Exigences réseau pour l’instance dédiée

Webex Calling instance dédiée fait partie du portefeuille Cisco Cloud Calling, optimisé par la technologie de collaboration Cisco Unified Communications Manager (Cisco Unified CM). L’instance dédiée offre des solutions de voix, vidéo, messagerie et mobilité avec les fonctionnalités et les avantages des téléphones IP Cisco, des périphériques mobiles et des clients de bureau qui se connectent en toute sécurité à l’instance dédiée.

Cet article est destiné aux administrateurs réseau, en particulier les administrateurs de pare-feu et de sécurité proxy qui souhaitent utiliser l’instance dédiée au sein de leur organisation. Ce document se concentre principalement sur les exigences réseau et la sécurité pour la solution d’instance dédiée, y compris l’approche en couches pour les fonctionnalités et les fonctionnalités qui fournissent un accès physique sécurisé, un réseau sécurisé, des points de terminaison sécurisés et des applications de UC Cisco sécurisées.

Exigences des certificats pour les connexions sécurisées dans une instance dédiée

Pour Webex Calling instance dédiée, Cisco fournira le domaine et signera tous les certificats des applications UC en utilisant une autorité de certification (AC) publique.

Instance dédiée – Numéros de port et protocoles

Les tableaux suivants décrivent les ports et les protocoles qui sont pris en charge dans l’instance dédiée. Les ports qui sont utilisés pour un client donné dépendent du déploiement et de la solution du client. Les protocoles dépendent des préférences du client (SCCP vs SIP), des périphériques sur site existants et du niveau de sécurité pour déterminer les ports qui doivent être utilisés dans chaque déploiement.

Instance dédiée – Ports des clients

Les ports disponibles pour les clients - entre l’instance sur site du client et l’instance dédiée sont affichés dans le tableau 1 Instance dédiée Ports des clients. Tous les ports répertoriés ci-dessous sont pour le trafic des clients qui traversent les liens d’peering.


Le port SNMP est pris en charge uniquement pour les fonctionnalités CER et non pour les autres outils de contrôle tiers.

Tableau 1. Ports des clients instance dédiés

Protocole

TCP/UCP

Source

Destination

Source port

Port de destination

Objectif

SSH

TCP

Client

Applications UC

Plus de 1023

22

Administration

LDAP

TCP

Applications UC

Répertoire externe

Plus de 1023

389

Synchronisation du répertoire avec LDAP du client

HTTPS

TCP

Navigateur

Applications UC

Plus de 1023

443

Accès Web pour votre personnel et interfaces administratives

LDAP (SÉCURISÉ)

TCP

Applications UC

Répertoire externe

Plus de 1023

636

Synchronisation du répertoire avec LDAP du client

SCCP

TCP

Point de terminaison

Unified CM, CUCxn

Plus de 1023

2000

Signalisation d’appel

SCCP

TCP

Unified CM

Unified CM, Passerelle

Plus de 1023

2000

Signalisation d’appel

SCCP (SÉCURISÉ)

TCP

Point de terminaison

Unified CM, CUCxn

Plus de 1023

2443

Signalisation d’appel

SCCP (SÉCURISÉ)

TCP

Unified CM

Unified CM, Passerelle

Plus de 1023

2443

Signalisation d’appel

Vérification de confiance

TCP

Point de terminaison

Unified CM

Plus de 1023

2445

Fournir le service de vérification de confiance aux points de terminaison

CTI

TCP

Point de terminaison

Unified CM

Plus de 1023

2748

Connexion entre les applications CTI (JTAPI/TSP) et CTIManager

CTI sécurisé

TCP

Point de terminaison

Unified CM

Plus de 1023

2749

Connexion sécurisée entre les applications CTI (JTAPI/TSP) et CTIManager

Catalogue global LDAP

TCP

UC Applications

Répertoire externe

Plus de 1023

3268

Synchronisation du répertoire avec LDAP du client

Catalogue global LDAP

TCP

UC Applications

Répertoire externe

Plus de 1023

3269

Synchronisation du répertoire avec LDAP du client

CAPF Service

TCP

Point de terminaison

Unified CM

Plus de 1023

3804

Port d’écoute de la fonction du proxy de l’autorité de certification (CERTIFICATE Authority Proxy Function (CAPF) pour l’émission de certificats locaux significatifs (LSC) sur les téléphones IP

SIP

TCP

Point de terminaison

Unified CM, CUCxn

Plus de 1023

5060

Signalisation d’appel

SIP

TCP

Unified CM

Unified CM, Passerelle

Plus de 1023

5060

Signalisation d’appel

SIP (SÉCURISÉ)

TCP

Point de terminaison

Unified CM

Plus de 1023

5061

Signalisation d’appel

SIP (SÉCURISÉ)

TCP

Unified CM

Unified CM, Passerelle

Plus de 1023

5061

Signalisation d’appel

SIP (OAUTH)

TCP

Point de terminaison

Unified CM

Plus de 1023

5090

Signalisation d’appel

XMPP

TCP

Jabber Client

MI Cisco&P

Plus de 1023

5222

Messagerie instantanée et Présence

HTTP

TCP

Point de terminaison

Unified CM

Plus de 1023

6970

Télécharger la configuration et les images vers les points de terminaison

HTTPS

TCP

Point de terminaison

Unified CM

Plus de 1023

6971

Télécharger la configuration et les images vers les points de terminaison

HTTPS

TCP

Point de terminaison

Unified CM

Plus de 1023

6972

Télécharger la configuration et les images vers les points de terminaison

HTTP

TCP

Jabber Client

CUCxn (CuCxn)

Plus de 1023

7080

Notifications de messagerie vocale

HTTPS

TCP

Jabber Client

CUCxn (CuCxn)

Plus de 1023

7443

Notifications de messagerie vocale sécurisées

HTTPS

TCP

Unified CM

Unified CM

Plus de 1023

7501

Utilisé par Intercluster Lookup Service (ILS) pour l’authentification par certificat

HTTPS

TCP

Unified CM

Unified CM

Plus de 1023

7502

Utilisé par ILS pour l’authentification par mot de passe

IMAP

TCP

Jabber Client

CUCxn (CuCxn)

Plus de 1023

7993

IMAP sur TLS

HTTPS

TCP

Navigateur, point de terminaison

Applications UC

Plus de 1023

8443

Accès Web pour self-care et interfaces administratives, UDS

HTTPS

TCP

Prem

Unified CM

Plus de 1023

9443

Recherche de contact authentifié

RTP/SRTP sécurisé

UDP

Unified CM

Téléphone

16384 à 32767 *

16384 à 32767 *

Média (audio) - Musique d’attente, Annunciator, Software Conference Bridge (Ouvert en fonction de la signalisation d’appel)

RTP/SRTP sécurisé

UDP

Téléphone

Unified CM

16384 à 32767 *

16384 à 32767 *

Média (audio) - Musique d’attente, Annunciator, Software Conference Bridge (Ouvert en fonction de la signalisation d’appel)

ICMP

ICMP

Point de terminaison

Applications UC

n/a

n/a

Ping

ICMP

ICMP

Applications UC

Point de terminaison

n/a

n/a

Ping

* Certains cas particuliers peuvent avoir une plus grande plage.

Instance dédiée – Ports OTT

La liste suivante des ports peut être utilisée par les clients et les partenaires pour la configuration des périphériques Remote Access mobiles (MRA) :

Tableau 2. Liste des ports pour OTT

Protocole

TCP/UCP

Source

Destination

Source port

Port de destination

Objectif

SIP SÉCURISÉ

TCP

Point de terminaison

Expressway E

Plus de 1023

5061

Signalisation SIP sécurisée pour l’inscription et les appels MRA

SIP SÉCURISÉ

TCP

Point de terminaison/Serveur

Expressway E

Plus de 1023

5062

SIP sécurisé pour les appels B2B

RTP/RTCP SÉCURISÉ

UDP

Point de terminaison/Serveur

Expressway E

Plus de 1023

36000-59999

Média sécurisé pour les appels MRA et B2B

HTTPS (SÉCURISÉ)

TLS

Client

Expressway E

Plus de 1023

8443

CUCM UDS et CUCxn REST pour les appels MRA

XMLS

TLS

Client

Expressway E

Plus de 1023

5222

MI et Presence

TOURNER

UDP

ICE Client

Expressway E

Plus de 1023

3478

ICE/STUN/TURN négociation

RTP/RTCP SÉCURISÉ

UPD

ICE Client

Expressway E

Plus de 1023

24000-29999

TURN media pour le retour ICE

Instance dédiée – Ports UCCX

La liste suivante des ports peut être utilisée par les clients et les partenaires pour la configuration UCCX.

Tableau 3. Ports UCCX Cisco

Protocole

TCP/UCP

Source

Destination

Source port

Port de destination

Objectif

SSH

TCP

Client

UCCX (États-Unis)

Plus de 1023

22

SFTP et SSH

Informix

TCP

Client ou Serveur

UCCX (États-Unis)

Plus de 1023

1504

Port de base de données Unified CCX

SIP

UDP et TCP

Serveur SIP GC ou MCRP

UCCX (États-Unis)

Plus de 1023

5065

Communication avec les nodes DISTANTs ET MCRP

XMPP

TCP

Client

UCCX (États-Unis)

Plus de 1023

5223

Connexion XMPP sécurisée entre le serveur Finesse et les applications tierces personnalisées

CVD

TCP

Client

UCCX (États-Unis)

Plus de 1023

6999

Éditeur des applications CCX

HTTPS

TCP

Client

UCCX (États-Unis)

Plus de 1023

7443

Connexion BOSH sécurisée entre le serveur Finesse et les bureaux de l’agent et du superviseur pour communication sur HTTPS

HTTP

TCP

Client

UCCX (États-Unis)

Plus de 1023

8080

Les clients des rapports de données en direct se connectent à socket. Serveur IO

HTTP

TCP

Client

UCCX (États-Unis)

Plus de 1023

8081

Navigateur client essayant d’accéder à l Cisco Unified interface Web de Intelligence Center

HTTP

TCP

Client

UCCX (États-Unis)

Plus de 1023

8443

Admin GUI, RTMT, accès À la base de données via SOAP

HTTPS

TCP

Client

UCCX (États-Unis)

Plus de 1023

8444

Cisco Unified interface Web de Intelligence Center

HTTPS

TCP

Navigateur et clients REST

UCCX (États-Unis)

Plus de 1023

8445

Port sécurisé pour Finesse

HTTPS

TCP

Client

UCCX (États-Unis)

Plus de 1023

8447

HTTPS - Aide en ligne Unified Intelligence Center

HTTPS

TCP

Client

UCCX (États-Unis)

Plus de 1023

8553

Les composants de l' sign-on (SSO) accèdent à cette interface pour connaître le statut d’exploitation de Cisco IdS.

HTTP

TCP

Client

UCCX (États-Unis)

Plus de 1023

9080

Clients essayant d’accéder aux déclencheurs HTTP ou documents / invites / grammaires / données live.

HTTPS

TCP

Client

UCCX (États-Unis)

Plus de 1023

9443

Port sécurisé utilisé pour répondre aux clients qui tentent d’accéder aux déclencheurs HTTPS

TCP

TCP

Client

UCCX (États-Unis)

Plus de 1023

12014

Ceci est le port sur lequel les clients de reporting de données en direct peuvent se connecter au socket. Serveur IO

TCP

TCP

Client

UCCX (États-Unis)

Plus de 1023

12015

Ceci est le port sur lequel les clients de reporting de données en direct peuvent se connecter au socket. Serveur IO

CTI

TCP

Client

UCCX (États-Unis)

Plus de 1023

12028

Client CTI tiers vers CCX

RTP (Média)

TCP

Point de terminaison

UCCX (États-Unis)

Plus de 1023

Plus de 1023

Le port média est ouvert dynamiquement si nécessaire

RTP (Média)

TCP

Client

Point de terminaison

Plus de 1023

Plus de 1023

Le port média est ouvert dynamiquement si nécessaire

Sécurité du client

Sécuriser Jabber et Webex avec SIP OAuth

Les clients Jabber et Webex sont authentifiés via un jeton OAuth au lieu d’un certificat local significatif (LSC), qui ne nécessite pas l’activer la fonction de proxy d’autorité de certification (CAPF) (également pour MRA). SIP OAuth travaillant avec ou sans le mode mixte a été introduit dans Cisco Unified CM 12.5(1), Jabber 12.5 et Expressway X12.5.

Dans Cisco Unified CM 12.5, nous avons une nouvelle option dans Profil de sécurité téléphonique qui permet le chiffrement sans LSC/CAPF, en utilisant le jeton TLS (Transport Layer Security) + OAuth dans L’ENREGISTREMENT SIP. Expressway-C utilisent l’API administrative du service Web XML (AXL) pour informer Cisco Unified CM du SN/SAN dans leur certificat. Cisco Unified CM utilise ces informations pour valider le cert Exp-C lors de l’établissement d’authentification TLS mutuelle connexion.

SIP OAuth active le chiffrement média et de signalisation sans certificat de point de terminaison (LSC).

Cisco Jabber utilise des ports éphémères et des ports sécurisés ports 6971 et 6972 via la connexion HTTPS sur le serveur TFTP pour télécharger les fichiers de configuration. Le port 6970 est un port non sécurisé pour le téléchargement via HTTP.

Plus de détails sur la configuration OAuth SIP : Mode OAuth SIP.

Exigences DNS

Pour l’instance dédiée Cisco fournit le FDQN pour le service dans chaque région avec le format suivant <customer><region>. wxc-di.webex.com par exemple, xyz.amer.wxc-di.webex.com.

La valeur « client » est fournie par l’administrateur dans le cadre de l’assistant de première installation (FTSW). Pour plus d’informations reportez-vous à l’activation du service d’instance dédié.

Les enregistrements DNS pour cette FDQN doivent être résolus à partir du serveur DNS interne du client pour prendre en charge les périphériques sur site se connectant à l’instance dédiée. Pour faciliter la résolution, le client doit configurer un Forwarder conditionnel, pour cette FDQN, sur son serveur DNS pointant vers le service DNS d’instance dédié. Le service DNS d’instance dédiée est régional et peut être joint, via la peering à l’instance dédiée, en utilisant les adresses IP suivantes comme mentionné dans le tableau ci-dessous Instance dédiée Adresse IP du service DNS.

Tableau 4. Adresse IP du service DNS d’instance dédiée

Région/CD

Adresse IP du service DNS d’instance dédiée

Exemple de transfert conditionnel

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

PÉCHÉ

103.232.71.288

Tant que le transfert conditionnel n’est pas en place, les périphériques ne pourront pas s’inscrire sur l’instance dédiée à partir du réseau interne des clients via les liens d’peering. La transfert conditionnel n’est pas requise pour l’inscription via Mobile et Remote Access (MRA), car tous les enregistrements DNS externes requis pour faciliter l’enregistrement MRA seront pré-provisionés par Cisco.

Lors de l’utilisation de l’application Webex en tant que client logiciel d’appel sur l’instance dédiée, un profil de gestionnaire UC doit être configuré dans Control Hub pour le domaine du service vocal de chaque région (VSD). Pour plus d’informations reportez-vous aux profils du Gestionnaire de communications un Cisco Webex Control Hub. L’application Webex pourra résoudre automatiquement le problème d’edge Expressway client sans intervention de l’utilisateur final.


Le domaine du service vocal sera fourni au client dans le cadre du document d’accès partenaire lorsque l’activation du service sera terminée.

Références