דרישות רשת עבור מופע ייעודי

מופע ייעודי של Webex Calling הוא חלק מתיק העבודות של Cisco Cloud Calling, המופעל על ידי טכנולוגיית שיתוף הפעולה Cisco Unified Communications Manager (Cisco Unified CM). Dedicated Instance מציעה פתרונות קול, וידאו, העברת הודעות וניידות עם התכונות והיתרונות של טלפוני IP של סיסקו, מכשירים ניידים ולקוחות שולחניים שמתחברים בצורה מאובטחת ל-Dedicated Instance.

מאמר זה מיועד למנהלי רשת, ובמיוחד למנהלי אבטחת חומת אש ופרוקסי המעוניינים להשתמש ב-Dedicated Instance בתוך הארגון שלהם.

סקירת אבטחה: אבטחה בשכבות

מופע ייעודי משתמש בגישה שכבתית לאבטחה. השכבות כוללות:

  • גישה פיזית

  • רשת

  • נקודות קצה

  • יישומי UC

הסעיפים הבאים מתארים את שכבות האבטחה בפריסות של מופעים ייעודיים.

אבטחה פיזית

חשוב לספק אבטחה פיזית למיקומי Equinix Meet-Me Room ולמתקני Cisco Dedicated Instance Data Center. כאשר אבטחה פיזית נפגעת, ניתן ליזום התקפות פשוטות כגון שיבוש שירות על ידי ניתוק החשמל למתגים של הלקוח. עם גישה פיזית, תוקפים יכלו לקבל גישה למכשירי שרת, לאפס סיסמאות ולקבל גישה למתגים. גישה פיזית גם מאפשרת התקפות מתוחכמות יותר כמו התקפות "אדם באמצע", ולכן שכבת האבטחה השנייה, אבטחת הרשת, היא קריטית.

כוננים עם הצפנה עצמית משמשים במרכזי נתונים ייעודיים (Dedicated Instance Data Centers) המארחים יישומי UC.

למידע נוסף על נוהלי אבטחה כלליים, עיין בתיעוד במיקום הבא: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

אבטחת רשת

שותפים צריכים לוודא שכל רכיבי הרשת מאובטחים בתשתית Dedicated Instance (המתחברת דרך Equinix). באחריות השותף להבטיח שיטות עבודה מומלצות לאבטחה כגון:

  • VLAN נפרד לקול ונתונים

  • הפעלת אבטחת פורטים אשר מגבילה את מספר כתובות ה-MAC המותרות לכל פורט, מפני הצפת טבלת CAM

  • הגנה מפני כתובות IP מזויפות

  • בדיקת ARP דינמית (DAI) בוחנת את פרוטוקול רזולוציית הכתובות (ARP) ואת ARP הלא נחוץ (GARP) לאיתור הפרות (נגד זיופים של ARP)

  • 802.⁦1x⁩ מגביל את גישת הרשת לאימות התקנים ברשתות VLAN שהוקצו (טלפונים תומכים ב-802.⁦1x⁩)

  • הגדרת איכות השירות (QoS) לסימון מתאים של חבילות קול

  • תצורות יציאות חומת אש לחסימת כל תעבורה אחרת

אבטחת נקודות קצה

נקודות הקצה של Cisco תומכות בתכונות אבטחה המוגדרות כברירת מחדל כגון קושחה חתומה, אתחול מאובטח (דגמים נבחרים), אישור מותקן על ידי היצרן (MIC) וקבצי תצורה חתומים, המספקים רמת אבטחה מסוימת עבור נקודות הקצה.

בנוסף, שותף או לקוח יכולים לאפשר אבטחה נוספת, כגון:

  • הצפנת שירותי טלפון IP (דרך HTTPS) עבור שירותים כגון Extension Mobility

  • הנפקת אישורים בעלי משמעות מקומית (LSC) מפונקציית ה-proxy של רשות האישורים (CAPF) או מרשות אישורים ציבורית (CA)

  • הצפנת קבצי תצורה

  • הצפנת מדיה ואיתות

  • השבת הגדרות אלה אם אינן בשימוש: יציאת מחשב, גישת VLAN קולית למחשב, ARP חינמי, גישה לאינטרנט, כפתור הגדרות, SSH, קונסולה

יישום מנגנוני אבטחה ב-Dedicated Instance מונע גניבת זהות של הטלפונים ושרת Unified CM, שיבוש נתונים ואיתות שיחות. / שיבוש זרם המדיה.

מופע ייעודי דרך הרשת:

  • יוצר ומתחזק זרמי תקשורת מאומתים

  • חותם דיגיטלית על קבצים לפני העברת הקובץ לטלפון

  • הצפנת זרמי מדיה ואיתות שיחות בין טלפוני Cisco Unified IP

הגדרת אבטחה ברירת מחדל

אבטחה כברירת מחדל מספקת את תכונות האבטחה האוטומטיות הבאות עבור טלפוני Cisco Unified IP:

  • חתימה על קבצי תצורת הטלפון

  • תמיכה בהצפנת קבצי תצורת טלפון

  • HTTPS עם Tomcat ושירותי אינטרנט אחרים (MIDlets)

עבור Unified CM Release 8.0 מאוחר יותר, תכונות אבטחה אלה מסופקות כברירת מחדל מבלי להפעיל את לקוח רשימת האמון של אישורי אישורים (CTL).

שירות אימות אמינות

מכיוון שיש מספר רב של טלפונים ברשת וטלפוני IP בעלי זיכרון מוגבל, Cisco Unified CM פועל כמאגר אמון מרוחק באמצעות שירות אימות האמון (TVS) כך שאין צורך להציב מאגר אמון של אישורים בכל טלפון. טלפוני ה-IP של סיסקו יוצרים קשר עם שרת ה-TVS לצורך אימות מכיוון שאינם יכולים לאמת חתימה או אישור באמצעות קבצי CTL או ITL. ניהול של מאגר אמון מרכזי קל יותר מאשר ניהול של מאגר האמון בכל טלפון Cisco Unified IP.

TVS מאפשר לטלפוני Cisco Unified IP לאמת שרתי יישומים, כגון שירותי EM, ספריות ו-MIDlet, במהלך הקמת HTTPS.

רשימת אמינות ראשונית

קובץ רשימת האמון הראשונית (ITL) משמש לאבטחה הראשונית, כך שנקודות הקצה יוכלו לסמוך על Cisco Unified CM. ITL אינו זקוק להפעלה מפורשת של תכונות אבטחה. קובץ ה-ITL נוצר אוטומטית בעת התקנת האשכול. המפתח הפרטי של שרת פרוטוקול העברת הקבצים המאוחד של CM Trivial (TFTP) משמש לחתימה על קובץ ה-ITL.

כאשר אשכול או שרת Cisco Unified CM נמצאים במצב לא מאובטח, קובץ ה-ITL מוריד לכל טלפון Cisco IP נתמך. שותף יכול לצפות בתוכן של קובץ ITL באמצעות פקודת CLI, admin:show זה.

כברירת מחדל, מנהל השותף מקבל גישת רמה 1 עבור ממשק שורת פקודה (CLI). עיין ב- אודות ממשק שורת פקודה (CLI ) למידע נוסף ולראות אילו פקודות מותרות ברמה 1.

טלפוני Cisco IP זקוקים לקובץ ITL כדי לבצע את המשימות הבאות:

  • תקשרו בצורה מאובטחת עם CAPF, תנאי הכרחי לתמיכה בהצפנת קובץ התצורה

  • אימות חתימת קובץ התצורה

  • אימות שרתי יישומים, כגון שירותי EM, ספריות ו-MIDlet במהלך הקמת HTTPS באמצעות TVS

סיסקו CTL

אימות התקנים, קבצים ואיתותים מסתמך על יצירת קובץ רשימת אמון האישורים (CTL), שנוצר כאשר השותף או הלקוח מתקין ומגדיר את לקוח רשימת אמון האישורים של Cisco.

קובץ ה-CTL מכיל ערכים עבור השרתים או אסימוני האבטחה הבאים:

  • אסימון אבטחה של מנהל מערכת (SAST)

  • שירותי Cisco CallManager ו-Cisco TFTP הפועלים על אותו שרת

  • פונקציית פרוקסי של רשות אישורים (CAPF)

  • שרת/י TFTP

  • חומת אש של ASA

קובץ ה-CTL מכיל תעודת שרת, מפתח ציבורי, מספר סידורי, חתימה, שם מנפיק, שם נושא, פונקציית שרת, שם DNS וכתובת IP עבור כל שרת.

אבטחת טלפון עם CTL מספקת את הפונקציות הבאות:

  • אימות של קבצי TFTP שהורדו (תצורה, מיקום, רשימת צלצולים וכן הלאה) באמצעות מפתח חתימה

  • הצפנת קבצי תצורה של TFTP באמצעות מפתח חתימה

  • איתות שיחות מוצפן עבור טלפוני IP

  • אודיו (מדיה) של שיחה מוצפן עבור טלפוני IP

אבטחה עבור טלפוני IP של סיסקו במופע ייעודי

‏Dedicated Instance מספק רישום נקודות קצה ועיבוד שיחות. האיתות בין Cisco Unified CM לבין נקודות הקצה מבוסס על Secure Skinny Client Control Protocol (SCCP) או Session Initiation Protocol (SIP) וניתן להצפין אותו באמצעות Transport Layer Security (TLS). התקשורת from/to נקודות הקצה מבוססות על פרוטוקול תעבורה בזמן אמת (RTP) וניתן גם להצפין אותן באמצעות RTP מאובטח (SRTP).

הפעלת מצב מעורב ב-Unified CM מאפשרת הצפנה של האיתות ותעבורת המדיה מנקודות הקצה של Cisco ומהן.

יישומי UC מאובטחים

הפעלת מצב מעורב ב-Dedicated Instance

מצב מעורב מופעל כברירת מחדל ב- Dedicated Instance.

הפעלת מצב מעורב ב- Dedicated Instance מאפשרת לבצע הצפנה של האיתות ותעבורת המדיה מנקודות הקצה של Cisco וממנה.

בגרסה 12.5(1) של Cisco Unified CM, אפשרות חדשה המאפשרת הצפנה של איתות ומדיה המבוססת על SIP OAuth במקום מצב מעורב / CTL נוסף עבור לקוחות Jabber ו-Webex. לכן, בגרסה 12.5(1) של Unified CM, ניתן להשתמש ב-SIP OAuth וב-SRTP כדי לאפשר הצפנה לאיתות ומדיה עבור לקוחות Jabber או Webex. הפעלת מצב מעורב ממשיכה להידרש עבור טלפוני IP של Cisco ונקודות קצה אחרות של Cisco בשלב זה. יש תוכנית להוסיף תמיכה ב-SIP OAuth ב- 7800/8800 נקודות קצה במהדורה עתידית.

אבטחת הודעות קוליות

Cisco Unity Connection מתחבר ל-Unified CM דרך יציאת TLS. כאשר מצב אבטחת המכשיר אינו מאובטח, Cisco Unity Connection מתחבר ל-Unified CM דרך יציאת SCCP.

כדי להגדיר אבטחה עבור יציאות הודעות קוליות של Unified CM ומכשירי Cisco Unity המריצים SCCP או מכשירי Cisco Unity Connection המריצים SCCP, שותף יכול לבחור מצב אבטחת התקן מאובטח עבור היציאה. אם תבחרו ביציאת דואר קולי מאומתת, ייפתח חיבור TLS, אשר מאמת את המכשירים באמצעות חילופי אישורים הדדיים (כל מכשיר מקבל את האישור של המכשיר השני). אם תבחרו ביציאת דואר קולי מוצפנת, המערכת תחילה תאמת את המכשירים ולאחר מכן תשלח זרמי קול מוצפנים ביניהם.

למידע נוסף על יציאות אבטחה להודעות קוליות, עיינו ב: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

אבטחה עבור SRST, Trunks, Gateways, CUBE/SBC

שער Cisco Unified Survivable Remote Site Telephony (SRST) תומך ב-Cisco Unified Survivable Remote Site Telephony ומספק משימות עיבוד שיחות מוגבלות אם Cisco Unified CM ב-Dedicated Instance אינו יכול להשלים את השיחה.

שערים מאובטחים התומכים ב-SRST מכילים אישור חתום עצמית. לאחר ששותף מבצע משימות תצורה של SRST ב-Unified CM Administration, Unified CM משתמש בחיבור TLS כדי לאמת עם שירות ספק האישורים בשער התומך ב-SRST. לאחר מכן, Unified CM מאחזר את האישור משער התומך ב-SRST ומוסיף את האישור למסד הנתונים של Unified CM.

לאחר שהשותף מאפס את המכשירים התלויים בניהול CM מאוחד, שרת ה-TFTP מוסיף את אישור השער התומך ב-SRST לקובץ cnf.xml של הטלפון ושולח את הקובץ לטלפון. טלפון מאובטח משתמש לאחר מכן בחיבור TLS כדי לקיים אינטראקציה עם שער התומך ב-SRST.

מומלץ שיהיו רשתות מטען מאובטחות עבור השיחה שמקורה ב-Cisco Unified CM לשער עבור שיחות PSTN יוצאות או מעבר דרך Cisco Unified Border Element ‏(CUBE).

רשתות SIP יכולות לתמוך בשיחות מאובטחות הן לאיתות והן למדיה; TLS מספק הצפנת איתות ו-SRTP מספק הצפנת מדיה.

אבטחת תקשורת בין Cisco Unified CM ו-CUBE

לתקשורת מאובטחת בין Cisco Unified CM ו-CUBE, partners/customers צריך להשתמש בתעודה חתומה עצמית או בתעודות חתומות על ידי רשות אישורים.

עבור אישורים חתומים עצמית:

  1. CUBE ו-Cisco Unified CM יוצרים אישורים חתומים עצמית

  2. CUBE מייצא תעודה ל-Cisco Unified CM

  3. Cisco Unified CM מייצא אישור ל-CUBE

עבור אישורים חתומים על ידי רשות אישורים:

  1. הלקוח מייצר זוג מפתחות ושולח בקשת חתימה על אישור (CSR) לרשות האישורים (CA)

  2. רשות האישור חותמת עליו באמצעות המפתח הפרטי שלה, ויוצרת תעודת זהות

  3. הלקוח מתקין את רשימת אישורי הבסיס והביניים המהימנים של רשות האישור ואת תעודת הזהות

אבטחה עבור נקודות קצה מרוחקות

עם נקודות קצה של גישה ניידת וגישה מרחוק (MRA), האיתות והמדיה תמיד מוצפנים בין נקודות הקצה של ה-MRA לבין צמתי ה-Expressway. אם נעשה שימוש בפרוטוקול ICE (Interactive Connectivity Establishment) עבור נקודות קצה של MRA, נדרשת איתות והצפנת מדיה של נקודות הקצה של MRA. עם זאת, הצפנת האיתות והמדיה בין Expressway-C לבין שרתי Unified CM הפנימיים, נקודות קצה פנימיות או התקנים פנימיים אחרים, דורשת OAuth במצב מעורב או SIP.

Cisco Expressway מספק חציית חומת אש מאובטחת ותמיכה בצד הקו עבור רישומי Unified CM. CM מאוחד מספק בקרת שיחות עבור נקודות קצה ניידות ומקומיות כאחד. האיתות חוצה את פתרון הכביש המהיר בין נקודת הקצה המרוחקת לבין Unified CM. מדיה חוצה את פתרון הכביש המהיר ומועברת ישירות בין נקודות הקצה. כל המדיה מוצפנת בין Expressway-C לנקודת הקצה הניידת.

כל פתרון MRA דורש Expressway ו-Unified CM, עם לקוחות רכים תואמי MRA and/or נקודות קצה קבועות. הפתרון יכול לכלול אופציונלית את שירות ההודעות המיידיות והנוכחות ואת Unity Connection.

סיכום פרוטוקול

הטבלה הבאה מציגה את הפרוטוקולים והשירותים הנלווים המשמשים בפתרון Unified CM.

טבלה 1. פרוטוקולים ושירותים נלווים

פרוטוקול

אבטחה

שירות

SIP

TLS

הקמת מושב: הרשמה, הזמנה וכו'.

HTTPS

TLS

כניסה, Provisioning/Configuration, ספרייה, הודעה קולית חזותית

מדיה

SRTP

כְּלֵי תִקְשׁוֹרֶת: אודיו, וידאו, שיתוף תוכן

XMPP

TLS

מסרים מיידיים, נוכחות, איחוד

למידע נוסף על תצורת MRA, ראו: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

אפשרויות תצורה

המופע הייעודי מספק לשותף גמישות להתאים אישית שירותים עבור משתמשי הקצה באמצעות שליטה מלאה ביום השני של התצורה. כתוצאה מכך, השותף אחראי בלעדית לתצורה נכונה של שירות המופע הייעודי עבור סביבת משתמש הקצה. זה כולל, אך לא רק:

  • בְּחִירָה secure/un-secure שיחות, secure/unsecure פרוטוקולים כגון SIP/sSIP, http/https וכו' והבנת כל הסיכונים הנלווים.

  • עבור כל כתובות ה-MAC שלא הוגדרו כ-SIP מאובטח ב-Dedicated Instance, תוקף יכול לשלוח הודעת SIP Register באמצעות כתובת MAC זו ולהיות מסוגל לבצע שיחות SIP, וכתוצאה מכך להונאת חיוב. התנאי הוא שהתוקף יוכל לרשום את ה-SIP שלו device/software ל-"Dedicated Instance" ללא אישור אם הם יודעים את כתובת ה-MAC של התקן הרשום ב-"Dedicated Instance".

  • יש להגדיר את מדיניות הקריאה, כללי הטרנספורמציה והחיפוש של Expressway-E כדי למנוע הונאות בתשלום. למידע נוסף על מניעת הונאות אגרה באמצעות כבישים מהירים, עיינו בסעיף "אבטחה עבור כבישים מהירים C ו-E" ב- Collaboration SRND.

  • הגדרת תוכנית חיוג כדי להבטיח שמשתמשים יוכלו לחייג רק ליעדים המותרים, לדוגמה, יעדים אסורים. national/international חיוג, ניתוב שיחות חירום כראוי וכו'. למידע נוסף על החלת הגבלות באמצעות תוכנית חיוג, עיינו בסעיף תוכנית חיוג ב-SCRND לשיתוף פעולה.

דרישות אישור עבור חיבורים מאובטחים ב-Dedicated Instance

עבור מופע ייעודי, סיסקו תספק את הדומיין ותחתום על כל האישורים עבור יישומי UC באמצעות רשות אישורים (CA) ציבורית.

מופע ייעודי - מספרי פורטים ופרוטוקולים

הטבלאות הבאות מתארות את היציאות והפרוטוקולים הנתמכים ב- Dedicated Instance. הפורטים המשמשים עבור לקוח נתון תלויים בפריסה ובפתרון של הלקוח. הפרוטוקולים תלויים בהעדפת הלקוח (SCCP לעומת SIP), במכשירים הקיימים באתר וברמת האבטחה כדי לקבוע אילו יציאות ישמשו בכל פריסה.

מופע ייעודי אינו מאפשר תרגום כתובות רשת (NAT) בין נקודות קצה ל-Unified CM מכיוון שחלק מתכונות זרימת השיחה לא יעבדו, לדוגמה תכונת אמצע השיחה.

מופע ייעודי – פורטים של לקוח

הפורטים הזמינים ללקוחות - בין הלקוח המקומי לבין המופע הייעודי - מוצגים בטבלה 1 יציאות לקוח של מופע ייעודי. כל הפורטים המפורטים להלן מיועדים לתעבורת לקוחות העוברת דרך קישורי העמית.

יציאת SNMP פתוחה כברירת מחדל רק כדי ש-Cisco Emergency Responder יתמוך בפונקציונליות שלה. מכיוון שאיננו תומכים בשותפים או בלקוחות המנטרים את יישומי UC הפרוסים בענן של Dedicated Instance, איננו מאפשרים פתיחת פורט SNMP עבור יישומי UC אחרים.

יציאת SNMP מופעלת עבור יישום Singlewire (Informacast) (רק עבור יישום Unified CM). בעת הגשת בקשה, יש לוודא שכתובות ה-IP המשויכות לאפליקציית Singlewire מוזכרת במפורש בסעיף סיבה להתרת בבקשה. עיין ב- הגשת בקשת שירות למידע נוסף.

פורטים בטווח 5063–5080 שמורים על ידי סיסקו עבור אינטגרציות ענן אחרות, מומלץ למנהלי שותפים או לקוחות לא להשתמש בפורטים אלה בתצורות שלהם.

טבלה 2. יציאות לקוח ייעודיות

פרוטוקול

TCP/UDP

מקור

יעד

יציאת מקור

יציאת יעד

מטרה

SSH

TCP

לקוח

יישומי UC

לא מותר עבור יישומי Cisco Expressway.

גדול מ-1023

22

ניהול

TFTP

UDP

נקודת קצה

Unified CM

גדול מ-1023

69

תמיכה בנקודות קצה מדור קודם

LDAP

TCP

יישומי UC

ספרייה חיצונית

גדול מ-1023

389

סנכרון ספריות עם LDAP של הלקוח

HTTPS

TCP

דפדפן

יישומי UC

גדול מ-1023

443

גישה לאינטרנט לטיפול עצמי וממשקים אדמיניסטרטיביים

דואר יוצא (מאובטח)

TCP

יישום UC

קוקקסן

גדול מ-1023

587

משמש לחיבור ושליחה של הודעות מאובטחות לכל נמען ייעודי

LDAP (מאובטח)

TCP

יישומי UC

ספרייה חיצונית

גדול מ-1023

636

סנכרון ספריות עם LDAP של הלקוח

H323

TCP

שער

Unified CM

גדול מ-1023

1720

איתות שיחה

H323

TCP

Unified CM

Unified CM

גדול מ-1023

1720

איתות שיחה

SCCP

TCP

נקודת קצה

CM מאוחד, CUCxn

גדול מ-1023

2000

איתות שיחה

SCCP

TCP

Unified CM

CM מאוחד, שער

גדול מ-1023

2000

איתות שיחה

MGCP

UDP

שער

שער

גדול מ-1023

2427

איתות שיחה

תמסורת MGCP

TCP

שער

Unified CM

גדול מ-1023

2428

איתות שיחה

SCCP (מאובטח)

TCP

נקודת קצה

CM מאוחד, CUCxn

גדול מ-1023

2443

איתות שיחה

SCCP (מאובטח)

TCP

Unified CM

CM מאוחד, שער

גדול מ-1023

2443

איתות שיחה

אימות אמון

TCP

נקודת קצה

Unified CM

גדול מ-1023

2445

מתן שירות אימות אמון לנקודות קצה

CTI

TCP

נקודת קצה

Unified CM

גדול מ-1023

2748

חיבור בין יישומי CTI (JTAPI/TSP) ו-CTIManager

CTI מאובטח

TCP

נקודת קצה

Unified CM

גדול מ-1023

2749

חיבור מאובטח בין יישומי CTI (JTAPI/TSP) ו-CTIManager

קטלוג LDAP גלובלי

TCP

יישומי UC

ספרייה חיצונית

גדול מ-1023

3268

סנכרון ספריות עם LDAP של הלקוח

קטלוג LDAP גלובלי

TCP

יישומי UC

ספרייה חיצונית

גדול מ-1023

3269

סנכרון ספריות עם LDAP של הלקוח

שירות CAPF

TCP

נקודת קצה

Unified CM

גדול מ-1023

3804

יציאת האזנה של פונקציית פרוקסי של רשות האישורים (CAPF) להנפקת אישורים בעלי משמעות מקומית (LSC) לטלפוני IP

SIP

TCP

נקודת קצה

CM מאוחד, CUCxn

גדול מ-1023

5060

איתות שיחה

SIP

TCP

Unified CM

CM מאוחד, שער

גדול מ-1023

5060

איתות שיחה

SIP (מאובטח)

TCP

נקודת קצה

Unified CM

גדול מ-1023

5061

איתות שיחה

SIP (מאובטח)

TCP

Unified CM

CM מאוחד, שער

גדול מ-1023

5061

איתות שיחה

SIP (OAUTH)

TCP

נקודת קצה

Unified CM

גדול מ-1023

5090

איתות שיחה

XMPP

TCP

לקוח ג'אבר

סיסקו הודעות מיידיות & פ

גדול מ-1023

5222

העברת הודעות מיידיות ונוכחות

HTTP

TCP

נקודת קצה

Unified CM

גדול מ-1023

6970

הורדת תצורה ותמונות לנקודות קצה

HTTPS

TCP

נקודת קצה

Unified CM

גדול מ-1023

6971

הורדת תצורה ותמונות לנקודות קצה

HTTPS

TCP

נקודת קצה

Unified CM

גדול מ-1023

6972

הורדת תצורה ותמונות לנקודות קצה

HTTP

TCP

לקוח ג'אבר

קוקקסן

גדול מ-1023

7080

התראות הודעות קוליות

HTTPS

TCP

לקוח ג'אבר

קוקקסן

גדול מ-1023

7443

התראות קוליות מאובטחות

HTTPS

TCP

Unified CM

Unified CM

גדול מ-1023

7501

בשימוש על ידי שירות חיפוש בין-קלסטרים (ILS) לאימות מבוסס אישורים

HTTPS

TCP

Unified CM

Unified CM

גדול מ-1023

7502

משמש את ILS לאימות מבוסס סיסמה

IMAP

TCP

לקוח ג'אבר

קוקקסן

גדול מ-1023

7993

IMAP מעל TLS

HTTP

TCP

נקודת קצה

Unified CM

גדול מ-1023

8080

URI של ספרייה עבור תמיכה בנקודות קצה מדור קודם

HTTPS

TCP

דפדפן, נקודת קצה

יישומי UC

גדול מ-1023

8443

גישה לאינטרנט לטיפול עצמי וממשקים אדמיניסטרטיביים, UDS

HTTPS

TCP

טלפון

Unified CM

גדול מ-1023

9443

חיפוש אנשי קשר מאומתים

HTTPs

TCP

נקודת קצה

Unified CM

גדול מ-1023

9444

תכונת ניהול אוזניות

מְאוּבטָח RTP/SRTP

UDP

Unified CM

טלפון

16384 עד 32767 *

16384 עד 32767 *

מדיה (אודיו) - מוזיקה בהמתנה, ממסר, גשר ועידה תוכנה (פתוח בהתאם לאיתות שיחה)

מְאוּבטָח RTP/SRTP

UDP

טלפון

Unified CM

16384 עד 32767 *

16384 עד 32767 *

מדיה (אודיו) - מוזיקה בהמתנה, ממסר, גשר ועידה תוכנה (פתוח בהתאם לאיתות שיחה)

קוברות

TCP

לקוח

קוקקסן

גדול מ-1023

20532

גיבוי ושחזור של חבילת יישומים

ICMP

ICMP

נקודת קצה

יישומי UC

לא רלוונטי

לא רלוונטי

איתות

ICMP

ICMP

יישומי UC

נקודת קצה

לא רלוונטי

לא רלוונטי

איתות
DNS UDP ו-TCP

מעביר DNS

שרתי DNS ייעודיים

גדול מ-1023

 53

מעבירי DNS של אתר הלקוח לשרתי DNS של מופע ייעודי. ראה דרישות DNS למידע נוסף.

* מקרים מיוחדים מסוימים עשויים להשתמש בטווח גדול יותר.

מופע ייעודי – פורטי OTT

הפורט הבא יכול לשמש לקוחות ושותפים להגדרת גישה ניידת ומרוחקת (MRA):

טבלה 3. פורט עבור OTT

פרוטוקול

TCP / UCP

מקור

יעד

יציאת מקור

יציאת יעד

מטרה

מְאוּבטָח RTP/RTCP

UDP

כביש מהיר C

לקוח

גדול מ-1023

36000-59999

מדיה מאובטחת עבור שיחות MRA ו-B2B

תא מטען SIP אינטר-אופטי בין Multitenant ו-Dedicated Instance (רק עבור תא מטען מבוסס רישום)

יש לאפשר את רשימת היציאות הבאה בחומת האש של הלקוח עבור תא המטען של SIP מבוסס רישום המחבר בין ה-Multitenant ל-Dedicated Instance.

טבלה 4. פורט עבור טראנקים מבוססי רישום

פרוטוקול

TCP / UCP

מקור

יעד

יציאת מקור

יציאת יעד

מטרה

RTP/RTCP

UDP

שיחות Webex מרובות דיירים

לקוח

גדול מ-1023

8000-48198

מדיה מ-Webex Calls Multitenant

מופע ייעודי – פורטי UCCX

רשימת הפורטים הבאה יכולה לשמש לקוחות ושותפים לצורך הגדרת UCCX.

טבלה 5. פורטי סיסקו UCCX

פרוטוקול

TCP/UCP

מקור

יעד

יציאת מקור

יציאת יעד

מטרה

SSH

TCP

לקוח

UCCX

גדול מ-1023

22

SFTP ו-SSH

אינפורמיקס

TCP

לקוח או שרת

UCCX

גדול מ-1023

1504

פורט מסד הנתונים של Contact Center Express

SIP

UDP ו-TCP

שרת SIP GW או MCRP

UCCX

גדול מ-1023

5065

תקשורת לצמתי GW ו-MCRP מרוחקים

XMPP

TCP

לקוח

UCCX

גדול מ-1023

5223

חיבור XMPP מאובטח בין שרת Finesse ליישומים מותאמים אישית של צד שלישי

מחלות לב וכלי דם

TCP

לקוח

UCCX

גדול מ-1023

6999

עורך לאפליקציות CCX

HTTPS

TCP

לקוח

UCCX

גדול מ-1023

7443

חיבור BOSH מאובטח בין שרת Finesse לבין שולחנות העבודה של הסוכן והמפקח לתקשורת דרך HTTPS

HTTP

TCP

לקוח

UCCX

גדול מ-1023

8080

לקוחות דיווח נתונים בזמן אמת מתחברים לשרת socket.IO

HTTP

TCP

לקוח

UCCX

גדול מ-1023

8081

דפדפן הלקוח מנסה לגשת לממשק האינטרנט של Cisco Unified Intelligence Center

HTTP

TCP

לקוח

UCCX

גדול מ-1023

8443

ממשק משתמש גרפי לניהול, RTMT, גישה למסד נתונים דרך SOAP

HTTPS

TCP

לקוח

UCCX

גדול מ-1023

8444

ממשק האינטרנט של מרכז הבינה המאוחד של סיסקו

HTTPS

TCP

לקוחות דפדפן ו-REST

UCCX

גדול מ-1023

8445

יציאה מאובטחת עבור Finesse

HTTPS

TCP

לקוח

UCCX

גדול מ-1023

8447

HTTPS - עזרה מקוונת של מרכז בינה מאוחד

HTTPS

TCP

לקוח

UCCX

גדול מ-1023

8553

רכיבי כניסה יחידה (SSO) ניגשים לממשק זה כדי לדעת את מצב הפעולה של Cisco IdS.

HTTP

TCP

לקוח

UCCX

גדול מ-1023

9080

לקוחות שמנסים לגשת לטריגרים או מסמכים של HTTP / הנחיות / דקדוקים / נתונים חיים.

HTTPS

TCP

לקוח

UCCX

גדול מ-1023

9443

יציאה מאובטחת המשמשת לתגובה ללקוחות המנסים לגשת לטריגרים של HTTPS

TCP

TCP

לקוח

UCCX

גדול מ-1023

12014

זהו הפורט שבו לקוחות דיווח נתונים חיים יכולים להתחבר לשרת socket.IO

TCP

TCP

לקוח

UCCX

גדול מ-1023

12015

זהו הפורט שבו לקוחות דיווח נתונים חיים יכולים להתחבר לשרת socket.IO

CTI

TCP

לקוח

UCCX

גדול מ-1023

12028

לקוח CTI של צד שלישי ל-CCX

RTP (מדיה)

TCP

נקודת קצה

UCCX

גדול מ-1023

גדול מ-1023

פורט המדיה נפתח באופן דינמי לפי הצורך

RTP (מדיה)

TCP

לקוח

נקודת קצה

גדול מ-1023

גדול מ-1023

פורט המדיה נפתח באופן דינמי לפי הצורך

אבטחת לקוח

אבטחת Jabber ו-Webex באמצעות SIP OAuth

לקוחות Jabber ו-Webex מאומתים באמצעות אסימון OAuth במקום אישור בעל משמעות מקומית (LSC), שאינו דורש הפעלת פונקציית proxy של רשות האישורים (CAPF) (גם עבור MRA). SIP OAuth שעובד עם או בלי מצב מעורב הוצג ב-Cisco Unified CM 12.5(1), Jabber 12.5 ו-Expressway X12.5.

ב-Cisco Unified CM 12.5, יש לנו אפשרות חדשה בפרופיל אבטחת הטלפון המאפשרת הצפנה ללא LSC/CAPF, באמצעות אבטחת שכבת תעבורה יחידה (TLS) + אסימון OAuth ב-SIP REGISTER. צמתי Expressway-C משתמשים ב-API של שירות האינטרנט XML ניהולי (AXL) כדי ליידע את Cisco Unified CM על ה- SN/SAN בתעודה שלהם. Cisco Unified CM משתמש במידע זה כדי לאמת את אישור Exp-C בעת יצירת חיבור TLS הדדי.

SIP OAuth מאפשר הצפנת מדיה ואיתות ללא אישור נקודת קצה (LSC).

סיסקו ג'אבר משתמש ביציאות ארעיות וביציאות מאובטחות 6971 ו-6972 דרך חיבור HTTPS לשרת TFTP כדי להוריד את קבצי התצורה. פורט 6970 הוא פורט לא מאובטח להורדה דרך HTTP.

פרטים נוספים על הגדרת SIP OAuth: מצב SIP OAuth.

דרישות DNS

עבור מופע ייעודי, סיסקו מספקת את ה-FQDN עבור השירות בכל אזור בפורמט הבא <customer>.<region>.wxc-di.webex.com לדוגמה, xyz.amer.wxc-di.webex.com.

הערך 'לקוח' מסופק על ידי מנהל המערכת כחלק מאשף ההתקנה הראשונה (FTSW). למידע נוסף עיינו ב- הפעלת שירות מופע ייעודי.

רשומות DNS עבור FQDN זה צריכות להיות ניתנות לפתרון משרת ה-DNS הפנימי של הלקוח כדי לתמוך במכשירים מקומיים שמתחברים למופע הייעודי. כדי להקל על פתרון הבעיה, הלקוח צריך להגדיר מעביר תנאי (Conditional Forwarder), עבור FQDN זה, בשרת ה-DNS שלו, המצביע על שירות ה-DNS של המופע הייעודי. שירות ה-DNS של המופע הייעודי הוא אזורי וניתן להגיע אליו, דרך עמדות למופע הייעודי, באמצעות כתובות ה-IP הבאות כפי שמצוין בטבלה שלהלן כתובת IP של שירות DNS של מופע ייעודי.

טבלה 6. כתובת IP של שירות DNS ייעודי

Region/DC

כתובת IP של שירות DNS ייעודי

דוגמה להעברה מותנית

AMER

 <customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

לון

178.215.138.100

AMS

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

AMS

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

חֵטְא

103.232.71.100

טי קי

103.232.71.228

AUS

 <customer>.aus.wxc-di.webex.com

מל

178.215.128.100

סיד

178.215.128.228

בריטניה

 <customer>.uk.wxc-di.webex.com

לון

178.215.135.100

אָדָם

178.215.135.228

קנדה

 <customer>.sa.wxc-di.webex.com

ג'ד

 178.215.140.100

RHU

 178.215.140.228

אפשרות הפינג מושבתת עבור כתובות ה-IP של שרתי ה-DNS שהוזכרו לעיל מסיבות אבטחה.

עד שההעברה המותנית תהיה קיימת, מכשירים לא יוכלו להירשם ל-Dedicated Instance מהרשת הפנימית של הלקוחות דרך קישורי העמית. העברה מותנית אינה נדרשת לרישום דרך גישה ניידת ומרוחקת (MRA), מכיוון שכל רשומות ה-DNS החיצוניות הנדרשות להקל על MRA יוקצו מראש על ידי סיסקו.

בעת שימוש באפליקציית Webex כלקוח רך לשיחות ב-Dedicated Instance, יש להגדיר פרופיל UC Manager במרכז הבקרה עבור תחום שירותי הקול (VSD) של כל אזור. למידע נוסף עיין ב- פרופילי UC Manager ב-Cisco Webex Control Hub. אפליקציית Webex תוכל לפתור באופן אוטומטי את בעיית Expressway Edge של הלקוח ללא כל התערבות של משתמש הקצה.

דומיין שירות הקול יסופק ללקוח כחלק ממסמך גישת השותף לאחר השלמת הפעלת השירות.

השתמש בנתב מקומי לזיהוי DNS בטלפון

עבור טלפונים שאין להם גישה לשרתי ה-DNS של החברה, ניתן להשתמש בנתב מקומי של סיסקו כדי להעביר בקשות DNS ל-DNS בענן של ה-Dedicated Instance. זה מבטל את הצורך לפרוס שרת DNS מקומי ומספק תמיכה מלאה ב-DNS כולל אחסון במטמון.

דוגמה לתצורה :

!

שרת IP DNS

שרת שמות IP <DI DNS Server IP DC1> <DI DNS Server IP DC2>

!

השימוש ב-DNS במודל פריסה זה ספציפי לטלפונים וניתן להשתמש בו רק כדי לפתור FQDN עם הדומיין מה-Instance הייעודי של הלקוח.

פתרון DNS של הטלפון