TCP

Unified CM

Sjednocený CM, brána

Větší než 1023

2443

Signalizace hovorů

Ověření důvěryhodnosti

TCP

Koncový bod

Unified CM

Větší než 1023

2445

Poskytování služby ověření důvěryhodnosti koncovým bodům

CTI

TCP

Koncový bod

Unified CM

Větší než 1023

2748

Propojení mezi aplikacemi CTI (JTAPI/TSP) a CTIManager

Bezpečné CTI

TCP

Koncový bod

Unified CM

Větší než 1023

2749

Zabezpečené propojení mezi aplikacemi CTI (JTAPI/TSP) a CTIManager

Globální katalog LDAP

TCP

Uc Aplikace

Externí adresář

Větší než 1023

3268

Synchronizace adresářů s LDAP zákazníka

Globální katalog LDAP

TCP

Uc Aplikace

Externí adresář

Větší než 1023

3269

Synchronizace adresářů s LDAP zákazníka

Služba CAPF

TCP

Koncový bod

Unified CM

Větší než 1023

3804

Naslouchající port CAPF (Certificate Authority Proxy Function) pro vydávání místně významných certifikátů (LSC) pro IP telefony

Protokol SIP

TCP

Koncový bod

Sjednocený CM, CUCxn

Větší než 1023

5060

Signalizace hovorů

Protokol SIP

TCP

Unified CM

Sjednocený CM, brána

Větší než 1023

5060

Signalizace hovorů

SIP (BEZPEČNÝ)

TCP

Koncový bod

Unified CM

Větší než 1023

5061

Signalizace hovorů

SIP (BEZPEČNÝ)

TCP

Unified CM

Sjednocený CM, brána

Větší než 1023

5061

Signalizace hovorů

SIP (OAUTH)

TCP

Koncový bod

Unified CM

Větší než 1023

5090

Signalizace hovorů

XMPP

TCP

Jabber klient

Cisco IM&P

Větší než 1023

5222

Zasílání rychlých zpráv a informace o stavu

HTTP

TCP

Koncový bod

Unified CM

Větší než 1023

6970

Stahování konfigurace a imagí do koncových bodů

Identifikátor HTTPS

TCP

Koncový bod

Unified CM

Větší než 1023

6971

Stahování konfigurace a imagí do koncových bodů

Identifikátor HTTPS

TCP

Koncový bod

Unified CM

Větší než 1023

6972

Stahování konfigurace a imagí do koncových bodů

HTTP

TCP

Jabber klient

CUCxn

Větší než 1023

7080

Oznámení hlasové schránky

Identifikátor HTTPS

TCP

Jabber klient

CUCxn

Větší než 1023

7443

Oznámení o zabezpečené hlasové schránce

Identifikátor HTTPS

TCP

Unified CM

Unified CM

Větší než 1023

7501

Používá služba ILS (Intercluster Lookup Service) k ověřování na základě certifikátů

Identifikátor HTTPS

TCP

Unified CM

Unified CM

Větší než 1023

7502

Používá ILS pro ověřování na základě hesla

IMAP

TCP

Jabber klient

CUCxn

Větší než 1023

7993

IMAP přes TLS

HTTP

TCP

Koncový bod

Unified CM

Větší než 1023

8080

Identifikátor URI adresáře pro starší koncové body

Identifikátor HTTPS

TCP

Prohlížeč, koncový bod

Uc aplikace

Větší než 1023

8443

Webový přístup pro samoobslužná a administrativní rozhraní, UDS

Identifikátor HTTPS

TCP

Telefon

Unified CM

Větší než 1023

9443

Vyhledávání ověřených kontaktů

Protokol HTTP

TCP

Koncový bod

Unified CM

Větší než 1023

9444

Funkce správy náhlavní soupravy

Zabezpečený RTP/SRTP

UDP

Unified CM

Telefon

16384 až 32767 *

16384 až 32767 *

Média (audio) - Music On Hold, Annunciator, Software Conference Bridge (otevřeno na základě signalizace hovoru)

Zabezpečený RTP/SRTP

UDP

Telefon

Unified CM

16384 až 32767 *

16384 až 32767 *

Média (audio) - Music On Hold, Annunciator, Software Conference Bridge (otevřeno na základě signalizace hovoru)

Kobylky

TCP

Klient

CUCxn

Větší než 1023

20532

Zálohovat a obnovit sadu aplikací

ICMP

ICMP

Koncový bod

Uc aplikace

není k dispozici

není k dispozici

Ping

ICMP

ICMP

Uc aplikace

Koncový bod

není k dispozici

není k dispozici

Ping

DNS UDP a TCP

Přesměrování DNS

Servery DNS vyhrazené instance

Větší než 1023

53

Přesměrovatelé DNS místního zákazníka na servery DNS vyhrazené instance. Další informace naleznete v části Požadavky na DNS .

* Některé zvláštní případy mohou používat větší rozsah.

Vyhrazená instance – porty OTT

Zákazníci a partneři mohou pro nastavení mobilního a vzdáleného přístupu (MRA) používat následující port:

Tabulka 3. Port pro OTT

Protokol

TCP/UCP

Zdroj

Cíl

Zdrojový port

Cílový port

Účel

ZABEZPEČENÝ RTP/RTCP

UDP

Rychlostní silnice C

Klient

Větší než 1023

36000-59999

Zabezpečená média pro HOVORY MRA a B2B

Přenosový spoj SIP mezi pobočkou Multitenant a vyhrazenou instancí (pouze pro přenosový spoj založený na registraci)

V bráně firewall zákazníka musí být povolen následující seznam portů pro připojení spoje SIP založeného na registraci mezi multitenantem a vyhrazenou instancí.

Tabulka 4. Port pro registrační přenosový spoj

Protokol

TCP/UCP

Zdroj

Cíl

Zdrojový port

Cílový port

Účel

protokol rtp/rtcp

UDP

Služba Webex Calling Multitenant

Klient

Větší než 1023

8000-48198

Média ze služby Webex Calling Multitenant

Vyhrazená instance – porty UCCX

Následující seznam portů mohou zákazníci a partneři použít ke konfiguraci UCCX.

Tabulka 5. Porty Cisco UCCX

Protokol

TCP / UCP

Zdroj

Cíl

Zdrojový port

Cílový port

Účel

SSH

TCP

Klient

UCCX

Větší než 1023

22

SFTP a SSH

Informix

TCP

Klient nebo server

UCCX

Větší než 1023

1504

Port databáze Contact Center Express

Protokol SIP

UDP a TCP

SIP GW nebo MCRP server

UCCX

Větší než 1023

5065

Komunikace se vzdálenými uzly GW a MCRP

XMPP

TCP

Klient

UCCX

Větší než 1023

5223

Zabezpečené připojení XMPP mezi serverem Finesse a vlastními aplikacemi třetích stran

KVO

TCP

Klient

UCCX

Větší než 1023

6999

Editor aplikací CCX

Identifikátor HTTPS

TCP

Klient

UCCX

Větší než 1023

7443

Zabezpečené připojení BOSH mezi serverem Finesse a desktopy agentů a supervizorů pro komunikaci přes HTTPS

HTTP

TCP

Klient

UCCX

Větší než 1023

8080

Klienti pro reportování s dynamickými daty se připojují k serveru socket.IO

HTTP

TCP

Klient

UCCX

Větší než 1023

8081

Klientský prohlížeč se pokouší o přístup k webovému rozhraní Cisco Unified Intelligence Center

HTTP

TCP

Klient

UCCX

Větší než 1023

8443

GUI správce, RTMT, přístup k databázi přes SOAP

Identifikátor HTTPS

TCP

Klient

UCCX

Větší než 1023

8444

Webové rozhraní Cisco Unified Intelligence Center

Identifikátor HTTPS

TCP

Klienti prohlížeče a REST

UCCX

Větší než 1023

8445

Zabezpečený port pro Finesse

Identifikátor HTTPS

TCP

Klient

UCCX

Větší než 1023

8447

HTTPS – Online nápověda k Jednotnému zpravodajskému centru

Identifikátor HTTPS

TCP

Klient

UCCX

Větší než 1023

8553

Komponenty jednotného přihlašování (SSO) přistupují k tomuto rozhraní, aby věděly o provozním stavu poskytovatelů identity Cisco.

HTTP

TCP

Klient

UCCX

Větší než 1023

9080

Klienti, kteří se pokoušejí o přístup k HTTP triggerům nebo dokumentům / výzvám / gramatikám / živým datům.

Identifikátor HTTPS

TCP

Klient

UCCX

Větší než 1023

9443

Zabezpečený port používaný k reakci na klienty, kteří se pokoušejí získat přístup k aktivačním událostem HTTPS

TCP

TCP

Klient

UCCX

Větší než 1023

12014

Toto je port, kde se klienti sestav s dynamickými daty mohou připojit k serveru socket.IO

TCP

TCP

Klient

UCCX

Větší než 1023

12015

Toto je port, kde se klienti sestav s dynamickými daty mohou připojit k serveru socket.IO

CTI

TCP

Klient

UCCX

Větší než 1023

12028

Klient CTI třetí strany pro CCX

RTP (Média)

TCP

Koncový bod

UCCX

Větší než 1023

Větší než 1023

Mediální port se otevírá dynamicky podle potřeby

RTP (Média)

TCP

Klient

Koncový bod

Větší než 1023

Větší než 1023

Mediální port se otevírá dynamicky podle potřeby

Zabezpečení klienta

Zabezpečení Jabber a Webex pomocí SIP OAuth

Klienti Jabber a Webex se ověřují prostřednictvím tokenu OAuth namísto místně významného certifikátu (LSC), který nevyžaduje povolení funkce proxy certifikační autority (CAPF) (také pro MRA). SIP OAuth pracující se smíšeným režimem nebo bez něj byl představen v Cisco Unified CM 12.5(1), Jabber 12.5 a Expressway X12.5.

V Cisco Unified CM 12.5 máme novou možnost v Profilu zabezpečení telefonu, která umožňuje šifrování bez LSC/CAPF pomocí jednoho transportního protokolu (TLS) + tokenu OAuth v SIP REGISTER. Uzly Expressway-C používají rozhraní API webové služby AXL (Administrative XML Web Service) k informování Cisco Unified CM o SN/SAN ve svém certifikátu. Cisco Unified CM používá tyto informace k ověření certifikátu Exp-C při navazování vzájemného připojení TLS.

SIP OAuth umožňuje šifrování médií a signalizace bez certifikátu koncového bodu (LSC).

Cisco Jabber používá dočasné porty a zabezpečené porty 6971 a 6972 prostřednictvím připojení HTTPS k TFTP serveru ke stažení konfiguračních souborů. Port 6970 je nezabezpečený port pro stahování přes HTTP.

Další podrobnosti o konfiguraci SIP OAuth: Režim SIP OAuth.

Požadavky DNS

Pro vyhrazenou instanci společnost Cisco poskytuje název FQDN pro službu v každé oblasti s následujícím formátem ..wxc-di.webex.com například xyz.amer.wxc-di.webex.com.

Hodnotu "zákazník" poskytuje správce jako součást Průvodce prvním nastavením (FTSW). Další informace najdete v tématu Aktivace služby vyhrazených instancí.

Záznamy DNS pro tento plně kvalifikovaný název domény musí být přeložitelné z interního serveru DNS zákazníka, aby podporovaly místní zařízení připojující se k vyhrazené instanci. Pro usnadnění překladu musí zákazník nakonfigurovat službu podmíněného předávání pro tento plně kvalifikovaný název domény na svém serveru DNS odkazujícím na službu DNS s vyhrazenou instancí. Služba DNS vyhrazené instance je regionální a lze ji kontaktovat prostřednictvím peeringu na vyhrazenou instanci pomocí následujících IP adres, jak je uvedeno v následující tabulce IP adresa služby DNS vyhrazené instance.

Tabulka 6. Vyhrazená instance IP služby DNS

Oblast/DC

Vyhrazená instance IP služby DNS

Příklad podmíněného předávání

AMER

<customer>.amer.wxc-di.webex.com

Sjc

69.168.17.100

Dfw

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

Lon

178.215.138.100

Ams

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

Kategorie: Francouzština

178.215.131.100

Ams

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

Hřích

103.232.71.100

Výlohy

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

Mel

178.215.128.100

Syd

178.215.128.228

UK

<customer>.uk.wxc-di.webex.com

Lon

178.215.135.100

Muž

178.215.135.228

Možnost ping je z bezpečnostních důvodů zakázána pro výše uvedené IP adresy DNS serverů.

Dokud nebude podmíněné předávání zavedeno, zařízení se nebudou moci zaregistrovat k vyhrazené instanci z interní sítě zákazníků prostřednictvím propojení partnerských vztahů. Podmíněné předávání není vyžadováno pro registraci prostřednictvím mobilního a vzdáleného přístupu (MRA), protože všechny požadované externí záznamy DNS pro usnadnění MRA budou předem zřízeny společností Cisco.

Při použití aplikace Webex jako volajícího měkkého klienta ve vyhrazené instanci je třeba nakonfigurovat profil správce UC v Centru řízení pro doménu hlasové služby (VSD) každé oblasti. Další informace naleznete v tématu Profily správce UC v řídicím centru Cisco Webex. Aplikace Webex bude schopna automaticky vyřešit Expressway Edge zákazníka bez zásahu koncového uživatele.

Doména hlasové služby bude zákazníkovi poskytnuta jako součást dokumentu o přístupu partnera po dokončení aktivace služby.

Použití místního směrovače pro překlad DNS telefonu

U telefonů, které nemají přístup k podnikovým serverům DNS, je možné k předávání požadavků DNS do cloudového DNS vyhrazené instance použít místní směrovač Cisco. Tím není třeba nasadit místní server DNS a poskytuje úplnou podporu DNS včetně ukládání do mezipaměti.

Příklad konfigurace :

!

Server IP DNS

IP název-server

!

Použití DNS v tomto modelu nasazení je specifické pro telefony a lze jej použít pouze k řešení FQDN s doménou na základě vyhrazené instance zákazníka.

Rozlišení DNS telefonu