Requisitos de red para la instancia de uso exclusivo

Webex Calling instancia de uso exclusivo es parte de la cartera de productos de llamadas en la nube de Cisco, que funciona con la tecnología de colaboración Cisco Unified Communications Manager (Cisco Unified CM). Instancia dedicada ofrece soluciones de voz, vídeo, mensajería y movilidad con las características y beneficios de los teléfonos IP de Cisco, dispositivos móviles y clientes de escritorio que se conectan de manera segura a la instancia de uso exclusivo.

Este artículo está destinado a administradores de red, particularmente a administradores de firewalls y de seguridad de proxy que quieran usar la instancia de uso exclusivo dentro de la organización. Este documento se centra principalmente en los requisitos de red y seguridad para la solución de instancia de uso exclusivo, incluido el enfoque a nivel de las características y la funcionalidad que proporcionan acceso físico seguro, una red segura, extremos seguros y aplicaciones de Cisco UC seguras.

Requisitos del certificado para conexiones seguras en una instancia dedicada

En Webex Calling de uso exclusivo, Cisco proporcionará el dominio y firmará todos los certificados para las aplicaciones de UC utilizando una autoridad de certificación (CA) pública.

Instancia dedicada: números de puerto y protocolos

En las siguientes tablas se describen los puertos y protocolos que se admiten en instancia dedicada. Los puertos que se utilizan para un cliente determinado dependen de la implementación y la solución del cliente. Los protocolos dependen de la preferencia del cliente (SCCP vs SIP), de los dispositivos locales existentes y del nivel de seguridad para determinar qué puertos se utilizarán en cada implementación.

Instancia dedicada – Puertos del cliente

Los puertos disponibles para los clientes , entre las instalaciones del cliente y la instancia de uso exclusivo se muestran en la Tabla 1 Puertos del cliente de la instancia de uso exclusivo. Todos los puertos listados a continuación son para el tráfico del cliente que atraviesa los enlaces peering.


El puerto SNMP es compatible solo con la funcionalidad de CER y no con ninguna otra herramienta de supervisión de terceros.

Tabla 1. Puertos del cliente de la instancia dedicada

Protocolo

TCP/UCP

Origen

Destino

Puerto de origen

Puerto de destino

Propósito

SSH

TCP

Cliente

Aplicaciones de UC

Más de 1023

22

Administración

LDAP

TCP

Aplicaciones de UC

Directorio externo

Más de 1023

389

Sincronización de directorios con LDAP del cliente

HTTPS

TCP

Navegador

Aplicaciones de UC

Más de 1023

443

Acceso Web para interfaces administrativas y de atención propia

LDAP (SEGURO)

TCP

Aplicaciones de UC

Directorio externo

Más de 1023

636

Sincronización de directorios con LDAP del cliente

SCCP

TCP

Extremos

Unified CM, CUCxn

Más de 1023

2000

Señalización de llamada

SCCP

TCP

Unified CM

Unified CM, Puerta de enlace

Más de 1023

2000

Señalización de llamada

SCCP (SEGURO)

TCP

Extremos

Unified CM, CUCxn

Más de 1023

2443

Señalización de llamada

SCCP (SEGURO)

TCP

Unified CM

Unified CM, Puerta de enlace

Más de 1023

2443

Señalización de llamada

Verificación de confianza

TCP

Extremos

Unified CM

Más de 1023

2445

Proporcionar servicio de verificación de confianza a los extremos

CTI

TCP

Extremos

Unified CM

Más de 1023

2748

Conexión entre aplicaciones CTI (JTAPI/TSP) y CTIManager

CTI seguro

TCP

Extremos

Unified CM

Más de 1023

2749

Conexión segura entre aplicaciones CTI (JTAPI/TSP) y CTIManager

Catálogo global de LDAP

TCP

Aplicaciones de UC

Directorio externo

Más de 1023

3268

Sincronización de directorios con LDAP del cliente

Catálogo global de LDAP

TCP

Aplicaciones de UC

Directorio externo

Más de 1023

3269

Sincronización de directorios con LDAP del cliente

Servicio de CAPF

TCP

Extremos

Unified CM

Más de 1023

3804

El puerto para escuchar la Función de proxy de autoridades de emisión de certificados (Certificate Authority Proxy Function, CAPF) para emitir certificados significativas localmente (LSC) a teléfonos IP

SIP

TCP

Extremos

Unified CM, CUCxn

Más de 1023

5060

Señalización de llamada

SIP

TCP

Unified CM

Unified CM, Puerta de enlace

Más de 1023

5060

Señalización de llamada

SIP (SEGURO)

TCP

Extremos

Unified CM

Más de 1023

5061

Señalización de llamada

SIP (SEGURO)

TCP

Unified CM

Unified CM, Puerta de enlace

Más de 1023

5061

Señalización de llamada

SIP (OAUTH)

TCP

Extremos

Unified CM

Más de 1023

5090

Señalización de llamada

XMPP

TCP

Cliente Jabber

MI&P de Cisco

Más de 1023

5222

Mensajería instantánea y presencia

HTTP

TCP

Extremos

Unified CM

Más de 1023

6970

Descargar configuración e imágenes en los extremos

HTTPS

TCP

Extremos

Unified CM

Más de 1023

6971

Descargar configuración e imágenes en los extremos

HTTPS

TCP

Extremos

Unified CM

Más de 1023

6972

Descargar configuración e imágenes en los extremos

HTTP

TCP

Cliente Jabber

CUCxn

Más de 1023

7080

Notificaciones del correo de voz

HTTPS

TCP

Cliente Jabber

CUCxn

Más de 1023

7443

Notificaciones de correo de voz seguras

HTTPS

TCP

Unified CM

Unified CM

Más de 1023

7501

Utilizado por Intercluster Lookup Service (ILS) para la autenticación basada en certificados

HTTPS

TCP

Unified CM

Unified CM

Más de 1023

7502

Usado por ILS para la autenticación basada en contraseña

IMAP

TCP

Cliente Jabber

CUCxn

Más de 1023

7993

IMAP por TLS

HTTPS

TCP

Explorador, extremo

Aplicaciones de UC

Más de 1023

8443

Acceso web para interfaces administrativas y de atención propia, UDS

HTTPS

TCP

Prem

Unified CM

Más de 1023

9443

Búsqueda de contactos autenticados

RTP/SRTP seguro

UDP

Unified CM

Teléfono

16384 a 32767 *

16384 a 32767 *

Medios (audio): música en espera, indicador, puente de conferencia de software (abierto en función de la señalización de llamadas)

RTP/SRTP seguro

UDP

Teléfono

Unified CM

16384 a 32767 *

16384 a 32767 *

Medios (audio): música en espera, indicador, puente de conferencia de software (abierto en función de la señalización de llamadas)

ICMP

ICMP

Extremos

Aplicaciones de UC

n / a

n / a

Ping

ICMP

ICMP

Aplicaciones de UC

Extremos

n / a

n / a

Ping

* Ciertos casos especiales pueden utilizar un rango mayor.

Instancia dedicada – Puertos OTT

La siguiente lista de puertos pueden ser utilizados por los clientes y socios para la configuración de dispositivos Remote Access móvil (MRA):

Tabla 2. Lista de puertos para OTT

Protocolo

TCP/UCP

Origen

Destino

Puerto de origen

Puerto de destino

Propósito

SIP SEGURO

TCP

Extremos

Expressway E

Más de 1023

5061

Señalización SIP segura para inscripciones y llamadas de MRA

SIP SEGURO

TCP

Extremo/Servidor

Expressway E

Más de 1023

5062

SIP seguro para llamadas B2B

RTP/RTCP SEGURO

UDP

Extremo/Servidor

Expressway E

Más de 1023

36000-59999

Medios seguros para llamadas MRA y B2B

HTTPS (SEGURO)

TLS

Cliente

Expressway E

Más de 1023

8443

CUCM UDS y CUCxn REST para llamadas MRA

XMLS

TLS

Cliente

Expressway E

Más de 1023

5222

MI y Presencia

ACTIVAR

UDP

Cliente ICE

Expressway E

Más de 1023

3478

Negociación ICE/STUN/TURN

RTP/RTCP SEGURO

UPD

Cliente ICE

Expressway E

Más de 1023

24000-29999

Activar medios para respaldo ICE

Instancia dedicada – Puertos UCCX

Clientes y socios pueden utilizar la siguiente lista de puertos para configurar UCCX.

Tabla 3. Puertos Cisco UCCX

Protocolo

TCP/UCP

Origen

Destino

Puerto de origen

Puerto de destino

Propósito

SSH

TCP

Cliente

UCCX

Más de 1023

22

SFTP y SSH

Informix

TCP

Cliente o servidor

UCCX

Más de 1023

1504

Puerto de base de datos de Unified CCX

SIP

UDP y TCP

Servidor SIP GW o MCRP

UCCX

Más de 1023

5065

Comunicación con nodos GW y MCRP remotos

XMPP

TCP

Cliente

UCCX

Más de 1023

5223

Conexión xmpp segura entre el servidor de Finesse y aplicaciones personalizadas de terceros

CVD

TCP

Cliente

UCCX

Más de 1023

6999

Editor de aplicaciones de CCX

HTTPS

TCP

Cliente

UCCX

Más de 1023

7443

Conexión boSH segura entre el servidor de Finesse y los escritorios del agente y el supervisor para la comunicación a través de HTTPS

HTTP

TCP

Cliente

UCCX

Más de 1023

8080

Los clientes de informes de datos en vivo se conectan al socket. Servidor de E/S

HTTP

TCP

Cliente

UCCX

Más de 1023

8081

Navegador del cliente intenta acceder a la interfaz web Cisco Unified Intelligence Center

HTTP

TCP

Cliente

UCCX

Más de 1023

8443

GUI de administración, RTMT, acceso a DB a través de SOAP

HTTPS

TCP

Cliente

UCCX

Más de 1023

8444

Cisco Unified interfaz web de Intelligence Center

HTTPS

TCP

Explorador y clientes REST

UCCX

Más de 1023

8445

Puerto seguro para Finesse

HTTPS

TCP

Cliente

UCCX

Más de 1023

8447

HTTPS : ayuda en línea de Unified Intelligence Center

HTTPS

TCP

Cliente

UCCX

Más de 1023

8553

Los componentes del inicio de sesión único (SSO) acceden a esta interfaz para conocer el estado operativo de los IdS de Cisco.

HTTP

TCP

Cliente

UCCX

Más de 1023

9080

Los clientes intentan acceder a activadores o documentos/mensajes/gramática/datos en vivo de HTTP.

HTTPS

TCP

Cliente

UCCX

Más de 1023

9443

Puerto seguro utilizado para responder a clientes que intentan acceder a los activadores de HTTPS

TCP

TCP

Cliente

UCCX

Más de 1023

12014

Este es el puerto donde los clientes de informes de datos en vivo pueden conectarse al socket. Servidor de E/S

TCP

TCP

Cliente

UCCX

Más de 1023

12015

Este es el puerto donde los clientes de informes de datos en vivo pueden conectarse al socket. Servidor de E/S

CTI

TCP

Cliente

UCCX

Más de 1023

12028

Cliente CTI tercer a CCX

RTP (Medios)

TCP

Extremos

UCCX

Más de 1023

Más de 1023

El puerto multimedia se abre dinámicamente según sea necesario

RTP (Medios)

TCP

Cliente

Extremos

Más de 1023

Más de 1023

El puerto multimedia se abre dinámicamente según sea necesario

Seguridad del cliente

Proteger Jabber y Webex con autenticación O SIP

Los clientes Jabber y Webex se autentican a través de un token de autenticación OAuth en lugar de un certificado localmente significativo (LSC), que no requiere la habilitación de la función de proxy de autoridades de certificación (CAPF) (también para MRA). Se introdujo la autenticación O SIP que funciona con o sin modo mixto en Cisco Unified CM 12.5(1), Jabber 12.5 y Expressway X12.5.

En Cisco Unified CM 12.5, tenemos una nueva opción en Perfil de seguridad telefónica que permite el cifrado sin LSC/CAPF, mediante el uso del token de seguridad de capa de transporte único (TLS) + autenticación automática en el registro de SIP. Expressway-C utilizan la API del servicio web de XML administrativo (AXL) para informar a Cisco Unified CM del SN/SAN en su certificado. Cisco Unified CM utiliza esta información para validar el certificado exp-C al establecer una conexión TLS mutuo cliente.

La autenticación OS SIP habilita el cifrado de medios y señales sin un certificado de extremo (LSC).

Cisco Jabber utiliza puertos efímeros y puertos seguros 6971 y 6972 a través de una conexión HTTPS al servidor TFTP para descargar los archivos de configuración. El puerto 6970 es un puerto no seguro para descargar a través de HTTP.

Más detalles acerca de la configuración de autenticación O DE SIP: Modo de autenticación O DE SIP.

Requisitos de DNS

Para la instancia de uso exclusivo, Cisco proporciona FQDN para el servicio en cada región con el siguiente formato <customer><region>. wxc-di.webex.com ejemplo, xyz.amer.wxc-di.webex.com.

El administrador proporciona el valor 'cliente' como parte del Asistente de configuración inicial (FTSW). Para obtener más información, consulte Activación del servicio de instancia de uso exclusivo.

Los registros de DNS para esta FQDN deben resolverse desde el servidor DNS interno del cliente para que admitan dispositivos locales que se conecten a la instancia de uso exclusivo. Para facilitar la resolución, el cliente debe configurar un Reenvío condicional, para este FQDN, en su servidor DNS que apunte al servicio DNS de instancia dedicada. El servicio DNS de la instancia de uso exclusivo es regional y se puede establecer la conexión mediante el emparejamiento con la instancia de uso exclusivo, utilizando las siguientes direcciones IP como se menciona en la siguiente tabla Dirección IP del servicio DNS de la instancia de usoexclusivo.

Tabla 4. Dirección IP del servicio DNS de la instancia dedicada

Región/D. C.

Dirección IP del servicio DNS de la instancia dedicada

Ejemplo de reenvío condicional

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

PECADO

103.232.71.288

Hasta que se esté utilizando el reenvío condicional, los dispositivos no podrán inscribirse en la instancia de uso exclusivo desde la red interna del cliente a través de los enlaces peering. No se requiere el reenvío condicional para el registro a través de Dispositivos móviles y de Remote Access (MRA), ya que Cisco aprovisionará previamente todos los registros de DNS externos necesarios para facilitar mra.

Cuando utiliza la aplicación Webex como su cliente de software de llamadas en una instancia de uso exclusivo, se debe configurar un Perfil de UC Manager en Control Hub para el dominio de servicio de voz (VOICE Service Domain, VSD) de cada región. Para obtener más información, consulte Perfiles de administrador de UC en Cisco Webex Control Hub. La aplicación Webex podrá resolver automáticamente la resolución de problemas del cliente Expressway Edge sin ninguna intervención del usuario final.


El dominio del servicio de voz se le proporcionara al cliente como parte del documento de acceso del socio una vez que se complete la activación del servicio.

Referencias