Netzwerkanforderungen für dedizierte Instanz

Webex Calling Dedizierte Instanz ist Teil des Cisco Cloud Calling-Portfolio, unterstützt durch die Cisco Unified Communications Manager(CUCM) (Cisco Unified CM) Collaboration Technology. Dedizierte Instanz bietet Sprach-, Video-, Messaging- und Mobilitätslösungen mit den Funktionen und Vorteilen von Cisco IP-Telefonen, Mobilgeräten und Desktop-Clients, die sich sicher mit der dedizierten Instanz verbinden.

Dieser Artikel richtet sich an Netzwerkadministratoren, insbesondere Firewall- und Proxysicherheitsadministratoren, die die dedizierte Instanz in ihrer Organisation verwenden möchten. Dieses Dokument konzentriert sich in erster Linie auf die Netzwerkanforderungen und die Sicherheit für die Lösung dedizierter Instanzen, einschließlich des mehrschichtigen Ansatzes zu den Funktionen, die einen sicheren physischen Zugriff, ein sicheres Netzwerk, sichere Endpunkte und sichere Cisco UC-Anwendungen ermöglichen.

Zertifikatsanforderungen für sichere Verbindungen in dedizierter Instanz

Für Webex Calling dedizierte Instanz stellt Cisco die Domäne zur Verfügung und signiert alle Zertifikate für die UC-Anwendungen mithilfe einer öffentlichen Zertifizierungsstelle (CA).

Dedizierte Instanz – Portnummern und Protokolle

In den folgenden Tabellen werden die Ports und Protokolle beschrieben, die für die dedizierte Instanz unterstützt werden. Ports, die für einen bestimmten Kunden verwendet werden, hängen von der Bereitstellung und Lösung des Kunden ab. Protokolle hängen von den Einstellungen des Kunden (SCCP im Vergleich zu SIP) und vorhandenen lokalen Geräten und vom Sicherheitsniveau ab, um zu bestimmen, welche Ports in jeder Bereitstellung verwendet werden sollen.

Dedizierte Instanz – Kundenports

Die für Kunden verfügbaren Ports zwischen dem Kunden-Standort und der dedizierten Instanz sind in Tabelle 1 Dedizierte Kundenports für Instanzenaufgeführt. Alle unten aufgeführten Ports sind für Kundenverkehr über die Peering-Links.


Der SNMP-Port wird nur für die CER-Funktionalität unterstützt, nicht jedoch für Überwachungstools von Drittanbietern.

Tabelle 1: Dedizierte Kundenports der Instanz

Protokoll

TCP/UCP

Quelle

Ziel

Quellport

Zielport

Zweck

SSH

TCP

Client

UC-Anwendungen

Größer als 1023

22

Administration

LDAP

TCP

UC-Anwendungen

Externes Verzeichnis

Größer als 1023

389

Directory Sync mit Kunden LDAP

HTTPS

TCP

Browser

UC-Anwendungen

Größer als 1023

443

Webzugriff für Self-Care- und administrative Schnittstellen

LDAP (SICHER)

TCP

UC-Anwendungen

Externes Verzeichnis

Größer als 1023

636

Directory Sync mit Kunden LDAP

SCCP

TCP

Endgeräte

Unified CM, CUCxn

Größer als 1023

2000

Anrufsignalisierung

SCCP

TCP

Unified CM

Unified CM, Gateway

Größer als 1023

2000

Anrufsignalisierung

SCCP (SICHER)

TCP

Endgeräte

Unified CM, CUCxn

Größer als 1023

2443

Anrufsignalisierung

SCCP (SICHER)

TCP

Unified CM

Unified CM, Gateway

Größer als 1023

2443

Anrufsignalisierung

Überprüfung der Vertrauenswürdigkeit

TCP

Endgeräte

Unified CM

Größer als 1023

2445

Bereitstellung eines Vertrauensverifizierungsdiensts für Endpunkte

CTI

TCP

Endgeräte

Unified CM

Größer als 1023

2748

Verbindung zwischen CTI-Anwendungen (JTAPI/TSP) und CTIManager

Sichere CTI

TCP

Endgeräte

Unified CM

Größer als 1023

2749

Sichere Verbindung zwischen CTI-Anwendungen (JTAPI/TSP) und CTIManager

LDAP Globaler Katalog

TCP

UC-Anwendungen

Externes Verzeichnis

Größer als 1023

3268

Directory Sync mit Kunden LDAP

LDAP Globaler Katalog

TCP

UC-Anwendungen

Externes Verzeichnis

Größer als 1023

3269

Directory Sync mit Kunden LDAP

CAPF-Dienst

TCP

Endgeräte

Unified CM

Größer als 1023

3804

Proxy-Funktion der Zertifizierungsstelle (CAPF) – Überwachungsport für die Ausgabe von lokal wichtigen Zertifikaten (LSC) an IP-Telefone

SIP:

TCP

Endgeräte

Unified CM, CUCxn

Größer als 1023

5060

Anrufsignalisierung

SIP:

TCP

Unified CM

Unified CM, Gateway

Größer als 1023

5060

Anrufsignalisierung

SIP (SICHER)

TCP

Endgeräte

Unified CM

Größer als 1023

5061

Anrufsignalisierung

SIP (SICHER)

TCP

Unified CM

Unified CM, Gateway

Größer als 1023

5061

Anrufsignalisierung

SIP (OAUTH)

TCP

Endgeräte

Unified CM

Größer als 1023

5090

Anrufsignalisierung

XMPP

TCP

Jabber-Client

Cisco IM&P

Größer als 1023

5222

Instant Messaging und Präsenz

HTTP

TCP

Endgeräte

Unified CM

Größer als 1023

6970

Konfiguration und Bilder werden auf Endpunkte heruntergeladen

HTTPS

TCP

Endgeräte

Unified CM

Größer als 1023

6971

Konfiguration und Bilder werden auf Endpunkte heruntergeladen

HTTPS

TCP

Endgeräte

Unified CM

Größer als 1023

6972

Konfiguration und Bilder werden auf Endpunkte heruntergeladen

HTTP

TCP

Jabber-Client

CUCxn

Größer als 1023

7080

Voicemail-Benachrichtigungen

HTTPS

TCP

Jabber-Client

CUCxn

Größer als 1023

7443

Sichere Voicemail-Benachrichtigungen

HTTPS

TCP

Unified CM

Unified CM

Größer als 1023

7501

Wird von Intercluster Lookup Service (ILS) für zertifikatbasierte Authentifizierung verwendet

HTTPS

TCP

Unified CM

Unified CM

Größer als 1023

7502

Wird von ILS für die passwortbasierte Authentifizierung verwendet

IMAP

TCP

Jabber-Client

CUCxn

Größer als 1023

7993

IMAP über TLS

HTTPS

TCP

Browser, Endpunkt

UC-Anwendungen

Größer als 1023

8443

Webzugriff für Self-Care- und administrative Schnittstellen, UDS

HTTPS

TCP

Prem

Unified CM

Größer als 1023

9443

Authentifizierte Kontaktsuche

Sicheres RTP/SRTP

UDP

Unified CM

Telefon

16384 bis 32767 *

16384 bis 32767 *

Medien (Audio) – Music On Hold, Annunciator, Software Conference Bridge (Offen basierend auf Anrufsignalisierung)

Sicheres RTP/SRTP

UDP

Telefon

Unified CM

16384 bis 32767 *

16384 bis 32767 *

Medien (Audio) – Music On Hold, Annunciator, Software Conference Bridge (Offen basierend auf Anrufsignalisierung)

ICMP

ICMP

Endgeräte

UC-Anwendungen

n / a

n / a

Ping

ICMP

ICMP

UC-Anwendungen

Endgeräte

n / a

n / a

Ping

* Bei bestimmten Sonderfällen kann eine größere Reichweite verwendet werden.

Dedizierte Instanz – OTT-Ports

Die folgende Liste von Ports kann von Kunden und Partnern für die Mobile- und Geräteeinrichtung Remote Access (MRA) verwendet werden:

Tabelle 2: Liste der Ports für OTT

Protokoll

TCP/UCP

Quelle

Ziel

Quellport

Zielport

Zweck

SICHERES SIP

TCP

Endgeräte

Expressway E

Größer als 1023

5061

Sichere SIP-Signalisierung für MRA-Registrierung und Anrufe

SICHERES SIP

TCP

Endpunkt/Server

Expressway E

Größer als 1023

5062

Sicheres SIP für B2B-Anrufe

SICHERES RTP/RTCP

UDP

Endpunkt/Server

Expressway E

Größer als 1023

36000&'96;59999

Sichere Medien für MRA- und B2B-Anrufe

HTTPS (SICHER)

TLS

Client

Expressway E

Größer als 1023

8443

CUCM UDS und CUCxn REST für MRA-Anrufe

XMLS

TLS

Client

Expressway E

Größer als 1023

5222

IM und Präsenz

TURN

UDP

ICE-Client

Expressway E

Größer als 1023

3478

ICE/STUN/TURN-Verhandlung

SICHERES RTP/RTCP

UPD

ICE-Client

Expressway E

Größer als 1023

24000-29999

MEDIEN FÜR ICE-Fallback DREHEN

Dedizierte Instanz – UCCX-Ports

Die folgende Liste von Ports kann von Kunden und Partnern für die UCCX-Konfiguration verwendet werden.

Tabelle 3: Cisco UCCX-Ports

Protokoll

TCP /UCP

Quelle

Ziel

Quellport

Zielport

Zweck

SSH

TCP

Client

UCCX

Größer als 1023

22

SFTP und SSH

Informix

TCP

Client oder Server

UCCX

Größer als 1023

1504

Unified CCX-Datenbankport

SIP:

UDP und TCP

SIP-SIP-SIP- oder MCRP-Server

UCCX

Größer als 1023

5065

Kommunikation mit remoten CFS- und MCRP-Knoten

XMPP

TCP

Client

UCCX

Größer als 1023

5223

Sichere XMPP-Verbindung zwischen dem Finesse-Server und benutzerdefinierten Anwendungen von Drittanbietern

CVD

TCP

Client

UCCX

Größer als 1023

6999

Editor zu CCX-Anwendungen

HTTPS

TCP

Client

UCCX

Größer als 1023

7443

SichereCOMPUTER-Verbindung zwischen Finesse-Server und Agenten- und Supervisor-Desktops für die Kommunikation über HTTPS

HTTP

TCP

Client

UCCX

Größer als 1023

8080

Clients für Live-Datenberichte verbinden sich mit socket. IO-Server

HTTP

TCP

Client

UCCX

Größer als 1023

8081

Client-Browser, der versucht, auf Cisco Unified Intelligence Center-Weboberfläche zu zugreifen

HTTP

TCP

Client

UCCX

Größer als 1023

8443

Admin-GUI, RTMT, DB-Zugriff über SOAP

HTTPS

TCP

Client

UCCX

Größer als 1023

8444

Cisco Unified Intelligence Center-Webschnittstelle

HTTPS

TCP

Browser- und REST-Clients

UCCX

Größer als 1023

8445

Sicherer Port für Finesse

HTTPS

TCP

Client

UCCX

Größer als 1023

8447

HTTPS – Unified Intelligence Center Online-Hilfe

HTTPS

TCP

Client

UCCX

Größer als 1023

8553

Komponenten mit Single Sign-On (SSO) greifen auf diese Schnittstelle zu, um den Betriebsstatus von Cisco IdS zu erfahren.

HTTP

TCP

Client

UCCX

Größer als 1023

9080

Clients, die auf HTTP-Trigger oder Dokumente/Eingaben/Grammatiken/Live-Daten zugreifen wollen.

HTTPS

TCP

Client

UCCX

Größer als 1023

9443

Sicherer Port für die Antwort auf Clients, die auf HTTPS-Trigger zugreifen wollen

TCP

TCP

Client

UCCX

Größer als 1023

12014

Dies ist der Port, an dem Clients mit Live-Datenberichten eine Verbindung mit einem Socket herstellen können. IO-Server

TCP

TCP

Client

UCCX

Größer als 1023

12015

Dies ist der Port, an dem Clients mit Live-Datenberichten eine Verbindung mit einem Socket herstellen können. IO-Server

CTI

TCP

Client

UCCX

Größer als 1023

12028

CTI-Client von Drittanbietern an CCX

RTP (Medien)

TCP

Endgeräte

UCCX

Größer als 1023

Größer als 1023

Der Medienport wird bei Bedarf dynamisch geöffnet.

RTP (Medien)

TCP

Client

Endgeräte

Größer als 1023

Größer als 1023

Der Medienport wird bei Bedarf dynamisch geöffnet.

Clientsicherheit

Sichern von Jabber und Webex mit SIP OAuth

Jabber- und Webex-Clients werden über ein OAuth-Token anstatt über ein lokal bedeutendes Zertifikat (LSC) authentifiziert, das keine Proxyfunktion der Zertifizierungsstelle (CAPF) erfordert (auch für MRA). Sip OAuth arbeiten mit oder ohne gemischten Modus wurde in Cisco Unified CM 12.5(1), Jabber 12.5 und Expressway X12.5 eingeführt.

In Cisco Unified CM 12.5 verfügen wir über eine neue Option im Telefonsicherheitsprofil, mit der die Verschlüsselung ohne LSC/CAPF unter Verwendung von single Transport Layer Security (TLS) + OAuth Token in SIP REGISTER ermöglicht wird. Expressway-C-Knoten verwenden die ADMINISTRATIVE XML Web Service (AXL)-API, um Cisco Unified CM über die SN/SAN-Datei in ihrem Zertifikat zu informieren. Cisco Unified CM verwendet diese Informationen, um das Exp-C-Zertifikat zu validieren, wenn eine Verbindung Mutual TLS wird.

SIP OAuth ermöglicht Medien- und Signalisierungsverschlüsselung ohne ein Endpunktzertifikat (LSC).

Cisco Jabber verwendet kurzlebige Ports und sichere Ports 6971 und 6972 über HTTPS-Verbindung zum TFTP-Server, um die Konfigurationsdateien herunterzuladen. Port 6970 ist ein nicht sicherer Port für den Download über HTTP.

Weitere Details zur Konfiguration der SIP OAuth: SIP OAuth-Modus.

DNS-Anforderungen

Für dedizierte Instanz stellt Cisco den FQDN Dienst in den einzelnen Regionen im folgenden Format zur <customer><region>Verfügung. wxc-di.webex.com, z. B. xyz.amer.wxc-di.webex.com.

Der Wert "Kunde" wird vom Administrator als Teil des FIRST Time Setup Wizard (FTSW) bereitgestellt. Weitere Informationen finden Sie unter Aktivierung des dedizierten Instanzdiensts.

DNS-Einträge für FQDN müssen vom internen DNS-Server des Kunden auflösbar sein, um lokale Geräte zu unterstützen, die sich mit der dedizierten Instanz verbinden. Um eine Lösung zu vereinfachen, muss der Kunde einen bedingten Forwarder für diese FQDN auf dem DNS-Server konfigurieren, der auf den DNS-Dienst der dedizierten Instanz verweisen soll. Der DNS-Dienst der dedizierten Instanz ist regional und kann über das Peering zur dedizierten Instanz erreicht werden. Dabei werden die folgenden IP-Adressen verwendet, die in der folgenden Tabelle Aufgeführt sind Dedizierte Instanz DNS-Dienst-IP-Adresse.

Tabelle 4: DEDIZIERTE DNS-Dienst-IP-Adresse der Instanz

Region/DC

DEDIZIERTE DNS-Dienst-IP-Adresse der Instanz

Beispiel für eine bedingte Weiterleitung

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

SÜNDE

103.232.71.288

Geräte können sich über die Peering-Links nicht über das interne Kundennetzwerk bei der dedizierten Instanz registrieren, bis die bedingte Weiterleitung besteht. Bedingte Weiterleitung ist für die Registrierung über Mobile and Remote Access (MRA) nicht erforderlich, da alle zur Unterstützung von MRA erforderlichen externen DNS-Einträge von Cisco vorab bereitgestellt werden.

Wenn Sie die Webex-Anwendung als Ihren Anruf-Soft-Client auf dedizierter Instanz verwenden, muss im Control Hub für die Voice Service Domain (VSD) jeder Region ein UC Manager-Profil konfiguriert werden. Weitere Informationen finden Sie in den UC Manager-ProfilenCisco Webex Control Hub. Die Webex-Anwendung ist in der Lage, den Edge des Kunden Expressway ohne Eingriffe des Endbenutzers automatisch zu lösen.


Die Sprachdienstdomäne wird dem Kunden als Teil des Partnerzugriffsdokuments bereitgestellt, sobald die Dienstaktivierung abgeschlossen ist.