Netværkskrav til dedikeret forekomst

Webex-opkald er en del af Cisco Cloud Calling-porteføljen, drevet af Cisco Unified Communications Manager (Cisco Unified CM) samarbejdsteknologi. Dedikeret instans tilbyder stemme-, video-, meddelelses- og mobilitetsløsninger med funktionerne og fordelene ved Cisco IP-telefoner, mobilenheder og desktopklienter, der opretter sikker forbindelse til den dedikerede forekomst.

Denne artikel er beregnet til netværksadministratorer, særligt firewall- og proxysikkerhedsadministratorer, der ønsker at bruge dedikerede tilfælde inden for deres organisation.

Sikkerhedsoversigt: Sikkerhed i lag

Dedikeret tilfælde bruger en laget tilgang til sikkerhed. Lagene inkluderer:

  • Fysisk adgang

  • Netværk

  • Slutpunkter

  • UC-applikationer

Følgende afsnit beskriver sikkerhedslagene i implementeringer af dedikerede tilfælde.

Fysisk sikkerhed

Det er vigtigt at sørge for fysisk sikkerhed til Equinix's lokaler til møder med mig og faciliteter til Cisco-dedikerede forekomstdatacentre. Når den fysiske sikkerhed er kompromitteret, kan simple angreb, såsom driftsforstyrrelser ved at lukke for strøm til en kundes switches, startes. Med fysisk adgang kan brugere få adgang til serverenheder, nulstille adgangskoder og få adgang til switches. Fysisk adgang letter også mere angreb, som man-in-the-middle, hvilket er årsagen til, at det andet sikkerhedslag, netværkssikkerheden, er meget vigtigt.

Selvkrypteringsdrev bruges i dedikerede tilfælde-datacentre , der er vært for UC-applikationer.

For yderligere oplysninger om generel sikkerhedspraksis, se dokumentationen på følgende placering: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Netværkssikkerhed

Partnere skal sikre, at alle netværkselementer er sikre i Dedikeret instance-infrastruktur (som opretter forbindelse via Equinix). Det er partnerens ansvar at sikre bedste praksis for sikkerhed, såsom:

  • Separat VLAN for stemme og data

  • Aktivér Port Security, som begrænser antallet af MAC-adresser tilladt pr. port, mod cam-tabellens indhold

  • IP-kildeobjekt over for spooferede IP-adresser

  • Dynamisk ARP-inspektion (DAI) undersøger adresseopløsningsprotokol (ARP) og gryende ARP (GARP) for overtrædelser (mod ARP-spoofing)

  • 802. begrænser1x netværksadgang til godkendte enheder på tildelte VLAN'er (telefoner understøtter 802.1x)

  • Konfiguration af tjenestekvalitet (QoS) for passende mærkning af stemmepakker

  • Konfigurationer af firewall-porte til blokering af al anden trafik

Slutpunktssikkerhed

Cisco-slutpunkter understøtter standardsikkerhedsfunktioner såsom underskrevet firmware, sikker opstart (valgte modeller), producentens installerede certifikat (MIC) og underskrevne konfigurationsfiler, som giver et bestemt sikkerhedsniveau for slutpunkter.

Derudover kan en partner eller kunde aktivere yderligere sikkerhed, såsom:

  • Krypter IP-telefontjenester (via HTTPS) for tjenester såsom lokalnummermobilitet

  • Udstedelse af lokalt vigtige certifikater (LSCs) fra certifikatmyndighedens proxyfunktion (CAPF) eller en offentlig certifikatmyndighed (CA)

  • Krypter konfigurationsfiler

  • Krypter medier og signal

  • Deaktiver disse indstillinger, hvis de ikke bruges: PC-port, PC Voice VLAN-adgang, dekomisk ARP, Web Access, knappen Indstillinger, SSH, konsol

Implementeringen af sikkerhed mekanismerne i den dedikerede instans forhindrer identitetsstrukner fra telefonerne og Unified CM-serveren, ændring af data og opkaldssignalering/mediestream-ændring.

Dedikeret forekomst via netværket:

  • Etablerer og opretholder godkendte kommunikationsstreams

  • Signerer filer digitalt, før filen overføres til telefonen

  • Krypterer mediestreams og opkaldssignalering mellem Cisco Unified IP-telefoner

Standardsikkerhedsopsætning

Sikkerhed giver som standard følgende automatiske sikkerhedsfunktioner til Cisco Unified IP-telefoner:

  • Underskrivning af telefonkonfigurationsfilerne

  • Support til telefonkonfigurationsfilkryptering

  • HTTPS med Tomcat og andre webtjenester (MIDlets)

Til Unified CM Release 8.0 senere leveres disse sikkerhedsfunktioner som standard uden at køre klienten certificate Trust List (CTL).

Tjeneste til bekræftelse af tillid

Fordi der er mange telefoner på et netværk, og IP-telefoner har begrænset hukommelse, fungerer Cisco Unified CM som en ekstern tillidsbutik via tillidsbekræftelsestjenesten (TVS), så en certifikattillidsbutik ikke skal placeres på hver telefon. Cisco IP-telefoner kontakter TVS-serveren for verificering, fordi de ikke kan bekræfte en underskrift eller certifikat gennem CTL- eller ITL-filer. Det er nemmere at administrere en central tillidsbutik end at have tillid til hver Cisco Unified IP-telefon.

TVS gør det Cisco Unified IP-telefoner til at godkende applikationsservere, såsom EM-tjenester, telefonbog og MIDlet, under brug af HTTPS.

Oprindelig tillidsliste

Den indledende tillidsliste (ITL)-fil bruges til den indledende sikkerhed, så slutpunkterne kan have tillid Cisco Unified CM. ITL behøver ikke nogen sikkerhedsfunktioner for at blive aktiveret udtrykkeligt. ITL-filen oprettes automatisk, når klyngen er installeret. Serverens private nøgle til Unified CM Trivial File Transfer Protocol (TFTP) bruges til at underskrive ITL-filen.

Når den Cisco Unified CM-klynge eller server er i ikke-sikker tilstand, downloades ITL-filen på hver understøttet Cisco IP-telefon. En partner kan se indholdet af en ITL-fil ved hjælp af CLI-kommandoen, admin:show itl.

Cisco IP-telefoner skal bruge ITL-filen for at udføre følgende opgaver:

  • Kommunikere sikkert til CAPF, en forudsætning for at understøtte konfigurationsfilkryptering

  • Godkend konfigurationsfilsignaturen

  • Godkend applikationsservere, såsom EM-tjenester, telefonbog og MIDlet under HTTPS-brug af TVS

Cisco CTL

Godkendelse af enhed, fil og signal afhænger af oprettelsen af filen Certificate Trust List (CTL), som oprettes, når partneren eller kunden installerer og konfigurerer Cisco-certifikattillidslisteklienten.

CTL-filen indeholder poster til følgende servere eller sikkerhedspoletter:

  • Systemadministrators sikkerhedstoken (VEDR.)

  • Cisco CallManager og Cisco TFTP-tjenester, der kører på den samme server

  • Certifikatmyndighedens proxyfunktion (CAPF)

  • TFTP-server(e)

  • ASA-firewall

CTL-filen indeholder et servercertifikat, offentlig nøgle, serienummer, signatur, udstedernavn, emnenavn, serverfunktion, DNS-navn og IP-adresse for hver server.

Telefonsikkerhed med CTL leverer følgende funktioner:

  • Godkendelse af TFTP-downloadede filer (konfiguration, lokalisering, ringliste, og så videre) ved hjælp af en signeringsnøgle

  • Kryptering af TFTP-konfigurationsfiler ved hjælp af en signeringsnøgle

  • Krypteret opkaldssignal til IP-telefoner

  • Krypteret opkaldslyd (medier) til IP-telefoner

Sikkerhed for Cisco IP-telefoner i dedikeret forekomst

Dedikeret forekomst giver slutpunktsregistrering og behandling af opkald. Signalet mellem Cisco Unified CM og slutpunkter er baseret på SCCP (Secure Skinny Client Control Protocol) eller Session Initiation Protocol (SIP) og kan krypteres ved hjælp af Transport Layer Security (TLS). Mediet fra/til slutpunkterne er baseret på realtids transportprotokol (RTP) og kan også krypteres ved hjælp af Secure RTP (SRTP).

Aktivering af blandet tilstand på Unified CM muliggør kryptering af signal og medietrafik fra og til Cisco-slutpunkter.

Sikre UC-applikationer

Aktivering af blandet tilstand i dedikeret forekomst

Blandet tilstand er aktiveret som standard i dedikeret forekomst.

Aktivering af blandet tilstand i dedikeret tilfælde aktiverer muligheden for at udføre kryptering af signalet og medietrafikken fra og til Cisco-slutpunkterne.

I Cisco Unified CM udgivelse 12.5(1) blev en ny valgmulighed til at aktivere kryptering af signal og medier baseret på SIP OAuth i stedet for blandet tilstand/ CTL tilføjet for Jabber- og Webex-klienter. Derfor kan SIP OAuth og SRTP i Unified CM-version 12.5(1) bruges til at aktivere kryptering for signal og medier for Jabber eller Webex-klienter. Aktivering af blandet tilstand er fortsat nødvendig for Cisco IP-telefoner og andre Cisco-slutpunkter på nuværende tidspunkt. Der er en plan for at tilføje support til SIP OAuth i 7800/8800 slutpunkter i en fremtidig udgivelse.

Sikkerhed for talemeddelelser

Cisco Unity Connection tilslutter til Unified CM via TLS-porten. Når enhedens sikkerhedstilstand ikke er sikker, opretter Cisco Unity Connection forbindelse til Unified CM via SCCP-porten.

For at konfigurere sikkerheden for Unified CM-telefonsvarerporte og Cisco Unity-enheder, der kører SCCP eller Cisco Unity Connection-enheder, der kører SCCP, kan en partner vælge en sikker enhedssikkerhedstilstand for porten. Hvis du vælger en godkendt indtalt besked-port, åbnes en TLS-forbindelse, som godkender enhederne ved hjælp af en gensidig certifikatudveksling (hver enhed accepterer certifikatet fra den anden enhed). Hvis du vælger en krypteret voicemail-port, godkender systemet først enhederne og sender derefter krypterede stemmestreams mellem enhederne.

For yderligere oplysninger om porte til beskeder om sikkerhed, se: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Sikkerhed for SRST, trunks, gateways, CUBE/SBC

En Cisco Unified gateway til ekstern webstedstelefoni (SRST) giver begrænsede opkaldsbehandlingsopgaver, hvis Cisco Unified CM på en dedikeret forekomst ikke kan gennemføre opkaldet.

Sikre SRST-aktiverede gateways indeholder et selv underskrevet certifikat. Når en partner udfører SRST-konfigurationsopgaver i Unified CM-administration, bruger Unified CM en TLS-forbindelse til at godkende med certifikatudbydertjenesten i den SRST-aktiverede gateway. Unified CM henter derefter certifikatet fra den SRST-aktiverede gateway og tilføjer certifikatet til Unified CM-databasen.

Efter partner nulstiller de afhængig enheder i Unified CM administration, tilføjer TFTP-serveren SRST-aktiveret gateway certifikat til telefonen cnf.xml filen og sender filen til telefonen. En sikker telefon bruger derefter en TLS-forbindelse til at interagere med den SRST-aktiverede gateway.

Det anbefales at have sikre trunks til opkaldet, der stammer fra Cisco Unified CM til gatewayen for udgående PSTN-opkald eller passage gennem Cisco Unified Border Element (CUBE).

SIP-trunks kan understøtte sikre opkald både til signal såvel som medier; TLS leverer signalkryptering, og SRTP giver mediekryptering.

Sikring af kommunikation mellem Cisco Unified CM og CUBE

For sikker kommunikation mellem Cisco Unified CM og CUBE skal partnere/kunder bruge enten selv underskrevne certifikater eller CA-underskrevne certifikater.

For selv underskrevne certifikater:

  1. CUBE og Cisco Unified CM generere selv underskrevne certifikater

  2. CUBE eksportcertifikat til Cisco Unified CM

  3. Cisco Unified CM eksportcertifikat til CUBE

For CA-underskrevne certifikater:

  1. Klienten opretter et nøglepar og sender en anmodning om underskrift af certifikat (CSR) til certifikatmyndigheden (CA)

  2. CA signerer den med dens private nøgle og opretter et identitetscertifikat

  3. Klienten installerer listen over nøglecentercertifikater, der er tillid til, samt certifikater for rod og sikkerhed samt identitetscertifikatet

Sikkerhed for eksterne slutpunkter

Med Mobile og Remote Access (MRA) slutpunkter krypteres signaler og medier altid mellem MRA-slutpunkterne og Expressway knudepunkter. Hvis ICE -protokollen (Interactive Connectivity Båndbredde) bruges til MRA-slutpunkter, kræves der signal- og mediekryptering af MRA-slutpunkterne. Kryptering af signaler og medier mellem Expressway-C og de interne Unified CM-servere, interne slutpunkter eller andre interne enheder kræver dog blandet tilstand eller SIP OAuth.

Cisco Expressway sikker firewall-traversal og linje-side-support til Unified CM-registreringer. Unified CM leverer opkaldskontrol til både mobile og lokale slutpunkter. Signalerer krydser Expressway mellem det eksterne slutpunkt og Unified CM. Medie krydser Expressway og videresendes direkte mellem slutpunkter. Alle medier krypteres mellem det Expressway-C og det mobile slutpunkt.

Enhver MRA-løsning Expressway og Unified CM med MRA-kompatible soft clients og/eller faste slutpunkter. Løsningen kan eventuelt indeholde IM og Tilstedeværelsestjenesten og Unity Connection.

Protokoloversigt

Følgende tabel viser protokollerne og tilknyttede tjenester, der bruges i Unified CM-løsningen.

Tabel 1. Protokoller og tilknyttede tjenester

Protocol

Sikkerhed

Service

SIP

TLS

Session, der er til sammensyning: Tilmeld, inviter osv.

HTTPS

TLS

Login, provisionering/konfiguration, adressebog, visuel indtalt besked

Medie

SRTP

Medier: Lyd, video, indholdsdeling

XMPP

TLS

Chat, tilstedeværelse, sammenslutning

For yderligere oplysninger om MRA-konfiguration, se: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Konfigurationsvalgmuligheder

Den dedikerede instans giver partneren fleksibilitet til at brugertilpasse tjenester til slutbrugere ved hjælp af fuld kontrol over dag to konfigurationer. Som følge deraf er partneren eneansvarlig for korrekt konfiguration af dedikeret instans-tjeneste for slutbrugerens miljø. Dette omfatter, men ikke begrænset til:

  • Valg af sikre/usikre opkald, sikre/usikre protokoller såsom SIP/sSIP, http/https osv. og forståelse af eventuelle tilknyttede risici.

  • For alle MAC-adresser, der ikke er konfigureret som sikker SIP i en dedikeret forekomst, kan en person, der er under behandling, sende SIP-registermeddelelsen ved hjælp af den MAC-adresse og være i stand til at foretage SIP-opkald , hvilket medfører afgiftsbedrageri. Det bedste er, at personerne, der er klar over, kan registrere deres SIP-enhed/software til dedikerede forekomster uden godkendelse, hvis de kender MAC-adressen på en enhed, der er registreret i en dedikeret forekomst.

  • Expressway-E-opkaldspolitikker, omdannelses- og søgeregler bør konfigureres for at forhindre afgiftsbedrageri. For yderligere oplysninger om forhindring af afgiftsbedrageri ved hjælp af Expressways henvises der til afsnittet Sikkerhed for Expressway C og Expressway-E i Collaboration SRND.

  • Konfiguration af opkaldsplan for at sikre, at brugere kun kan ringe til destinationer, der er tilladte, f.eks. forbyder nationale/internationale opkald, nødopkald dirigeres korrekt osv. For yderligere oplysninger om anvendelse af begrænsninger ved brug af opkaldsplan, se afsnittet Opkaldsplan i Collaboration SRND.

Certifikatkrav til sikre forbindelser i dedikeret forekomst

For dedikerede tilfælde skal Cisco levere domænet og underskrive alle certifikaterne til UC-applikationerne ved hjælp af en offentlig certifikatmyndighed (CA).

Dedikeret forekomst – portnumre og protokoller

Følgende tabeller beskriver de porte og protokoller, der understøttes i dedikeret forekomst. Porte, der bruges til en bestemt kunde, afhænger af kundens installation og løsning. Protokollerne afhænger af kundens præference (SCCP vs SIP), eksisterende enheder i det lokale miljø og hvilket sikkerhedsniveau for at bestemme, hvilke porte der skal bruges i hver installation.

Dedikeret forekomst tillader ikke NAT (Network Address Translation) mellem slutpunkter og Unified CM, da nogle af opkaldsflowfunktionerne ikke fungerer, f.eks. funktionen midt i opkald.

Dedikeret forekomst – Kundeporte

De porte, der er tilgængelige for kunder – mellem kundens lokale og dedikerede tilfælde vises i tabel 1 dedikerede kundeporte . Alle porte angivet herunder er for kundetrafik traversing peering links.

SNMP-porten er som standard kun åben for Cisco Emergency Responder for at understøtte dens funktionalitet. Da vi ikke understøtter partnere eller kunder, der overvåger de UC-applikationer, der er installeret i skyen til dedikeret forekomst, tillader vi ikke åbning af SNMP-port for andre UC-applikationer.

Porte i intervallet 5063 til 5080 er reserveret af Cisco til andre cloud-integrationer, det anbefales, at partner- eller kundeadministratorer ikke bruger disse porte i deres konfigurationer.

Tabel 2. Dedikerede kundeporte til forekomst

Protokol

TCP/UDP

Source

Destination

Kildeport

Destinationsport

Formål

Ssh

TCP

klient

UC-applikationer

Ikke tilladt for Cisco Expressway-applikationer.

Større end 1023

22

Administration

Tftp

UDP

Slutpunkt

Unified CM

Større end 1023

69

Understøttelse af ældre slutpunkter

LDAP

TCP

UC-applikationer

Ekstern mappe

Større end 1023

389

Adressebogssynkronisering til kunde LDAP

HTTPS

TCP

Browser

UC-applikationer

Større end 1023

443

Webadgang til selvbetjening og administrative grænseflader

Udgående mail (SIKKER)

TCP

UC-applikation

CUCxn

Større end 1023

587

Bruges til at oprette og sende sikre meddelelser til alle udpegede modtagere

LDAP (SIKKER)

TCP

UC-applikationer

Ekstern mappe

Større end 1023

636

Adressebogssynkronisering til kunde LDAP

H323

TCP

Gateway

Unified CM

Større end 1023

1720

Opkaldssignalering

H323

TCP

Unified CM

Unified CM

Større end 1023

1720

Opkaldssignalering

SCCP

TCP

Slutpunkt

Unified CM, CUCxn

Større end 1023

2000

Opkaldssignalering

SCCP

TCP

Unified CM

Unified CM, Gateway

Større end 1023

2000

Opkaldssignalering

mgcp

UDP

Gateway

Gateway

Større end 1023

2427

Opkaldssignalering

MGCP Backhaul

TCP

Gateway

Unified CM

Større end 1023

2428

Opkaldssignalering

SCCP (SIKKER)

TCP

Slutpunkt

Unified CM, CUCxn

Større end 1023

2443

Opkaldssignalering

SCCP (SIKKER)

TCP

Unified CM

Unified CM, Gateway

Større end 1023

2443

Opkaldssignalering

Tillidsbekræftelse

TCP

Slutpunkt

Unified CM

Større end 1023

2445

Giver tillidsbekræftelsestjeneste til slutpunkter

Cti

TCP

Slutpunkt

Unified CM

Større end 1023

2748

Forbindelse mellem CTI-applikationer (JTAPI/TSP) og CTIManager

Sikker CTI

TCP

Slutpunkt

Unified CM

Større end 1023

2749

Sikker forbindelse mellem CTI-applikationer (JTAPI/TSP) og CTIManager

LDAP globalt katalog

TCP

UC-applikationer

Ekstern mappe

Større end 1023

3268

Adressebogssynkronisering til kunde LDAP

LDAP globalt katalog

TCP

UC-applikationer

Ekstern mappe

Større end 1023

3269

Adressebogssynkronisering til kunde LDAP

CAPF-tjeneste

TCP

Slutpunkt

Unified CM

Større end 1023

3804

Certifikat Authority Proxy Function (CAPF) lytteport for at udpege lokalt vigtige certifikater (LSC) til IP-telefoner

SIP

TCP

Slutpunkt

Unified CM, CUCxn

Større end 1023

5060

Opkaldssignalering

SIP

TCP

Unified CM

Unified CM, Gateway

Større end 1023

5060

Opkaldssignalering

SIP (SIKKER)

TCP

Slutpunkt

Unified CM

Større end 1023

5061

Opkaldssignalering

SIP (SIKKER)

TCP

Unified CM

Unified CM, Gateway

Større end 1023

5061

Opkaldssignalering

SIP (OAUTH)

TCP

Slutpunkt

Unified CM

Større end 1023

5090

Opkaldssignalering

XMPP

TCP

Jabber-klient

Cisco IM&P

Større end 1023

5222

Chat og tilstedeværelse

HTTP

TCP

Slutpunkt

Unified CM

Større end 1023

6970

Downloader konfiguration og billeder til slutpunkter

HTTPS

TCP

Slutpunkt

Unified CM

Større end 1023

6971

Downloader konfiguration og billeder til slutpunkter

HTTPS

TCP

Slutpunkt

Unified CM

Større end 1023

6972

Downloader konfiguration og billeder til slutpunkter

HTTP

TCP

Jabber-klient

CUCxn

Større end 1023

7080

Voicemail-underretninger

HTTPS

TCP

Jabber-klient

CUCxn

Større end 1023

7443

Sikre indtalt besked-underretninger

HTTPS

TCP

Unified CM

Unified CM

Større end 1023

7501

Bruges af Intercluster Lookup Service (ILS) for certifikatbaseret bekræftelse

HTTPS

TCP

Unified CM

Unified CM

Større end 1023

7502

Bruges af ILS til adgangskodebaseret bekræftelse

IMAP

TCP

Jabber-klient

CUCxn

Større end 1023

7993

IMAP over TLS

HTTP

TCP

Slutpunkt

Unified CM

Større end 1023

8080

Directory-URI for understøttelse af ældre slutpunkter

HTTPS

TCP

Browser, slutpunkt

UC-applikationer

Større end 1023

8443

Webadgang til selvhjælp og administrative grænseflader, UDS

HTTPS

TCP

Telefon

Unified CM

Større end 1023

9443

Godkendt kontaktsøgning

HTTP'er

TCP

Slutpunkt

Unified CM

Større end 1023

9444

Administrationsfunktion til hovedtelefon

Sikker RTP/SRTP

UDP

Unified CM

Telefon

16384 til 32767 *

16384 til 32767 *

Medie (lyd) - Musik On Hold, Annunciator, Software Conference Bridge (Åben baseret på opkaldssignalering)

Sikker RTP/SRTP

UDP

Telefon

Unified CM

16384 til 32767 *

16384 til 32767 *

Medie (lyd) - Musik On Hold, Annunciator, Software Conference Bridge (Åben baseret på opkaldssignalering)

Kategori: Kobbertræer

TCP

klient

CUCxn

Større end 1023

20532

Sikkerhedskopier og gendan applikationspakke

ICMP

ICMP

Slutpunkt

UC-applikationer

ikke relevant

ikke relevant

Ping

ICMP

ICMP

UC-applikationer

Slutpunkt

ikke relevant

ikke relevant

Ping

DNS UDP og TCP

DNS-videresendelse

Dedikerede DNS-servere til forekomst

Større end 1023

53

Kundebaserede DNS-videresendelser til DNS-servere med dedikeret forekomst. Se DNS-krav for yderligere oplysninger.

* Visse særlige tilfælde kan benytte et større interval.

Dedikeret forekomst – OTT-porte

Følgende port kan bruges af kunder og partnere til opsætning af Mobile and Remote Access (MRA):

Tabel 3. Port til OTT

Protocol

TCP/UCP

Source

Destination

Kildeport

Destinationsport

Formål

SIKKER RTP/RTCP

UDP

Expressway C

Klient

Større end 1023

36000-59999

Sikkert medie til MRA- og B2B-opkald

Inter-op SIP-trunk mellem multilejer og dedikeret forekomst (kun til tilmeldingsbaseret trunk)

Følgende liste over porte skal tillades på kundens firewall for den registreringsbaserede SIP-trunk, der opretter forbindelse mellem multilejer og dedikeret forekomst.

Tabel 4. Port til tilmeldingsbaserede trunks

Protocol

TCP/UCP

Source

Destination

Kildeport

Destinationsport

Formål

rtp/rtcp

UDP

Webex Calling-multilejer

Klient

Større end 1023

8000-48198

Medier fra Webex Calling-multilejer

Dedikeret forekomst – UCCX-porte

Følgende liste over porte kan bruges af kunder og partnere til at konfigurere UCCX.

Tabel 5. Cisco UCCX-porte

Protocol

TCP/UCP

Source

Destination

Kildeport

Destinationsport

Formål

Ssh

TCP

klient

UCCX

Større end 1023

22

SFTP og SSH

Informix

TCP

Klient eller server

UCCX

Større end 1023

1504

Databaseport til kontaktcenter Express

SIP

UDP og TCP

SIP GW eller MCRP-server

UCCX

Større end 1023

5065

Kommunikation til eksterne GW- og MCRP-noder

XMPP

TCP

klient

UCCX

Større end 1023

5223

Sikker XMPP-forbindelse mellem Finesse-serveren og brugerdefinerede tredjepartsapplikationer

Cvd

TCP

klient

UCCX

Større end 1023

6999

Redigeringsprogram til CCX-applikationer

HTTPS

TCP

klient

UCCX

Større end 1023

7443

Sikker BOSH-forbindelse mellem Finesse-serveren og agent- og supervisor-desktops til kommunikation via HTTPS

HTTP

TCP

klient

UCCX

Større end 1023

8080

Live-data-rapporteringsklienter opretter forbindelse til en socket.IO-server

HTTP

TCP

klient

UCCX

Større end 1023

8081

Klientbrowseren forsøger at få adgang til Cisco Unified Intelligence Center-webgrænsefladen

HTTP

TCP

klient

UCCX

Større end 1023

8443

Administratorbrugergrænseflade, RTMT, DB-adgang via SOAP

HTTPS

TCP

klient

UCCX

Større end 1023

8444

Cisco Unified Intelligence Center-webgrænseflade

HTTPS

TCP

Browser- og REST-klienter

UCCX

Større end 1023

8445

Sikker port til Finesse

HTTPS

TCP

klient

UCCX

Større end 1023

8447

HTTPS – Onlinehjælp til Unified Intelligence Center

HTTPS

TCP

klient

UCCX

Større end 1023

8553

Enkeltlogon-komponenter (SSO) har adgang til denne grænseflade for at kende driftsstatussen for Cisco IdS.

HTTP

TCP

klient

UCCX

Større end 1023

9080

Klienter der forsøger at tilgå HTTP-udløsere eller dokumenter/prompter /grammatik/live data.

HTTPS

TCP

klient

UCCX

Større end 1023

9443

Sikker port bruges til at reagere på klienter, der forsøger at få adgang til HTTPS-udløsere

TCP

TCP

klient

UCCX

Større end 1023

12014

Dette er porten, hvor live-data-rapporteringsklienter kan oprette forbindelse til socket.IO-serveren

TCP

TCP

klient

UCCX

Større end 1023

12015

Dette er porten, hvor live-data-rapporteringsklienter kan oprette forbindelse til socket.IO-serveren

Cti

TCP

klient

UCCX

Større end 1023

12028

CTI-klient fra tredjepart til CCX

RTP(medie)

TCP

Slutpunkt

UCCX

Større end 1023

Større end 1023

Medieport åbnes dynamisk efter behov

RTP(medie)

TCP

klient

Slutpunkt

Større end 1023

Større end 1023

Medieport åbnes dynamisk efter behov

Klientsikkerhed

Sikre Jabber og Webex med SIP OAuth

Jabber- og Webex-klienter godkendes via et OAuth-token i stedet for et lokalt vigtigt certifikat (LSC), som ikke kræver aktivering af certifikatmyndighedsproxyfunktion (CAPF) (også for MRA). SIP OAuth, der arbejder med eller uden blandet tilstand, blev indført i Cisco Unified CM 12.5(1), Jabber 12.5 og Expressway X12.5.

I Cisco Unified CM 12.5 har vi en ny valgmulighed i telefonsikkerhedsprofilen, der aktiverer kryptering uden LSC/CAPF ved hjælp af enkelt Transport Layer Security (TLS) + OAuth-polet i SIP REGISTER. Expressway-C-knudepunkter bruger Administrations-XML Web Service (AXL) API til at informere Cisco Unified CM om SN/SAN i deres certifikat. Cisco Unified CM bruger disse oplysninger til at validere Exp-C-certificeringen, når der oprettes en fælles TLS forbindelse.

SIP OAuth aktiverer medie- og signalkryptering uden et slutpunktscertifikat (LSC).

Cisco Jabber bruger kortvarige porte og sikre porte 6971 og 6972 porte via HTTPS-forbindelse til TFTP-serveren til at downloade konfigurationsfilerne. Port 6970 er en ikke-sikker port til download via HTTP.

Flere oplysninger om SIP OAuth-konfiguration: SIP OAuth-tilstand.

DNS-krav

For dedikeret forekomst leverer Cisco FQDN for tjenesten i hvert område med følgende format ..wxc-di.webex.com for eksempel, xyz.amer.wxc-di.webex.com.

"Kunde"-værdien leveres af administratoren som en del af Guide til første opsætning (FTSW). Se Aktivering af dedikeret forekomststjeneste for yderligere oplysninger.

DNS-registre for FQDN skal være løselige fra kundens interne DNS-server for at understøtte lokale enheder, der opretter forbindelse til den dedikerede forekomst. For at lette opløsningen skal kunden konfigurere en betinget videresendelsesudbyder for denne FQDN på deres DNS-server, der peger på dns-tjenesten for dedikeret instans. DNS-tjenesten for dedikeret forekomst er regional og kan nås via peering til dedikeret forekomst ved hjælp af følgende IP-adresser som nævnt i nedenstående tabel IP-adresse for dedikeret forekomst DNS-tjeneste.

Tabel 6. Dedikeret DNS-tjeneste-IP-adresse for instans

Område/DC

Dedikeret DNS-tjeneste-IP-adresse for instans

Betinget videresendelseseksemne

Nord- og Sydamerika (AMER)

<customer>.amer.wxc-di.webex.com

Sjc

69.168.17.100

Dfw

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

Lon

178.215.138.100

Ams

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

Gæsterne

178.215.131.100

Ams

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

Synd

103.232.71.100

tky

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228

Storbritannien

<customer>.uk.wxc-di.webex.com

Lon

178.215.135.100

mand

178.215.135.228

Valgmuligheden ping er deaktiveret for ovennævnte DNS-server-IP-adresser af sikkerhedsårsager.

Indtil den betingede videresendelse er på plads, vil enhederne ikke være i stand til at tilmelde til den dedikerede forekomst fra kundens interne netværk via peering-linkene. Betinget videresendelse er ikke påkrævet for tilmelding via Mobil og Remote Access (MRA), da alle nødvendige eksterne DNS-registre for at lette MRA vil være klargjort af Cisco.

Når du bruger Webex-applikationen som din opkalds-soft-klient på en dedikeret instans, skal en UC Manager-profil konfigureres i Control Hub for hver regions Voice Service Domain (VSD). Se UC Manager-profiler i Cisco Webex Control Hub for yderligere oplysninger. Webex-applikationen vil automatisk kunne løse kundens Expressway Edge uden nogen indgreb fra slutbrugerne.

Stemmetjenestedomæne vil blive leveret til kunden som en del af partneradgangsdokumentet, når tjenesteaktivering er fuldført.

Brug en lokal router til telefonens DNS-opløsning

For telefoner, der ikke har adgang til virksomhedens DNS-servere, er det muligt at bruge en lokal Cisco-router til at videresende DNS-anmodninger til cloud-DNS for dedikeret forekomst. Dette fjerner behovet for at installere en lokal DNS-server og giver fuld DNS-support, herunder caching.

Eksempel på konfiguration :

!

IP DNS-server

ip-navneserver

!

DNS-brugen i denne udrulningsmodel er specifik for telefoner og kan kun bruges til at løse FQDN'er med domænet fra kundernes dedikerede forekomst.

Telefons DNS-opløsning