Mrežni zahtjevi za namjensku instancu

Webex Calling Dedicated Instance dio je Cisco Cloud Calling portfelja, a pokreće ga Cisco Unified Communications Manager (Cisco Unified CM) tehnologija suradnje. Dedicated Instance nudi rješenja za glasovne, video, poruke i mobilnost sa značajkama i prednostima Cisco IP telefona, mobilnih uređaja i stolnih klijenata koji se sigurno spajaju na Dedicated Instance.

Ovaj članak je namijenjen mrežnim administratorima, posebno administratorima zaštite vatrozida i proxy sigurnosti koji žele koristiti namjensku instancu unutar svoje organizacije. Ovaj se dokument prvenstveno fokusira na mrežne zahtjeve i sigurnost za rješenje namjenske instance, uključujući slojevit pristup značajkama i funkcionalnostima koje pružaju siguran fizički pristup, sigurnu mrežu, sigurne krajnje točke i sigurne Cisco UC aplikacije.

Sigurnosni pregled: Sigurnost u slojevima

Posvećena instanca koristi slojevit pristup za sigurnost. Slojevi uključuju:

  • Fizički pristup

  • Mreža

  • Krajnje točke

  • UC aplikacije

U sljedećim odjeljcima opisani su slojevi sigurnosti u namjenskim primjerima.

Fizička sigurnost

Važno je osigurati fizičku sigurnost za Equinix Meet-Me Room lokacije i Cisco Dedicated Instance Data Center objekata. Kada je fizička sigurnost ugrožena, mogu se pokrenuti jednostavni napadi kao što je prekid usluge isključivanjem napajanja korisničkih prekidača. Uz fizički pristup, napadači bi mogli dobiti pristup poslužiteljskim uređajima, resetirati lozinke i dobiti pristup prekidačima. Fizički pristup također olakšava sofisticiranije napade kao što su napadi "čovjek u sredini", zbog čega je drugi sigurnosni sloj, sigurnost mreže, kritičan.

Samo-šifrirajući pogoni koriste se u namjenskim instančnim podatkovnim centrima koji su domaćini UC aplikacija.

Za više informacija o općim sigurnosnim praksama pogledajte dokumentaciju na sljedećoj lokaciji: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Mrežna sigurnost

Partneri moraju osigurati da su svi mrežni elementi osigurani u infrastrukturi namjenske instance (koja se povezuje putem Equinixa). Odgovornost je partnera da osigura najbolje sigurnosne prakse kao što su:

  • Odvojeni VLAN za glas i podatke

  • Omogući sigurnost portova koja ograničava broj dozvoljenih MAC adresa po portu, protiv poplave kamernog stola

  • Zaštita IP izvora od lažnih IP adresa

  • Dynamic ARP Inspection (DAI) ispituje protokol za rješavanje adresa (ARP) i besplatni ARP (GARP) za prekršaje (protiv varanja ARP-a)

  • 802.1x ograničava pristup mreži za provjeru autentičnosti uređaja na dodijeljenim VLAN-ovima (telefoni podržavaju 802.1x)

  • Konfiguracija kvalitete usluge (QoS) za odgovarajuće označavanje glasovnih paketa

  • Konfiguracije vatrozidnih portova za blokiranje bilo kojeg drugog prometa

Sigurnost krajnjih točaka

Cisco krajnje točke podržavaju zadane sigurnosne značajke kao što su potpisani firmware, sigurno podizanje (odabrani modeli), proizvođački instalirani certifikat (MIC) i potpisane konfiguracijske datoteke, koje pružaju određenu razinu sigurnosti za krajnje točke.

Osim toga, partner ili kupac mogu omogućiti dodatnu sigurnost, kao što su:

  • Šifriranje usluga IP telefona (putem HTTPS-a) za usluge kao što je proširenje mobilnosti

  • Izdavanje lokalno značajnih certifikata (LSC) od opunomoćeničke funkcije (CAPF) ili tijela za izdavanje javnih certifikata (CA)

  • Šifriraj konfiguracijske datoteke

  • Šifriranje medija i signalizacija

  • Onemogućite ove postavke ako se ne koriste: PC port, PC Voice VLAN Access, Gratuitous ARP, Web Access, Tipka za podešavanje, SSH, konzola

Implementacijom sigurnosnih mehanizama u namjenskoj instanci sprječava se krađa identiteta telefona i Unified CM poslužitelja, neovlašteno mijenjanje podataka i neovlašteno obavljanje poziva/medija.

Namjenska instanca preko mreže:

  • Uspostavlja i održava autentične komunikacijske tokove

  • Digitalno potpisuje datoteke prije prijenosa datoteke na telefon

  • Šifrira medijske tokove i signale poziva između Cisco Unified IP telefona

Zadana sigurnosna postavka

Sigurnost prema zadanim postavkama pruža sljedeće automatske sigurnosne značajke za Cisco Unified IP telefone:

  • Potpisivanje konfiguracijskih datoteka telefona

  • Podrška za šifriranje konfiguracijskih datoteka telefona

  • HTTPS s Tomcat i drugim web uslugama (MIDlets)

Za Unified CM Release 8.0 kasnije, ove sigurnosne značajke se pružaju prema zadanim postavkama bez pokretanja Certifikat Trust List (CTL) klijenta.

Usluga provjere povjerenja

Budući da postoji velik broj telefona u mreži i IP telefoni imaju ograničenu memoriju, Cisco Unified CM djeluje kao udaljena trgovina povjerenja putem usluge provjere povjerenja (TVS) tako da se trgovina povjerenja certifikata ne mora nalaziti na svakom telefonu. Cisco IP telefoni kontaktiraju poslužitelj TELEVIZORA za provjeru jer ne mogu potvrditi potpis ili certifikat putem CTL ili ITL datoteka. Lakše je upravljati središnjom prodavaonicom povjerenja nego imati prodavaonicu povjerenja na svakom Cisco Unified IP telefonu.

TELEVIZORI omogućuju Cisco Unified IP telefonima autentifikaciju aplikacijskih poslužitelja, kao što su EM usluge, direktorij i MIDlet, tijekom HTTPS uspostave.

Početna lista povjerenja

Datoteka Inicijalna lista povjerenja (ITL) koristi se za inicijalnu sigurnost, tako da krajnje točke mogu vjerovati Cisco Unified CM. ITL-u nisu potrebne nikakve sigurnosne značajke da bi bio izričito omogućen. ITL datoteka se automatski stvara kada je klaster instaliran. Za potpisivanje ITL datoteke koristi se privatni ključ poslužitelja Unified CM Trivial File Transfer Protocol (TFTP).

Kada je Cisco Unified CM klaster ili poslužitelj u nesigurnom načinu rada, ITL datoteka se preuzima na svaki podržani Cisco IP telefon. Partner može vidjeti sadržaj ITL datoteke pomoću naredbe CLI, admin:show itl.

Cisco IP telefoni trebaju ITL datoteku za obavljanje sljedećih zadataka:

  • Sigurno komunicirajte s CAPF-om, što je preduvjet za podršku enkripciji konfiguracijskih datoteka

  • Potvrdi autentičnost potpisa konfiguracijske datoteke

  • Potvrdite autentičnost poslužitelja aplikacija, kao što su EM usluge, direktorij i MIDlet tijekom uspostavljanja HTTPS-a pomoću TELEVIZORA

Cisco CTL

Provjera autentičnosti uređaja, datoteke i signalizacije oslanja se na izradu datoteke Popis povjerenja certifikata (CTL), koja se stvara kada partner ili klijent instalira i konfigurira Cisco popis povjerenja klijenta certifikata.

CTL datoteka sadrži unose za sljedeće poslužitelje ili sigurnosne žetone:

  • Sigurnosni token administratora sustava (SAST)

  • Cisco CallManager i Cisco TFTP usluge koje rade na istom poslužitelju

  • Proxy funkcija ovlaštenja za izdavanje certifikata (CAPF)

  • TFTP poslužitelj(i)

  • Protupožarni zid tužitelja

CTL datoteka sadrži certifikat poslužitelja, javni ključ, serijski broj, potpis, ime izdavatelja, ime subjekta, funkciju poslužitelja, DNS naziv i IP adresu za svaki poslužitelj.

Sigurnost telefona uz CTL pruža sljedeće funkcije:

  • Provjera autentičnosti preuzetih TFTP datoteka (konfiguracija, lokalno, popis prstena i tako dalje) pomoću ključa za potpisivanje

  • Šifriranje TFTP konfiguracijskih datoteka pomoću znakovnog ključa

  • Šifrirana signalizacija poziva za IP telefone

  • Šifrirani audio poziv (mediji) za IP telefone

Sigurnost za Cisco IP telefone u namjenskom slučaju

Namjenska instanca pruža registraciju krajnje točke i obradu poziva. Signalizacija između Cisco Unified CM-a i krajnjih točaka temelji se na Secure Skinny Client Control Protocol (SCCP) ili Session Initiation Protocol (SIP) i može se šifrirati pomoću Transport Layer Security (TLS). Medij od/do krajnjih točaka temelji se na Protokolu prijevoza u stvarnom vremenu (RTP), a može se i šifrirati pomoću Secure RTP-a (SRTP).

Omogućavanje mješovitog načina rada na Unified CM omogućuje enkripciju signalizacije i medijskog prometa od Ciscovih krajnjih točaka i do njih.

Sigurne UC aplikacije

Omogućavanje mješovitog načina rada u namjenskoj instanci

Mješoviti način rada nije omogućen prema zadanim postavkama u namjenskoj instanci.

Omogućavanje mješovitog načina rada u namjenskoj instanci omogućuje izvršavanje enkripcije signalizacije i medijskog prometa od Ciscovih krajnjih točaka i do njih.

U Cisco Unified CM izdanju 12.5(1), za Jabber i Webex klijente dodana je nova opcija omogućavanja enkripcije signalizacije i medija na temelju SIP OAuth umjesto mješovitog načina rada /CTL-a. Stoga se u Unified CM izdanju 12.5(1) SIP OAuth i SRTP mogu koristiti za omogućavanje enkripcije za signalizaciju i medije za Jabber ili Webex klijente. Omogućavanje mješovitog načina rada i dalje je potrebno za Cisco IP telefone i druge Cisco krajnje točke u ovom trenutku. Postoji plan za dodavanje podrške za SIP OAuth u 7800/8800 krajnjih točaka u budućem izdanju.

Sigurnost glasovnih poruka

Cisco Unity povezivanje spaja se na Unified CM putem TLS porta. Kad sigurnosni način rada uređaja nije siguran, Cisco Unity Connection povezuje se s Unified CM putem SCCP priključka.

Kako bi konfigurirao sigurnost za unificirane CM portove za glasovne poruke i Cisco Unity uređaje koji pokreću SCCP ili Cisco Unity Connection uređaje koji pokreću SCCP, partner može odabrati siguran sigurnosni način rada uređaja za port. Ako odaberete autentificirani port za govornu poštu, otvara se TLS veza, koja autentificira uređaje uzajamnom razmjenom certifikata (svaki uređaj prihvaća certifikat drugog uređaja). Ako odaberete šifrirani port za govornu poštu, sustav prvo provjerava autentičnost uređaja, a zatim šalje šifrirane glasovne tokove između uređaja.

Za više informacija o portovima za glasovne poruke o sigurnosti pogledajte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Sigurnost za SRST, Trunks, Gateways, CUBE/SBC

Cisco Jedinstvena telefonija na daljinu (SRST) omogućuje ograničene zadatke obrade poziva ako Cisco Unified CM na namjenskoj instanci ne može dovršiti poziv.

Sigurni pristupnici s omogućenim SRST-om sadrže samopotpisani certifikat. Nakon što partner obavi konfiguracijske zadatke SRST-a u Unified CM administraciji, Unified CM koristi TLS vezu za provjeru autentičnosti s uslugom Pružatelja certifikata u SRST-ovom pristupniku. Unified CM zatim preuzima certifikat iz SRST-ovog pristupnika i dodaje certifikat u Unified CM bazu podataka.

Nakon što partner resetira zavisne uređaje u Jedinstvenoj CM administraciji, TFTP poslužitelj dodaje SRST omogućen gateway certifikat u cnf.xml datoteku telefona i šalje datoteku na telefon. Sigurni telefon zatim koristi TLS vezu za interakciju s pristupnikom koji podržava SRST.

Preporučuje se imati sigurne prtljažnike za poziv koji potječe od Cisco Unified CM do pristupnika za odlazne PSTN pozive ili koji putuju kroz Cisco Unified Border Element (CUBE).

SIP debla mogu podržati sigurne pozive i za signalizaciju i za medije; TLS pruža signalizaciju enkripcije i SRTP pruža medijsku enkripciju.

Osiguranje komunikacije između Cisco Unified CM i CUBE

Za sigurnu komunikaciju između Cisco Unified CM-a i Cube-a, partneri/kupci moraju koristiti samopotpisane certifikate ili CA-potpisane certifikate.

Za samopotpisane certifikate:

  1. CUBE i Cisco Unified CM generiraju samopotpisane certifikate

  2. KOCKA izvozi certifikat u Cisco Unified CM

  3. Cisco Unified CM izvozi certifikat na KOCKU

Za certifikate s potpisom CA:

  1. Klijent generira par ključeva i šalje Zahtjev za potpisivanje certifikata (CSR) tijelu za izdavanje certifikata (CA)

  2. CA ga potpisuje svojim privatnim ključem, stvarajući potvrdu identiteta

  3. Naručitelj instalira popis pouzdanih CA korijenskih i posredničkih certifikata i potvrdu identiteta

Sigurnost za udaljene krajnje točke

S krajnjim točkama mobilnog i daljinskog pristupa (MRA), signalizacija i mediji uvijek su šifrirani između krajnjih točaka MRA i čvorova brze ceste. Ako se protokol Interactive Connectivity Establishment (ICE) koristi za MRA krajnje točke, potrebna je signalizacija i medijska enkripcija MRA krajnjih točaka. Međutim, enkripcija signalizacije i medija između Expressway-C i internih Unified CM poslužitelja, internih krajnjih točaka ili drugih internih uređaja zahtijeva mješoviti način rada ili SIP OAuth.

Cisco Expressway pruža sigurnu vatrozidnu travezu i linijsku podršku za Unified CM registracije. Unified CM pruža kontrolu poziva za mobilne i krajnje točke na licu mjesta. Signalizacija prolazi kroz rješenje brze ceste između udaljene krajnje točke i Unified CM-a. Mediji prolaze kroz rješenje brze ceste i prenose se izravno između krajnjih točaka. Svi mediji su šifrirani između brze ceste C i mobilne krajnje točke.

Svako MRA rješenje zahtijeva Expressway i Unified CM, s MRA-kompatibilnim mekim klijentima i/ili fiksnim krajnjim točkama. Rješenje po želji može uključivati IM i Presence Service i Unity Connection.

Sažetak protokola

Sljedeća tablica prikazuje protokole i povezane usluge korištene u Unified CM rješenju.

Tablica 1. Protokoli i povezane usluge

Protokol

Sigurnost

Usluga

SIP

TLS

Uspostava sesije: Registrirajte se, pozovite itd.

HTTPS

TLS

Prijava, Provisioning/Configuration, Directory, Visual Voicemail

Mediji

SRTP

Mediji: Audio, Video, Dijeljenje sadržaja

XMPP

TLS

Instant poruke, Prisutnost, Federacija

Za više informacija o konfiguraciji magnetske rezonance pogledajte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Opcije konfiguracije

Namjenska instanca pruža Partneru fleksibilnost za prilagođavanje usluga za krajnje korisnike kroz potpunu kontrolu konfiguracija za drugi dan. Kao rezultat toga, Partner je isključivo odgovoran za pravilnu konfiguraciju usluge Dedicated Instance za okruženje krajnjeg korisnika. To uključuje, ali nije ograničeno na:

  • Odabir sigurnih/nesigurnih poziva, sigurnih/nesigurnih protokola kao što su SIP/sSIP, http/https itd., te razumijevanje svih povezanih rizika.

  • Za sve MAC adrese koje nisu konfigurirane kao sigurne-SIP u namjenskoj instanci, napadač može slati SIP poruku Registru koristeći tu Mac adresu i biti u mogućnosti obavljati SIP pozive, što rezultira prijevarom naplate cestarine. Preduvjet je da napadač može registrirati svoj SIP uređaj/softver na namjensku instancu bez odobrenja ako zna Mac adresu uređaja registriranog u namjenskoj instanci.

  • Pravila poziva brze ceste (Expressway-E), pravila za transformaciju i pretraživanje trebaju se konfigurirati kako bi se spriječile prijevare s cestarinom. Za više informacija o sprječavanju prijevara s naplatom cestarine na brzim cestama pogledajte odjeljak Osiguranje za brzu cestu C i brzu cestu E Suradnje SRND.

  • Konfiguracija plana biranja kako bi se osiguralo da korisnici mogu birati samo odredišta koja su dopuštena, npr. zabrana nacionalnog/međunarodnog biranja, pravilno usmjeravanje poziva u slučaju nužde itd. Za više informacija o primjeni ograničenja pomoću plana biranja pogledajte odjeljak Plan biranja u SRND-u suradnje.

Zahtjevi certifikata za sigurne veze u namjenskoj instanci

Za namjensku instancu, Cisco će pružiti domenu i potpisati sve certifikate za UC aplikacije koristeći javno tijelo za izdavanje certifikata (CA).

Namjenski primjer – brojevi luka i protokoli

Testni st.

Sljedeće tablice opisuju priključke i protokole koji su podržani u namjenskoj instanci. Pristaništa koja se koriste za određenog kupca ovise o implementaciji i rješenju Klijenta. Protokoli ovise o želji kupca (SCCP vs SIP), postojećim uređajima u prostorijama i razini sigurnosti kako bi se utvrdilo koje će se luke koristiti u svakom uvođenju.

Namjenska instanca – portovi kupca

Pristaništa dostupna kupcima - između Prostorije kupca i Namjenske instance prikazana je u Tablici 1 Pristaništa namjenske instance kupca. Sve luke navedene u nastavku namijenjene su za promet kupaca koji prelaze preko špijunskih veza.


SNMP priključak je podržan samo za CER funkcionalnost, a ne za bilo koje druge alate za praćenje treće strane.


Portove u rasponu od 5063 do 5080 Cisco je rezervirao za druge integracije u oblaku, a partnerima ili administratorima klijenata preporučuje se da ne koriste te portove u svojim konfiguracijama.

Tablica 2. Namjenski priključci za korisnike

Protokol

TCP/UCP

Izvor

Odredište

Izvorni priključak

Odredišna luka

Svrha

SSH

TCP

Klijent

UC aplikacije

Veći od 1023

22

Administracija

LDAP

TCP

UC aplikacije

Vanjski direktorij

Veći od 1023

389

Sinkronizacija direktorija s LDAP-om kupca

HTTPS

TCP

Preglednik

UC aplikacije

Veći od 1023

443

Web pristup za sučelja za brigu o sebi i administrativna sučelja

LDAP (SIGURNO)

TCP

UC aplikacije

Vanjski direktorij

Veći od 1023

636

Sinkronizacija direktorija s LDAP-om kupca

SCCP

TCP

Krajnja točka

Unified CM, CUCxn

Veći od 1023

2000

Signal poziva

SCCP

TCP

Unified CM

Unified CM, Gateway

Veći od 1023

2000

Signal poziva

SCCP (SIGURNO)

TCP

Krajnja točka

Unified CM, CUCxn

Veći od 1023

2443

Signal poziva

SCCP (SIGURNO)

TCP

Unified CM

Unified CM, Gateway

Veći od 1023

2443

Signal poziva

Verifikacija povjerenja

TCP

Krajnja točka

Unified CM

Veći od 1023

2445

Pružanje usluge provjere povjerenja krajnjim točkama

CTI

TCP

Krajnja točka

Unified CM

Veći od 1023

2748

Povezivanje između CTI aplikacija (JTAPI/TSP) i CTIManager

Siguran CTI

TCP

Krajnja točka

Unified CM

Veći od 1023

2749

Sigurna veza između CTI aplikacija (JTAPI/TSP) i CTIManager

LDAP globalni katalog

TCP

UC aplikacije

Vanjski direktorij

Veći od 1023

3268

Sinkronizacija direktorija s LDAP-om kupca

LDAP globalni katalog

TCP

UC aplikacije

Vanjski direktorij

Veći od 1023

3269

Sinkronizacija direktorija s LDAP-om kupca

Usluga CAPF-a

TCP

Krajnja točka

Unified CM

Veći od 1023

3804

Proxy funkcija ovlaštenja za izdavanje certifikata (CAPF) za slušanje za izdavanje lokalno značajnih certifikata (LSC) na IP telefone

SIP

TCP

Krajnja točka

Unified CM, CUCxn

Veći od 1023

5060

Signal poziva

SIP

TCP

Unified CM

Unified CM, Gateway

Veći od 1023

5060

Signal poziva

SIP (SIGURNO)

TCP

Krajnja točka

Unified CM

Veći od 1023

5061

Signal poziva

SIP (SIGURNO)

TCP

Unified CM

Unified CM, Gateway

Veći od 1023

5061

Signal poziva

SIP (OAUTH)

TCP

Krajnja točka

Unified CM

Veći od 1023

5090

Signal poziva

XMPP

TCP

Jabber klijent

Cisco IM&P

Veći od 1023

5222

Instant poruke i prisutnost

HTTP

TCP

Krajnja točka

Unified CM

Veći od 1023

6970

Preuzimanje konfiguracije i slika na krajnje točke

HTTPS

TCP

Krajnja točka

Unified CM

Veći od 1023

6971

Preuzimanje konfiguracije i slika na krajnje točke

HTTPS

TCP

Krajnja točka

Unified CM

Veći od 1023

6972

Preuzimanje konfiguracije i slika na krajnje točke

HTTP

TCP

Jabber klijent

CUCxn

Veći od 1023

7080

Obavijesti putem govorne pošte

HTTPS

TCP

Jabber klijent

CUCxn

Veći od 1023

7443

Sigurne obavijesti putem govorne pošte

HTTPS

TCP

Unified CM

Unified CM

Veći od 1023

7501

Služba za pretraživanje međuklastera (ILS) koristi se za provjeru autentičnosti na temelju certifikata

Odlazna pošta (SIGURNA)

TCP

UC aplikacija

CUCxn

Veći od 1023

587

Koristi se za sastavljanje i slanje sigurnih poruka svim određenim primateljima

HTTPS

TCP

Unified CM

Unified CM

Veći od 1023

7502

ILS koristi za provjeru autentičnosti na temelju zaporke

IMAP

TCP

Jabber klijent

CUCxn

Veći od 1023

7993

IMAP preko TLS-a

HTTPS

TCP

Preglednik, Krajnja točka

UC aplikacije

Veći od 1023

8443

Web pristup za sučelja za brigu o sebi i administraciju, UDS

HTTPS

TCP

Prem

Unified CM

Veći od 1023

9443

Autentificirano pretraživanje kontakata

Siguran RTP/SRTP

UDP

Unified CM

Telefon

16384 do 32767 *

16384 do 32767 *

Mediji (audio) - Glazba na čekanju, Navještenje, Softverska konferencija Most (Otvoreno na temelju signala poziva)

Siguran RTP/SRTP

UDP

Telefon

Unified CM

16384 do 32767 *

16384 do 32767 *

Mediji (audio) - Glazba na čekanju, Navještenje, Softverska konferencija Most (Otvoreno na temelju signala poziva)

ICMP

ICMP

Krajnja točka

UC aplikacije

n.d.

n.d.

Ping

ICMP

ICMP

UC aplikacije

Krajnja točka

n.d.

n.d.

Ping

* Neki posebni slučajevi mogu koristiti veći raspon.

Namjenski termin – OTT priključci

Kupci i partneri mogu koristiti sljedeći popis portova za postavljanje mobilnog i daljinskog pristupa (MRA):

Tablica 3. Popis luka za OTT

Protokol

TCP/UCP

Izvor

Odredište

Izvorni priključak

Odredišna luka

Svrha

SIGURNOSNI SIP

TCP

Krajnja točka

Brza cesta E

Veći od 1023

5061

Sigurnosna SIP signalizacija za MRA registraciju i pozive

SIGURNOSNI SIP

TCP

Krajnja točka/poslužitelj

Brza cesta E

Veći od 1023

5062

Siguran SIP za B2B pozive

SIGURAN RTP/RTCP

UDP

Krajnja točka/poslužitelj

Brza cesta E

Veći od 1023

36000-59999

Sigurni mediji za MRA i B2B pozive

HTTPS (SIGURNO)

TLS

Klijent

Brza cesta E

Veći od 1023

8443

CUCM UDS i CUCxn REST za MRA pozive

XML-OVI

TLS

Klijent

Brza cesta E

Veći od 1023

5222

IM i prisutnost

OKRETANJE

UDP

LED KLIJENT

Brza cesta E

Veći od 1023

3478

Pregovori o LEDU/OMAMLJIVANJU/OKRETANJU

SIGURAN RTP/RTCP

UPD

LED KLIJENT

Brza cesta E

Veći od 1023

24000-29999

UKLJUČITE medije za rezervni LED

Namjenski termin – UCCX priključci

Kupci i partneri mogu koristiti sljedeći popis portova za konfiguriranje UCCX-a.

Tablica 4. Cisco UCCX priključci

Protokol

TCP / UCP

Izvor

Odredište

Izvorni priključak

Odredišna luka

Svrha

SSH

TCP

Klijent

UCCX

Veći od 1023

22

SFTP i SSH

Informix

TCP

Klijent ili poslužitelj

UCCX

Veći od 1023

1504

Jedinstveni priključak CCX baze podataka

SIP

UDP i TCP

SIP GW ili MCRP poslužitelj

UCCX

Veći od 1023

5065

Komunikacija s udaljenim GW i MCRP čvorovima

XMPP

TCP

Klijent

UCCX

Veći od 1023

5223

Sigurna XMPP veza između Finesse poslužitelja i prilagođenih aplikacija treće strane

CVD

TCP

Klijent

UCCX

Veći od 1023

6999

Uređivač u CCX aplikacije

HTTPS

TCP

Klijent

UCCX

Veći od 1023

7443

Sigurna BOSH veza između Finesse poslužitelja i desktopa agenta i supervizora za komunikaciju preko HTTPS-a

HTTP

TCP

Klijent

UCCX

Veći od 1023

8080

Klijenti koji izvještavaju o živim podacima spajaju se na utičnicu.IO poslužitelj

HTTP

TCP

Klijent

UCCX

Veći od 1023

8081

Klijentski preglednik pokušava pristupiti Cisco Unified Intelligence Center web sučelju

HTTP

TCP

Klijent

UCCX

Veći od 1023

8443

Admin GUI, RTMT, DB pristup putem SAPUNA

HTTPS

TCP

Klijent

UCCX

Veći od 1023

8444

Cisco Unified Intelligence Center web sučelje

HTTPS

TCP

Klijenti preglednika i OSTATKA

UCCX

Veći od 1023

8445

Sigurnosni priključak za Finesse

HTTPS

TCP

Klijent

UCCX

Veći od 1023

8447

HTTPS - Jedinstveni obavještajni centar online pomoć

HTTPS

TCP

Klijent

UCCX

Veći od 1023

8553

Komponente jedinstvenog prijave (SSO) pristupaju ovom sučelju kako bi znale radni status Cisco IdS-a.

HTTP

TCP

Klijent

UCCX

Veći od 1023

9080

Klijenti koji pokušavaju pristupiti HTTP okidačima ili dokumentima / upitima / gramima /podacima uživo.

HTTPS

TCP

Klijent

UCCX

Veći od 1023

9443

Sigurni port koji se koristi za odgovor klijentima koji pokušavaju pristupiti HTTPS okidačima

TCP

TCP

Klijent

UCCX

Veći od 1023

12014

Ovo je port gdje se klijenti koji izvještavaju o živim podacima mogu spojiti na utičnicu.IO poslužitelj

TCP

TCP

Klijent

UCCX

Veći od 1023

12015

Ovo je port gdje se klijenti koji izvještavaju o živim podacima mogu spojiti na utičnicu.IO poslužitelj

CTI

TCP

Klijent

UCCX

Veći od 1023

12028

Treća strana CTI klijent CCX-u

RTP(mediji)

TCP

Krajnja točka

UCCX

Veći od 1023

Veći od 1023

Medijski priključak se otvara dinamički po potrebi

RTP(mediji)

TCP

Klijent

Krajnja točka

Veći od 1023

Veći od 1023

Medijski priključak se otvara dinamički po potrebi

Sigurnost klijenta

Osiguravanje Jabbera i Webexa SIP OAuthom

Jabber i Webex klijenti ovjeravaju se putem OAuth tokena umjesto lokalno značajnog certifikata (LSC), za koji nije potrebna funkcija proxy autoriteta certifikata (CAPF) (i za MRA). SIP OAuth koji radi s mješovitim načinom rada ili bez njega uveden je u Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.

U Cisco Unified CM 12.5 imamo novu opciju u Phone Security profilu koja omogućuje šifriranje bez LSC/CAPF-a, koristeći jedinstveni Transport Layer Security (TLS) + OAuth token u SIP REGISTRU. Čvorovi Expressway-C koriste API Administrative XML Web Service (AXL) kako bi obavijestili Cisco Unified CM o SN/SAN u svom certifikatu. Cisco Unified CM koristi ove informacije za provjeru certifikata Exp-C prilikom uspostavljanja međusobne TLS veze.

SIP OAuth omogućuje enkripciju medija i signalizaciju bez certifikata krajnje točke (LSC).

Cisco Jabber koristi efemerne portove i sigurne portove 6971 i 6972 preko HTTPS veze na TFTP poslužitelj za preuzimanje konfiguracijskih datoteka. Port 6970 je nesiguran port za preuzimanje putem HTTP-a.

Više detalja o konfiguraciji SIP OAuth: SIP OAuth mod.

DNS zahtjevi

Za Dedicated Instance Cisco pruža FQDN za uslugu u svakoj regiji u sljedećem formatu<customer>.. .wxc-di.webex.com<region>, na primjer, xyz.amer.wxc-di.webex.com.

Vrijednost „kupca” osigurava administrator kao dio Čarobnjaka za postavljanje prvog puta (FTSW). Više informacija potražite u poglavlju Aktivacija usluge namjenske instance.

DNS zapisi za ovaj FQDN moraju biti rješivi s internog DNS poslužitelja kupca kako bi podržali uređaje na licu mjesta koji se spajaju na namjensku instancu. Kako bi se olakšalo rješavanje, kupac mora konfigurirati Uvjetni špediter, za ovaj FQDN, na svom DNS poslužitelju koji pokazuje na DNS uslugu namjenske instance. DNS usluga namjenske instance je regionalna i može se doći putem virenja na IP adresu namjenske instance, koristeći sljedeće IP adrese kao što je navedeno u donjoj tablici DNS IP adresa namjenske instance.

Tablica 5. IP adresa namjenske instance DNS usluge

Regija/DC

IP adresa namjenske instance DNS usluge

Primjer uvjetnog prosljeđivanja

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

GRIJEH

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


Ping opcija je onemogućena za gore navedene DNS poslužiteljske IP adrese iz sigurnosnih razloga.

Dok se ne uspostavi uvjetno prosljeđivanje, uređaji se neće moći registrirati na namjensku instancu iz interne mreže korisnika putem virećih poveznica. Uvjetno prosljeđivanje nije potrebno za registraciju putem mobilnog i daljinskog pristupa (MRA), jer će Cisco unaprijed osigurati sve potrebne vanjske DNS zapise za olakšavanje MRA-a.

Kada koristite Webex aplikaciju kao klijent za pozivanje na namjenskoj instanci, UC Manager profil mora biti konfiguriran u Control Hub-u za svaku govornu domenu (VSD) svake regije. Za više informacija pogledajte Profili upravitelja UC-a u Cisco Webex Control Hub-u. Aplikacija Webex moći će automatski riješiti rub brze ceste kupca bez ikakve intervencije krajnjeg korisnika.


Voice Service Domena pružit će se kupcu kao dio partnerskog pristupnog dokumenta nakon završetka aktivacije usluge.