דרישות רשת עבור מופע ייעודי

המופע הייעודי של Webex Calling הוא חלק מפורטפוליו Cisco Cloud Calling, המופעל על ידי טכנולוגיית שיתוף הפעולה של Cisco Unified Communications Manager (Cisco Unified CM). המופע הייעודי מציע פתרונות קול, וידאו, העברת הודעות וניידות עם התכונות והיתרונות של טלפוני Cisco IP, מכשירים ניידים ולקוחות שולחן עבודה המתחברים בצורה מאובטחת למופע הייעודי.

מאמר זה מיועד למנהלי רשת, במיוחד למנהלי אבטחת חומת אש ו-Proxy שרוצים להשתמש במופע ייעודי בתוך הארגון שלהם.

סקירת אבטחה: אבטחה בשכבות

המופע הייעודי משתמש בגישה שכבתית לאבטחה. השכבות כוללות:

  • גישה פיזית

  • רשת

  • נקודות קצה

  • יישומי UC

הסעיפים הבאים מתארים את שכבות האבטחה בפריסות מופע ייעודי.

ביטחון פיזי

חשוב לספק אבטחה פיזית למיקומים של Equinix Meet-Me Room ולמתקני Cisco Dedicated Instance Data Center. כאשר האבטחה הפיזית נפגעת, ניתן להפעיל התקפות פשוטות כגון שיבוש שירות על ידי כיבוי כוח למתגים של הלקוח. עם גישה פיזית, תוקפים יכולים לקבל גישה למכשירי שרת, לאפס סיסמאות ולהשיג גישה למתגים. גישה פיזית מאפשרת גם התקפות מתוחכמות יותר כמו התקפות אדם באמצע, ולכן שכבת האבטחה השנייה, אבטחת הרשת, היא קריטית.

כוננים להצפין עצמי משמשים במרכזי נתונים של מופע ייעודי שמארחים יישומי UC.

למידע נוסף על נוהלי אבטחה כלליים, עיין בתיעוד במיקום הבא: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

אבטחת רשת

שותפים צריכים להבטיח שכל רכיבי הרשת מאובטחים בתשתית המופע הייעודי (אשר מתחברת דרך Equinix). זוהי אחריותו של שותף להבטיח שיטות מומלצות לאבטחה כגון:

  • הפרד VLAN עבור קול ונתונים

  • אפשר אבטחת יציאה אשר מגבילה את מספר כתובות ה-MAC המותרות ליציאה, נגד הצפת טבלת CAM

  • שומר מקור IP נגד כתובות IP מזויפות

  • בדיקת ARP דינמית (DAI) בוחנת את פרוטוקול הרזולוציה של הכתובת (ARP) ואת ARP מיותר (GARP) להפרות (נגד הטעיית ARP)

  • 802.⁦1x⁩ מגביל את גישת הרשת לאימות מכשירים ברשתות VLAN מוקצות (טלפונים תומכים ב-802.⁦1x⁩)

  • תצורה של איכות שירות (QoS) לסימון מתאים של מנות קול

  • תצורות יציאות חומת אש לחסימת כל תעבורה אחרת

אבטחת נקודות קצה

נקודות קצה של Cisco תומכות בתכונות אבטחה של ברירת מחדל כגון קושחה חתומה, אתחול מאובטח (דגמים נבחרים), אישור מותקן של יצרן (MIC) וקובצי תצורה חתומות, המספקים רמה מסוימת של אבטחה עבור נקודות קצה.

בנוסף, שותף או לקוח יכולים לאפשר אבטחה נוספת, כגון:

  • הצפן שירותי טלפון IP (דרך HTTPS) עבור שירותים כגון ניידות שלוחה

  • להנפיק תעודות משמעותיות מקומיות (LSCs) מתפקיד ה-Proxy של רשות האישורים (CAPF) או רשות אישורים ציבורית (CA)

  • הצפן קבצי תצורה

  • הצפן מדיה ואיתות

  • בטל הגדרות אלה אם הן אינן בשימוש: יציאת PC, גישת VLAN קולית PC, ARP מיותר, גישת אינטרנט, לחצן הגדרות, SSH, מסוף

הטמעת מנגנוני אבטחה במופע הייעודי מונעת גניבת זהות של הטלפונים ושל שרת Unified CM, מניעת גניבת נתונים וחבלה של איתות שיחות / זרם מדיה.

מופע ייעודי ברשת:

  • מבסס ומתחזק זרמי תקשורת מאומתים

  • חותם דיגיטלית על קבצים לפני העברת הקובץ לטלפון

  • הצפנת זרמי מדיה ואיתות על שיחות בין טלפון Cisco Unified IP

הגדרת אבטחה ברירת מחדל

אבטחה כברירת מחדל מספקת את תכונות האבטחה האוטומטיות הבאות עבור טלפוני Cisco Unified IP:

  • חתימה על קובצי התצורה של הטלפון

  • תמיכה בהצפנת קובץ תצורת טלפון

  • HTTPS עם טומקט ושירותי אינטרנט אחרים (MIDlets)

עבור Unified CM Release 8.0 מאוחר יותר, תכונות אבטחה אלה מסופקות כברירת מחדל מבלי להפעיל את לקוח רשימת תעודות אמון (CTL).

שירות אימות אמון

מכיוון שיש מספר גדול של טלפונים ברשת וטלפוני IP בעלי זיכרון מוגבל, ל-Cisco Unified CM פועל כחנות אמון מרחוק דרך שירות אימות האמון (TVS) כך שלא יהיה צורך להציב חנות אמון בתעודות בכל טלפון. טלפוני Cisco IP יוצרים קשר עם שרת TVS לאימות מכיוון שהם לא יכולים לאמת חתימה או תעודה באמצעות קובצי CTL או ITL. קל יותר לנהל חנות אמון מרכזית מאשר לנהל את חנות האמון בכל טלפון Cisco Unified IP.

TVS מאפשר לטלפוני Cisco Unified IP לאמת שרתי יישומים, כגון שירותי EM, ספרייה ו-MIDlet, במהלך יצירת HTTPS.

רשימת אמון ראשונית

קובץ רשימת האמון הראשונית (ITL) משמש לאבטחה הראשונית, כך שנקודות הקצה יכולות לתת אמון ב-Cisco Unified CM. ITL לא צריך להפעיל במפורש תכונות אבטחה. קובץ ה-ITL נוצר באופן אוטומטי כאשר האשכול מותקן. המפתח הפרטי של שרת Unified CM Trivial File Transfer Protocol (TFTP) משמש לחתימה על קובץ ITL.

כאשר האשכול או השרת של Cisco Unified CM במצב לא מאובטח, קובץ ה-ITL יורד בכל טלפון Cisco IP נתמך. שותף יכול להציג את התוכן של קובץ ITL באמצעות פקודת CLI, admin:show itl.

טלפוני Cisco IP זקוקים לקובץ ITL כדי לבצע את המשימות הבאות:

  • תקשר בצורה מאובטחת ל-CAPF, דרישה מוקדמת לתמיכה בהצפנת קובץ התצורה

  • אמת את חתימת קובץ התצורה

  • אימות שרתי יישומים, כגון שירותי EM, ספרייה ו-MIDlet במהלך יצירת HTTPS באמצעות TVS

Cisco CTL

אימות מכשיר, קובץ ואיתות מסתמכים על יצירת קובץ רשימת אמון של אישורים (CTL), שנוצר כאשר השותף או הלקוח מתקין ומגדיר את לקוח רשימת אמון של Cisco.

קובץ CTL מכיל ערכים עבור השרתים הבאים או אסימוני האבטחה הבאים:

  • אסימון אבטחה של מנהל מערכת (SAST)

  • שירותי Cisco CallManager ו-Cisco TFTP שפועלים באותו שרת

  • פונקציית Proxy של רשות Certificate Authority (CAPF)

  • שרתי TFTP

  • חומת אש של ASA

קובץ ה-CTL מכיל אישור שרת, מפתח ציבורי, מספר סידורי, חתימה, שם מנפיק, שם נושא, פונקציית שרת, שם DNS וכתובת IP עבור כל שרת.

אבטחת טלפון עם CTL מספקת את הפונקציות הבאות:

  • אימות של קבצים שהורדו TFTP (תצורה, מיקום, רשימת צלצולים וכן הלאה) באמצעות מפתח חתימה

  • הצפנה של קבצי תצורת TFTP באמצעות מפתח חתימה

  • איתות שיחה מוצפן עבור טלפוני IP

  • שמע שיחה מוצפן (מדיה) עבור טלפוני IP

אבטחה עבור טלפוני Cisco IP במופע ייעודי

המופע הייעודי מספק רישום נקודת קצה ועיבוד שיחות. האיתות בין Cisco Unified CM ונקודות הקצה מבוסס על פרוטוקול בקרת לקוח רזה מאובטחת (SCCP) או פרוטוקול התחלת הפעלה (SIP) וניתן להצפין באמצעות אבטחת שכבת תעבורה (TLS). המדיה מנקודות הקצה מבוססת על פרוטוקול תעבורה בזמן אמת (RTP) וניתן גם להצפין באמצעות RTP מאובטח (SRTP).

הפעלת מצב מעורב ב-Unified CM מאפשרת הצפנה של תעבורת האיתות והמדיה מנקודות הקצה של Cisco.

יישומי UC מאובטחים

מפעיל מצב מעורב במופע ייעודי

מצב מעורב מופעל כברירת מחדל במופע ייעודי.

הפעלת מצב מעורב במופע ייעודי מאפשרת את היכולת לבצע הצפנה של תעבורת האיתות והמדיה מנקודות הקצה של Cisco.

במהדורת Cisco Unified CM 12.5(1), נוספה אפשרות חדשה לאפשר הצפנה של איתות ומדיה בהתבסס על SIP OAuth במקום מצב מעורב / CTL עבור לקוחות Jabber ו-Webex. לכן, במהדורת Unified CM ‏12.5(1), ניתן להשתמש ב-SIP OAuth ו-SRTP כדי לאפשר הצפנה לאיתות ומדיה עבור לקוחות Jabber או Webex. הפעלת מצב מעורב ממשיכה להידרש עבור טלפוני Cisco IP ונקודות קצה אחרות של Cisco בשלב זה. יש תוכנית להוסיף תמיכה ב-SIP OAuth בנקודות קצה של 7800/8800 במהדורה עתידית.

אבטחת הודעות קוליות

Cisco Unity Connection מתחבר ל-Unified CM דרך יציאת TLS. כאשר מצב אבטחת המכשיר אינו מאובטח, Cisco Unity Connection מתחבר ל-Unified CM דרך יציאת SCCP.

כדי להגדיר את האבטחה עבור יציאות הקוליות של Unified CM ולהתקני Cisco Unity הפועלים ב-SCCP או התקני Cisco Unity Connection הפועלים ב-SCCP, שותף יכול לבחור מצב אבטחת מכשיר מאובטח עבור היציאה. אם תבחר יציאת דואר קולי מאומתת, נפתח חיבור TLS, שמאמת את המכשירים באמצעות חילופי אישור הדדי (כל מכשיר מקבל את האישור של המכשיר האחר). אם תבחר יציאת דואר קולי מוצפן, המערכת מאמתת תחילה את המכשירים ולאחר מכן שולחת זרמי קול מוצפנים בין המכשירים.

לקבלת מידע נוסף על יציאות העברת הודעות קוליות של אבטחה, ראה: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

אבטחה עבור SRST, ענפי TRUNK, שערים, CUBE/SBC

שער מופעל-שרידות טלפוניה באתר מרוחק (SRST) של Cisco Unified Unified CM מספק משימות עיבוד שיחות מוגבלות אם Cisco Unified CM במופע ייעודי לא יכול להשלים את השיחה.

שערים מאובטחים התומכים ב-SRST מכילים תעודה בחתימה עצמית. לאחר שהשותף מבצע משימות תצורת SRST ב-Unified CM Administration, Unified CM משתמש בחיבור TLS לאימות עם שירות ספק האישורים בשער התומך ב-SRST. לאחר מכן Unified CM מאחזר את האישור מהשער התומך ב-SRST ומוסיף את האישור למסד הנתונים של Unified CM.

לאחר שהשותף מאפס את המכשירים התלויים ב-Unified CM Administration, שרת TFTP מוסיף את תעודת השער התומכת SRST לקובץ cnf.xml של הטלפון ושולח את הקובץ לטלפון. לאחר מכן, טלפון מאובטח משתמש בחיבור TLS כדי לקיים אינטראקציה עם שער מופעל-SRST.

מומלץ שיהיו לו ענפי Trunk מאובטחים עבור השיחה שמקורה מ-Cisco Unified CM לשער עבור שיחות PSTN יוצאות או מעבר דרך רכיב הגבול של Cisco (CUBE).

ענפי SIP trunk יכולים לתמוך בשיחות מאובטחות הן לאיתות והן למדיה; TLS מספק הצפנת איתות ו-SRTP מספק הצפנת מדיה.

אבטחת תקשורת בין Cisco Unified CM ו-CUBE

עבור תקשורת מאובטחת בין Cisco Unified CM ו-CUBE, שותפים/לקוחות צריכים להשתמש באישור בחתימה עצמית או באישורים החתומים על ידי CA.

עבור תעודות בחתימה עצמית:

  1. CUBE ו-Cisco Unified CM מייצרים תעודות בחתימה עצמית

  2. אישור ייצוא CUBE ל-Cisco Unified CM

  3. אישור ייצוא של Cisco Unified CM ל-CUBE

עבור תעודות חתומות על ידי CA:

  1. הלקוח מייצר זוג מפתחות ושולח בקשה לחתימת אישור (CSR) לרשות האישורים (CA)

  2. CA חותמת עליו עם המפתח הפרטי שלו, מה שיוצר תעודת זהות

  3. הלקוח מתקין את רשימת תעודות השורש והתעודות המתווכים של CA מהימנות ואת תעודת הזהות

אבטחה עבור נקודות קצה מרוחקת

עם נקודות קצה של Mobile ו-Remote Access (MRA), האיתות והמדיה מוצפנות תמיד בין נקודות הקצה של MRA לבין צמתי Expressway. אם פרוטוקול Interactive Connectivity Establishment (ICE) משמש עבור נקודות קצה, איתות והצפנת מדיה של נקודות הקצה של MRA. עם זאת, הצפנה של האיתות והמדיה בין Expressway-C לבין שרתי Unified CM הפנימיים, נקודות קצה פנימיות או מכשירים פנימיים אחרים, דורשת מצב מעורב או SIP OAuth.

Cisco Expressway מספק מעבר חומת אש מאובטח ותמיכה בצידי קו עבור רישומי Unified CM. Unified CM מספק בקרת שיחות לנקודות קצה ניידות והן לנקודות קצה מקומיות. איתות עובר את פתרון Expressway בין נקודת הקצה המרוחקת ל-Unified CM. המדיה חוצה את פתרון Expressway ומשודרת בין נקודות הקצה ישירות. כל המדיה מוצפנת בין Expressway-C לבין נקודת הקצה הניידת.

כל פתרון MRA דורש Expressway ו-Unified CM, עם לקוחות רכים תואמים ל-MRA ו/או נקודות קצה קבועות. הפתרון יכול לכלול אופציונלית את שירות IM ו-Presence ואת Unity Connection.

סיכום פרוטוקול

הטבלה הבאה מציגה את הפרוטוקולים והשירותים המשויכים המשמשים בפתרון Unified CM.

טבלה 1. פרוטוקולים ושירותים משויכים

פרוטוקול

אבטחה

שירות

SIP

TLS

הקמת מפגש: הירשם, הזמן וכו'

HTTPS

TLS

התחברות, הקצאה/תצורה, ספרייה, תא קולי חזותי

מדיה

SRTP

מדיה: שמע, וידאו, שיתוף תוכן

XMPP

TLS

העברת הודעות מיידיות, נוכחות, פדרציה

לקבלת מידע נוסף על תצורת MRA, ראה: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

אפשרויות תצורה

המופע הייעודי מספק לשותף גמישות להתאמה אישית של שירותים עבור משתמשי קצה באמצעות שליטה מלאה בשתי תצורות היום. כתוצאה מכך, השותף אחראי אך ורק לתצורה נכונה של שירות המופע הייעודי עבור סביבת משתמש הקצה. זה כולל, אך לא מוגבל ל:

  • בחירת שיחות מאובטחות/לא מאובטחות, פרוטוקולים מאובטחים/לא מאובטחים כגון SIP/sSIP, http/https וכו' והבנת כל הסיכונים המשויכים.

  • עבור כל כתובות ה-MAC שאינן מוגדרות כ-SIP מאובטח במופע ייעודי, תוקף יכול לשלוח הודעת רישום SIP באמצעות כתובת MAC זו ויהיה מסוגל לבצע שיחות SIP, וכתוצאה מכך הונאת תשלום. הפרקוויזיט הוא שהתוקף יכול לרשום את מכשיר ה-SIP/תוכנה למופע ייעודי ללא אישור אם הוא יודע את כתובת ה-MAC של מכשיר הרשום במופע ייעודי.

  • יש להגדיר מדיניות של שיחות Expressway-E, המרה וכללי חיפוש כדי למנוע הונאת תשלום. למידע נוסף על מניעת הונאת תשלום באמצעות Expressway C ו-EXPRESSWAY-E, עיין בסעיף Collaboration SRND.

  • תצורת תוכנית חיוג כדי להבטיח שהמשתמשים יוכלו לחייג רק ליעדי חיוג המותרים, למשל, לאסור חיוג לאומי/בינלאומי, שיחות חירום מנותבות כראוי וכו'. למידע נוסף על החלת מגבלות באמצעות תוכנית חיוג, עיין בסעיף תוכנית חיוג של שיתוף פעולה SRND.

דרישות תעודה עבור חיבורים מאובטחים במופע ייעודי

עבור מופע ייעודי, Cisco תספק את הדומיין ותחתום על כל האישורים עבור יישומי UC באמצעות רשות אישורים ציבורית (CA).

מופע ייעודי – מספרי יציאות ופרוטוקולים

הטבלאות הבאות מתארות את היציאות והפרוטוקולים הנתמכים במופע ייעודי. יציאות המשמשות עבור לקוח נתון תלויות בפריסה ובפתרון של הלקוח. פרוטוקולים תלויים בהעדפת הלקוח (SCCP לעומת SIP), במכשירים מקומיים קיימים ובאיזו רמת אבטחה כדי לקבוע באילו יציאות יש להשתמש בכל פריסה.

המופע הייעודי לא מאפשר תרגום כתובות רשת (NAT) בין נקודות הקצה ל-Unified CM משום שחלק מתכונות זרימת השיחה לא יעבדו, לדוגמה, התכונה באמצע השיחה.

מופע ייעודי – יציאות לקוח

היציאות הזמינות עבור לקוחות - בין הלקוח המקומי לבין המופע הייעודי מוצג בטבלה 1 יציאות לקוח של מופע ייעודי. כל היציאות המפורטות להלן מיועדות לתעבורת לקוחות העוברת בקישורי עמיתים.

יציאת SNMP פתוחה כברירת מחדל רק עבור Cisco Emergency Responder כדי לתמוך בפונקציונליות שלה. מכיוון שאיננו תומכים בשותפים או בלקוחות המעקבים אחר יישומי UC הפרוסים בענן המופע הייעודי, איננו מאפשרים פתיחת יציאת SNMP עבור יישומי UC אחרים.

יציאות בטווח 5063 עד 5080 שמורות על-ידי Cisco עבור שילובים אחרים בענן, מנהלי מערכת של שותף או של לקוח מומלצים לא להשתמש ביציאות אלה בתצורות שלהם.

טבלה 2. יציאות לקוח של מופע ייעודי

פרוטוקול

TCP/UDP

מקור

יעד

יציאת מקור

יציאת יעד

מטרה

SSH

TCP

לקוח

יישומי UC

לא מורשה עבור יישומי Cisco Expressway.

גדול מ-1023

22

ניהול

TFTP

UDP

נקודת קצה

Unified CM

גדול מ-1023

69

תמיכה של נקודת קצה מדור קודם

LDAP

TCP

יישומי UC

נוכחות חיצונית

גדול מ-1023

389

סנכרון ספר טלפונים ללקוח LDAP

HTTPS

TCP

דפדפן

יישומי UC

גדול מ-1023

443

גישה לאינטרנט עבור ממשקי טיפול עצמי וניהול

דואר יוצא (מאובטח)

TCP

יישום UC

CUCxnName

גדול מ-1023

587

משמש להלחין ולשלוח הודעות מאובטחות לכל נמענים ייעודיים

LDAP (מאובטח)

TCP

יישומי UC

נוכחות חיצונית

גדול מ-1023

636

סנכרון ספר טלפונים ללקוח LDAP

H323

TCP

שער

Unified CM

גדול מ-1023

1720

איתות על שיחות

H323

TCP

Unified CM

Unified CM

גדול מ-1023

1720

איתות על שיחות

SCCP

TCP

נקודת קצה

Unified CM, CUCxn

גדול מ-1023

2000

איתות על שיחות

SCCP

TCP

Unified CM

Unified CM, שער

גדול מ-1023

2000

איתות על שיחות

MGCP

UDP

שער

שער

גדול מ-1023

2427

איתות על שיחות

רקע MGCP

TCP

שער

Unified CM

גדול מ-1023

2428

איתות על שיחות

SCCP (מאובטח)

TCP

נקודת קצה

Unified CM, CUCxn

גדול מ-1023

2443

איתות על שיחות

SCCP (מאובטח)

TCP

Unified CM

Unified CM, שער

גדול מ-1023

2443

איתות על שיחות

אימות אמון

TCP

נקודת קצה

Unified CM

גדול מ-1023

2445

מתן שירות אימות אמון לנקודות קצה

CTI

TCP

נקודת קצה

Unified CM

גדול מ-1023

2748

חיבור בין יישומי CTI (JTAPI/TSP) ו-CTIManager

CTI מאובטח

TCP

נקודת קצה

Unified CM

גדול מ-1023

2749

חיבור מאובטח בין יישומי CTI (JTAPI/TSP) לבין CTIManager

קטלוג גלובלי של LDAP

TCP

יישומי UC

נוכחות חיצונית

גדול מ-1023

3268

סנכרון ספר טלפונים ללקוח LDAP

קטלוג גלובלי של LDAP

TCP

יישומי UC

נוכחות חיצונית

גדול מ-1023

3269

סנכרון ספר טלפונים ללקוח LDAP

שירות CAPF

TCP

נקודת קצה

Unified CM

גדול מ-1023

3804

פונקציית Proxy של רשות Certificate Authority (CAPF) האזנה להנפקת אישורים משמעותיים מקומיים (LSC) לטלפוני IP

SIP

TCP

נקודת קצה

Unified CM, CUCxn

גדול מ-1023

5060

איתות על שיחות

SIP

TCP

Unified CM

Unified CM, שער

גדול מ-1023

5060

איתות על שיחות

SIP (מאובטח)

TCP

נקודת קצה

Unified CM

גדול מ-1023

5061

איתות על שיחות

SIP (מאובטח)

TCP

Unified CM

Unified CM, שער

גדול מ-1023

5061

איתות על שיחות

SIP (OAUTH)

TCP

נקודת קצה

Unified CM

גדול מ-1023

5090

איתות על שיחות

XMPP

TCP

לקוח Jabber

IM&P של Cisco

גדול מ-1023

5222

העברת הודעות מיידיות ונוכחות

HTTP

TCP

נקודת קצה

Unified CM

גדול מ-1023

6970

מוריד תצורה ותמונות לנקודות קצה

HTTPS

TCP

נקודת קצה

Unified CM

גדול מ-1023

6971

מוריד תצורה ותמונות לנקודות קצה

HTTPS

TCP

נקודת קצה

Unified CM

גדול מ-1023

6972

מוריד תצורה ותמונות לנקודות קצה

HTTP

TCP

לקוח Jabber

CUCxnName

גדול מ-1023

7080

התראות דואר קולי

HTTPS

TCP

לקוח Jabber

CUCxnName

גדול מ-1023

7443

הודעות דואר קולי מאובטחות

HTTPS

TCP

Unified CM

Unified CM

גדול מ-1023

7501

משמש את שירות בדיקת מידע בין-אשכולות (ILS) לאימות מבוסס-תעודה

HTTPS

TCP

Unified CM

Unified CM

גדול מ-1023

7502

משמש ILS לאימות מבוסס סיסמה

דוא" ל

TCP

לקוח Jabber

CUCxnName

גדול מ-1023

7993

IMAP חלקי TLS

HTTP

TCP

נקודת קצה

Unified CM

גדול מ-1023

8080

URI של ספר טלפונים לתמיכה של נקודת קצה מדור קודם

HTTPS

TCP

דפדפן, נקודת קצה

יישומי UC

גדול מ-1023

8443

גישה לאינטרנט עבור ממשקים לטיפול עצמי וניהול, UDS

HTTPS

TCP

טלפון

Unified CM

גדול מ-1023

9443

חיפוש אנשי קשר מאומת

תוכנות HTTP

TCP

נקודת קצה

Unified CM

גדול מ-1023

9444

תכונת ניהול אוזניות

RTP/SRTP מאובטח

UDP

Unified CM

טלפון

16384 עד 32767 *

16384 עד 32767 *

מדיה (אודיו) - מוסיקה בהמתנה, אנונציו, גשר ועידה תוכנה (פתוח מבוסס על איתות שיחות)

RTP/SRTP מאובטח

UDP

טלפון

Unified CM

16384 עד 32767 *

16384 עד 32767 *

מדיה (אודיו) - מוסיקה בהמתנה, אנונציו, גשר ועידה תוכנה (פתוח מבוסס על איתות שיחות)

קוברה

TCP

לקוח

CUCxnName

גדול מ-1023

20532

גבו ושחזר את חבילת היישומים

ICMP

ICMP

נקודת קצה

יישומי UC

לא רלוונטי

לא רלוונטי

פינג

ICMP

ICMP

יישומי UC

נקודת קצה

לא רלוונטי

לא רלוונטי

פינג
DNS UDP ו-TCP

מעביר DNS

שרתי DNS של מופע ייעודי

גדול מ-1023

 53

העברת DNS הנחת לקוח לשרתי DNS מופע ייעודי. ראה דרישות DNS לקבלת מידע נוסף.

* מקרים מיוחדים מסוימים עשויים להשתמש בטווח גדול יותר.

מופע ייעודי – יציאות OTT

ניתן להשתמש ביצירה הבאה על-ידי לקוחות ושותפים להגדרת גישה ניידת ומרוחקת (MRA):

טבלה 3. יציאה ל-OTT

פרוטוקול

TCP / UCP

מקור

יעד

יציאת מקור

יציאת יעד

מטרה

RTP/RTCP מאובטח

UDP

Expressway C

לקוח

גדול מ-1023

36000-59999

מדיה מאובטחת עבור שיחות MRA ו-B2B

SIP trunk Inter-op בין ריבוי דיירים למופע ייעודי (רק עבור trunk מבוסס רישום)

יש לאפשר את רשימת היציאות הבאה בחומת האש של הלקוח עבור חיבור ה-SIP trunk המבוסס על רישום בין המופע הייעודי לבין ריבוי הדייר.

טבלה 4. יציאה לענפי trunk מבוססי רישום

פרוטוקול

TCP / UCP

מקור

יעד

יציאת מקור

יציאת יעד

מטרה

RTP/RTCP

UDP

ריבוי דיירים של Webex Calling

לקוח

גדול מ-1023

8000-48198

מדיה מ-Webex Calling Multitenant

מופע ייעודי – יציאות UCCX

הרשימה הבאה של היציאות יכולה לשמש לקוחות ושותפים להגדרת UCCX.

טבלה 5. יציאות Cisco UCCX

פרוטוקול

TCP/UCP

מקור

יעד

יציאת מקור

יציאת יעד

מטרה

SSH

TCP

לקוח

UCCX

גדול מ-1023

22

SFTP ו-SSH

אינפורמיקס

TCP

לקוח או שרת

UCCX

גדול מ-1023

1504

יציאת מסד נתונים של Contact Center Express

SIP

UDP ו-TCP

שרת SIP GW או MCRP

UCCX

גדול מ-1023

5065

תקשורת לצמתי GW ו-MCRP מרוחקים

XMPP

TCP

לקוח

UCCX

גדול מ-1023

5223

חיבור XMPP מאובטח בין שרת Finesse ויישומים מותאמים אישית של צד שלישי

CVD

TCP

לקוח

UCCX

גדול מ-1023

6999

עורך ליישומי CCX

HTTPS

TCP

לקוח

UCCX

גדול מ-1023

7443

חיבור BOSH מאובטח בין שרת FINESSE לבין שולחנות עבודה של נציגים ומפקחים לתקשורת דרך HTTPS

HTTP

TCP

לקוח

UCCX

גדול מ-1023

8080

לקוחות דיווח בזמן אמת מתחברים לשרת socket.IO

HTTP

TCP

לקוח

UCCX

גדול מ-1023

8081

דפדפן לקוח מנסה לגשת לממשק האינטרנט של Cisco Unified Intelligence Center

HTTP

TCP

לקוח

UCCX

גדול מ-1023

8443

ממשק משתמש גרפי, RTMT, גישת DB דרך SOAP

HTTPS

TCP

לקוח

UCCX

גדול מ-1023

8444

ממשק האינטרנט של Cisco Unified Intelligence Center

HTTPS

TCP

לקוחות דפדפן ומנוחה

UCCX

גדול מ-1023

8445

יציאה מאובטחת עבור Finesse

HTTPS

TCP

לקוח

UCCX

גדול מ-1023

8447

HTTPS - עזרה מקוונת של Unified Intelligence Center

HTTPS

TCP

לקוח

UCCX

גדול מ-1023

8553

רכיבי כניסה יחידה (SSO) ניגשים לממשק זה כדי לדעת את מצב ההפעלה של מזהי Cisco.

HTTP

TCP

לקוח

UCCX

גדול מ-1023

9080

לקוחות מנסים לגשת לגירויים או מסמכים / הנחיות / דקדוק / נתונים חיים.

HTTPS

TCP

לקוח

UCCX

גדול מ-1023

9443

יציאה מאובטחת המשמשת להגיב ללקוחות שמנסים לגשת לגירי HTTPS

TCP

TCP

לקוח

UCCX

גדול מ-1023

12014

זהו הנמל שבו לקוחות דיווח על נתונים חיים יכולים להתחבר לשרת socket.IO

TCP

TCP

לקוח

UCCX

גדול מ-1023

12015

זהו הנמל שבו לקוחות דיווח על נתונים חיים יכולים להתחבר לשרת socket.IO

CTI

TCP

לקוח

UCCX

גדול מ-1023

12028

לקוח CTI של צד שלישי ל-CCX

RTP( מדיה)

TCP

נקודת קצה

UCCX

גדול מ-1023

גדול מ-1023

יציאת מדיה נפתחת באופן דינמי לפי הצורך

RTP( מדיה)

TCP

לקוח

נקודת קצה

גדול מ-1023

גדול מ-1023

יציאת מדיה נפתחת באופן דינמי לפי הצורך

אבטחת לקוח

אבטחת Jabber ו-Webex עם SIP OAuth

לקוחות Jabber ו-Webex מאומתים באמצעות אסימון OAuth במקום אישור משמעותי מקומי (LSC), שאינו דורש הפעלת פונקציית Proxy של רשות אישורים (CAPF) (גם עבור MRA). SIP OAuth שעובד עם או ללא מצב מעורב הוצג ב-Cisco Unified CM 12.5(1), Jabber 12.5 ו-Expressway X12.5.

ב-Cisco Unified CM 12.5, יש לנו אפשרות חדשה בפרופיל אבטחת טלפון המאפשרת הצפנה ללא LSC/CAPF, באמצעות אבטחת שכבת תעבורה יחידה (TLS) + OAuth אסימון ב-SIP REGISTER. צמתי Expressway-C משתמשים ב-API של שירות ה-XML המנהלי (AXL) כדי ליידע את Cisco Unified CM של SN/SAN בתעודה שלהם. Cisco Unified CM משתמש במידע זה כדי לאמת את CERT-C בעת יצירת חיבור TLS הדדי.

SIP OAuth מאפשר הצפנת מדיה ואיתות ללא אישור נקודת קצה (LSC).

Cisco Jabber משתמש ביציאות ארעיות ויציאות מאובטחות 6971 ו-6972 דרך חיבור HTTPS לשרת TFTP כדי להוריד את קובצי התצורה. יציאה 6970 היא יציאה לא מאובטחת להורדה דרך HTTP.

פרטים נוספים על תצורת SIP OAuth: מצב SIP OAuth.

דרישות DNS

עבור המופע הייעודי Cisco מספק את ה-FQDN עבור השירות בכל אזור עם התבנית הבאה ..wxc-di.webex.com לדוגמה, xyz.amer.wxc-di.webex.com.

ערך 'הלקוח' מסופק על-ידי מנהל המערכת כחלק מאשף ההגדרה הראשונה (FTSW). לקבלת מידע נוסף, עיין בהפעלת שירות מופע ייעודי.

רשומות DNS עבור FQDN זו צריכות להיות פתירות מחדש משרת ה-DNS הפנימי של הלקוח כדי לתמוך במכשירים מקומיים המתחברים למופע הייעודי. כדי להקל על הרזולוציה, הלקוח צריך להגדיר מעביר מותנה, עבור FQDN זה, בשרת ה-DNS שלו המצביע על שירות DNS של המופע הייעודי. שירות ה-DNS של המופע הייעודי הוא אזורי וניתן להגיע אליו באמצעות העצה למופע ייעודי, באמצעות כתובות ה-IP הבאות כפי שמוזכר בטבלה שלהלן Dedicated Instance DNS Service IP.

טבלה 6. כתובת IP של שירות DNS של מופע ייעודי

אזור/DC

כתובת IP של שירות DNS של מופע ייעודי

דוגמה להעברה מותנית

AMER

 <customer>.amer.wxc-di.webex.com

סטנסיליםStencils

69.168.17.100

איפוס סיסמה

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

לבנוןafrica. kgm

178.215.138.100

באם

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

פרה-אדום

178.215.131.100

באם

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

סינוס

103.232.71.100

קוקסינל

103.232.71.228

אינסטגרם

 <customer>.aus.wxc-di.webex.com

מל

178.215.128.100

דו־ צדדי

178.215.128.228

אפשרות ה-Ping מושבתת עבור כתובות ה-IP של שרת ה-DNS שצוינו מטעמי אבטחה.

עד שההעברה המותנית תתקיים, המכשירים לא יוכלו להירשם למופע הייעודי מהרשת הפנימית של הלקוחות באמצעות קישורי העצה. העברה מותנית אינה נדרשת לרישום דרך Mobile and Remote Access (MRA), מאחר שכל רשומות ה-DNS החיצוניות הנדרשות כדי להקל על MRA יוקצו מראש על-ידי Cisco.

בעת שימוש ביישום Webex כלקוח רך המתקשר שלך במופע ייעודי, יש להגדיר פרופיל מנהל UC ב-Control Hub עבור דומיין שירות קולי (VSD) של כל אזור. למידע נוסף, עיין בפרופילי מנהל UC ב-Cisco Webex Control Hub. יישום Webex יוכל לפתור אוטומטית את Expressway Edge של הלקוח ללא התערבות של משתמשי קצה.

דומיין השירות הקולי יסופק ללקוח כחלק ממסמך הגישה של השותף לאחר השלמת הפעלת השירות.

השתמש בנתב מקומי עבור רזולוציית DNS של טלפון

עבור טלפונים שאין להם גישה לשרתי DNS הארגוניים, ניתן להשתמש בנתב Cisco מקומי כדי להעביר בקשות DNS ל-DNS בענן של המופע הייעודי. פעולה זו מסירה את הצורך לפרוס שרת DNS מקומי ומספקת תמיכה מלאה ב-DNS כולל במטמון.

תצורה לדוגמה :

!

שרת IP DNS

ip name-שרת

!

השימוש ב-DNS במודל פריסה זה הוא ספציפי לטלפונים וניתן להשתמש בו רק כדי לפתור את ה-FQDN של הדומיין מתוך המופע הייעודי של הלקוחות.

רזולוציית DNS של טלפון