Netværkskrav for dedikeret forekomst

Webex Calling Dedikeret Instance er en del af Cisco-cloud Calling-porteføljen, der leveres af Cisco Unified Communications Manager (Cisco Unified CM) samarbejdsteknologi. Dedikeret forekomst tilbyder tale-, video-, meddelelses- og mobilitetsløsninger med funktionerne og fordelene ved Cisco IP telefoner, mobilenheder og desktopklienter, der opretter sikker forbindelse til den dedikerede forekomst.

Denne artikel er beregnet til netværksadministratorer, især firewall- og proxysikkerhedsadministratorer, der ønsker at bruge dedikeret forekomst i deres organisation.

Sikkerhedsoversigt: Sikkerhed i lag

Dedikeret forekomst bruger en lagdelt tilgang til sikkerhed. Lagene omfatter:

  • Fysisk adgang

  • Netværk

  • Slutpunkter

  • UC-applikationer

De følgende afsnit beskriver sikkerhedslagene i Dedikeret forekomst installationer.

Fysisk sikkerhed

Det er vigtigt at levere fysisk sikkerhed til Equinix Meet-Me-lokaleplaceringer og Cisco Dedikeret forekomst Datacenter faciliteter. Når den fysiske sikkerhed er kompromitteret, kan der startes simple angreb, såsom afbrydelse af tjenesten ved at lukke strømmen til en kundes switches. Med fysisk adgang kan hackere få adgang til serverenheder, nulstille adgangskoder og få adgang til switches. Fysisk adgang muliggør også mere avancerede angreb som f.eks. man-in-the-middle-angreb, hvorfor det andet sikkerhedslag, netværkssikkerheden, er kritisk.

Selvkrypterende drev bruges i Dedikeret forekomst Datacentre, der hoster UC-applikationer.

For yderligere oplysninger om generel sikkerhedspraksis henvises der til dokumentationen på følgende placering: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Netværkssikkerhed

Partnere skal sikre, at alle netværkselementer er sikret Dedikeret forekomst infrastruktur (som opretter forbindelse via Equinix). Det er partnerens ansvar at sikre bedste praksis for sikkerhed som f.eks.:

  • Separat VLAN til tale og data

  • Aktivér portsikkerhed, der begrænser antallet af tilladte MAC adresser pr. port mod oversvømmelse af CAM-tabeller

  • IP kildebeskyttelse mod forfalskede IP -adresser

  • Dynamic ARP Inspection (DAI) undersøger ARP (Address Resolution Protocol) og GARP (gratuitous ARP) for overtrædelser (mod ARP-spoofing)

  • 802.1x begrænser netværksadgangen til at godkende enheder på tildelte VLAN'er (telefoner understøtter 802.1x )

  • Konfiguration af Quality of Service (QoS) til passende mærkning af talepakker

  • Firewall porter konfigurationer for at blokere al anden trafik

Sikkerhed for slutpunkter

Cisco -slutpunkter understøtter standardsikkerhedsfunktioner såsom signeret firmware, sikker start (udvalgte modeller), producentinstalleret certifikat (MIC) og signerede konfigurationsfiler, som giver et vist sikkerhedsniveau for slutpunkter.

Derudover kan en partner eller kunde aktivere yderligere sikkerhed, såsom:

  • Krypter IP-telefon (via HTTPS) til tjenester som f.eks. Extension Mobility

  • Udsted lokalt signifikante certifikater ( CAPF ) fra CAPF ( proxy-funktion for certificate authority Function) eller en offentlig certifikatmyndighed (CA)

  • Krypter konfigurationsfiler

  • Krypter medier og signalering

  • Deaktiver disse indstillinger, hvis de ikke bruges: PC-port, PC stemme VLAN -adgang, Gratuitous ARP, webadgang, knap til indstillinger, SSH, konsol

Implementering af sikkerhedsmekanismer i Dedikeret forekomst forhindrer identitetstyveri af telefoner og Unified CM-server, datamanipulation og manipulation med opkaldssignalering/mediestreaming.

Dedikeret forekomst over netværket:

  • Opretter og vedligeholder godkendte kommunikationsstreams

  • Signerer filer digitalt, før filen overføres til telefonen

  • Krypterer mediestreams og opkaldssignalering mellem Cisco Unified IP telefoner

Standardsikkerhedsopsætning

Sikkerhed indeholder som standard følgende automatiske sikkerhedsfunktioner til Cisco Unified IP telefoner:

  • Signering af telefonkonfiguration

  • Understøttelse af kryptering af telefonkonfiguration

  • HTTPS med Tomcat og andre webtjenester (MIDlets)

For Unified CM version 8.0 senere leveres disse sikkerhedsfunktioner som standard uden at køre CTL klienten (Certificate Trust List).

Tillidsbekræftelsestjeneste

Da der er et stort antal telefoner på et netværk, og IP telefoner har begrænset hukommelse, fungerer Cisco Unified CM som et eksternt tillidslager via Trust Verification Service (TVS), så der ikke skal placeres et tillidscertifikatlager på hver telefon. Cisco IP telefoner kontakter TVS -serveren med henblik på bekræftelse, fordi de ikke kan bekræfte en signatur eller certifikat via CTL eller ITL-filer. Det er nemmere at administrere et centralt tillidslager end at have tillidslageret på hver Cisco Unified IP-telefon.

TVS gør det muligt for Cisco Unified IP telefoner at godkende applikationsservere, såsom EM -tjenester, telefonbog og MIDlet, under HTTPS-etablering.

Første tillidsliste

ITL-filen (Initial Trust List) bruges til den indledende sikkerhed, så slutpunkterne kan have tillid til Cisco Unified CM. ITL behøver ingen sikkerhedsfunktioner for at blive aktiveret eksplicit. ITL-filen oprettes automatisk, når klyngen er installeret. Unified CM Trivial File Transfer Protocol (TFTP)-serverens private nøgle bruges til at signere ITL-filen.

Når Cisco Unified CM -klyngen eller -serveren er i ikke-sikker tilstand, downloades ITL-filen på alle understøttede Cisco IP-telefon. En partner kan se indholdet af en ITL-fil ved hjælp af CLI-kommando, admin:show itl.

Cisco IP telefoner skal bruge ITL-filen til at udføre følgende opgaver:

  • Kommuniker sikkert til CAPF, hvilket er en forudsætning for at understøtte kryptering af konfigurationsfilen

  • Godkend konfigurationsfilens signatur

  • Godkend applikationsservere, såsom EM tjenester, telefonbog og MIDlet under HTTPS-etablering ved hjælp af TVS

Cisco CTL

Enheds-, fil- og signaleringsgodkendelse afhænger af oprettelsen af CTL-filen (Certificate Trust List), som oprettes, når partneren eller kunden installerer og konfigurerer Cisco Certificate Trust List Client.

CTL-fil indeholder poster for følgende servere eller sikkerhedstokens:

  • Systemadministrators sikkerhedstoken (SAST)

  • Cisco CallManager og Cisco TFTP -tjenester, der kører på den samme server

  • Certificate Authority Proxy Function (CAPF)

  • TFTP -server(e)

  • ASA firewall

CTL-fil indeholder et servercertifikat, en offentlig nøgle, serienummer, signatur, udstedernavn, emnenavn, serverfunktion, DNS -navn og IP-adresse for hver server.

Telefonsikkerhed med CTL indeholder følgende funktioner:

  • Godkendelse af TFTP -downloadede filer (konfiguration, landestandard, ringeliste osv.) ved hjælp af en signeringsnøgle

  • Kryptering af TFTP konfigurationsfiler ved hjælp af en signeringsnøgle

  • Krypteret opkaldssignalering til IP telefoner

  • Krypteret opkaldslyd (medier) til IP telefoner

Sikkerhed til Cisco IP telefoner i Dedikeret forekomst

Dedikeret forekomst leverer slutpunktsregistrering og opkaldsbehandling. Signaleringen mellem Cisco Unified CM og slutpunkter er baseret på SCCP (Secure Skinny Client Control Protocol ) eller Session Initiation Protocol (SIP) og kan krypteres ved hjælp af TLS ( Transport Layer Security ). Mediet fra/til slutpunkterne er baseret på RTP(Real-time Transport Protocol) og kan også krypteres ved hjælp af Secure RTP (SRTP).

Aktivering af blandet tilstand på Unified CM muliggør kryptering af signalerings- og mediatrafik fra og til Cisco -slutpunkterne.

Sikre UC-applikationer

Aktivering af blandet tilstand i dedikeret forekomst

Blandet tilstand er aktiveret som standard i Dedikeret forekomst .

Aktiverer blandet tilstand i Dedikeret forekomst giver mulighed for at udføre kryptering af signal- og mediatrafik fra og til Cisco -slutpunkterne.

I Cisco Unified CM version 12.5(1) blev der tilføjet en ny mulighed for at aktivere kryptering af signalering og medier baseret på SIP OAuth i stedet for blandet tilstand/ CTL for Jabber- og Webex -klienter. I Unified CM -version 12.5(1) kan SIP OAuth og SRTP derfor bruges til at aktivere kryptering af signalering og medier til Jabber- eller Webex -klienter. Aktivering af blandet tilstand er fortsat påkrævet for Cisco IP telefoner og andre Cisco -slutpunkter på nuværende tidspunkt. Der er en plan om at tilføje understøttelse af SIP OAuth i 7800/8800-slutpunkter i en fremtidig udgivelse.

Sikkerhed for talemeddelelser

Cisco Unity Connection opretter forbindelse til Unified CM via TLS -porten. Når enhedens sikkerhedstilstand er ikke-sikker, opretter Cisco Unity Connection forbindelse til Unified CM via SCCP -porten.

Hvis du vil konfigurere sikkerheden for Unified CM -porte til talemeddelelser og Cisco Unity -enheder, der kører SCCP eller Cisco Unity Connection -enheder, der kører SCCP, kan en partner vælge en sikker enhedssikkerhedstilstand for porten. Hvis du vælger en godkendt voicemail-port, åbnes en TLS -forbindelse, som godkender enhederne ved hjælp af en gensidig certifikatudveksling (hver enhed accepterer certifikatet for den anden enhed). Hvis du vælger en krypteret voicemail-port, godkender systemet først enhederne og sender derefter krypterede talestreams mellem enhederne.

Få flere oplysninger om sikkerhedsporte til talemeddelelser i: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Sikkerhed for SRST, trunks, gateways, CUBE/SBC

En Cisco Unified Survivable Remote Site Telephony (SRST)-aktiveret gateway giver begrænsede opkaldsbehandlingsopgaver, hvis Cisco Unified CM Dedikeret forekomst kan ikke fuldføre opkaldet.

Sikre SRST-aktiverede gateways indeholder et selvsigneret certifikat. Når en partner udfører SRST -konfigurationsopgaver i Unified CM-administration, bruger Unified CM en TLS -forbindelse til at godkende med tjenesten Certificate Provider i den SRST-kompatibel gateway. Unified CM henter derefter certifikatet fra den SRST-kompatibel gateway og føjer certifikatet til Unified CM -databasen.

Når partneren nulstiller de afhængige enheder i Unified CM-administration, tilføjer TFTP -serveren det SRST-kompatibel gateway gatewaycertifikat til telefonens cnf.xml-fil og sender filen til telefonen. En sikker telefon bruger derefter en TLS -forbindelse til at interagere med den SRST-kompatibel gateway.

Det anbefales at have sikre trunks til opkald, der stammer fra Cisco Unified CM til gatewayen for udgående PSTN -opkald eller traversing gennem Cisco Unified Border Element (CUBE).

SIP trunks kan understøtte sikre opkald både til signalering og medier; TLS giver signalkryptering, og SRTP giver mediekryptering.

Sikring af kommunikation mellem Cisco Unified CM og CUBE

For sikker kommunikation mellem Cisco Unified CM og CUBE skal partnere/kunder bruge enten selvsigneret certifikat eller CA-signerede certifikater.

For selvsignerede certifikater:

  1. CUBE og Cisco Unified CM genererer selvsignerede certifikater

  2. CUBE eksporterer certifikatet til Cisco Unified CM

  3. Cisco Unified CM eksporterer certifikatet til CUBE

For CA-underskrevne certifikater:

  1. Klienten genererer et nøglepar og sender en Certificate Signing Request (CSR) til Certificate Authority (CA)

  2. CA signerer den med sin private nøgle og opretter et identitetscertifikat

  3. Klienten installerer listen over CA-rod- og mellemliggende certifikater, der er tillid til, og identitetscertifikatet

Sikkerhed for eksterne slutpunkter

Med Mobile and Remote Access -slutpunkter (MRA) krypteres signaleringen og mediet altid mellem MRA-slutpunkterne og Expressway-knuderne. Hvis ICE-protokollen (Interactive Connectivity Establishment) bruges til MRA-slutpunkter, er signalering og mediekryptering af MRA-slutpunkter påkrævet. Men kryptering af signalering og medier mellem Expressway-C og de interne Unified CM -servere, interne slutpunkter eller andre interne enheder kræver blandet tilstand eller SIP OAuth.

Cisco Expressway giver sikker firewallovergang og understøttelse af Unified CM -registreringer på linje. Unified CM giver opkaldskontrol til både mobile og lokale slutpunkter. Signalering krydser Expressway-løsningen mellem det eksterne slutpunkt og Unified CM. Medier krydser Expressway-løsningen og videresendes direkte mellem slutpunkterne. Alle medier krypteres mellem Expressway-C og det mobile slutpunkt.

Enhver MRA-løsning kræver Expressway og Unified CM med MRA-kompatible softklienter og/eller faste slutpunkter. Løsningen kan valgfrit omfatte IM og tilstedeværelsestjeneste og Selvbetjeningsportal forbindelse.

Protokoloversigt

Følgende tabel viser de protokoller og tilknyttede tjenester, der bruges i Unified CM -løsningen.

Tabel 1. Protokoller og tilknyttede tjenester

Protokol

Sikkerhed

Service

SIP

TLS

Sessionsetablering: Tilmelding, invitation osv.

HTTPS

TLS

Logon, provisionering/konfiguration, telefonbog, visuel telefonsvarer

Medie

SRTP

Medie: Lyd, video, indholdsdeling

XMPP

TLS

Meddelelser, tilstedeværelse, føderation

Få flere oplysninger om MRA-konfiguration på: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Konfigurationsvalgmuligheder

Den Dedikeret forekomst giver Partner fleksibilitet til at tilpasse tjenester til slutbrugere gennem fuld kontrol over dag to-konfigurationer. Som følge heraf er partneren eneansvarlig for korrekt konfiguration af Dedikeret forekomst service til slutbrugerens miljø. Dette omfatter, men ikke begrænset til:

  • Valg af sikre/ikke-sikre opkald, sikre/usikre protokoller såsom SIP/sSIP, http/https osv. og forstå eventuelle tilknyttede risici.

  • For alle MAC adresser, der ikke er konfigureret som sikre - SIP in Dedikeret forekomst , kan en hacker sende SIP -registreringsmeddelelse ved hjælp af den pågældende MAC-adresse og være i stand til at foretage SIP -opkald, hvilket resulterer i betalingssvig. Forudsætningen er, at hackeren kan registrere sin SIP-enhed/software til Dedikeret forekomst uden tilladelse, hvis de kender MAC-adresse for en enhed, der er registreret i Dedikeret forekomst .

  • Expressway-E-opkaldspolitikker, transformation og søgningsregler skal konfigureres for at forhindre svindel med gebyrer. For yderligere oplysninger om forebyggelse af betalingssvig ved brug af Expressways henvises der til afsnittet Sikkerhed for Expressway C og Expressway-E i Samarbejde SRND .

  • Konfiguration af opkaldsplan for at sikre, at brugere kun kan foretage opkald til destinationer, der er tilladt, f.eks. forbyde nationale/internationale opkald, nødopkald dirigeres korrekt osv. For yderligere oplysninger om anvendelse af begrænsninger ved hjælp af opkaldsplan, se Opkaldsplan afsnittet i SRND for samarbejde.

Certifikatkrav til sikre forbindelser i dedikeret forekomst

For dedikerede forekomster leverer Cisco domænet og signerer alle certifikaterne for UC-applikationerne ved hjælp af en offentlig Certificate Authority (CA).

Dedikeret forekomst – portnumre og protokoller

Følgende tabeller beskriver de porte og protokoller, der understøttes i dedikeret forekomst. Porte, der bruges til en given kunde, afhænger af kundens installation og løsning. Protokoller afhænger af kundens præference (SCCP vs SIP), eksisterende lokale enheder og hvilket sikkerhedsniveau der skal bestemme, hvilke porte der skal bruges i hver installation.


Dedikeret forekomst tillader ikke NAT (Network Address Translation) mellem slutpunkter og Unified CM , da nogle af opkaldsflowfunktionerne ikke fungerer, f.eks. funktion under opkald.

Dedikeret forekomst – kundeporte

De porte, der er tilgængelige for kunder – mellem den lokale kunde og den dedikerede forekomst er vist i tabel 1 Dedikerede forekomstkundeporte . Alle de porte, der er angivet nedenfor, er til kundetrafik, der krydser peering-links.


SNMP-port er som standard kun åben for Cisco Emergency Responder for at understøtte dens funktionalitet. Da vi ikke understøtter partnere eller kunder, der overvåger de UC-applikationer, der installeres i cloud med dedikeret forekomst, tillader vi ikke åbning af SNMP-port for andre UC-applikationer.


Porte i intervallet 5063 til 5080 er reserveret af Cisco til andre cloud-integrationer. Partner- eller kundeadministratorer frarådes at bruge disse porte i deres konfigurationer.

Tabel 2. Dedikeret forekomst Kundeporte

Protokol

TCP/UDP

Source

Destination

Kildeport

Destinationsport

Formål

SSH

TCP

klient

UC-applikationer

Større end 1023

22

Administration

TFTP

UDP

Slutpunkt

Unified CM

Større end 1023

69

Understøttelse af ældre slutpunkter

LDAP

TCP

UC-applikationer

Ekstern telefonbog

Større end 1023

389

Katalogsynkronisering til kundens LDAP

HTTPS

TCP

Browser

UC-applikationer

Større end 1023

443

Webadgang til egen pleje og administrative grænseflader

Udgående e-mail (SIKR)

TCP

UC-applikation

CUCxn

Større end 1023

587

Bruges til at skrive og sende sikre meddelelser til alle udpegede modtagere

LDAP (SIKKER)

TCP

UC-applikationer

Ekstern telefonbog

Større end 1023

636

Katalogsynkronisering til kundens LDAP

H323

TCP

Gateway

Unified CM

Større end 1023

1720

Opkaldssignalering

H323

TCP

Unified CM

Unified CM

Større end 1023

1720

Opkaldssignalering

SCCP

TCP

Slutpunkt

Unified CM, CUCxn

Større end 1023

2000

Opkaldssignalering

SCCP

TCP

Unified CM

Unified CM, gateway

Større end 1023

2000

Opkaldssignalering

MGCP

UDP

Gateway

Gateway

Større end 1023

2427

Opkaldssignalering

MGCP Blackhaul

TCP

Gateway

Unified CM

Større end 1023

2428

Opkaldssignalering

SCCP (SIKKERT)

TCP

Slutpunkt

Unified CM, CUCxn

Større end 1023

2443

Opkaldssignalering

SCCP (SIKKERT)

TCP

Unified CM

Unified CM, gateway

Større end 1023

2443

Opkaldssignalering

Tillidsbekræftelse

TCP

Slutpunkt

Unified CM

Større end 1023

2445

Leverer tillidsbekræftelsestjeneste til slutpunkter

CTI

TCP

Slutpunkt

Unified CM

Større end 1023

2748

Forbindelse mellem CTI -applikationer (JTAPI/TSP) og CTIManager

Sikker CTI

TCP

Slutpunkt

Unified CM

Større end 1023

2749

Sikker forbindelse mellem CTI -applikationer (JTAPI/TSP) og CTIManager

Globalt LDAP -katalog

TCP

UC-applikationer

Ekstern telefonbog

Større end 1023

3268

Katalogsynkronisering til kundens LDAP

Globalt LDAP -katalog

TCP

UC-applikationer

Ekstern telefonbog

Større end 1023

3269

Katalogsynkronisering til kundens LDAP

CAPF tjeneste

TCP

Slutpunkt

Unified CM

Større end 1023

3804

CAPF ( Certificate Authority Proxy Function) lytteport til udstedelse af LSC(Locally Significant Certificates) til IP telefoner

SIP

TCP

Slutpunkt

Unified CM, CUCxn

Større end 1023

5060

Opkaldssignalering

SIP

TCP

Unified CM

Unified CM, gateway

Større end 1023

5060

Opkaldssignalering

SIP (SIKKERT)

TCP

Slutpunkt

Unified CM

Større end 1023

5061

Opkaldssignalering

SIP (SIKKERT)

TCP

Unified CM

Unified CM, gateway

Større end 1023

5061

Opkaldssignalering

SIP (OAUTH)

TCP

Slutpunkt

Unified CM

Større end 1023

5090

Opkaldssignalering

XMPP

TCP

Jabber-klient

Cisco IM&P

Større end 1023

5222

Meddelelser og tilstedeværelse

HTTP

TCP

Slutpunkt

Unified CM

Større end 1023

6970

Downloader konfiguration og billeder til slutpunkter

HTTPS

TCP

Slutpunkt

Unified CM

Større end 1023

6971

Downloader konfiguration og billeder til slutpunkter

HTTPS

TCP

Slutpunkt

Unified CM

Større end 1023

6972

Downloader konfiguration og billeder til slutpunkter

HTTP

TCP

Jabber-klient

CUCxn

Større end 1023

7080

Underretninger om telefonsvarer

HTTPS

TCP

Jabber-klient

CUCxn

Større end 1023

7443

Sikker besked til telefonsvarer

HTTPS

TCP

Unified CM

Unified CM

Større end 1023

7501

Bruges af Intercluster Lookup Service (ILS) til certifikatbaseret godkendelse

HTTPS

TCP

Unified CM

Unified CM

Større end 1023

7502

Bruges af ILS til adgangskodebaseret godkendelse

IMAP

TCP

Jabber-klient

CUCxn

Større end 1023

7993

IMAP over TLS

HTTP

TCP

Slutpunkt

Unified CM

Større end 1023

8080

Katalog- URI til understøttelse af ældre slutpunkter

HTTPS

TCP

Browser, slutpunkt

UC-applikationer

Større end 1023

8443

Webadgang til egenomsorg og administrative grænseflader, UDS

HTTPS

TCP

Telefon

Unified CM

Større end 1023

9443

Autentificeret kontaktsøgning

HTTPs

TCP

Slutpunkt

Unified CM

Større end 1023

9444

Funktion til administration af hovedtelefoner

Sikker RTP/ SRTP

UDP

Unified CM

Telefon

16384 til 32767 *

16384 til 32767 *

Medier (lyd) – Musik i venteposition, annunciator, softwarekonferencebro (åben baseret på opkaldssignalering)

Sikker RTP/ SRTP

UDP

Telefon

Unified CM

16384 til 32767 *

16384 til 32767 *

Medier (lyd) – Musik i venteposition, annunciator, softwarekonferencebro (åben baseret på opkaldssignalering)

COBRAS

TCP

klient

CUCxn

Større end 1023

20532

Applikationspakke til sikkerhedskopiering og gendannelse

ICMP

ICMP

Slutpunkt

UC-applikationer

ikke relevant

ikke relevant

Ping

ICMP

ICMP

UC-applikationer

Slutpunkt

ikke relevant

ikke relevant

Ping

* Visse særlige tilfælde kan bruge et større interval.

Dedikeret forekomst – OTT-porte

Følgende port kan bruges af kunder og partnere til opsætning af mobil og Remote Access (MRA):

Tabel 3. Port til OTT

Protokol

TCP/UCP

Source

Destination

Kildeport

Destinationsport

Formål

SIKKER RTP/ RTCP

UDP

Motorvej C

klient

Større end 1023

36.000-59.999

Secure Media til MRA- og B2B-opkald

Interop SIP-trunk mellem flere lejere og dedikeret forekomst (kun for registreringsbaseret trunk)

Følgende liste over porte skal tillades på kundens firewall for den registreringsbaserede SIP-trunk, der forbinder mellem multilejer og dedikeret forekomst.

Tabel 4. Port til registreringsbaserede trunks

Protokol

TCP/UCP

Source

Destination

Kildeport

Destinationsport

Formål

RTP/RTCP

UDP

Webex Calling-multilejer

klient

Større end 1023

8000-48198

Medier fra Webex Calling-multilejer

Dedikeret forekomst – UCCX-porte

Følgende liste over porte kan bruges af kunder og partnere til konfiguration af UCCX.

Tabel 5. Cisco UCCX-porte

Protokol

TCP /UCP

Source

Destination

Kildeport

Destinationsport

Formål

SSH

TCP

klient

UCCX

Større end 1023

22

SFTP og SSH

Informix

TCP

Klient eller server

UCCX

Større end 1023

1504

Unified CCX -databaseport

SIP

UDP og TCP

SIP GW- eller MCRP-server

UCCX

Større end 1023

5065

Kommunikation til eksterne GW- og MCRP-knuder

XMPP

TCP

klient

UCCX

Større end 1023

5223

Sikker XMPP -forbindelse mellem Finesse-serveren og brugerdefinerede tredjepartsapplikationer

CVD

TCP

klient

UCCX

Større end 1023

6999

Editor til CCX-applikationer

HTTPS

TCP

klient

UCCX

Større end 1023

7443

Sikker BOSH-forbindelse mellem Finesse-serveren og agent- og supervisorskriveborde til kommunikation over HTTPS

HTTP

TCP

klient

UCCX

Større end 1023

8080

Klienter til live-datarapportering opretter forbindelse til socket.IO-server

HTTP

TCP

klient

UCCX

Større end 1023

8081

Klientbrowser forsøger at få adgang til Cisco Unified Intelligence Center webgrænseflade

HTTP

TCP

klient

UCCX

Større end 1023

8443

Admin GUI, RTMT, DB-adgang via SOAP

HTTPS

TCP

klient

UCCX

Større end 1023

8444

Cisco Unified Intelligence Center webgrænseflade

HTTPS

TCP

Browser- og REST-klienter

UCCX

Større end 1023

8445

Sikker port til Finesse

HTTPS

TCP

klient

UCCX

Større end 1023

8447

HTTPS – onlinehjælp til Unified Intelligence Center

HTTPS

TCP

klient

UCCX

Større end 1023

8553

Single Sign-On-komponenter (SSO) tilgår denne grænseflade for at få kendskab til driftsstatussen for Cisco IdS.

HTTP

TCP

klient

UCCX

Større end 1023

9080

Klienter, der forsøger at få adgang til HTTP-udløsere eller dokumenter/prompter/grammatikker/ livedata.

HTTPS

TCP

klient

UCCX

Større end 1023

9443

Sikker port bruges til at svare på klienter, der forsøger at få adgang til HTTPS-udløsere

TCP

TCP

klient

UCCX

Større end 1023

12014

Dette er porten, hvor live-data rapporteringsklienter kan oprette forbindelse til socket.IO server

TCP

TCP

klient

UCCX

Større end 1023

12015

Dette er porten, hvor live-data rapporteringsklienter kan oprette forbindelse til socket.IO server

CTI

TCP

klient

UCCX

Større end 1023

12028

CTI klient fra tredjepart til CCX

RTP(medie)

TCP

Slutpunkt

UCCX

Større end 1023

Større end 1023

Medieporten åbnes dynamisk efter behov

RTP(medie)

TCP

klient

Slutpunkt

Større end 1023

Større end 1023

Medieporten åbnes dynamisk efter behov

Klientsikkerhed

Sikring af Jabber og Webex med SIP OAuth

Jabber- og Webex klienter godkendes via et OAuth-token i stedet for et lokalt signifikant certifikat (LSC ), som ikke kræver aktivering af CAPF ( proxy-funktion for certificate authority Function) (også for MRA). SIP OAuth, der fungerer med eller uden blandet tilstand, blev introduceret i Cisco Unified CM 12.5(1), Jabber 12.5 og Expressway X12.5.

I Cisco Unified CM 12.5 har vi en ny valgmulighed i Phone Security Profile, der muliggør kryptering uden LSC/ CAPF ved hjælp af single Transport Layer Security (TLS) + OAuth-token i SIP REGISTER. Expressway-C-knuder bruger AXL (Administrative XML Web Service API) til at informere Cisco Unified CM om SN/SAN i deres certifikat. Cisco Unified CM bruger disse oplysninger til at validere Exp-C-certifikatet, når der oprettes en fælles TLS -forbindelse.

SIP OAuth muliggør medie- og signalkryptering uden et slutpunktscertifikat (LSC).

Cisco Jabber bruger kortvarige porte og sikre porte 6971- og 6972-porte via HTTPS-forbindelse til TFTP -serveren til at downloade konfigurationsfilerne. Port 6970 er en ikke-sikker port til download via HTTP.

Flere oplysninger om SIP OAuth-konfiguration: SIP OAuth-tilstand .

DNS-krav

For dedikerede forekomster leverer Cisco FQDN for tjenesten i hver region med følgende format<customer> .<region> .wxc-di.webex.com f.eks. xyz.amer.wxc-di.webex.com .

'Kunde'-værdien angives af administratoren som en del af Guide til den første opsætning (FTSW). For yderligere oplysninger henvises til Dedikeret aktivering af forekomsttjeneste .

DNS -poster for dette FQDN skal kunne løses fra kundens interne DNS-server for at understøtte lokale enheder, der opretter forbindelse til den dedikerede forekomst. For at lette løsningen skal kunden konfigurere en betinget videresendelse til dette FQDN på sin DNS-server, der peger på den dedikerede DNS -tjeneste for forekomster. Den dedikerede forekomst DNS -tjeneste er regional og kan nås via peering til dedikeret forekomst ved hjælp af følgende IP -adresser som nævnt i nedenstående tabel Dedikeret IP -adresse for DNS -tjeneste for forekomst .

Tabel 6. Dedikeret IP -adresse for DNS -tjeneste for forekomst

Region/DC

Dedikeret IP -adresse for DNS -tjeneste for forekomst

Eksempel på betinget videresendelse

Nord- og Sydamerika (AMER)

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

AMS

178.215.131.228

Asien og Stillehavsområdet, Japan og Kina (APJC)

<customer>.apjc.wxc-di.webex.com

SIN

103.232.71.100

TKY

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


Ping-indstillingen er deaktiveret for de ovennævnte IP -adresser til DNS-server af sikkerhedsmæssige årsager.

Indtil den betingede videresendelse er på plads, vil enheder ikke være i stand til at tilmelde sig den dedikerede forekomst fra kundens interne netværk via peering-links. Betinget videresendelse er ikke påkrævet for tilmelding via Mobile and Remote Access (MRA), da alle de påkrævede eksterne DNS -poster for at lette MRA vil blive klargjort på forhånd af Cisco.

Når du bruger Webex -applikationen som din opkaldssoftklient på dedikeret forekomst, skal der konfigureres en UC Manager-profil i Control Hub for hver regions Voice Service Domain (VSD). For yderligere oplysninger henvises til UC Manager-profiler i Cisco Webex Control Hub . Webex -applikationen vil automatisk kunne løse kundens Expressway Edge uden nogen form for indgriben fra slutbrugeren.


Voice Service Domain vil blive leveret til kunden som en del af partneradgangsdokumentet, når tjenesteaktiveringen er fuldført.