Netværkskrav for dedikeret instans
Webex-opkald er en del af Cisco Cloud Calling-porteføljen, drevet af Cisco Unified Communications Manager (Cisco Unified CM) samarbejdsteknologi. Dedikeret instans tilbyder stemme-, video-, meddelelses- og mobilitetsløsninger med funktionerne og fordelene ved Cisco IP-telefoner, mobilenheder og desktopklienter, der opretter sikker forbindelse til den dedikerede forekomst.
Denne artikel er beregnet til netværksadministratorer, særligt firewall- og proxysikkerhedsadministratorer, der ønsker at bruge dedikerede tilfælde inden for deres organisation. Dette dokument fokuserer først og fremmest på netværkskravene og sikkerheden for løsningen Dedikeret instans, herunder lag tilgangen til de funktioner og funktioner, der giver sikker fysisk adgang, et sikkert netværk, sikre slutpunkter og sikre Cisco UC-applikationer.
Sikkerhedsoversigt: Sikkerhed i lag
Dedikeret tilfælde bruger en laget tilgang til sikkerhed. Lagene inkluderer:
Fysisk adgang
Netværk
Slutpunkter
UC-applikationer
Følgende afsnit beskriver sikkerhedslagene i implementeringer af dedikerede tilfælde.
Fysisk sikkerhed
Det er vigtigt at sørge for fysisk sikkerhed til Equinix's lokaler til møder med mig og faciliteter til Cisco-dedikerede forekomstdatacentre. Når den fysiske sikkerhed er kompromitteret, kan simple angreb, såsom driftsforstyrrelser ved at lukke for strøm til en kundes switches, startes. Med fysisk adgang kan brugere få adgang til serverenheder, nulstille adgangskoder og få adgang til switches. Fysisk adgang letter også mere angreb, som man-in-the-middle, hvilket er årsagen til, at det andet sikkerhedslag, netværkssikkerheden, er meget vigtigt.
Selvkrypteringsdrev bruges i dedikerede tilfælde-datacentre , der er vært for UC-applikationer.
For yderligere oplysninger om den generelle sikkerhedspraksis, se dokumentationen på følgende placering: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Netværkssikkerhed
Partnere skal sikre, at alle netværkselementer er sikre i Dedikeret instance-infrastruktur (som opretter forbindelse via Equinix). Det er partnerens ansvar at sikre bedste praksis for sikkerhed, såsom:
Separat VLAN for stemme og data
Aktivér Port Security, som begrænser antallet af MAC-adresser tilladt pr. port, mod cam-tabellens indhold
IP-kildeobjekt over for spooferede IP-adresser
Dynamisk ARP-inspektion (DAI) undersøger adresseopløsningsprotokol (ARP) og gryende ARP (GARP) for overtrædelser (mod ARP-spoofing)
802. begrænser1x netværksadgang til godkendte enheder på tildelte VLAN'er (telefoner understøtter 802.1x)
Konfiguration af tjenestekvalitet (QoS) for passende mærkning af stemmepakker
Konfigurationer af firewall-porte til blokering af al anden trafik
Slutpunktssikkerhed
Cisco-slutpunkter understøtter standardsikkerhedsfunktioner såsom underskrevet firmware, sikker opstart (valgte modeller), producentens installerede certifikat (MIC) og underskrevne konfigurationsfiler, som giver et bestemt sikkerhedsniveau for slutpunkter.
Derudover kan en partner eller kunde aktivere yderligere sikkerhed, såsom:
Krypter IP-telefontjenester (via HTTPS) for tjenester såsom lokalnummermobilitet
Udstedelse af lokalt vigtige certifikater (LSCs) fra certifikatmyndighedens proxyfunktion (CAPF) eller en offentlig certifikatmyndighed (CA)
Krypter konfigurationsfiler
Krypter medier og signal
Deaktiver disse indstillinger, hvis de ikke bruges: PC-port, PC Voice VLAN-adgang, dekomisk ARP, Web Access, knappen Indstillinger, SSH, konsol
Implementeringen af sikkerhed mekanismerne i den dedikerede instans forhindrer identitetsstrukner fra telefonerne og Unified CM-serveren, ændring af data og opkaldssignalering/mediestream-ændring.
Dedikeret forekomst via netværket:
Etablerer og opretholder godkendte kommunikationsstreams
Signerer filer digitalt, før filen overføres til telefonen
Krypterer mediestreams og opkaldssignalering mellem Cisco Unified IP-telefoner
Sikkerhed giver som standard følgende automatiske sikkerhedsfunktioner til Cisco Unified IP-telefoner:
Underskrivning af telefonkonfigurationsfilerne
Support til telefonkonfigurationsfilkryptering
HTTPS med Tomcat og andre webtjenester (MIDlets)
Til Unified CM Release 8.0 senere leveres disse sikkerhedsfunktioner som standard uden at køre klienten certificate Trust List (CTL).
Fordi der er mange telefoner på et netværk, og IP-telefoner har begrænset hukommelse, fungerer Cisco Unified CM som en ekstern tillidsbutik via tillidsbekræftelsestjenesten (TVS), så en certifikattillidsbutik ikke skal placeres på hver telefon. Cisco IP-telefoner kontakter TVS-serveren for verificering, fordi de ikke kan bekræfte en underskrift eller certifikat gennem CTL- eller ITL-filer. Det er nemmere at administrere en central tillidsbutik end at have tillid til hver Cisco Unified IP-telefon.
TVS gør det Cisco Unified IP-telefoner til at godkende applikationsservere, såsom EM-tjenester, telefonbog og MIDlet, under brug af HTTPS.
Den indledende tillidsliste (ITL)-fil bruges til den indledende sikkerhed, så slutpunkterne kan have tillid Cisco Unified CM. ITL behøver ikke nogen sikkerhedsfunktioner for at blive aktiveret udtrykkeligt. ITL-filen oprettes automatisk, når klyngen er installeret. Serverens private nøgle til Unified CM Trivial File Transfer Protocol (TFTP) bruges til at underskrive ITL-filen.
Når den Cisco Unified CM-klynge eller server er i ikke-sikker tilstand, downloades ITL-filen på hver understøttet Cisco IP-telefon. En partner kan se indholdet af en ITL-fil ved hjælp af CLI-kommandoen, admin:show itl.
Cisco IP-telefoner skal bruge ITL-filen for at udføre følgende opgaver:
Kommunikere sikkert til CAPF, en forudsætning for at understøtte konfigurationsfilkryptering
Godkend konfigurationsfilsignaturen
Godkend applikationsservere, såsom EM-tjenester, telefonbog og MIDlet under HTTPS-brug af TVS
Godkendelse af enhed, fil og signal afhænger af oprettelsen af filen Certificate Trust List (CTL), som oprettes, når partneren eller kunden installerer og konfigurerer Cisco-certifikattillidslisteklienten.
CTL-filen indeholder poster til følgende servere eller sikkerhedspoletter:
Systemadministrators sikkerhedstoken (VEDR.)
Cisco CallManager og Cisco TFTP-tjenester, der kører på den samme server
Certifikatmyndighedens proxyfunktion (CAPF)
TFTP-server(e)
ASA-firewall
CTL-filen indeholder et servercertifikat, offentlig nøgle, serienummer, signatur, udstedernavn, emnenavn, serverfunktion, DNS-navn og IP-adresse for hver server.
Telefonsikkerhed med CTL leverer følgende funktioner:
Godkendelse af TFTP-downloadede filer (konfiguration, lokalisering, ringliste, og så videre) ved hjælp af en signeringsnøgle
Kryptering af TFTP-konfigurationsfiler ved hjælp af en signeringsnøgle
Krypteret opkaldssignal til IP-telefoner
Krypteret opkaldslyd (medier) til IP-telefoner
Dedikeret forekomst giver slutpunktsregistrering og behandling af opkald. Signalet mellem Cisco Unified CM og slutpunkter er baseret på SCCP (Secure Skinny Client Control Protocol) eller Session Initiation Protocol (SIP) og kan krypteres ved hjælp af Transport Layer Security (TLS). Mediet fra/til slutpunkterne er baseret på realtids transportprotokol (RTP) og kan også krypteres ved hjælp af Secure RTP (SRTP).
Aktivering af blandet tilstand på Unified CM muliggør kryptering af signal og medietrafik fra og til Cisco-slutpunkter.
Sikre UC-applikationer
Blandet tilstand er ikke aktiveret som standard i dedikeret forekomst.
Aktivering af blandet tilstand i dedikeret tilfælde aktiverer muligheden for at udføre kryptering af signalet og medietrafikken fra og til Cisco-slutpunkterne.
I Cisco Unified CM udgivelse 12.5(1) blev en ny valgmulighed til at aktivere kryptering af signal og medier baseret på SIP OAuth i stedet for blandet tilstand/ CTL tilføjet for Jabber- og Webex-klienter. Derfor kan SIP OAuth og SRTP i Unified CM-version 12.5(1) bruges til at aktivere kryptering for signal og medier for Jabber eller Webex-klienter. Aktivering af blandet tilstand er fortsat nødvendig for Cisco IP-telefoner og andre Cisco-slutpunkter på nuværende tidspunkt. Der er en plan for at tilføje support til SIP OAuth i 7800/8800 slutpunkter i en fremtidig udgivelse.
Cisco Unity Connection tilslutter til Unified CM via TLS-porten. Når enhedens sikkerhedstilstand ikke er sikker, opretter Cisco Unity Connection forbindelse til Unified CM via SCCP-porten.
For at konfigurere sikkerheden for Unified CM-telefonsvarerporte og Cisco Unity-enheder, der kører SCCP eller Cisco Unity Connection-enheder, der kører SCCP, kan en partner vælge en sikker enhedssikkerhedstilstand for porten. Hvis du vælger en godkendt indtalt besked-port, åbnes en TLS-forbindelse, som godkender enhederne ved hjælp af en gensidig certifikatudveksling (hver enhed accepterer certifikatet fra den anden enhed). Hvis du vælger en krypteret voicemail-port, godkender systemet først enhederne og sender derefter krypterede stemmestreams mellem enhederne.
For yderligere oplysninger om porte til beskeder om sikkerhed, se: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Sikkerhed for SRST, trunks, gateways, CUBE/SBC
En Cisco Unified gateway til ekstern webstedstelefoni (SRST) giver begrænsede opkaldsbehandlingsopgaver, hvis Cisco Unified CM på en dedikeret forekomst ikke kan gennemføre opkaldet.
Sikre SRST-aktiverede gateways indeholder et selv underskrevet certifikat. Når en partner udfører SRST-konfigurationsopgaver i Unified CM-administration, bruger Unified CM en TLS-forbindelse til at godkende med certifikatudbydertjenesten i den SRST-aktiverede gateway. Unified CM henter derefter certifikatet fra den SRST-aktiverede gateway og tilføjer certifikatet til Unified CM-databasen.
Efter partner nulstiller de afhængig enheder i Unified CM administration, tilføjer TFTP-serveren SRST-aktiveret gateway certifikat til telefonen cnf.xml filen og sender filen til telefonen. En sikker telefon bruger derefter en TLS-forbindelse til at interagere med den SRST-aktiverede gateway.
Det anbefales at have sikre trunks til opkaldet, der stammer fra Cisco Unified CM til gatewayen for udgående PSTN-opkald eller passage gennem Cisco Unified Border Element (CUBE).
SIP-trunks kan understøtte sikre opkald både til signal såvel som medier; TLS leverer signalkryptering, og SRTP giver mediekryptering.
Sikre kommunikationer mellem Cisco Unified CM og CUBE
For sikker kommunikation mellem Cisco Unified CM og CUBE skal partnere/kunder bruge enten selv underskrevne certifikater eller CA-underskrevne certifikater.
For selv underskrevne certifikater:
CUBE og Cisco Unified CM generere selv underskrevne certifikater
CUBE eksportcertifikat til Cisco Unified CM
Cisco Unified CM eksportcertifikat til CUBE
For CA-underskrevne certifikater:
Klienten opretter et nøglepar og sender en anmodning om underskrift af certifikat (CSR) til certifikatmyndigheden (CA)
CA signerer den med dens private nøgle og opretter et identitetscertifikat
Klienten installerer listen over nøglecentercertifikater, der er tillid til, samt certifikater for rod og sikkerhed samt identitetscertifikatet
Sikkerhed for eksterne slutpunkter
Med Mobile og Remote Access (MRA) slutpunkter krypteres signaler og medier altid mellem MRA-slutpunkterne og Expressway knudepunkter. Hvis ICE -protokollen (Interactive Connectivity Båndbredde) bruges til MRA-slutpunkter, kræves der signal- og mediekryptering af MRA-slutpunkterne. Kryptering af signaler og medier mellem Expressway-C og de interne Unified CM-servere, interne slutpunkter eller andre interne enheder kræver dog blandet tilstand eller SIP OAuth.
Cisco Expressway sikker firewall-traversal og linje-side-support til Unified CM-registreringer. Unified CM leverer opkaldskontrol til både mobile og lokale slutpunkter. Signalerer krydser Expressway mellem det eksterne slutpunkt og Unified CM. Medie krydser Expressway og videresendes direkte mellem slutpunkter. Alle medier krypteres mellem det Expressway-C og det mobile slutpunkt.
Enhver MRA-løsning Expressway og Unified CM med MRA-kompatible soft clients og/eller faste slutpunkter. Løsningen kan eventuelt indeholde IM og Tilstedeværelsestjenesten og Unity Connection.
Protokoloversigt
Følgende tabel viser protokollerne og tilknyttede tjenester, der bruges i Unified CM-løsningen.
Protocol |
Sikkerhed |
Service |
---|---|---|
SIP |
TLS |
Session, der er til sammensyning: Tilmeld, inviter osv. |
HTTPS |
TLS |
Login, provisionering/konfiguration, adressebog, visuel indtalt besked |
Medie |
SRTP |
Medier: Lyd, video, indholdsdeling |
XMPP |
TLS |
Chat, tilstedeværelse, sammenslutning |
For yderligere oplysninger om MRA-konfiguration, se: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Konfigurationsvalgmuligheder
Den dedikerede instans giver partneren fleksibilitet til at brugertilpasse tjenester til slutbrugere ved hjælp af fuld kontrol over dag to konfigurationer. Som følge deraf er partneren eneansvarlig for korrekt konfiguration af dedikeret instans-tjeneste for slutbrugerens miljø. Dette omfatter, men ikke begrænset til:
Valg af sikre/usikre opkald, sikre/usikre protokoller såsom SIP/sSIP, http/https osv. og forståelse af eventuelle tilknyttede risici.
For alle MAC-adresser, der ikke er konfigureret som sikker SIP i en dedikeret forekomst, kan en person, der er under behandling, sende SIP-registermeddelelsen ved hjælp af den MAC-adresse og være i stand til at foretage SIP-opkald , hvilket medfører afgiftsbedrageri. Det bedste er, at personerne, der er klar over, kan registrere deres SIP-enhed/software til dedikerede forekomster uden godkendelse, hvis de kender MAC-adressen på en enhed, der er registreret i en dedikeret forekomst.
Expressway-E-opkaldspolitikker, omdannelses- og søgeregler bør konfigureres for at forhindre afgiftsbedrageri. For yderligere oplysninger om forhindring af afgiftsbedrageri ved hjælp af Expressways henvises der til afsnittet Sikkerhed for Expressway C og Expressway-E i Collaboration SRND.
Konfiguration af opkaldsplan for at sikre, at brugere kun kan ringe til destinationer, som er tilladt, f.eks. forbyde nationalt/internationalt opkald, at nødopkald dirigeres korrekt osv. For yderligere oplysninger om anvendelse af begrænsninger ved opkaldsplan se afsnittet Opkaldsplan i Collaboration SRND.
Certifikatkrav til sikre forbindelser i dedikeret tilfælde
For dedikerede tilfælde skal Cisco levere domænet og underskrive alle certifikaterne til UC-applikationerne ved hjælp af en offentlig certifikatmyndighed (CA).
Dedikeret forekomst – Portnumre og protokoller
Følgende tabeller beskriver de porte og protokoller, der understøttes i dedikeret forekomst. Porte, der bruges til en bestemt kunde, afhænger af kundens installation og løsning. Protokoller afhænger af kundens præference (SCCP vs SIP), eksisterende lokale enheder og hvilket sikkerhedsniveau, der skal afgøre, hvilke porte der skal bruges i hver installation.
Dedikeret forekomst – Kundeporte
De porte, der er tilgængelige for kunder – mellem kundens sted og den dedikerede forekomst vises i tabel 1 dedikerede kundeporte . Alle porte angivet herunder er for kundetrafik traversing peering links.
SNMP-port understøttes kun for CER-funktionalitet og ikke for andre tredjepartsovervågningsværktøjer. |
Porte i området 5063 til 5080 er reserveret af Cisco til andre cloud-integrationer, partner- eller kundeadministratorer anbefales ikke at bruge disse porte i deres konfigurationer. |
Protocol |
TCP/UCP |
Source |
Destination |
Kildeport |
Destinationsport |
Formål |
---|---|---|---|---|---|---|
SSH |
TCP |
klient |
UC-applikationer |
Større end 1023 |
22 |
Administration |
LDAP |
TCP |
UC-applikationer |
Ekstern mappe |
Større end 1023 |
389 |
Adressebogssynkronisering til kunde LDAP |
HTTPS |
TCP |
Browser |
UC-applikationer |
Større end 1023 |
443 |
Webadgang til selvbetjening og administrative grænseflader |
LDAP (SIKKER) |
TCP |
UC-applikationer |
Ekstern mappe |
Større end 1023 |
636 |
Adressebogssynkronisering til kunde LDAP |
SCCP |
TCP |
Slutpunkt |
Unified CM, CUCxn |
Større end 1023 |
2000 |
Opkaldssignalering |
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
Større end 1023 |
2000 |
Opkaldssignalering |
SCCP (SIKKER) |
TCP |
Slutpunkt |
Unified CM, CUCxn |
Større end 1023 |
2443 |
Opkaldssignalering |
SCCP (SIKKER) |
TCP |
Unified CM |
Unified CM, Gateway |
Større end 1023 |
2443 |
Opkaldssignalering |
Tillidsbekræftelse |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
2445 |
Giver tillidsbekræftelsestjeneste til slutpunkter |
CTI |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
2748 |
Forbindelse mellem CTI-applikationer (JTAPI/TSP) og CTIManager |
Sikker CTI |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
2749 |
Sikker forbindelse mellem CTI-applikationer (JTAPI/TSP) og CTIManager |
LDAP globalt katalog |
TCP |
UC-applikationer |
Ekstern mappe |
Større end 1023 |
3268 |
Adressebogssynkronisering til kunde LDAP |
LDAP globalt katalog |
TCP |
UC-applikationer |
Ekstern mappe |
Større end 1023 |
3269 |
Adressebogssynkronisering til kunde LDAP |
CAPF-tjeneste |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
3804 |
Certifikat Authority Proxy Function (CAPF) lytteport for at udpege lokalt vigtige certifikater (LSC) til IP-telefoner |
SIP |
TCP |
Slutpunkt |
Unified CM, CUCxn |
Større end 1023 |
5060 |
Opkaldssignalering |
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Større end 1023 |
5060 |
Opkaldssignalering |
SIP (SIKKER) |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
5061 |
Opkaldssignalering |
SIP (SIKKER) |
TCP |
Unified CM |
Unified CM, Gateway |
Større end 1023 |
5061 |
Opkaldssignalering |
SIP (OAUTH) |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
5090 |
Opkaldssignalering |
XMPP |
TCP |
Jabber-klient |
Cisco IM&P |
Større end 1023 |
5222 |
Chat og tilstedeværelse |
HTTP |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
6970 |
Downloader konfiguration og billeder til slutpunkter |
HTTPS |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
6971 |
Downloader konfiguration og billeder til slutpunkter |
HTTPS |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
6972 |
Downloader konfiguration og billeder til slutpunkter |
HTTP |
TCP |
Jabber-klient |
CUCxn |
Større end 1023 |
7080 |
Voicemail-underretninger |
HTTPS |
TCP |
Jabber-klient |
CUCxn |
Større end 1023 |
7443 |
Sikre indtalt besked-underretninger |
HTTPS |
TCP |
Unified CM |
Unified CM |
Større end 1023 |
7501 |
Bruges af Intercluster Lookup Service (ILS) for certifikatbaseret bekræftelse |
HTTPS |
TCP |
Unified CM |
Unified CM |
Større end 1023 |
7502 |
Bruges af ILS til adgangskodebaseret bekræftelse |
IMAP |
TCP |
Jabber-klient |
CUCxn |
Større end 1023 |
7993 |
IMAP over TLS |
HTTPS |
TCP |
Browser, slutpunkt |
UC-applikationer |
Større end 1023 |
8443 |
Webadgang til selvhjælp og administrative grænseflader, UDS |
HTTPS |
TCP |
Prem |
Unified CM |
Større end 1023 |
9443 |
Godkendt kontaktsøgning |
Sikker RTP/SRTP |
UDP |
Unified CM |
Telefon |
16384 til 32767 * |
16384 til 32767 * |
Medie (lyd) - Musik On Hold, Annunciator, Software Conference Bridge (Åben baseret på opkaldssignalering) |
Sikker RTP/SRTP |
UDP |
Telefon |
Unified CM |
16384 til 32767 * |
16384 til 32767 * |
Medie (lyd) - Musik On Hold, Annunciator, Software Conference Bridge (Åben baseret på opkaldssignalering) |
ICMP |
ICMP |
Slutpunkt |
UC-applikationer |
ikke relevant |
ikke relevant |
Ping |
ICMP |
ICMP |
UC-applikationer |
Slutpunkt |
ikke relevant |
ikke relevant |
Ping |
* Visse særlige tilfælde kan benytte et større interval. |
Dedikeret forekomst – OTT-porte
Følgende liste over porte kan bruges af kunder og partnere til Mobil og Remote Access (MRA) opsætning:
Protocol |
TCP/UCP |
Source |
Destination |
Kildeport |
Destinationsport |
Formål |
---|---|---|---|---|---|---|
SIKKER SIP |
TCP |
Slutpunkt |
Expressway E |
Større end 1023 |
5061 |
Sikkert SIP-signal til MRA-registrering og opkald |
SIKKER SIP |
TCP |
Slutpunkt/server |
Expressway E |
Større end 1023 |
5062 |
Sikker SIP til B2B opkald |
SIKKER RTP/RTCP |
UDP |
Slutpunkt/server |
Expressway E |
Større end 1023 |
36000-59999 |
Sikkert medie til MRA- og B2B-opkald |
HTTPS (SIKKER) |
TLS |
klient |
Expressway E |
Større end 1023 |
8443 |
CUCM UDS og CUCxn REST for MRA-opkald |
XMLS |
TLS |
klient |
Expressway E |
Større end 1023 |
5222 |
IM og tilstedeværelse |
DREJ |
UDP |
ICE-klient |
Expressway E |
Større end 1023 |
3478 |
ICE/STUN/TURN kan slås fra |
SIKKER RTP/RTCP |
UPD |
ICE-klient |
Expressway E |
Større end 1023 |
24000-29999 |
SLUK medie for ICE-fallback |
Dedikeret forekomst – UCCX-porte
Følgende liste over porte kan bruges af kunder og partnere til at konfigurere UCCX.
Protocol |
TCP/UCP |
Source |
Destination |
Kildeport |
Destinationsport |
Formål |
---|---|---|---|---|---|---|
SSH |
TCP |
klient |
UCCX |
Større end 1023 |
22 |
SFTP og SSH |
Informix |
TCP |
Klient eller server |
UCCX |
Større end 1023 |
1504 |
Unified CCX-databaseport |
SIP |
UDP og TCP |
SIP GW eller MCRP-server |
UCCX |
Større end 1023 |
5065 |
Kommunikation til eksterne GW- og MCRP-noder |
XMPP |
TCP |
klient |
UCCX |
Større end 1023 |
5223 |
Sikker XMPP-forbindelse mellem Finesse-serveren og brugerdefinerede tredjepartsapplikationer |
CVD |
TCP |
klient |
UCCX |
Større end 1023 |
6999 |
Redigeringsprogram til CCX-applikationer |
HTTPS |
TCP |
klient |
UCCX |
Større end 1023 |
7443 |
Sikker BOSH-forbindelse mellem Finesse-serveren og agent- og supervisor-desktops til kommunikation via HTTPS |
HTTP |
TCP |
klient |
UCCX |
Større end 1023 |
8080 |
Live-datarapporteringsklienter opretter forbindelse til socket. IO-server |
HTTP |
TCP |
klient |
UCCX |
Større end 1023 |
8081 |
Klientbrowseren forsøger at få adgang til Cisco Unified Intelligence Center-webgrænsefladen |
HTTP |
TCP |
klient |
UCCX |
Større end 1023 |
8443 |
Admin GUI, RTMT, DB-adgang via SOAP |
HTTPS |
TCP |
klient |
UCCX |
Større end 1023 |
8444 |
Cisco Unified Intelligence Center-webgrænseflade |
HTTPS |
TCP |
Browser- og REST-klienter |
UCCX |
Større end 1023 |
8445 |
Sikker port til Finesse |
HTTPS |
TCP |
klient |
UCCX |
Større end 1023 |
8447 |
HTTPS – Onlinehjælp til Unified Intelligence Center |
HTTPS |
TCP |
klient |
UCCX |
Større end 1023 |
8553 |
Komponenter med enkelt login (SSO) tilgå denne brugergrænseflade for at få oplysninger om operativsystemets status for Cisco IdS. |
HTTP |
TCP |
klient |
UCCX |
Større end 1023 |
9080 |
Klienter der forsøger at tilgå HTTP-udløsere eller dokumenter/prompter /grammatik/live data. |
HTTPS |
TCP |
klient |
UCCX |
Større end 1023 |
9443 |
Sikker port bruges til at reagere på klienter, der forsøger at få adgang til HTTPS-udløsere |
TCP |
TCP |
klient |
UCCX |
Større end 1023 |
12014 |
Dette er porten, hvor live-datarapporteringsklienter kan tilsluttes socket. IO-server |
TCP |
TCP |
klient |
UCCX |
Større end 1023 |
12015 |
Dette er porten, hvor live-datarapporteringsklienter kan tilsluttes socket. IO-server |
CTI |
TCP |
klient |
UCCX |
Større end 1023 |
12028 |
Tredjeparts-CTI-klient til CCX |
RTP(medie) |
TCP |
Slutpunkt |
UCCX |
Større end 1023 |
Større end 1023 |
Medieport åbnes dynamisk efter behov |
RTP(medie) |
TCP |
klient |
Slutpunkt |
Større end 1023 |
Større end 1023 |
Medieport åbnes dynamisk efter behov |
Klientsikkerhed
Sikre Jabber og Webex med SIP OAuth
Jabber- og Webex-klienter godkendes via et OAuth-token i stedet for et lokalt vigtigt certifikat (LSC), som ikke kræver aktivering af certifikatmyndighedsproxyfunktion (CAPF) (også for MRA). SIP OAuth, der arbejder med eller uden blandet tilstand, blev indført i Cisco Unified CM 12.5(1), Jabber 12.5 og Expressway X12.5.
I Cisco Unified CM 12.5 har vi en ny valgmulighed i telefonsikkerhedsprofilen, der aktiverer kryptering uden LSC/CAPF ved hjælp af enkelt Transport Layer Security (TLS) + OAuth-polet i SIP REGISTER. Expressway-C-knudepunkter bruger Administrations-XML Web Service (AXL) API til at informere Cisco Unified CM om SN/SAN i deres certifikat. Cisco Unified CM bruger disse oplysninger til at validere Exp-C-certificeringen, når der oprettes en fælles TLS forbindelse.
SIP OAuth aktiverer medie- og signalkryptering uden et slutpunktscertifikat (LSC).
Cisco Jabber bruger kortvarige porte og sikre porte 6971 og 6972 porte via HTTPS-forbindelse til TFTP-serveren til at downloade konfigurationsfilerne. Port 6970 er en ikke-sikker port til download via HTTP.
Flere oplysninger om SIP OAuth-konfiguration: SIP OAuth-tilstand.
DNS-krav
For dedikeret tilfælde leverer Cisco FQDN for tjenesten i hver region med følgende format <customer>.<region> wxc-di.webex.com for eksempel xyz.amer.wxc-di.webex.com.
"Kunde"-værdien leveres af administratoren som en del af Guide til første opsætning (FTSW). Se Aktivering af dedikeret forekomststjeneste for yderligere oplysninger.
DNS-registre for FQDN skal være løselige fra kundens interne DNS-server for at understøtte lokale enheder, der opretter forbindelse til den dedikerede forekomst. For at lette opløsningen skal kunden konfigurere en betinget videresendelsesudbyder for denne FQDN på deres DNS-server, der peger på dns-tjenesten for dedikeret instans. Den dedikerede DNS-tjeneste for tilfælde er regional og kan kontaktes via peering til dedikeret forekomst ved at bruge følgende IP-adresser , som nævnt i nedenstående tabel Dedikeret forekomst DNS-tjeneste-IP-adresse.
Område/DC |
Dedikeret DNS-tjeneste-IP-adresse for instans | Betinget videresendelseseksemne |
---|---|---|
Nord- og Sydamerika (AMER) |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
Asien og Stillehavsområdet, Japan og Kina (APJC) |
<customer>.apjc.wxc-di.webex.com |
|
TOK |
103.232.71.100 |
|
SYND |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
Valgmuligheden ping er deaktiveret for ovennævnte DNS-server-IP-adresser af sikkerhedsårsager. |
Indtil den betingede videresendelse er på plads, vil enhederne ikke være i stand til at tilmelde til den dedikerede forekomst fra kundens interne netværk via peering-linkene. Betinget videresendelse er ikke påkrævet for tilmelding via Mobil og Remote Access (MRA), da alle nødvendige eksterne DNS-registre for at lette MRA vil være klargjort af Cisco.
Når du bruger Webex-applikationen som din opkalds-soft-klient på en dedikeret instans, skal en UC Manager-profil konfigureres i Control Hub for hver regions Voice Service Domain (VSD). Se UC Manager-profiler i Cisco Webex Control Hub for yderligere oplysninger. Webex-applikationen vil automatisk kunne løse kundens Expressway Edge uden nogen indgreb fra slutbrugerne.
Stemmetjenestedomæne vil blive leveret til kunden som en del af partneradgangsdokumentet, når tjenesteaktivering er fuldført. |
Referencer
Cisco Collaboration 12.x Solution Reference NetworkKamera (SRND), Emne for sikkerhed: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Sikkerhedsvejledning til Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html