Dedikoidun instanssin verkkovaatimukset

Webex Calling Dedicated Instance on osa Ciscon Cloud Calling -valikoimaa, joka perustuu Cisco Unified Communications Manager (Cisco Unified CM) -yhteistyöteknologiaan. Dedicated Instance tarjoaa ääni-, video-, viesti- ja liikkuvuusratkaisuja, joissa on Ciscon IP-puhelinten, mobiililaitteiden ja työpöytäasiakkaiden ominaisuuksia ja etuja, jotka muodostavat turvallisen yhteyden Dedicated Instanceen.

Tämä artikkeli on tarkoitettu verkon ylläpitäjille, erityisesti palomuurin ja välityspalvelimen tietoturvan ylläpitäjille, jotka haluavat käyttää Dedicated Instancea organisaatiossaan.

Turvallisuuskatsaus: Turvallisuus kerroksittain

Dedicated Instance käyttää monikerroksista lähestymistapaa tietoturvaan. Kerroksiin kuuluvat:

  • Fyysinen pääsy

  • Verkko

  • Päätepisteet

  • UC-sovellukset

Seuraavissa osioissa kuvataan Dedicated Instance -käyttöönottojen tietoturvakerrokset.

Fyysinen turvallisuus

Equinix Meet-Me Room -tilojen ja Ciscon Dedicated Instance -tietokeskusten fyysisen turvallisuuden varmistaminen on tärkeää. Kun fyysinen turvallisuus vaarantuu, voidaan käynnistää yksinkertaisia hyökkäyksiä, kuten palvelun keskeyttäminen katkaisemalla asiakkaan kytkimien virta. Fyysisen pääsyn avulla hyökkääjät voivat päästä käsiksi palvelinlaitteisiin, nollata salasanoja ja päästä käsiksi kytkimiin. Fyysinen pääsy helpottaa myös kehittyneempiä hyökkäyksiä, kuten välikäsien välityksellä tapahtuvia hyökkäyksiä, minkä vuoksi toinen turvakerros, verkkoturvallisuus, on ratkaisevan tärkeä.

Itsekoodaavia asemia käytetään Dedicated Instance -tietokeskuksissa, joissa on UC-sovelluksia.

Lisätietoja yleisistä turvallisuuskäytännöistä on dokumentaatiossa seuraavassa osoitteessa: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Verkon turvallisuus

Kumppaneiden on varmistettava, että kaikki verkkoelementit on suojattu Dedicated Instance -infrastruktuurissa (joka on yhteydessä Equinixin kautta). Kumppanin vastuulla on varmistaa parhaat turvallisuuskäytännöt, kuten:

  • Erillinen VLAN puheelle ja datalle

  • Ota käyttöön porttisuojaus, joka rajoittaa porttikohtaisesti sallittujen MAC-osoitteiden määrää CAM-taulukon tulvimisen estämiseksi.

  • IP Source Guard väärennettyjä IP-osoitteita vastaan

  • Dynaaminen ARP-tarkastus (DAI) tutkii osoitteenmääritysprotokollan (ARP) ja tarpeettoman ARP:n (GARP) rikkomukset (ARP-väärennöksiä vastaan).

  • 802.1x rajoittaa verkkoon pääsyn vain niille laitteille, jotka ovat tunnistautuneet määritettyihin VLAN-verkkotunnuksiin (puhelimet tukevat 802.1x).

  • Palvelun laadun (QoS) määrittäminen puhepakettien asianmukaista merkitsemistä varten.

  • Palomuurin porttimääritykset muun liikenteen estämiseksi.

Loppupisteiden turvallisuus

Ciscon päätelaitteet tukevat oletusarvoisia suojausominaisuuksia, kuten allekirjoitettua laiteohjelmistoa, suojattua käynnistystä (tietyt mallit), valmistajan asentamaa varmentetta (MIC) ja allekirjoitettuja konfiguraatiotiedostoja, jotka tarjoavat tietyn turvallisuustason päätelaitteille.

Lisäksi yhteistyökumppani tai asiakas voi ottaa käyttöön lisäturvaa, kuten:

  • IP-puhelinpalveluiden salaus (HTTPS:n kautta) esimerkiksi Extension Mobility -palveluiden osalta

  • Paikallisesti merkittävien varmenteiden (LSC) myöntäminen CAPF-toiminnosta (Certificate Authority Proxy Function) tai julkisesta varmentajasta (CA).

  • Konfiguraatiotiedostojen salaus

  • Median ja viestinnän salaus

  • Poista nämä asetukset käytöstä, jos niitä ei käytetä: PC-portti, PC Voice VLAN Access, Gratuitous ARP, Web Access, Asetukset-painike, SSH, konsoli.

Suojausmekanismien toteuttaminen dedikoidussa instanssissa estää puhelinten ja Unified CM -palvelimen identiteetin varastamisen, tietojen peukaloinnin ja puheluiden signaloinnin / mediavirran peukaloinnin.

Dedicated Instance verkon kautta:

  • Luo ja ylläpitää todennettuja tietoliikennevirtoja.

  • Allekirjoittaa tiedostot digitaalisesti ennen tiedoston siirtämistä puhelimeen.

  • Salaa mediavirrat ja puheluiden signaloinnin Cisco Unified IP -puhelinten välillä.

Oletusturva-asetukset

Security by default tarjoaa seuraavat automaattiset suojausominaisuudet Cisco Unified IP -puhelimille:

  • Puhelimen asetustiedostojen allekirjoittaminen

  • Tuki puhelimen asetustiedoston salaukselle

  • HTTPS Tomcatin ja muiden verkkopalvelujen kanssa (MIDlets)

Unified CM Release 8.0:n ja sitä uudempien versioiden osalta nämä suojausominaisuudet tarjotaan oletusarvoisesti ilman CTL-asiakkaan (Certificate Trust List) suorittamista.

Luottamuksen todentamispalvelu

Koska verkossa on suuri määrä puhelimia ja IP-puhelimien muisti on rajallinen, Cisco Unified CM toimii etäluottamussäilönä TVS-palvelun (Trust Verification Service) kautta, jotta varmenteen luottamussäilöä ei tarvitse sijoittaa jokaiseen puhelimeen. Cisco IP -puhelimet ottavat yhteyttä TVS-palvelimeen tarkistusta varten, koska ne eivät voi tarkistaa allekirjoitusta tai varmenteita CTL- tai ITL-tiedostojen avulla. Keskitetyn luottamussäilön hallinta on helpompaa kuin se, että luottamussäilö on jokaisessa Cisco Unified IP -puhelimessa.

TVS:n avulla Cisco Unified IP -puhelimet voivat todentaa sovelluspalvelimet, kuten EM-palvelut, hakemisto ja MIDlet, HTTPS:n perustamisen aikana.

Alkuperäinen luottamusluettelo

Initial Trust List (ITL) -tiedostoa käytetään alustavaan suojaukseen, jotta päätelaitteet voivat luottaa Cisco Unified CM:ään. ITL:n ei tarvitse ottaa mitään tietoturvaominaisuuksia erikseen käyttöön. ITL-tiedosto luodaan automaattisesti, kun klusteri asennetaan. Unified CM Trivial File Transfer Protocol (TFTP) -palvelimen yksityistä avainta käytetään ITL-tiedoston allekirjoittamiseen.

Kun Cisco Unified CM -klusteri tai -palvelin on suojaamattomassa tilassa, ITL-tiedosto ladataan jokaiseen tuettuun Cisco IP -puhelimeen. Kumppani voi tarkastella ITL-tiedoston sisältöä CLI-komennolla admin:show itl.

Ciscon IP-puhelimet tarvitsevat ITL-tiedoston seuraavien tehtävien suorittamiseen:

  • Kommunikoi turvallisesti CAPF:n kanssa, mikä on edellytys konfiguraatiotiedoston salauksen tukemiselle.

  • Konfiguraatiotiedoston allekirjoituksen todentaminen

  • Sovelluspalvelimien, kuten EM-palvelujen, hakemiston ja MIDletin, todennus HTTPS:n perustamisen aikana TVS:n avulla.

Cisco CTL

Laitteen, tiedoston ja signaloinnin todennus perustuu CTL-tiedoston (Certificate Trust List) luomiseen. CTL-tiedosto luodaan, kun kumppani tai asiakas asentaa ja konfiguroi Ciscon Certificate Trust List Client -ohjelman.

CTL-tiedosto sisältää merkinnät seuraaville palvelimille tai suojauskoodeille:

  • Järjestelmänvalvojan turvakoodi (SAST)

  • Cisco CallManager- ja Cisco TFTP-palvelut, jotka toimivat samalla palvelimella.

  • Varmenteen välitystoiminto (CAPF)

  • TFTP-palvelin(t)

  • ASA-palomuuri

CTL-tiedosto sisältää palvelinvarmenteen, julkisen avaimen, sarjanumeron, allekirjoituksen, myöntäjän nimen, kohteen nimen, palvelintoiminnon, DNS-nimen ja IP-osoitteen jokaiselle palvelimelle.

Puhelimen suojaus CTL:llä tarjoaa seuraavat toiminnot:

  • TFTP:llä ladattujen tiedostojen (konfiguraatio, paikannus, rengasluettelo jne.) todennus allekirjoitusavaimen avulla.

  • TFTP-konfiguraatiotiedostojen salaus allekirjoitusavaimella

  • IP-puhelinten salattu puheluiden signalointi

  • Salattu puheluääni (media) IP-puhelimissa

Ciscon IP-puhelinten suojaus dedikoidussa instanssissa

Dedicated Instance tarjoaa päätepisteiden rekisteröinnin ja puhelujen käsittelyn. Cisco Unified CM:n ja päätelaitteiden välinen signalointi perustuu Secure Skinny Client Control Protocol (SCCP) tai Session Initiation Protocol (SIP) -protokollaan, ja se voidaan salata TLS:llä (Transport Layer Security). Päätepisteistä ja päätepisteisiin lähtevä media perustuu reaaliaikaiseen RTP-protokollaan (Real-time Transport Protocol), ja se voidaan myös salata käyttämällä SRTP:tä (Secure RTP).

Sekatilan ottaminen käyttöön Unified CM:ssä mahdollistaa Ciscon päätelaitteista ja niihin suuntautuvan signalointi- ja medialiikenteen salauksen.

Turvalliset UC-sovellukset

Sekatilan ottaminen käyttöön Dedicated Instance -tilassa

Sekatila on oletusarvoisesti käytössä Dedicated Instance -tilassa.

Sekatilan ottaminen käyttöön Dedicated Instance -tilassa mahdollistaa Ciscon päätelaitteista ja niihin suuntautuvan signalointi- ja medialiikenteen salauksen.

Cisco Unified CM:n versiossa 12.5(1) lisättiin Jabber- ja Webex-asiakkaille uusi vaihtoehto, jolla voidaan ottaa käyttöön signaloinnin ja median salaus, joka perustuu SIP OAuthiin sekatilan / CTL:n sijaan. Siksi Unified CM:n julkaisussa 12.5(1) voidaan käyttää SIP OAuthia ja SRTP:tä signaalin ja median salauksen käyttöön ottamiseksi Jabber- tai Webex-asiakkaille. Sekatilan ottaminen käyttöön on edelleen tarpeen Ciscon IP-puhelimissa ja muissa Ciscon päätelaitteissa tällä hetkellä. SIP OAuth -tuki on tarkoitus lisätä 7800/8800-päätelaitteisiin tulevassa versiossa.

Puheviestien turvallisuus

Cisco Unity Connection muodostaa yhteyden Unified CM:ään TLS-portin kautta. Kun laitteen suojaustila on ei-turvallinen, Cisco Unity Connection muodostaa yhteyden Unified CM:ään SCCP-portin kautta.

Jos haluat määrittää suojauksen Unified CM:n puheviestiportteihin ja Cisco Unity -laitteisiin, joissa on SCCP, tai Cisco Unity Connection -laitteisiin, joissa on SCCP, kumppani voi valita portille suojatun laiteturvatilan. Jos valitset todennetun vastaajaportin, avautuu TLS-yhteys, jossa laitteet todennetaan keskinäisen varmenteiden vaihdon avulla (kumpikin laite hyväksyy toisen laitteen varmenteen). Jos valitset salatun puheportin, järjestelmä todentaa ensin laitteet ja lähettää sitten salattuja puhevirtoja laitteiden välillä.

Lisätietoja Security Voice -viestiportista on osoitteessa: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

SRST:n, runkojen, yhdyskäytävien ja CUBE/SBC:n tietoturva.

Cisco Unified Survivable Remote Site Telephony (SRST) -käytössä oleva yhdyskäytävä tarjoaa rajoitettuja puhelunkäsittelytehtäviä, jos Cisco Unified CM on Dedicated Instance ei pysty saattamaan puhelua loppuun.

Secure SRST -yhteensopivat yhdyskäytävät sisältävät itse allekirjoitetun varmenteen. Kun kumppani on suorittanut SRST-kokoonpanotehtävät Unified CM:n hallinnassa, Unified CM käyttää TLS-yhteyttä todentamiseen SRST-yhteensopivan yhdyskäytävän varmentajapalvelun kanssa. Tämän jälkeen Unified CM hakee varmenteen SRST-yhteensopivasta yhdyskäytävästä ja lisää varmenteen Unified CM:n tietokantaan.

Kun kumppani on nollannut riippuvaiset laitteet Unified CM:n hallinnassa, TFTP-palvelin lisää SRST-toiminnolla varustetun yhdyskäytävän varmenteen puhelimen cnf.xml-tiedostoon ja lähettää tiedoston puhelimeen. Tämän jälkeen suojattu puhelin käyttää TLS-yhteyttä vuorovaikutukseen SRST-yhteensopivan yhdyskäytävän kanssa.

On suositeltavaa, että Cisco Unified CM:stä lähteville puheluille on suojattu yhdyskäytävä lähteviä PSTN-puheluita varten tai Cisco Unified Border Elementin (CUBE) kautta kulkevia puheluita varten.

SIP-runkoyhteydet voivat tukea suojattuja puheluita sekä signaloinnin että median osalta; TLS tarjoaa signaloinnin salauksen ja SRTP tarjoaa median salauksen.

Cisco Unified CM:n ja CUBE:n välisen viestinnän suojaaminen

Cisco Unified CM:n ja CUBE:n välisessä suojatussa viestinnässä kumppaneiden/asiakkaiden on käytettävä joko itse allekirjoitettuja varmenteita tai CA:n allekirjoittamia varmenteita.

Itse allekirjoitettujen varmenteiden osalta:

  1. CUBE ja Cisco Unified CM luovat itse allekirjoitettuja varmenteita.

  2. CUBE vie varmenteen Cisco Unified CM:ään

  3. Cisco Unified CM vie varmenteen CUBEen

CA:n allekirjoittamat varmenteet:

  1. Asiakas luo avainparin ja lähettää varmenteen allekirjoituspyynnön (CSR) varmentajalle.

  2. Varmentaja allekirjoittaa sen yksityisellä avaimellaan, jolloin syntyy identiteettivarmenne.

  3. Asiakas asentaa luettelon luotettavien CA:n juuri- ja välivarmenteista sekä identiteettivarmenteen.

Etäpäätteiden suojaus

Mobiili- ja etäyhteys (MRA) -päätelaitteiden kanssa signalointi ja media on aina salattu MRA-päätelaitteiden ja Expressway-solmujen välillä. Jos ICE-protokollaa (Interactive Connectivity Establishment) käytetään MRA-päätepisteissä, MRA-päätepisteiden signalointi- ja mediasalaus vaaditaan. Expressway-C:n ja sisäisten Unified CM -palvelimien, sisäisten päätepisteiden tai muiden sisäisten laitteiden välisen signaloinnin ja median salaus edellyttää kuitenkin mixed-mode- tai SIP OAuth -toimintoa.

Cisco Expressway tarjoaa turvallisen palomuurin ylityksen ja linjapuolen tuen Unified CM -rekisteröinnille. Unified CM tarjoaa puhelujen hallinnan sekä mobiilipäätteille että tiloissa oleville päätelaitteille. Signaalointi kulkee Expressway-ratkaisun kautta etäpäätteen ja Unified CM:n välillä. Media kulkee Expressway-ratkaisun läpi ja välitetään suoraan päätepisteiden välillä. Kaikki media salataan Expressway-C:n ja mobiilipäätelaitteen välillä.

Kaikki MRA-ratkaisut edellyttävät Expresswayn ja Unified CM:n sekä MRA-yhteensopivia soft-asiakkaita ja/tai kiinteitä päätelaitteita. Ratkaisu voi sisältää valinnaisesti IM- ja läsnäolopalvelun sekä Unity Connectionin.

Yhteenveto pöytäkirjasta

Seuraavassa taulukossa esitetään Unified CM -ratkaisussa käytetyt protokollat ja niihin liittyvät palvelut.

Taulukko 1. Protokollat ja niihin liittyvät palvelut

Protokolla

Suojaus

Palvelu

SIP

TLS

Istunnon perustaminen: Rekisteröidy, kutsu jne.

HTTPS

TLS

Sisäänkirjautuminen, käyttöönotto/määritys, hakemisto, visuaalinen vastaajapalvelu

Media

SRTP

Media: Audio, video, sisällön jakaminen

XMPP

TLS

Pikaviestintä, läsnäolo, federaatio

Lisätietoja MRA-konfiguraatiosta on osoitteessa: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Konfigurointivaihtoehdot

Dedicated Instance tarjoaa kumppanille joustavuutta mukauttaa palveluita loppukäyttäjille, sillä se hallitsee täysin toisen päivän kokoonpanoja. Näin ollen kumppani on yksin vastuussa Dedicated Instance -palvelun asianmukaisesta konfiguroinnista loppukäyttäjän ympäristöön. Tähän kuuluvat muun muassa:

  • Turvallisten/epäsuojattujen puhelujen valinta, turvalliset/epäsuojatut protokollat, kuten SIP/sSIP, http/https jne. ja niihin liittyvien riskien ymmärtäminen.

  • Kaikissa MAC-osoitteissa, joita ei ole määritetty suojatuksi SIP-osoitteeksi Dedicated Instance -palvelussa, hyökkääjä voi lähettää SIP-rekisteriviestin kyseistä MAC-osoitetta käyttäen ja soittaa SIP-puheluita, mikä voi johtaa tietullipetokseen. Edellytyksenä on, että hyökkääjä voi rekisteröidä SIP-laitteensa/ohjelmistonsa Dedicated Instanceen ilman lupaa, jos hän tietää Dedicated Instanceen rekisteröidyn laitteen MAC-osoitteen.

  • Expressway-E-puhelukäytännöt, muunnos- ja hakusäännöt on määritettävä tietullipetosten estämiseksi. Lisätietoja tiemaksupetosten estämisestä pikaväylien avulla on kohdassa Security for Expressway C and Expressway-E, Collaboration SRND.

  • Valintasuunnitelman konfigurointi sen varmistamiseksi, että käyttäjät voivat valita vain sallittuihin kohteisiin, esim. kieltää kansallisen/kansainvälisen valinnan, hätäpuhelut reititetään oikein jne. Lisätietoja rajoitusten soveltamisesta valintasuunnitelman avulla on Collaboration SRND:n osassa Dial Plan .

Varmenteen vaatimukset suojatuille yhteyksille Dedicated Instance -tilassa

Dedicated Instance -tilassa Cisco tarjoaa verkkotunnuksen ja allekirjoittaa kaikki UC-sovellusten varmenteet julkisen varmentajan (Certificate Authority, CA) avulla.

Dedicated Instance - porttinumerot ja protokollat

Seuraavissa taulukoissa kuvataan portit ja protokollat, joita Dedicated Instance tukee. Tietyn asiakkaan käyttämät portit riippuvat asiakkaan käyttöönotosta ja ratkaisusta. Protokollien valinta riippuu asiakkaan mieltymyksestä (SCCP vs. SIP), olemassa olevista laitteista ja turvallisuustasosta, joka määrittää, mitä portteja kussakin käyttöönotossa käytetään.

Dedicated Instance ei salli verkko-osoitteiden kääntämistä (NAT) päätelaitteiden ja Unified CM:n välillä, jolloin jotkin puhelunkulkuominaisuudet eivät toimi, esimerkiksi puhelun puolivälissä oleva ominaisuus.

Dedicated Instance - Asiakassatamat

Asiakkaiden käytettävissä olevat portit - Asiakkaan toimipisteen ja Dedicated Instance -tilan välillä on esitetty taulukossa 1 Dedicated Instance -asiakkaan portit. Kaikki alla luetellut portit ovat asiakasliikennettä varten, joka kulkee peering-linkkien kautta.

SNMP-portti on oletusarvoisesti avoinna vain Cisco Emergency Responderin toiminnallisuutta varten. Koska emme tue kumppaneita tai asiakkaita, jotka valvovat Dedicated Instance -pilvipalveluun asennettuja UC-sovelluksia, emme salli SNMP-portin avaamista muille UC-sovelluksille.

Cisco on varannut portit alueella 5063-5080 muille pilvi-integraatioille, ja kumppanien tai asiakkaiden ylläpitäjien ei suositella käyttävän näitä portteja määrityksissään.

Taulukko 2. Dedicated Instance Asiakasportit

Protokolla

TCP/UDP

Lähde

Kohde

Lähdeportti

Määräsatama

Käyttötarkoitus

SSH

TCP

Asiakas

UC-sovellukset

Ei sallittu Cisco Expressway -sovelluksissa.

Suurempi kuin 1023

22

Hallinta

TFTP

UDP

Loppupiste

Unified CM

Suurempi kuin 1023

69

Legacy-päätepisteiden tuki

LDAP

TCP

UC-sovellukset

Ulkoinen hakemisto

Suurempi kuin 1023

389

Hakemiston synkronointi asiakkaan LDAP:n kanssa

HTTPS

TCP

Selain

UC-sovellukset

Suurempi kuin 1023

443

Verkkopääsy itsehoitoa ja hallinnollisia käyttöliittymiä varten

Lähtevä posti (SECURE)

TCP

UC-sovellus

CUCxn

Suurempi kuin 1023

587

Käytetään suojattujen viestien laatimiseen ja lähettämiseen määritetyille vastaanottajille.

LDAP (TURVALLINEN)

TCP

UC-sovellukset

Ulkoinen hakemisto

Suurempi kuin 1023

636

Hakemiston synkronointi asiakkaan LDAP:n kanssa

H323

TCP

Yhdyskäytävä

Unified CM

Suurempi kuin 1023

1720

Kutsun signalointi

H323

TCP

Unified CM

Unified CM

Suurempi kuin 1023

1720

Kutsun signalointi

SCCP

TCP

Loppupiste

Unified CM, CUCxn

Suurempi kuin 1023

2000

Kutsun signalointi

SCCP

TCP

Unified CM

Unified CM, yhdyskäytävä

Suurempi kuin 1023

2000

Kutsun signalointi

MGCP

UDP

Yhdyskäytävä

Yhdyskäytävä

Suurempi kuin 1023

2427

Kutsun signalointi

MGCP Backhaul

TCP

Yhdyskäytävä

Unified CM

Suurempi kuin 1023

2428

Kutsun signalointi

SCCP (SECURE)

TCP

Loppupiste

Unified CM, CUCxn

Suurempi kuin 1023

2443

Kutsun signalointi

SCCP (SECURE)

TCP

Unified CM

Unified CM, yhdyskäytävä

Suurempi kuin 1023

2443

Kutsun signalointi

Luottamuksen todentaminen

TCP

Loppupiste

Unified CM

Suurempi kuin 1023

2445

Luottamuksen varmentamispalvelun tarjoaminen päätepisteille

CTI

TCP

Loppupiste

Unified CM

Suurempi kuin 1023

2748

CTI-sovellusten (JTAPI/TSP) ja CTIManagerin välinen yhteys

Turvallinen CTI

TCP

Loppupiste

Unified CM

Suurempi kuin 1023

2749

Turvallinen yhteys CTI-sovellusten (JTAPI/TSP) ja CTIManagerin välillä.

LDAP Global Catalog

TCP

UC-sovellukset

Ulkoinen hakemisto

Suurempi kuin 1023

3268

Hakemiston synkronointi asiakkaan LDAP:n kanssa

LDAP Global Catalog

TCP

UC-sovellukset

Ulkoinen hakemisto

Suurempi kuin 1023

3269

Hakemiston synkronointi asiakkaan LDAP:n kanssa

CAPF-palvelu

TCP

Loppupiste

Unified CM

Suurempi kuin 1023

3804

CAPF (Certificate Authority Proxy Function) -kuunteluportti paikallisesti merkittävien varmenteiden (Locally Significant Certificates, LSC) myöntämistä varten IP-puhelimille.

SIP

TCP

Loppupiste

Unified CM, CUCxn

Suurempi kuin 1023

5060

Kutsun signalointi

SIP

TCP

Unified CM

Unified CM, yhdyskäytävä

Suurempi kuin 1023

5060

Kutsun signalointi

SIP (SECURE)

TCP

Loppupiste

Unified CM

Suurempi kuin 1023

5061

Kutsun signalointi

SIP (SECURE)

TCP

Unified CM

Unified CM, yhdyskäytävä

Suurempi kuin 1023

5061

Kutsun signalointi

SIP (OAUTH)

TCP

Loppupiste

Unified CM

Suurempi kuin 1023

5090

Kutsun signalointi

XMPP

TCP

Jabber-asiakas

Cisco IM&P

Suurempi kuin 1023

5222

Pikaviestit ja läsnäolo

HTTP

TCP

Loppupiste

Unified CM

Suurempi kuin 1023

6970

Konfiguraation ja kuvien lataaminen päätepisteisiin

HTTPS

TCP

Loppupiste

Unified CM

Suurempi kuin 1023

6971

Konfiguraation ja kuvien lataaminen päätepisteisiin

HTTPS

TCP

Loppupiste

Unified CM

Suurempi kuin 1023

6972

Konfiguraation ja kuvien lataaminen päätepisteisiin

HTTP

TCP

Jabber-asiakas

CUCxn

Suurempi kuin 1023

7080

Ääniposti-ilmoitukset

HTTPS

TCP

Jabber-asiakas

CUCxn

Suurempi kuin 1023

7443

Turvalliset puheposti-ilmoitukset

HTTPS

TCP

Unified CM

Unified CM

Suurempi kuin 1023

7501

Intercluster Lookup Service (ILS) käyttää varmennepohjaista todennusta varten.

HTTPS

TCP

Unified CM

Unified CM

Suurempi kuin 1023

7502

ILS käyttää salasanapohjaista todennusta varten

IMAP

TCP

Jabber-asiakas

CUCxn

Suurempi kuin 1023

7993

IMAP over TLS

HTTP

TCP

Loppupiste

Unified CM

Suurempi kuin 1023

8080

Legacy-päätepisteen tuen hakemisto-URI

HTTPS

TCP

Selain, päätepiste

UC-sovellukset

Suurempi kuin 1023

8443

Verkkopääsy itsehoitoa ja hallinnollisia käyttöliittymiä varten, UDS

HTTPS

TCP

Puhelin

Unified CM

Suurempi kuin 1023

9443

Todennettu yhteystietojen haku

HTTPs

TCP

Loppupiste

Unified CM

Suurempi kuin 1023

9444

Kuulokkeiden hallintaominaisuus

Turvallinen RTP/SRTP

UDP

Unified CM

Puhelin

16384-32767 *

16384-32767 *

Media (ääni) - Pidossa oleva musiikki, ilmoituslaite, ohjelmistokonferenssisilta (avoinna puhelun signalointiin perustuen).

Turvallinen RTP/SRTP

UDP

Puhelin

Unified CM

16384-32767 *

16384-32767 *

Media (ääni) - Pidossa oleva musiikki, ilmoituslaite, ohjelmistokonferenssisilta (avoinna puhelun signalointiin perustuen).

COBRAS

TCP

Asiakas

CUCxn

Suurempi kuin 1023

20532

Varmuuskopiointi ja palauttaminen Application Suite

ICMP

ICMP

Loppupiste

UC-sovellukset

Ei sovelleta

Ei sovelleta

Ping

ICMP

ICMP

UC-sovellukset

Loppupiste

Ei sovelleta

Ei sovelleta

Ping

DNS UDP ja TCP

DNS-tiedonsiirrin

Dedicated Instance DNS-palvelimet

Suurempi kuin 1023

53

Asiakkaan tiloissa olevat DNS-tiedonsiirtimet Dedicated Instance DNS-palvelimiin. Lisätietoja on osoitteessa DNS-vaatimukset .

* Tietyissä erityistapauksissa voidaan käyttää suurempaa vaihteluväliä.

Dedicated Instance - OTT-portit

Asiakkaat ja yhteistyökumppanit voivat käyttää seuraavaa porttia mobiili- ja etäyhteyden (MRA) asennukseen:

Taulukko 3. OTT-portti

Protokolla

TCP/UCP

Lähde

Kohde

Lähdeportti

Määräsatama

Käyttötarkoitus

TURVALLINEN RTP/RTCP

UDP

Pikaraitiotie C

Asiakas

Suurempi kuin 1023

36000-59999

Secure Media MRA- ja B2B-puheluita varten

Inter-op SIP-trunki monikäyttöisen ja dedikoidun instanssin välillä (vain rekisteröintiin perustuva trunki).

Asiakkaan palomuurissa on sallittava seuraavat portit rekisteröintiin perustuvalle SIP-trunkille, joka muodostaa yhteyden Multitenant- ja Dedicated Instance -palvelun välille.

Taulukko 4. Rekisteröintiin perustuvien runkoyhteyksien portti

Protokolla

TCP/UCP

Lähde

Kohde

Lähdeportti

Määräsatama

Käyttötarkoitus

RTP/RTCP

UDP

Webex Calling Multitenant

Asiakas

Suurempi kuin 1023

8000-48198

Media Webex Calling Multitenantista

Dedicated Instance - UCCX-portit

Asiakkaat ja yhteistyökumppanit voivat käyttää UCCX:n määrittämiseen seuraavaa porttiluetteloa.

Taulukko 5. Ciscon UCCX-portit

Protokolla

TCP / UCP

Lähde

Kohde

Lähdeportti

Määräsatama

Käyttötarkoitus

SSH

TCP

Asiakas

UCCX

Suurempi kuin 1023

22

SFTP ja SSH

Informix

TCP

Asiakas tai palvelin

UCCX

Suurempi kuin 1023

1504

Contact Center Express -tietokannan portti

SIP

UDP ja TCP

SIP GW tai MCRP-palvelin

UCCX

Suurempi kuin 1023

5065

Viestintä etä-GW- ja MCRP-solmujen kanssa

XMPP

TCP

Asiakas

UCCX

Suurempi kuin 1023

5223

Turvallinen XMPP-yhteys Finesse-palvelimen ja mukautettujen kolmannen osapuolen sovellusten välillä

CVD

TCP

Asiakas

UCCX

Suurempi kuin 1023

6999

CCX-sovellusten toimittaja

HTTPS

TCP

Asiakas

UCCX

Suurempi kuin 1023

7443

Finesse-palvelimen ja agentti- ja esimiestyöpöytien välinen suojattu BOSH-yhteys HTTPS-yhteyttä varten.

HTTP

TCP

Asiakas

UCCX

Suurempi kuin 1023

8080

Live-data-raportointiasiakkaat muodostavat yhteyden socket.IO-palvelimeen.

HTTP

TCP

Asiakas

UCCX

Suurempi kuin 1023

8081

Asiakkaan selain yrittää käyttää Cisco Unified Intelligence Centerin verkkokäyttöliittymää.

HTTP

TCP

Asiakas

UCCX

Suurempi kuin 1023

8443

Admin GUI, RTMT, tietokantakäyttö SOAPin kautta

HTTPS

TCP

Asiakas

UCCX

Suurempi kuin 1023

8444

Cisco Unified Intelligence Center -verkkokäyttöliittymä

HTTPS

TCP

Selain- ja REST-asiakkaat

UCCX

Suurempi kuin 1023

8445

Finessen turvallinen satama

HTTPS

TCP

Asiakas

UCCX

Suurempi kuin 1023

8447

HTTPS - Unified Intelligence Centerin online-ohjeet

HTTPS

TCP

Asiakas

UCCX

Suurempi kuin 1023

8553

Single sign-on (SSO) -komponentit käyttävät tätä käyttöliittymää saadakseen tiedon Cisco IdS:n toimintatilasta.

HTTP

TCP

Asiakas

UCCX

Suurempi kuin 1023

9080

Asiakkaat, jotka yrittävät käyttää HTTP-triggereitä tai asiakirjoja / kehotteita / kielioppia / live-dataa.

HTTPS

TCP

Asiakas

UCCX

Suurempi kuin 1023

9443

Suojattu portti, jota käytetään vastaamaan asiakkaille, jotka yrittävät käyttää HTTPS-liipaisimia.

TCP

TCP

Asiakas

UCCX

Suurempi kuin 1023

12014

Tämä on portti, josta live-data-raportointiasiakkaat voivat muodostaa yhteyden socket.IO-palvelimeen.

TCP

TCP

Asiakas

UCCX

Suurempi kuin 1023

12015

Tämä on portti, josta live-data-raportointiasiakkaat voivat muodostaa yhteyden socket.IO-palvelimeen.

CTI

TCP

Asiakas

UCCX

Suurempi kuin 1023

12028

Kolmannen osapuolen CTI-asiakas CCX:ään

RTP(Media)

TCP

Loppupiste

UCCX

Suurempi kuin 1023

Suurempi kuin 1023

Mediaportti avataan dynaamisesti tarpeen mukaan

RTP(Media)

TCP

Asiakas

Loppupiste

Suurempi kuin 1023

Suurempi kuin 1023

Mediaportti avataan dynaamisesti tarpeen mukaan

Asiakkaan turvallisuus

Jabberin ja Webexin suojaaminen SIP OAuthin avulla

Jabber- ja Webex-asiakkaat todennetaan OAuth-tunnisteen avulla paikallisesti merkittävän varmenteen (LSC) sijaan, mikä ei edellytä CAPF-toiminnon (Certificate Authority Proxy Function) käyttöönottoa (myös MRA:n osalta). SIP OAuth toimii sekatilassa tai ilman sitä, ja se otettiin käyttöön Cisco Unified CM 12.5(1):ssä, Jabber 12.5:ssä ja Expressway X12.5:ssä.

Cisco Unified CM 12.5:ssä puhelimen turvallisuusprofiilissa on uusi vaihtoehto, joka mahdollistaa salauksen ilman LSC/CAPF:ää käyttämällä TLS:ää (Transport Layer Security) + OAuth-tunnusta SIP REGISTERissä. Expressway-C-solmut käyttävät Administrative XML Web Service (AXL) -rajapintapalvelua (AXL) ilmoittaakseen Cisco Unified CM:lle varmenteensa SN/SAN-tiedot. Cisco Unified CM käyttää näitä tietoja Exp-C-sertifikaatin vahvistamiseen, kun se luo keskinäistä TLS-yhteyttä.

SIP OAuth mahdollistaa median ja viestinnän salauksen ilman päätelaitesertifikaattia (LSC).

Cisco Jabber käyttää TFTP-palvelimelle HTTPS-yhteyden kautta TFTP-palvelimelle asetustiedostojen lataamiseen Ephemeral-portteja ja suojattuja portteja 6971 ja 6972. Portti 6970 on suojaamaton portti HTTP-latausta varten.

Lisätietoja SIP OAuth -määrityksestä: SIP OAuth -tila.

DNS-vaatimukset

Dedicated Instance -palvelun osalta Cisco antaa palvelun FQDN:n kullakin alueella seuraavassa muodossa: ..wxc-di.webex.com esimerkiksi xyz.amer.wxc-di.webex.com.

Asiakas-arvon antaa järjestelmänvalvoja osana ohjatun ensiasennusohjelman (First Time Setup Wizard, FTSW) ohjelmaa. Lisätietoja on osoitteessa Dedicated Instance Service Activation.

Tämän FQDN:n DNS-tietueiden on oltava ratkaistavissa asiakkaan sisäisestä DNS-palvelimesta, jotta voidaan tukea paikallisia laitteita, jotka muodostavat yhteyden Dedicated Instance -palvelimeen. Ratkaisun helpottamiseksi asiakkaan on määritettävä tälle FQDN-nimelle ehdollinen välittäjä DNS-palvelimelle, joka osoittaa Dedicated Instance DNS-palveluun. Dedicated Instance DNS-palvelu on alueellinen, ja se on tavoitettavissa Dedicated Instance -palvelun peeringin kautta käyttämällä seuraavia IP-osoitteita, jotka on mainittu alla olevassa taulukossa Dedicated Instance DNS-palvelu IP-osoite.

Taulukko 6. Dedicated Instance DNS-palvelun IP-osoite

Alue/DC

Dedicated Instance DNS-palvelun IP-osoite

Ehdollinen edelleenlähetys Esimerkki

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

AMS

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

SIN

103.232.71.100

TKY

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228

UK

<customer>.uk.wxc-di.webex.com

LON

178.215.135.100

MAN

178.215.135.228

Ping-vaihtoehto on poistettu käytöstä edellä mainittujen DNS-palvelimen IP-osoitteiden osalta turvallisuussyistä.

Ennen kuin ehdollinen välitys on käytössä, laitteet eivät voi rekisteröityä Dedicated Instance -palveluun asiakkaan sisäverkosta peering-linkkien kautta. Ehdollista edelleenlähetystä ei tarvita MRA:n (Mobile and Remote Access) kautta tapahtuvassa rekisteröinnissä, sillä Cisco tarjoaa kaikki MRA:n edellyttämät ulkoiset DNS-tietueet valmiiksi.

Kun käytät Webex-sovellusta Dedicated Instance -sovelluksen softa-asiakkaana, Control Hubissa on määritettävä UC Manager -profiili kunkin alueen Voice Service Domain (VSD) -palvelualueelle. Lisätietoja on osoitteessa UC Manager Profiles in Cisco Webex Control Hub. Webex-sovellus pystyy automaattisesti ratkaisemaan asiakkaan Expressway Edge -yhteyden ilman loppukäyttäjän toimenpiteitä.

Voice Service Domain toimitetaan asiakkaalle osana kumppanin käyttöoikeutta koskevaa asiakirjaa, kun palvelun aktivointi on saatu päätökseen.

Käytä paikallista reititintä puhelimen DNS-resoluutiota varten

Puhelimissa, joilla ei ole pääsyä yrityksen DNS-palvelimille, on mahdollista käyttää paikallista Cisco-reititintä välittämään DNS-pyyntöjä Dedicated Instance -pilvipalvelimen DNS-palvelimelle. Tämä poistaa tarpeen ottaa käyttöön paikallinen DNS-palvelin ja tarjoaa täyden DNS-tuen, mukaan lukien välimuistitallennus.

Esimerkkikonfiguraatio :

!

ip dns-palvelin

ip-nimipalvelin

!

DNS:n käyttö tässä käyttöönottomallissa on puhelinkohtaista, ja sitä voidaan käyttää vain FQDN:n ratkaisemiseen asiakkaan Dedicated Instance -palvelun toimialueen kanssa.

Puhelimen DNS-resoluutio