Requisitos de red para la instancia exclusiva

Webex Calling instancia de uso exclusivo es parte de la cartera de productos de llamadas en la nube de Cisco, que funciona con la tecnología de colaboración de Cisco Unified Communications Manager (Cisco Unified CM). Instancia dedicada ofrece soluciones de voz, vídeo, mensajería y movilidad con las características y beneficios de los teléfonos IP de Cisco, dispositivos móviles y clientes de escritorio que se conectan de manera segura a la instancia de uso exclusivo.

Este artículo está destinado a administradores de red, particularmente a administradores de firewalls y de seguridad de proxy que quieran usar la instancia de uso exclusivo dentro de la organización.

Descripción general de la seguridad: Seguridad en capas

La instancia dedicada utiliza un enfoque encapsado por motivos de seguridad. Las capas incluyen:

  • Acceso físico

  • Red

  • Extremos

  • Aplicaciones de UC

Las siguientes secciones describen las capas de seguridad en implementaciones de la instancia de dedicada.

Seguridad física

Es importante proporcionar seguridad física a las ubicaciones de la sala de Reunirse conmigo de Equinix y a las instalaciones del Centro de datos de instancia exclusiva de Cisco . Cuando la seguridad física está en riesgo, se pueden iniciar ataques simples, como la interrupción del servicio, al apagar el suministro de energía a los interruptores del cliente. Con el acceso físico, los atacantes podían obtener acceso a los dispositivos del servidor, restablecer las contraseñas y obtener acceso a los interruptores. El acceso físico también facilita ataques más sofisticados, como los ataques intermedios, razón por la cual la segunda capa de seguridad, la seguridad de la red, es fundamental.

Las unidades de cifrado propio se utilizan en los centros de datos de instancia de uso dedicado que alojan aplicaciones de UC.

Para obtener más información sobre las prácticas de seguridad generales, consulte la documentación en la siguiente ubicación: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Seguridad de la red

Los socios deben asegurarse de que todos los elementos de red estén asegurados en la infraestructura de la instancia dedicada (que se conecta a través de Equinix). Es responsabilidad del socio garantizar las mejores prácticas de seguridad, como:

  • VLAN independiente para voz y datos

  • Habilitar seguridad del puerto, que limita la cantidad de direcciones MAC permitidas por puerto, contra el desbordamiento de la tabla CAM

  • Protección de fuente IP contra direcciones IP mié.

  • La inspección ARP dinámica (ARP) analiza el protocolo de resolución de direcciones (ARP) y elutilUTILUTIL (GARP) por infracciones (contra la información de ARP)

  • 802. limita el acceso1x de la red a los dispositivos de autenticación en las VLAN asignadas (los teléfonos admiten 802.1x

  • Configuración de la calidad de servicio (QoS) para el marcado adecuado de los paquetes de voz

  • Configuraciones de puertos de firewall para bloquear cualquier otro tráfico

Seguridad de endpoints

Los extremos de Cisco admiten características de seguridad predeterminadas, como el firmware firmado, el inicio seguro (modelos seleccionados), el certificado instalado por el fabricante (MIC) y los archivos de configuración firmados, que proporcionan un cierto nivel de seguridad para los extremos.

Además, un socio o cliente puede habilitar seguridad adicional, por ejemplo:

  • Cifrar servicios de teléfono IP (a través de HTTPS) para servicios como Extension Mobility

  • Emitir certificados localmente significativos (LSCs) desde la función de proxy de autoridades de emisión de certificados (CAPF) o desde una autoridad de certificación pública (CA)

  • Cifrar archivos de configuración

  • Cifrar medios y señalización

  • Deshabilite estas configuraciones si no se utilizan: Puerto de PC, Acceso a VLAN de voz de pc, GratuitoUTIL, Acceso web, botón Configuración, SSH, consola

La implementación de mecanismos de seguridad en la instancia de uso exclusivo evita el robo de identidad de los teléfonos y del servidor de Unified CM, la falsificación de datos y la manipulación de señales de llamadas/transmisión de medios.

Instancia dedicada a través de la red:

  • Establece y mantiene transmisiones de comunicación autenticadas

  • Firma digitalmente los archivos antes de transferir el archivo al teléfono

  • Cifra las transmisiones multimedia y la señalización de llamadas entre Cisco Unified teléfonos IP

Configuración de seguridad predeterminada

La seguridad ofrece las siguientes características de seguridad automática para Cisco Unified teléfonos IP:

  • Firma de los archivos de configuración del teléfono

  • Compatibilidad con el cifrado de archivos de configuración telefónica

  • HTTPS con Tomcat y otros servicios web (MIDlets)

Para la versión 8.0 de Unified CM posterior, estas características de seguridad se proporcionan de manera predeterminada sin ejecutar el cliente de la Lista de confianza de certificados (CTL).

Servicio de verificación de confianza

Debido a que hay una gran cantidad de teléfonos en una red y los teléfonos IP tienen memoria limitada, Cisco Unified CM actúa como un almacén de confianza remoto a través del Servicio de verificación de confianza (TVS), de modo que no debe colocarse un almacén de confianza de certificados en cada teléfono. Los teléfonos Cisco IP phone se pondrán en contacto con el servidor DE TVS para su verificación ya que no pueden verificar una firma o certificado a través de archivos CTL o ITL. Tener una tienda de confianza central es más fácil de administrar que tener la tienda de confianza en cada Cisco Unified teléfono IP.

TVS permite Cisco Unified teléfonos IP para autenticar los servidores de aplicaciones, como los servicios EM, directorio y MIDlet, durante https de apoyo.

Lista de confianza inicial

El archivo de lista de confianza inicial (ITL) se utiliza para la seguridad inicial, para que los extremos puedan confiar Cisco Unified CM. ITL no necesita habilitar explícitamente ninguna característica de seguridad. El archivo ITL se crea automáticamente cuando se instala el grupo. La clave privada del servidor del Protocolo trivial de transferencia de archivos (TFTP) de Unified CM se utiliza para firmar el archivo ITL.

Cuando el Cisco Unified o servidor de CISCO UNIFIED CM está en modo no seguro, el archivo ITL se descarga en todos los teléfonos IP de Cisco compatibles. Un socio puede ver el contenido de un archivo ITL mediante el comando de CLI admin:show itl.

Los teléfonos Cisco IP necesitan el archivo ITL para realizar las siguientes tareas:

  • Comuníquese de forma segura con CAPF, un requisito previo para admitir el cifrado de archivos de configuración

  • Autentique la firma del archivo de configuración

  • Autentique servidores de aplicaciones, como los servicios EM, el directorio y MIDlet durante https utilizando TVS.

Cisco CTL

La autenticación de dispositivos, archivos y señales depende de la creación del archivo de lista de confianza del certificado (CTL), que se crea cuando el socio o cliente instala y configura el cliente de lista de confianza del certificado de Cisco.

El archivo CTL contiene registros de los siguientes servidores o tokens de seguridad:

  • Token de seguridad para el administrador del sistema (SAST)

  • Cisco CallManager y los servicios TFTP de Cisco que se están ejecutando en el mismo servidor

  • Función de proxy de autoridad de certificación (CAPF)

  • Servidor(es) TFTP

  • Firewall ASA

El archivo CTL contiene un certificado de servidor, una clave pública, un número de serie, una firma, un nombre de emisor, un nombre de sujeto, una función de servidor, un nombre DNS y una dirección IP para cada servidor.

La seguridad telefónica con CTL proporciona las siguientes funciones:

  • Autenticación de archivos descargados de TFTP (configuración, configuración, lista de timbres, y así sucesivamente) mediante el uso de una clave de firma

  • Cifrado de archivos de configuración de TFTP mediante el uso de una clave de firma

  • Señalización de llamadas cifradas para teléfonos IP

  • Audio de llamada cifrado (multimedia) para teléfonos IP

Seguridad para teléfonos IP Cisco en Dedicated Instance

La instancia dedicada proporciona el registro de extremos y el procesamiento de llamadas. La señalización entre Cisco Unified CM y los extremos se basa en el Protocolo de control de clientes seguros skinny (SCCP) o Protocolo de iniciación de sesión (SIP) y se puede cifrar mediante el protocolo de Seguridad de capa de transporte (TLS). Los medios que se utilizan desde/hacia los extremos se basan en el Protocolo de transporte en tiempo real (Real-time Transport Protocol, RTP) y también se pueden cifrar mediante RTP seguro (SRTP).

La habilitación del modo mixto en Unified CM permite el cifrado del tráfico de señales y medios desde y hacia los extremos de Cisco.

Aplicaciones de UC seguras

Activación del modo mixto en la instancia exclusiva

El modo mixto está habilitado de forma predeterminada en la instancia exclusiva.

La habilitación del modo mixto en la instancia de uso exclusivo permite la capacidad de cifrado del tráfico de señales y medios desde y hacia los extremos de Cisco.

En Cisco Unified CM versión 12.5(1), se agregó una nueva opción para habilitar el cifrado de señales y medios basado en autenticación O SIP en lugar del modo mixto/CTL para clientes Jabber y Webex. Por lo tanto, en Unified CM versión 12.5(1), la autenticación O SIP y SRTP se pueden utilizar para habilitar el cifrado para señales y medios para clientes de Jabber o Webex. La habilitación del modo mixto sigue siendo necesaria para los teléfonos Ip de Cisco y otros extremos de Cisco en este momento. Hay un plan para agregar soporte para la autenticación abierta de SIP en extremos 7800/8800 en una versión futura.

Seguridad de la mensajería de voz

Cisco Unity Connection se conecta a Unified CM a través del puerto TLS. Cuando el modo de seguridad del dispositivo no es seguro, los Cisco Unity Connection se conectan a Unified CM a través del puerto SCCP.

Para configurar la seguridad para los puertos de mensajería de voz de Unified CM y los dispositivos de Cisco Unity que ejecutan SCCP o Cisco Unity Connection que ejecutan SCCP, un socio puede elegir un modo de seguridad de dispositivos seguro para el puerto. Si elige un puerto de correo de voz autenticado, se abre una conexión TLS, que autentica los dispositivos mediante un intercambio de certificados mutuos (cada dispositivo acepta el certificado del otro dispositivo). Si elige un puerto de correo de voz cifrado, el sistema primero autentica los dispositivos y luego envía transmisiones de voz cifradas entre los dispositivos.

Para obtener más información sobre los puertos de mensajería de voz de seguridad, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Seguridad para S TRUNKs, gateways, CUBE/SBC

Una puerta Cisco Unified de telefonía de sitio remoto (S GATEWAY) habilitada para la telefonía de sitio remoto (S GATEWAY) sobreviviente proporciona tareas limitadas de procesamiento de llamadas si Cisco Unified CM en la instancia de uso exclusivo no puede completar la llamada.

Las puertas de enlace seguras habilitadas para S RTC contienen un certificado de firma automática. Después de que un socio realiza tareas de configuración S SSL en la administración de Unified CM, Unified CM utiliza una conexión TLS para autenticarse con el servicio de proveedor de certificados en la puerta de enlace habilitada para S SSL. Entonces, Unified CM recupera el certificado de la puerta de enlace habilitada para S RTC y agrega el certificado a la base de datos de Unified CM.

Después de que el socio restablece los dispositivos dependientes en la administración de Unified CM, el servidor TFTP agrega el certificado de puerta de enlace habilitado para S TFTP al archivo cnf.xml del teléfono y envía el archivo al teléfono. Un teléfono seguro utiliza entonces una conexión TLS para interactuar con la puerta de enlace habilitada para S RTC.

Se recomienda tener enlaces troncales seguros para la llamada que se origina desde Cisco Unified CM hacia la puerta de enlace para llamadas PSTN salientes o transversales a través del Elemento Cisco Unified borde (CUBE).

Los enlace troncales SIP pueden admitir llamadas seguras tanto para señalización como para medios de ; TLS proporciona cifrado de señalización y SRTP proporciona cifrado de medios.

Asegurar las comunicaciones entre Cisco Unified CM y CUBE

Para lograr comunicaciones seguras entre Cisco Unified CM y CUBE, los socios/clientes tienen que utilizar certificados de firma propia o certificados firmados por una CA.

Para certificados de firma propia:

  1. CUBE y Cisco Unified CM generan certificados de firma propia

  2. CUBE exporta certificados a Cisco Unified CM

  3. Cisco Unified CM exporta certificados a CUBE

Para certificados firmados por una CA:

  1. El cliente genera un par de claves y envía una Solicitud de firma de certificado (CSR) a la Autoridad de certificados (CA)

  2. La CA lo firma con su clave privada, creando un certificado de identidad

  3. El cliente instala la lista de certificados raíz e intermedios de CA de confianza y el certificado de identidad

Seguridad para endpoints remotos

Con los extremos móviles Remote Access móvil (MRA), la señalización y los medios siempre se cifran entre los extremos de MRA y los Expressway móvil. Si se utiliza el protocolo de conectividad interactiva (ICE) para extremos MRA, se requiere cifrado de medios y señales de los extremos MRA. Sin embargo, el cifrado de la señalización y los medios entre Expressway-C y los servidores internos de Unified CM, los extremos internos u otros dispositivos internos requiere modo mixto o autenticación SIP.

Cisco Expressway ofrece soporte seguro de cruce seguro de firewall y del lado de la línea para inscripciones de Unified CM. Unified CM proporciona control de llamadas tanto para extremos móviles como locales. La señalización atraviesa la Expressway alternativa entre el extremo remoto y Unified CM. Los medios atraviesan la Expressway de comunicación y se transmite entre los extremos directamente. Todos los medios están cifrados entre el Expressway-C y el extremo móvil.

Cualquier solución de MRA requiere Expressway y Unified CM con clientes de software y/o extremos fijos compatibles con MRA. De manera opcional, la solución puede incluir el servicio de presencia y MI y Unity Connection.

Resumen del protocolo

La siguiente tabla muestra los protocolos y los servicios asociados utilizados en la solución de Unified CM.

Tabla 1. Protocolos y servicios asociados

Protocolo

Seguridad

Servicio

SIP

TLS

Sesión activa: Insc., Invitar, etc.

HTTPS

TLS

Conexión, aprovisionamiento/configuración, directorio, correo de voz visual

Multimedia

SRTP

Medio: Audio, vídeo, uso compartido de contenido

XMPP

TLS

Mensajería instantánea, Presencia, Federación

Para obtener más información sobre la configuración de MRA, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Opciones de configuración

La instancia de uso exclusivo ofrece al socio flexibilidad para personalizar los servicios para los usuarios finales mediante el control completo de las configuraciones del día dos. En consecuencia, el socio es el único responsable de la configuración adecuada del servicio de instancia de uso exclusivo para el entorno del usuario final. Esto incluye, entre otros, los siguientes:

  • Elegir llamadas seguras/no seguras, protocolos seguros/no seguros, como SIP/sSIP, http/https, etc. y comprender cualquier riesgo asociado.

  • Para todas las direcciones MAC no configuradas como SIP seguro en la instancia de uso exclusivo, un atacante puede enviar un mensaje de registro SIP utilizando esa dirección MAC y poder realizar llamadas SIP, lo que resulta en un fraude telefónico. El perquisite es que el atacante puede inscribir su dispositivo/software SIP en la instancia de uso exclusivo sin autorización si conoce la dirección MAC de un dispositivo registrado en la instancia de uso exclusivo.

  • Expressway políticas de llamadas, transformar y buscar políticas de llamadas de los ee. UU. deben configurarse para evitar el fraude telefónico. Para obtener más información sobre cómo evitar fraudes telefónicos al utilizar Expressways, consulte Seguridad para Expressway C y Expressway-E de la sección de SRND de colaboración.

  • Configuración del plan de marcado para garantizar que los usuarios solo puedan marcar destinos que estén permitidos; por ejemplo, prohibir el marcado nacional/internacional, las llamadas de emergencia se enruten correctamente, etc. Para obtener más información sobre la aplicación de restricciones mediante el uso del plan de marcado, consulte la sección Plan de marcado del SRND de colaboración.

Requisitos de certificados para conexiones seguras en la instancia exclusiva

En el caso de la Instancia de uso exclusivo, Cisco proporcionará el dominio y firmará todos los certificados para las aplicaciones de UC utilizando una autoridad de certificación (CA) pública.

Instancia dedicada: números de puerto y protocolos

En las siguientes tablas se describen los puertos y protocolos que se admiten en instancia dedicada. Los puertos que se utilizan para un cliente determinado dependen de la implementación y la solución del cliente. Los protocolos dependen de la preferencia del cliente (SCCP frente a SIP), de los dispositivos locales existentes y del nivel de seguridad para determinar qué puertos se utilizarán en cada implementación.

La instancia dedicada no permite la traducción de direcciones de red (NAT) entre extremos y Unified CM, ya que algunas de las características de flujo de llamadas no funcionarán, por ejemplo, la característica de mitad de llamada.

Instancia dedicada – Puertos del cliente

Los puertos disponibles para los clientes , entre las instalaciones del cliente y la instancia de uso exclusivo se muestran en la Tabla 1 Puertos del cliente de la instancia de uso exclusivo. Todos los puertos listados a continuación son para el tráfico del cliente que atraviesa los enlaces peering.

El puerto SNMP está abierto de manera predeterminada solo para que Cisco Emergency Responder admita su funcionalidad. Dado que no proporcionamos soporte para que los socios o clientes supervisen las aplicaciones de UC implementadas en la nube de Dedicated Instance, no permitimos la apertura del puerto SNMP para ninguna otra aplicación de UC.

Cisco reserva los puertos en el rango de 5063 a 5080 para otras integraciones en la nube, para administradores de socios o clientes que no utilicen estos puertos en sus configuraciones.

Tabla 2. Puertos del cliente exclusivos de instancias

Protocolo

TCP/UDP

Origen

Destino

Puerto de origen

Puerto de destino

Propósito

Ssh

TCP

Cliente

Aplicaciones de UC

No se permite para las aplicaciones de Cisco Expressway.

Más de 1023

22

Administración

Tftp

UDP

Extremos

Unified CM

Más de 1023

69

Soporte para extremos heredados

LDAP

TCP

Aplicaciones de UC

Directorio externo

Más de 1023

389

Sincronización de directorios con LDAP del cliente

HTTPS

TCP

Explorador

Aplicaciones de UC

Más de 1023

443

Acceso Web para interfaces administrativas y de atención propia

Correo saliente (SEGURO)

TCP

Aplicación UC

CUCxn

Más de 1023

587

Se utiliza para redactar y enviar mensajes seguros a cualquier destinatario designado

LDAP (SEGURO)

TCP

Aplicaciones de UC

Directorio externo

Más de 1023

636

Sincronización de directorios con LDAP del cliente

H323

TCP

Puerta de enlace

Unified CM

Más de 1023

1720

Señalización de llamada

H323

TCP

Unified CM

Unified CM

Más de 1023

1720

Señalización de llamada

SCCP

TCP

Extremos

Unified CM, CUCxn

Más de 1023

2000

Señalización de llamada

SCCP

TCP

Unified CM

Unified CM, Puerta de enlace

Más de 1023

2000

Señalización de llamada

mgcp

UDP

Puerta de enlace

Puerta de enlace

Más de 1023

2427

Señalización de llamada

Retroceso MGCP

TCP

Puerta de enlace

Unified CM

Más de 1023

2428

Señalización de llamada

SCCP (SEGURO)

TCP

Extremos

Unified CM, CUCxn

Más de 1023

2443

Señalización de llamada

SCCP (SEGURO)

TCP

Unified CM

Unified CM, Puerta de enlace

Más de 1023

2443

Señalización de llamada

Verificación de confianza

TCP

Extremos

Unified CM

Más de 1023

2445

Proporcionar servicio de verificación de confianza a los extremos

Cti

TCP

Extremos

Unified CM

Más de 1023

2748

Conexión entre aplicaciones CTI (JTAPI/TSP) y CTIManager

CTI seguro

TCP

Extremos

Unified CM

Más de 1023

2749

Conexión segura entre aplicaciones CTI (JTAPI/TSP) y CTIManager

Catálogo global de LDAP

TCP

Aplicaciones de UC

Directorio externo

Más de 1023

3268

Sincronización de directorios con LDAP del cliente

Catálogo global de LDAP

TCP

Aplicaciones de UC

Directorio externo

Más de 1023

3269

Sincronización de directorios con LDAP del cliente

Servicio de CAPF

TCP

Extremos

Unified CM

Más de 1023

3804

El puerto para escuchar la Función de proxy de autoridades de emisión de certificados (Certificate Authority Proxy Function, CAPF) para emitir certificados significativas localmente (LSC) a teléfonos IP

SIP

TCP

Extremos

Unified CM, CUCxn

Más de 1023

5060

Señalización de llamada

SIP

TCP

Unified CM

Unified CM, Puerta de enlace

Más de 1023

5060

Señalización de llamada

SIP (SEGURO)

TCP

Extremos

Unified CM

Más de 1023

5061

Señalización de llamada

SIP (SEGURO)

TCP

Unified CM

Unified CM, Puerta de enlace

Más de 1023

5061

Señalización de llamada

SIP (OAUTH)

TCP

Extremos

Unified CM

Más de 1023

5090

Señalización de llamada

XMPP

TCP

Cliente Jabber

MI&P de Cisco

Más de 1023

5222

Mensajería instantánea y presencia

HTTP

TCP

Extremos

Unified CM

Más de 1023

6970

Descargar configuración e imágenes en los extremos

HTTPS

TCP

Extremos

Unified CM

Más de 1023

6971

Descargar configuración e imágenes en los extremos

HTTPS

TCP

Extremos

Unified CM

Más de 1023

6972

Descargar configuración e imágenes en los extremos

HTTP

TCP

Cliente Jabber

CUCxn

Más de 1023

7080

Notificaciones del correo de voz

HTTPS

TCP

Cliente Jabber

CUCxn

Más de 1023

7443

Notificaciones de correo de voz seguras

HTTPS

TCP

Unified CM

Unified CM

Más de 1023

7501

Utilizado por Intercluster Lookup Service (ILS) para la autenticación basada en certificados

HTTPS

TCP

Unified CM

Unified CM

Más de 1023

7502

Usado por ILS para la autenticación basada en contraseña

IMAP

TCP

Cliente Jabber

CUCxn

Más de 1023

7993

IMAP por TLS

HTTP

TCP

Extremos

Unified CM

Más de 1023

8080

URI de directorio para la compatibilidad de extremos heredados

HTTPS

TCP

Explorador, extremo

Aplicaciones de UC

Más de 1023

8443

Acceso web para interfaces administrativas y de atención propia, UDS

HTTPS

TCP

Teléfono

Unified CM

Más de 1023

9443

Búsqueda de contactos autenticados

HTTP

TCP

Extremos

Unified CM

Más de 1023

9444

Función de administración de auriculares

RTP/SRTP seguro

UDP

Unified CM

Teléfono

16384 a 32767 *

16384 a 32767 *

Medios (audio): música en espera, indicador, puente de conferencia de software (abierto en función de la señalización de llamadas)

RTP/SRTP seguro

UDP

Teléfono

Unified CM

16384 a 32767 *

16384 a 32767 *

Medios (audio): música en espera, indicador, puente de conferencia de software (abierto en función de la señalización de llamadas)

cobras

TCP

Cliente

CUCxn

Más de 1023

20532

Realizar copias de seguridad y restaurar el conjunto de aplicaciones

ICMP

ICMP

Extremos

Aplicaciones de UC

n/d

n/d

Ping

ICMP

ICMP

Aplicaciones de UC

Extremos

n/d

n/d

Ping

DNS UDP y TCP

Reenviador de DNS

Servidores DNS de instancia dedicada

Más de 1023

53

Reenviadores DNS locales del cliente a servidores DNS de instancia dedicada. Consulte Requisitos de DNS para obtener más información.

* Ciertos casos especiales pueden utilizar un rango mayor.

Instancia dedicada: puertos OTT

Los clientes y socios pueden utilizar el siguiente puerto para la configuración de acceso móvil y remoto (MRA):

Cuadro 3. Puerto para OTT

Protocolo

TCP/UCP

Origen

Destino

Puerto de origen

Puerto de destino

Propósito

RTP/RTCP SEGURO

UDP

Expressway C

Cliente

Más de 1023

36000-59999

Medios seguros para llamadas MRA y B2B

Enlace troncal SIP entre operaciones entre Multitenant y Dedicated Instance (solo para el enlace troncal basado en inscripción)

Se debe permitir la siguiente lista de puertos en el firewall del cliente para el enlace troncal SIP basado en registro que se conecta entre la instancia multiinquilino y la instancia exclusiva.

Cuadro 4. Puerto para enlaces troncales basados en inscripción

Protocolo

TCP/UCP

Origen

Destino

Puerto de origen

Puerto de destino

Propósito

rtp/rtcp

UDP

Multiinquilino de Webex Calling

Cliente

Más de 1023

8000-48198

Medios de Webex Calling multiinquilino

Instancia exclusiva: puertos UCCX

Clientes y socios pueden utilizar la siguiente lista de puertos para configurar UCCX.

Tabla 5. Puertos Cisco UCCX

Protocolo

TCP/UCP

Origen

Destino

Puerto de origen

Puerto de destino

Propósito

Ssh

TCP

Cliente

UCCX

Más de 1023

22

SFTP y SSH

Informix

TCP

Cliente o servidor

UCCX

Más de 1023

1504

Puerto de base de datos del Centro de contacto Express

SIP

UDP y TCP

Servidor SIP GW o MCRP

UCCX

Más de 1023

5065

Comunicación con nodos GW y MCRP remotos

XMPP

TCP

Cliente

UCCX

Más de 1023

5223

Conexión xmpp segura entre el servidor de Finesse y aplicaciones personalizadas de terceros

Cvd

TCP

Cliente

UCCX

Más de 1023

6999

Editor de aplicaciones de CCX

HTTPS

TCP

Cliente

UCCX

Más de 1023

7443

Conexión boSH segura entre el servidor de Finesse y los escritorios del agente y el supervisor para la comunicación a través de HTTPS

HTTP

TCP

Cliente

UCCX

Más de 1023

8080

Los clientes con informes de datos en vivo se conectan a un servidor socket.IO

HTTP

TCP

Cliente

UCCX

Más de 1023

8081

Navegador del cliente intenta acceder a la interfaz web Cisco Unified Intelligence Center

HTTP

TCP

Cliente

UCCX

Más de 1023

8443

GUI de administración, RTMT, acceso a la base de datos a través de SOAP

HTTPS

TCP

Cliente

UCCX

Más de 1023

8444

Cisco Unified interfaz web de Intelligence Center

HTTPS

TCP

Explorador y clientes REST

UCCX

Más de 1023

8445

Puerto seguro para Finesse

HTTPS

TCP

Cliente

UCCX

Más de 1023

8447

HTTPS : ayuda en línea de Unified Intelligence Center

HTTPS

TCP

Cliente

UCCX

Más de 1023

8553

Los componentes del inicio de sesión único (SSO) acceden a esta interfaz para conocer el estado operativo de los IdS de Cisco.

HTTP

TCP

Cliente

UCCX

Más de 1023

9080

Los clientes intentan acceder a activadores o documentos/mensajes/gramática/datos en vivo de HTTP.

HTTPS

TCP

Cliente

UCCX

Más de 1023

9443

Puerto seguro utilizado para responder a clientes que intentan acceder a los activadores de HTTPS

TCP

TCP

Cliente

UCCX

Más de 1023

12014

Este es el puerto donde los clientes de informes de datos en vivo pueden conectarse al servidor socket.IO

TCP

TCP

Cliente

UCCX

Más de 1023

12015

Este es el puerto donde los clientes de informes de datos en vivo pueden conectarse al servidor socket.IO

Cti

TCP

Cliente

UCCX

Más de 1023

12028

Cliente CTI externo a CCX

RTP (Medios)

TCP

Extremos

UCCX

Más de 1023

Más de 1023

El puerto multimedia se abre dinámicamente según sea necesario

RTP (Medios)

TCP

Cliente

Extremos

Más de 1023

Más de 1023

El puerto multimedia se abre dinámicamente según sea necesario

Seguridad del cliente

Proteger Jabber y Webex con autenticación O SIP

Los clientes Jabber y Webex se autentican a través de un token de autenticación OAuth en lugar de un certificado localmente significativo (LSC), que no requiere la habilitación de la función de proxy de autoridades de certificación (CAPF) (también para MRA). Se introdujo la autenticación O SIP que funciona con o sin modo mixto en Cisco Unified CM 12.5(1), Jabber 12.5 y Expressway X12.5.

En Cisco Unified CM 12.5, tenemos una nueva opción en Perfil de seguridad telefónica que permite el cifrado sin LSC/CAPF, mediante el uso del token de seguridad de capa de transporte único (TLS) + autenticación automática en el registro de SIP. Expressway-C utilizan la API del servicio web de XML administrativo (AXL) para informar a Cisco Unified CM del SN/SAN en su certificado. Cisco Unified CM utiliza esta información para validar el certificado exp-C al establecer una conexión TLS mutuo cliente.

La autenticación OS SIP habilita el cifrado de medios y señales sin un certificado de extremo (LSC).

Cisco Jabber utiliza puertos efímeros y puertos seguros 6971 y 6972 a través de una conexión HTTPS al servidor TFTP para descargar los archivos de configuración. El puerto 6970 es un puerto no seguro para descargar a través de HTTP.

Más detalles acerca de la configuración de autenticación O DE SIP: Modo SIP OAuth.

Requisitos de DNS

Para la instancia dedicada, Cisco proporciona el FQDN para el servicio en cada región con el siguiente formato ..wxc-di.webex.com por ejemplo, xyz.amer.wxc-di.webex.com.

El administrador proporciona el valor 'cliente' como parte del Asistente de configuración inicial (FTSW). Para obtener más información, consulte Activación del servicio de instancia de uso exclusivo.

Los registros de DNS para esta FQDN deben resolverse desde el servidor DNS interno del cliente para admitir dispositivos locales que se conecten a la instancia de uso exclusivo. Para facilitar la resolución, el cliente debe configurar un Reenvío condicional, para este FQDN, en su servidor DNS que apunte al servicio DNS de instancia dedicada. El servicio de DNS de instancia dedicada es regional y se puede acceder a él, a través del emparejamiento a la instancia dedicada, utilizando las siguientes direcciones IP como se menciona en la siguiente tabla Dirección IP del servicio de DNS de instancia dedicada.

Tabla 6. Dirección IP del servicio DNS de la instancia dedicada

Región/D. C.

Dirección IP del servicio DNS de la instancia dedicada

Ejemplo de reenvío condicional

AMER

<customer>.amer.wxc-di.webex.com

Sjc

69.168.17.100

Dfw

69.168.17.228

Europa, Oriente Medio y África

<customer>.emea.wxc-di.webex.com

Lon

178.215.138.100

Ams

178.215.138.228

UE

<customer>.eu.wxc-di.webex.com

fra

178.215.131.100

Ams

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

Pecado

103.232.71.100

tky

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

Mel

178.215.128.100

Syd

178.215.128.228

Reino Unido

<customer>.uk.wxc-di.webex.com

Lon

178.215.135.100

hombre

178.215.135.228

La opción ping está deshabilitada para las direcciones IP del servidor DNS mencionados anteriormente por motivos de seguridad.

Hasta que se esté utilizando el reenvío condicional, los dispositivos no podrán inscribirse en la instancia de uso exclusivo desde la red interna del cliente a través de los enlaces peering. No se requiere el reenvío condicional para el registro a través de Dispositivos móviles y de Remote Access (MRA), ya que Cisco aprovisionará previamente todos los registros de DNS externos necesarios para facilitar mra.

Cuando utiliza la aplicación Webex como su cliente de software de llamadas en una instancia de uso exclusivo, se debe configurar un Perfil de UC Manager en Control Hub para el dominio de servicio de voz (VOICE Service Domain, VSD) de cada región. Para obtener más información, consulte Perfiles de administrador de UC en Cisco Webex Control Hub. La aplicación Webex podrá resolver automáticamente la resolución de problemas del cliente Expressway Edge sin ninguna intervención del usuario final.

El dominio del servicio de voz se le proporcionara al cliente como parte del documento de acceso del socio una vez que se complete la activación del servicio.

Utilizar un enrutador local para la resolución de DNS del teléfono

En el caso de teléfonos que no tienen acceso a los servidores DNS corporativos, es posible utilizar un enrutador de Cisco local para reenviar las solicitudes de DNS al DNS en la nube de la instancia exclusiva. Esto elimina la necesidad de implementar un servidor DNS local y proporciona soporte completo de DNS, incluido el almacenamiento en caché.

Configuración de ejemplo :

!

servidor de DNS IP

servidor de nombre de ip

!

El uso de DNS en este modelo de implementación es específico de teléfonos y solo se puede utilizar para resolver FQDN con el dominio de la instancia exclusiva de los clientes.

Resolución de DNS del teléfono