Netzwerkanforderungen für dedizierte Instanz

Webex Calling Dedizierte Instanz ist Teil des Cisco Cloud Calling-Portfolio, das durch die Cisco Unified Communications Manager(CUCM) (Cisco Unified CM) Zusammenarbeitstechnologie unterstützt wird. Dedizierte Instanz bietet Sprach-, Video-, Messaging- und Mobilitätslösungen mit den Funktionen und Vorteilen von Cisco IP-Telefonen, Mobilgeräten und Desktop-Clients, die sich sicher mit der dedizierten Instanz verbinden.

Dieser Artikel richtet sich an Netzwerkadministratoren, insbesondere Firewall- und Proxysicherheitsadministratoren, die die dedizierte Instanz in ihrer Organisation verwenden möchten.

Sicherheitsübersicht: Sicherheit in Ebenen

Dedizierte Instanz verwendet einen ebenen Sicherheitsansatz. Die Ebenen umfassen:

  • Physischer Zugriff

  • Netzwerk

  • Endpunkte

  • UC-Anwendungen

In den folgenden Abschnitten wird die Sicherheitsschicht in Bereitstellungen dedizierter Instanzen beschrieben.

Physische Sicherheit

Es ist wichtig, die physische Sicherheit für die Standorte der Equinix Meet-Me-Room und die Cisco Dedicated Instance Data Center-Einrichtungen zu gewährleisten. Wenn die physische Sicherheit in Frage kommt, können einfache Angriffe wie Dienstunterbrechungen durch Herunterfahren der Stromversorgung für die Kunden-Switches ausgelöst werden. Mit physischem Zugriff können Angreifer Zugriff auf Servergeräte erhalten, Passwörter zurücksetzen und Zugriff auf Switches erlangen. Der physische Zugriff ermöglicht auch komplexere Angriffen wie Man-in-the-Middle-Angriffen. Deshalb ist die zweite Sicherheitsschicht, die Netzwerksicherheit, von entscheidender Bedeutung.

Selbstverschlüsselungslaufwerke werden in Rechenzentren dedizierter Instanzen verwendet, die UC-Anwendungen hosten.

Weitere Informationen zu allgemeinen Sicherheitspraktiken finden Sie in der Dokumentation unter https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Netzwerksicherheit

Partner müssen sicherstellen, dass alle Netzwerkelemente in der Infrastruktur der dedizierten Instanz (die über Equinix verbunden wird) gesichert sind. Die Verantwortung des Partners liegt in der Verantwortung, die best Practices für die Sicherheit zu gewährleisten, wie z. B.:

  • VLAN für Sprache und Daten trennen

  • Aktivieren Sie port security (Portsicherheit), wodurch die Anzahl der pro Port zulässigen MAC-Adressen begrenzt wird, ohne dass die CAM-Tabelle umfinget.

  • IP-Quell-Schutz vor spoofen IP-Adressen

  • Dynamic ARP Inspection (DAI) prüft das Address Resolution Protocol (ARP) und den verwendenden ARP (GARP) auf Verstöße (gegen ARP-Spoofing)

  • 802. beschränkt1x den Netzwerkzugriff auf die Authentifizierung von Geräten auf zugewiesenen VLANs (Telefone unterstützen 802.1x)

  • Konfiguration der Dienstqualität (QoS) für die entsprechende Markierung von Sprachpaketen

  • Firewall-Portkonfigurationen zum Blockieren von anderem Datenverkehr

Sicherheit der Endpunkte

Cisco-Endpunkte unterstützen Standardsicherheitsfunktionen wie signierte Firmware, Secure Boot (ausgewählte Modelle), vom Hersteller installierte Zertifikate (MIC) und signierte Konfigurationsdateien, die ein bestimmtes Sicherheitsniveau für Endpunkte bieten.

Zusätzlich kann ein Partner oder Kunde zusätzliche Sicherheitsmaßnahmen aktivieren, wie z. B.:

  • Verschlüsseln von IP-Telefondiensten (über HTTPS) für Dienste wie Extension Mobility

  • Ausgabe von lokal wichtigen Zertifikaten (LSCs) von der Proxyfunktion der Zertifizierungsstelle (CAPF) oder einer öffentlichen Zertifizierungsstelle (CA)

  • Konfigurationsdateien verschlüsseln

  • Medien und Signalisierung verschlüsseln

  • Deaktivieren Sie diese Einstellungen, wenn sie nicht verwendet werden: PC-Port, PC-Sprach-VLAN-Zugriff, Telefon-ARP, Webzugriff, Schaltfläche "Einstellungen", SSH, Konsole

Durch die Implementierung von Sicherheitsmechanismen in der dedizierten Instanz werden Identitätsdiebstahl von Telefonen und dem Unified CM-Server, Datenmanipulationen und Manipulation von Anrufsignalisierung/ Medienstream-Manipulation verhindert.

Dedizierte Instanz über dem Netzwerk:

  • Richtet authentifizierte Kommunikationsstreams ein und verwaltet diese

  • Signiert Dateien digital, bevor die Datei auf das Telefon übertragen wird

  • Verschlüsselt Medienstreams und Anrufsignalisierung zwischen den Cisco Unified-Telefonen

Standardsicherheitseinrichtung

Die Standardmäßige Sicherheit umfasst folgende automatische Sicherheitsfunktionen für Cisco Unified-Telefone:

  • Signieren der Telefonkonfigurationsdateien

  • Unterstützung für Dateiverschlüsselung der Telefonkonfigurationsdatei

  • HTTPS mit Tomcat und anderen Webdiensten (MIDlets)

Für Unified CM Version 8.0 höher sind diese Sicherheitsfunktionen standardmäßig verfügbar, ohne den CTL-Client (Certificate Trust List) ausführen zu müssen.

Vertrauensverifizierungsdienst

Da es in einem Netzwerk eine große Anzahl von Telefonen gibt und IP-Telefone nur über eingeschränkten Speicher verfügen, agiert Cisco Unified CM als Vertrauensspeicher auf dem Ferncomputer über den Trust Verification Service (TVS), sodass nicht auf jedem Telefon ein Zertifikatsspeicher platziert werden muss. Die Cisco IP-Telefone kontaktieren den TVS-Server zur Überprüfung, da sie eine Signatur oder ein Zertifikat nicht über CTL- oder ITL-Dateien verifizieren können. Ein zentrales Trust Store ist einfacher zu verwalten als das Speichern von Trust Store auf Cisco Unified IP-Telefon.

TVS ermöglicht es Cisco Unified IP-Telefonen, Anwendungsserver wie EM-Dienste, Verzeichnis und MIDlet während der HTTPS-Erstellung zu authentifizieren.

Ursprüngliche Vertrauensliste

Die Initial Trust List (ITL)-Datei wird für die anfängliche Sicherheit verwendet, damit die Endpunkte Cisco Unified CM vertrauen können. ITL benötigt keine ausdrücklich aktivierten Sicherheitsfunktionen. Die ITL-Datei wird bei der Installation des Clusters automatisch erstellt. Der private Schlüssel des Unified CM Trivial File Transfer Protocol (TFTP) wird für die Anmeldung der ITL-Datei verwendet.

Wenn sich Cisco Unified CM-Cluster oder -Server in einem nicht sicheren Modus befindet, wird die ITL-Datei auf jedes unterstützte Cisco IP-Telefon heruntergeladen. Ein Partner kann den Inhalt einer ITL-Datei mit dem CLI-Befehl admin:show itl anzeigen.

Cisco IP-Telefone benötigen die ITL-Datei, um die folgenden Aufgaben auszuführen:

  • Kommunizieren Sie sicher mit CAPF, einer Voraussetzung für die Unterstützung der Konfigurationsdateiverschlüsselung

  • Konfigurationsdateisignatur authentifizieren

  • Authentifizieren Sie Anwendungsserver wie EM-Dienste, Verzeichnis und MIDlet während der HTTPS-Erstellung mit TVS

Cisco CTL

Die Geräte-, Datei- und Signalisierungsauthentifizierung ist auf der Erstellung der Certificate Trust List (CTL)-Datei angewiesen, die erstellt wird, wenn der Partner oder Kunde den Cisco Certificate Trust List Client installiert und konfiguriert.

Die CTL-Datei enthält Einträge für die folgenden Server oder Sicherheitstokens:

  • SAST (System Administrator Security Token)

  • Cisco CallManager und Cisco TFTP-Dienste, die auf demselben Server ausgeführt werden

  • Proxy-Funktion der Zertifizierungsstelle (Certificate Authority Proxy Function, CAPF)

  • TFTP-Server

  • ASA-Firewall

Die CTL-Datei enthält für jeden Server ein Serverzertifikat, einen öffentlichen Schlüssel, eine Seriennummer, Signatur, den Ausstellernamen, den Betreffnamen, die Serverfunktion, den DNS-Namen und die IP-Adresse.

Die Telefonsicherheit mit CTL bietet folgende Funktionen:

  • Authentifizierung von heruntergeladenen TFTP-Dateien (Konfiguration, Land, Klingelliste, so weiter) mit einem Signierschlüssel

  • Verschlüsselung von TFTP-Konfigurationsdateien mit einem Signierschlüssel

  • Verschlüsselte Anrufsignalisierung für IP-Telefone

  • Verschlüsseltes Anrufaudio (Medien) für IP-Telefone

Sicherheit für Cisco IP-Telefone in dedizierter Instanz

Dedizierte Instanz ermöglicht Endpunktregistrierung und Anrufverarbeitung. Die Signalisierung zwischen Cisco Unified CM und Endpunkten basiert auf Secure Skinny Client Control Protocol (SCCP) oder Session Initiation Protocol (SIP) und kann mit Transport Layer Security (TLS) verschlüsselt werden. Die Medien von/zu den Endpunkten basieren auf RtP (Real-Time Transport Protocol) und können auch mit Secure RTP (SRTP) verschlüsselt werden.

Das Aktivieren des gemischten Modus in Unified CM ermöglicht die Verschlüsselung der Signalisierung und des Mediendatenverkehrs von und zu den Cisco-Endpunkten.

Sichere UC-Anwendungen

Aktivieren des gemischten Modus in dedizierter Instanz

Der gemischte Modus ist standardmäßig in der dedizierten Instanz aktiviert.

Das Aktivieren des gemischten Modus in dedizierter Instanz ermöglicht die Durchführung einer Verschlüsselung der Signalisierung und des Mediendatenverkehrs von und zu den Cisco-Endpunkten.

In Cisco Unified CM Version 12.5(1) wurde für Jabber und Webex-Clients eine neue Option zur Aktivierung der Signalisierung und Medien basierend auf SIP OAuth anstelle des gemischten Modus/CTL hinzugefügt. Daher können in Unified CM Version 12.5(1) SIP OAuth und SRTP zum Aktivieren der Verschlüsselung für Signalisierung und Medien für Jabber- oder Webex-Clients verwendet werden. Die Aktivierung des gemischten Modus ist zu diesem Zeitpunkt für Cisco IP-Telefone und andere Cisco-Endpunkte weiterhin erforderlich. Es gibt einen Plan, um die Unterstützung für SIP OAuth in einer zukünftigen Version bei den Endpunkten 7800/8800 hinzuzufügen.

Sicherheit für Sprachnachrichten

Cisco Unity Connection über den TLS-Port eine Verbindung zu Unified CM. Wenn der Gerätesicherheitsmodus nicht sicher ist, Cisco Unity Connection über den SCCP-Port eine Verbindung zu Unified CM.

Um die Sicherheit für Unified CM Voice-Messaging-Ports und Cisco Unity-Geräte zu konfigurieren, auf denen SCCP oder Cisco Unity Connection-Geräte ausgeführt werden, kann ein Partner einen sicheren Gerätesicherheitsmodus für den Port auswählen. Wenn Sie einen authentifizierten Voicemail-Port auswählen, wird eine TLS-Verbindung geöffnet, die die Geräte über einen Mutual Certificate Exchange authentifiziert (jedes Gerät akzeptiert das Zertifikat des anderen Geräts). Wenn Sie einen verschlüsselten Voicemail-Port wählen, authentifiziert das System zunächst die Geräte und sendet dann verschlüsselte Sprachstreams zwischen den Geräten.

Weitere Informationen zu Den Security Voice Messaging-Ports finden Sie unter: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Sicherheit für SRST, Trunks, Gateways, CUBE/SBC

Ein Cisco Unified survivable Remote Site Telephony (SRST)-fähiges Gateway bietet eingeschränkte Anrufverarbeitungsaufgaben, wenn die Cisco Unified CM auf dedizierter Instanz den Anruf nicht durchführen kann.

Sichere SRST-fähige Gateways enthalten ein selbstsigniertes Zertifikat. Nachdem ein Partner SRST-Konfigurationsaufgaben in Unified CM Administration ausführt, verwendet Unified CM eine TLS-Verbindung, um sich beim Zertifikatanbieterdienst im SRST-aktivierten Gateway zu authentifizieren. Unified CM ruft dann das Zertifikat vom SRST-aktivierten Gateway ab und fügt das Zertifikat zur Unified CM-Datenbank hinzu.

Nachdem der Partner die abhängigen Geräte in Unified CM Administration zurückgesetzt hat, fügt der TFTP-Server das SRST-fähige Gatewayzertifikat zur Telefondatei cnf.xml hinzu und sendet die Datei an das Telefon. Ein sicheres Telefon verwendet dann eine TLS-Verbindung, um mit dem SRST-fähigen Gateway zu interagieren.

Es wird empfohlen, sichere Trunks für den Anruf von Cisco Unified CM zum Gateway für ausgehende PSTN-Anrufe oder Traversing durch das Cisco Unified Border Element (CUBE) zu verwenden.

SIP-Trunks können sichere Anrufe sowohl für die Signalisierung als auch für Medien unterstützen; TLS bietet Signalisierungsverschlüsselung und SRTP Medienverschlüsselung.

Sicherung der Kommunikation zwischen Cisco Unified CM und CUBE

Für eine sichere Kommunikation zwischen Cisco Unified CM und CUBE müssen Partner/Kunden entweder selbstsignierte oder CA-signierte Zertifikate verwenden.

Für selbstsignierte Zertifikate:

  1. CUBE und Cisco Unified CM erzeugen selbstsignierte Zertifikate

  2. CUBE exportiert Zertifikat in Cisco Unified CM

  3. Cisco Unified CM exportiert Zertifikat an CUBE

Für CA-signierte Zertifikate:

  1. Client generiert ein Schlüsselpaar und sendet eine Zertifikatsignieranforderung (CSR) an die Zertifizierungsstelle (CA).

  2. Die ZERTIFIZIERUNGsstelle signiert sie mit ihrem privaten Schlüssel und erstellt ein Identitätszertifikat.

  3. Der Client installiert die Liste der vertrauenswürdigen CA-Stamm- und Vertrauenswürdigkeitszertifikate sowie das Identitätszertifikat

Sicherheit für Remote-Endpunkte

Mit Mobilen und Remote Access (MRA)-Endpunkten werden Signalisierung und Medien immer zwischen den MRA-Endpunkten und den Expressway verschlüsselt. Wenn das Interactive Connectivity Connectivity Connectivity (ICE)-Protokoll für MRA-Endpunkte verwendet wird, ist eine Signalisierung und Medienverschlüsselung der MRA-Endpunkte erforderlich. Die Verschlüsselung der Signalisierung und der Medien zwischen Expressway-C und den internen Unified CM-Servern, internen Endpunkten oder anderen internen Geräten erfordert jedoch einen gemischten Modus oder SIP OAuth.

Cisco Expressway bietet sichere Firewall-Traversal- und leitungsseitige Unterstützung für Unified CM-Registrierungen. Unified CM bietet die Anrufsteuerung für mobile und lokale Endpunkte. Die Signalisierung durchquert die Expressway-Lösung zwischen dem Remote-Endpunkt und Unified CM. Die Medien durchqueren die Expressway Lösung und werden direkt zwischen Endpunkten umvermittelt. Alle Medien werden zwischen dem Expressway-C und dem mobilen Endpunkt verschlüsselt.

Jede MRA-Lösung erfordert Expressway und Unified CM mit MRA-kompatiblen Soft-Clients und/oder festen Endpunkten. Die Lösung kann optional den IM- und Presence-Dienst und Unity Connection umfassen.

Protokollzusammenfassung

In der folgenden Tabelle werden die Protokolle und die zugehörigen Dienste aufgeführt, die in der Unified CM-Lösung verwendet werden.

Tabelle 1. Protokolle und zugehörige Dienste

Protokoll

Sicherheit

Dienst

SIP

TLS

Sitzungseinrichtung: Registrieren, Einladen usw.

HTTPS

TLS

Anmeldung, Bereitstellung/Konfiguration, Verzeichnis, Visual Voicemail

Medien

SRTP

Medien: Audio, Video, Teilen von Inhalten

XMPP

TLS

Instant Messaging, Präsenz, Verbund

Weitere Informationen zur MRA-Konfiguration finden Sie unter: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Konfigurationsoptionen

Die dedizierte Instanz bietet dem Partner flexibilität, Dienste für Endbenutzer durch vollständige Kontrolle der Konfiguration von Tag zwei anzupassen. Aus diesem Grund ist der Partner allein für die ordnungsgemäße Konfiguration des Dedizierten Instanzdienstes für die Umgebung des Endbenutzers verantwortlich. Dies umfasst, aber nicht beschränkt auf:

  • Bei der Auswahl sicherer/unsicherer Anrufe, sicherer/unsicherer Protokolle wie SIP/sSIP, http/https usw. sind die damit verbundenen Risiken zu verstehen.

  • Für alle MAC-Adressen, die in der dedizierten Instanz nicht als SECURE-SIP konfiguriert sind, kann ein Angreifer eine SIP-Register-Nachricht mit dieser MAC-Adresse senden und SIP-Anrufe tätigen, was zu einem Gebührenbetrug führt. Die jeweiligen Anforderungen sind, dass der Angreifer sein SIP-Gerät/ seine -Software ohne Autorisierung für die dedizierte Instanz registrieren kann, wenn er die MAC-Adresse eines Geräts kennt, das in einer dedizierten Instanz registriert ist.

  • Expressway-E-Anrufrichtlinien müssen Transformations- und Suchregeln konfiguriert werden, um Gebührenbetrug zu verhindern. Weitere Informationen zur Verhinderung von Gebührenbetrug mit Expressways finden Sie unter Sicherheit Expressway C und Expressway-E des Collaboration SRND.

  • Wählplan-Konfiguration, um sicherzustellen, dass Benutzer nur Ziele wählen können, die zulässig sind, z. B. nationale/internationale Gespräche verbieten, Notrufe ordnungsgemäß weitergeleitet werden usw. Weitere Informationen zum Anwenden von Einschränkungen bei der Verwendung des Wählplans finden Sie im Abschnitt Wählplan in der Collaboration SRND.

Zertifikatsanforderungen für sichere Verbindungen in dedizierter Instanz

Für eine dedizierte Instanz stellt Cisco die Domäne zur Verfügung und signiert alle Zertifikate für die UC-Anwendungen mithilfe einer öffentlichen Zertifizierungsstelle (CA).

Dedizierte Instanz – Portnummern und Protokolle

In den folgenden Tabellen werden die Ports und Protokolle beschrieben, die für die dedizierte Instanz unterstützt werden. Ports, die für einen bestimmten Kunden verwendet werden, hängen von der Bereitstellung und Lösung des Kunden ab. Die Protokolle hängen von der Präferenz des Kunden (SCCP gegenüber SIP), vorhandenen lokalen Geräten und dem Sicherheitsniveau ab, um zu bestimmen, welche Ports in der jeweiligen Bereitstellung verwendet werden sollen.

Die dedizierte Instanz lässt keine NAT (Network Address Translation) zwischen Endpunkten und Unified CM zu, da einige der Anruffluss-Funktionen, z. B. die Mid-Call-Funktion, nicht funktionieren.

Dedizierte Instanz – Kundenports

Die für Kunden verfügbaren Ports zwischen dem lokalen Kunden und der dedizierten Instanz sind in Tabelle 1 Dedizierte Kundenports für Instanzen aufgeführt. Alle unten aufgeführten Ports sind für Kundenverkehr über die Peering-Links.

Der SNMP-Port ist standardmäßig nur für Cisco Emergency Responder geöffnet, um seine Funktionalität zu unterstützen. Da wir Partner oder Kunden, die die in der Cloud der dedizierten Instanz bereitgestellten UC-Anwendungen überwachen, nicht unterstützen, lassen wir das Öffnen des SNMP-Ports für andere UC-Anwendungen nicht zu.

Ports im Bereich 5063 bis 5080 werden von Cisco für andere Cloud-Integrationen reserviert. Es wird empfohlen, Partner- oder Kundenadministratoren nicht diese Ports in ihren Konfigurationen zu verwenden.

Tabelle 2. Kunden-Ports der dedizierten Instanz

Protokoll

TCP/UDP

Quelle

Ziel

Quellport

Zielport

Zweck

Ssh

TCP

Client

UC-Anwendungen

Nicht zulässig für Cisco Expressway-Anwendungen.

Größer als 1023

22

Administration

Tftp

UDP

Endgeräte

Unified CM

Größer als 1023

69

Unterstützung älterer Endpunkte

LDAP

TCP

UC-Anwendungen

Externes Verzeichnis

Größer als 1023

389

Directory Sync mit Kunden LDAP

HTTPS

TCP

Browser

UC-Anwendungen

Größer als 1023

443

Webzugriff für Self-Care- und administrative Schnittstellen

Ausgehende E-Mail (SECURE)

TCP

UC-Anwendung

CUCxn

Größer als 1023

587

Erstellt und sendet sichere Nachrichten an bestimmte Empfänger.

LDAP (SICHER)

TCP

UC-Anwendungen

Externes Verzeichnis

Größer als 1023

636

Directory Sync mit Kunden LDAP

H323

TCP

Gateway

Unified CM

Größer als 1023

1720

Anrufsignalisierung

H323

TCP

Unified CM

Unified CM

Größer als 1023

1720

Anrufsignalisierung

SCCP

TCP

Endgeräte

Unified CM, CUCxn

Größer als 1023

2000

Anrufsignalisierung

SCCP

TCP

Unified CM

Unified CM, Gateway

Größer als 1023

2000

Anrufsignalisierung

MGCP

UDP

Gateway

Gateway

Größer als 1023

2427

Anrufsignalisierung

MGCP Backhaul

TCP

Gateway

Unified CM

Größer als 1023

2428

Anrufsignalisierung

SCCP (SICHER)

TCP

Endgeräte

Unified CM, CUCxn

Größer als 1023

2443

Anrufsignalisierung

SCCP (SICHER)

TCP

Unified CM

Unified CM, Gateway

Größer als 1023

2443

Anrufsignalisierung

Überprüfung der Vertrauenswürdigkeit

TCP

Endgeräte

Unified CM

Größer als 1023

2445

Bereitstellung eines Vertrauensverifizierungsdiensts für Endpunkte

Cti

TCP

Endgeräte

Unified CM

Größer als 1023

2748

Verbindung zwischen CTI-Anwendungen (JTAPI/TSP) und CTIManager

Sichere CTI

TCP

Endgeräte

Unified CM

Größer als 1023

2749

Sichere Verbindung zwischen CTI-Anwendungen (JTAPI/TSP) und CTIManager

LDAP Globaler Katalog

TCP

UC-Anwendungen

Externes Verzeichnis

Größer als 1023

3268

Directory Sync mit Kunden LDAP

LDAP Globaler Katalog

TCP

UC-Anwendungen

Externes Verzeichnis

Größer als 1023

3269

Directory Sync mit Kunden LDAP

CAPF-Dienst

TCP

Endgeräte

Unified CM

Größer als 1023

3804

Proxy-Funktion der Zertifizierungsstelle (CAPF) – Überwachungsport für die Ausgabe von lokal wichtigen Zertifikaten (LSC) an IP-Telefone

SIP

TCP

Endgeräte

Unified CM, CUCxn

Größer als 1023

5060

Anrufsignalisierung

SIP

TCP

Unified CM

Unified CM, Gateway

Größer als 1023

5060

Anrufsignalisierung

SIP (SICHER)

TCP

Endgeräte

Unified CM

Größer als 1023

5061

Anrufsignalisierung

SIP (SICHER)

TCP

Unified CM

Unified CM, Gateway

Größer als 1023

5061

Anrufsignalisierung

SIP (OAUTH)

TCP

Endgeräte

Unified CM

Größer als 1023

5090

Anrufsignalisierung

XMPP

TCP

Jabber-Client

Cisco IM&P

Größer als 1023

5222

Instant Messaging und Präsenz

HTTP

TCP

Endgeräte

Unified CM

Größer als 1023

6970

Konfiguration und Bilder werden auf Endpunkte heruntergeladen

HTTPS

TCP

Endgeräte

Unified CM

Größer als 1023

6971

Konfiguration und Bilder werden auf Endpunkte heruntergeladen

HTTPS

TCP

Endgeräte

Unified CM

Größer als 1023

6972

Konfiguration und Bilder werden auf Endpunkte heruntergeladen

HTTP

TCP

Jabber-Client

CUCxn

Größer als 1023

7080

Voicemail-Benachrichtigungen

HTTPS

TCP

Jabber-Client

CUCxn

Größer als 1023

7443

Sichere Voicemail-Benachrichtigungen

HTTPS

TCP

Unified CM

Unified CM

Größer als 1023

7501

Wird von Intercluster Lookup Service (ILS) für zertifikatbasierte Authentifizierung verwendet

HTTPS

TCP

Unified CM

Unified CM

Größer als 1023

7502

Wird von ILS für die passwortbasierte Authentifizierung verwendet

IMAP

TCP

Jabber-Client

CUCxn

Größer als 1023

7993

IMAP über TLS

HTTP

TCP

Endgeräte

Unified CM

Größer als 1023

8080

Verzeichnis-URI für Legacy-Endpunktunterstützung

HTTPS

TCP

Browser, Endpunkt

UC-Anwendungen

Größer als 1023

8443

Webzugriff für Self-Care- und administrative Schnittstellen, UDS

HTTPS

TCP

Telefon

Unified CM

Größer als 1023

9443

Authentifizierte Kontaktsuche

HTTPs

TCP

Endgeräte

Unified CM

Größer als 1023

9444

Headset-Verwaltungsfunktion

Sicheres RTP/SRTP

UDP

Unified CM

Telefon

16384 bis 32767 *

16384 bis 32767 *

Medien (Audio) – Music On Hold, Annunciator, Software Conference Bridge (Offen basierend auf Anrufsignalisierung)

Sicheres RTP/SRTP

UDP

Telefon

Unified CM

16384 bis 32767 *

16384 bis 32767 *

Medien (Audio) – Music On Hold, Annunciator, Software Conference Bridge (Offen basierend auf Anrufsignalisierung)

Kobras

TCP

Client

CUCxn

Größer als 1023

20532

Anwendungssuite sichern und wiederherstellen

ICMP

ICMP

Endgeräte

UC-Anwendungen

k. A.

k. A.

Ping

ICMP

ICMP

UC-Anwendungen

Endgeräte

k. A.

k. A.

Ping

DNS UDP und TCP

DNS-Spediteur

DNS-Server der dedizierten Instanz

Größer als 1023

53

Kundenstandort-DNS-Spediteure an DNS-Server der dedizierten Instanz. Weitere Informationen finden Sie unter DNS-Anforderungen .

* Bei bestimmten Sonderfällen kann eine größere Reichweite verwendet werden.

Dedizierte Instanz – OTT-Ports

Der folgende Port kann von Kunden und Partnern für die Einrichtung von Mobil- und Remotezugriff (MRA) verwendet werden:

Tabelle 3. Port für OTT

Protokoll

TCP/UCP

Quelle

Ziel

Quellport

Zielport

Zweck

SICHERES RTP/RTCP

UDP

Expressway-C

Client

Größer als 1023

36000-59999

Sichere Medien für MRA- und B2B-Anrufe

Interop-SIP-Trunk zwischen Multitenant und Dedicated Instance (nur für registrierungsbasierten Trunk)

Die folgende Liste an Ports muss in der Firewall des Kunden für den registrierungsbasierten SIP-Übertragungsweg zwischen der Multitenant- und der dedizierten Instanz zugelassen sein.

Tabelle 4. Port für registrierungsbasierte Trunks

Protokoll

TCP/UCP

Quelle

Ziel

Quellport

Zielport

Zweck

RTP/RTCP

UDP

Webex Calling-Multitenant

Client

Größer als 1023

8000-48198

Medien vom Webex Calling-Multitenant

Dedizierte Instanz – UCCX-Ports

Die folgende Liste von Ports kann von Kunden und Partnern für die UCCX-Konfiguration verwendet werden.

Tabelle 5 Cisco UCCX-Ports

Protokoll

TCP /UCP

Quelle

Ziel

Quellport

Zielport

Zweck

Ssh

TCP

Client

UCCX

Größer als 1023

22

SFTP und SSH

Informix

TCP

Client oder Server

UCCX

Größer als 1023

1504

Contact Center Express-Datenbankport

SIP

UDP und TCP

SIP-SIP-SIP- oder MCRP-Server

UCCX

Größer als 1023

5065

Kommunikation mit remoten CFS- und MCRP-Knoten

XMPP

TCP

Client

UCCX

Größer als 1023

5223

Sichere XMPP-Verbindung zwischen dem Finesse-Server und benutzerdefinierten Anwendungen von Drittanbietern

Cvd

TCP

Client

UCCX

Größer als 1023

6999

Editor zu CCX-Anwendungen

HTTPS

TCP

Client

UCCX

Größer als 1023

7443

SichereCOMPUTER-Verbindung zwischen Finesse-Server und Agenten- und Supervisor-Desktops für die Kommunikation über HTTPS

HTTP

TCP

Client

UCCX

Größer als 1023

8080

Clients für Berichte mit Echtzeitdaten verbinden sich mit einem socket.IO-Server

HTTP

TCP

Client

UCCX

Größer als 1023

8081

Client-Browser, der versucht, auf Cisco Unified Intelligence Center-Weboberfläche zu zugreifen

HTTP

TCP

Client

UCCX

Größer als 1023

8443

Admin-GUI, RTMT, DB-Zugriff über SOAP

HTTPS

TCP

Client

UCCX

Größer als 1023

8444

Cisco Unified Intelligence Center-Webschnittstelle

HTTPS

TCP

Browser- und REST-Clients

UCCX

Größer als 1023

8445

Sicherer Port für Finesse

HTTPS

TCP

Client

UCCX

Größer als 1023

8447

HTTPS – Unified Intelligence Center Online-Hilfe

HTTPS

TCP

Client

UCCX

Größer als 1023

8553

Single Sign-On (SSO)-Komponenten greifen auf diese Schnittstelle zu, um den Betriebsstatus des Cisco IdS zu erfahren.

HTTP

TCP

Client

UCCX

Größer als 1023

9080

Clients, die auf HTTP-Trigger oder Dokumente/Eingaben/Grammatiken/Live-Daten zugreifen wollen.

HTTPS

TCP

Client

UCCX

Größer als 1023

9443

Sicherer Port für die Antwort auf Clients, die auf HTTPS-Trigger zugreifen wollen

TCP

TCP

Client

UCCX

Größer als 1023

12014

Dies ist der Port, über den Clients für Berichte mit Echtzeitdaten mit dem socket.IO-Server verbunden werden können.

TCP

TCP

Client

UCCX

Größer als 1023

12015

Dies ist der Port, über den Clients für Berichte mit Echtzeitdaten mit dem socket.IO-Server verbunden werden können.

Cti

TCP

Client

UCCX

Größer als 1023

12028

Drittanbieter-CTI-Client zu CCX

RTP (Medien)

TCP

Endgeräte

UCCX

Größer als 1023

Größer als 1023

Der Medienport wird bei Bedarf dynamisch geöffnet.

RTP (Medien)

TCP

Client

Endgeräte

Größer als 1023

Größer als 1023

Der Medienport wird bei Bedarf dynamisch geöffnet.

Client-Sicherheit

Sichern von Jabber und Webex mit SIP OAuth

Jabber- und Webex-Clients werden über ein OAuth-Token anstatt über ein lokal bedeutendes Zertifikat (LSC) authentifiziert, das keine Proxyfunktion der Zertifizierungsstelle (CAPF) erfordert (auch für MRA). Sip OAuth arbeiten mit oder ohne gemischten Modus wurde in Cisco Unified CM 12.5(1), Jabber 12.5 und Expressway X12.5 eingeführt.

In Cisco Unified CM 12.5 verfügen wir über eine neue Option im Telefonsicherheitsprofil, mit der die Verschlüsselung ohne LSC/CAPF unter Verwendung von single Transport Layer Security (TLS) + OAuth Token in SIP REGISTER ermöglicht wird. Expressway-C-Knoten verwenden die ADMINISTRATIVE XML Web Service (AXL)-API, um den Cisco Unified CM über den SN/SAN in ihrem Zertifikat zu informieren. Cisco Unified CM verwendet diese Informationen, um das Exp-C-Zertifikat zu validieren, wenn eine Verbindung Mutual TLS wird.

SIP OAuth ermöglicht Medien- und Signalisierungsverschlüsselung ohne ein Endpunktzertifikat (LSC).

Cisco Jabber verwendet kurzlebige Ports und sichere Ports 6971 und 6972 über HTTPS-Verbindung zum TFTP-Server, um die Konfigurationsdateien herunterzuladen. Port 6970 ist ein nicht sicherer Port für den Download über HTTP.

Weitere Details zur Konfiguration der SIP OAuth: SIP-OAuth-Modus.

DNS-Anforderungen

Für die dedizierte Instanz stellt Cisco den FQDN für den Dienst in den einzelnen Regionen mit dem folgenden Format bereit: ..wxc-di.webex.com zum Beispiel xyz.amer.wxc-di.webex.com.

Der Wert "Kunde" wird vom Administrator als Teil des FIRST Time Setup Wizard (FTSW) bereitgestellt. Weitere Informationen finden Sie unter Aktivierung des dedizierten Instanzdiensts.

DNS-Einträge für FQDN müssen vom internen DNS-Server des Kunden zur Unterstützung von lokalen Geräten, die sich mit der dedizierten Instanz verbinden, auflösbar sein. Um eine Lösung zu vereinfachen, muss der Kunde einen bedingten Forwarder für diese FQDN auf dem DNS-Server konfigurieren, der auf den DNS-Dienst der dedizierten Instanz verweisen soll. Der DNS-Dienst der dedizierten Instanz ist regional und kann über das Peering an die dedizierte Instanz unter Verwendung der folgenden IP-Adressen erreicht werden, wie in der folgenden Tabelle DNS-Dienst der dedizierten Instanz angegeben.

Tabelle 6: DEDIZIERTE DNS-Dienst-IP-Adresse der Instanz

Region/DC

DEDIZIERTE DNS-Dienst-IP-Adresse der Instanz

Beispiel für eine bedingte Weiterleitung

AMER

<customer>.amer.wxc-di.webex.com

Sjc

69.168.17.100

Dfw

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

Lon

178.215.138.100

Ams

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

Fra

178.215.131.100

Ams

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

Sünde

103.232.71.100

Tky

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

Mel

178.215.128.100

Syd

178.215.128.228

GB

<customer>.uk.wxc-di.webex.com

Lon

178.215.135.100

Mann

178.215.135.228

Die Ping-Option ist für die oben genannten DNS-Server-IP-Adressen aus Sicherheitsgründen deaktiviert.

Geräte können sich über die Peering-Links nicht über das interne Kundennetzwerk bei der dedizierten Instanz registrieren, bis die bedingte Weiterleitung besteht. Bedingte Weiterleitung ist für die Registrierung über Mobile and Remote Access (MRA) nicht erforderlich, da alle zur Unterstützung von MRA erforderlichen externen DNS-Einträge von Cisco vorab bereitgestellt werden.

Wenn Sie die Webex-Anwendung als Ihren Anruf-Soft-Client auf dedizierter Instanz verwenden, muss im Control Hub für die Voice Service Domain (VSD) jeder Region ein UC Manager-Profil konfiguriert werden. Weitere Informationen finden Sie in den UC Manager-Profilen Cisco Webex Control Hub. Die Webex-Anwendung ist in der Lage, den Edge des Kunden Expressway ohne Eingriffe des Endbenutzers automatisch zu lösen.

Die Sprachdienstdomäne wird dem Kunden als Teil des Partnerzugriffsdokuments bereitgestellt, sobald die Dienstaktivierung abgeschlossen ist.

Lokalen Router für die DNS-Auflösung des Telefons verwenden

Bei Telefonen, die keinen Zugriff auf die DNS-Server des Unternehmens haben, ist es möglich, einen lokalen Cisco-Router zu verwenden, um DNS-Anforderungen an das Cloud-DNS der dedizierten Instanz weiterzuleiten. Dadurch entfällt die Notwendigkeit, einen lokalen DNS-Server bereitzustellen, und es wird vollständige DNS-Unterstützung einschließlich Caching bereitgestellt.

Beispielkonfiguration :

!

IP DNS-Server

IP-Name-Server

!

Die DNS-Nutzung in diesem Bereitstellungsmodell ist spezifisch für Telefone und kann nur verwendet werden, um FQDNs mit der Domäne von der dedizierten Instanz des Kunden aufzulösen.

DNS-Auflösung des Telefons