Exigences réseau pour l’instance dédiée

L’instance dédiée de Webex Calling fait partie de la gamme Cisco Cloud Calling, optimisée par la technologie de collaboration Cisco Unified Communications Manager (Cisco Unified CM). L'instance dédiée offre des solutions vocales, vidéo, de messagerie et de mobilité avec les fonctionnalités et les avantages des téléphones IP Cisco, des périphériques mobiles et des clients de bureau qui se connectent en toute sécurité à l'instance dédiée.

Cet article est destiné aux administrateurs réseau, en particulier aux administrateurs de pare-feu et de sécurité proxy qui souhaitent utiliser une instance dédiée au sein de leur organisation.

Aperçu de la sécurité : Sécurité en couches

Instance dédiée utilise une approche en couches pour la sécurité. Les couches comprennent :

  • Accès physique

  • Réseau

  • Points de destination

  • Applications UC

Les sections suivantes décrivent les couches de sécurité dans Instance dédiée déploiements.

Sécurité physique

Il est important de fournir une sécurité physique aux emplacements des salles Meet-Me Equinix et Cisco Instance dédiée Installations du centre de données. Lorsque la sécurité physique est compromise, des attaques simples telles qu'une interruption de service en coupant l'alimentation des commutateurs d'un client peuvent être lancées. Avec un accès physique, les attaquants peuvent accéder aux périphériques du serveur, réinitialiser les mots de passe et accéder aux commutateurs. L'accès physique facilite également les attaques plus sophistiquées telles que les attaques de l'intercepteur, c'est pourquoi la deuxième couche de sécurité, la sécurité du réseau, est essentielle.

Les lecteurs à chiffrement automatique sont utilisés dans Instance dédiée Centres de données qui hébergent des applications UC.

Pour plus d’informations sur les pratiques générales de sécurité, reportez-vous à la documentation à l’emplacement suivant : https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Sécurité du réseau

Les partenaires doivent s'assurer que tous les éléments du réseau sont sécurisés dans Instance dédiée infrastructure (qui se connecte via Equinix). Il est de la responsabilité du partenaire de garantir les bonnes pratiques de sécurité telles que :

  • VLAN distinct pour la voix et les données

  • Activer la sécurité des ports qui limite le nombre d'adresses MAC autorisées par port, contre l'inondation de la table CAM

  • IP Source Guard contre les adresses IP falsifiées

  • L’inspection ARP dynamique (DAI) examine le protocole de résolution d’adresse (ARP) et l’ARP gratuit (GARP) pour détecter les violations (contre l’usurpation d’identité ARP)

  • 802.1x limite l'accès au réseau pour authentifier les périphériques sur les VLAN attribués (les téléphones prennent en charge 802.1x )

  • Configuration de la qualité de service (QoS) pour le marquage approprié des paquets vocaux

  • Configurations des ports du pare-feu pour bloquer tout autre trafic

Sécurité des terminaux

Les points de terminaison Cisco prennent en charge les fonctionnalités de sécurité par défaut telles que le micrologiciel signé, le démarrage sécurisé (certains modèles), le certificat installé par le fabricant (MIC) et les fichiers de configuration signés, qui fournissent un certain niveau de sécurité pour les points de terminaison.

En outre, un partenaire ou un client peut activer une sécurité supplémentaire, telle que :

  • Chiffrer les services téléphone IP (via HTTPS) pour des services tels que la Extension Mobility de poste

  • Émettre des certificats d'importance locale (LSC) à partir de la fonction proxy de l'autorité de certification (CAPF) ou d'une autorité de certification publique (CA)

  • Chiffrer les fichiers de configuration

  • Chiffrer les médias et la signalisation

  • Désactivez ces paramètres s'ils ne sont pas utilisés : port PC PC, accès PC Voice VLAN, ARP gratuit, accès Web, bouton Paramètres, SSH, console

Mettre en œuvre des mécanismes de sécurité dans le Instance dédiée empêche l’usurpation d’identité des téléphones et du serveur Unified CM, la falsification des données et la falsification de la signalisation d’appel/du flux média.

Instance dédiée sur le réseau :

  • Établit et maintient des flux de communication authentifiés

  • Signer numériquement les fichiers avant de les transférer sur le téléphone

  • Chiffre les flux média et la signalisation des appels entre les téléphones IP Cisco Unified

Paramétrage de sécurité par défaut

La sécurité par défaut fournit les fonctionnalités de sécurité automatique suivantes pour les téléphones IP Cisco Unified :

  • Signature des fichiers de configuration téléphonique

  • Prise en charge du chiffrement du fichier de configuration téléphonique

  • HTTPS avec Tomcat et autres services Web (MIDlets)

Pour Unified CM version 8.0 ultérieure, ces fonctionnalités de sécurité sont fournies par défaut sans exécuter le client Liste de certificats de confiance (CTL).

Service de vérification de confiance

Comme il y a un grand nombre de téléphones dans un réseau et que les téléphones IP ont une mémoire limitée, Cisco Unified CM agit comme un magasin de confiance distant via le service de vérification de confiance (TVS) afin qu'un magasin de certificats de confiance n'ait pas à être placé sur chaque téléphone. Les téléphones IP Cisco contactent le serveur TVS pour vérification car ils ne peuvent pas vérifier une signature ou un certificat via des fichiers CTL ou ITL. Il est plus facile de gérer un magasin d'approbations centralisé que d'avoir un magasin d'approbations sur chaque téléphone IP Cisco Unified .

TVS permet aux téléphones IP Cisco Unified d'authentifier les serveurs d'applications, tels que les services EM, l'annuaire et le MIDlet, lors de l'établissement de HTTPS.

Liste de confiance initiale

Le fichier de la liste de confiance initiale (ITL) est utilisé pour la sécurité initiale, afin que les points de terminaison puissent faire confiance à Cisco Unified CM. ITL n'a pas besoin de fonctionnalités de sécurité pour être activé explicitement. Le fichier ITL est automatiquement créé lorsque le cluster est installé. La clé privée du serveur Unified CM Trivial File Transfer Protocol (TFTP) est utilisée pour signer le fichier ITL.

Lorsque le cluster ou le serveur Cisco Unified CM est en mode non sécurisé, le fichier ITL est téléchargé sur chaque téléphone IP Cisco pris en charge . Un partenaire peut afficher le contenu d'un fichier ITL à l'aide de la commande CLI, admin:show itl.

Les téléphones IP Cisco ont besoin du fichier ITL pour effectuer les tâches suivantes :

  • Communiquer en toute sécurité avec CAPF, condition préalable à la prise en charge du chiffrement du fichier de configuration

  • Authentifier la signature du fichier de configuration

  • Authentifier les serveurs d'applications, tels que les services EM, l'annuaire et le MIDlet lors de l'établissement de HTTPS à l'aide de TVS

Cisco CTL

L'authentification des périphériques, des fichiers et de la signalisation repose sur la création du fichier Liste de certificats de confiance (CTL), qui est créé lorsque le partenaire ou le client installe et configure le client Liste de certificats de confiance Cisco.

Le fichier CTL contient des entrées pour les serveurs ou jetons de sécurité suivants :

  • Jeton de sécurité de l'administrateur système (SAST)

  • Services Cisco CallManager et Cisco TFTP qui s'exécutent sur le même serveur

  • Fonction proxy autorité de certification (CAPF)

  • Serveur(s) TFTP

  • pare-feu ASA

Le fichier CTL contient un certificat de serveur, une clé publique, un numéro de série, une signature, le nom de l'émetteur, le nom de l'objet, la fonction du serveur, le nom DNS et adresse IP de chaque serveur.

La sécurité du téléphone avec CTL fournit les fonctions suivantes :

  • Authentification des fichiers téléchargés TFTP (configuration, paramètres régionaux, liste de sonnerie, etc.) à l'aide d'une clé de signature

  • Chiffrement des fichiers de configuration TFTP à l'aide d'une clé de signature

  • Signalisation d'appel cryptée pour les téléphones IP

  • Appel audio crypté (média) pour les téléphones IP

Sécurité pour les téléphones IP Cisco dans Instance dédiée

Instance dédiée fournit l'enregistrement du point de terminaison et le traitement des appels. La signalisation entre Cisco Unified CM et les points de terminaison est basée sur le Secure Protocole SCCP (Skinny Client Control Protocol) (SCCP) ou le Protocole SIP (Session Initiation Protocol) et peut être chiffrée à l’aide de Transport Layer Security (TLS). Le média en provenance/à destination des points de terminaison est basé sur le protocole RTP (Real-time Transport Protocol) et peut également être chiffré à l’aide du protocole RTP sécurisé (SRTP).

L'activation du mode mixte sur Unified CM permet le chiffrement de la signalisation et du trafic média en provenance et à destination des points de terminaison Cisco.

Applications UC sécurisées

Activation du mode mixte dans Instance dédiée

Le mode mixte est activé par défaut dans Instance dédiée .

Activer le mode mixte dans Instance dédiée permet d'effectuer le chiffrement de la signalisation et du trafic média en provenance et à destination des points de terminaison Cisco.

Dans Cisco Unified CM version 12.5(1), une nouvelle option pour activer le chiffrement de la signalisation et du média basé sur SIP OAuth au lieu du mode mixte/CTL a été ajoutée pour les clients Jabber et Webex. Par conséquent, dans Unified CM version 12.5(1), SIP OAuth et SRTP peuvent être utilisés pour activer le chiffrement de la signalisation et des médias pour les clients Jabber ou Webex. L'activation du mode mixte continue d'être requise pour les téléphones IP Cisco et les autres points de terminaison Cisco pour le moment. Il est prévu d’ajouter la prise en charge de SIP OAuth sur les points de terminaison 7800/8800 dans une prochaine version.

Sécurité de la messagerie vocale

Cisco Unity Connection se connecte à Unified CM via le port TLS. Lorsque le mode de sécurité du périphérique n'est pas sécurisé, Cisco Unity Connection se connecte à Unified CM via le port SCCP.

Pour configurer la sécurité des ports de messagerie vocale Unified CM et des périphériques Cisco Unity qui exécutent SCCP ou des périphériques Cisco Unity Connection qui exécutent SCCP, un partenaire peut choisir un mode de sécurité de périphérique sécurisé pour le port. Si vous choisissez un port de messagerie vocale authentifié , une connexion TLS s'ouvre, qui authentifie les périphériques en utilisant un échange de certificats mutuel (chaque périphérique accepte le certificat de l'autre périphérique). Si vous choisissez un port de messagerie vocale chiffrée , le système authentifie d'abord les périphériques, puis envoie des flux vocaux chiffrés entre les périphériques.

Pour plus d'informations sur la sécurité des ports de messagerie vocale, reportez-vous à : https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Sécurité pour SRST, Trunks, Gateways, CUBE/SBC

Une passerelle Cisco Unified Survivable Remote Site Telephony (SRST) fournit des tâches de traitement d'appel limitées si Cisco Unified CM sur Instance dédiée ne peut pas terminer l’appel.

Les passerelles sécurisées compatibles SRST contiennent un certificat auto-signé. Lorsqu'un partenaire a effectué des tâches de configuration SRST dans administration Unified CM, Unified CM utilise une connexion TLS pour s'authentifier auprès du service du fournisseur de certificats dans la passerelle compatible SRST. Unified CM récupère ensuite le certificat de la passerelle compatible SRST et ajoute le certificat à la base de données Unified CM .

Une fois que le partenaire a réinitialisé les périphériques dépendants dans administration Unified CM, le serveur TFTP ajoute le certificat de passerelle compatible SRST SRST au fichier cnf.xml du téléphone et envoie le fichier au téléphone. Un téléphone sécurisé utilise ensuite une connexion TLS pour interagir avec la passerelle compatible SRST.

Il est recommandé d'avoir des troncs sécurisés pour l'appel provenant de Cisco Unified CM vers la passerelle pour les appels RTCP sortants ou traversant le Cisco Unified Border Element (CUBE).

Les lignes réseau SIP peuvent prendre en charge les appels sécurisés à la fois pour la signalisation et les médias ; TLS fournit le chiffrement de la signalisation et SRTP fournit le chiffrement des médias.

Sécuriser les communications entre Cisco Unified CM et CUBE

Pour des communications sécurisées entre Cisco Unified CM et CUBE, les partenaires/clients doivent utiliser un certificat auto-signé par une autorité de certification.

Pour les certificats auto-signés :

  1. CUBE et Cisco Unified CM génèrent des certificats auto-signés

  2. CUBE exporte le certificat vers Cisco Unified CM

  3. Cisco Unified CM exporte le certificat vers CUBE

Pour les certificats signés par une autorité de certification :

  1. Le client génère une paire de clés et envoie une demande de signature de certificat (CSR) à l' autorité de certification (CA)

  2. L'autorité de certification le signe avec sa clé privée, créant un certificat d'identité

  3. Le client installe la liste des certificats CA racine et intermédiaire de confiance et le certificat d'identité

Sécurité pour les terminaux distants

Avec les points de terminaison MRA (Mobile and Remote Access), la signalisation et le média sont toujours chiffrés entre les points de terminaison MRA et les nœuds Expressway. Si le protocole ICE (Interactive Connectivity Establishment) est utilisé pour les points de terminaison MRA, la signalisation et le chiffrement des médias des points de terminaison MRA sont requis. Cependant, le chiffrement de la signalisation et des médias entre Expressway-C et les serveurs Unified CM internes, les points de terminaison internes ou d'autres périphériques internes, nécessite le mode mixte ou SIP OAuth.

Cisco Expressway fournit une traversée sécurisée du pare-feu et une prise en charge côté ligne pour les enregistrements Unified CM . Unified CM fournit le contrôle des appels pour les points de terminaison mobiles et sur site. La signalisation traverse la solution Expressway entre le point de terminaison distant et Unified CM. Le média traverse la solution Expressway et est directement relayé entre les points de terminaison. Tous les médias sont chiffrés entre Expressway-C et le point de terminaison mobile.

Toute solution MRA nécessite Expressway et Unified CM, avec des clients logiciels compatibles MRA et/ou des points de terminaison fixes. La solution peut éventuellement inclure le service de messagerie instantanée et de présence et Unity Connection.

Résumé du protocole

Le tableau suivant présente les protocoles et les services associés utilisés dans la solution Unified CM .

Tableau 1. Protocoles et services associés

Protocole

Sécurité

Service

SIP

TLS

Établissement de la session : S’inscrire, inviter, etc.

HTTPS

TLS

Connexion, Provisioning/Configuration, Répertoire, Messagerie vocale visuelle

Média

SRTP

Médias : Audio, vidéo, partage de contenu

XMPP

TLS

Messagerie instantanée, présence, fédération

Pour plus d’informations sur la configuration MRA, voir : https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Options de configuration

Le Instance dédiée offre au partenaire la flexibilité de personnaliser les services pour les utilisateurs finaux grâce à un contrôle total des configurations du deuxième jour. En conséquence, le Partenaire est seul responsable de la configuration correcte de Instance dédiée service pour l'environnement de l'utilisateur final. Cela inclut, mais sans s’y limiter :

  • Choisir des appels sécurisés/non sécurisés, des protocoles sécurisés/non sécurisés tels que SIP/sSIP, http/https, etc. et comprendre les risques associés.

  • Pour toutes les adresses MAC non configurées comme Secure-SIP dans Instance dédiée , un attaquant peut envoyer un message SIP Register en utilisant cette adresse MAC et être en mesure de passer des appels SIP, ce qui entraîne une fraude à l’interurbain. La condition préalable est que l’attaquant peut enregistrer son périphérique/logiciel SIP sur Instance dédiée sans autorisation s'ils connaissent l' adresse MAC d'un périphérique enregistré dans Instance dédiée .

  • Les stratégies d’appel Expressway-E, les règles de transformation et de recherche doivent être configurées pour empêcher la fraude à l’interurbain. Pour plus d’informations sur la prévention de la fraude aux péages à l’aide d’Expressways, reportez-vous à la section Sécurité pour Expressway C et Expressway-E de Collaboration SRND .

  • Configuration du plan de numérotation pour garantir que les utilisateurs ne peuvent appeler que les destinations autorisées, par exemple, interdire la numérotation nationale/internationale, les appels d'urgence sont acheminés correctement, etc. Pour plus d'informations sur l'application de restrictions à l'aide du plan de numérotation, reportez-vous à Plan de numérotation section de Collaboration SRND.

Exigences de certificat pour les connexions sécurisées dans l’instance dédiée

Pour les instances dédiées, Cisco fournira le domaine et signera tous les certificats pour les applications UC à l'aide d'une autorité de certification (AC) publique.

Instance dédiée – numéros de port et protocoles

Les tableaux suivants décrivent les ports et les protocoles pris en charge dans l'instance dédiée. Les ports qui sont utilisés pour un client donné dépendent du déploiement et de la solution du client. Les protocoles dépendent des préférences du client (SCCP vs SIP), des périphériques existants sur site et du niveau de sécurité pour déterminer quels ports doivent être utilisés dans chaque déploiement.


 

Instance dédiée ne permet pas la traduction d’adresse réseau (NAT) entre les points de terminaison et Unified CM car certaines des fonctionnalités de flux d’appels ne fonctionneront pas, par exemple la fonctionnalité en cours d’appel.

Instance dédiée – Ports du client

Les ports disponibles pour les clients - entre l'instance sur site du client et l'instance dédiée sont indiqués dans le tableau 1 Ports du client de l'instance dédiée . Tous les ports répertoriés ci-dessous sont destinés au trafic client traversant les liens d'appairage.


 

Le port SNMP n'est ouvert par défaut que pour Cisco Emergency Responder pour prendre en charge sa fonctionnalité. Comme nous ne prenons pas en charge les partenaires ou les clients qui surveillent les applications UC déployées dans le Cloud Instance dédiée, nous n’autorisons pas l’ouverture du port SNMP pour d’autres applications UC.


 

Les ports compris entre 5063 et 5080 sont réservés par Cisco pour d’autres intégrations cloud, il est recommandé aux administrateurs partenaires ou clients de ne pas utiliser ces ports dans leurs configurations.

Tableau 2. Ports clients Instance dédiée

Protocole

TCP/UDP

Source

Destination

Port source

Port de destination

Objet

SSH

TCP

Client

Applications UC


 
Non autorisé pour les applications Cisco Expressway.

Supérieur à 1023

22

Administration

TFTP

UDP

Point de terminaison

Unified CM

Supérieur à 1023

69

Prise en charge des points de terminaison hérités

LDAP

TCP

Applications UC

Répertoire externe

Supérieur à 1023

389

Synchronisation du répertoire avec le LDAP du client

HTTPS

TCP

Navigateur

Applications UC

Supérieur à 1023

443

Accès Web pour les interfaces d’autogestion et d’administration

Courrier sortant (SÉCURISÉ)

TCP

Application UC

CUCxn

Supérieur à 1023

587

Utilisé pour composer et envoyer des messages sécurisés à tous les destinataires désignés

LDAP (SÉCURISÉ)

TCP

Applications UC

Répertoire externe

Supérieur à 1023

636

Synchronisation du répertoire avec le LDAP du client

H323

TCP

Passerelle

Unified CM

Supérieur à 1023

1720

Signalisation d'appel

H323

TCP

Unified CM

Unified CM

Supérieur à 1023

1720

Signalisation d'appel

SCCP

TCP

Point de terminaison

Unified CM, CUCxn

Supérieur à 1023

2000

Signalisation d'appel

SCCP

TCP

Unified CM

Unified CM, Passerelle

Supérieur à 1023

2000

Signalisation d'appel

MGCP

UDP

Passerelle

Passerelle

Supérieur à 1023

2427

Signalisation d'appel

Backhaul MGCP

TCP

Passerelle

Unified CM

Supérieur à 1023

2428

Signalisation d'appel

SCCP (SÉCURISÉ)

TCP

Point de terminaison

Unified CM, CUCxn

Supérieur à 1023

2443

Signalisation d'appel

SCCP (SÉCURISÉ)

TCP

Unified CM

Unified CM, Passerelle

Supérieur à 1023

2443

Signalisation d'appel

Vérification de la confiance

TCP

Point de terminaison

Unified CM

Supérieur à 1023

2445

Fournir un service de vérification de confiance aux points de terminaison

CTI

TCP

Point de terminaison

Unified CM

Supérieur à 1023

2748

Connexion entre les applications CTI (JTAPI/TSP) et CTIManager

CTI sécurisé

TCP

Point de terminaison

Unified CM

Supérieur à 1023

2749

Connexion sécurisée entre les applications CTI (JTAPI/TSP) et CTIManager

Catalogue global LDAP

TCP

Applications UC

Répertoire externe

Supérieur à 1023

3268

Synchronisation du répertoire avec le LDAP du client

Catalogue global LDAP

TCP

Applications UC

Répertoire externe

Supérieur à 1023

3269

Synchronisation du répertoire avec le LDAP du client

Service CAPF

TCP

Point de terminaison

Unified CM

Supérieur à 1023

3804

Port d'écoute de la fonction de proxy autorité de certification (CAPF) pour l'émission de certificats d'importance locale (LSC) aux téléphones IP

SIP

TCP

Point de terminaison

Unified CM, CUCxn

Supérieur à 1023

5060

Signalisation d'appel

SIP

TCP

Unified CM

Unified CM, Passerelle

Supérieur à 1023

5060

Signalisation d'appel

SIP (SÉCURISÉ)

TCP

Point de terminaison

Unified CM

Supérieur à 1023

5061

Signalisation d'appel

SIP (SÉCURISÉ)

TCP

Unified CM

Unified CM, Passerelle

Supérieur à 1023

5061

Signalisation d'appel

SIP (OAUTH)

TCP

Point de terminaison

Unified CM

Supérieur à 1023

5090

Signalisation d'appel

XMPP

TCP

Client Jabber

Cisco IM&P

Supérieur à 1023

5222

Messagerie instantanée et présence

HTTP

TCP

Point de terminaison

Unified CM

Supérieur à 1023

6970

Téléchargement de la configuration et des images sur les points de terminaison

HTTPS

TCP

Point de terminaison

Unified CM

Supérieur à 1023

6971

Téléchargement de la configuration et des images sur les points de terminaison

HTTPS

TCP

Point de terminaison

Unified CM

Supérieur à 1023

6972

Téléchargement de la configuration et des images sur les points de terminaison

HTTP

TCP

Client Jabber

CUCxn

Supérieur à 1023

7080

Notifications de messagerie vocale

HTTPS

TCP

Client Jabber

CUCxn

Supérieur à 1023

7443

Notifications de messagerie vocale sécurisées

HTTPS

TCP

Unified CM

Unified CM

Supérieur à 1023

7501

Utilisé par service de recherche intercluster (ILS) (ILS) pour l'authentification par certificat

HTTPS

TCP

Unified CM

Unified CM

Supérieur à 1023

7502

Utilisé par ILS pour l'authentification par mot de passe

IMAP

TCP

Client Jabber

CUCxn

Supérieur à 1023

7993

IMAP sur TLS

HTTP

TCP

Point de terminaison

Unified CM

Supérieur à 1023

8080

URI de répertoire pour la prise en charge des points de terminaison hérités

HTTPS

TCP

Navigateur, point de terminaison

Applications UC

Supérieur à 1023

8443

Accès Web pour les interfaces d’autogestion et d’administration, UDS

HTTPS

TCP

Téléphone

Unified CM

Supérieur à 1023

9443

Recherche de contacts authentifiés

HTTPs

TCP

Point de terminaison

Unified CM

Supérieur à 1023

9444

Fonctionnalité de gestion du casque

RTP/ SRTP sécurisé

UDP

Unified CM

Téléphone

16384 à 32767 *

16384 à 32767 *

Média (audio) - musique d'attente, Annonciateur, Pont de conférence logiciel (Ouvert en fonction de la signalisation d'appel)

RTP/ SRTP sécurisé

UDP

Téléphone

Unified CM

16384 à 32767 *

16384 à 32767 *

Média (audio) - musique d'attente, Annonciateur, Pont de conférence logiciel (Ouvert en fonction de la signalisation d'appel)

COBRAS

TCP

Client

CUCxn

Supérieur à 1023

20532

Sauvegarder et restaurer la suite applicative

ICMP

ICMP

Point de terminaison

Applications UC

n/a

n/a

Ping

ICMP

ICMP

Applications UC

Point de terminaison

n/a

n/a

Ping

DNS UDP et TCP

Transitaire DNS

Serveurs DNS d’instance dédiée

Supérieur à 1023

53

Transferts DNS sur site du client vers les serveurs DNS d’instance dédiée. Voir Exigences DNS pour plus d'informations.

* Certains cas particuliers peuvent utiliser une plage plus large.

Instance dédiée – ports OTT

Le port suivant peut être utilisé par les clients et les partenaires pour la configuration de l'accès mobile et à distance (MRA) :

Tableau 3. Port pour OTT

Protocole

TCP/UCP

Source

Destination

Port source

Port de destination

Objet

RTP/RTCP SÉCURISÉ

UDP

Autoroute C

Client

Supérieur à 1023

36000-59999

Média sécurisé pour les appels MRA et B2B

Trunk SIP inter-op entre Multitenant et Instance dédiée (uniquement pour le trunk basé sur l’enregistrement)

La liste suivante de ports doit être autorisée sur le pare-feu du client pour la connexion du trunk SIP basée sur l’enregistrement entre l’instance multitenant et l’instance dédiée.

Tableau 4. Port pour les lignes auxiliaires basées sur l’enregistrement

Protocole

TCP/UCP

Source

Destination

Port source

Port de destination

Objet

RTP/RTCP

UDP

Service partagé Webex Calling

Client

Supérieur à 1023

8000 À 48198

Média à partir du service partagé Webex Calling

Instance dédiée – ports UCCX

La liste de ports suivante peut être utilisée par les clients et les partenaires pour configurer UCCX.

Tableau 5. Ports Cisco UCCX

Protocole

TCP/UCP

Source

Destination

Port source

Port de destination

Objet

SSH

TCP

Client

UCCX

Supérieur à 1023

22

SFTP et SSH

Informix

TCP

Client ou serveur

UCCX

Supérieur à 1023

1504

Port de base de données Contact Center Express

SIP

UDP et TCP

Serveur SIP GW ou MCRP

UCCX

Supérieur à 1023

5065

Communication avec les nœuds GW et MCRP distants

XMPP

TCP

Client

UCCX

Supérieur à 1023

5223

Connexion XMPP sécurisée entre le serveur Finesse et les applications tierces personnalisées

CVD

TCP

Client

UCCX

Supérieur à 1023

6999

Éditeur des applications CCX

HTTPS

TCP

Client

UCCX

Supérieur à 1023

7443

Connexion BOSH sécurisée entre le serveur Finesse et les bureaux des agents et des superviseurs pour la communication via HTTPS

HTTP

TCP

Client

UCCX

Supérieur à 1023

8080

Les clients de création de rapports de données en direct se connectent à un serveur socket.IO

HTTP

TCP

Client

UCCX

Supérieur à 1023

8081

Le navigateur du client tente d'accéder à l' interface web de Cisco Unified Intelligence Center

HTTP

TCP

Client

UCCX

Supérieur à 1023

8443

Admin GUI, RTMT, accès DB sur SOAP

HTTPS

TCP

Client

UCCX

Supérieur à 1023

8444

interface web de Cisco Unified Intelligence Center

HTTPS

TCP

Navigateur et clients REST

UCCX

Supérieur à 1023

8445

Port sécurisé pour Finesse

HTTPS

TCP

Client

UCCX

Supérieur à 1023

8447

HTTPS - Aide en ligne Unified Intelligence Center

HTTPS

TCP

Client

UCCX

Supérieur à 1023

8553

Les composants de l'authentification unique (SSO) accèdent à cette interface pour connaître l'état de fonctionnement de Cisco IdS.

HTTP

TCP

Client

UCCX

Supérieur à 1023

9080

Clients essayant d'accéder aux déclencheurs HTTP ou aux documents/invites/grammaires/ données en direct.

HTTPS

TCP

Client

UCCX

Supérieur à 1023

9443

Port sécurisé utilisé pour répondre aux clients essayant d'accéder aux déclencheurs HTTPS

TCP

TCP

Client

UCCX

Supérieur à 1023

12014

Il s'agit du port où les clients de rapports de données en direct peuvent se connecter au serveur socket.IO

TCP

TCP

Client

UCCX

Supérieur à 1023

12015

Il s'agit du port où les clients de rapports de données en direct peuvent se connecter au serveur socket.IO

CTI

TCP

Client

UCCX

Supérieur à 1023

12028

Client CTI tiers vers CCX

RTP(Media)

TCP

Point de terminaison

UCCX

Supérieur à 1023

Supérieur à 1023

Le port média est ouvert dynamiquement si nécessaire

RTP(Media)

TCP

Client

Point de terminaison

Supérieur à 1023

Supérieur à 1023

Le port média est ouvert dynamiquement si nécessaire

Sécurité du client

Sécuriser Jabber et Webex avec SIP OAuth

Les clients Jabber et Webex sont authentifiés via un jeton OAuth au lieu d'un certificat localement important (LSC), qui ne nécessite pas l'activation de la fonction proxy d'autorité de certification (CAPF) (pour MRA également). SIP OAuth fonctionnant avec ou sans mode mixte a été introduit dans Cisco Unified CM 12.5(1), Jabber 12.5 et Expressway X12.5.

Dans Cisco Unified CM 12.5, nous avons une nouvelle option dans le profil de sécurité du téléphone qui permet le chiffrement sans LSC/CAPF, en utilisant un seul jeton Transport Layer Security (TLS) + OAuth dans SIP REGISTER. Les nœuds Expressway-C utilisent l' API Administrative XML Web Service (AXL) pour informer Cisco Unified CM du SN/SAN dans leur certificat. Cisco Unified CM utilise ces informations pour valider le certificat Exp-C lors de l'établissement d'une connexion TLS mutuelle.

SIP OAuth permet le chiffrement des médias et de la signalisation sans certificat de point de terminaison (LSC).

Cisco Jabber utilise les ports éphémères et les ports sécurisés 6971 et 6972 via une connexion HTTPS au serveur TFTP pour télécharger les fichiers de configuration. Le port 6970 est un port non sécurisé pour le téléchargement via HTTP.

Plus de détails sur la configuration SIP OAuth : Mode OAuth SIP .

Exigences DNS

Pour les instances dédiées, Cisco fournit le FQDN pour le service dans chaque région avec le format suivant<customer> .<region> .wxc-di.webex.com par exemple, xyz.amer.wxc-di.webex.com .

La valeur « client » est fournie par l'administrateur dans le cadre de l'assistant de assistant de configuration initiale initiale (FTSW). Pour plus d’informations, reportez-vous à Activation du service d'instance dédiée .

Les enregistrements DNS de ce nom de domaine complet doivent pouvoir être résolus à partir du serveur DNS interne du client pour prendre en charge les périphériques sur site qui se connectent à l'instance dédiée. Pour faciliter la résolution, le client doit configurer un redirecteur conditionnel, pour ce nom de domaine complet, sur son serveur DNS pointant vers le service DNS de l'instance dédiée. Le service DNS de l'instance dédiée est régional et peut être atteint, via l'appairage à l'instance dédiée, en utilisant les adresses IP suivantes, comme indiqué dans le tableau ci-dessous Adresse IP du service DNS de l'instance dédiée .

Tableau 6. Adresse IP du service DNS de l'instance dédiée

Région/DC

Adresse IP du service DNS de l'instance dédiée

Exemple de transfert conditionnel

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

SMA

178.215.138.228

UE

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

SMA

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

NAS

103.232.71.100

TKY

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


 

L'option ping est désactivée pour les adresses IP du serveur DNS mentionnées ci-dessus pour des raisons de sécurité.

Tant que le transfert conditionnel n’est pas en place, les périphériques ne peuvent pas s’enregistrer auprès de l’instance dédiée à partir du réseau interne du client via les liens d’appairage. Le transfert conditionnel n'est pas requis pour l'enregistrement via l'accès mobile et à distance (MRA), car tous les enregistrements DNS externes requis pour faciliter le MRA seront pré-provisionnés par Cisco.

Lorsque vous utilisez l'application Webex en tant que client logiciel d'appel sur une instance dédiée, un profil de gestionnaire UC doit être configuré dans Control Hub pour le domaine de service vocal (VSD) de chaque région. Pour plus d’informations, reportez-vous à Profils UC Manager dans Cisco Webex Control Hub . L'application Webex sera en mesure de résoudre automatiquement le problème Expressway Edge du client sans aucune intervention de l'utilisateur final.


 

Le domaine du service vocal sera fourni au client dans le cadre du document d'accès du partenaire une fois l'activation du service terminée.