Netværkskrav for dedikeret instans

Webex-opkald er en del af Cisco Cloud Calling-porteføljen, der er drevet af Cisco Unified Communications Manager (Cisco Unified CM) samarbejdsteknologi. Dedikeret instans tilbyder stemme-, video-, meddelelses- og mobilitetsløsninger med funktionerne og fordelene ved Cisco IP-telefoner, mobilenheder og desktopklienter, der opretter sikker forbindelse til den dedikerede forekomst.

Denne artikel er beregnet til netværksadministratorer, særligt firewall- og proxysikkerhedsadministratorer, der ønsker at bruge dedikerede tilfælde inden for deres organisation. Dette dokument fokuserer først og fremmest på netværkskravene og sikkerheden for løsningen Dedikeret instans, herunder lag tilgangen til de funktioner og funktioner, der giver sikker fysisk adgang, et sikkert netværk, sikre slutpunkter og sikre Cisco UC-applikationer.

Certifikatkrav til sikre forbindelser i dedikeret tilfælde

I Webex-opkald dedikeret tilfælde leverer Cisco domænet og signerer alle certifikaterne til UC-applikationerne ved hjælp af en offentlig certifikatmyndighed (CA).

Dedikeret forekomst – Portnumre og protokoller

Følgende tabeller beskriver de porte og protokoller, der understøttes i dedikeret forekomst. Porte, der bruges til en bestemt kunde, afhænger af kundens installation og løsning. Protokoller afhænger af kundens præference (SCCP vs SIP), eksisterende lokale enheder og hvilket sikkerhedsniveau, der skal afgøre, hvilke porte der skal bruges i hver installation.

Dedikeret forekomst – Kundeporte

De porte, der er tilgængelige for kunder – mellem kundens lokale og den dedikerede forekomst vises i Tabel 1 Dedikerede forekomst kundeporte. Alle porte angivet herunder er for kundetrafik traversing peering links.


SNMP-port understøttes kun for CER-funktionalitet og ikke for andre tredjepartsovervågningsværktøjer.

Tabel 1. Dedikerede forekomst kundeporte

Protocol

TCP/UCP

Source

Destination

Kildeport

Destinationsport

Formål

SSH

TCP

klient

UC-applikationer

Større end 1023

22

Administration

LDAP

TCP

UC-applikationer

Ekstern mappe

Større end 1023

389

Adressebogssynkronisering til kunde LDAP

HTTPS

TCP

Browser

UC-applikationer

Større end 1023

443

Webadgang til selvbetjening og administrative grænseflader

LDAP (SIKKER)

TCP

UC-applikationer

Ekstern mappe

Større end 1023

636

Adressebogssynkronisering til kunde LDAP

SCCP

TCP

Slutpunkt

Unified CM, CUCxn

Større end 1023

2000

Opkaldssignalering

SCCP

TCP

Unified CM

Unified CM, Gateway

Større end 1023

2000

Opkaldssignalering

SCCP (SIKKER)

TCP

Slutpunkt

Unified CM, CUCxn

Større end 1023

2443

Opkaldssignalering

SCCP (SIKKER)

TCP

Unified CM

Unified CM, Gateway

Større end 1023

2443

Opkaldssignalering

Tillidsbekræftelse

TCP

Slutpunkt

Unified CM

Større end 1023

2445

Giver tillidsbekræftelsestjeneste til slutpunkter

CTI

TCP

Slutpunkt

Unified CM

Større end 1023

2748

Forbindelse mellem CTI-applikationer (JTAPI/TSP) og CTIManager

Sikker CTI

TCP

Slutpunkt

Unified CM

Større end 1023

2749

Sikker forbindelse mellem CTI-applikationer (JTAPI/TSP) og CTIManager

LDAP globalt katalog

TCP

UC-applikationer

Ekstern mappe

Større end 1023

3268

Adressebogssynkronisering til kunde LDAP

LDAP globalt katalog

TCP

UC-applikationer

Ekstern mappe

Større end 1023

3269

Adressebogssynkronisering til kunde LDAP

CAPF-tjeneste

TCP

Slutpunkt

Unified CM

Større end 1023

3804

Certifikat Authority Proxy Function (CAPF) lytteport for at udpege lokalt vigtige certifikater (LSC) til IP-telefoner

SIP

TCP

Slutpunkt

Unified CM, CUCxn

Større end 1023

5060

Opkaldssignalering

SIP

TCP

Unified CM

Unified CM, Gateway

Større end 1023

5060

Opkaldssignalering

SIP (SIKKER)

TCP

Slutpunkt

Unified CM

Større end 1023

5061

Opkaldssignalering

SIP (SIKKER)

TCP

Unified CM

Unified CM, Gateway

Større end 1023

5061

Opkaldssignalering

SIP (OAUTH)

TCP

Slutpunkt

Unified CM

Større end 1023

5090

Opkaldssignalering

XMPP

TCP

Jabber-klient

Cisco IM&P

Større end 1023

5222

Chat og tilstedeværelse

HTTP

TCP

Slutpunkt

Unified CM

Større end 1023

6970

Downloader konfiguration og billeder til slutpunkter

HTTPS

TCP

Slutpunkt

Unified CM

Større end 1023

6971

Downloader konfiguration og billeder til slutpunkter

HTTPS

TCP

Slutpunkt

Unified CM

Større end 1023

6972

Downloader konfiguration og billeder til slutpunkter

HTTP

TCP

Jabber-klient

CUCxn

Større end 1023

7080

Voicemail-underretninger

HTTPS

TCP

Jabber-klient

CUCxn

Større end 1023

7443

Sikre indtalt besked-underretninger

HTTPS

TCP

Unified CM

Unified CM

Større end 1023

7501

Bruges af Intercluster Lookup Service (ILS) for certifikatbaseret bekræftelse

HTTPS

TCP

Unified CM

Unified CM

Større end 1023

7502

Bruges af ILS til adgangskodebaseret bekræftelse

IMAP

TCP

Jabber-klient

CUCxn

Større end 1023

7993

IMAP over TLS

HTTPS

TCP

Browser, slutpunkt

UC-applikationer

Større end 1023

8443

Webadgang til selvhjælp og administrative grænseflader, UDS

HTTPS

TCP

Prem

Unified CM

Større end 1023

9443

Godkendt kontaktsøgning

Sikker RTP/SRTP

UDP

Unified CM

Telefon

16384 til 32767 *

16384 til 32767 *

Medie (lyd) - Musik On Hold, Annunciator, Software Conference Bridge (Åben baseret på opkaldssignalering)

Sikker RTP/SRTP

UDP

Telefon

Unified CM

16384 til 32767 *

16384 til 32767 *

Medie (lyd) - Musik On Hold, Annunciator, Software Conference Bridge (Åben baseret på opkaldssignalering)

ICMP

ICMP

Slutpunkt

UC-applikationer

ikke relevant

ikke relevant

Ping

ICMP

ICMP

UC-applikationer

Slutpunkt

ikke relevant

ikke relevant

Ping

* Visse særlige tilfælde kan benytte et større interval.

Dedikeret forekomst – OTT-porte

Følgende liste over porte kan bruges af kunder og partnere til Mobil og Remote Access (MRA) opsætning:

Tabel 2. Liste over porte til OTT

Protocol

TCP/UCP

Source

Destination

Kildeport

Destinationsport

Formål

SIKKER SIP

TCP

Slutpunkt

Expressway E

Større end 1023

5061

Sikkert SIP-signal til MRA-registrering og opkald

SIKKER SIP

TCP

Slutpunkt/server

Expressway E

Større end 1023

5062

Sikker SIP til B2B opkald

SIKKER RTP/RTCP

UDP

Slutpunkt/server

Expressway E

Større end 1023

36000-59999

Sikkert medie til MRA- og B2B-opkald

HTTPS (SIKKER)

TLS

klient

Expressway E

Større end 1023

8443

CUCM UDS og CUCxn REST for MRA-opkald

XMLS

TLS

klient

Expressway E

Større end 1023

5222

IM og tilstedeværelse

DREJ

UDP

ICE-klient

Expressway E

Større end 1023

3478

ICE/STUN/TURN kan slås fra

SIKKER RTP/RTCP

UPD

ICE-klient

Expressway E

Større end 1023

24000-29999

SLUK medie for ICE-fallback

Dedikeret forekomst – UCCX-porte

Følgende liste over porte kan bruges af kunder og partnere til at konfigurere UCCX.

Tabel 3. Cisco UCCX-porte

Protocol

TCP/UCP

Source

Destination

Kildeport

Destinationsport

Formål

SSH

TCP

klient

UCCX

Større end 1023

22

SFTP og SSH

Informix

TCP

Klient eller server

UCCX

Større end 1023

1504

Unified CCX-databaseport

SIP

UDP og TCP

SIP GW eller MCRP-server

UCCX

Større end 1023

5065

Kommunikation til eksterne GW- og MCRP-noder

XMPP

TCP

klient

UCCX

Større end 1023

5223

Sikker XMPP-forbindelse mellem Finesse-serveren og brugerdefinerede tredjepartsapplikationer

CVD

TCP

klient

UCCX

Større end 1023

6999

Redigeringsprogram til CCX-applikationer

HTTPS

TCP

klient

UCCX

Større end 1023

7443

Sikker BOSH-forbindelse mellem Finesse-serveren og agent- og supervisor-desktops til kommunikation via HTTPS

HTTP

TCP

klient

UCCX

Større end 1023

8080

Live-datarapporteringsklienter opretter forbindelse til socket. IO-server

HTTP

TCP

klient

UCCX

Større end 1023

8081

Klientbrowseren forsøger at få adgang til Cisco Unified Intelligence Center-webgrænsefladen

HTTP

TCP

klient

UCCX

Større end 1023

8443

Admin GUI, RTMT, DB-adgang via SOAP

HTTPS

TCP

klient

UCCX

Større end 1023

8444

Cisco Unified Intelligence Center-webgrænseflade

HTTPS

TCP

Browser- og REST-klienter

UCCX

Større end 1023

8445

Sikker port til Finesse

HTTPS

TCP

klient

UCCX

Større end 1023

8447

HTTPS – Onlinehjælp til Unified Intelligence Center

HTTPS

TCP

klient

UCCX

Større end 1023

8553

Komponenter med enkelt login (SSO) tilgå denne brugergrænseflade for at få oplysninger om operativsystemets status for Cisco IdS.

HTTP

TCP

klient

UCCX

Større end 1023

9080

Klienter der forsøger at tilgå HTTP-udløsere eller dokumenter/prompter /grammatik/live data.

HTTPS

TCP

klient

UCCX

Større end 1023

9443

Sikker port bruges til at reagere på klienter, der forsøger at få adgang til HTTPS-udløsere

TCP

TCP

klient

UCCX

Større end 1023

12014

Dette er porten, hvor live-datarapporteringsklienter kan tilsluttes socket. IO-server

TCP

TCP

klient

UCCX

Større end 1023

12015

Dette er porten, hvor live-datarapporteringsklienter kan tilsluttes socket. IO-server

CTI

TCP

klient

UCCX

Større end 1023

12028

Tredjeparts-CTI-klient til CCX

RTP(medie)

TCP

Slutpunkt

UCCX

Større end 1023

Større end 1023

Medieport åbnes dynamisk efter behov

RTP(medie)

TCP

klient

Slutpunkt

Større end 1023

Større end 1023

Medieport åbnes dynamisk efter behov

Klientsikkerhed

Sikre Jabber og Webex med SIP OAuth

Jabber- og Webex-klienter godkendes via et OAuth-token i stedet for et lokalt vigtigt certifikat (LSC), som ikke kræver aktivering af certifikatmyndighedsproxyfunktion (CAPF) (også for MRA). SIP OAuth, der arbejder med eller uden blandet tilstand, blev indført i Cisco Unified CM 12.5(1), Jabber 12.5 og Expressway X12.5.

I Cisco Unified CM 12.5 har vi en ny valgmulighed i telefonsikkerhedsprofilen, der aktiverer kryptering uden LSC/CAPF ved hjælp af enkelt Transport Layer Security (TLS) + OAuth-polet i SIP REGISTER. Expressway-C-knudepunkter bruger Administrations-XML Web Service (AXL) API til at informere Cisco Unified CM om SN/SAN i deres certifikat. Cisco Unified CM bruger disse oplysninger til at validere Exp-C-certificeringen, når der oprettes en fælles TLS forbindelse.

SIP OAuth aktiverer medie- og signalkryptering uden et slutpunktscertifikat (LSC).

Cisco Jabber bruger kortvarige porte og sikre porte 6971 og 6972 porte via HTTPS-forbindelse til TFTP-serveren til at downloade konfigurationsfilerne. Port 6970 er en ikke-sikker port til download via HTTP.

Flere oplysninger om SIP OAuth-konfiguration: SIP OAuth-tilstand.

DNS-krav

For dedikeret tilfælde leverer Cisco FQDN for tjenesten i hver region med følgende format <customer><region>. wxc-di.webex.com for eksempel xyz.amer.wxc-di.webex.com.

"Kunde"-værdien leveres af administratoren som en del af Guide til første opsætning (FTSW). Få yderligere oplysninger i Aktivering af dedikeret forekomststjeneste.

DNS-registre for FQDN skal være løselige fra kundens interne DNS-server for at understøtte lokale enheder, der opretter forbindelse til den dedikerede forekomst. For at lette opløsningen skal kunden konfigurere en betinget videresendelsesudbyder for denne FQDN på deres DNS-server, der peger på dns-tjenesten dedikeret instans. Den dedikerede DNS-tjeneste for tilfælde er regional og kan kontaktes via peering til dedikeret forekomst ved at bruge følgende IP-adresser som nævnt i nedenstående tabel Dedikeret forekomst DNS-tjeneste-IP-adresse.

Tabel 4. Dedikeret DNS-tjeneste-IP-adresse for instans

Område/DC

Dedikeret DNS-tjeneste-IP-adresse for instans

Betinget videresendelseseksemne

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

SYND

103.232.71.288

Indtil den betingede videresendelse er på plads, vil enhederne ikke være i stand til at tilmelde til den dedikerede forekomst fra kundens interne netværk via peering-linkene. Betinget videresendelse er ikke påkrævet for tilmelding via Mobil og Remote Access (MRA), da alle nødvendige eksterne DNS-registre for at lette MRA vil være klargjort af Cisco.

Når du bruger Webex-applikationen som din opkalds-soft-klient på en dedikeret instans, skal en UC Manager-profil konfigureres i Control Hub for hver regions Voice Service Domain (VSD). For yderligere oplysninger henvises der til UC Manager-profiler i Cisco Webex Control Hub. Webex-applikationen vil automatisk kunne løse kundens Expressway Edge uden nogen indgreb fra slutbrugerne.


Stemmetjenestedomæne vil blive leveret til kunden som en del af partneradgangsdokumentet, når tjenesteaktivering er fuldført.