- Hjem
- /
- Artikel
Netværks- og sikkerhedskrav til løsningen for dedikeret forekomst er den layerede tilgang til de funktioner og funktionalitet, der giver sikker fysisk adgang, netværk, slutpunkter og Cisco UC-applikationer. Den beskriver netværkskravene og angiver de adresser, porte og protokoller, der bruges til at tilslutte dine slutpunkter til tjenesterne.
Netværkskrav for dedikeret forekomst
Dedikeret forekomst af Webex Calling er en del af Cisco Cloud Calling-porteføljen, der drives af Cisco Unified Communications Manager (Cisco Unified CM) samarbejdsteknologi. Dedikeret forekomst tilbyder tale-, video-, meddelelses- og mobilitetsløsninger med funktionerne og fordelene ved Cisco IP-telefoner, mobilenheder og desktopklienter, der opretter en sikker forbindelse til den dedikerede forekomst.
Denne artikel er beregnet til netværksadministratorer, især firewall- og proxysikkerhedsadministratorer, der ønsker at bruge dedikeret forekomst i deres organisation.
Sikkerhedsoversigt: Sikkerhed i lag
Dedikeret forekomst bruger en layereret tilgang til sikkerhed. Lagene omfatter:
-
Fysisk adgang
-
Netværk
-
Slutpunkter
-
UC-applikationer
Følgende afsnit beskriver sikkerhedslag i installationer i dedikeret forekomst.
Fysisk sikkerhed
Det er vigtigt at give fysisk sikkerhed til Equinix Meet-Me-lokaleplaceringer og Cisco Dedicated Instance Data Center-faciliteter. Når den fysiske sikkerhed er kompromitteret, kan simple angreb som f.eks. tjenesteafbrydelse ved at slukke for en kundes switches. Med fysisk adgang kan hackere få adgang til serverenheder, nulstille adgangskoder og få adgang til switches. Fysisk adgang letter også mere sofistikerede angreb som f.eks. angreb på mennesker i midten, og derfor er det andet sikkerhedslag, netværkssikkerheden, kritisk.
Selvkrypteringsdrev bruges i dedikerede forekomst-datacentre, der er vært for UC-applikationer.
For yderligere oplysninger om generelle sikkerhedspraksis henvises til dokumentationen på følgende placering: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Netværkssikkerhed
Partnerne skal sikre, at alle netelementer er sikret i infrastruktur for dedikeret forekomst (som forbinder via Equinix). Det er partnerens ansvar at sikre bedste sikkerhedspraksis såsom:
-
Adskil VLAN for tale og data
-
Aktivér portsikkerhed, der begrænser antallet af tilladte MAC-adresser pr. port, mod CAM-bordoversvømmelser
-
IP-kildebeskyttelse mod forfalskede IP-adresser
-
Dynamisk ARP-inspektion (DAI) undersøger adresse opløsning protokol (ARP) og gratis ARP (GARP) for overtrædelser (mod ARP-spoofing)
-
802.1x begrænser netværksadgangen til godkendte enheder på tildelte VLAN'er (telefoner understøtter 802.1x)
-
Konfiguration af servicekvalitet (QoS) til passende mærkning af talepakker
-
Konfigurationer af firewallporte til blokering af anden trafik
Sikkerhed for slutpunkter
Cisco-slutpunkter understøtter standardsikkerhedsfunktioner som f.eks. signeret firmware, sikker start (valgte modeller), producentens installerede certifikat (MIC) og signerede konfigurationsfiler, der giver et vist sikkerhedsniveau for slutpunkter.
Derudover kan en partner eller kunde aktivere yderligere sikkerhed, f.eks.:
-
Krypter IP-telefontjenester (via HTTPS) for tjenester såsom Extension Mobility
-
Udstede lokalt signifikante certifikater (LSC'er) fra certifikatmyndighedens proxyfunktion (CAPF) eller en offentlig certifikatmyndighed (CA)
-
Krypter konfigurationsfiler
-
Krypter medier og signaler
-
Deaktiver disse indstillinger, hvis de ikke bruges: PC-port, pc-stemme-VLAN-adgang, gratis ARP, webadgang, indstillingsknap, SSH, konsol
Implementering af sikkerhedsmekanismer i den dedikerede forekomst forhindrer identitetstyveri af telefoner og Unified CM-serveren, manipulation af data og manipulation af opkaldssignaler/mediestream.
Dedikeret forekomst over netværket:
-
Opretter og vedligeholder godkendte kommunikationsstreams
-
Digitalt signerer filer, før filen overføres til telefonen
-
Krypterer mediestrømme og opkaldssignaler mellem Cisco Unified IP-telefoner
Sikkerhed som standard giver følgende automatiske sikkerhedsfunktioner for Cisco Unified IP-telefoner:
-
Signering af telefonkonfigurationsfilerne
-
Understøttelse af kryptering af telefonkonfigurationsfil
-
HTTPS med Tomcat og andre webtjenester (MID-lets)
For Unified CM-version 8.0 senere leveres disse sikkerhedsfunktioner som standard uden at køre CTL-klienten (Certificate Trust List).
TillidsbekræftelsestjenesteDa der er et stort antal telefoner i et netværk, og IP-telefoner har begrænset hukommelse, fungerer Cisco Unified CM som en ekstern tillidslager via tillidskontrol (TVS), så en certifikattillidslager ikke behøver at placeres på hver telefon. Cisco IP-telefoner kontakter TVS-serveren til bekræftelse, fordi de ikke kan bekræfte en signatur eller certifikat via CTL- eller ITL-filer. Det er nemmere at administrere at have en central tillidslager end at have tillidslageret på hver Cisco Unified IP-telefon.
TVS gør det muligt for Cisco Unified IP-telefoner at godkende applikationsservere, såsom EM-tjenester, telefonbog og MIDLET, under oprettelse af HTTPS.
Første tillidslisteFilen Initial Trust List (ITL) bruges til den første sikkerhed, så slutpunkterne kan stole på Cisco Unified CM. ITL kræver ikke, at sikkerhedsfunktioner er aktiveret eksplicit. ITL-filen oprettes automatisk, når klyngen er installeret. Unified CM Trivial File Transfer Protocol (TFTP)-serverens private nøgle bruges til at signere ITL-filen.
Når Cisco Unified CM-klyngen eller -serveren er i ikke-sikker tilstand, downloades ITL-filen på hver understøttet Cisco IP-telefon. En partner kan se indholdet af en ITL-fil ved hjælp af CLI-kommandoen, admin:vis itl.
Cisco IP-telefoner skal bruge ITL-filen for at udføre følgende opgaver:
-
Kommunikere sikkert til CAPF, en forudsætning for at understøtte kryptering af konfigurationsfiler
-
Godkend konfigurationsfilens signatur
-
Godkend applikationsservere, såsom EM-tjenester, telefonbog og MID-adgang under HTTPS-etablering ved hjælp af TVS
Enheds-, fil- og signalgodkendelse afhænger af oprettelsen af CTL-filen (Certificate Trust List), som oprettes, når partneren eller kunden installerer og konfigurerer Cisco Certificate Trust Listeklienten.
CTL-filen indeholder poster for følgende servere eller sikkerhedstokens:
-
Sikkerhedstoken for systemadministrator (SAST)
-
Cisco CallManager og Cisco TFTP-tjenester, der kører på den samme server
-
Proxy-funktion for certifikatmyndighed (CAPF)
-
TFTP-server(er)
-
ASA-firewall
CTL-filen indeholder et servercertifikat, offentlig nøgle, serienummer, signatur, udstedernavn, emnelinavn, serverfunktion, DNS-navn og IP-adresse for hver server.
Telefonsikkerhed med CTL giver følgende funktioner:
-
Godkendelse af downloadede TFTP-filer (konfiguration, lokale, ringeliste osv.) ved hjælp af en signeringsnøgle
-
Kryptering af TFTP-konfigurationsfiler ved hjælp af en signeringsnøgle
-
Krypteret opkaldssignal for IP-telefoner
-
Krypteret opkaldslyd (medier) til IP-telefoner
Dedikeret forekomst giver slutpunktregistrering og opkaldsbehandling. Signaleringen mellem Cisco Unified CM og slutpunkter er baseret på SCCP (Secure Skinny Client Control Protocol) eller SIP (Session Initiation Protocol) og kan krypteres ved hjælp af TLS (Transport Layer Security). Mediet fra/til slutpunkterne er baseret på RTP (Real-time Transport Protocol) og kan også krypteres ved hjælp af Secure RTP (SRTP).
Aktivering af blandet tilstand på Unified CM aktiverer kryptering af signal- og medietrafik fra og til Cisco-slutpunkterne.
Sikre UC-applikationer
Aktivering af blandet tilstand i dedikeret forekomstBlandet tilstand er aktiveret som standard i dedikeret forekomst.
Aktivering af blandet tilstand i dedikeret forekomst giver mulighed for at udføre kryptering af signal- og medietrafikken fra og til Cisco-slutpunkterne.
I Cisco Unified CM version 12.5(1) blev en ny valgmulighed til at aktivere kryptering af signaler og medier baseret på SIP OA uth i stedet for blandet tilstand/CTL tilføjet for Jabber- og Webex-klienter. Derfor kan SIP OA uth og SRTP bruges i Unified CM version 12.5(1) til at aktivere kryptering til signaler og medier for Jabber- eller Webex-klienter. Aktivering af blandet tilstand er fortsat påkrævet for Cisco IP-telefoner og andre Cisco-slutpunkter på nuværende tidspunkt. Der er en plan for at tilføje understøttelse af SIP OA uth i 7800/8800-slutpunkter i en fremtidig udgivelse.
Sikkerhed for talemeddelelserCisco Unity Connection opretter forbindelse til Unified CM via TLS-porten. Når enhedens sikkerhedstilstand ikke er sikker, opretter Cisco Unity Connection forbindelse til Unified CM via SCCP-porten.
For at konfigurere sikkerhed for Unified CM-talemeddelelsesporter og Cisco Unity-enheder, der kører SCCP eller Cisco Unity Connection-enheder, der kører SCCP, kan en partner vælge en sikker enhedssikkerhedstilstand for porten. Hvis du vælger en godkendt voicemail-port, åbnes en TLS-forbindelse, der godkender enhederne ved hjælp af en gensidig certifikatudveksling (hver enhed accepterer certifikatet for den anden enhed). Hvis du vælger en krypteret voicemail-port, godkender systemet først enhederne og sender derefter krypterede talestreams mellem enhederne.
For yderligere oplysninger om porte til sikkerhedsmeddelelser henvises til: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified jpgSU1_chapter_010001.html
Sikkerhed for SRST, trunks, gateways, CUBE/SBC
En Cisco Unified Survivable Remote Site Telephony (SRST)-aktiveret gateway giver begrænsede opkaldsbehandlingsopgaver, hvis Cisco Unified CM på dedikeret forekomst ikke kan fuldføre opkaldet.
Sikre SRST-aktiverede gateways indeholder et selvsigneret certifikat. Når en partner udfører SRST-konfigurationsopgaver i Unified CM-administration, bruger Unified CM en TLS-forbindelse til at godkende med certifikatudbydertjenesten i den SRST-aktiverede gateway. Unified CM henter derefter certifikatet fra den SRST-aktiverede gateway og tilføjer certifikatet til Unified CM-databasen.
Når partneren nulstiller de afhængige enheder i Unified CM Administration, tilføjer TFTP-serveren det SRST-aktiverede gatewaycertifikat til telefonens cnf.xml-fil og sender filen til telefonen. En sikker telefon bruger derefter en TLS-forbindelse til at interagere med den SRST-aktiverede gateway.
Det anbefales at have sikre trunks for opkaldet, der stammer fra Cisco Unified CM til gatewayen til udgående PSTN-opkald eller går gennem Cisco Unified Border Element (CUBE).
SIP-trunks kan understøtte sikre opkald til både signalering og medier; TLS giver signalkryptering, og SRTP giver mediekryptering.
Sikring af kommunikation mellem Cisco Unified CM og CUBE
For sikker kommunikation mellem Cisco Unified CM og CUBE skal partnere/kunder bruge enten selvsignerede certifikater eller CA-signerede certifikater.
For selvsignerede certifikater:
-
CUBE og Cisco Unified CM genererer selvsignerede certifikater
-
CUBE eksporterer certifikat til Cisco Unified CM
-
Cisco Unified CM eksporterer certifikat til CUBE
For CA-signerede certifikater:
-
Klienten genererer et nøglepar og sender en anmodning om certifikatsignering (CSR) til certifikatmyndigheden (CA)
-
CA'en underskriver den med sin private nøgle og opretter et identitetscertifikat
-
Klient installerer listen over betroede CA-rodcertifikater og mellemliggende certifikater og identitetscertifikatet
Sikkerhed for eksterne slutpunkter
Med MRA-slutpunkter (Mobile and Remote Access) krypteres signaler og medier altid mellem MRA-slutpunkterne og Expressway-knudepunkterne. Hvis ICE-protokollen (Interactive Connectivity Establishment) bruges til MRA-slutpunkter, kræves signal- og mediekryptering af MRA-slutpunkterne. Kryptering af signaler og medier mellem Expressway-C og de interne Unified CM-servere, interne slutpunkter eller andre interne enheder kræver dog blandet tilstand eller SIP OA uth.
Cisco Expressway giver sikker understøttelse af firewall gennem- og linjesiden til Unified CM-registreringer. Unified CM giver opkaldskontrol for både mobile og lokale slutpunkter. Signalering går gennem Expressway-løsningen mellem det eksterne slutpunkt og Unified CM. Medier krydser Expressway-løsningen og flyttes direkte mellem slutpunkter. Alle medier krypteres mellem Expressway-C og det mobile slutpunkt.
Enhver MRA-løsning kræver Expressway og Unified CM med MRA-kompatible softwareklienter og/eller faste slutpunkter. Løsningen kan eventuelt omfatte IM- og tilstedeværelsestjenesten og Unity Connection.
Sammendrag af protokol
Følgende tabel viser de protokoller og tilknyttede tjenester, der bruges i Unified CM-løsningen.
Protokol |
Sikkerhed |
Tjeneste |
---|---|---|
SIP |
TLS |
Sessionsetablering: Tilmeld, inviter osv. |
https: |
TLS |
Logon, klargøring/konfiguration, telefonbog, visuel voicemail |
Medie |
srtp |
Medier: Lyd, video, indholdsdeling |
xmpp |
TLS |
Chat, tilstedeværelse, føderation |
Få flere oplysninger om MRA-konfiguration i: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/x12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Konfigurationsvalgmuligheder
Den dedikerede forekomst giver partneren fleksibilitet til at tilpasse tjenester for slutbrugere via fuld kontrol af konfigurationer på dag to. Følgelig er partneren alene ansvarlig for korrekt konfiguration af tjenesten til dedikeret forekomst til slutbrugermiljø. Dette omfatter, men er ikke begrænset til:
-
Valg af sikre/ikke-sikre opkald, sikre/usikre protokoller såsom SIP/s SIP, http/https osv. og forståelse af eventuelle tilknyttede risici.
-
For alle MAC-adresser, der ikke er konfigureret som sikker-SIP i dedikeret forekomst, kan en attacker sende SIP-registreringsmeddelelse ved hjælp af denne MAC-adresse og være i stand til at foretage SIP-opkald, hvilket resulterer i afgiftssvig. Opfattelsen er, at angriberen kan registrere sin SIP-enhed/software til dedikeret forekomst uden godkendelse, hvis vedkommende kender MAC-adressen på en enhed, der er registreret i dedikeret forekomst.
-
Expressway-E-opkaldspolitikker, transformerings- og søgeregler skal konfigureres for at forhindre betalingssvig. For yderligere oplysninger om forebyggelse af toldsvig ved brug af Expressways, se afsnittet Sikkerhed for Expressway C og Expressway-E i Collaboration SRND.
-
Konfiguration af opkaldsplan for at sikre, at brugere kun kan ringe til destinationer, der er tilladte, f.eks. forbyde nationale/internationale opkald, nødopkald dirigeres korrekt osv. For yderligere oplysninger om anvendelse af begrænsninger ved brug af opkaldsplan, se afsnittet Opkaldsplan i Collaboration SRND.
Certifikatkrav til sikre forbindelser i dedikeret forekomst
For dedikeret forekomst vil Cisco angive domænet og underskrive alle certifikater for UC-applikationerne ved hjælp af en offentlig certifikatmyndighed (CA).
Dedikeret forekomst – portnumre og protokoller
Følgende tabeller beskriver de porte og protokoller, der understøttes i dedikeret forekomst. Porte, der bruges til en given kunde, afhænger af kundens installation og løsning. Protokoller afhænger af kundens præference (SCCP versus SIP), eksisterende lokale enheder og hvilket sikkerhedsniveau for at bestemme, hvilke porte der skal bruges i hver installation.
Dedikeret forekomst tillader ikke NAT (Network Address Translation) mellem slutpunkter og Unified CM, da nogle af opkaldsflowfunktionerne ikke fungerer, f.eks. funktionen mellem opkald. |
Dedikeret forekomst – kundeporte
De porte, der er tilgængelige for kunder – mellem kunden på stedet og dedikeret forekomst vises i tabel 1 Dedikeret forekomst kundeporte. Alle de porte, der er angivet nedenfor, er til kundetrafik, der krydser peering-linkene.
SNMP-port er som standard kun åben for Cisco Emergency Responder for at understøtte dens funktionalitet. Da vi ikke understøtter partnere eller kunder, der overvåger de UC-applikationer, der er installeret i skyen Dedikeret forekomst, tillader vi ikke åbning af SNMP-port for andre UC-applikationer. |
Porte i området 5063 til 5080 er reserveret af Cisco til andre cloud-integrationer. Partnere eller kundeadministratorer anbefales ikke at bruge disse porte i deres konfigurationer. |
Protokol |
TCP/UDP |
Kilde |
Destination |
Kildeport |
Destinationsport |
Formål | ||
---|---|---|---|---|---|---|---|---|
ssh |
TCP |
Klient |
UC-applikationer
|
Større end 1023 |
22 |
Administration |
||
tftp |
UDP |
Slutpunkt |
Unified CM |
Større end 1023 |
69 |
Understøttelse af ældre slutpunkter |
||
LDAP |
TCP |
UC-applikationer |
Ekstern katalog |
Større end 1023 |
389 |
Katalogsynkronisering til kunde-LDAP |
||
https: |
TCP |
Browser |
UC-applikationer |
Større end 1023 |
443 |
Webadgang for selvbetjenings- og administrative grænseflader |
||
Udgående mail (SECURE) |
TCP |
UC-applikation |
CUCxn |
Større end 1023 |
587 |
Bruges til at sammensætte og sende sikre meddelelser til alle udpegede modtagere |
||
ldap (sikker) |
TCP |
UC-applikationer |
Ekstern katalog |
Større end 1023 |
636 |
Katalogsynkronisering til kunde-LDAP |
||
h323 |
TCP |
Gateway |
Unified CM |
Større end 1023 |
1720 |
Opkaldssignaler |
||
h323 |
TCP |
Unified CM |
Unified CM |
Større end 1023 |
1720 |
Opkaldssignaler |
||
Sccp |
TCP |
Slutpunkt |
Unified CM, CUCXN |
Større end 1023 |
2000 |
Opkaldssignaler |
||
Sccp |
TCP |
Unified CM |
Unified CM, gateway |
Større end 1023 |
2000 |
Opkaldssignaler |
||
mgcp |
UDP |
Gateway |
Gateway |
Større end 1023 |
2427 |
Opkaldssignaler |
||
MGCP-backhaul |
TCP |
Gateway |
Unified CM |
Større end 1023 |
2428 |
Opkaldssignaler |
||
sccp (sikker) |
TCP |
Slutpunkt |
Unified CM, CUCXN |
Større end 1023 |
2443 |
Opkaldssignaler |
||
sccp (sikker) |
TCP |
Unified CM |
Unified CM, gateway |
Større end 1023 |
2443 |
Opkaldssignaler |
||
Tillidskontrol |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
2445 |
Levering af tillidskontrol til slutpunkter |
||
lg Læ |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
2748 |
Forbindelse mellem CTI-applikationer (JTAPI/TSP) og CTIM-anager |
||
Sikker CTI |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
2749 |
Sikker forbindelse mellem CTI-applikationer (JTAPI/TSP) og CTIM-anager |
||
LDAP globalt katalog |
TCP |
UC-applikationer |
Ekstern katalog |
Større end 1023 |
3268 |
Katalogsynkronisering til kunde-LDAP |
||
LDAP globalt katalog |
TCP |
UC-applikationer |
Ekstern katalog |
Større end 1023 |
3269 |
Katalogsynkronisering til kunde-LDAP |
||
CAPF-tjeneste |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
3804 |
CAPF (Certificate Authority Proxy Function)-lytteport til udstedelse af lokalt signifikante certifikater (LSC) til IP-telefoner |
||
SIP |
TCP |
Slutpunkt |
Unified CM, CUCXN |
Større end 1023 |
5060 |
Opkaldssignaler |
||
SIP |
TCP |
Unified CM |
Unified CM, gateway |
Større end 1023 |
5060 |
Opkaldssignaler |
||
sip (sikker) |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
5061 |
Opkaldssignaler |
||
sip (sikker) |
TCP |
Unified CM |
Unified CM, gateway |
Større end 1023 |
5061 |
Opkaldssignaler |
||
sip (oauth) |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
5090 |
Opkaldssignaler |
||
xmpp |
TCP |
Jabber-klient |
Cisco IM&P |
Større end 1023 |
5222 |
Chat og tilstedeværelse |
||
HTTP |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
6970 |
Download af konfiguration og billeder til slutpunkter |
||
https: |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
6971 |
Download af konfiguration og billeder til slutpunkter |
||
https: |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
6972 |
Download af konfiguration og billeder til slutpunkter |
||
HTTP |
TCP |
Jabber-klient |
CUCxn |
Større end 1023 |
7080 |
Telefonsvarerbeskeder |
||
https: |
TCP |
Jabber-klient |
CUCxn |
Større end 1023 |
7443 |
Sikre telefonsvarerbeskeder |
||
https: |
TCP |
Unified CM |
Unified CM |
Større end 1023 |
7501 |
Bruges af Intercluster Lookup Service (ILS) til certifikatbaseret godkendelse |
||
https: |
TCP |
Unified CM |
Unified CM |
Større end 1023 |
7502 |
Bruges af ILS til adgangskodebaseret godkendelse |
||
imap |
TCP |
Jabber-klient |
CUCxn |
Større end 1023 |
7993 |
IMAP over TLS |
||
HTTP |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
8080 |
KatalogURI til understøttelse af ældre slutpunkter |
||
https: |
TCP |
Browser, slutpunkt |
UC-applikationer |
Større end 1023 |
8443 |
Webadgang for selvbetjenings- og administrative grænseflader, UDS |
||
https: |
TCP |
Telefon |
Unified CM |
Større end 1023 |
9443 |
Godkendt kontaktsøgning |
||
HTTP'er |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
9444 |
Funktion til administration af hovedtelefoner |
||
Sikker RTP/SRTP |
UDP |
Unified CM |
Telefon |
16384 til 32767 * |
16384 til 32767 * |
Medier (lyd) – Musik i venteposition, Annunciator, Software Conference Bridge (åben baseret på opkaldssignaler) |
||
Sikker RTP/SRTP |
UDP |
Telefon |
Unified CM |
16384 til 32767 * |
16384 til 32767 * |
Medier (lyd) – Musik i venteposition, Annunciator, Software Conference Bridge (åben baseret på opkaldssignaler) |
||
hæmninger |
TCP |
Klient |
CUCxn |
Større end 1023 |
20532 |
Sikkerhedskopi og gendan applikationspakke |
||
icmp |
icmp |
Slutpunkt |
UC-applikationer |
ikke relevant |
ikke relevant |
Ping |
||
icmp |
icmp |
UC-applikationer |
Slutpunkt |
ikke relevant |
ikke relevant |
Ping |
||
DNS | UDP og TCP |
DNS-videresendelse |
DNS-servere for dedikeret forekomst |
Større end 1023 |
53 |
Kunden angiver DNS-videresendere til dedikerede forekomst-DNS-servere. Se DNS-krav for yderligere oplysninger. |
||
* Visse særlige tilfælde kan have et større interval. |
Dedikeret forekomst – OTT-porte
Følgende port kan bruges af kunder og partnere til opsætning af MRA (Mobile and Remote Access):
Protokol |
tcp/ucp |
Kilde |
Destination |
Kildeport |
Destinationsport |
Formål |
---|---|---|---|---|---|---|
sikker rtp/rtcp |
UDP |
Expressway C |
Klient |
Større end 1023 |
36000-59999 |
Sikkert medie til MRA- og B2B-opkald |
Interop SIP-trunk mellem multilejer og dedikeret forekomst (kun for registreringsbaseret trunk)
Følgende liste over porte skal tillades på kundens firewall for den registreringsbaserede SIP-trunk, der forbinder multilejer og dedikeret forekomst.
Protokol |
tcp/ucp |
Kilde |
Destination |
Kildeport |
Destinationsport |
Formål |
---|---|---|---|---|---|---|
rtp/rtcp |
UDP |
Webex Calling-multilejer |
Klient |
Større end 1023 |
8000-48198 |
Medier fra Webex Calling-multilejer |
Dedikeret forekomst – UCCX-porte
Følgende liste over porte kan bruges af kunder og partnere til at konfigurere UCCX.
Protokol |
tcp / ucp |
Kilde |
Destination |
Kildeport |
Destinationsport |
Formål |
---|---|---|---|---|---|---|
ssh |
TCP |
Klient |
uccx |
Større end 1023 |
22 |
SFTP og SSH |
Inforx |
TCP |
Klient eller server |
uccx |
Større end 1023 |
1504 |
Databaseport til Contact Center Express |
SIP |
UDP og TCP |
SIP GW- eller MCRP-server |
uccx |
Større end 1023 |
5065 |
Kommunikation til eksterne GW- og MCRP-noder |
xmpp |
TCP |
Klient |
uccx |
Større end 1023 |
5223 |
Sikker XMPP-forbindelse mellem Finesse-serveren og brugerdefinerede tredjepartsapplikationer |
CVD |
TCP |
Klient |
uccx |
Større end 1023 |
6999 |
Redigering til CCX-applikationer |
https: |
TCP |
Klient |
uccx |
Større end 1023 |
7443 |
Sikker BOSH-forbindelse mellem Finesse-serveren og agent- og supervisorskriveborde til kommunikation via HTTPS |
HTTP |
TCP |
Klient |
uccx |
Større end 1023 |
8080 |
Kunder, der rapporterer live-data, opretter forbindelse til en socket.IO-server |
HTTP |
TCP |
Klient |
uccx |
Større end 1023 |
8081 |
Klientbrowser, der forsøger at få adgang til Cisco Unified Intelligence Center-webgrænsefladen |
HTTP |
TCP |
Klient |
uccx |
Større end 1023 |
8443 |
AdministratorGUI, RTMT, DB-adgang via SOAP |
https: |
TCP |
Klient |
uccx |
Større end 1023 |
8444 |
Cisco Unified Intelligence Center-webgrænseflade |
https: |
TCP |
Browser- og REST-klienter |
uccx |
Større end 1023 |
8445 |
Sikker port til Finesse |
https: |
TCP |
Klient |
uccx |
Større end 1023 |
8447 |
HTTPS – onlinehjælp til Unified Intelligence Center |
https: |
TCP |
Klient |
uccx |
Større end 1023 |
8553 |
Enkeltlogon-komponenter (SSO) får adgang til denne grænseflade for at kende driftsstatussen for Cisco IdS. |
HTTP |
TCP |
Klient |
uccx |
Større end 1023 |
9080 |
Klienter, der forsøger at få adgang til HTTP-udløsere eller dokumenter/meddelelser/grammarer/live data. |
https: |
TCP |
Klient |
uccx |
Større end 1023 |
9443 |
Sikker port, der bruges til at besvare klienter, der forsøger at få adgang til HTTPS-udløsere |
TCP |
TCP |
Klient |
uccx |
Større end 1023 |
12014 |
Dette er porten, hvor livedata-rapporteringsklienter kan oprette forbindelse til socket.IO-serveren |
TCP |
TCP |
Klient |
uccx |
Større end 1023 |
12015 |
Dette er porten, hvor livedata-rapporteringsklienter kan oprette forbindelse til socket.IO-serveren |
lg Læ |
TCP |
Klient |
uccx |
Større end 1023 |
12028 |
CTI-klient fra tredjepart til CCX |
RTP(medie) |
TCP |
Slutpunkt |
uccx |
Større end 1023 |
Større end 1023 |
Medieport åbnes dynamisk efter behov |
RTP(medie) |
TCP |
Klient |
Slutpunkt |
Større end 1023 |
Større end 1023 |
Medieport åbnes dynamisk efter behov |
Klientsikkerhed
Sikring af Jabber og Webex med SIP OA uth
Jabber- og Webex-klienter er godkendt via et OA uth-token i stedet for et lokalt signifikant certifikat (LSC), hvilket ikke kræver CAPF-aktivering (også for MRA). SIP OA uth, der arbejder med eller uden blandet tilstand, blev introduceret i Cisco Unified CM 12.5(1), Jabber 12.5 og Expressway X12.5.
I Cisco Unified CM 12.5 har vi en ny valgmulighed i telefonsikkerhedsprofil, der aktiverer kryptering uden LSC/CAPF ved hjælp af enkelt Transport Layer Security (TLS) + OAUTH-TOKEN I SIP REGISTER. Expressway-C-knudepunkter bruger den administrative XML Web Service (AXL) API til at informere Cisco Unified CM om SN/SAN i deres certifikat. Cisco Unified CM bruger disse oplysninger til at validere Exp-C-certifikatet, når der oprettes en gensidig TLS-forbindelse.
SIP OA uth aktiverer medie- og signalkryptering uden et slutpunktscertifikat (LSC).
Cisco Jabber bruger Ephemeral-porte og sikre porte 6971- og 6972-porte via HTTPS-forbindelse til TFTP-serveren til at downloade konfigurationsfilerne. Port 6970 er en ikke-sikker port til download via HTTP.
Flere oplysninger om SIP OA uth-konfiguration: SIP OA uth tilstand.
DNS-krav
For dedikeret forekomst leverer Cisco FQDN for tjenesten i hver region med følgende format <kunde>.<region>.wxc-di.webex.com for eksempel, xyz.amer.wxc-di.webex.com.
Værdien "kunde" leveres af administratoren som en del af guiden til førstegangsopsætning (FTSW). Få flere oplysninger i Aktivering af dedikeret forekomst.
DNS-poster for denne FQDN skal kunne løses fra kundens interne DNS-server for at understøtte lokale enheder, der opretter forbindelse til den dedikerede forekomst. For at lette opløsningen skal kunden konfigurere en betinget videresendelse, for denne FQDN, på sin DNS-server, der peger på DNS-tjenesten for dedikeret forekomst. DNS-tjenesten for dedikeret forekomst er regional og kan nås via peering til dedikeret forekomst ved hjælp af følgende IP-adresser som nævnt i nedenstående tabel Dedikeret forekomst IP-adresse til dedikeret forekomst.
Region/DC | IP-adresse for dedikeret forekomst af DNS-tjeneste |
Eksempel på betinget videresendelse |
---|---|---|
Nord- og Sydamerika (AMER) |
<customer>.amer.wxc-di.webex.com | |
sjc |
69.168.17.100 |
|
dfw |
69.168.17.228 |
|
EMEA |
<customer>. emea. wxc- di. webex. com |
|
Læ |
178.215.138.100 |
|
amme |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
fra |
178.215.131.100 |
|
amme |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
uden |
103.232.71.100 |
|
tky |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
mel |
178.215.128.100 |
|
syd |
178.215.128.228 |
Ping-indstillingen er deaktiveret for ovennævnte DNS-server IP-adresser af sikkerhedsmæssige årsager. |
Indtil den betingede viderestilling er på plads, vil enheder ikke være i stand til at tilmelde sig den dedikerede forekomst fra kundernes interne netværk via peering-links. Betinget videresendelse er ikke påkrævet for tilmelding via mobil og remote access (MRA), da alle de påkrævede eksterne DNS-poster for at lette MRA vil blive præklareret af Cisco.
Når du bruger Webex-applikationen som din opkaldssoftwareklient på dedikeret forekomst, skal en UC Manager-profil konfigureres i Control Hub for hver regions taletjenestedomæne (VSD). Få flere oplysninger i UC Manager-profiler i Cisco Webex Control Hub. Webex-applikationen vil automatisk kunne løse kundens Expressway Edge uden nogen slutbrugerindgriben.
Taletjenestedomæne leveres til kunden som en del af partneradgangsdokumentet, når serviceaktiveringen er fuldført. |
Brug en lokal router til telefonens DNS-opløsning
For telefoner, der ikke har adgang til virksomhedens DNS-servere, er det muligt at bruge en lokal Cisco-router til at videresende DNS-anmodninger til cloud-DNS for dedikeret forekomst. Dette fjerner behovet for at installere en lokal DNS-server og giver fuld DNS-support, herunder cachelagring.
Eksempel på konfiguration :
!
IP DNS-server
IP navneserver <DI DNS-server IP DC1> <DI DNS-server IP DC2>
!
DNS-brugen i denne udrulningsmodel er specifik for telefoner og kan kun bruges til at løse FQDN'er med domænet fra kundernes dedikerede forekomst. |
Referencer
-
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), sikkerhedsemne: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Sikkerhedsvejledning til Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html