Netzwerkanforderungen für dedizierte Instanz

Webex Calling Dedizierte Instanz ist Teil des Cisco Cloud Calling-Portfolio, das durch die Cisco Unified Communications Manager(CUCM) (Cisco Unified CM) Zusammenarbeitstechnologie unterstützt wird. Dedizierte Instanz bietet Sprach-, Video-, Messaging- und Mobilitätslösungen mit den Funktionen und Vorteilen von Cisco IP-Telefonen, Mobilgeräten und Desktop-Clients, die sich sicher mit der dedizierten Instanz verbinden.

Dieser Artikel richtet sich an Netzwerkadministratoren, insbesondere Firewall- und Proxysicherheitsadministratoren, die die dedizierte Instanz in ihrer Organisation verwenden möchten. Dieses Dokument konzentriert sich in erster Linie auf die Netzwerkanforderungen und die Sicherheit für die Lösung dedizierter Instanzen, einschließlich des mehrschichtigen Ansatzes zu den Funktionen, die einen sicheren physischen Zugriff, ein sicheres Netzwerk, sichere Endpunkte und sichere Cisco UC-Anwendungen ermöglichen.

Sicherheitsübersicht: Sicherheit in Ebenen

Dedizierte Instanz verwendet einen ebenen Sicherheitsansatz. Die Ebenen umfassen:

  • Physischer Zugriff

  • Netzwerk

  • Endpunkte

  • UC-Anwendungen

In den folgenden Abschnitten wird die Sicherheitsschicht in Bereitstellungen dedizierter Instanzen beschrieben.

Physische Sicherheit

Es ist wichtig, die physische Sicherheit für die Standorte der Equinix Meet-Me-Room und die Cisco Dedicated Instance Data Center-Einrichtungen zu gewährleisten. Wenn die physische Sicherheit in Frage kommt, können einfache Angriffe wie Dienstunterbrechungen durch Herunterfahren der Stromversorgung für die Kunden-Switches ausgelöst werden. Mit physischem Zugriff können Angreifer Zugriff auf Servergeräte erhalten, Passwörter zurücksetzen und Zugriff auf Switches erlangen. Der physische Zugriff ermöglicht auch komplexere Angriffen wie Man-in-the-Middle-Angriffen. Deshalb ist die zweite Sicherheitsschicht, die Netzwerksicherheit, von entscheidender Bedeutung.

Selbstverschlüsselungslaufwerke werden in Rechenzentren dedizierter Instanzen verwendet, die UC-Anwendungen hosten.

Weitere Informationen über allgemeine Sicherheitspraktiken finden Sie in der Dokumentation unter dem folgenden Speicherort: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.htmldefiniert.

Netzwerksicherheit

Partner müssen sicherstellen, dass alle Netzwerkelemente in der Infrastruktur der dedizierten Instanz (die über Equinix verbunden wird) gesichert sind. Die Verantwortung des Partners liegt in der Verantwortung, die best Practices für die Sicherheit zu gewährleisten, wie z. B.:

  • VLAN für Sprache und Daten trennen

  • Aktivieren Sie port security (Portsicherheit), wodurch die Anzahl der pro Port zulässigen MAC-Adressen begrenzt wird, ohne dass die CAM-Tabelle umfinget.

  • IP-Quell-Schutz vor spoofen IP-Adressen

  • Dynamic ARP Inspection (DAI) prüft das Address Resolution Protocol (ARP) und den verwendenden ARP (GARP) auf Verstöße (gegen ARP-Spoofing)

  • 802. beschränkt1x den Netzwerkzugriff auf die Authentifizierung von Geräten auf zugewiesenen VLANs (Telefone unterstützen 802.1x)

  • Konfiguration der Dienstqualität (QoS) für die entsprechende Markierung von Sprachpaketen

  • Firewall-Portkonfigurationen zum Blockieren von anderem Datenverkehr

Endpunktsicherheit

Cisco-Endpunkte unterstützen Standardsicherheitsfunktionen wie signierte Firmware, Secure Boot (ausgewählte Modelle), vom Hersteller installierte Zertifikate (MIC) und signierte Konfigurationsdateien, die ein bestimmtes Sicherheitsniveau für Endpunkte bieten.

Zusätzlich kann ein Partner oder Kunde zusätzliche Sicherheitsmaßnahmen aktivieren, wie z. B.:

  • Verschlüsseln von IP-Telefondiensten (über HTTPS) für Dienste wie Extension Mobility

  • Ausgabe von lokal wichtigen Zertifikaten (LSCs) von der Proxyfunktion der Zertifizierungsstelle (CAPF) oder einer öffentlichen Zertifizierungsstelle (CA)

  • Konfigurationsdateien verschlüsseln

  • Medien und Signalisierung verschlüsseln

  • Deaktivieren Sie diese Einstellungen, wenn sie nicht verwendet werden: PC-Port, PC-Sprach-VLAN-Zugriff, Telefon-ARP, Webzugriff, Schaltfläche "Einstellungen", SSH, Konsole

Durch die Implementierung von Sicherheitsmechanismen in der dedizierten Instanz werden Identitätsdiebstahl von Telefonen und dem Unified CM-Server, Datenmanipulationen und Manipulation von Anrufsignalisierung/ Medienstream-Manipulation verhindert.

Dedizierte Instanz über dem Netzwerk:

  • Richtet authentifizierte Kommunikationsstreams ein und verwaltet diese

  • Signiert Dateien digital, bevor die Datei auf das Telefon übertragen wird

  • Verschlüsselt Medienstreams und Anrufsignalisierung zwischen den Cisco Unified-Telefonen

Standard-Sicherheitseinrichtung

Die Standardmäßige Sicherheit umfasst folgende automatische Sicherheitsfunktionen für Cisco Unified-Telefone:

  • Signieren der Telefonkonfigurationsdateien

  • Unterstützung für Dateiverschlüsselung der Telefonkonfigurationsdatei

  • HTTPS mit Tomcat und anderen Webdiensten (MIDlets)

Für Unified CM Version 8.0 höher sind diese Sicherheitsfunktionen standardmäßig verfügbar, ohne den CTL-Client (Certificate Trust List) ausführen zu müssen.

Vertrauensverifizierungsdienst

Da es in einem Netzwerk eine große Anzahl von Telefonen gibt und IP-Telefone nur über eingeschränkten Speicher verfügen, agiert Cisco Unified CM als Vertrauensspeicher auf dem Ferncomputer über den Trust Verification Service (TVS), sodass nicht auf jedem Telefon ein Zertifikatsspeicher platziert werden muss. Die Cisco IP-Telefone kontaktieren den TVS-Server zur Überprüfung, da sie eine Signatur oder ein Zertifikat nicht über CTL- oder ITL-Dateien verifizieren können. Ein zentrales Trust Store ist einfacher zu verwalten als das Speichern von Trust Store auf Cisco Unified IP-Telefon.

TVS ermöglicht es Cisco Unified IP-Telefonen, Anwendungsserver wie EM-Dienste, Verzeichnis und MIDlet während der HTTPS-Erstellung zu authentifizieren.

Anfängliche Vertrauensliste

Die Initial Trust List (ITL)-Datei wird für die anfängliche Sicherheit verwendet, damit die Endpunkte Cisco Unified CM vertrauen können. ITL benötigt keine ausdrücklich aktivierten Sicherheitsfunktionen. Die ITL-Datei wird bei der Installation des Clusters automatisch erstellt. Der private Schlüssel des Unified CM Trivial File Transfer Protocol (TFTP) wird für die Anmeldung der ITL-Datei verwendet.

Wenn sich Cisco Unified CM-Cluster oder -Server in einem nicht sicheren Modus befindet, wird die ITL-Datei auf jedes unterstützte Cisco IP-Telefon heruntergeladen. Ein Partner kann den Inhalt einer ITL-Datei mit dem CLI-Befehl admin:show itl anzeigen.

Cisco IP-Telefone benötigen die ITL-Datei, um die folgenden Aufgaben auszuführen:

  • Kommunizieren Sie sicher mit CAPF, einer Voraussetzung für die Unterstützung der Konfigurationsdateiverschlüsselung

  • Konfigurationsdateisignatur authentifizieren

  • Authentifizieren Sie Anwendungsserver wie EM-Dienste, Verzeichnis und MIDlet während der HTTPS-Erstellung mit TVS

Cisco CTL

Die Geräte-, Datei- und Signalisierungsauthentifizierung ist auf der Erstellung der Certificate Trust List (CTL)-Datei angewiesen, die erstellt wird, wenn der Partner oder Kunde den Cisco Certificate Trust List Client installiert und konfiguriert.

Die CTL-Datei enthält Einträge für die folgenden Server oder Sicherheitstokens:

  • SAST (System Administrator Security Token)

  • Cisco CallManager und Cisco TFTP-Dienste, die auf demselben Server ausgeführt werden

  • Proxy-Funktion der Zertifizierungsstelle (Certificate Authority Proxy Function, CAPF)

  • TFTP-Server

  • ASA-Firewall

Die CTL-Datei enthält für jeden Server ein Serverzertifikat, einen öffentlichen Schlüssel, eine Seriennummer, Signatur, den Ausstellernamen, den Betreffnamen, die Serverfunktion, den DNS-Namen und die IP-Adresse.

Die Telefonsicherheit mit CTL bietet folgende Funktionen:

  • Authentifizierung von heruntergeladenen TFTP-Dateien (Konfiguration, Land, Klingelliste, so weiter) mit einem Signierschlüssel

  • Verschlüsselung von TFTP-Konfigurationsdateien mit einem Signierschlüssel

  • Verschlüsselte Anrufsignalisierung für IP-Telefone

  • Verschlüsseltes Anrufaudio (Medien) für IP-Telefone

Sicherheit für Cisco IP-Telefone in dedizierter Instanz

Dedizierte Instanz ermöglicht Endpunktregistrierung und Anrufverarbeitung. Die Signalisierung zwischen Cisco Unified CM und Endpunkten basiert auf Secure Skinny Client Control Protocol (SCCP) oder Session Initiation Protocol (SIP) und kann mit Transport Layer Security (TLS) verschlüsselt werden. Die Medien von/zu den Endpunkten basieren auf RtP (Real-Time Transport Protocol) und können auch mit Secure RTP (SRTP) verschlüsselt werden.

Das Aktivieren des gemischten Modus in Unified CM ermöglicht die Verschlüsselung der Signalisierung und des Mediendatenverkehrs von und zu den Cisco-Endpunkten.

Sichere UC-Anwendungen

Aktivieren des gemischten Modus in dedizierter Instanz

Der gemischte Modus ist in der dedizierten Instanz standardmäßig nicht aktiviert.

Das Aktivieren des gemischten Modus in dedizierter Instanz ermöglicht die Durchführung einer Verschlüsselung der Signalisierung und des Mediendatenverkehrs von und zu den Cisco-Endpunkten.

In Cisco Unified CM Version 12.5(1) wurde für Jabber und Webex-Clients eine neue Option zur Aktivierung der Signalisierung und Medien basierend auf SIP OAuth anstelle des gemischten Modus/CTL hinzugefügt. Daher können in Unified CM Version 12.5(1) SIP OAuth und SRTP zum Aktivieren der Verschlüsselung für Signalisierung und Medien für Jabber- oder Webex-Clients verwendet werden. Die Aktivierung des gemischten Modus ist zu diesem Zeitpunkt für Cisco IP-Telefone und andere Cisco-Endpunkte weiterhin erforderlich. Es gibt einen Plan, um die Unterstützung für SIP OAuth in einer zukünftigen Version bei den Endpunkten 7800/8800 hinzuzufügen.

Sicherheit für Sprachnachrichten

Cisco Unity Connection über den TLS-Port eine Verbindung zu Unified CM. Wenn der Gerätesicherheitsmodus nicht sicher ist, Cisco Unity Connection über den SCCP-Port eine Verbindung zu Unified CM.

Um die Sicherheit für Unified CM Voice-Messaging-Ports und Cisco Unity-Geräte zu konfigurieren, auf denen SCCP oder Cisco Unity Connection-Geräte ausgeführt werden, kann ein Partner einen sicheren Gerätesicherheitsmodus für den Port auswählen. Wenn Sie einen authentifizierten Voicemail-Port auswählen, wird eine TLS-Verbindung geöffnet, die die Geräte über einen Mutual Certificate Exchange authentifiziert (jedes Gerät akzeptiert das Zertifikat des anderen Geräts). Wenn Sie einen verschlüsselten Voicemail-Port wählen, authentifiziert das System zunächst die Geräte und sendet dann verschlüsselte Sprachstreams zwischen den Geräten.

Weitere Informationen zu Den Security Voice Messaging-Ports finden Sie unter: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Sicherheit für SRST, Trunks, Gateways, CUBE/SBC

Ein Cisco Unified survivable Remote Site Telephony (SRST)-fähiges Gateway bietet eingeschränkte Anrufverarbeitungsaufgaben, wenn die Cisco Unified CM auf dedizierter Instanz den Anruf nicht durchführen kann.

Sichere SRST-fähige Gateways enthalten ein selbstsigniertes Zertifikat. Nachdem ein Partner SRST-Konfigurationsaufgaben in Unified CM Administration ausführt, verwendet Unified CM eine TLS-Verbindung, um sich beim Zertifikatanbieterdienst im SRST-aktivierten Gateway zu authentifizieren. Unified CM ruft dann das Zertifikat vom SRST-aktivierten Gateway ab und fügt das Zertifikat zur Unified CM-Datenbank hinzu.

Nachdem der Partner die abhängigen Geräte in Unified CM Administration zurückgesetzt hat, fügt der TFTP-Server das SRST-fähige Gatewayzertifikat zur Telefondatei cnf.xml hinzu und sendet die Datei an das Telefon. Ein sicheres Telefon verwendet dann eine TLS-Verbindung, um mit dem SRST-fähigen Gateway zu interagieren.

Es wird empfohlen, sichere Trunks für den Anruf von Cisco Unified CM zum Gateway für ausgehende PSTN-Anrufe oder Traversing durch das Cisco Unified Border Element (CUBE) zu verwenden.

SIP-Trunks können sichere Anrufe sowohl für die Signalisierung als auch für Medien unterstützen; TLS bietet Signalisierungsverschlüsselung und SRTP Medienverschlüsselung.

Absicherung der Kommunikation zwischen Cisco Unified CM und CUBE

Für eine sichere Kommunikation zwischen Cisco Unified CM und CUBE müssen Partner/Kunden entweder selbstsignierte oder CA-signierte Zertifikate verwenden.

Für selbstsignierte Zertifikate:

  1. CUBE und Cisco Unified CM erzeugen selbstsignierte Zertifikate

  2. CUBE exportiert Zertifikat in Cisco Unified CM

  3. Cisco Unified CM exportiert Zertifikat an CUBE

Für CA-signierte Zertifikate:

  1. Client generiert ein Schlüsselpaar und sendet eine Zertifikatsignieranforderung (CSR) an die Zertifizierungsstelle (CA).

  2. Die ZERTIFIZIERUNGsstelle signiert sie mit ihrem privaten Schlüssel und erstellt ein Identitätszertifikat.

  3. Der Client installiert die Liste der vertrauenswürdigen CA-Stamm- und Vertrauenswürdigkeitszertifikate sowie das Identitätszertifikat

Sicherheit für Remote-Endpunkte

Mit Mobilen und Remote Access (MRA)-Endpunkten werden Signalisierung und Medien immer zwischen den MRA-Endpunkten und den Expressway verschlüsselt. Wenn das Interactive Connectivity Connectivity Connectivity (ICE)-Protokoll für MRA-Endpunkte verwendet wird, ist eine Signalisierung und Medienverschlüsselung der MRA-Endpunkte erforderlich. Die Verschlüsselung der Signalisierung und der Medien zwischen Expressway-C und den internen Unified CM-Servern, internen Endpunkten oder anderen internen Geräten erfordert jedoch einen gemischten Modus oder SIP OAuth.

Cisco Expressway bietet sichere Firewall-Traversal- und leitungsseitige Unterstützung für Unified CM-Registrierungen. Unified CM bietet die Anrufsteuerung für mobile und lokale Endpunkte. Die Signalisierung durchquert die Expressway-Lösung zwischen dem Remote-Endpunkt und Unified CM. Die Medien durchqueren die Expressway Lösung und werden direkt zwischen Endpunkten umvermittelt. Alle Medien werden zwischen dem Expressway-C und dem mobilen Endpunkt verschlüsselt.

Jede MRA-Lösung erfordert Expressway und Unified CM mit MRA-kompatiblen Soft-Clients und/oder festen Endpunkten. Die Lösung kann optional den IM- und Presence-Dienst und Unity Connection umfassen.

Protokollzusammenfassung

In der folgenden Tabelle werden die Protokolle und die zugehörigen Dienste aufgeführt, die in der Unified CM-Lösung verwendet werden.

Tabelle 1: Protokolle und zugehörige Dienste

Protokoll

Sicherheit

Dienst

SIP:

TLS

Sitzungseinrichtung: Registrieren, Einladen usw.

HTTPS

TLS

Anmeldung, Bereitstellung/Konfiguration, Verzeichnis, Visual Voicemail

Medien

SRTP

Medien: Audio, Video, Teilen von Inhalten

XMPP

TLS

Instant Messaging, Präsenz, Verbund

Weitere Informationen zur MRA-Konfiguration finden Sie unter: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Konfigurationsoptionen

Die dedizierte Instanz bietet dem Partner flexibilität, Dienste für Endbenutzer durch vollständige Kontrolle der Konfiguration von Tag zwei anzupassen. Aus diesem Grund ist der Partner allein für die ordnungsgemäße Konfiguration des Dedizierten Instanzdienstes für die Umgebung des Endbenutzers verantwortlich. Dies umfasst, aber nicht beschränkt auf:

  • Bei der Auswahl sicherer/unsicherer Anrufe, sicherer/unsicherer Protokolle wie SIP/sSIP, http/https usw. sind die damit verbundenen Risiken zu verstehen.

  • Für alle MAC-Adressen, die in der dedizierten Instanz nicht als SECURE-SIP konfiguriert sind, kann ein Angreifer eine SIP-Register-Nachricht mit dieser MAC-Adresse senden und SIP-Anrufe tätigen, was zu einem Gebührenbetrug führt. Die jeweiligen Anforderungen sind, dass der Angreifer sein SIP-Gerät/ seine -Software ohne Autorisierung für die dedizierte Instanz registrieren kann, wenn er die MAC-Adresse eines Geräts kennt, das in einer dedizierten Instanz registriert ist.

  • Expressway-E-Anrufrichtlinien müssen Transformations- und Suchregeln konfiguriert werden, um Gebührenbetrug zu verhindern. Weitere Informationen zur Verhinderung von Gebührenbetrug mit Expressways finden Sie unter Sicherheit Expressway C und Expressway-E des Collaboration SRND.

  • Konfiguration des Wählplans, um sicherzustellen, dass die Benutzer nur erlaubte Ziele anwählen können, z. B. eine nationale/internationale Rufnummernwahl untersagen, Notrufe ordnungsgemäß um geroutet werden usw. Weitere Informationen zum Anwenden von Einschränkungen mithilfe von Wählplan finden Sie im Abschnitt Wählplan von Collaboration SRND.

Zertifikatsanforderungen für sichere Verbindungen in dedizierter Instanz

Für eine dedizierte Instanz stellt Cisco die Domäne zur Verfügung und signiert alle Zertifikate für die UC-Anwendungen mithilfe einer öffentlichen Zertifizierungsstelle (CA).

Dedizierte Instanz – Portnummern und Protokolle

In den folgenden Tabellen werden die Ports und Protokolle beschrieben, die für die dedizierte Instanz unterstützt werden. Ports, die für einen bestimmten Kunden verwendet werden, hängen von der Bereitstellung und Lösung des Kunden ab. Protokolle hängen von den Einstellungen des Kunden (SCCP im Vergleich zu SIP) und vorhandenen lokalen Geräten und vom Sicherheitsniveau ab, um zu bestimmen, welche Ports in jeder Bereitstellung verwendet werden sollen.

Dedizierte Instanz – Kundenports

Die für Kunden verfügbaren Ports zwischen dem Kunden-Standort und der dedizierten Instanz sind in Tabelle 1 Dedizierte Kundenports für Instanzen aufgeführt. Alle unten aufgeführten Ports sind für Kundenverkehr über die Peering-Links.


Der SNMP-Port wird nur für die CER-Funktionalität unterstützt, nicht jedoch für Überwachungstools von Drittanbietern.


Ports im Bereich 5063 bis 5080 sind von Cisco für andere Cloud-Integrationen reserviert, Partner- oder Kundenadministratoren empfehlen, diese Ports nicht bei ihrer Konfiguration zu verwenden.

Tabelle 2: Dedizierte Kundenports der Instanz

Protokoll

TCP/UCP

Quelle

Ziel

Quellport

Zielport

Zweck

SSH

TCP

Client

UC-Anwendungen

Größer als 1023

22

Administration

LDAP

TCP

UC-Anwendungen

Externes Verzeichnis

Größer als 1023

389

Directory Sync mit Kunden LDAP

HTTPS

TCP

Browser

UC-Anwendungen

Größer als 1023

443

Webzugriff für Self-Care- und administrative Schnittstellen

LDAP (SICHER)

TCP

UC-Anwendungen

Externes Verzeichnis

Größer als 1023

636

Directory Sync mit Kunden LDAP

SCCP

TCP

Endgeräte

Unified CM, CUCxn

Größer als 1023

2000

Anrufsignalisierung

SCCP

TCP

Unified CM

Unified CM, Gateway

Größer als 1023

2000

Anrufsignalisierung

SCCP (SICHER)

TCP

Endgeräte

Unified CM, CUCxn

Größer als 1023

2443

Anrufsignalisierung

SCCP (SICHER)

TCP

Unified CM

Unified CM, Gateway

Größer als 1023

2443

Anrufsignalisierung

Überprüfung der Vertrauenswürdigkeit

TCP

Endgeräte

Unified CM

Größer als 1023

2445

Bereitstellung eines Vertrauensverifizierungsdiensts für Endpunkte

CTI

TCP

Endgeräte

Unified CM

Größer als 1023

2748

Verbindung zwischen CTI-Anwendungen (JTAPI/TSP) und CTIManager

Sichere CTI

TCP

Endgeräte

Unified CM

Größer als 1023

2749

Sichere Verbindung zwischen CTI-Anwendungen (JTAPI/TSP) und CTIManager

LDAP Globaler Katalog

TCP

UC-Anwendungen

Externes Verzeichnis

Größer als 1023

3268

Directory Sync mit Kunden LDAP

LDAP Globaler Katalog

TCP

UC-Anwendungen

Externes Verzeichnis

Größer als 1023

3269

Directory Sync mit Kunden LDAP

CAPF-Dienst

TCP

Endgeräte

Unified CM

Größer als 1023

3804

Proxy-Funktion der Zertifizierungsstelle (CAPF) – Überwachungsport für die Ausgabe von lokal wichtigen Zertifikaten (LSC) an IP-Telefone

SIP:

TCP

Endgeräte

Unified CM, CUCxn

Größer als 1023

5060

Anrufsignalisierung

SIP:

TCP

Unified CM

Unified CM, Gateway

Größer als 1023

5060

Anrufsignalisierung

SIP (SICHER)

TCP

Endgeräte

Unified CM

Größer als 1023

5061

Anrufsignalisierung

SIP (SICHER)

TCP

Unified CM

Unified CM, Gateway

Größer als 1023

5061

Anrufsignalisierung

SIP (OAUTH)

TCP

Endgeräte

Unified CM

Größer als 1023

5090

Anrufsignalisierung

XMPP

TCP

Jabber-Client

Cisco IM&P

Größer als 1023

5222

Instant Messaging und Präsenz

HTTP

TCP

Endgeräte

Unified CM

Größer als 1023

6970

Konfiguration und Bilder werden auf Endpunkte heruntergeladen

HTTPS

TCP

Endgeräte

Unified CM

Größer als 1023

6971

Konfiguration und Bilder werden auf Endpunkte heruntergeladen

HTTPS

TCP

Endgeräte

Unified CM

Größer als 1023

6972

Konfiguration und Bilder werden auf Endpunkte heruntergeladen

HTTP

TCP

Jabber-Client

CUCxn

Größer als 1023

7080

Voicemail-Benachrichtigungen

HTTPS

TCP

Jabber-Client

CUCxn

Größer als 1023

7443

Sichere Voicemail-Benachrichtigungen

HTTPS

TCP

Unified CM

Unified CM

Größer als 1023

7501

Wird von Intercluster Lookup Service (ILS) für zertifikatbasierte Authentifizierung verwendet

HTTPS

TCP

Unified CM

Unified CM

Größer als 1023

7502

Wird von ILS für die passwortbasierte Authentifizierung verwendet

IMAP

TCP

Jabber-Client

CUCxn

Größer als 1023

7993

IMAP über TLS

HTTPS

TCP

Browser, Endpunkt

UC-Anwendungen

Größer als 1023

8443

Webzugriff für Self-Care- und administrative Schnittstellen, UDS

HTTPS

TCP

Prem

Unified CM

Größer als 1023

9443

Authentifizierte Kontaktsuche

Sicheres RTP/SRTP

UDP

Unified CM

Telefon

16384 bis 32767 *

16384 bis 32767 *

Medien (Audio) – Music On Hold, Annunciator, Software Conference Bridge (Offen basierend auf Anrufsignalisierung)

Sicheres RTP/SRTP

UDP

Telefon

Unified CM

16384 bis 32767 *

16384 bis 32767 *

Medien (Audio) – Music On Hold, Annunciator, Software Conference Bridge (Offen basierend auf Anrufsignalisierung)

ICMP

ICMP

Endgeräte

UC-Anwendungen

n / a

n / a

Ping

ICMP

ICMP

UC-Anwendungen

Endgeräte

n / a

n / a

Ping

* Bei bestimmten Sonderfällen kann eine größere Reichweite verwendet werden.

Dedizierte Instanz – OTT-Ports

Die folgende Liste von Ports kann von Kunden und Partnern für die Mobile- und Geräteeinrichtung Remote Access (MRA) verwendet werden:

Tabelle 3. Liste der Ports für OTT

Protokoll

TCP/UCP

Quelle

Ziel

Quellport

Zielport

Zweck

SICHERES SIP

TCP

Endgeräte

Expressway E

Größer als 1023

5061

Sichere SIP-Signalisierung für MRA-Registrierung und Anrufe

SICHERES SIP

TCP

Endpunkt/Server

Expressway E

Größer als 1023

5062

Sicheres SIP für B2B-Anrufe

SICHERES RTP/RTCP

UDP

Endpunkt/Server

Expressway E

Größer als 1023

36000&'96;59999

Sichere Medien für MRA- und B2B-Anrufe

HTTPS (SICHER)

TLS

Client

Expressway E

Größer als 1023

8443

CUCM UDS und CUCxn REST für MRA-Anrufe

XMLS

TLS

Client

Expressway E

Größer als 1023

5222

IM und Präsenz

TURN

UDP

ICE-Client

Expressway E

Größer als 1023

3478

ICE/STUN/TURN-Verhandlung

SICHERES RTP/RTCP

UPD

ICE-Client

Expressway E

Größer als 1023

24000-29999

MEDIEN FÜR ICE-Fallback DREHEN

Dedizierte Instanz – UCCX-Ports

Die folgende Liste von Ports kann von Kunden und Partnern für die UCCX-Konfiguration verwendet werden.

Tabelle 4: Cisco UCCX-Ports

Protokoll

TCP /UCP

Quelle

Ziel

Quellport

Zielport

Zweck

SSH

TCP

Client

UCCX

Größer als 1023

22

SFTP und SSH

Informix

TCP

Client oder Server

UCCX

Größer als 1023

1504

Unified CCX-Datenbankport

SIP:

UDP und TCP

SIP-SIP-SIP- oder MCRP-Server

UCCX

Größer als 1023

5065

Kommunikation mit remoten CFS- und MCRP-Knoten

XMPP

TCP

Client

UCCX

Größer als 1023

5223

Sichere XMPP-Verbindung zwischen dem Finesse-Server und benutzerdefinierten Anwendungen von Drittanbietern

CVD

TCP

Client

UCCX

Größer als 1023

6999

Editor zu CCX-Anwendungen

HTTPS

TCP

Client

UCCX

Größer als 1023

7443

SichereCOMPUTER-Verbindung zwischen Finesse-Server und Agenten- und Supervisor-Desktops für die Kommunikation über HTTPS

HTTP

TCP

Client

UCCX

Größer als 1023

8080

Clients für Live-Datenberichte verbinden sich mit socket. IO-Server

HTTP

TCP

Client

UCCX

Größer als 1023

8081

Client-Browser, der versucht, auf Cisco Unified Intelligence Center-Weboberfläche zu zugreifen

HTTP

TCP

Client

UCCX

Größer als 1023

8443

Admin-GUI, RTMT, DB-Zugriff über SOAP

HTTPS

TCP

Client

UCCX

Größer als 1023

8444

Cisco Unified Intelligence Center-Webschnittstelle

HTTPS

TCP

Browser- und REST-Clients

UCCX

Größer als 1023

8445

Sicherer Port für Finesse

HTTPS

TCP

Client

UCCX

Größer als 1023

8447

HTTPS – Unified Intelligence Center Online-Hilfe

HTTPS

TCP

Client

UCCX

Größer als 1023

8553

Komponenten mit Single Sign-On (SSO) greifen auf diese Schnittstelle zu, um den Betriebsstatus von Cisco IdS zu erfahren.

HTTP

TCP

Client

UCCX

Größer als 1023

9080

Clients, die auf HTTP-Trigger oder Dokumente/Eingaben/Grammatiken/Live-Daten zugreifen wollen.

HTTPS

TCP

Client

UCCX

Größer als 1023

9443

Sicherer Port für die Antwort auf Clients, die auf HTTPS-Trigger zugreifen wollen

TCP

TCP

Client

UCCX

Größer als 1023

12014

Dies ist der Port, an dem Clients mit Live-Datenberichten eine Verbindung mit einem Socket herstellen können. IO-Server

TCP

TCP

Client

UCCX

Größer als 1023

12015

Dies ist der Port, an dem Clients mit Live-Datenberichten eine Verbindung mit einem Socket herstellen können. IO-Server

CTI

TCP

Client

UCCX

Größer als 1023

12028

CTI-Client von Drittanbietern an CCX

RTP (Medien)

TCP

Endgeräte

UCCX

Größer als 1023

Größer als 1023

Der Medienport wird bei Bedarf dynamisch geöffnet.

RTP (Medien)

TCP

Client

Endgeräte

Größer als 1023

Größer als 1023

Der Medienport wird bei Bedarf dynamisch geöffnet.

Clientsicherheit

Sichern von Jabber und Webex mit SIP OAuth

Jabber- und Webex-Clients werden über ein OAuth-Token anstatt über ein lokal bedeutendes Zertifikat (LSC) authentifiziert, das keine Proxyfunktion der Zertifizierungsstelle (CAPF) erfordert (auch für MRA). Sip OAuth arbeiten mit oder ohne gemischten Modus wurde in Cisco Unified CM 12.5(1), Jabber 12.5 und Expressway X12.5 eingeführt.

In Cisco Unified CM 12.5 verfügen wir über eine neue Option im Telefonsicherheitsprofil, mit der die Verschlüsselung ohne LSC/CAPF unter Verwendung von single Transport Layer Security (TLS) + OAuth Token in SIP REGISTER ermöglicht wird. Expressway-C-Knoten verwenden die ADMINISTRATIVE XML Web Service (AXL)-API, um den Cisco Unified CM über den SN/SAN in ihrem Zertifikat zu informieren. Cisco Unified CM verwendet diese Informationen, um das Exp-C-Zertifikat zu validieren, wenn eine Verbindung Mutual TLS wird.

SIP OAuth ermöglicht Medien- und Signalisierungsverschlüsselung ohne ein Endpunktzertifikat (LSC).

Cisco Jabber verwendet kurzlebige Ports und sichere Ports 6971 und 6972 über HTTPS-Verbindung zum TFTP-Server, um die Konfigurationsdateien herunterzuladen. Port 6970 ist ein nicht sicherer Port für den Download über HTTP.

Weitere Details zur Konfiguration der SIP OAuth: SIP OAuth-Modus.

DNS-Anforderungen

Für dedizierte Instanz stellt Cisco den FQDN Dienst in jeder Region mit dem folgenden Format zur Verfügung <customer><region>. wxc-di.webex.com, z. B. xyz.amer.wxc-di.webex.com .

Der Wert "Kunde" wird vom Administrator als Teil des FIRST Time Setup Wizard (FTSW) bereitgestellt. Weitere Informationen finden Sie unter Aktivierung des dedizierten Instanzdiensts.

DNS-Einträge für FQDN müssen vom internen DNS-Server des Kunden zur Unterstützung von lokalen Geräten, die sich mit der dedizierten Instanz verbinden, auflösbar sein. Um eine Lösung zu vereinfachen, muss der Kunde einen bedingten Forwarder für diese FQDN auf dem DNS-Server konfigurieren, der auf den DNS-Dienst der dedizierten Instanz verweisen soll. Der DNS-Dienst der dedizierten Instanz ist regional und kann über das Peering zur dedizierten Instanz erreicht werden. Dabei werden die folgenden IP-Adressen verwendet, die in der folgenden Tabelle Aufgeführt sind Dedizierte Dns-Instanz DNS-Dienst-IP-Adresse.

Tabelle 5: DEDIZIERTE DNS-Dienst-IP-Adresse der Instanz

Region/DC

DEDIZIERTE DNS-Dienst-IP-Adresse der Instanz

Beispiel für eine bedingte Weiterleitung

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

SÜNDE

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


Die Ping-Option ist für die oben genannten DNS-Server-IP-Adressen aus Sicherheitsgründen deaktiviert.

Geräte können sich über die Peering-Links nicht über das interne Kundennetzwerk bei der dedizierten Instanz registrieren, bis die bedingte Weiterleitung besteht. Bedingte Weiterleitung ist für die Registrierung über Mobile and Remote Access (MRA) nicht erforderlich, da alle zur Unterstützung von MRA erforderlichen externen DNS-Einträge von Cisco vorab bereitgestellt werden.

Wenn Sie die Webex-Anwendung als Ihren Anruf-Soft-Client auf dedizierter Instanz verwenden, muss im Control Hub für die Voice Service Domain (VSD) jeder Region ein UC Manager-Profil konfiguriert werden. Weitere Informationen finden Sie in den UC Manager-Profilen Cisco Webex Control Hub. Die Webex-Anwendung ist in der Lage, den Edge des Kunden Expressway ohne Eingriffe des Endbenutzers automatisch zu lösen.


Die Sprachdienstdomäne wird dem Kunden als Teil des Partnerzugriffsdokuments bereitgestellt, sobald die Dienstaktivierung abgeschlossen ist.