דרישות רשת עבור מופע ייעודי

המופע הייעודי של Webex Calling הוא חלק מהתיק של Cisco Cloud Calling, המופעל על-ידי טכנולוגיית שיתוף הפעולה של Cisco Unified Communications Manager ‏(Cisco Unified CM). המופע הייעודי מציע פתרונות קול, וידאו, העברת הודעות וניידות עם התכונות והיתרונות של טלפוני IP של Cisco, מכשירים ניידים ולקוחות שולחן עבודה שמתחברים בצורה מאובטחת למופע הייעודי.

מאמר זה מיועד למנהלי רשת, במיוחד למנהלי חומת אש ואבטחת Proxy שרוצים להשתמש במופע ייעודי בתוך הארגון שלהם.

סקירת אבטחה: אבטחה בשכבות

המופע הייעודי משתמש בגישה שכבתית לאבטחה. השכבות כוללות:

  • גישה פיזית

  • רשת

  • נקודות קצה

  • יישומי UC

הסעיפים הבאים מתארים את שכבות האבטחה בפריסות מופע ייעודי.

אבטחה פיזית

חשוב לספק אבטחה פיזית למיקומי Equinix Meet-Me ולמתקני מרכז הנתונים של המופע הייעודי של Cisco. כאשר האבטחה הפיזית נפגעת, מתקפות פשוטות כגון שיבוש שירות על-ידי כיבוי החשמל למתגים של הלקוח יכולות להיות מופעלות. עם גישה פיזית, התוקפים יכולים לקבל גישה למכשירי שרת, לאפס סיסמאות ולקבל גישה למתגים. גישה פיזית גם מאפשרת התקפות מתוחכמות יותר כמו התקפות אדם באמצע, ולכן שכבת האבטחה השנייה, אבטחת הרשת, היא קריטית.

כונני הצפנה עצמית משמשים במרכזי נתונים של מופע ייעודי שמארחים יישומי UC.

לקבלת מידע נוסף על נוהלי אבטחה כלליים, עיין בתיעוד במיקום הבא: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

אבטחת רשת

שותפים צריכים לוודא שכל רכיבי הרשת מאובטחים בתשתית מופע ייעודי (המתחברת דרך Equinix). האחריות של השותף להבטיח שיטות מומלצות לאבטחה כגון:

  • הפרד VLAN עבור קול ונתונים

  • הפעל אבטחת יציאה המגבילה את מספר כתובות ה-MAC המורשות ליציאה, נגד הצפת טבלת CAM

  • הגנת מקור IP מפני כתובות IP מזויפות

  • בדיקת ARP דינמית (DAI) בוחנת פרוטוקול פתרון כתובת (ARP) ו-ARP ללא תשלום (GARP) עבור הפרות (נגד זיוף ARP)

  • 802.⁦1x⁩ מגביל את הגישה לרשת למכשירים לאימות במכשירי VLAN מוקצים (טלפונים תומכים ב-802.⁦1x⁩)

  • הגדרת איכות שירות (QoS) לסימון מתאים של מנות קוליות

  • תצורות יציאות של חומת אש לחסימת תעבורה אחרת

אבטחת נקודות קצה

נקודות קצה של Cisco תומכות בתכונות אבטחה של ברירת מחדל כגון קושחה חתומה, אתחול מאובטח (דגמים נבחרים), תעודה מותקנת (MIC) של היצרן וקובצי תצורה חתומים, המספקים רמת אבטחה מסוימת עבור נקודות קצה.

בנוסף, שותף או לקוח יכולים להפעיל אבטחה נוספת, כגון:

  • הצפן שירותי טלפון IP (באמצעות HTTPS) עבור שירותים כגון ניידות השלוחה

  • הנפקת אישורים משמעותיים באופן מקומי (LSCs) מפונקציית ה-Certificate Authority Proxy (CAPF) או רשות אישורים ציבורית (CA)

  • הצפן קובצי תצורה

  • הצפן מדיה ואיתות

  • השבת הגדרות אלה אם אינן בשימוש: יציאת PC, גישת VLAN קולי של PC, ARP חינם, גישה לאינטרנט, לחצן הגדרות, SSH, מסוף

יישום מנגנוני אבטחה במופע הייעודי מונע גניבת זהות של הטלפונים ושל שרת Unified CM, עיבוד נתונים ועיבוד איתות שיחות / הזרמת מדיה.

מופע ייעודי דרך הרשת:

  • יוצר ומתחזק זרמי תקשורת מאומתים

  • חותם קבצים באופן דיגיטלי לפני העברת הקובץ לטלפון

  • מצפין זרמי מדיה ואיתות שיחות בין טלפוני Cisco Unified IP

הגדרת אבטחה של ברירת מחדל

אבטחה כברירת מחדל מספקת את תכונות האבטחה האוטומטיות הבאות עבור טלפוני Cisco Unified IP:

  • חתימה על קובצי התצורה של הטלפון

  • תמיכה בהצפנת קובץ תצורת טלפון

  • HTTPS עם Tomcat ושירותי אינטרנט אחרים (MIDlets)

עבור מהדורת Unified CM 8.0 ואילך, תכונות אבטחה אלה מסופקות כברירת מחדל מבלי להפעיל את הלקוח של רשימת אמון בתעודות (CTL).

שירות אימות אמון

מכיוון שיש מספר גדול של טלפונים ברשת ולטלפוני IP יש זיכרון מוגבל, Cisco Unified CM פועל כמאגר אמון מרוחק דרך שירות אימות האמון (TVS) כך שאין צורך למקם מאגר אמון של תעודות בכל טלפון. טלפוני Cisco IP יוצרים קשר עם שרת TVS לצורך אימות מכיוון שהם לא יכולים לאמת חתימה או תעודה באמצעות קובצי CTL או ITL. קל יותר לנהל אחסון אמון מרכזי מאשר אחסון אמון בכל טלפון Cisco Unified IP.

TVS מאפשר לטלפוני Cisco Unified IP לאמת שרתי יישומים, כגון שירותי EM, ספרייה ו-MIDlet, במהלך הקמת HTTPS.

רשימת אמון ראשונית

הקובץ 'רשימת אמון ראשונית' (ITL) משמש לאבטחה הראשונית, כך שנקודות הקצה יכולות לתת אמון ב-Cisco Unified CM. ITL לא זקוק לתכונות אבטחה כדי להיות מופעלים במפורש. קובץ ה-ITL נוצר באופן אוטומטי כאשר האשכול מותקן. המפתח הפרטי של שרת Unified CM Trivial File Transfer Protocol (TFTP) משמש לחתימה על קובץ ה-ITL.

כאשר אשכול או שרת Cisco Unified CM נמצא במצב לא מאובטח, הורדת קובץ ITL מתבצעת בכל טלפון Cisco IP נתמך. שותף יכול להציג את התוכן של קובץ ITL באמצעות פקודת CLI, admin:show itl.

טלפוני Cisco IP זקוקים לקובץ ITL כדי לבצע את המשימות הבאות:

  • תקשר בצורה מאובטחת ל-CAPF, דרישה מקדימה לתמיכה בהצפנת קובץ התצורה

  • אמת את חתימת קובץ התצורה

  • אמת שרתי יישומים, כגון שירותי EM, ספרייה ו-MIDlet במהלך הקמת HTTPS באמצעות TVS

CTL של Cisco

אימות מכשיר, קובץ ואיתות מסתמכים על יצירת הקובץ של רשימת האמון בתעודות (CTL), שנוצר כאשר השותף או הלקוח מתקינים וקובעים את התצורה של לקוח רשימת האמון בתעודות של Cisco.

קובץ CTL מכיל ערכים עבור השרתים הבאים או אסימוני האבטחה:

  • אסימון אבטחה של מנהל מערכת (SAST)

  • שירותי Cisco CallManager ו-Cisco TFTP הפועלים באותו שרת

  • פונקציית Certificate Authority Proxy ‏(CAPF)

  • שרתי TFTP

  • חומת אש של ASA

קובץ ה-CTL מכיל אישור שרת, מפתח ציבורי, מספר סידורי, חתימה, שם מנפיק, שם נושא, פונקציית שרת, שם DNS וכתובת IP עבור כל שרת.

אבטחת הטלפון עם CTL מספקת את הפונקציות הבאות:

  • אימות של קבצים שהורדו של TFTP (תצורה, אזור, רשימת צלצול וכן הלאה) באמצעות מקש חתימה

  • הצפנה של קובצי תצורת TFTP באמצעות מפתח חתימה

  • איתות שיחות מוצפן עבור טלפוני IP

  • שמע שיחה מוצפן (מדיה) עבור טלפוני IP

אבטחה עבור טלפוני Cisco IP במופע ייעודי

המופע הייעודי מספק רישום נקודת קצה ועיבוד שיחות. האיתות בין Cisco Unified CM לנקודות קצה מבוסס על פרוטוקול בקרת לקוח רזה מאובטח (SCCP) או פרוטוקול התחלת הפעלה (SIP) וניתן להצפין באמצעות אבטחת שכבת תעבורה (TLS). המדיה מנקודות הקצה/אל נקודת הקצה מבוססת על פרוטוקול תעבורה בזמן אמת (RTP) וניתן גם להצפין אותה באמצעות RTP מאובטח (SRTP).

הפעלת מצב מעורב ב-Unified CM מאפשרת הצפנה של תעבורת האיתות והמדיה מנקודות הקצה של Cisco ואליהם.

אפליקציות UC מאובטחות

הפעלת מצב מעורב במופע ייעודי

מצב מעורב מופעל כברירת מחדל במופע ייעודי.

הפעלת מצב מעורב במופע ייעודי מאפשרת לבצע הצפנה של תעבורת האיתות והמדיה מנקודות הקצה של Cisco ואליהם.

במהדורה 12.5(1) של Cisco Unified CM, נוספה אפשרות חדשה להפעלת הצפנה של איתות ומדיה בהתבסס על SIP OAuth במקום מצב מעורב / CTL עבור לקוחות Jabber ו-Webex. לכן, במהדורה 12.5(1) של Unified CM, ניתן להשתמש ב-SIP OAuth ו-SRTP כדי לאפשר הצפנה לאיתות ולמדיה עבור לקוחות Jabber או Webex. הפעלת מצב מעורב ממשיכה להידרש עבור טלפוני Cisco IP ונקודות קצה אחרות של Cisco בשלב זה. ישנה תוכנית להוספת תמיכה ב-SIP OAuth ב-7800/8800 נקודות קצה במהדורה עתידית.

אבטחת הודעות קוליות

Cisco Unity Connection מתחבר ל-Unified CM דרך יציאת TLS. כאשר מצב אבטחת המכשיר אינו מאובטח, Cisco Unity Connection מתחבר ל-Unified CM דרך יציאת SCCP.

כדי להגדיר אבטחה עבור יציאות העברת הודעות קוליות של Unified CM ומכשירי Cisco Unity שמפעילים SCCP או מכשירי Cisco Unity Connection שמפעילים SCCP, שותף יכול לבחור מצב אבטחת מכשיר מאובטח עבור היציאה. אם תבחר יציאת תא קולי מאומתת, נפתח חיבור TLS, שמאמת את המכשירים באמצעות חילופי אישורים הדדיים (כל מכשיר מקבל את האישור של המכשיר השני). אם תבחר יציאת תא קולי מוצפנת, המערכת מאמתת תחילה את המכשירים ולאחר מכן שולחת זרמי קול מוצפנים בין המכשירים.

לקבלת מידע נוסף על יציאות העברת הודעות קוליות של אבטחה, עיין ב: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

אבטחה עבור SRST, ענפי Trunk, שערים, CUBE/SBC

שער המופעל על-ידי Cisco Unified Survivable Remote Site Telephony ‏(SRST) מספק משימות מוגבלות לעיבוד שיחות אם Cisco Unified CM במופע ייעודי לא יכול להשלים את השיחה.

שערים מאובטחים התומכים ב-SRST מכילים תעודה בחתימה עצמית. לאחר ששותף מבצע משימות תצורה של SRST ב-Unified CM Administration, ‏Unified CM משתמש בחיבור TLS כדי לבצע אימות מול שירות ספק האישורים בשער התומך ב-SRST. לאחר מכן, Unified CM מאחזר את התעודה מהשער התומך ב-SRST ומוסיף את התעודה למסד הנתונים של Unified CM.

לאחר שהשותף מאפס את המכשירים התלויים ב-Unified CM Administration, שרת ה-TFTP מוסיף את תעודת השער התומכת ב-SRST לקובץ cnf.xml של הטלפון ושולח את הקובץ לטלפון. לאחר מכן טלפון מאובטח משתמש בחיבור TLS כדי לקיים אינטראקציה עם השער התומך ב-SRST.

מומלץ לכלול ענפי trunk מאובטחים עבור השיחה שמקורם ב-Cisco Unified CM לשער עבור שיחות PSTN יוצאות או לעבור דרך רכיב הגבול של Cisco Unified (CUBE).

SIP trunks יכולים לתמוך בשיחות מאובטחות הן עבור איתות והן עבור מדיה; TLS מספק הצפנת איתות ו-SRTP מספק הצפנת מדיה.

אבטחת תקשורת בין Cisco Unified CM ל-CUBE

עבור תקשורת מאובטחת בין Cisco Unified CM ל-CUBE, שותפים/לקוחות צריכים להשתמש בתעודה בחתימה עצמית או בתעודות בחתימה CA.

עבור תעודות בחתימה עצמית:

  1. CUBE ו-Cisco Unified CM מייצרים תעודות בחתימה עצמית

  2. אישור ייצוא CUBE ל-Cisco Unified CM

  3. Cisco Unified CM יוצא אישור ל-CUBE

עבור תעודות חתומות על-ידי CA:

  1. הלקוח יוצר זוג מפתחות ושולח בקשה לחתימת אישור (CSR) לרשות האישורים (CA)

  2. ה-CA חותם אותו במפתח הפרטי שלו, יוצר תעודת זהות

  3. הלקוח מתקין את רשימת אישורי הבסיס והמתווך של CA ואת תעודת הזהות

אבטחה לנקודות קצה מרוחקות

באמצעות נקודות קצה של גישה ניידת ומרוחקת (MRA), האיתות והמדיה מוצפנים תמיד בין נקודות הקצה של MRA וצמתי Expressway. אם פרוטוקול הקמת קישוריות אינטראקטיבית (ICE) משמש לנקודות קצה MRA, נדרשת הצפנת איתות ומדיה של נקודות הקצה MRA. עם זאת, הצפנה של האיתות והמדיה בין Expressway-C לשרתי UNIFIED CM הפנימיים, נקודות קצה פנימיות או מכשירים פנימיים אחרים, דורשת מצב מעורב או SIP OAuth.

Cisco Expressway מספק מעבר חומת אש מאובטח ותמיכה בצד הקו עבור רישומי Unified CM. Unified CM מספק בקרת שיחות לנקודות קצה ניידות ולנקודות קצה מקומיות. איתות חוצה את פתרון Expressway בין נקודת הקצה המרוחקת לבין Unified CM. מדיה חוצה את פתרון Expressway ומועבר ישירות בין נקודות קצה. כל המדיה מוצפנת בין Expressway-C לנקודת הקצה הניידת.

כל פתרון MRA דורש Expressway ו-Unified CM, עם לקוחות תוכנה תואמים ל-MRA ו/או נקודות קצה קבועות. הפתרון יכול לכלול אופציונלית את שירות IM ו-Presence ו-Unity Connection.

סיכום פרוטוקול

הטבלה הבאה מציגה את הפרוטוקולים והשירותים המשויכים המשמשים בפתרון Unified CM.

טבלה 1. פרוטוקולים ושירותים משויכים

פרוטוקול

אבטחה

שירות

SIP

TLS

יצירת מפגש: הירשם, הזמן וכו'.

HTTPS

TLS

התחברות, הקצאה/תצורה, ספר טלפונים, דואר קולי חזותי

מדיה

srtp

מדיה: שמע, וידאו, שיתוף תוכן

XMPP

TLS

העברת הודעות מיידיות, נוכחות, איחוד

לקבלת מידע נוסף על תצורת MRA, ראה: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

אפשרויות תצורה

המופע הייעודי מספק לשותף גמישות להתאים אישית שירותים עבור משתמשי קצה באמצעות שליטה מלאה של תצורות יום שתי. כתוצאה מכך, השותף אחראי אך ורק לתצורה נכונה של שירות מופע ייעודי עבור סביבת משתמש הקצה. זה כולל, אך לא מוגבל ל:

  • בחירת שיחות מאובטחות/לא מאובטחות, פרוטוקולים מאובטחים/לא מאובטחים כגון SIP/sSIP, http/https וכו' והבנת הסיכונים המשויכים.

  • עבור כל כתובות MAC שאינן מוגדרות כ-SIP מאובטח במופע ייעודי, תוקף יכול לשלוח הודעת SIP Register באמצעות כתובת MAC זו ולהיות מסוגל לבצע שיחות SIP, וכתוצאה מכך הונאת תשלום. אתר החיפוש הוא שהתוקף יכול לרשום את מכשיר ה-SIP/התוכנה שלו למופע ייעודי ללא הרשאה אם הוא יודע את כתובת ה-MAC של מכשיר הרשום במופע ייעודי.

  • יש להגדיר מדיניות שיחות, המרה וכללי חיפוש של Expressway-E כדי למנוע הונאת תשלום. למידע נוסף על מניעת הונאת תשלום באמצעות Expressways, עיין בסעיף 'אבטחה עבור Expressway C ו-E' של שיתוף פעולה SRND.

  • תצורת תוכנית חיוג כדי להבטיח שהמשתמשים יוכלו לחייג רק ליעדים מותרים, למשל, לאסור חיוג לאומי/בינלאומי, שיחות חירום מנותבות כראוי וכו'. למידע נוסף על החלת הגבלות באמצעות תוכנית חיוג, עיין בסעיף תוכנית חיוג של SRND של שיתוף פעולה.

דרישות תעודה עבור חיבורים מאובטחים במופע ייעודי

עבור מופע ייעודי, Cisco תספק את הדומיין ותחתום על כל האישורים עבור יישומי UC באמצעות רשות אישורים (CA) ציבורית.

מופע ייעודי - מספרי יציאות ופרוטוקולים

הטבלאות הבאות מתארות את היציאות והפרוטוקולים הנתמכים במופע ייעודי. יציאות המשמשות עבור לקוח נתון תלויות בפריסה ובפתרון של הלקוח. הפרוטוקולים תלויים בהעדפת הלקוח (SCCP לעומת SIP), במכשירים מקומיים קיימים ובאיזו רמת אבטחה כדי לקבוע אילו יציאות יש להשתמש בכל פריסה.

המופע הייעודי לא מאפשר תרגום כתובת רשת (NAT) בין נקודות קצה ל-Unified CM משום שחלק מתכונות זרימת השיחה לא יעבדו, לדוגמה תכונת אמצע השיחה.

מופע ייעודי - יציאות לקוח

היציאות הזמינות ללקוחות - בין המופע המקומי של הלקוח לבין המופע הייעודי מוצגות בטבלה 1 יציאות לקוח של מופע ייעודי. כל היציאות המפורטות להלן מיועדות לתעבורת לקוחות שחוצה את קישורי העמיתים.

יציאת SNMP פתוחה כברירת מחדל רק עבור Cisco Emergency Responder כדי לתמוך בפונקציונליות שלה. מכיוון שאיננו תומכים בשותפים או בלקוחות המנטרים את יישומי UC שנפרסו בענן המופע הייעודי, איננו מאפשרים פתיחת יציאת SNMP עבור יישומי UC אחרים.

יציאות בטווח 5063 עד 5080 משוריינות על-ידי Cisco לשילובים אחרים בענן, מומלץ לא להשתמש ביציאות אלה בתצורות שלהם.

טבלה 2. יציאות לקוחות של מופע ייעודי

פרוטוקול

TCP/UDP

מקור

יעד

יציאת מקור

יציאת יעד

מטרה

SSH

TCP

לקוח

יישומי UC

לא מורשה עבור יישומי Cisco Expressway.

גדול מ-1023

22

ניהול

ה-TFTP

UDP

נקודת קצה

Unified CM

גדול מ-1023

69

תמיכה בנקודת קצה מדור קודם

LDAP

TCP

יישומי UC

ספר טלפונים חיצוני

גדול מ-1023

389

סנכרון ספר טלפונים עם LDAP של לקוח

HTTPS

TCP

דפדפן

יישומי UC

גדול מ-1023

443

גישה לאינטרנט עבור ממשקים של שירות עצמי ומנהלי

דואר יוצא (מאובטח)

TCP

יישום UC

קוקסן

גדול מ-1023

587

משמש לחיבור ולשליחת הודעות מאובטחות לכל נמענים ייעודיים

ldap (מאובטח)

TCP

יישומי UC

ספר טלפונים חיצוני

גדול מ-1023

636

סנכרון ספר טלפונים עם LDAP של לקוח

H323

TCP

שער

Unified CM

גדול מ-1023

1720

איתות על שיחות

H323

TCP

Unified CM

Unified CM

גדול מ-1023

1720

איתות על שיחות

sccp

TCP

נקודת קצה

Unified CM‏, CUCxn

גדול מ-1023

2000

איתות על שיחות

sccp

TCP

Unified CM

Unified CM, שער

גדול מ-1023

2000

איתות על שיחות

מק"ס

UDP

שער

שער

גדול מ-1023

2427

איתות על שיחות

MGCP באקהול

TCP

שער

Unified CM

גדול מ-1023

2428

איתות על שיחות

sccp (מאובטח)

TCP

נקודת קצה

Unified CM‏, CUCxn

גדול מ-1023

2443

איתות על שיחות

sccp (מאובטח)

TCP

Unified CM

Unified CM, שער

גדול מ-1023

2443

איתות על שיחות

אימות אמון

TCP

נקודת קצה

Unified CM

גדול מ-1023

2445

מספק שירות אימות אמון לנקודות קצה

CTI

TCP

נקודת קצה

Unified CM

גדול מ-1023

2748

חיבור בין יישומי CTI (JTAPI/TSP) ו-CTIManager

CTI מאובטח

TCP

נקודת קצה

Unified CM

גדול מ-1023

2749

חיבור מאובטח בין יישומי CTI (JTAPI/TSP) לבין CTIManager

קטלוג גלובלי של LDAP

TCP

יישומי UC

ספר טלפונים חיצוני

גדול מ-1023

3268

סנכרון ספר טלפונים עם LDAP של לקוח

קטלוג גלובלי של LDAP

TCP

יישומי UC

ספר טלפונים חיצוני

גדול מ-1023

3269

סנכרון ספר טלפונים עם LDAP של לקוח

שירות CAPF

TCP

נקודת קצה

Unified CM

גדול מ-1023

3804

יציאת האזנה של Certificate Authority Proxy Function (CAPF) עבור הנפקת אישורים משמעותיים באופן מקומי (LSC) לטלפוני IP

SIP

TCP

נקודת קצה

Unified CM‏, CUCxn

גדול מ-1023

5060

איתות על שיחות

SIP

TCP

Unified CM

Unified CM, שער

גדול מ-1023

5060

איתות על שיחות

SIP (מאובטח)

TCP

נקודת קצה

Unified CM

גדול מ-1023

5061

איתות על שיחות

SIP (מאובטח)

TCP

Unified CM

Unified CM, שער

גדול מ-1023

5061

איתות על שיחות

sip (oauth)

TCP

נקודת קצה

Unified CM

גדול מ-1023

5090

איתות על שיחות

XMPP

TCP

לקוח Jabber

IM&P של Cisco

גדול מ-1023

5222

העברת הודעות מיידיות ונוכחות

HTTP

TCP

נקודת קצה

Unified CM

גדול מ-1023

6970

מוריד תצורה ותמונות לנקודות קצה

HTTPS

TCP

נקודת קצה

Unified CM

גדול מ-1023

6971

מוריד תצורה ותמונות לנקודות קצה

HTTPS

TCP

נקודת קצה

Unified CM

גדול מ-1023

6972

מוריד תצורה ותמונות לנקודות קצה

HTTP

TCP

לקוח Jabber

קוקסן

גדול מ-1023

7080

התראות דואר קולי

HTTPS

TCP

לקוח Jabber

קוקסן

גדול מ-1023

7443

התראות דואר קולי מאובטחות

HTTPS

TCP

Unified CM

Unified CM

גדול מ-1023

7501

משמש את שירות חיפוש בין-אשכולות (ILS) לאימות מבוסס תעודה

HTTPS

TCP

Unified CM

Unified CM

גדול מ-1023

7502

משמש את ILS לאימות מבוסס סיסמה

תמונה

TCP

לקוח Jabber

קוקסן

גדול מ-1023

7993

IMAP באמצעות TLS

HTTP

TCP

נקודת קצה

Unified CM

גדול מ-1023

8080

URI של ספר טלפונים לתמיכה בנקודת קצה מדור קודם

HTTPS

TCP

דפדפן, נקודת קצה

יישומי UC

גדול מ-1023

8443

גישה לאינטרנט עבור ממשקי שירות עצמי ומנהלי, UDS

HTTPS

TCP

טלפון

Unified CM

גדול מ-1023

9443

חיפוש איש קשר מאומת

כתובות HTTP

TCP

נקודת קצה

Unified CM

גדול מ-1023

9444

תכונת ניהול אוזניות

RTP/SRTP מאובטח

UDP

Unified CM

טלפון

16384 עד 32767 *

16384 עד 32767 *

מדיה (שמע) - מוזיקה בהמתנה, מפרסם, גשר שיחת ועידה בתוכנה (פתוח בהתבסס על איתות שיחות)

RTP/SRTP מאובטח

UDP

טלפון

Unified CM

16384 עד 32767 *

16384 עד 32767 *

מדיה (שמע) - מוזיקה בהמתנה, מפרסם, גשר שיחת ועידה בתוכנה (פתוח בהתבסס על איתות שיחות)

קוברות

TCP

לקוח

קוקסן

גדול מ-1023

20532

גיבוי ושחזר את חבילת היישום

ICMP

ICMP

נקודת קצה

יישומי UC

לא רלוונטי

לא רלוונטי

איתות

ICMP

ICMP

יישומי UC

נקודת קצה

לא רלוונטי

לא רלוונטי

איתות
DNS UDP ו-TCP

משדר DNS

שרתי DNS של מופע ייעודי

גדול מ-1023

 53

העברת DNS מקומי של לקוח לשרתי DNS של מופע ייעודי. למידע נוסף, ראה דרישות DNS .

* מקרים מיוחדים מסוימים עשויים להשתמש בטווח גדול יותר.

מופע ייעודי - יציאות OTT

היציאה הבאה יכולה לשמש לקוחות ושותפים עבור הגדרת גישה ניידת ומרוחקת (MRA):

טבלה 3. יציאה עבור OTT

פרוטוקול

tcp/ucp

מקור

יעד

יציאת מקור

יציאת יעד

מטרה

RTP/RTCP מאובטח

UDP

Expressway C

לקוח

גדול מ-1023

36000-59999

מדיה מאובטחת לשיחות MRA ו-B2B

SIP trunk בין-אופרטיבי למופע ייעודי (רק עבור trunk המבוסס על רישום)

יש לאפשר את רשימת היציאות הבאה בחומת האש של הלקוח עבור ה-SIP trunk המבוסס על הרישום המחבר בין ה-Multitenant למופע הייעודי.

טבלה 4. יציאה עבור ענפי Trunk מבוססי רישום

פרוטוקול

tcp/ucp

מקור

יעד

יציאת מקור

יציאת יעד

מטרה

rtp/rtcp

UDP

ריבוי דיירים של Webex Calling

לקוח

גדול מ-1023

8000-48198

מדיה מ-Webex Calling Multitenant

מופע ייעודי - יציאות UCCX

רשימת היציאות הבאה יכולה לשמש לקוחות ושותפים לקביעת תצורה של UCCX.

טבלה 5. יציאות UCCX של Cisco

פרוטוקול

tcp/ucp

מקור

יעד

יציאת מקור

יציאת יעד

מטרה

SSH

TCP

לקוח

ב-UCCX

גדול מ-1023

22

SFTP ו-SSH

אינפורמיקס

TCP

לקוח או שרת

ב-UCCX

גדול מ-1023

1504

יציאת מסד הנתונים של Contact Center Express

SIP

UDP ו-TCP

שרת SIP GW או MCRP

ב-UCCX

גדול מ-1023

5065

תקשורת לצמתי GW ו-MCRP מרוחקים

XMPP

TCP

לקוח

ב-UCCX

גדול מ-1023

5223

חיבור XMPP מאובטח בין שרת Finesse ויישומי צד שלישי מותאמים אישית

קוקסינל

TCP

לקוח

ב-UCCX

גדול מ-1023

6999

עורך ליישומי CCX

HTTPS

TCP

לקוח

ב-UCCX

גדול מ-1023

7443

חיבור BOSH מאובטח בין שרת FINESSE לשולחנות עבודה של נציגים ומפקחים לתקשורת באמצעות HTTPS

HTTP

TCP

לקוח

ב-UCCX

גדול מ-1023

8080

לקוחות דיווח חי מתחברים לשרת socket.IO

HTTP

TCP

לקוח

ב-UCCX

גדול מ-1023

8081

דפדפן לקוח שמנסה לגשת לממשק האינטרנט של Cisco Unified Intelligence Center

HTTP

TCP

לקוח

ב-UCCX

גדול מ-1023

8443

ממשק משתמש גרפי של מנהל מערכת, RTMT, גישת DB דרך SOAP

HTTPS

TCP

לקוח

ב-UCCX

גדול מ-1023

8444

ממשק האינטרנט של Cisco Unified Intelligence Center

HTTPS

TCP

לקוחות דפדפן ו-REST

ב-UCCX

גדול מ-1023

8445

יציאה מאובטחת עבור Finesse

HTTPS

TCP

לקוח

ב-UCCX

גדול מ-1023

8447

HTTPS - עזרה מקוונת של Unified Intelligence Center

HTTPS

TCP

לקוח

ב-UCCX

גדול מ-1023

8553

רכיבי כניסה יחידה (SSO) ניגשים לממשק הזה כדי לדעת את מצב ההפעלה של מזהי Cisco.

HTTP

TCP

לקוח

ב-UCCX

גדול מ-1023

9080

לקוחות המנסים לגשת לפעילים של HTTP או למסמכים / הנחיות / דקדוק / נתונים חיים.

HTTPS

TCP

לקוח

ב-UCCX

גדול מ-1023

9443

יציאה מאובטחת המשמשת להגיב ללקוחות המנסים לגשת לפעילי HTTPS

TCP

TCP

לקוח

ב-UCCX

גדול מ-1023

12014

זוהי היציאה שבה לקוחות דיווח נתונים חיים יכולים להתחבר לשרת socket.IO

TCP

TCP

לקוח

ב-UCCX

גדול מ-1023

12015

זוהי היציאה שבה לקוחות דיווח נתונים חיים יכולים להתחבר לשרת socket.IO

CTI

TCP

לקוח

ב-UCCX

גדול מ-1023

12028

לקוח CTI של צד שלישי ל-CCX

RTP( מדיה)

TCP

נקודת קצה

ב-UCCX

גדול מ-1023

גדול מ-1023

יציאת מדיה פתוחה באופן דינמי לפי הצורך

RTP( מדיה)

TCP

לקוח

נקודת קצה

גדול מ-1023

גדול מ-1023

יציאת מדיה פתוחה באופן דינמי לפי הצורך

אבטחת לקוח

אבטחת Jabber ו-Webex עם SIP OAuth

לקוחות Jabber ו-Webex מאומתים באמצעות אסימון OAuth במקום אישור משמעותי מקומי (LSC), שאינו דורש הפעלת פונקציית אישור רשות PROXY (CAPF) (גם עבור MRA). SIP OAuth שעובד עם או בלי מצב מעורב הוצג ב-Cisco Unified CM 12.5(1), Jabber 12.5 ו-Expressway X12.5.

ב-Cisco Unified CM 12.5, יש לנו אפשרות חדשה בפרופיל אבטחת הטלפון המאפשרת הצפנה ללא LSC/CAPF, באמצעות אבטחת שכבת תעבורה יחידה (TLS) + אסימון OAuth ב-SIP REGISTER. צומתי Expressway-C משתמשים ב-API של שירות האינטרנט של XML (AXL) לניהול כדי להודיע ל-CISCO Unified CM על ה-SN/SAN בתעודה שלהם. Cisco Unified CM משתמש במידע זה כדי לאמת את אישור ה-EXP-C בעת יצירת חיבור TLS הדדי.

SIP OAuth מאפשר הצפנת מדיה ואיתות ללא תעודת נקודת קצה (LSC).

Cisco Jabber משתמש ביציאות ארעיות ויציאות מאובטחות 6971 ו-6972 דרך חיבור HTTPS לשרת TFTP כדי להוריד את קובצי התצורה. יציאה 6970 היא יציאה לא מאובטחת להורדה דרך HTTP.

פרטים נוספים על תצורת SIP OAuth: מצב SIP OAuth.

דרישות DNS

עבור מופע ייעודי Cisco מספקת את ה-FQDN עבור השירות בכל אזור בתבנית הבאה ..wxc-di.webex.com לדוגמה, xyz.amer.wxc-di.webex.com.

ערך "הלקוח" מסופק על-ידי מנהל המערכת כחלק מאשף ההגדרה הראשונה (FTSW). למידע נוסף, עיין בהפעלת שירות מופע ייעודי.

רשומות DNS עבור FQDN זה צריכות להיות ניתנות לפתרון משרת ה-DNS הפנימי של הלקוח כדי לתמוך במכשירים מקומיים המתחברים למופע הייעודי. כדי להקל על הרזולוציה, הלקוח צריך להגדיר מעביר מותנה, עבור FQDN זה, בשרת ה-DNS שלו המצביע על שירות ה-DNS של המופע הייעודי. שירות ה-DNS של המופע הייעודי הוא אזורי וניתן להגיע אליו, דרך העמיתים למופע הייעודי, באמצעות כתובות ה-IP הבאות כפי שהוזכרו בטבלה כתובת ה-IP של שירות DNS של המופע הייעודי.

טבלה 6. כתובת IP של שירות DNS של מופע ייעודי

אזור/אזור

כתובת IP של שירות DNS של מופע ייעודי

דוגמה 1.

AMER

 <customer>.amer.wxc-di.webex.com

שיק

69.168.17.100

דפנה

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

לון

178.215.138.100

אמ"ם

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

ג'ורג'יה

178.215.131.100

אמ"ם

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

החטא

103.232.71.100

טקי

103.232.71.228

AUS

 <customer>.aus.wxc-di.webex.com

מל

178.215.128.100

סיד

178.215.128.228

בריטניה

 <customer>.uk.wxc-di.webex.com

לון

178.215.135.100

איש

178.215.135.228

אפשרות האיתות מושבתת עבור כתובות ה-IP של שרת DNS המוזכרות לעיל מטעמי אבטחה.

עד שההעברה המותנית תגיע למצב, המכשירים לא יוכלו להירשם למופע הייעודי מרשת הלקוחות הפנימית דרך קישורי העמיתים. העברה מותנית אינה נדרשת לרישום דרך גישה ניידת ומרוחקת (MRA), משום שכל רשומות ה-DNS החיצוניות הנדרשות כדי להקל על MRA יוקצו מראש על-ידי Cisco.

בעת שימוש ביישום Webex כלקוח תוכנה להתקשרות במופע ייעודי, יש להגדיר פרופיל מנהל UC ב-Control Hub עבור דומיין השירות הקולי (VSD) של כל אזור. למידע נוסף, עיין בפרופילי מנהל UC ב-Cisco Webex Control Hub. יישום Webex יוכל לזהות באופן אוטומטי את Expressway Edge של הלקוח ללא התערבות של משתמש קצה.

דומיין השירות הקולי יסופק ללקוח כחלק ממסמך הגישה לשותף ברגע שהפעלת השירות תושלם.

השתמש בנתב מקומי עבור רזולוציית DNS של הטלפון

עבור טלפונים שאין להם גישה לשרתי DNS הארגוניים, ניתן להשתמש בנתב Cisco מקומי כדי להעביר בקשות DNS לענן DNS של המופע הייעודי. הדבר מסיר את הצורך בפריסה של שרת DNS מקומי ומספק תמיכת DNS מלאה, כולל אחסון במטמון.

תצורה לדוגמה :

!

שרת DNS של IP

שם שרת ip

!

השימוש ב-DNS במודל פריסה זה ספציפי לטלפונים וניתן להשתמש בו רק כדי לפתור ערכי FQDN עם הדומיין מהמופע הייעודי של הלקוחות.

רזולוציית DNS של הטלפון