Mrežni preduvjeti za namjensku instancu

Webex Poziv posvećena instanca dio je cisco cloud calling portfelja, koji pokreće tehnologija suradnje Cisco Unified Communications Manager (Cisco Unified CM). Dedicated Instance nudi rješenja za govorne, video, poruke i mobilnost sa značajkama i prednostima Cisco IP telefona, mobilnih uređaja i stolnih klijenata koji se sigurno povezuju s namjenskom instancom.

Ovaj je članak namijenjen mrežnim administratorima, posebno administratorima vatrozida i proxy sigurnosti koji žele koristiti namjensku instancu unutar svoje tvrtke ili ustanove. Ovaj se dokument prvenstveno usredotočuje na mrežne zahtjeve i sigurnost za namjensko rješenje instance, uključujući slojeviti pristup značajkama i funkcijama koje omogućuju siguran fizički pristup, sigurnu mrežu, sigurne krajnje točke i sigurne Cisco UC aplikacije.

Preduvjeti certifikata za sigurne veze u namjenskoj instanci

Za posvećenu instancu webex poziva, Cisco će pružiti domenu i potpisati sve certifikate za UC aplikacije pomoću javne ustanove za izdavanje certifikata (CA).

Namjenska instanca – brojevi i protokoli priključka

Sljedeće tablice opisuju priključke i protokole koji su podržani u namjenskoj instanci. Priključci koji se koriste za određenog kupca ovise o klijentovoj implementaciji i rješenju. Protokoli ovise o klijentovim željama (SCCP vs SIP), postojećim lokalnim uređajima i razini sigurnosti kako bi se utvrdilo koji će se priključci koristiti u svakoj implementaciji.

Namjenska instanca – priključci za korisnike

Priključci dostupni korisnicima - između korisničke pretpostavke i namjenske instance prikazani su u tablici 1 Namjenski priključci klijenata instance. Svi dolje navedeni priključci namijenjeni su prometu korisnika koji prelazi vršnjačke veze.


SNMP priključak podržan je samo za cer funkcionalnost, a ne i za bilo koje druge alate za praćenje trećih strana.

Tablica 1. Namjenski priključci klijenata instance

Protokol

TCP/UCP

Izvor

Odredište

Izvorišni priključak

Odredišni priključak

Svrha

SSH

TCP

Klijent

UC aplikacije

Veće od 1023

22

Administracija

LDAP

TCP

UC aplikacije

Vanjski imenik

Veće od 1023

389

Sinkronizacija direktorija s LDAP-om klijenta

HTTPS

TCP

Preglednik

UC aplikacije

Veće od 1023

443

Web-pristup za samozaštite i administrativna sučelja

LDAP (SIGURNO)

TCP

UC aplikacije

Vanjski imenik

Veće od 1023

636

Sinkronizacija direktorija s LDAP-om klijenta

SCCP

TCP

Krajnja točka

Jedinstveni CM, CUCxn

Veće od 1023

2000

Signalizacija poziva

SCCP

TCP

Unified CM

Unificirani CM, pristupnik

Veće od 1023

2000

Signalizacija poziva

SCCP (SIGURNO)

TCP

Krajnja točka

Jedinstveni CM, CUCxn

Veće od 1023

2443

Signalizacija poziva

SCCP (SIGURNO)

TCP

Unified CM

Unificirani CM, pristupnik

Veće od 1023

2443

Signalizacija poziva

Provjera pouzdanosti

TCP

Krajnja točka

Unified CM

Veće od 1023

2445

Pružanje usluge provjere pouzdanosti krajnjim točkama

CTI

TCP

Krajnja točka

Unified CM

Veće od 1023

2748

Veza između CTI aplikacija (JTAPI/TSP) i CTIManager

Siguran CTI

TCP

Krajnja točka

Unified CM

Veće od 1023

2749

Sigurna veza između CTI aplikacija (JTAPI/TSP) i CTIManager

LDAP globalni katalog

TCP

UC aplikacije

Vanjski imenik

Veće od 1023

3268

Sinkronizacija direktorija s LDAP-om klijenta

LDAP globalni katalog

TCP

UC aplikacije

Vanjski imenik

Veće od 1023

3269

Sinkronizacija direktorija s LDAP-om klijenta

CAPF usluga

TCP

Krajnja točka

Unified CM

Veće od 1023

3804

Priključak za slušanje proxy funkcije ustanove za izdavanje certifikata (CAPF) za izdavanje lokalno značajnih certifikata (LSC) na IP telefone

SIP

TCP

Krajnja točka

Jedinstveni CM, CUCxn

Veće od 1023

5060

Signalizacija poziva

SIP

TCP

Unified CM

Unificirani CM, pristupnik

Veće od 1023

5060

Signalizacija poziva

SIP (SIGURNO)

TCP

Krajnja točka

Unified CM

Veće od 1023

5061

Signalizacija poziva

SIP (SIGURNO)

TCP

Unified CM

Unificirani CM, pristupnik

Veće od 1023

5061

Signalizacija poziva

SIP (OAUTH)

TCP

Krajnja točka

Unified CM

Veće od 1023

5090

Signalizacija poziva

XMPP

TCP

Jabber klijent

Cisco IM&P

Veće od 1023

5222

Razmjena izravnih poruka i prisutnost

HTTP

TCP

Krajnja točka

Unified CM

Veće od 1023

6970

Preuzimanje konfiguracije i slika na krajnje točke

HTTPS

TCP

Krajnja točka

Unified CM

Veće od 1023

6971

Preuzimanje konfiguracije i slika na krajnje točke

HTTPS

TCP

Krajnja točka

Unified CM

Veće od 1023

6972

Preuzimanje konfiguracije i slika na krajnje točke

HTTP

TCP

Jabber klijent

CUCxn

Veće od 1023

7080

Obavijesti govorne pošte

HTTPS

TCP

Jabber klijent

CUCxn

Veće od 1023

7443

Sigurne obavijesti govorne pošte

HTTPS

TCP

Unified CM

Unified CM

Veće od 1023

7501

Koristi ga Intercluster Lookup Service (ILS) za provjeru autentičnosti utemeljenu na certifikatu

HTTPS

TCP

Unified CM

Unified CM

Veće od 1023

7502

Koristi ga ILS za provjeru autentičnosti utemeljenu na lozinki

IMAP

TCP

Jabber klijent

CUCxn

Veće od 1023

7993

IMAP preko TLS-a

HTTPS

TCP

Preglednik, krajnja točka

UC aplikacije

Veće od 1023

8443

Web-pristup za self-care i administrativna sučelja, UDS

HTTPS

TCP

Prem

Unified CM

Veće od 1023

9443

Provjereno pretraživanje kontakata

Sigurni RTP/SRTP

UDP

Unified CM

Telefon

16384 do 32767 *

16384 do 32767 *

Media (audio) - Glazba na čekanju, Annunciator, Most softverske konferencije (Otvoreno na temelju signalizacije poziva)

Sigurni RTP/SRTP

UDP

Telefon

Unified CM

16384 do 32767 *

16384 do 32767 *

Media (audio) - Glazba na čekanju, Annunciator, Most softverske konferencije (Otvoreno na temelju signalizacije poziva)

ICMP

ICMP

Krajnja točka

UC aplikacije

N/a

N/a

Zviždati

ICMP

ICMP

UC aplikacije

Krajnja točka

N/a

N/a

Zviždati

* Određeni posebni slučajevi mogu koristiti veći raspon.

Namjenska instanca – OTT priključci

Sljedeći popis priključaka mogu koristiti korisnici i partneri za postavljanje mobilnog i daljinskog pristupa (MRA):

Tablica 2. Popis priključaka za OTT

Protokol

TCP/UCP

Izvor

Odredište

Izvorišni priključak

Odredišni priključak

Svrha

SIGURAN SIP

TCP

Krajnja točka

Brza cesta E

Veće od 1023

5061

Sigurna SIP signalizacija za registraciju MRA i pozive

SIGURAN SIP

TCP

Krajnja točka/poslužitelj

Brza cesta E

Veće od 1023

5062

Siguran SIP za B2B pozive

SIGURAN RTP/RTCP

UDP

Krajnja točka/poslužitelj

Brza cesta E

Veće od 1023

36000-59999

Sigurni mediji za MRA i B2B pozive

HTTPS (SIGURNO)

TLS

Klijent

Brza cesta E

Veće od 1023

8443

CUCM UDS i CUCxn REST za MRA pozive

XMLS

TLS

Klijent

Brza cesta E

Veće od 1023

5222

Izravne poruke i prisutnost

SKRENUTI

UDP

ICE klijent

Brza cesta E

Veće od 1023

3478

Pregovori o ICE-u/STUN-u/TURN-u

SIGURAN RTP/RTCP

UPD

ICE klijent

Brza cesta E

Veće od 1023

24000-29999

TURN mediji za povrat LED-a

Namjenska instanca – UCCX priključci

Sljedeći popis priključaka mogu koristiti kupci i partneri za konfiguriranje UCCX-a.

Tablica 3. Cisco UCCX priključci

Protokol

TCP / UCP

Izvor

Odredište

Izvorišni priključak

Odredišni priključak

Svrha

SSH

TCP

Klijent

UCCX

Veće od 1023

22

SFTP i SSH

Informix

TCP

Klijent ili poslužitelj

UCCX

Veće od 1023

1504

Objedinjeni CCX priključak baze podataka

SIP

UDP i TCP

SIP GW ili MCRP poslužitelj

UCCX

Veće od 1023

5065

Komunikacija s udaljenim GW i MCRP čvorovima

XMPP

TCP

Klijent

UCCX

Veće od 1023

5223

Sigurna XMPP veza između Finesse poslužitelja i prilagođenih aplikacija trećih strana

KVB

TCP

Klijent

UCCX

Veće od 1023

6999

Uređivač u CCX aplikacije

HTTPS

TCP

Klijent

UCCX

Veće od 1023

7443

Sigurna BOSH veza između Finesse poslužitelja i agenta i nadzornih stolnih računala za komunikaciju putem HTTPS-a

HTTP

TCP

Klijent

UCCX

Veće od 1023

8080

Klijenti koji prijavljuju podatke uživo povezuju se s utičnicom. IO poslužitelj

HTTP

TCP

Klijent

UCCX

Veće od 1023

8081

Klijentski preglednik koji pokušava pristupiti web-sučelju Cisco Unified Intelligence Center

HTTP

TCP

Klijent

UCCX

Veće od 1023

8443

Admin GUI, RTMT, DB pristup putem SOAP-a

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8444

Web sučelje Cisco Unified Intelligence Center

HTTPS

TCP

Klijenti preglednika i REST-a

UCCX

Veće od 1023

8445

Sigurna luka za Finesse

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8447

HTTPS – mrežna pomoć Objedinjenog obavještajnog centra

HTTPS

TCP

Klijent

UCCX

Veće od 1023

8553

Komponente jedinstvene prijave (SSO) pristupaju ovom sučelju kako bi znale operativni status Cisco IdS-a.

HTTP

TCP

Klijent

UCCX

Veće od 1023

9080

Klijenti koji pokušavaju pristupiti HTTP okidačima ili dokumentima / upitima / gramatikama / živim podacima.

HTTPS

TCP

Klijent

UCCX

Veće od 1023

9443

Siguran priključak koji se koristi za odgovor klijentima koji pokušavaju pristupiti HTTPS okidačima

TCP

TCP

Klijent

UCCX

Veće od 1023

12014

Ovo je priključak u kojem se klijenti za izvješćivanje o podacima uživo mogu povezati s utičnicom. IO poslužitelj

TCP

TCP

Klijent

UCCX

Veće od 1023

12015

Ovo je priključak u kojem se klijenti za izvješćivanje o podacima uživo mogu povezati s utičnicom. IO poslužitelj

CTI

TCP

Klijent

UCCX

Veće od 1023

12028

CTI klijent treće strane CCX-u

RTP(mediji)

TCP

Krajnja točka

UCCX

Veće od 1023

Veće od 1023

Medijski priključak otvara se dinamički po potrebi

RTP(mediji)

TCP

Klijent

Krajnja točka

Veće od 1023

Veće od 1023

Medijski priključak otvara se dinamički po potrebi

Sigurnost klijenta

Osiguravanje Jabbera i Webexa pomoću SIP OAuth-a

Jabber i Webex klijenti su provjereni putem OAuth tokena umjesto lokalno značajnog certifikata (LSC), koji ne zahtijeva omogućavanje proxy funkcije ustanove za izdavanje certifikata (CAPF). SIP OAuth rad s mješovitim načinom rada ili bez njega uveden je u Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.

U Cisco Unified CM 12.5 imamo novu opciju u Telefonskom sigurnosnom profilu koja omogućuje šifriranje bez LSC / CAPF, koristeći single Transport Layer Security (TLS) + OAuth token u SIP REGISTER- u. Čvorovi Expressway-C koriste API administrativne XML web-usluge (AXL) kako bi obavijestili Cisco Unified CM o SN/SAN-u u svom certifikatu. Cisco Unified CM koristi ove informacije za provjeru Certifikata Exp-C prilikom uspostavljanja međusobne TLS veze.

SIP OAuth omogućuje šifriranje medija i signala bez certifikata krajnje točke (LSC).

Cisco Jabber koristi Ephemeral priključke i sigurne priključke 6971 i 6972 priključke putem HTTPS veze s TFTP poslužiteljem za preuzimanje konfiguracijskih datoteka. Port 6970 je nesigurna luka za preuzimanje putem HTTP-a.

Dodatne pojedinosti o konfiguraciji SIP OAutha: SIP OAuth način rada.

DNS preduvjeti

Za namjensku instancu Cisco pruža FQDN za uslugu u svakoj regiji sa sljedećim formatom <customer><region>. wxc-di.webex.com na primjer, xyz.amer.wxc-di.webex.com.

Vrijednost "kupac" pruža administrator kao dio čarobnjaka za postavljanje prvi put (FTSW). Dodatne informacije potražite u članku Aktivacija usluge namjenske instance.

DNS zapisi za ovaj FQDN moraju se moći resolvable s klijentovog internog DNS poslužitelja kako bi podržali lokalne uređaje koji se povezuju s namjenskom instancom. Da bi olakšao razlučivost, korisnik mora konfigurirati uvjetni prosljeđivač za ovaj FQDN na svom DNS poslužitelju koji pokazuje na DNS servis namjenske instance. DNS servis namjenske instance je regionalni i može se doći do, putem peeringa za namjensku instancu, koristeći sljedeće IP adrese kao što je spomenuto u donjoj tablici Namjenska IP adresa DNS servisa instance.

Stol 4. IP adresa namjenske instance DNS servisa

Regija/DC

IP adresa namjenske instance DNS servisa

Primjer uvjetnog prosljeđivanja

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

GRIJEH

103.232.71.288

Dok se ne uspostavi uvjetno prosljeđivanje, uređaji se neće moći registrirati na namjensku instancu iz interne mreže korisnika putem ravnopravnih veza. Uvjetno prosljeđivanje nije potrebno za registraciju putem mobilnog i daljinskog pristupa (MRA), jer će cisco unaprijed osigurati sve potrebne vanjske DNS zapise kako bi se olakšala MRA.

Kada koristite aplikaciju Webex kao mekog klijenta za pozivanje u namjenskoj instanci, profil upravitelja UC-a mora se konfigurirati u kontrolnom središtu za domenu govorne usluge (VSD) svake regije. Više informacija potražite u profilima UC Managera u Cisco Webex Control Hubu. Aplikacija Webex moći će automatski riješiti klijentov Expressway Edge bez intervencije krajnjeg korisnika.


Domena govorne usluge bit će pružena klijentu kao dio dokumenta o pristupu partneru nakon dovršetka aktivacije usluge.