Netværkskrav for dedikeret instans

Webex-opkald er en del af Cisco Cloud Calling-porteføljen, drevet af Cisco Unified Communications Manager (Cisco Unified CM) samarbejdsteknologi. Dedikeret instans tilbyder stemme-, video-, meddelelses- og mobilitetsløsninger med funktionerne og fordelene ved Cisco IP-telefoner, mobilenheder og desktopklienter, der opretter sikker forbindelse til den dedikerede forekomst.

Denne artikel er beregnet til netværksadministratorer, særligt firewall- og proxysikkerhedsadministratorer, der ønsker at bruge dedikerede tilfælde inden for deres organisation. Dette dokument fokuserer først og fremmest på netværkskravene og sikkerheden for løsningen Dedikeret instans, herunder lag tilgangen til de funktioner og funktioner, der giver sikker fysisk adgang, et sikkert netværk, sikre slutpunkter og sikre Cisco UC-applikationer.

Sikkerhedsoversigt: Sikkerhed i lag

Dedikeret tilfælde bruger en laget tilgang til sikkerhed. Lagene inkluderer:

  • Fysisk adgang

  • Netværk

  • Slutpunkter

  • UC-applikationer

Følgende afsnit beskriver sikkerhedslagene i implementeringer af dedikerede tilfælde.

Fysisk sikkerhed

Det er vigtigt at sørge for fysisk sikkerhed til Equinix's lokaler til møder med mig og faciliteter til Cisco-dedikerede forekomstdatacentre. Når den fysiske sikkerhed er kompromitteret, kan simple angreb, såsom driftsforstyrrelser ved at lukke for strøm til en kundes switches, startes. Med fysisk adgang kan brugere få adgang til serverenheder, nulstille adgangskoder og få adgang til switches. Fysisk adgang letter også mere angreb, som man-in-the-middle, hvilket er årsagen til, at det andet sikkerhedslag, netværkssikkerheden, er meget vigtigt.

Selvkrypteringsdrev bruges i dedikerede tilfælde-datacentre , der er vært for UC-applikationer.

For yderligere oplysninger om den generelle sikkerhedspraksis, se dokumentationen på følgende placering: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Netværkssikkerhed

Partnere skal sikre, at alle netværkselementer er sikre i Dedikeret instance-infrastruktur (som opretter forbindelse via Equinix). Det er partnerens ansvar at sikre bedste praksis for sikkerhed, såsom:

  • Separat VLAN for stemme og data

  • Aktivér Port Security, som begrænser antallet af MAC-adresser tilladt pr. port, mod cam-tabellens indhold

  • IP-kildeobjekt over for spooferede IP-adresser

  • Dynamisk ARP-inspektion (DAI) undersøger adresseopløsningsprotokol (ARP) og gryende ARP (GARP) for overtrædelser (mod ARP-spoofing)

  • 802. begrænser1x netværksadgang til godkendte enheder på tildelte VLAN'er (telefoner understøtter 802.1x)

  • Konfiguration af tjenestekvalitet (QoS) for passende mærkning af stemmepakker

  • Konfigurationer af firewall-porte til blokering af al anden trafik

Slutpunktssikkerhed

Cisco-slutpunkter understøtter standardsikkerhedsfunktioner såsom underskrevet firmware, sikker opstart (valgte modeller), producentens installerede certifikat (MIC) og underskrevne konfigurationsfiler, som giver et bestemt sikkerhedsniveau for slutpunkter.

Derudover kan en partner eller kunde aktivere yderligere sikkerhed, såsom:

  • Krypter IP-telefontjenester (via HTTPS) for tjenester såsom lokalnummermobilitet

  • Udstedelse af lokalt vigtige certifikater (LSCs) fra certifikatmyndighedens proxyfunktion (CAPF) eller en offentlig certifikatmyndighed (CA)

  • Krypter konfigurationsfiler

  • Krypter medier og signal

  • Deaktiver disse indstillinger, hvis de ikke bruges: PC-port, PC Voice VLAN-adgang, dekomisk ARP, Web Access, knappen Indstillinger, SSH, konsol

Implementeringen af sikkerhed mekanismerne i den dedikerede instans forhindrer identitetsstrukner fra telefonerne og Unified CM-serveren, ændring af data og opkaldssignalering/mediestream-ændring.

Dedikeret forekomst via netværket:

  • Etablerer og opretholder godkendte kommunikationsstreams

  • Signerer filer digitalt, før filen overføres til telefonen

  • Krypterer mediestreams og opkaldssignalering mellem Cisco Unified IP-telefoner

Standardsikkerhedsopsætning

Sikkerhed giver som standard følgende automatiske sikkerhedsfunktioner til Cisco Unified IP-telefoner:

  • Underskrivning af telefonkonfigurationsfilerne

  • Support til telefonkonfigurationsfilkryptering

  • HTTPS med Tomcat og andre webtjenester (MIDlets)

Til Unified CM Release 8.0 senere leveres disse sikkerhedsfunktioner som standard uden at køre klienten certificate Trust List (CTL).

Tillidsbekræftelsestjeneste

Fordi der er mange telefoner på et netværk, og IP-telefoner har begrænset hukommelse, fungerer Cisco Unified CM som en ekstern tillidsbutik via tillidsbekræftelsestjenesten (TVS), så en certifikattillidsbutik ikke skal placeres på hver telefon. Cisco IP-telefoner kontakter TVS-serveren for verificering, fordi de ikke kan bekræfte en underskrift eller certifikat gennem CTL- eller ITL-filer. Det er nemmere at administrere en central tillidsbutik end at have tillid til hver Cisco Unified IP-telefon.

TVS gør det Cisco Unified IP-telefoner til at godkende applikationsservere, såsom EM-tjenester, telefonbog og MIDlet, under brug af HTTPS.

Første tillidsliste

Den indledende tillidsliste (ITL)-fil bruges til den indledende sikkerhed, så slutpunkterne kan have tillid Cisco Unified CM. ITL behøver ikke nogen sikkerhedsfunktioner for at blive aktiveret udtrykkeligt. ITL-filen oprettes automatisk, når klyngen er installeret. Serverens private nøgle til Unified CM Trivial File Transfer Protocol (TFTP) bruges til at underskrive ITL-filen.

Når den Cisco Unified CM-klynge eller server er i ikke-sikker tilstand, downloades ITL-filen på hver understøttet Cisco IP-telefon. En partner kan se indholdet af en ITL-fil ved hjælp af CLI-kommandoen, admin:show itl.

Cisco IP-telefoner skal bruge ITL-filen for at udføre følgende opgaver:

  • Kommunikere sikkert til CAPF, en forudsætning for at understøtte konfigurationsfilkryptering

  • Godkend konfigurationsfilsignaturen

  • Godkend applikationsservere, såsom EM-tjenester, telefonbog og MIDlet under HTTPS-brug af TVS

Cisco CTL

Godkendelse af enhed, fil og signal afhænger af oprettelsen af filen Certificate Trust List (CTL), som oprettes, når partneren eller kunden installerer og konfigurerer Cisco-certifikattillidslisteklienten.

CTL-filen indeholder poster til følgende servere eller sikkerhedspoletter:

  • Systemadministrators sikkerhedstoken (VEDR.)

  • Cisco CallManager og Cisco TFTP-tjenester, der kører på den samme server

  • Certifikatmyndighedens proxyfunktion (CAPF)

  • TFTP-server(e)

  • ASA-firewall

CTL-filen indeholder et servercertifikat, offentlig nøgle, serienummer, signatur, udstedernavn, emnenavn, serverfunktion, DNS-navn og IP-adresse for hver server.

Telefonsikkerhed med CTL leverer følgende funktioner:

  • Godkendelse af TFTP-downloadede filer (konfiguration, lokalisering, ringliste, og så videre) ved hjælp af en signeringsnøgle

  • Kryptering af TFTP-konfigurationsfiler ved hjælp af en signeringsnøgle

  • Krypteret opkaldssignal til IP-telefoner

  • Krypteret opkaldslyd (medier) til IP-telefoner

Sikkerhed for Cisco IP-telefoner i dedikeret tilfælde

Dedikeret forekomst giver slutpunktsregistrering og behandling af opkald. Signalet mellem Cisco Unified CM og slutpunkter er baseret på SCCP (Secure Skinny Client Control Protocol) eller Session Initiation Protocol (SIP) og kan krypteres ved hjælp af Transport Layer Security (TLS). Mediet fra/til slutpunkterne er baseret på realtids transportprotokol (RTP) og kan også krypteres ved hjælp af Secure RTP (SRTP).

Aktivering af blandet tilstand på Unified CM muliggør kryptering af signal og medietrafik fra og til Cisco-slutpunkter.

Sikre UC-applikationer

Aktivering af Blandet tilstand i dedikeret forekomst

Blandet tilstand er ikke aktiveret som standard i dedikeret forekomst.

Aktivering af blandet tilstand i dedikeret tilfælde aktiverer muligheden for at udføre kryptering af signalet og medietrafikken fra og til Cisco-slutpunkterne.

I Cisco Unified CM udgivelse 12.5(1) blev en ny valgmulighed til at aktivere kryptering af signal og medier baseret på SIP OAuth i stedet for blandet tilstand/ CTL tilføjet for Jabber- og Webex-klienter. Derfor kan SIP OAuth og SRTP i Unified CM-version 12.5(1) bruges til at aktivere kryptering for signal og medier for Jabber eller Webex-klienter. Aktivering af blandet tilstand er fortsat nødvendig for Cisco IP-telefoner og andre Cisco-slutpunkter på nuværende tidspunkt. Der er en plan for at tilføje support til SIP OAuth i 7800/8800 slutpunkter i en fremtidig udgivelse.

Sikkerhed for talebeskeder

Cisco Unity Connection tilslutter til Unified CM via TLS-porten. Når enhedens sikkerhedstilstand ikke er sikker, opretter Cisco Unity Connection forbindelse til Unified CM via SCCP-porten.

For at konfigurere sikkerheden for Unified CM-telefonsvarerporte og Cisco Unity-enheder, der kører SCCP eller Cisco Unity Connection-enheder, der kører SCCP, kan en partner vælge en sikker enhedssikkerhedstilstand for porten. Hvis du vælger en godkendt indtalt besked-port, åbnes en TLS-forbindelse, som godkender enhederne ved hjælp af en gensidig certifikatudveksling (hver enhed accepterer certifikatet fra den anden enhed). Hvis du vælger en krypteret voicemail-port, godkender systemet først enhederne og sender derefter krypterede stemmestreams mellem enhederne.

For yderligere oplysninger om porte til beskeder om sikkerhed, se: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Sikkerhed for SRST, trunks, gateways, CUBE/SBC

En Cisco Unified gateway til ekstern webstedstelefoni (SRST) giver begrænsede opkaldsbehandlingsopgaver, hvis Cisco Unified CM på en dedikeret forekomst ikke kan gennemføre opkaldet.

Sikre SRST-aktiverede gateways indeholder et selv underskrevet certifikat. Når en partner udfører SRST-konfigurationsopgaver i Unified CM-administration, bruger Unified CM en TLS-forbindelse til at godkende med certifikatudbydertjenesten i den SRST-aktiverede gateway. Unified CM henter derefter certifikatet fra den SRST-aktiverede gateway og tilføjer certifikatet til Unified CM-databasen.

Efter partner nulstiller de afhængig enheder i Unified CM administration, tilføjer TFTP-serveren SRST-aktiveret gateway certifikat til telefonen cnf.xml filen og sender filen til telefonen. En sikker telefon bruger derefter en TLS-forbindelse til at interagere med den SRST-aktiverede gateway.

Det anbefales at have sikre trunks til opkaldet, der stammer fra Cisco Unified CM til gatewayen for udgående PSTN-opkald eller passage gennem Cisco Unified Border Element (CUBE).

SIP-trunks kan understøtte sikre opkald både til signal såvel som medier; TLS leverer signalkryptering, og SRTP giver mediekryptering.

Sikre kommunikationer mellem Cisco Unified CM og CUBE

For sikker kommunikation mellem Cisco Unified CM og CUBE skal partnere/kunder bruge enten selv underskrevne certifikater eller CA-underskrevne certifikater.

For selv underskrevne certifikater:

  1. CUBE og Cisco Unified CM generere selv underskrevne certifikater

  2. CUBE eksportcertifikat til Cisco Unified CM

  3. Cisco Unified CM eksportcertifikat til CUBE

For CA-underskrevne certifikater:

  1. Klienten opretter et nøglepar og sender en anmodning om underskrift af certifikat (CSR) til certifikatmyndigheden (CA)

  2. CA signerer den med dens private nøgle og opretter et identitetscertifikat

  3. Klienten installerer listen over nøglecentercertifikater, der er tillid til, samt certifikater for rod og sikkerhed samt identitetscertifikatet

Sikkerhed for eksterne slutpunkter

Med Mobile og Remote Access (MRA) slutpunkter krypteres signaler og medier altid mellem MRA-slutpunkterne og Expressway knudepunkter. Hvis ICE -protokollen (Interactive Connectivity Båndbredde) bruges til MRA-slutpunkter, kræves der signal- og mediekryptering af MRA-slutpunkterne. Kryptering af signaler og medier mellem Expressway-C og de interne Unified CM-servere, interne slutpunkter eller andre interne enheder kræver dog blandet tilstand eller SIP OAuth.

Cisco Expressway sikker firewall-traversal og linje-side-support til Unified CM-registreringer. Unified CM leverer opkaldskontrol til både mobile og lokale slutpunkter. Signalerer krydser Expressway mellem det eksterne slutpunkt og Unified CM. Medie krydser Expressway og videresendes direkte mellem slutpunkter. Alle medier krypteres mellem det Expressway-C og det mobile slutpunkt.

Enhver MRA-løsning Expressway og Unified CM med MRA-kompatible soft clients og/eller faste slutpunkter. Løsningen kan eventuelt indeholde IM og Tilstedeværelsestjenesten og Unity Connection.

Protokoloversigt

Følgende tabel viser protokollerne og tilknyttede tjenester, der bruges i Unified CM-løsningen.

Tabel 1. Protokoller og tilknyttede tjenester

Protocol

Sikkerhed

Service

SIP

TLS

Session, der er til sammensyning: Tilmeld, inviter osv.

HTTPS

TLS

Login, provisionering/konfiguration, adressebog, visuel indtalt besked

Medie

SRTP

Medier: Lyd, video, indholdsdeling

XMPP

TLS

Chat, tilstedeværelse, sammenslutning

For yderligere oplysninger om MRA-konfiguration, se: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Konfigurationsvalgmuligheder

Den dedikerede instans giver partneren fleksibilitet til at brugertilpasse tjenester til slutbrugere ved hjælp af fuld kontrol over dag to konfigurationer. Som følge deraf er partneren eneansvarlig for korrekt konfiguration af dedikeret instans-tjeneste for slutbrugerens miljø. Dette omfatter, men ikke begrænset til:

  • Valg af sikre/usikre opkald, sikre/usikre protokoller såsom SIP/sSIP, http/https osv. og forståelse af eventuelle tilknyttede risici.

  • For alle MAC-adresser, der ikke er konfigureret som sikker SIP i en dedikeret forekomst, kan en person, der er under behandling, sende SIP-registermeddelelsen ved hjælp af den MAC-adresse og være i stand til at foretage SIP-opkald, hvilket medfører afgiftsbedrageri. Det bedste er, at personerne, der er klar over, kan registrere deres SIP-enhed/software til dedikerede forekomster uden godkendelse, hvis de kender MAC-adressen på en enhed, der er registreret i en dedikeret forekomst.

  • Expressway-E-opkaldspolitikker, omdannelses- og søgeregler bør konfigureres for at forhindre afgiftsbedrageri. For yderligere oplysninger om forhindring af afgiftsbedrageri ved hjælp af Expressways henvises der til afsnittet Sikkerhed for Expressway C og Expressway-E i Collaboration SRND.

  • Konfiguration af opkaldsplan for at sikre, at brugere kun kan ringe til destinationer, som er tilladt, f.eks. forbyde nationalt/internationalt opkald, at nødopkald dirigeres korrekt osv. For yderligere oplysninger om anvendelse af begrænsninger ved opkaldsplan se afsnittet Opkaldsplan i Collaboration SRND.

Certifikatkrav til sikre forbindelser i dedikeret tilfælde

For dedikerede tilfælde skal Cisco levere domænet og underskrive alle certifikaterne til UC-applikationerne ved hjælp af en offentlig certifikatmyndighed (CA).

Dedikeret forekomst – Portnumre og protokoller

Følgende tabeller beskriver de porte og protokoller, der understøttes i dedikeret forekomst. Porte, der bruges til en bestemt kunde, afhænger af kundens installation og løsning. Protokoller afhænger af kundens præference (SCCP vs SIP), eksisterende lokale enheder og hvilket sikkerhedsniveau, der skal afgøre, hvilke porte der skal bruges i hver installation.

Dedikeret forekomst – Kundeporte

De porte, der er tilgængelige for kunder – mellem kundens sted og den dedikerede forekomst vises i tabel 1 dedikerede kundeporte. Alle porte angivet herunder er for kundetrafik traversing peering links.


SNMP-port understøttes kun for CER-funktionalitet og ikke for andre tredjepartsovervågningsværktøjer.


Porte i området 5063 til 5080 er reserveret af Cisco til andre cloud-integrationer, partner- eller kundeadministratorer anbefales ikke at bruge disse porte i deres konfigurationer.

Tabel 2. Dedikerede forekomst kundeporte

Protocol

TCP/UCP

Source

Destination

Kildeport

Destinationsport

Formål

SSH

TCP

klient

UC-applikationer

Større end 1023

22

Administration

LDAP

TCP

UC-applikationer

Ekstern mappe

Større end 1023

389

Adressebogssynkronisering til kunde LDAP

HTTPS

TCP

Browser

UC-applikationer

Større end 1023

443

Webadgang til selvbetjening og administrative grænseflader

LDAP (SIKKER)

TCP

UC-applikationer

Ekstern mappe

Større end 1023

636

Adressebogssynkronisering til kunde LDAP

SCCP

TCP

Slutpunkt

Unified CM, CUCxn

Større end 1023

2000

Opkaldssignalering

SCCP

TCP

Unified CM

Unified CM, Gateway

Større end 1023

2000

Opkaldssignalering

SCCP (SIKKER)

TCP

Slutpunkt

Unified CM, CUCxn

Større end 1023

2443

Opkaldssignalering

SCCP (SIKKER)

TCP

Unified CM

Unified CM, Gateway

Større end 1023

2443

Opkaldssignalering

Tillidsbekræftelse

TCP

Slutpunkt

Unified CM

Større end 1023

2445

Giver tillidsbekræftelsestjeneste til slutpunkter

CTI

TCP

Slutpunkt

Unified CM

Større end 1023

2748

Forbindelse mellem CTI-applikationer (JTAPI/TSP) og CTIManager

Sikker CTI

TCP

Slutpunkt

Unified CM

Større end 1023

2749

Sikker forbindelse mellem CTI-applikationer (JTAPI/TSP) og CTIManager

LDAP globalt katalog

TCP

UC-applikationer

Ekstern mappe

Større end 1023

3268

Adressebogssynkronisering til kunde LDAP

LDAP globalt katalog

TCP

UC-applikationer

Ekstern mappe

Større end 1023

3269

Adressebogssynkronisering til kunde LDAP

CAPF-tjeneste

TCP

Slutpunkt

Unified CM

Større end 1023

3804

Certifikat Authority Proxy Function (CAPF) lytteport for at udpege lokalt vigtige certifikater (LSC) til IP-telefoner

SIP

TCP

Slutpunkt

Unified CM, CUCxn

Større end 1023

5060

Opkaldssignalering

SIP

TCP

Unified CM

Unified CM, Gateway

Større end 1023

5060

Opkaldssignalering

SIP (SIKKER)

TCP

Slutpunkt

Unified CM

Større end 1023

5061

Opkaldssignalering

SIP (SIKKER)

TCP

Unified CM

Unified CM, Gateway

Større end 1023

5061

Opkaldssignalering

SIP (OAUTH)

TCP

Slutpunkt

Unified CM

Større end 1023

5090

Opkaldssignalering

XMPP

TCP

Jabber-klient

Cisco IM&P

Større end 1023

5222

Chat og tilstedeværelse

HTTP

TCP

Slutpunkt

Unified CM

Større end 1023

6970

Downloader konfiguration og billeder til slutpunkter

HTTPS

TCP

Slutpunkt

Unified CM

Større end 1023

6971

Downloader konfiguration og billeder til slutpunkter

HTTPS

TCP

Slutpunkt

Unified CM

Større end 1023

6972

Downloader konfiguration og billeder til slutpunkter

HTTP

TCP

Jabber-klient

CUCxn

Større end 1023

7080

Voicemail-underretninger

HTTPS

TCP

Jabber-klient

CUCxn

Større end 1023

7443

Sikre indtalt besked-underretninger

HTTPS

TCP

Unified CM

Unified CM

Større end 1023

7501

Bruges af Intercluster Lookup Service (ILS) for certifikatbaseret bekræftelse

HTTPS

TCP

Unified CM

Unified CM

Større end 1023

7502

Bruges af ILS til adgangskodebaseret bekræftelse

IMAP

TCP

Jabber-klient

CUCxn

Større end 1023

7993

IMAP over TLS

HTTPS

TCP

Browser, slutpunkt

UC-applikationer

Større end 1023

8443

Webadgang til selvhjælp og administrative grænseflader, UDS

HTTPS

TCP

Prem

Unified CM

Større end 1023

9443

Godkendt kontaktsøgning

Sikker RTP/SRTP

UDP

Unified CM

Telefon

16384 til 32767 *

16384 til 32767 *

Medie (lyd) - Musik On Hold, Annunciator, Software Conference Bridge (Åben baseret på opkaldssignalering)

Sikker RTP/SRTP

UDP

Telefon

Unified CM

16384 til 32767 *

16384 til 32767 *

Medie (lyd) - Musik On Hold, Annunciator, Software Conference Bridge (Åben baseret på opkaldssignalering)

ICMP

ICMP

Slutpunkt

UC-applikationer

ikke relevant

ikke relevant

Ping

ICMP

ICMP

UC-applikationer

Slutpunkt

ikke relevant

ikke relevant

Ping

* Visse særlige tilfælde kan benytte et større interval.

Dedikeret forekomst – OTT-porte

Følgende liste over porte kan bruges af kunder og partnere til Mobil og Remote Access (MRA) opsætning:

Tabel 3. Liste over porte til OTT

Protocol

TCP/UCP

Source

Destination

Kildeport

Destinationsport

Formål

SIKKER SIP

TCP

Slutpunkt

Expressway E

Større end 1023

5061

Sikkert SIP-signal til MRA-registrering og opkald

SIKKER SIP

TCP

Slutpunkt/server

Expressway E

Større end 1023

5062

Sikker SIP til B2B opkald

SIKKER RTP/RTCP

UDP

Slutpunkt/server

Expressway E

Større end 1023

36000-59999

Sikkert medie til MRA- og B2B-opkald

HTTPS (SIKKER)

TLS

klient

Expressway E

Større end 1023

8443

CUCM UDS og CUCxn REST for MRA-opkald

XMLS

TLS

klient

Expressway E

Større end 1023

5222

IM og tilstedeværelse

DREJ

UDP

ICE-klient

Expressway E

Større end 1023

3478

ICE/STUN/TURN kan slås fra

SIKKER RTP/RTCP

UPD

ICE-klient

Expressway E

Større end 1023

24000-29999

SLUK medie for ICE-fallback

Dedikeret forekomst – UCCX-porte

Følgende liste over porte kan bruges af kunder og partnere til at konfigurere UCCX.

Tabel 4. Cisco UCCX-porte

Protocol

TCP/UCP

Source

Destination

Kildeport

Destinationsport

Formål

SSH

TCP

klient

UCCX

Større end 1023

22

SFTP og SSH

Informix

TCP

Klient eller server

UCCX

Større end 1023

1504

Unified CCX-databaseport

SIP

UDP og TCP

SIP GW eller MCRP-server

UCCX

Større end 1023

5065

Kommunikation til eksterne GW- og MCRP-noder

XMPP

TCP

klient

UCCX

Større end 1023

5223

Sikker XMPP-forbindelse mellem Finesse-serveren og brugerdefinerede tredjepartsapplikationer

CVD

TCP

klient

UCCX

Større end 1023

6999

Redigeringsprogram til CCX-applikationer

HTTPS

TCP

klient

UCCX

Større end 1023

7443

Sikker BOSH-forbindelse mellem Finesse-serveren og agent- og supervisor-desktops til kommunikation via HTTPS

HTTP

TCP

klient

UCCX

Større end 1023

8080

Live-datarapporteringsklienter opretter forbindelse til socket. IO-server

HTTP

TCP

klient

UCCX

Større end 1023

8081

Klientbrowseren forsøger at få adgang til Cisco Unified Intelligence Center-webgrænsefladen

HTTP

TCP

klient

UCCX

Større end 1023

8443

Admin GUI, RTMT, DB-adgang via SOAP

HTTPS

TCP

klient

UCCX

Større end 1023

8444

Cisco Unified Intelligence Center-webgrænseflade

HTTPS

TCP

Browser- og REST-klienter

UCCX

Større end 1023

8445

Sikker port til Finesse

HTTPS

TCP

klient

UCCX

Større end 1023

8447

HTTPS – Onlinehjælp til Unified Intelligence Center

HTTPS

TCP

klient

UCCX

Større end 1023

8553

Komponenter med enkelt login (SSO) tilgå denne brugergrænseflade for at få oplysninger om operativsystemets status for Cisco IdS.

HTTP

TCP

klient

UCCX

Større end 1023

9080

Klienter der forsøger at tilgå HTTP-udløsere eller dokumenter/prompter /grammatik/live data.

HTTPS

TCP

klient

UCCX

Større end 1023

9443

Sikker port bruges til at reagere på klienter, der forsøger at få adgang til HTTPS-udløsere

TCP

TCP

klient

UCCX

Større end 1023

12014

Dette er porten, hvor live-datarapporteringsklienter kan tilsluttes socket. IO-server

TCP

TCP

klient

UCCX

Større end 1023

12015

Dette er porten, hvor live-datarapporteringsklienter kan tilsluttes socket. IO-server

CTI

TCP

klient

UCCX

Større end 1023

12028

Tredjeparts-CTI-klient til CCX

RTP(medie)

TCP

Slutpunkt

UCCX

Større end 1023

Større end 1023

Medieport åbnes dynamisk efter behov

RTP(medie)

TCP

klient

Slutpunkt

Større end 1023

Større end 1023

Medieport åbnes dynamisk efter behov

Klientsikkerhed

Sikre Jabber og Webex med SIP OAuth

Jabber- og Webex-klienter godkendes via et OAuth-token i stedet for et lokalt vigtigt certifikat (LSC), som ikke kræver aktivering af certifikatmyndighedsproxyfunktion (CAPF) (også for MRA). SIP OAuth, der arbejder med eller uden blandet tilstand, blev indført i Cisco Unified CM 12.5(1), Jabber 12.5 og Expressway X12.5.

I Cisco Unified CM 12.5 har vi en ny valgmulighed i telefonsikkerhedsprofilen, der aktiverer kryptering uden LSC/CAPF ved hjælp af enkelt Transport Layer Security (TLS) + OAuth-polet i SIP REGISTER. Expressway-C-knudepunkter bruger Administrations-XML Web Service (AXL) API til at informere Cisco Unified CM om SN/SAN i deres certifikat. Cisco Unified CM bruger disse oplysninger til at validere Exp-C-certificeringen, når der oprettes en fælles TLS forbindelse.

SIP OAuth aktiverer medie- og signalkryptering uden et slutpunktscertifikat (LSC).

Cisco Jabber bruger kortvarige porte og sikre porte 6971 og 6972 porte via HTTPS-forbindelse til TFTP-serveren til at downloade konfigurationsfilerne. Port 6970 er en ikke-sikker port til download via HTTP.

Flere oplysninger om SIP OAuth-konfiguration: SIP OAuth-tilstand.

DNS-krav

For dedikeret tilfælde leverer Cisco FQDN for tjenesten i hver region med følgende format <customer>.<region> wxc-di.webex.com for eksempel xyz.amer.wxc-di.webex.com.

"Kunde"-værdien leveres af administratoren som en del af Guide til første opsætning (FTSW). Se Aktivering af dedikeret forekomststjeneste for yderligere oplysninger.

DNS-registre for FQDN skal være løselige fra kundens interne DNS-server for at understøtte lokale enheder, der opretter forbindelse til den dedikerede forekomst. For at lette opløsningen skal kunden konfigurere en betinget videresendelsesudbyder for denne FQDN på deres DNS-server, der peger på dns-tjenesten for dedikeret instans. Den dedikerede DNS-tjeneste for tilfælde er regional og kan kontaktes via peering til dedikeret forekomst ved at bruge følgende IP-adresser , som nævnt i nedenstående tabel Dedikeret forekomst DNS-tjeneste-IP-adresse.

Tabel 5. Dedikeret DNS-tjeneste-IP-adresse for instans

Område/DC

Dedikeret DNS-tjeneste-IP-adresse for instans

Betinget videresendelseseksemne

Nord- og Sydamerika (AMER)

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

Asien og Stillehavsområdet, Japan og Kina (APJC)

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

SYND

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


Valgmuligheden ping er deaktiveret for ovennævnte DNS-server-IP-adresser af sikkerhedsårsager.

Indtil den betingede videresendelse er på plads, vil enhederne ikke være i stand til at tilmelde til den dedikerede forekomst fra kundens interne netværk via peering-linkene. Betinget videresendelse er ikke påkrævet for tilmelding via Mobil og Remote Access (MRA), da alle nødvendige eksterne DNS-registre for at lette MRA vil være klargjort af Cisco.

Når du bruger Webex-applikationen som din opkalds-soft-klient på en dedikeret instans, skal en UC Manager-profil konfigureres i Control Hub for hver regions Voice Service Domain (VSD). Se UC Manager-profiler i Cisco Webex Control Hub for yderligere oplysninger. Webex-applikationen vil automatisk kunne løse kundens Expressway Edge uden nogen indgreb fra slutbrugerne.


Stemmetjenestedomæne vil blive leveret til kunden som en del af partneradgangsdokumentet, når tjenesteaktivering er fuldført.