Configuration réseau requise pour l’instance dédiée

Webex Calling instance dédiée fait partie du portefeuille Cisco Cloud Calling, optimisé par la technologie de collaboration Cisco Unified Communications Manager (Cisco Unified CM). L’instance dédiée offre des solutions de voix, vidéo, messagerie et mobilité avec les fonctionnalités et les avantages des téléphones IP Cisco, des périphériques mobiles et des clients de bureau qui se connectent en toute sécurité à l’instance dédiée.

Cet article est destiné aux administrateurs réseau, en particulier les administrateurs de pare-feu et de sécurité proxy qui souhaitent utiliser l’instance dédiée au sein de leur organisation.

Aperçu de la sécurité : Sécurité par couches

L’instance dédiée utilise une approche en couches pour la sécurité. Les couches incluent :

  • Accès physique

  • Réseau

  • Points de destination

  • Applications UC

Les sections suivantes décrivent les couches de sécurité dans les déploiements d’instances dédiées.

Sécurité physique

Il est important d’assurer la sécurité physique aux emplacements de la salle Equinix Meet-Me et aux installations du Centre de données d’instance Dédié Cisco . Lorsque la sécurité physique est compromise, des attaques simples comme une interruption du service en fermant l’alimentation sur les commutateurs d’un client peuvent être initiées. Grâce à l’accès physique, les attaques peuvent avoir accès aux périphériques des serveurs, réinitialiser des mots de passe et accéder aux commutateurs. L’accès physique facilite également des attaques plus sophistiquées telles que les attaques d’attaques d’attaques intermédiaires, d’où la raison pour laquelle la seconde couche de sécurité, la sécurité du réseau, est essentielle.

Les lecteurs auto-cryptés sont utilisés dans les centres de données d’instance dédiés qui hébergent les applications de communications un peu plus récentes.

Pour plus d'informations sur les pratiques générales de sécurité, reportez-vous à la documentation à l'emplacement suivant : https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Sécurité du réseau

Les partenaires doivent s’assurer que tous les éléments réseau sont sécurisés dans l’infrastructure d’instance dédiée (qui se connecte via Equinix). Le partenaire a la responsabilité d’assurer les meilleures pratiques de sécurité telles que :

  • Séparer le VLAN pour la voix et les données

  • Activez Sécurité des ports qui limite le nombre d’adresses MAC autorisées par port, par rapport au tableau de caméra

  • Protection de source IP contre les adresses IP

  • L’inspection dynamique ARP (NEC) examine le protocole de résolution d’adresse (ARP) et l’ARP gratuit (GARP) pour les violations (contre l’usurpation d’adresse ARP)

  • 802. limite l’accès1x au réseau pour authentifier les périphériques attribués sur les réseaux fixes (les téléphones sont en charge 802.1x)

  • Configuration de la qualité de service (QoS) pour le marquage approprié des paquets vocaux

  • Configurations des ports du pare-feu pour bloquer tout autre trafic

Sécurité des terminaux

Les points de terminaison Cisco supportent les fonctionnalités de sécurité par défaut telles que les microprogrammes signés, le démarrage sécurisé (modèles sélectionnés), le certificat installé par le fabricant (MIC) et les fichiers de configuration signés, qui fournissent un certain niveau de sécurité pour les points de terminaison.

De plus, un partenaire ou un client peut activer une sécurité supplémentaire, telle que :

  • Chiffrement des services téléphoniques IP (via HTTPS) pour les services tels que la Mobilité d’extension

  • Émettre des certificats localement significatifs (LSCS) à partir de la fonction de proxy de l’autorité de certification (CAPF) ou d’une autorité de certification publique (AC)

  • Crypter les fichiers de configuration

  • Chiffrement du média et de la signalisation

  • Désactivez ces paramètres s’ils ne sont pas utilisés : Port PC, Accès VLAN vocal PC, ARP gratuit, Accès Web, Bouton Paramètres, SSH, console

La mise en place de mécanismes de sécurité dans l’instance dédiée empêche l’usurpation d’identité des téléphones et du serveur Unified CM, la falsification des données et la signalisation d’appel/falsification des flux média.

Instance dédiée sur le réseau :

  • Établit et maintient des flux de communication authentifiés

  • Signe des fichiers numériquement avant de transférer le fichier sur le téléphone

  • Crypte les flux média et la signalisation des appels entre les Cisco Unified IP téléphoniques

Configuration de sécurité par défaut

La sécurité par défaut offre les fonctionnalités automatiques de sécurité suivantes Cisco Unified les téléphones IP suivants :

  • Signature des fichiers de configuration téléphoniques

  • Prise en charge du cryptage du fichier de configuration téléphonique

  • HTTPS avec Tomcat et autres services Web (MIDlets)

Pour Unified CM version 8.0 plus tard, ces fonctionnalités de sécurité sont fournies par défaut sans que le client Liste de confiance des certificats (CTL) ne soit en cours d’exécution.

Service de vérification de la confiance

Du fait qu’il y a beaucoup de téléphones dans un réseau et que la mémoire est limitée, Cisco Unified CM agit comme un magasin de confiance à distance via le Service de vérification de la confiance (Trust Verification Service (TVS) afin qu’un magasin de certificats de confiance n’a pas à être placé sur chaque téléphone. Les téléphones IP Cisco contactent le serveur TVS pour vérification car ils ne peuvent pas vérifier une signature ou un certificat via les fichiers CTL ou ITL. Avoir un magasin de confiance central est plus facile à gérer que d’avoir la boutique de confiance sur Cisco Unified téléphone IP.

TVS permet aux Cisco Unified IP d’authentifier les serveurs d’applications, tels que les services EM, le répertoire et MIDlet, pendant l’installation HTTPS.

Liste de confiance initiale

Le fichier de la liste de confiance initiale (ITL) est utilisé pour la sécurité initiale, afin que les points de terminaison peuvent faire confiance Cisco Unified CM. ItL n’a pas besoin de fonctionnalités de sécurité pour être activée explicitement. Le fichier ITL est automatiquement créé lorsque le cluster est installé. La clé privée du serveur Unified CM Trivial File Transfer Protocol (TFTP) est utilisée pour signer le fichier ITL.

Lorsque le cluster Cisco Unified CM ou le serveur est en mode non sécurisé, le fichier ITL est téléchargé sur tous les téléphones IP Cisco pris en charge. Un partenaire peut afficher le contenu d’un fichier ITL à l’aide de la commande CLI admin : afficher itl.

Les téléphones IP Cisco doivent avoir le fichier ITL pour effectuer les tâches suivantes :

  • Communiquez en toute sécurité au CAPF, un prérequis pour la prise en charge du chiffrement des fichiers de configuration

  • Authentifier la signature du fichier de configuration

  • Authentifier les serveurs d’applications, tels que les services EM, le répertoire et MIDlet au cours de l’installation HTTPS avec TVS

Cisco CTL

L’authentification du périphérique, du fichier et de la signalisation se base sur la création du fichier Liste de confiance des certificats (CTL), qui est créé lorsque le partenaire ou le client installe et configure le client liste de confiance des certificats Cisco.

Le fichier CTL contient les entrées pour les serveurs ou les jetons de sécurité suivants :

  • Jeton de sécurité de l’administrateur du système (SAST)

  • Cisco CallManager et les services Cisco TFTP qui sont en cours d’exécution sur le même serveur

  • Fonction du proxy de l’autorité de certification (CAPF)

  • Serveur(s) TFTP

  • Pare-feu ASA

Le fichier CTL contient un certificat de serveur, une clé publique, un numéro de série, une signature, le nom de l’émetteur, le nom du sujet, la fonction du serveur, le nom DNS et l’adresse IP de chaque serveur.

La sécurité téléphonique avec la CTL offre les fonctions suivantes :

  • Identification des fichiers téléchargés TFTP (configuration, paramètres locaux, liste de sonneries, et ainsi de suite) à l’aide d’une clé de signature

  • Cryptage des fichiers de configuration TFTP en utilisant une clé de signature

  • Signalisation d’appel chiffrée pour les téléphones IP

  • Audio des appels chiffrés (média) pour les téléphones IP

Sécurité pour les téléphones IP Cisco dans l’instance dédiée

L’instance dédiée fournit l’inscription des points de terminaison et le traitement des appels. La signalisation entre Cisco Unified CM et les points de terminaison est basée sur secure Skinny Client Control Protocol (SCCP) ou Protocole d’initiation de session (SIP) et peut être cryptée en utilisant Transport Layer Security (TLS). Le média de/vers les points de terminaison est basé sur le protocole de transport en temps réel (RTP) et peut également être crypté en utilisant le protocole Secure RTP (SRTP).

Activer le mode mixte sur Unified CM active le chiffrement de la signalisation et du trafic média à partir et vers les points de terminaison Cisco.

Applications UC sécurisées

Activation du mode mixte dans l’instance dédiée

Le mode mixte est activé par défaut dans l’instance dédiée.

Activer le mode mixte dans l’instance dédiée active la possibilité d’effectuer le chiffrement du trafic de signalisation et des médias à partir et vers les points de terminaison Cisco.

Dans Cisco Unified CM version 12.5(1), une nouvelle option pour activer le chiffrement de la signalisation et des médias basés sur SIP OAuth au lieu du mode mixte/CTL a été ajoutée pour les clients Jabber et Webex. Par conséquent, dans Unified CM version 12.5(1), SIP OAuth et SRTP peuvent être utilisés pour activer le chiffrement pour la signalisation et les médias pour les clients Jabber et Webex. L’activation du mode mixte continue d’être requise pour les téléphones IP Cisco et autres points de terminaison Cisco pour le moment. Il existe un plan pour ajouter la prise en charge de SIP OAuth dans les points de terminaison 7800/8800 dans une prochaine version.

Sécurité de la messagerie vocale

Cisco Unity Connection connecte à Unified CM via le port TLS. Lorsque le mode de sécurité du périphérique est non sécurisé, l Cisco Unity Connection connecte à Unified CM via le port SCCP.

Pour configurer la sécurité pour les ports de messagerie vocale Unified CM et les périphériques Cisco Unity qui exécutent SCCP ou Cisco Unity Connection périphériques qui exécutent SCCP, un partenaire peut choisir un mode de sécurité de périphérique sécurisé pour le port. Si vous choisissez un port de messagerie vocale authentifié, une connexion TLS s’ouvre, qui authentifier les périphériques en utilisant un échange de certificat mutuel (chaque périphérique accepte le certificat de l’autre périphérique). Si vous choisissez un port de messagerie vocale crypté, le système authentifier les périphériques, puis envoie les flux vocaux chiffrés entre les périphériques.

Pour plus d’informations sur la sécurité des ports de messagerie vocale, voir : https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Sécurité pour SRST, Troncs, Passerelles, CUBE/SBC

Une passerelle Cisco Unified téléphonique à distance (SRST) peut fournir des tâches de traitement d’appel limitées si l’application Cisco Unified CM sur une instance dédiée ne peut pas terminer l’appel.

Les passerelles sécurisées avec SRST contiennent un certificat auto-signé. Après qu’un partenaire a effectué les tâches de configuration SRST dans l’administration Unified CM, Unified CM utilise une connexion TLS pour s’authentifier avec le service Fournisseur de certificat dans la passerelle avec SRST. Unified CM récupère ensuite le certificat de la passerelle avec SRST et ajoute le certificat à la base de données Unified CM.

Après que le partenaire a réinitialisé les périphériques dépendants dans l’administration Unified CM, le serveur TFTP ajoute le certificat de la passerelle avec SRST au fichier téléphonique cnf.xml et envoie le fichier au téléphone. Un téléphone sécurisé utilise ensuite une connexion TLS pour interagir avec la passerelle avec SRST.

Il est recommandé d’avoir des troncs sécurisés pour l’appel provenant de Cisco Unified CM vers la passerelle pour les appels sortants RTCP ou pour traverser l’élément Cisco Unified Border (CUBE).

Les troncs SIP peuvent prendre en charge les appels sécurisés à la fois pour la signalisation ainsi que le média ; TLS fournit un chiffrement de signalisation et SRTP fournit le chiffrement média.

Sécuriser les communications entre Cisco Unified CM et CUBE

Pour des communications sécurisées entre Cisco Unified CM et CUBE, les partenaires/clients doivent utiliser un certificat auto-signé ou des certificats signés par une AC.

Pour les certificats auto-signés :

  1. CUBE et Cisco Unified CM génèrent des certificats auto-signés

  2. CUBE exporte le certificat dans Cisco Unified CM

  3. Cisco Unified CM exporte le certificat dans CUBE

Pour les certificats signés par une AC :

  1. Le client génère un pair de clé et envoie une demande de signature de certificat (CSR) à l’autorité de certification (AC)

  2. L’AC le signe avec sa clé privée, créant un certificat d’identité

  3. Le client installe la liste des certificats racines et intermédiaires des AC de confiance et le certificat d’identité

Sécurité pour les points de terminaison distants

Avec les points de terminaison Mobile Remote Access (MRA), la signalisation et le média sont toujours chiffrés entre les points de terminaison MRA et les Expressway réseau. Si le protocole Interactive Connectivity Cours (ICE) est utilisé pour les points de terminaison MRA, signalisation et chiffrement média des points de terminaison MRA est requis. Cependant, le chiffrement de la signalisation et du média entre Expressway-C et les serveurs Unified CM internes, les points de terminaison internes, ou autres périphériques internes, nécessitent un mode mixte ou OAuth SIP.

Cisco Expressway la traversée sécurisée du pare-feu et la prise en charge du côté de la ligne pour les inscriptions Unified CM. Unified CM offre le contrôle des appels à la fois pour les points de terminaison mobiles et sur site. La signalisation traverse la solution Expressway entre le point de terminaison distant et Unified CM. Les médias parcourent la Expressway solution et sont relayés directement entre les points de terminaison. Tous les médias sont chiffrés entre le Expressway-C et le point de terminaison mobile.

N’importe quelle solution MRA nécessite Expressway et Unified CM, avec les clients soft compatibles MRA et/ou les points de terminaison fixes. La solution peut aussi comprendre le service de MI et Presence et Unity Connection.

Résumé du protocole

Le tableau suivant montre les protocoles et les services associés utilisés dans la solution Unified CM.

Tableau 1. Protocoles et services associés

HTTPS et WSS pour la signalisation et la messagerie.

Sécurité

Service

SIP

TLS

Session d’installation : S’inscrire, inviter, etc.

HTTPS :HTTPS

TLS

Logon, approvisionnement/configuration, répertoire, messagerie vocale visuelle

Média

SRTP

Médias: Audio, Vidéo, Partage de contenu

XMPP

TLS

Messagerie instantanée, Présence, Fédération

Pour plus d’informations sur la configuration MRA, voir : https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Options de configuration

L’instance dédiée offre aux partenaires la flexibilité de personnaliser les services des utilisateurs finaux via un contrôle total des configurations du jour deux. Par conséquent, le partenaire est seul responsable de la configuration appropriée du service d’instance dédiée pour l’environnement de l’utilisateur final. Ceci inclut, mais ne se limite pas à :

  • Choisir des appels sécurisés/non sécurisés, des protocoles sécurisés/non sécurisés tels que SIP/sSIP, http/https, etc. et comprendre les risques associés.

  • Pour toutes les adresses MAC non configurées en tant que secure-SIP dans Dedicated Instance, un attaque peut envoyer un message d’inscription SIP en utilisant cette adresse MAC et être capable de passer des appels SIP, ce qui peut entraîner une fraude. Le site est que l’attaque peut enregistrer son périphérique/ logiciel SIP sur une instance dédiée sans autorisation s’ils connaissent l’adresse MAC d’un périphérique enregistré dans l’instance dédiée.

  • Expressway politiques d’appel en ligne, les règles de transformation et de recherche doivent être configurées pour empêcher toute fraude d’appel. Pour plus d’informations sur la prévention de la fraude sans frais en utilisant Expressways, reportez-vous à la section Sécurité Expressway C et Expressway section E de Collaboration SRND.

  • Configuration du plan de numérotation pour s’assurer que les utilisateurs ne peuvent composer que des destinations autorisées, par exemple interdire la numérotation nationale/internationale, acheminer correctement les appels d’urgence, etc. Pour plus d’informations sur l’application des restrictions en utilisant le plan de numérotation, reportez-vous à la section Plan de numérotation de Collaboration SRND.

Exigences en matière de certificat pour les connexions sécurisées dans l’instance dédiée

Pour l’instance dédiée, Cisco fournira le domaine et signera tous les certificats des applications UC en utilisant une autorité de certification (AC) publique.

Instance dédiée – numéros de port et protocoles

Les tableaux suivants décrivent les ports et les protocoles qui sont pris en charge dans l’instance dédiée. Les ports qui sont utilisés pour un client donné dépendent du déploiement et de la solution du client. Les protocoles dépendent de la préférence du client (SCCP vs SIP), des périphériques existants sur site et du niveau de sécurité pour déterminer quels ports doivent être utilisés dans chaque déploiement.

L’instance dédiée n’autorise pas la traduction d’adresses réseau (NAT) entre les points de terminaison et Unified CM car certaines fonctions de flux d’appels ne fonctionneront pas, par exemple la fonction en cours d’appel.

Instance dédiée – Ports des clients

Les ports disponibles pour les clients - entre le client sur site et l’instance dédiée est affiché dans le tableau 1 Dédié Ports des clients. Tous les ports répertoriés ci-dessous sont pour le trafic des clients qui traversent les liens d’peering.

Le port SNMP est ouvert par défaut uniquement pour que Cisco Emergency Responder prenne en charge ses fonctionnalités. Comme nous ne prenons pas en charge les partenaires ou les clients qui contrôlent les applications de communications unifiées déployées dans le Cloud Instance dédiée, nous n’autorisons pas l’ouverture du port SNMP pour les autres applications de communications unifiées.

Les ports de la plage 5063 à 5080 sont réservés par Cisco pour d’autres intégrations cloud, il est recommandé aux administrateurs partenaires ou clients de ne pas utiliser ces ports dans leurs configurations.

Tableau 2. Ports du client Instance dédiée

Protocole

TCP/UDP

Source

Destination

Port source

Port de destination

Objet

Ssh

TCP

Client

Applications UC

Non autorisé pour les applications Cisco Expressway.

Plus de 1023

22

Administration

Tftp

UDP

Point de terminaison

Unified CM

Plus de 1023

69

Prise en charge des terminaux hérités

LDAP

TCP

Applications UC

Répertoire externe

Plus de 1023

389

Synchronisation du répertoire avec LDAP du client

HTTPS :HTTPS

TCP

Navigateur

Applications UC

Plus de 1023

443

Accès Web pour votre personnel et interfaces administratives

Courrier sortant (SÉCURISÉ)

TCP

Application UC

CUCxn (CuCxn)

Plus de 1023

587

Utilisé pour composer et envoyer des messages sécurisés à des destinataires que vous avez désignés

LDAP (SÉCURISÉ)

TCP

Applications UC

Répertoire externe

Plus de 1023

636

Synchronisation du répertoire avec LDAP du client

H323

TCP

Passerelle

Unified CM

Plus de 1023

1720

Signalisation d’appel

H323

TCP

Unified CM

Unified CM

Plus de 1023

1720

Signalisation d’appel

SCCP

TCP

Point de terminaison

Unified CM, CUCxn

Plus de 1023

2000

Signalisation d’appel

SCCP

TCP

Unified CM

Unified CM, Passerelle

Plus de 1023

2000

Signalisation d’appel

mgcp

UDP

Passerelle

Passerelle

Plus de 1023

2427

Signalisation d’appel

Liaison MGCP

TCP

Passerelle

Unified CM

Plus de 1023

2428

Signalisation d’appel

SCCP (SÉCURISÉ)

TCP

Point de terminaison

Unified CM, CUCxn

Plus de 1023

2443

Signalisation d’appel

SCCP (SÉCURISÉ)

TCP

Unified CM

Unified CM, Passerelle

Plus de 1023

2443

Signalisation d’appel

Vérification de confiance

TCP

Point de terminaison

Unified CM

Plus de 1023

2445

Fournir le service de vérification de confiance aux points de terminaison

Cti

TCP

Point de terminaison

Unified CM

Plus de 1023

2748

Connexion entre les applications CTI (JTAPI/TSP) et CTIManager

CTI sécurisé

TCP

Point de terminaison

Unified CM

Plus de 1023

2749

Connexion sécurisée entre les applications CTI (JTAPI/TSP) et CTIManager

Catalogue global LDAP

TCP

UC Applications

Répertoire externe

Plus de 1023

3268

Synchronisation du répertoire avec LDAP du client

Catalogue global LDAP

TCP

UC Applications

Répertoire externe

Plus de 1023

3269

Synchronisation du répertoire avec LDAP du client

CAPF Service

TCP

Point de terminaison

Unified CM

Plus de 1023

3804

Port d’écoute de la fonction du proxy de l’autorité de certification (CERTIFICATE Authority Proxy Function (CAPF) pour l’émission de certificats locaux significatifs (LSC) sur les téléphones IP

SIP

TCP

Point de terminaison

Unified CM, CUCxn

Plus de 1023

5060

Signalisation d’appel

SIP

TCP

Unified CM

Unified CM, Passerelle

Plus de 1023

5060

Signalisation d’appel

SIP (SÉCURISÉ)

TCP

Point de terminaison

Unified CM

Plus de 1023

5061

Signalisation d’appel

SIP (SÉCURISÉ)

TCP

Unified CM

Unified CM, Passerelle

Plus de 1023

5061

Signalisation d’appel

SIP (OAUTH)

TCP

Point de terminaison

Unified CM

Plus de 1023

5090

Signalisation d’appel

XMPP

TCP

Jabber Client

MI Cisco&P

Plus de 1023

5222

Messagerie instantanée et Présence

HTTP

TCP

Point de terminaison

Unified CM

Plus de 1023

6970

Télécharger la configuration et les images vers les points de terminaison

HTTPS :HTTPS

TCP

Point de terminaison

Unified CM

Plus de 1023

6971

Télécharger la configuration et les images vers les points de terminaison

HTTPS :HTTPS

TCP

Point de terminaison

Unified CM

Plus de 1023

6972

Télécharger la configuration et les images vers les points de terminaison

HTTP

TCP

Jabber Client

CUCxn (CuCxn)

Plus de 1023

7080

Notifications de messagerie vocale

HTTPS :HTTPS

TCP

Jabber Client

CUCxn (CuCxn)

Plus de 1023

7443

Notifications de messagerie vocale sécurisées

HTTPS :HTTPS

TCP

Unified CM

Unified CM

Plus de 1023

7501

Utilisé par Intercluster Lookup Service (ILS) pour l’authentification par certificat

HTTPS :HTTPS

TCP

Unified CM

Unified CM

Plus de 1023

7502

Utilisé par ILS pour l’authentification par mot de passe

IMAP

TCP

Jabber Client

CUCxn (CuCxn)

Plus de 1023

7993

IMAP sur TLS

HTTP

TCP

Point de terminaison

Unified CM

Plus de 1023

8080

URI du répertoire pour la prise en charge des terminaux hérités

HTTPS :HTTPS

TCP

Navigateur, point de terminaison

Applications UC

Plus de 1023

8443

Accès Web pour self-care et interfaces administratives, UDS

HTTPS :HTTPS

TCP

Téléphone

Unified CM

Plus de 1023

9443

Recherche de contact authentifié

HTTP

TCP

Point de terminaison

Unified CM

Plus de 1023

9444

Fonctionnalité de gestion des casques

RTP/SRTP sécurisé

UDP

Unified CM

Téléphone

16384 à 32767 *

16384 à 32767 *

Média (audio) - Musique d’attente, Annunciator, Software Conference Bridge (Ouvert en fonction de la signalisation d’appel)

RTP/SRTP sécurisé

UDP

Téléphone

Unified CM

16384 à 32767 *

16384 à 32767 *

Média (audio) - Musique d’attente, Annunciator, Software Conference Bridge (Ouvert en fonction de la signalisation d’appel)

cobras

TCP

Client

CUCxn (CuCxn)

Plus de 1023

20532

Sauvegarder et restaurer la suite d'applications

ICMP

ICMP

Point de terminaison

Applications UC

n/a

n/a

Ping

ICMP

ICMP

Applications UC

Point de terminaison

n/a

n/a

Ping

DNS UDP et TCP

Transmetteur DNS

Serveurs DNS de l’instance dédiée

Plus de 1023

53

Les serveurs DNS sur site du client vers les serveurs DNS de l’instance dédiée. Voir Exigences DNS pour plus d’informations.

* Certains cas particuliers peuvent avoir une plus grande plage.

Instance dédiée – Ports OTT

Le port suivant peut être utilisé par les clients et les partenaires pour la configuration de l'accès mobile et à distance (MRA) :

Tableau 3. Port pour OTT

HTTPS et WSS pour la signalisation et la messagerie.

TCP/UCP

Source

Destination

Port source

Port de destination

Objet

RTP/RTCP SÉCURISÉ

UDP

Expressway C

Client

Plus de 1023

36000-59999

Média sécurisé pour les appels MRA et B2B

Trunk SIP inter-op entre le service partagé et l’instance dédiée (uniquement pour le trunk basé sur l’enregistrement)

La liste suivante de ports doit être autorisée sur le pare-feu du client pour le tronc SIP basé sur l’enregistrement se connectant entre l’instance multi-tenant et dédiée.

Tableau 4. Port pour les lignes auxiliaires basées sur l’enregistrement

HTTPS et WSS pour la signalisation et la messagerie.

TCP/UCP

Source

Destination

Port source

Port de destination

Objet

rtp/rtcp

UDP

Service partagé Webex Calling

Client

Plus de 1023

8000-48198

Média à partir du service partagé Webex Calling

Instance dédiée – Ports UCCX

La liste suivante des ports peut être utilisée par les clients et les partenaires pour la configuration UCCX.

Tableau 5. Ports UCCX Cisco

HTTPS et WSS pour la signalisation et la messagerie.

TCP/UCP

Source

Destination

Port source

Port de destination

Objet

Ssh

TCP

Client

UCCX (États-Unis)

Plus de 1023

22

SFTP et SSH

Informix

TCP

Client ou Serveur

UCCX (États-Unis)

Plus de 1023

1504

Port de base de données de Contact Center Express

SIP

UDP et TCP

Serveur SIP GC ou MCRP

UCCX (États-Unis)

Plus de 1023

5065

Communication avec les nodes DISTANTs ET MCRP

XMPP

TCP

Client

UCCX (États-Unis)

Plus de 1023

5223

Connexion XMPP sécurisée entre le serveur Finesse et les applications tierces personnalisées

Cvd

TCP

Client

UCCX (États-Unis)

Plus de 1023

6999

Éditeur des applications CCX

HTTPS :HTTPS

TCP

Client

UCCX (États-Unis)

Plus de 1023

7443

Connexion BOSH sécurisée entre le serveur Finesse et les bureaux de l’agent et du superviseur pour communication sur HTTPS

HTTP

TCP

Client

UCCX (États-Unis)

Plus de 1023

8080

Les clients de rapports de données en direct se connectent à un serveur socket.IO

HTTP

TCP

Client

UCCX (États-Unis)

Plus de 1023

8081

Navigateur client essayant d’accéder à l Cisco Unified interface Web de Intelligence Center

HTTP

TCP

Client

UCCX (États-Unis)

Plus de 1023

8443

Interface graphique de l'admin, RTMT, accès à la base de données via SOAP

HTTPS :HTTPS

TCP

Client

UCCX (États-Unis)

Plus de 1023

8444

Cisco Unified interface Web de Intelligence Center

HTTPS :HTTPS

TCP

Navigateur et clients REST

UCCX (États-Unis)

Plus de 1023

8445

Port sécurisé pour Finesse

HTTPS :HTTPS

TCP

Client

UCCX (États-Unis)

Plus de 1023

8447

HTTPS - Aide en ligne Unified Intelligence Center

HTTPS :HTTPS

TCP

Client

UCCX (États-Unis)

Plus de 1023

8553

Les composants de l'authentification unique (SSO) accèdent à cette interface pour connaître le statut de fonctionnement de l'IdS Cisco.

HTTP

TCP

Client

UCCX (États-Unis)

Plus de 1023

9080

Clients essayant d’accéder aux déclencheurs HTTP ou documents / invites / grammaires / données live.

HTTPS :HTTPS

TCP

Client

UCCX (États-Unis)

Plus de 1023

9443

Port sécurisé utilisé pour répondre aux clients qui tentent d’accéder aux déclencheurs HTTPS

TCP

TCP

Client

UCCX (États-Unis)

Plus de 1023

12014

Ceci est le port sur lequel les clients de rapports de données en direct peuvent se connecter au serveur socket.IO

TCP

TCP

Client

UCCX (États-Unis)

Plus de 1023

12015

Ceci est le port sur lequel les clients de rapports de données en direct peuvent se connecter au serveur socket.IO

Cti

TCP

Client

UCCX (États-Unis)

Plus de 1023

12028

Client CTI tiers vers CCX

RTP (Média)

TCP

Point de terminaison

UCCX (États-Unis)

Plus de 1023

Plus de 1023

Le port média est ouvert dynamiquement si nécessaire

RTP (Média)

TCP

Client

Point de terminaison

Plus de 1023

Plus de 1023

Le port média est ouvert dynamiquement si nécessaire

Sécurité du client

Sécuriser Jabber et Webex avec SIP OAuth

Les clients Jabber et Webex sont authentifiés via un jeton OAuth au lieu d’un certificat local significatif (LSC), qui ne nécessite pas l’activer la fonction de proxy d’autorité de certification (CAPF) (également pour MRA). SIP OAuth travaillant avec ou sans le mode mixte a été introduit dans Cisco Unified CM 12.5(1), Jabber 12.5 et Expressway X12.5.

Dans Cisco Unified CM 12.5, nous avons une nouvelle option dans Profil de sécurité téléphonique qui permet le chiffrement sans LSC/CAPF, en utilisant le jeton TLS (Transport Layer Security) + OAuth dans L’ENREGISTREMENT SIP. Expressway-C utilisent l’API administrative du service Web XML (AXL) pour informer Cisco Unified CM du SN/SAN dans leur certificat. Cisco Unified CM utilise ces informations pour valider le cert Exp-C lors de l’établissement d’une authentification TLS mutuelle connexion.

SIP OAuth active le chiffrement média et de signalisation sans certificat de point de terminaison (LSC).

Cisco Jabber utilise des ports éphémères et des ports sécurisés ports 6971 et 6972 via la connexion HTTPS sur le serveur TFTP pour télécharger les fichiers de configuration. Le port 6970 est un port non sécurisé pour le téléchargement via HTTP.

Plus de détails sur la configuration OAuth SIP : Mode SIP OAuth.

Exigences DNS

Pour l’instance dédiée, Cisco fournit le FQDN du service dans chaque région avec le format suivant ..wxc-di.webex.com par exemple, xyz.amer.wxc-di.webex.com.

La valeur « client » est fournie par l’administrateur dans le cadre de l’assistant de première installation (FTSW). Pour plus d’informations, reportez-vous à l’activation du service d’instance dédié.

Les enregistrements DNS pour cette FDQN doivent être résolus à partir du serveur DNS interne du client pour prendre en charge les périphériques sur site se connectant à l’instance dédiée. Pour faciliter la résolution, le client doit configurer un Forwarder conditionnel, pour cette FDQN, sur son serveur DNS pointant vers le service DNS d’instance dédié. Le service DNS de l’instance dédiée est régional et peut être atteint, via le peering vers l’instance dédiée, en utilisant les adresses IP suivantes, comme indiqué dans le tableau ci-dessous Adresse IP du service DNS de l’instance dédiée.

Tableau 6. Adresse IP du service DNS d’instance dédiée

Région/CD

Adresse IP du service DNS d’instance dédiée

Exemple de transfert conditionnel

AMER

<customer>.amer.wxc-di.webex.com

Sjc

69.168.17.100

Dfw

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

Lon

178.215.138.100

Ams

178.215.138.228

UE

<customer>.eu.wxc-di.webex.com

fra

178.215.131.100

Ams

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

Péché

103.232.71.100

tky

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

Mel

178.215.128.100

Syd

178.215.128.228

RU

<customer>.uk.wxc-di.webex.com

Lon

178.215.135.100

homme

178.215.135.228

L’option ping est désactivée pour les adresses IP du serveur DNS ci-dessus pour des raisons de sécurité.

Tant que le transfert conditionnel n’est pas en place, les périphériques ne pourront pas s’inscrire sur l’instance dédiée à partir du réseau interne des clients via les liens d’peering. La transfert conditionnel n’est pas requise pour l’inscription via Mobile et Remote Access (MRA), car tous les enregistrements DNS externes requis pour faciliter l’enregistrement MRA seront pré-provisionés par Cisco.

Lors de l’utilisation de l’application Webex en tant que client logiciel d’appel sur l’instance dédiée, un profil de gestionnaire UC doit être configuré dans Control Hub pour le domaine du service vocal de chaque région (VSD). Pour plus d’informations reportez-vous aux profils du Gestionnaire de communications un Cisco Webex Control Hub. L’application Webex pourra résoudre automatiquement l’edge du Expressway client sans aucune intervention de l’utilisateur final.

Le domaine du service vocal sera fourni au client dans le cadre du document d’accès partenaire lorsque l’activation du service sera terminée.

Utiliser un routeur local pour la résolution DNS du téléphone

Pour les téléphones qui n’ont pas accès aux serveurs DNS de l’entreprise, il est possible d’utiliser un routeur Cisco local pour transférer les demandes DNS vers le DNS cloud de l’instance dédiée. Cela élimine le besoin de déployer un serveur DNS local et fournit une prise en charge complète du DNS, y compris la mise en cache.

Exemple de configuration :

!

serveur ip dns

Serveur de noms ip

!

L’utilisation du DNS dans ce modèle de déploiement est spécifique aux téléphones et ne peut être utilisée que pour résoudre les FDQN avec le domaine à partir de l’Instance dédiée des clients.

Résolution DNS du téléphone