דרישות רשת עבור מופע ייעודי

Webex Calling Dedicated Instance הוא חלק מתיק השיחות הענן של Cisco , המופעל על ידי טכנולוגיית שיתוף הפעולה של Cisco Unified Communications Manager (Cisco Unified CM). Dedicated Instance מציעה פתרונות קול, וידאו, הודעות וניידות עם התכונות והיתרונות של טלפונים, מכשירים ניידים ולקוחות שולחניים של Cisco IP בצורה מאובטחת ל-Dedicated Instance.

מאמר זה מיועד למנהלי רשת, במיוחד למנהלי אבטחת חומת אש ופרוקסי שרוצים להשתמש במופע ייעודי בתוך הארגון שלהם.

סקירת אבטחה: אבטחה בשכבות

מופע ייעודי משתמש בגישה שכבתית לאבטחה. השכבות כוללות:

  • גישה פיזית

  • רשת

  • נקודות קצה

  • יישומי UC

הסעיפים הבאים מתארים את שכבות האבטחה ב מופע ייעודי פריסות.

אבטחה פיזית

חשוב לספק אבטחה פיזית למיקומי Equinix Meet-Me Room Cisco מופע ייעודי מתקני מרכז נתונים. כאשר האבטחה הפיזית נפגעת, ניתן ליזום התקפות פשוטות כגון הפרעת שירות על ידי כיבוי מתח למתגים של לקוח. עם גישה פיזית, תוקפים יכולים לקבל גישה להתקני שרת, לאפס סיסמאות ולקבל גישה למתגים. הגישה הפיזית מאפשרת גם התקפות מתוחכמות יותר כמו התקפות אדם-באמצע, ולכן שכבת האבטחה השנייה, אבטחת הרשת, היא קריטית.

כוננים מוצפנים עצמיים משמשים ב מופע ייעודי מרכזי נתונים המארחים יישומי UC.

למידע נוסף על נוהלי אבטחה כלליים, עיין בתיעוד במיקום הבא: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

אבטחת רשת

שותפים צריכים להבטיח שכל רכיבי הרשת מאובטחים מופע ייעודי תשתית (המתחברת דרך Equinix). באחריות השותף להבטיח שיטות אבטחה שיטות מומלצות כגון:

  • VLAN נפרד לקול ונתונים

  • הפעל אבטחת יציאות המגבילה את מספר כתובות MAC המותרות לכל יציאה, כנגד הצפה בטבלת CAM

  • משמר מקור IP נגד כתובות IP מזויפות

  • בדיקת ARP דינמית (DAI) בוחנת את פרוטוקול פתרון הכתובות (ARP) ו-ARP ללא תשלום (GARP) עבור הפרות (נגד זיוף ARP)

  • 802.1x מגביל את הגישה לרשת לאימות התקנים ב-VLAN שהוקצו (טלפונים אכן תומכים ב-802.1x )

  • הגדרת איכות השירות (QoS) לסימון מתאים של מנות קול

  • חומת אש יציאת תצורות לחסימת כל תעבורה אחרת

אבטחת נקודות קצה

נקודות הקצה של Cisco תומכות בתכונות אבטחה ברירת מחדל כגון קושחה חתומה, אתחול מאובטח (דגמים נבחרים), אישור מותקן על ידי יצרן (MIC) וקובצי תצורה חתומים, המספקים רמת אבטחה מסוימת עבור נקודות קצה.

בנוסף, שותף או לקוח יכולים לאפשר אבטחה נוספת, כגון:

  • הצפנת שירותי טלפון IP (באמצעות HTTPS) עבור שירותים כגון ניידות שלוחה

  • הנפק אישורים בעלי משמעות מקומית (LSC) מפונקציית פונקציית Proxy של רשות Certificate Authority של רשות האישורים (CAPF) או מרשות אישורים ציבורית (CA)

  • הצפנת קבצי תצורה

  • הצפנת מדיה ואיתות

  • השבת את ההגדרות האלה אם לא נעשה בהן שימוש: יציאת מחשב מחשב, גישה ל- VLAN קולית מחשב , ARP ללא תשלום, גישה מקוון/באינטרנט , לחצן הגדרות, SSH, קונסולה

יישום מנגנוני אבטחה ב מופע ייעודי מונע גניבת זהות של הטלפונים ושל Unified CM server, שיבוש נתונים ושיבול איתות שיחות / זרם מדיה.

מופע ייעודי דרך הרשת:

  • מקים ומתחזק זרמי תקשורת מאומתים

  • חתימה דיגיטלית על קבצים לפני העברת הקובץ לטלפון

  • מצפין זרמי מדיה ואיתות שיחות בין טלפונים של Cisco Unified IP

הגדרת ברירת מחדל לאבטחה

אבטחה כברירת מחדל מספקת את תכונות האבטחה האוטומטיות הבאות עבור טלפונים של Cisco Unified IP :

  • חתימה על קבצי תצורת טלפון

  • תמיכה בהצפנת קבצי תצורת טלפון

  • HTTPS עם Tomcat ושירותי מקוון/באינטרנט אחרים (MIDlets)

עבור Unified CM Release 8.0 מאוחר יותר, תכונות האבטחה הללו מסופקות כברירת מחדל מבלי להפעיל את לקוח ה-Certificate Trust List (CTL).

שירות אימות אמון

מכיוון שיש מספר רב של טלפונים ברשת ולטלפונים IP יש זיכרון מוגבל, Cisco Unified CM פועלת כחנות אמון מרוחקת דרך שירות אימות האמון (TVS) כך שלא צריך להציב חנות אמון של אישורים בכל טלפון. טלפונים של Cisco IP יוצרים קשר עם שרת TVS לצורך אימות מכיוון שהם אינם יכולים לאמת חתימה או אישור באמצעות קבצי CTL או ITL. קל יותר לנהל חנות אמון מרכזית מאשר להחזיק את חנות האמון בכל טלפון Cisco Unified טלפון IP.

TVS מאפשרת לטלפונים של Cisco Unified IP לאמת שרתי יישומים, כגון שירותי EM , ספרייה ו-MIDlet, במהלך הקמת HTTPS.

רשימת אמון ראשונית

הקובץ Initial Trust List (ITL) משמש לאבטחה הראשונית, כך שנקודות הקצה יכולות לסמוך על Cisco Unified CM. ITL לא צריך שום תכונות אבטחה כדי להיות מופעלות באופן מפורש. קובץ ה-ITL נוצר באופן אוטומטי עם התקנת האשכול. המפתח הפרטי של שרת Unified CM Trivial File Transfer Protocol (TFTP) משמש לחתימה על קובץ ה-ITL.

כאשר האשכול או השרת של Cisco Unified CM נמצאים במצב לא מצב מאובטח , קובץ ה-ITL מוריד בכל טלפון IP נתמך של Cisco . שותף יכול להציג את התוכן של קובץ ITL באמצעות פקודת CLI, admin:show itl.

טלפונים IP של Cisco זקוקים לקובץ ITL כדי לבצע את המשימות הבאות:

  • תקשר בצורה מאובטחת ל- CAPF, תנאי מוקדם לתמיכה בהצפנת קובץ תצורה

  • אמת את חתימת קובץ תצורה

  • אימות שרתי יישומים, כגון שירותי EM , ספרייה ו-MIDlet במהלך הקמת HTTPS באמצעות TVS

Cisco CTL

אימות התקן, קבצים ואיתות מסתמכים על יצירת הקובץ Certificate Trust List (CTL), אשר נוצר כאשר השותף או הלקוח מתקין ומגדיר את Cisco Certificate Trust List Client.

קובץ CTL מכיל ערכים עבור השרתים או אסימוני האבטחה הבאים:

  • אסימון אבטחה של מנהל מערכת (SAST)

  • שירותי Cisco CallManager ו- Cisco TFTP הפועלים על אותו שרת

  • פונקציית פרוקסי של Certificate Authority (CAPF)

  • שרתי TFTP

  • חומת אש של ASA

קובץ CTL מכיל תעודת שרת, מפתח ציבורי, מספר סידורי, חתימה, שם מנפיק, שם נושא, פונקציית שרת, שם DNS כתובת IP עבור כל שרת.

אבטחת טלפון עם CTL מספקת את הפונקציות הבאות:

  • אימות של קבצי TFTP שהורדו (תצורה, מיקום, רשימת צלצולים וכן הלאה) באמצעות מפתח חתימה

  • הצפנה של קבצי תצורת TFTP באמצעות מפתח חתימה

  • איתות שיחות מוצפן עבור טלפונים IP

  • שמע שיחה מוצפן (מדיה) עבור טלפונים IP

אבטחה עבור טלפונים של Cisco IP ב מופע ייעודי

מופע ייעודי מספק רישום נקודות קצה עיבוד שיחות. האיתות בין Cisco Unified CM לנקודות הקצה מבוסס על Secure Skinny Client Control Protocol (SCCP) או פרוטוקול התחלת הפעלה (SIP) וניתן להצפין באמצעות Transport Layer Security (TLS). המדיה מ/אל נקודות הקצה מבוססת על פרוטוקול תעבורה בזמן אמת (RTP) וניתנת להצפנה גם באמצעות Secure RTP (SRTP).

הפעלת מצב מעורב ב- Unified CM מאפשרת הצפנה של תעבורת מדיה מנקודות הקצה של Cisco ואליהן.

יישומי UC מאובטחים

הפעלת מצב מעורב ב מופע ייעודי

מצב מעורב אינו מופעל כברירת מחדל ב מופע ייעודי .

הפעלת מצב מעורב ב מופע ייעודי מאפשרת את היכולת לבצע הצפנה של תעבורת האיתות תעבורת מדיה מנקודות הקצה של Cisco ואליהן.

במהדורת Cisco Unified CM 12.5(1), נוספה אפשרות חדשה לאפשר הצפנה של איתות ומדיה המבוססת על SIP OAuth במקום מצב מעורב/ CTL עבור לקוחות Jabber ו- Webex . לכן, במהדורת Unified CM 12.5(1), ניתן להשתמש ב- SIP OAuth ו- SRTP כדי לאפשר הצפנה עבור איתות ומדיה עבור לקוחות Jabber או Webex . הפעלת מצב מעורב ממשיכה להידרש עבור טלפונים של Cisco IP ונקודות קצה אחרות של Cisco בשלב זה. יש תוכנית להוסיף תמיכה עבור SIP OAuth בנקודות קצה 7800/8800 במהדורה עתידית.

אבטחת העברת הודעות קוליות

Cisco Unity Connection מתחבר ל- Unified CM דרך יציאת TLS . כאשר מצב אבטחת המכשיר אינו מאובטח, Cisco Unity Connection מתחבר ל- Unified CM דרך יציאת SCCP .

כדי להגדיר אבטחה עבור יציאות Unified CM להעברת הודעות קוליות והתקני Cisco Unity המריצים התקני SCCP או Cisco Unity Connection המריצים SCCP, שותף יכול לבחור מצב אבטחת התקן מאובטח עבור היציאה. אם תבחר יציאת דואר קולי מאומת, ייפתח חיבור TLS , המאמת את המכשירים באמצעות החלפת אישורים הדדית (כל מכשיר מקבל את האישור של המכשיר השני). אם תבחר יציאת דואר קולי מוצפן, המערכת תחילה מאמתת את המכשירים ולאחר מכן שולחת זרמי קול מוצפנים בין המכשירים.

למידע נוסף על יציאות הודעות קוליות אבטחה, עיין ב: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

אבטחה עבור SRST, Trunks, Gateways, CUBE/SBC

שער התומך של Cisco Unified Survivable Remote Site Telephony (SRST) מספק משימות מוגבלות של עיבוד שיחות אם Cisco Unified CM פועל מופע ייעודי לא יכול להשלים את השיחה.

שערים מאובטחים התומכים ב- SRST מכילים תעודה בחתימה עצמית. לאחר ששותף מבצע משימות תצורת SRST ב- Unified CM Administration, Unified CM משתמש בחיבור TLS כדי לאמת עם שירות ספק האישורים שער מופעל-SRST. לאחר מכן מאחזר Unified CM את האישור שער מופעל-SRST ומוסיף את האישור למסד הנתונים של Unified CM .

לאחר שהשותף מאפס את ההתקנים התלויים ב- Unified CM Administration, שרת ה- TFTP מוסיף את אישור שער מופעל-SRST לקובץ cnf.xml של הטלפון ושולח את הקובץ לטלפון. לאחר מכן, טלפון מאובטח משתמש בחיבור TLS כדי ליצור אינטראקציה עם שער מופעל-SRST.

מומלץ להחזיק טראנקים מאובטחים לשיחה שמקורה מ- Cisco Unified CM אל השער עבור שיחות PSTN יוצאות או מעבר דרך Cisco Unified Border Element (CUBE).

טרנקי SIP יכולים לתמוך בשיחות מאובטחות הן עבור איתות והן עבור מדיה; TLS מספק הצפנת איתות ו- SRTP מספק הצפנת מדיה.

אבטחת תקשורת בין Cisco Unified CM ל-CUBE

לתקשורת מאובטחת בין Cisco Unified CM ו-CUBE, שותפים/לקוחות צריכים להשתמש תעודה בחתימה עצמית ב-CA.

לאישורים בחתימה עצמית:

  1. CUBE ו- Cisco Unified CM מייצרים אישורים בחתימה עצמית

  2. CUBE מייצאת אישור ל- Cisco Unified CM

  3. Cisco Unified CM מייצאת אישור ל-CUBE

עבור אישורים חתומים על ידי CA:

  1. הלקוח יוצר צמד מפתחות ושולח בקשת חתימת אישורים (CSR) Certificate Authority (CA)

  2. ה-CA חותם עליו עם המפתח הפרטי שלו, ויוצר אישור זהות

  3. הלקוח מתקין את רשימת ה-CA Root ואישורי מתווך מהימנים ואת תעודת הזהות

אבטחה עבור נקודות קצה מרוחקות

עם נקודות קצה ניידות וגישה Remote Access (MRA), האיתות והמדיה מוצפנים תמיד בין נקודות הקצה של MRA וצמתי הנתיב המהיר. אם נעשה שימוש בפרוטוקול Interactive Connectivity Establishment (ICE) עבור נקודות קצה MRA, נדרשת איתות והצפנת מדיה של נקודות הקצה של MRA. עם זאת, הצפנה של האיתות והמדיה בין Expressway-C לבין שרתי Unified CM הפנימיים, נקודות קצה פנימיות או התקנים פנימיים אחרים, דורשים מצב מעורב או SIP OAuth.

Cisco Expressway מספקת מעבר מאובטח של חומת אש ותמיכה בצד הקו עבור רישומי Unified CM . Unified CM מספקת בקרת שיחות הן עבור נקודות קצה ניידות והן עבור נקודות קצה מקומי . איתות חוצה את פתרון הנתיב המהיר בין נקודת הקצה המרוחקת ל- Unified CM. מדיה חוצה את פתרון הנתיב המהיר ומועברת ישירות בין נקודות הקצה. כל המדיה מוצפנת בין ה-Expressway-C לנקודת הקצה הניידת.

כל פתרון MRA דורש Expressway ו- Unified CM, עם לקוחות רכים תואמי MRA ו/או נקודות קצה קבועות. הפתרון יכול לכלול אופציונלי את שירות ה- הודעה מיידית שירות נוכחות ו- Unity Connection.

סיכום פרוטוקול

הטבלה הבאה מציגה את הפרוטוקולים והשירותים המשויכים בשימוש בפתרון Unified CM .

טבלה 1. פרוטוקולים ושירותים נלווים

פרוטוקול

אבטחה

שירות

SIP

TLS

הקמת מושב: הרשמה, הזמנה וכו'.

HTTPS

TLS

כניסה, הקצאה/תצורה, ספרייה, דואר קולי חזותי

מדיה

SRTP

מדיה: אודיו, וידאו, שיתוף תוכן

XMPP

TLS

העברת הודעות מיידיות, נוכחות, פדרציה

למידע נוסף על תצורת MRA, ראה: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

אפשרויות תצורה

ה מופע ייעודי מספק לפרטנר גמישות להתאמה אישית של שירותים עבור משתמשי קצה באמצעות שליטה מלאה בתצורות היום השני. כתוצאה מכך, השותף הוא האחראי הבלעדי לתצורה נכונה של מופע ייעודי שירות עבור סביבת משתמש הקצה. זה כולל, אך לא מוגבל ל:

  • בחירת שיחות מאובטחות/לא מאובטחות, פרוטוקולים מאובטחים/לא מאובטחים כגון SIP/sSIP, http/https וכו' והבנת כל הסיכונים הנלווים.

  • עבור כל כתובות MAC שאינן מוגדרות כמאובטחות- SIP in מופע ייעודי , תוקף יכול לשלוח הודעת SIP Register באמצעות כתובת MAC זו ולהיות מסוגל לבצע שיחות SIP , וכתוצאה מכך הונאת אגרה. התנאי הוא שהתוקף יוכל לרשום את מכשיר SIP/תוכנה שלו מופע ייעודי ללא אישור אם הם יודעים את כתובת MAC של מכשיר הרשום ב מופע ייעודי .

  • יש להגדיר מדיניות שיחות Expressway-E, כללי שינוי וכלי חיפוש כדי למנוע הונאת אגרה. למידע נוסף על מניעת הונאת אגרה באמצעות כבישים מהירים, עיין בסעיף אבטחה עבור כביש מהיר C וכביש מהיר-E של שיתוף פעולה SRND .

  • תצורת תוכנית חיוג כדי להבטיח שמשתמשים יכולים לחייג רק ליעדים מותרים, למשל, לאסור חיוג לאומי/בינלאומי, שיחות חירום מנותבות כהלכה וכו'. למידע נוסף על החלת הגבלות באמצעות תוכנית חיוג, עיין ב- תוכנית חיוג סעיף של שיתוף פעולה SRND.

דרישות אישור עבור חיבורים מאובטחים במופע ייעודי

עבור מופע ייעודי, Cisco תספק את הדומיין ותחתום על כל האישורים עבור יישומי UC באמצעות Certificate Authority ציבורית (CA).

מופע ייעודי - מספרי יציאה ופרוטוקולים

הטבלאות הבאות מתארות את היציאות והפרוטוקולים הנתמכים במופע ייעודי. יציאות המשמשות עבור לקוח נתון תלויות בפריסה ובפתרון של הלקוח. הפרוטוקולים תלויים בהעדפת הלקוח (SCCP לעומת SIP), התקנים מקומי קיימים ואיזו רמת אבטחה לקבוע באילו יציאות יש להשתמש בכל פריסה.


מופע ייעודי אינו מאפשר תרגום כתובות רשת (NAT) בין נקודות קצה ו- Unified CM מכיוון שחלק מתכונות זרימת השיחה לא יפעלו, למשל תכונה במהלך השיחה.

מופע ייעודי - יציאות לקוחות

היציאות הזמינות ללקוחות - בין הלקוח מקומי למופע הייעודי מוצגות בטבלה 1 יציאות לקוחות ייעודיות למופע . כל היציאות המפורטות להלן מיועדות לתנועת לקוחות שעוברת את קישורי ההצצה.


יציאת SNMP נתמכת רק עבור פונקציונליות CER ולא עבור כל כלי ניטור אחרים של צד שלישי.


יציאות בטווח 5063 עד 5080 שמורות על ידי Cisco עבור אינטגרציות ענן אחרות, למנהלי שותפים או לקוחות מומלץ לא להשתמש ביציאות אלו בתצורות שלהם.

טבלה 2. מופע ייעודי יציאות לקוחות

פרוטוקול

TCP/UCP

מקור

יעד

יציאת מקור

יציאת יעד

מטרה

SSH

TCP

לקוח

יישומי UC

יותר מ-1023

22

ניהול

LDAP

TCP

יישומי UC

ספרייה חיצונית

יותר מ-1023

389

סנכרון ספריות ל- LDAP של הלקוח

HTTPS

TCP

דפדפן

יישומי UC

יותר מ-1023

443

גישה מקוון/באינטרנט לטיפול עצמי וממשקי ניהול

LDAP (מאבטח)

TCP

יישומי UC

ספרייה חיצונית

יותר מ-1023

636

סנכרון ספריות ל- LDAP של הלקוח

SCCP

TCP

נקודת קצה

Unified CM, CUCxn

יותר מ-1023

2000

איתות שיחות

SCCP

TCP

Unified CM

Unified CM, Gateway

יותר מ-1023

2000

איתות שיחות

SCCP (מאבטח)

TCP

נקודת קצה

Unified CM, CUCxn

יותר מ-1023

2443

איתות שיחות

SCCP (מאבטח)

TCP

Unified CM

Unified CM, Gateway

יותר מ-1023

2443

איתות שיחות

אימות אמון

TCP

נקודת קצה

Unified CM

יותר מ-1023

2445

מתן שירות אימות אמון לנקודות קצה

CTI

TCP

נקודת קצה

Unified CM

יותר מ-1023

2748

חיבור בין יישומי CTI (JTAPI/TSP) ו-CTIManager

CTI מאובטח

TCP

נקודת קצה

Unified CM

יותר מ-1023

2749

חיבור מאובטח בין יישומי CTI (JTAPI/TSP) לבין CTIManager

קטלוג גלובלי של LDAP

TCP

יישומי UC

ספרייה חיצונית

יותר מ-1023

3268

סנכרון ספריות ל- LDAP של הלקוח

קטלוג גלובלי של LDAP

TCP

יישומי UC

ספרייה חיצונית

יותר מ-1023

3269

סנכרון ספריות ל- LDAP של הלקוח

שירות CAPF

TCP

נקודת קצה

Unified CM

יותר מ-1023

3804

יציאת האזנה לפונקציית פרוקסי של Certificate Authority (CAPF) להנפקת אישורים בעלי משמעות מקומית (LSC) לטלפונים IP

SIP

TCP

נקודת קצה

Unified CM, CUCxn

יותר מ-1023

5060

איתות שיחות

SIP

TCP

Unified CM

Unified CM, Gateway

יותר מ-1023

5060

איתות שיחות

SIP (מאבטח)

TCP

נקודת קצה

Unified CM

יותר מ-1023

5061

איתות שיחות

SIP (מאבטח)

TCP

Unified CM

Unified CM, Gateway

יותר מ-1023

5061

איתות שיחות

SIP (OAUTH)

TCP

נקודת קצה

Unified CM

יותר מ-1023

5090

איתות שיחות

XMPP

TCP

לקוח ג'אבר

Cisco IM&P

יותר מ-1023

5222

העברת הודעות מיידיות ונוכחות

HTTP

TCP

נקודת קצה

Unified CM

יותר מ-1023

6970

הורדת תצורה ותמונות לנקודות קצה

HTTPS

TCP

נקודת קצה

Unified CM

יותר מ-1023

6971

הורדת תצורה ותמונות לנקודות קצה

HTTPS

TCP

נקודת קצה

Unified CM

יותר מ-1023

6972

הורדת תצורה ותמונות לנקודות קצה

HTTP

TCP

לקוח ג'אבר

CUCxn

יותר מ-1023

7080

הודעות דואר קולי

HTTPS

TCP

לקוח ג'אבר

CUCxn

יותר מ-1023

7443

התראות דואר קולי מאובטח

HTTPS

TCP

Unified CM

Unified CM

יותר מ-1023

7501

בשימוש על ידי שירות חיפוש בין-אשכולות (ILS) עבור אימות מבוסס תעודות

דואר יוצא (מאבטח)

TCP

יישום UC

CUCxn

יותר מ-1023

587

משמש לחיבור ושליחת הודעות מאובטחות לכל נמען ייעודי

HTTPS

TCP

Unified CM

Unified CM

יותר מ-1023

7502

משמש את ILS לאימות מבוסס סיסמה

IMAP

TCP

לקוח ג'אבר

CUCxn

יותר מ-1023

7993

IMAP על TLS

HTTPS

TCP

דפדפן, נקודת קצה

יישומי UC

יותר מ-1023

8443

גישה מקוון/באינטרנט לטיפול עצמי וממשקי ניהול, UDS

HTTPS

TCP

Prem

Unified CM

יותר מ-1023

9443

חיפוש אנשי קשר מאומת

RTP/ SRTP מאובטח

UDP

Unified CM

טלפון

16384 עד 32767 *

16384 עד 32767 *

מדיה (אודיו) - מוסיקה בהמתנה, קריין, גשר ועידות תוכנה (פתוח מבוסס על איתות שיחה)

RTP/ SRTP מאובטח

UDP

טלפון

Unified CM

16384 עד 32767 *

16384 עד 32767 *

מדיה (אודיו) - מוסיקה בהמתנה, קריין, גשר ועידות תוכנה (פתוח מבוסס על איתות שיחה)

ICMP

ICMP

נקודת קצה

יישומי UC

לא רלוונטי

לא רלוונטי

איתות

ICMP

ICMP

יישומי UC

נקודת קצה

לא רלוונטי

לא רלוונטי

איתות

* מקרים מיוחדים מסוימים עשויים להשתמש בטווח גדול יותר.

מופע ייעודי - יציאות OTT

רשימת היציאות הבאה יכולה לשמש לקוחות ושותפים להגדרת גישה ניידת וגישה Remote Access (MRA):

טבלה 3. רשימת יציאות עבור OTT

פרוטוקול

TCP/UCP

מקור

יעד

יציאת מקור

יציאת יעד

מטרה

SIP מאובטחת

TCP

נקודת קצה

כביש מהיר E

יותר מ-1023

5061

SIP signaling מאובטח לרישום MRA ושיחות

SIP מאובטחת

TCP

נקודת קצה/שרת

כביש מהיר E

יותר מ-1023

5062

SIP מאובטח לשיחות B2B

מאובטח RTP/ RTCP

UDP

נקודת קצה/שרת

כביש מהיר E

יותר מ-1023

36000-59999

מדיה מאובטחת לשיחות MRA ו-B2B

HTTPS (מאובטח)

TLS

לקוח

כביש מהיר E

יותר מ-1023

8443

CUCM UDS ו-CUCxn REST לשיחות MRA

XMLS

TLS

לקוח

כביש מהיר E

יותר מ-1023

5222

הודעה מיידית ונוכחות

TURN

UDP

לקוח ICE

כביש מהיר E

יותר מ-1023

3478

משא ומתן ICE/STUN/ TURN

מאובטח RTP/ RTCP

UPD

לקוח ICE

כביש מהיר E

יותר מ-1023

24000-29999

TURN מדיה עבור ICE fallback

מופע ייעודי - יציאות UCCX

רשימת היציאות הבאה יכולה לשמש לקוחות ושותפים להגדרת UCCX.

טבלה 4. יציאות Cisco UCCX

פרוטוקול

TCP / UCP

מקור

יעד

יציאת מקור

יציאת יעד

מטרה

SSH

TCP

לקוח

UCCX

יותר מ-1023

22

SFTP ו-SSH

אינפורמיקס

TCP

לקוח או שרת

UCCX

יותר מ-1023

1504

יציאת מסד נתונים Unified CCX

SIP

UDP ו-TCP

שרת SIP GW או MCRP

UCCX

יותר מ-1023

5065

תקשורת לצמתי GW ו-MCRP מרוחקים

XMPP

TCP

לקוח

UCCX

יותר מ-1023

5223

חיבור XMPP מאובטח בין שרת Finesse ליישומי צד שלישי מותאמים אישית

CVD

TCP

לקוח

UCCX

יותר מ-1023

6999

עורך ליישומי CCX

HTTPS

TCP

לקוח

UCCX

יותר מ-1023

7443

חיבור BOSH מאובטח בין שרת Finesse למחשבים שולחניים של סוכן ומנהל לתקשורת באמצעות HTTPS

HTTP

TCP

לקוח

UCCX

יותר מ-1023

8080

לקוחות דיווח נתונים חיים מתחברים לשרת socket.IO

HTTP

TCP

לקוח

UCCX

יותר מ-1023

8081

דפדפן לקוח מנסה לגשת ממשק אינטרנט של Cisco Unified Intelligence Center

HTTP

TCP

לקוח

UCCX

יותר מ-1023

8443

גישה לניהול GUI, RTCP, DB דרך SOAP

HTTPS

TCP

לקוח

UCCX

יותר מ-1023

8444

ממשק אינטרנט של Cisco Unified Intelligence Center

HTTPS

TCP

לקוחות דפדפן ו-REST

UCCX

יותר מ-1023

8445

יציאה מאובטחת עבור Finesse

HTTPS

TCP

לקוח

UCCX

יותר מ-1023

8447

HTTPS - עזרה מקוונת של מרכז מודיעין מאוחד

HTTPS

TCP

לקוח

UCCX

יותר מ-1023

8553

רכיבי כניסה יחידה (SSO) ניגשים לממשק זה כדי לדעת את מצב ההפעלה של Cisco IdS.

HTTP

TCP

לקוח

UCCX

יותר מ-1023

9080

לקוחות המנסים לגשת לטריגרים של HTTP או למסמכים/הנחיות/דקדוקים/ נתונים בזמן אמת.

HTTPS

TCP

לקוח

UCCX

יותר מ-1023

9443

יציאה מאובטחת משמשת להגיב ללקוחות המנסים לגשת לטריגרים של HTTPS

TCP

TCP

לקוח

UCCX

יותר מ-1023

12014

זוהי היציאה שבה לקוחות דיווח נתונים חיים יכולים להתחבר לשרת socket.IO

TCP

TCP

לקוח

UCCX

יותר מ-1023

12015

זוהי היציאה שבה לקוחות דיווח נתונים חיים יכולים להתחבר לשרת socket.IO

CTI

TCP

לקוח

UCCX

יותר מ-1023

12028

לקוח CTI של צד שלישי ל-CCX

RTP(מדיה)

TCP

נקודת קצה

UCCX

יותר מ-1023

יותר מ-1023

יציאת המדיה נפתחת באופן דינמי לפי הצורך

RTP(מדיה)

TCP

לקוח

נקודת קצה

יותר מ-1023

יותר מ-1023

יציאת המדיה נפתחת באופן דינמי לפי הצורך

אבטחת לקוח

אבטחת Jabber ו- Webex עם SIP OAuth

לקוחות Jabber ו- Webex מאומתים באמצעות אסימון OAuth במקום אישור בעל משמעות מקומית (LSC), שאינו דורש הפעלת פונקציית Proxy של רשות Certificate Authority (CAPF) (גם עבור MRA). SIP OAuth שעובד עם או בלי מצב מעורב הוצג ב- Cisco Unified CM 12.5(1), Jabber 12.5 ו-Expressway X12.5.

ב- Cisco Unified CM 12.5, יש לנו אפשרות חדשה בפרופיל אבטחת הטלפון המאפשרת הצפנה ללא LSC/ CAPF, באמצעות Transport Layer Security יחידה (TLS) + אסימון OAuth ב- SIP REGISTER. צמתים של Expressway-C משתמשים ב- API של Administrative XML מקוון/באינטרנט Service (AXL ) כדי ליידע את Cisco Unified CM על ה-SN/SAN בתעודה שלהם. Cisco Unified CM משתמש במידע זה כדי לאמת את אישור Exp-C בעת יצירת חיבור TLS הדדי.

SIP OAuth מאפשר הצפנת מדיה ואיתות ללא אישור נקודת קצה (LSC).

Cisco Jabber משתמש ביציאות ארעיות וביציאות מאובטחות 6971 ו-6972 באמצעות חיבור HTTPS לשרת TFTP כדי להוריד את קובצי התצורה. יציאה 6970 היא יציאה לא מאובטחת להורדה באמצעות HTTP.

פרטים נוספים על תצורת SIP OAuth: מצב SIP OAuth .

דרישות DNS

עבור מופע ייעודי Cisco מספקת את ה-FQDN עבור השירות בכל אזור בפורמט הבא<customer> .<region> .wxc-di.webex.com למשל, xyz.amer.wxc-di.webex.com .

הערך 'לקוח' מסופק על ידי מנהל המערכת כחלק אשף הגדרה ראשונה (FTSW). למידע נוסף עיין ב הפעלת שירות מופע ייעודי .

רשומות DNS עבור FQDN זה צריכות להיות ניתנות לפתרון משרת ה- שרת DNS הפנימי של הלקוח כדי לתמוך בהתקנים מקומיים המתחברים למופע הייעודי. כדי להקל על הפתרון, הלקוח צריך להגדיר מעביר מותנה, עבור FQDN זה, שרת DNS שלו המצביע על שירות DNS של מופע ייעודי. שירות DNS של מופע ייעודי הוא אזורי וניתן להגיע אליו, באמצעות הצצה למופע ייעודי, באמצעות כתובות IP הבאות כפי שצוינו בטבלה למטה כתובת IP של שירות DNS של מופע ייעודי .

טבלה 5. כתובת IP של שירות DNS של מופע ייעודי

אזור/DC

כתובת IP של שירות DNS של מופע ייעודי

דוגמה להעברה מותנית

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

AMS

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

חטא

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


אפשרות הפינג מושבתת עבור כתובות IP של שרת DNS שהוזכרו לעיל מטעמי אבטחה.

עד לביצוע ההעברה המותנית, מכשירים לא יוכלו להירשם למופע הייעודי מהרשת הפנימית של הלקוחות דרך קישורי ההצצה. העברה מותנית אינה נדרשת לרישום באמצעות Remote Access ניידת ומרוחקת (MRA), מכיוון שכל רשומות DNS החיצוניות הנדרשות כדי להקל על MRA יוקצו מראש על ידי Cisco.

בעת שימוש באפליקציית Webex כלקוח הרך המתקשר שלך במופע ייעודי, יש להגדיר פרופיל UC Manager ב-Control Hub עבור תחום שירות הקול (VSD) של כל אזור. למידע נוסף עיין ב פרופילי מנהל UC ב- Cisco Webex Control Hub . אפליקציית Webex תוכל לפתור אוטומטית את Expressway Edge של הלקוח ללא כל התערבות של משתמש קצה .


דומיין שירות קולי יסופק ללקוח כחלק ממסמך הגישה לשותף לאחר השלמת הפעלת השירות.