Requisitos de red para Dedicated Instance

La instancia dedicada de Webex Calling es parte de la cartera de Nube de Cisco Calling, impulsada por la tecnología de colaboración Cisco Unified Communications Manager (Cisco Unified CM). La instancia dedicada ofrece soluciones de voz, vídeo, mensajería y movilidad con las características y ventajas de los teléfonos IP , los dispositivos móviles y los clientes de escritorio de Cisco que se conectan de forma segura a la instancia dedicada.

Este artículo está destinado a los administradores de red, en particular a los administradores de seguridad de firewall y proxy que desean utilizar una instancia dedicada dentro de su organización.

Descripción general de la seguridad: Seguridad en capas

Instancia dedicada utiliza un enfoque en capas para la seguridad. Las capas incluyen:

  • Acceso físico

  • Red

  • Extremos

  • Aplicaciones de UC

Las siguientes secciones describen las capas de seguridad en Instancia dedicada despliegues.

Seguridad física

Es importante proporcionar seguridad física a las ubicaciones de las salas Meet-Me de Equinix y a Cisco Instancia dedicada Instalaciones del centro de datos. Cuando la seguridad física se ve comprometida, se pueden iniciar ataques simples como la interrupción del servicio al apagar los interruptores de un cliente. Con acceso físico, los atacantes podrían acceder a los dispositivos del servidor, restablecer las contraseñas y obtener acceso a los conmutadores. El acceso físico también facilita ataques más sofisticados, como los ataques de intermediario, por lo que la segunda capa de seguridad, la seguridad de la red, es fundamental.

Las unidades de autocifrado se utilizan en Instancia dedicada Centros de datos que alojan aplicaciones de UC.

Para obtener más información sobre las prácticas de seguridad generales, consulte la documentación en la siguiente ubicación: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Seguridad de la red

Los socios deben asegurarse de que todos los elementos de la red estén protegidos Instancia dedicada infraestructura (que se conecta a través de Equinix). Es responsabilidad del socio garantizar las procedimientos recomendados de seguridad, tales como:

  • VLAN separada para voz y datos

  • Habilite la seguridad del puerto, que limita la cantidad de direcciones MAC permitidas por puerto, contra la inundación de la tabla CAM

  • Protección de la fuente de IP contra direcciones IP falsificadas

  • La inspección dinámica de ARP (DAI) examina el protocolo de resolución de direcciones (ARP) y el ARP gratuito (GARP) en busca de violaciones (contra la suplantación de ARP)

  • 802.1x limita el acceso a la red para autenticar dispositivos en las VLAN asignadas (los teléfonos admiten 802.1x )

  • Configuración de la calidad de servicio (QoS) para el marcado adecuado de los paquetes de voz

  • Configuraciones de puertos de firewall para bloquear cualquier otro tráfico

Seguridad de endpoints

Los puntos finales de Cisco admiten características de seguridad predeterminadas, como firmware firmado, arranque seguro (modelos seleccionados), certificado instalado por el fabricante (MIC) y archivos de configuración firmados, que proporcionan un cierto nivel de seguridad para los puntos finales.

Además, un socio o cliente puede habilitar seguridad adicional, como:

  • Cifrar los servicios de Teléfono IP (a través de HTTPS) para servicios como Extension Mobility

  • Emitir certificados de importancia local (LSC) desde la certificate authority proxy function (CAPF) o una autoridad de certificación pública (CA)

  • Cifrar archivos de configuración

  • Cifrar medios y señalización

  • Deshabilite estas configuraciones si no se utilizan: puerto PC de PC , acceso a VLAN de voz de PC, ARP gratuito, acceso Web , botón de configuración, SSH, consola

Implementar mecanismos de seguridad en el Instancia dedicada previene el robo de identidad de los teléfonos y el Servidor de Unified CM, la manipulación de datos y la manipulación de señales de llamada / flujo de medios.

Instancia dedicada a través de la red:

  • Establece y mantiene flujos de comunicación autenticados

  • Firma digitalmente archivos antes de transferirlos al teléfono

  • Cifra las transmisiones de medios y la señalización de llamadas entre teléfonos IP de Cisco Unified

Configuración de seguridad predeterminada

La seguridad de forma predeterminada proporciona las siguientes características de seguridad automática para los teléfonos IP de Cisco Unified:

  • Firma de los archivos de configuración del teléfono

  • Soporte para el cifrado de archivos de configuración del teléfono

  • HTTPS con Tomcat y otros servicios Web (MIDlets)

Para la versión 8.0 de Unified CM posterior, estas características de seguridad se proporcionan de forma predeterminada sin ejecutar el cliente de lista de confianza de certificados (CTL).

Servicio de verificación de confianza

Debido a que hay una gran cantidad de teléfonos en una red y los teléfonos IP tienen memoria limitada, Cisco Unified CM actúa como un almacén de confianza remoto a través del Servicio de verificación de confianza (TVS), por lo que no es necesario colocar un almacén de confianza de certificados en cada teléfono. Los teléfonos IP de Cisco se comunican con el servidor de TVS para la verificación porque no pueden verificar una firma o certificado a través de archivos CTL o ITL. Tener un almacén de confianza central es más fácil de administrar que tener el almacén de confianza en cada Teléfono IP de Cisco Unified.

TVS permite a los teléfonos IP de Cisco Unified autenticar servidores de aplicaciones, como servicios EM , directorio y MIDlet, durante el establecimiento de HTTPS.

Lista de confianza inicial

El archivo Initial Trust List (ITL) se utiliza para la seguridad inicial, de modo que los puntos finales puedan confiar en Cisco Unified CM. ITL no necesita que se habilite ninguna característica de seguridad explícitamente. El archivo ITL se crea automáticamente cuando se instala el clúster. La clave privada del servidor Unified CM Trivial File Transfer Protocol (TFTP) se utiliza para firmar el archivo ITL.

Cuando el clúster o servidor de Cisco Unified CM está en modo seguro , el archivo ITL se descarga en todos los Teléfono IP de Cisco compatibles. Un socio puede ver el contenido de un archivo ITL mediante el comando CLI, admin: show itl.

Los teléfonos IP de Cisco necesitan el archivo ITL para realizar las siguientes tareas:

  • Comunicarse de forma segura con CAPF, un requisito previo para admitir el cifrado de archivo de configuración

  • Autenticar la firma del archivo de configuración

  • Autenticar servidores de aplicaciones, como servicios EM , directorio y MIDlet durante el establecimiento de HTTPS mediante TVS

Cisco CTL

La autenticación de dispositivos, archivos y señalización se basa en la creación del archivo de lista de confianza de certificados (CTL), que se crea cuando el socio o el cliente instala y configura el cliente de lista de confianza de certificados de Cisco .

El archivo CTL contiene entradas para los siguientes servidores o tokens de seguridad:

  • Token de seguridad del administrador del sistema (SAST)

  • Servicios Cisco CallManager y Cisco TFTP que se ejecutan en el mismo servidor

  • Función de proxy de la Certificate Authority (CAPF)

  • Servidor (s) TFTP

  • ASA firewall

El archivo CTL contiene un certificado de servidor, clave pública, número de serie, firma, nombre del emisor, nombre del sujeto, función del servidor, nombre DNS y dirección IP para cada servidor.

La seguridad del teléfono con CTL proporciona las siguientes funciones:

  • Autenticación de archivos TFTP descargados (configuración, configuración regional, lista de llamadas, etc.) mediante una clave de firma

  • Cifrado de archivos de configuración TFTP mediante una clave de firma

  • Señalización de llamadas cifradas para teléfonos IP

  • Audio de llamada cifrado (medios) para teléfonos IP

Seguridad para teléfonos IP de Cisco en Instancia dedicada

Instancia dedicada proporciona registro de terminales y procesamiento de llamadas. La señalización entre Cisco Unified CM y los extremos se basa en el Protocolo de Control de cliente Skinny seguro (SCCP) o el Protocolo de inicio de sesión (SIP) y se puede cifrar mediante Seguridad de la capa de transporte (TLS). Los medios desde / hacia los puntos finales se basan en el Protocolo de transporte en tiempo real (RTP) y también se pueden cifrar mediante Secure RTP (SRTP).

La habilitación del modo mixto en Unified CM habilita el cifrado de la señalización y el tráfico de medios desde y hacia los puntos finales de Cisco .

Proteger las aplicaciones de UC

Activación del modo mixto en Dedicated Instance

El modo mixto está activado de forma predeterminada en Instancia dedicada .

Habilitar el modo mixto en Instancia dedicada permite la capacidad de realizar el cifrado de la señalización y el tráfico de medios desde y hacia los puntos finales de Cisco .

En la versión 12.5 (1) de Cisco Unified CM , se agregó una nueva opción para habilitar el cifrado de señalización y medios basados en SIP OAuth en lugar del modo mixto / CTL para los clientes de Jabber y Webex . Por lo tanto, en la versión 12.5 (1) de Unified CM , SIP OAuth y SRTP se pueden utilizar para habilitar el cifrado para la señalización y los medios para los clientes de Jabber o Webex . La habilitación del modo mixto sigue siendo necesaria para los teléfonos IP de Cisco y otros puntos finales de Cisco en este momento. Existe un plan para agregar soporte para SIP OAuth en los puntos finales 7800/8800 en una versión futura.

Seguridad de mensajería de voz

Cisco Unity Connection se conecta a Unified CM a través del puerto TLS . Cuando el modo de seguridad del dispositivo no es seguro, Cisco Unity Connection se conecta a Unified CM a través del puerto SCCP .

Para configurar la seguridad para los puertos de mensajería de voz de Unified CM y los dispositivos Cisco Unity que ejecutan SCCP o los dispositivos Cisco Unity Connection que ejecutan SCCP, un socio puede elegir un modo de seguridad de dispositivo seguro para el puerto. Si elige un puerto de buzón de voz de voz autenticado, se abre una conexión TLS , que autentica los dispositivos mediante un intercambio de certificados mutuos (cada dispositivo acepta el certificado del otro dispositivo). Si elige un puerto de buzón de voz de voz cifrado, el sistema primero autentica los dispositivos y luego envía transmisiones de voz cifradas entre los dispositivos.

Para obtener más información sobre los puertos de mensajería de voz de seguridad, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Seguridad para SRST, enlaces troncales, puertas de enlace, CUBE / SBC

Una puerta de enlace habilitada para Cisco Unified Survivable Remote Site Telephony (SRST) proporciona tareas limitadas de procesamiento de llamadas si Cisco Unified CM en Instancia dedicada no se puede completar la llamada.

Las puertas de enlace seguras SRST contienen un certificado firmado automáticamente. Después de que un socio realiza las tareas de configuración de SRST en la Unified CM Administration, Unified CM utiliza una conexión TLS para autenticarse con el servicio del proveedor de certificados en la Puerta de enlace habilitada para SRST. Luego, Unified CM recupera el certificado de la Puerta de enlace habilitada para SRST y agrega el certificado a la base de datos de Unified CM .

Una vez que el socio restablece los dispositivos dependientes en Unified CM Administration, el servidor TFTP agrega el certificado de Puerta de enlace habilitada para SRST para SRST al archivo cnf.xml del teléfono y lo envía al teléfono. Luego, un teléfono seguro utiliza una conexión TLS para interactuar con la Puerta de enlace habilitada para SRST.

Se recomienda tener enlaces troncales seguros para la llamada que se origina desde Cisco Unified CM a la puerta de enlace para las llamadas PSTN salientes o que atraviesan el Cisco Unified Border Element (CUBE).

Los troncales SIP pueden admitir llamadas seguras tanto para señalización como para medios; TLS proporciona cifrado de señalización y SRTP proporciona cifrado de medios.

Protección de las comunicaciones entre Cisco Unified CM y CUBE

Para comunicaciones seguras entre Cisco Unified CM y CUBE, los socios / clientes deben utilizar certificado firmado automáticamente una CA.

Para certificados autofirmados:

  1. CUBE y Cisco Unified CM generan certificados autofirmados

  2. CUBE exporta el certificado a Cisco Unified CM

  3. Cisco Unified CM exporta el certificado a CUBE

Para certificados firmados por una CA:

  1. El cliente genera un par de claves y envía una solicitud de firma de certificado (CSR) a la Certificate Authority (CA)

  2. La CA lo firma con su clave privada, creando un Certificado de Identidad

  3. El cliente instala la lista de certificados raíz e intermediarios de CA de confianza y el certificado de identidad

Seguridad para endpoints remotos

Con los puntos finales de Remote Access (MRA), la señalización y los medios siempre se cifran entre los puntos finales de MRA y los nodos de Expressway. Si se utiliza el protocolo de establecimiento de conectividad interactiva (ICE) para los extremos de MRA, se requiere la señalización y el cifrado de medios de los extremos de MRA. Sin embargo, el cifrado de la señalización y los medios entre Expressway-C y los servidores internos de Unified CM , los extremos internos u otros dispositivos internos, requiere modo mixto o SIP OAuth.

Cisco Expressway proporciona un cruce de firewall seguro y soporte del lado de la línea para los registros de Unified CM . Unified CM proporciona control de llamada tanto para terminales móviles como en las instalaciones . La señalización atraviesa la solución Expressway entre el punto final remoto y Unified CM. Los medios atraviesan la solución Expressway y se transmiten directamente entre los puntos finales. Todos los medios están encriptados entre Expressway-C y el punto final móvil.

Cualquier solución de MRA requiere Expressway y Unified CM, con clientes de software compatibles con MRA y / o terminales fijos. La solución puede incluir opcionalmente el servicio de IM y Servicio de presencia y Unity Connection.

Resumen del protocolo

La siguiente tabla muestra los protocolos y los servicios asociados que se utilizan en la solución Unified CM .

Tabla 1. Protocolos y servicios asociados

Protocolo

Seguridad

Servicio

SIP

TLS

Establecimiento de la sesión: Registrarse, invitar, etc.

HTTPS

TLS

Inicio de sesión, aprovisionamiento / configuración, directorio, correo de voz visual

Multimedia

SRTP

Medios: Audio, vídeo, uso compartido de contenido

XMPP

TLS

Mensajería instantánea, presencia, federación

Para obtener más información sobre la configuración de MRA, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Opciones de configuración

El Instancia dedicada proporciona a los socios la flexibilidad de personalizar los servicios para los usuarios finales mediante el control total de las configuraciones del segundo día. Como resultado, el socio es el único responsable de la configuración adecuada de Instancia dedicada servicio para el entorno del usuario final. Esto incluye, entre otros:

  • Elegir llamadas seguras / no seguras, protocolos seguros / no seguros como SIP/ sSIP, http / https, etc. y comprender los riesgos asociados.

  • Para todas las direcciones MAC no configuradas como seguras: SIP en Instancia dedicada , un atacante puede enviar un mensaje de registro SIP utilizando esa dirección MAC y poder realizar llamadas SIP , lo que resulta en fraude telefónico. La ventaja es que el atacante puede registrar su dispositivo SIP para Instancia dedicada sin autorización si conocen la dirección MAC de un dispositivo registrado en Instancia dedicada .

  • Las políticas de llamadas, la transformación y las reglas de búsqueda de Expressway-E deben configurarse para evitar el fraude telefónico. Para obtener más información sobre cómo prevenir el fraude telefónico mediante Expressways, consulte la sección Seguridad para Expressway C y Expressway-E de Colaboración SRND .

  • Configuración del plan de marcación para garantizar que los usuarios solo puedan marcar los destinos permitidos, por ejemplo, prohibir la marcación nacional / internacional, las llamadas de emergencia se enrutan correctamente, etc. Para obtener más información sobre la aplicación de restricciones mediante el plan de marcación, consulte Plan de marcado sección de Colaboración SRND.

Requisitos de certificado para conexiones seguras en Dedicated Instance

Para la instancia dedicada, Cisco proporcionará el dominio y firmará todos los certificados para las aplicaciones de UC mediante una Certificate Authority (CA) pública.

Instancia exclusiva: números de puerto y protocolos

Las siguientes tablas describen los puertos y protocolos que se admiten en la instancia dedicada. Los puertos que se utilizan para un cliente determinado dependen de la implementación y la solución del cliente. Los protocolos dependen de las preferencias del cliente (SCCP frente a SIP), de los dispositivos locales existentes y del nivel de seguridad para determinar qué puertos se utilizarán en cada implementación.


 

La instancia exclusiva no permite la traducción de direcciones de red (NAT) entre extremos y Unified CM, ya que algunas de las características de flujo de llamadas no funcionarán, por ejemplo, la característica de mitad de llamada.

Instancia dedicada: puertos del cliente

Los puertos disponibles para los clientes, entre el Cliente en las instalaciones y la Instancia dedicada, se muestran en la Tabla 1. Puertos de cliente de instancia dedicada . Todos los puertos que se enumeran a continuación son para el tráfico de clientes que atraviesa los enlaces de emparejamiento.


 

El puerto SNMP está abierto de manera predeterminada solo para que Cisco Emergency Responder admita su funcionalidad. Como no proporcionamos soporte para socios o clientes que supervisan las aplicaciones de UC implementadas en la nube de Dedicated Instance, no permitimos la apertura del puerto SNMP para ninguna otra aplicación de UC.


 

Cisco reserva los puertos del rango 5063 a 5080 para otras integraciones en la nube; se recomienda a los administradores de socios o clientes que no utilicen estos puertos en sus configuraciones.

Tabla 2. Puertos de cliente de instancia exclusiva

Protocolo

TCP/UDP

Origen

Destino

Puerto de origen

Puerto de destino

Propósito

SSH

TCP

Cliente

Aplicaciones de UC


 
No se permite para aplicaciones de Cisco Expressway.

Mayor que 1023

22

Administración

TFTP

UDP

Extremos

Unified CM

Mayor que 1023

69

Compatibilidad con endpoints heredados

LDAP

TCP

Aplicaciones de UC

Directorio externo

Mayor que 1023

389

Sincronización de directorios con LDAP del cliente

HTTPS

TCP

Explorador

Aplicaciones de UC

Mayor que 1023

443

Acceso Web para interfaces administrativas y de autocuidado

Correo saliente (SEGURO)

TCP

Aplicación UC

CUCxn

Mayor que 1023

587

Se utiliza para redactar y enviar mensajes seguros a cualquier destinatario designado

LDAP (SEGURO)

TCP

Aplicaciones de UC

Directorio externo

Mayor que 1023

636

Sincronización de directorios con LDAP del cliente

H323

TCP

Puerta de enlace

Unified CM

Mayor que 1023

1720

Señalización de llamada

H323

TCP

Unified CM

Unified CM

Mayor que 1023

1720

Señalización de llamada

SCCP

TCP

Extremos

Unified CM, CUCxn

Mayor que 1023

2000

Señalización de llamada

SCCP

TCP

Unified CM

Unified CM, puerta de enlace

Mayor que 1023

2000

Señalización de llamada

MGCP

UDP

Puerta de enlace

Puerta de enlace

Mayor que 1023

2427

Señalización de llamada

Backhaul de MGCP

TCP

Puerta de enlace

Unified CM

Mayor que 1023

2428

Señalización de llamada

SCCP (SEGURO)

TCP

Extremos

Unified CM, CUCxn

Mayor que 1023

2443

Señalización de llamada

SCCP (SEGURO)

TCP

Unified CM

Unified CM, puerta de enlace

Mayor que 1023

2443

Señalización de llamada

Verificación de confianza

TCP

Extremos

Unified CM

Mayor que 1023

2445

Proporcionar un servicio de verificación de confianza a los puntos finales

CTI

TCP

Extremos

Unified CM

Mayor que 1023

2748

Conexión entre aplicaciones CTI (JTAPI/ TSP) y CTIManager

CTI seguro

TCP

Extremos

Unified CM

Mayor que 1023

2749

Conexión segura entre aplicaciones CTI (JTAPI/ TSP) y CTIManager

Catálogo global LDAP

TCP

Aplicaciones de UC

Directorio externo

Mayor que 1023

3268

Sincronización de directorios con LDAP del cliente

Catálogo global LDAP

TCP

Aplicaciones de UC

Directorio externo

Mayor que 1023

3269

Sincronización de directorios con LDAP del cliente

Servicio CAPF

TCP

Extremos

Unified CM

Mayor que 1023

3804

Puerto de escucha de la función de proxy de la Certificate Authority (CAPF) para emitir certificados de importancia local (LSC) a los teléfonos IP

SIP

TCP

Extremos

Unified CM, CUCxn

Mayor que 1023

5060

Señalización de llamada

SIP

TCP

Unified CM

Unified CM, puerta de enlace

Mayor que 1023

5060

Señalización de llamada

SIP (SEGURO)

TCP

Extremos

Unified CM

Mayor que 1023

5061

Señalización de llamada

SIP (SEGURO)

TCP

Unified CM

Unified CM, puerta de enlace

Mayor que 1023

5061

Señalización de llamada

SIP (OAUTH)

TCP

Extremos

Unified CM

Mayor que 1023

5090

Señalización de llamada

XMPP

TCP

Cliente de Jabber

Cisco IM&P

Mayor que 1023

5222

Mensajería instantánea y presencia

HTTP

TCP

Extremos

Unified CM

Mayor que 1023

6970

Descarga de la configuración y las imágenes a los puntos finales

HTTPS

TCP

Extremos

Unified CM

Mayor que 1023

6971

Descarga de la configuración y las imágenes a los puntos finales

HTTPS

TCP

Extremos

Unified CM

Mayor que 1023

6972

Descarga de la configuración y las imágenes a los puntos finales

HTTP

TCP

Cliente de Jabber

CUCxn

Mayor que 1023

7080

Notificaciones de correo de voz

HTTPS

TCP

Cliente de Jabber

CUCxn

Mayor que 1023

7443

Notificaciones de correo de voz seguras

HTTPS

TCP

Unified CM

Unified CM

Mayor que 1023

7501

Utilizado por Intercluster Lookup Service (ILS) para la autenticación basada en certificados

HTTPS

TCP

Unified CM

Unified CM

Mayor que 1023

7502

Utilizado por ILS para la autenticación basada en contraseñas

IMAP

TCP

Cliente de Jabber

CUCxn

Mayor que 1023

7993

IMAP sobre TLS

HTTP

TCP

Extremos

Unified CM

Mayor que 1023

8080

URI de directorio para compatibilidad con endpoints heredados

HTTPS

TCP

Navegador, Endpoint

Aplicaciones de UC

Mayor que 1023

8443

Acceso Web para interfaces administrativas y de autocuidado, UDS

HTTPS

TCP

Teléfono

Unified CM

Mayor que 1023

9443

Búsqueda de contactos autenticados

HTTPs

TCP

Extremos

Unified CM

Mayor que 1023

9444

Función de gestión de auriculares

RTP/ SRTP

UDP

Unified CM

Teléfono

16384 a 32767 *

16384 a 32767 *

Medios (audio): Música en espera, anunciador, puente de conferencia de software (abierto según la señalización de llamadas)

RTP/ SRTP

UDP

Teléfono

Unified CM

16384 a 32767 *

16384 a 32767 *

Medios (audio): Música en espera, anunciador, puente de conferencia de software (abierto según la señalización de llamadas)

COBRAS

TCP

Cliente

CUCxn

Mayor que 1023

20532

Copia de seguridad y restauración del conjunto de aplicaciones

ICMP

ICMP

Extremos

Aplicaciones de UC

n / a

n / a

Ping

ICMP

ICMP

Aplicaciones de UC

Extremos

n / a

n / a

Ping

DNS UDP y TCP

reenvío de DNS

Servidores DNS de instancias dedicadas

Mayor que 1023

53

Redireccionadores de DNS local del cliente a servidores DNS de instancias dedicadas. Consulte Requisitos de DNS para obtener más información.

* Ciertos casos especiales pueden usar un rango mayor.

Instancia dedicada: puertos OTT

Los clientes y socios pueden utilizar el siguiente puerto para la configuración del Remote Access (MRA):

Cuadro 3. Puerto para OTT

Protocolo

TCP/ UCP

Origen

Destino

Puerto de origen

Puerto de destino

Propósito

SEGURO RTP/ RTCP

UDP

Autopista C

Cliente

Mayor que 1023

36000-59999

Medios seguros para llamadas MRA y B2B

Enlace troncal SIP inter-op entre Multi-tenancy y Dedicated Instance (solo para el enlace troncal basado en el registro)

Se debe permitir la siguiente lista de puertos en el firewall del cliente para el enlace troncal SIP basado en el registro que se conecta entre la instancia multiinquilino y la instancia dedicada.

Tabla 4. Puerto para enlaces troncales basados en el registro

Protocolo

TCP/ UCP

Origen

Destino

Puerto de origen

Puerto de destino

Propósito

RTP/RTCP

UDP

Multiinquilino de Webex Calling

Cliente

Mayor que 1023

8000-48198

Multimedia de Webex Calling Multitenant

Instancia dedicada: puertos UCCX

Los clientes y socios pueden utilizar la siguiente lista de puertos para configurar UCCX.

Tabla 5. Puertos Cisco UCCX

Protocolo

TCP / UCP

Origen

Destino

Puerto de origen

Puerto de destino

Propósito

SSH

TCP

Cliente

UCCX

Mayor que 1023

22

SFTP y SSH

Informix

TCP

Cliente o servidor

UCCX

Mayor que 1023

1504

Puerto de base de datos de Contact Center Express

SIP

UDP y TCP

Servidor SIP GW o MCRP

UCCX

Mayor que 1023

5065

Comunicación a nodos GW y MCRP remotos

XMPP

TCP

Cliente

UCCX

Mayor que 1023

5223

Conexión segura XMPP entre el servidor Finesse y aplicaciones personalizadas de terceros

CVD

TCP

Cliente

UCCX

Mayor que 1023

6999

Editor de aplicaciones CCX

HTTPS

TCP

Cliente

UCCX

Mayor que 1023

7443

Conexión segura de BOSH entre el servidor Finesse y los escritorios del agente y supervisor para la comunicación a través de HTTPS

HTTP

TCP

Cliente

UCCX

Mayor que 1023

8080

Los clientes de informes de datos en vivo se conectan a un servidor socket.IO

HTTP

TCP

Cliente

UCCX

Mayor que 1023

8081

Explorador del cliente que intenta acceder a la interfaz de web de Cisco Unified Intelligence Center

HTTP

TCP

Cliente

UCCX

Mayor que 1023

8443

Acceso a GUI de administración, RTMT, base de datos a través de SOAP

HTTPS

TCP

Cliente

UCCX

Mayor que 1023

8444

interfaz de web de Cisco Unified Intelligence Center

HTTPS

TCP

Clientes de navegador y REST

UCCX

Mayor que 1023

8445

Puerto seguro para Finesse

HTTPS

TCP

Cliente

UCCX

Mayor que 1023

8447

HTTPS: ayuda en línea de Unified Intelligence Center

HTTPS

TCP

Cliente

UCCX

Mayor que 1023

8553

Los componentes del inicio de sesión único (SSO) acceden a esta interfaz para conocer el estado operativo del IdS de Cisco.

HTTP

TCP

Cliente

UCCX

Mayor que 1023

9080

Clientes que intentan acceder a desencadenadores HTTP o documentos / avisos / gramáticas / datos en directo.

HTTPS

TCP

Cliente

UCCX

Mayor que 1023

9443

Puerto seguro utilizado para responder a los clientes que intentan acceder a los activadores HTTPS

TCP

TCP

Cliente

UCCX

Mayor que 1023

12014

Este es el puerto donde los clientes de informes de datos en vivo pueden conectarse al servidor socket.IO

TCP

TCP

Cliente

UCCX

Mayor que 1023

12015

Este es el puerto donde los clientes de informes de datos en vivo pueden conectarse al servidor socket.IO

CTI

TCP

Cliente

UCCX

Mayor que 1023

12028

Cliente CTI de terceros a CCX

RTP(medios)

TCP

Extremos

UCCX

Mayor que 1023

Mayor que 1023

El puerto de medios se abre dinámicamente según sea necesario

RTP(medios)

TCP

Cliente

Extremos

Mayor que 1023

Mayor que 1023

El puerto de medios se abre dinámicamente según sea necesario

Seguridad del cliente

Protección de Jabber y Webex con SIP OAuth

Los clientes de Jabber y Webex se autentican a través de un token de OAuth en lugar de un certificado significativo localmente (LSC), que no requiere la habilitación de la certificate authority proxy function (CAPF) (también para MRA). SIP OAuth que funciona con o sin modo mixto se introdujo en Cisco Unified CM 12.5 (1), Jabber 12.5 y Expressway X12.5.

En Cisco Unified CM 12.5, tenemos una nueva opción en el perfil de seguridad del teléfono que permite el cifrado sin LSC/ CAPF, utilizando un solo token de Seguridad de la capa de transporte (TLS) + OAuth en el REGISTRO SIP . Los nodos de Expressway-C utilizan la API del servicio Web XML administrativo ( AXL ) para informar a Cisco Unified CM del SN / SAN en su certificado. Cisco Unified CM utiliza esta información para validar el certificado Exp-C al establecer una conexión TLS mutua.

SIP OAuth permite el cifrado de señalización y medios sin un certificado de punto final (LSC).

Cisco Jabber utiliza puertos efímeros y puertos seguros 6971 y 6972 a través de la conexión HTTPS al servidor TFTP para descargar los archivos de configuración. El puerto 6970 es un puerto no seguro para descargar a través de HTTP.

Más detalles sobre la configuración de SIP OAuth: Modo SIP OAuth .

Requisitos de DNS

Para la instancia dedicada, Cisco proporciona el FQDN para el servicio en cada región con el siguiente formato<customer> .<region> .wxc-di.webex.com por ejemplo, xyz.amer.wxc-di.webex.com .

El valor de "cliente" lo proporciona el administrador como parte del Asistente de configuración inicial inicial (FTSW). Para obtener más información, consulte Activación del servicio de instancia dedicada .

Los registros DNS para este FQDN deben poder resolverse desde el servidor DNS interno del cliente para admitir dispositivos locales que se conecten a la instancia dedicada. Para facilitar la resolución, el cliente debe configurar un reenviador condicional, para este FQDN, en su servidor DNS que apunte al servicio DNS de instancia dedicada. El servicio DNS de la instancia dedicada es regional y se puede acceder a él, a través del emparejamiento con la instancia dedicada, utilizando las siguientes direcciones IP como se menciona en la siguiente tabla Dirección IP del servicio DNS de instancia dedicada .

Tabla 6. Dirección IP del servicio DNS de instancia dedicada

Región / DC

Dirección IP del servicio DNS de instancia dedicada

Ejemplo de reenvío condicional

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

Europa, Oriente Medio y África

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

UE

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

AMS

178.215.131.228

Asia Pacífico, Japón y China

<customer>.apjc.wxc-di.webex.com

Pecado

103.232.71.100

TKY

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


 

La opción de ping está deshabilitada para las direcciones IP del servidor DNS mencionadas anteriormente por razones de seguridad.

Hasta que se implemente el reenvío condicional, los dispositivos no podrán registrarse en la instancia dedicada desde la red interna del cliente a través de los enlaces de intercambio de tráfico. El reenvío condicional no es necesario para el registro a través de Mobile and Remote Access (MRA), ya que Cisco proporcionará previamente todos los registros DNS externos necesarios para facilitar la MRA.

Al utilizar la aplicación de Webex como su cliente de software de llamadas en una instancia dedicada, es necesario configurar un perfil de administrador de UC en Control Hub para el dominio de servicio de voz (VSD) de cada región. Para obtener más información, consulte Perfiles de UC Manager en Cisco Webex Control Hub . La aplicación de Webex podrá resolver automáticamente el Expressway Edge del cliente sin la intervención del usuario final .


 

El dominio del servicio de voz se proporcionará al cliente como parte del documento de acceso del socio una vez que se complete la activación del servicio.