Mrežni preduvjeti za namjensku instancu

Namjenska instanca za webex pozive dio je portfelja Cisco Cloud Calling, koji pokreće Cisco Unified Communications Manager (Cisco Unified CM) tehnologija suradnje. Namjenska instanca nudi rješenja za glas, videozapise, razmjenu poruka i mobilnost sa značajkama i prednostima Cisco IP telefona, mobilnih uređaja i stolnih klijenata koji se sigurno povezuju s namjenskom instancom.

Ovaj je članak namijenjen mrežnim administratorima, posebno administratorima sigurnosti vatrozida i proxy poslužitelja koji žele koristiti namjensku instancu unutar svoje tvrtke ili ustanove. Ovaj se dokument prvenstveno usredotočuje na mrežne zahtjeve i sigurnost za rješenje namjenske instance, uključujući slojevit pristup značajkama i funkcionalnostima koji pružaju siguran fizički pristup, sigurnu mrežu, sigurne krajnje točke i sigurne Cisco UC aplikacije.

Pregled sigurnosti: Sigurnost u slojevima

Namjenska instanca koristi slojevit pristup radi sigurnosti. Slojevi uključuju:

  • Fizički pristup

  • Mreža

  • Krajnje točke

  • UC aplikacije

Sljedeći odjeljci opisuju slojeve sigurnosti u implementacijama namjenskih instanci .

Fizička sigurnost

Važno je pružiti fizičku sigurnost lokacijama Equinix Meet-Me Room i objektima Cisco namjenskog podatkovnog centra instance . Kada je fizička sigurnost ugrožena, mogu se pokrenuti jednostavni napadi kao što je prekid usluge isključivanjem napajanja na prekidače kupca. Uz fizički pristup, napadači su mogli dobiti pristup poslužiteljskim uređajima, resetirati lozinke i dobiti pristup prekidačima. Fizički pristup također olakšava sofisticiranije napade kao što su napadi čovjeka u sredini, zbog čega je drugi sigurnosni sloj, mrežna sigurnost, presudan.

Samošifrirajući pogoni koriste se u namjenskim podatkovnim centrima instanci u kojima se nalaze UC aplikacije.

Dodatne informacije o općim sigurnosnim praksama potražite u dokumentaciji na sljedećem mjestu: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Mrežna sigurnost

Partneri moraju osigurati da su svi mrežni elementi osigurani u infrastrukturi namjenske instance (koja se povezuje putem Equinixa). Odgovornost je partnera osigurati najbolju sigurnosnu praksu kao što su:

  • Odvojeni VLAN za glas i podatke

  • Omogući sigurnost priključka koja ograničava broj dopuštenih MAC adresa po priključku, u odnosu na poplavu CAM tablice

  • IP Source Guard protiv lažnih IP adresa

  • Dinamička inspekcija ARP-a (DAI) ispituje protokol za rješavanje adresa (ARP) i besplatni ARP (GARP) zbog kršenja (protiv podmetanja ARP-a)

  • 802.1x ograničava pristup mreži uređajima za provjeru autentičnosti na dodijeljenim VLAN-ovima (telefoni podržavaju 802.1x)

  • Konfiguracija kvalitete usluge (QoS) za odgovarajuće označavanje glasovnih paketa

  • Konfiguracije priključaka vatrozida za blokiranje bilo kojeg drugog prometa

Sigurnost krajnjih točaka

Cisco krajnje točke podržavaju zadane sigurnosne značajke kao što su potpisani firmver, sigurno pokretanje (odabrani modeli), certifikat instaliran od proizvođača (MIC) i potpisane konfiguracijske datoteke koje pružaju određenu razinu sigurnosti krajnjih točaka.

Osim toga, partner ili kupac mogu omogućiti dodatnu sigurnost, kao što su:

  • Šifrirajte IP telefonske usluge (putem HTTPS-a) za usluge kao što je proširena mobilnost

  • Izdavanje lokalno značajnih certifikata (LSC-ova) iz proxy funkcije ustanove za izdavanje certifikata (CAPF) ili ustanove za javne certifikate (CA)

  • Šifriraj konfiguracijske datoteke

  • Šifriraj medije i signalizaciju

  • Onemogućite ove postavke ako se ne koriste: PC priključak, PC Voice VLAN Access, Besplatni ARP, Web Access, Gumb Postavke, SSH, konzola

Implementacija sigurnosnih mehanizama u namjenskoj instanci sprječava krađu identiteta telefona i jedinstvenog CM poslužitelja, neovlašteno mijenjanje podataka i neovlašteno uplitanje u signalizaciju poziva / medijski tok.

Namjenska instanca putem mreže:

  • Uspostavlja i održava provjerene komunikacijske tokove

  • Digitalno potpisuje datoteke prije prijenosa datoteke na telefon

  • Šifrira medijske tokove i signalizaciju poziva između Cisco Unified IP telefona

Zadano postavljanje sigurnosti

Sigurnost prema zadanim postavkama pruža sljedeće značajke automatske sigurnosti za Cisco objedinjene IP telefone:

  • Potpisivanje datoteka za konfiguraciju telefona

  • Podrška za šifriranje telefonske konfiguracijske datoteke

  • HTTPS s Tomcatom i drugim web uslugama (MIDlets)

Za objedinjeno CM izdanje 8.0 kasnije, ove sigurnosne značajke pružaju se prema zadanim postavkama bez pokretanja klijenta popisa pouzdanih certifikata (CTL).

Usluga provjere pouzdanosti

Budući da u mreži postoji veliki broj telefona, a IP telefoni imaju ograničenu memoriju, Cisco Unified CM djeluje kao udaljena pohrana povjerenja putem Usluge provjere pouzdanosti (TVS) tako da spremište pouzdanih certifikata ne mora biti postavljeno na svaki telefon. Cisco IP telefoni kontaktiraju TVS poslužitelj radi provjere jer ne mogu potvrditi potpis ili certifikat putem CTL ili ITL datoteka. Lakše je upravljati središnjom trgovinom povjerenja nego imati trgovinu povjerenja na svakom Cisco Unified IP telefonu.

TVS omogućuje Cisco Unified IP telefonima autentifikaciju aplikacijskih poslužitelja, kao što su EM usluge, direktorij i MIDlet, tijekom HTTPS uspostavljanja.

Početni popis pouzdanosti

Datoteka inicijalnog popisa pouzdanosti (ITL) koristi se za početnu sigurnost, tako da krajnje točke mogu vjerovati Cisco Objedinjenom CM-u. ITL-u nisu potrebne nikakve sigurnosne značajke da bi se eksplicitno omogućile. ITL datoteka se automatski stvara prilikom instalacije klastera. Za potpisivanje ITL datoteke koristi se privatni ključ poslužitelja Unified CM Trivial File Transfer Protocol (TFTP).

Kada je Cisco Unified CM klaster ili poslužitelj u nesigurnom načinu rada, ITL datoteka se preuzima na svaki podržani Cisco IP telefon. Partner može pregledavati sadržaj ITL datoteke pomoću naredbe CLI, admin:show itl.

Cisco IP telefoni trebaju ITL datoteku za obavljanje sljedećih zadataka:

  • Sigurno komunicirajte s CAPF-om, preduvjetom za podršku šifriranju konfiguracijske datoteke

  • Provjera autentičnosti potpisa konfiguracijske datoteke

  • Provjera autentičnosti poslužitelja aplikacija, kao što su EM servisi, direktorij i MIDlet tijekom HTTPS ustanove pomoću TVS-a

Cisco CTL

Provjera autentičnosti uređaja, datoteke i signalizacije oslanja se na stvaranje CTL datoteke popisa pouzdanih certifikata (Certificate Trust List), koja se stvara kada partner ili kupac instalira i konfigurira klijent cisco certifikata s popisa pouzdanih certifikata.

CTL datoteka sadrži unose za sljedeće poslužitelje ili sigurnosne tokene:

  • Sigurnosni token administratora sustava (SAST)

  • Cisco CallManager i Cisco TFTP usluge koje se izvode na istom poslužitelju

  • Proxy funkcija ustanove za izdavanje certifikata (CAPF)

  • TFTP poslužitelji

  • ASA vatrozid

CTL datoteka sadrži certifikat poslužitelja, javni ključ, serijski broj, potpis, naziv izdavatelja, naziv predmeta, funkciju poslužitelja, DNS naziv i IP adresu za svaki poslužitelj.

Telefonska sigurnost s CTL-om pruža sljedeće funkcije:

  • Provjera autentičnosti datoteka preuzetih putem TFTP-a (konfiguracija, regionalna shema, prstenasti popis itd.) pomoću ključa za potpisivanje

  • Šifriranje TFTP konfiguracijskih datoteka pomoću ključa za potpisivanje

  • Šifrirana signalizacija poziva za IP telefone

  • Zvuk šifriranog poziva (medija) za IP telefone

Sigurnost cisco IP telefona u namjenskoj instanci

Namjenska instanca omogućuje registraciju krajnjih točaka i obradu poziva. Signalizacija između Cisco Unified CM-a i krajnjih točaka temelji se na Protokolu kontrole sigurnog mršavog klijenta (SCCP) ili Protokolu za iniciranje sesije (SIP) i može se šifrirati pomoću transportne sigurnosti slojeva (TLS). Mediji od/do krajnjih točaka temelje se na transportnom protokolu u stvarnom vremenu (RTP), a mogu se šifrirati i pomoću Secure RTP-a (SRTP).

Omogućavanje mješovitog načina rada na Objedinjenom CM-u omogućuje šifriranje signalnog i medijskog prometa od i do Krajnjih točaka Cisca.

Sigurne UC aplikacije

Omogućivanje mješovitog načina rada u namjenskoj instanci

Mješoviti način rada po zadanom nije omogućen u namjenskoj instanci.

Omogućavanje mješovitog načina rada u namjenskoj instanci omogućuje šifriranje signalnog i medijskog prometa od i do Krajnjih točaka Cisca.

U Cisco Unified CM izdanju 12.5(1) dodana je nova opcija za omogućavanje šifriranja signalizacije i medija temeljenih na SIP OAuth umjesto mješovitog načina rada / CTL-a za Jabber i Webex klijente. Stoga se u Objedinjenom CM izdanju 12.5(1) SIP OAuth i SRTP mogu koristiti za omogućavanje šifriranja signalizacije i medija za Jabber ili Webex klijente. Omogućavanje mješovitog načina rada i dalje je potrebno za Cisco IP telefone i druge Cisco krajnje točke u ovom trenutku. Postoji plan za dodavanje podrške za SIP OAuth u krajnjim točkama 7800/8800 u budućem izdanju.

Sigurnost glasovnih poruka

Cisco Unity Connection povezuje se s jedinstvenim CM-om putem TLS priključka. Kada sigurnosni način rada uređaja nije siguran, Cisco Unity Connection povezuje se s jedinstvenim CM-om putem SCCP priključka.

Da bi konfigurirao sigurnost za objedinjene CM priključke za glasovnu razmjenu poruka i Cisco Unity uređaje sa sustavom SCCP ili Cisco Unity Connection uređajima sa sustavom SCCP, partner može odabrati siguran način sigurnosti uređaja za priključak. Ako odaberete priključak govorne pošte čija je autentičnost provjerena, otvara se TLS veza koja provjerava autentičnost uređaja pomoću međusobne razmjene certifikata (svaki uređaj prihvaća certifikat drugog uređaja). Ako odaberete šifrirani priključak govorne pošte, sustav najprije provjerava autentičnost uređaja, a zatim šalje šifrirane glasovne tokove između uređaja.

Dodatne informacije o sigurnosnim priključcima za razmjenu poruka potražite u sljedećim člancima: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Sigurnost za SRST, prtljažnike, pristupnike, CUBE/SBC

Pristupnik omogućen za Cisco Unified Survivable Remote Site Telephony (SRST) pruža ograničene zadatke obrade poziva ako Cisco jedinstveni CM na namjenskoj instanci ne može dovršiti poziv.

Sigurni pristupnici s podrškom za SRST sadrže samopotpisani certifikat. Nakon što partner izvrši zadatke konfiguracije SRST-a u jedinstvenoj administraciji CM-a, Jedinstveni CM koristi TLS vezu za provjeru autentičnosti s uslugom davatelja certifikata u pristupniku omogućenom za SRST. Jedinstveni CM zatim dohvaća certifikat iz pristupnika omogućenog za SRST i dodaje certifikat u objedinjenu CM bazu podataka.

Nakon što partner resetira zavisne uređaje u objedinjenoj CM administraciji, TFTP poslužitelj dodaje pristupni certifikat omogućen za SRST u datoteku telefonskog cnf.xml i šalje datoteku na telefon. Siguran telefon zatim koristi TLS vezu za interakciju s pristupnikom koji podržava SRST.

Preporučuje se imati sigurne prtljažnike za poziv koji potječe od Cisco Unified CM do pristupnika za odlazne PSTN pozive ili prelazak kroz Cisco Jedinstveni granični element (CUBE).

SIP debla mogu podržavati sigurne pozive i za signalizaciju, tako i za medije; TLS pruža signalno šifriranje, a SRTP pruža šifriranje medija.

Osiguravanje komunikacije između Cisco Jedinstvenog CM-a i KOCKE-a

Za sigurnu komunikaciju između Cisco Unified CM-a i CUBE-a partneri/kupci moraju koristiti ili samopotpisani certifikat ili CA-potpisane certifikate.

Za samopotpisane certifikate:

  1. CUBE i Cisco Jedinstveni CM generiraju samopotpisane certifikate

  2. CUBE izvozi certifikat u Cisco Jedinstveni CM

  3. Cisco jedinstveni CM izvozi certifikat u CUBE

Za ca-potpisane certifikate:

  1. Klijent generira par ključeva i šalje zahtjev za potpisivanje certifikata (CSR) ustanovi za izdavanje certifikata (CA)

  2. CA ga potpisuje svojim privatnim ključem, stvarajući certifikat o identitetu

  3. Klijent instalira popis pouzdanih CA korijenskih i posredničkih certifikata i certifikata identiteta

Sigurnost za udaljene krajnje točke

S krajnjim točkama mobilnog i daljinskog pristupa (MRA), signalizacija i mediji uvijek su šifrirani između krajnjih točaka MRA i čvorova brze ceste. Ako se protokol Interaktivne ustanove za povezivanje (ICE) koristi za krajnje točke MRA-e, potrebna je signalizacija i šifriranje medija krajnjih točaka MRA. Međutim, šifriranje signalizacije i medija između brze ceste-C i internih jedinstvenih CM poslužitelja, unutarnjih krajnjih točaka ili drugih internih uređaja zahtijeva mješoviti način rada ili SIP OAuth.

Brza cesta Cisco pruža sigurnu povratnu i linijsku podršku vatrozida za objedinjene CM registracije. Jedinstveni CM pruža kontrolu poziva za mobilne i lokalne krajnje točke. Signalizacija prelazi rješenje brze ceste između udaljene krajnje točke i jedinstvenog CM-a. Mediji prelaze rješenje brze ceste i izravno se prenose između krajnjih točaka. Svi mediji su šifrirani između brze ceste-C i mobilne krajnje točke.

Svako MRA rješenje zahtijeva brzu cestu i jedinstveni CM, s mekim klijentima kompatibilnim s MRA-om i / ili fiksnim krajnjim točkama. Rješenje po želji može uključivati uslugu razmjene izravnih poruka i prisutnosti te vezu jedinstva.

Sažetak protokola

U sljedećoj su tablici prikazani protokoli i pridruženi servisi koji se koriste u objedinjenom CM rješenju.

Tablica 1. Protokoli i pridružene usluge

Protokol

Sigurnost

Usluga

SIP

TLS

Osnivanje sjednice: Registrirajte se, pozovite itd.

HTTPS

TLS

Prijava, dodjela resursa/konfiguracija, direktorij, vizualna govorna pošta

Mediji

SRTP

Mediji: Audio, Video, Dijeljenje sadržaja

XMPP

TLS

Razmjena izravnih poruka, Prisutnost, Federacija

Dodatne informacije o KONFIGURACIJI MRA potražite u sljedećim člancima: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Mogućnosti konfiguracije

Namjenska instanca partneru pruža fleksibilnost u prilagodbi usluga krajnjim korisnicima kroz potpunu kontrolu konfiguracija drugog dana. Kao rezultat toga, Partner je isključivo odgovoran za pravilnu konfiguraciju usluge Namjenska instanca za okruženje krajnjeg korisnika. To uključuje, ali ne ograničavajući se na:

  • Odabir sigurnih/nesigurnih poziva, sigurnih/nesigurnih protokola kao što su SIP/sSIP, http/https itd. i razumijevanje svih povezanih rizika.

  • Za sve MAC adrese koje nisu konfigurirane kao siguran SIP u namjenskoj instanci, napadač može poslati poruku iz SIP registra pomoću te MAC adrese i moći upućivati SIP pozive, što rezultira prijevarom s naplatom cestarine. Zahtjev je da napadač može registrirati svoj SIP uređaj / softver na Namjensku instancu bez odobrenja ako zna MAC adresu uređaja registriranog u namjenskoj instanci.

  • Pravila o brzim pozivima, pravila o pretvorbi i pretraživanju trebala bi biti konfigurirana kako bi se spriječila prijevara s naplatom cestarine. Dodatne informacije o sprječavanju prijevara s naplatom cestarine pomoću brzih cesta potražite u odjeljku Sigurnost za brzu cestu C i Brza cesta-E u SRND-uza suradnju.

  • Konfiguracija plana biranja kako bi se osiguralo da korisnici mogu birati samo odredišta koja su dopuštena, npr. zabraniti nacionalno/ međunarodno biranje, hitni pozivi se usmjeravaju ispravno itd. Dodatne informacije o primjeni ograničenja pomoću plana pozivanja potražite u odjeljku Plan pozivanja u SRND-u za suradnju.

Preduvjeti certifikata za sigurne veze u namjenskoj instanci

Na poseban način, Cisco će pružiti domenu i potpisati sve certifikate za aplikacije UC-a pomoću javne ustanove za izdavanje potvrda (CA).

Namjenska instanca – brojevi i protokoli priključaka

U sljedećim tablicama opisani su priključci i protokoli podržani u namjenskoj instanci. Priključci koji se koriste za određenog kupca ovise o implementaciji i rješenju kupca. Protokoli ovise o preferencijama kupca (SCCP vs SIP), postojećim lokalnim uređajima i razini sigurnosti za određivanje koji će se priključci koristiti u svakoj implementaciji.

Namjenska instanca – priključci za kupce

Priključci dostupni kupcima - između premise kupca i namjenske instance prikazani su u tablici 1 Namjenski priključci za kupceinstance. Sve dolje navedene luke odnose se na promet kupaca koji prelazi veze za ravnopravne članove.


SNMP priključak podržan je samo za cer funkcionalnost, a ne i za bilo koji drugi alat za nadzor trećih strana.


Portovi u rasponu od 5063 do 5080 rezervirani su od strane Cisco-a za druge integracije u oblaku, partnerskim ili korisničkim administratorima preporučuje se da te priključke ne koriste u svojim konfiguracijama.

Tablica 2. Namjenski priključci za kupce instance

Protokol

TCP/UCP

Izvor

Odredište

Izvorni priključak

Odredišni priključak

Svrha

SSH

TCP

Klijent

UC aplikacije

Veće od 1023. godine

22

Administracija

LDAP

TCP

UC aplikacije

Vanjski imenik

Veće od 1023. godine

389

Sinkronizacija direktorija s klijentom LDAP-om

HTTPS

TCP

Preglednik

UC aplikacije

Veće od 1023. godine

443

Internetski pristup za samopomoć i administrativna sučelja

LDAP (SIGURNO)

TCP

UC aplikacije

Vanjski imenik

Veće od 1023. godine

636

Sinkronizacija direktorija s klijentom LDAP-om

SCCP

TCP

Krajnja točka

Jedinstveni CM, CUCxn

Veće od 1023. godine

2000

Signalizacija poziva

SCCP

TCP

Unified CM

Jedinstveni CM, pristupnik

Veće od 1023. godine

2000

Signalizacija poziva

SCCP (SECURE)

TCP

Krajnja točka

Jedinstveni CM, CUCxn

Veće od 1023. godine

2443

Signalizacija poziva

SCCP (SECURE)

TCP

Unified CM

Jedinstveni CM, pristupnik

Veće od 1023. godine

2443

Signalizacija poziva

Provjera pouzdanosti

TCP

Krajnja točka

Unified CM

Veće od 1023. godine

2445

Pružanje usluge provjere pouzdanosti krajnjim točkama

CTI

TCP

Krajnja točka

Unified CM

Veće od 1023. godine

2748

Veza između CTI aplikacija (JTAPI/TSP) i CTIManagera

Siguran CTI

TCP

Krajnja točka

Unified CM

Veće od 1023. godine

2749

Sigurna veza između CTI aplikacija (JTAPI/TSP) i CTIManagera

LDAP globalni katalog

TCP

UC aplikacije

Vanjski imenik

Veće od 1023. godine

3268

Sinkronizacija direktorija s klijentom LDAP-om

LDAP globalni katalog

TCP

UC aplikacije

Vanjski imenik

Veće od 1023. godine

3269

Sinkronizacija direktorija s klijentom LDAP-om

CAPF servis

TCP

Krajnja točka

Unified CM

Veće od 1023. godine

3804

Priključak za slušanje proxy funkcije ustanove za izdavanje lokalno značajnih certifikata (LSC) IP telefonima

SIP

TCP

Krajnja točka

Jedinstveni CM, CUCxn

Veće od 1023. godine

5060

Signalizacija poziva

SIP

TCP

Unified CM

Jedinstveni CM, pristupnik

Veće od 1023. godine

5060

Signalizacija poziva

SIP (SECURE)

TCP

Krajnja točka

Unified CM

Veće od 1023. godine

5061

Signalizacija poziva

SIP (SECURE)

TCP

Unified CM

Jedinstveni CM, pristupnik

Veće od 1023. godine

5061

Signalizacija poziva

SIP (OAUTH)

TCP

Krajnja točka

Unified CM

Veće od 1023. godine

5090

Signalizacija poziva

XMPP

TCP

Jabber klijent

Cisco IM&P

Veće od 1023. godine

5222

Razmjena izravnih poruka i prisutnost

HTTP

TCP

Krajnja točka

Unified CM

Veće od 1023. godine

6970

Preuzimanje konfiguracije i slika na krajnje točke

HTTPS

TCP

Krajnja točka

Unified CM

Veće od 1023. godine

6971

Preuzimanje konfiguracije i slika na krajnje točke

HTTPS

TCP

Krajnja točka

Unified CM

Veće od 1023. godine

6972

Preuzimanje konfiguracije i slika na krajnje točke

HTTP

TCP

Jabber klijent

CUCxn

Veće od 1023. godine

7080

Obavijesti govorne pošte

HTTPS

TCP

Jabber klijent

CUCxn

Veće od 1023. godine

7443

Sigurne obavijesti govorne pošte

HTTPS

TCP

Unified CM

Unified CM

Veće od 1023. godine

7501

Koristi ih Intercluster Searchup Service (ILS) za provjeru autentičnosti utemeljenu na certifikatu

HTTPS

TCP

Unified CM

Unified CM

Veće od 1023. godine

7502

ILS ga koristi za provjeru autentičnosti utemeljenu na lozinki

IMAP

TCP

Jabber klijent

CUCxn

Veće od 1023. godine

7993

IMAP preko TLS-a

HTTPS

TCP

Preglednik, Krajnja točka

UC aplikacije

Veće od 1023. godine

8443

Internetski pristup za brigu o sebi i administrativna sučelja, UDS

HTTPS

TCP

Prem

Unified CM

Veće od 1023. godine

9443

Pretraživanje kontakata čija je autentičnost provjerena

Siguran RTP/SRTP

UDP

Unified CM

Telefon

16384 do 32767 *

16384 do 32767 *

Mediji (audio) - Glazba na čekanju, Annunciator, Most softverske konferencije (Otvoreno na temelju signalizacije poziva)

Siguran RTP/SRTP

UDP

Telefon

Unified CM

16384 do 32767 *

16384 do 32767 *

Mediji (audio) - Glazba na čekanju, Annunciator, Most softverske konferencije (Otvoreno na temelju signalizacije poziva)

ICMP

ICMP

Krajnja točka

UC aplikacije

n.d.

n.d.

Ping

ICMP

ICMP

UC aplikacije

Krajnja točka

n.d.

n.d.

Ping

* Određeni posebni slučajevi mogu koristiti veći raspon.

Namjenska instanca – OTT priključci

Sljedeći popis priključaka mogu koristiti korisnici i partneri za postavljanje mobilnog i daljinskog pristupa (MRA):

Tablica 3. Popis priključaka za OTT

Protokol

TCP/UCP

Izvor

Odredište

Izvorni priključak

Odredišni priključak

Svrha

SIGURAN SIP

TCP

Krajnja točka

Brza cesta E

Veće od 1023. godine

5061

Sigurna SIP signalizacija za registraciju i pozive MRA-a

SIGURAN SIP

TCP

Krajnja točka/poslužitelj

Brza cesta E

Veće od 1023. godine

5062

Siguran SIP za B2B pozive

SIGURAN RTP/RTCP

UDP

Krajnja točka/poslužitelj

Brza cesta E

Veće od 1023. godine

36000-59999

Sigurni mediji za MRA i B2B pozive

HTTPS (SIGURNO)

TLS

Klijent

Brza cesta E

Veće od 1023. godine

8443

CUCM UDS i CUCxn REST za MRA pozive

XMLS

TLS

Klijent

Brza cesta E

Veće od 1023. godine

5222

Izravne poruke i prisutnost

SKRENUTI

UDP

ICE klijent

Brza cesta E

Veće od 1023. godine

3478

Pregovori ICE/STUN/TURN

SIGURAN RTP/RTCP

UPD

ICE klijent

Brza cesta E

Veće od 1023. godine

24000-29999

TURN media za ice rezervni dio

Namjenska instanca – UCCX priključci

Sljedeći popis priključaka kupci i partneri mogu koristiti za konfiguriranje UCCX-a.

Stol 4. Cisco UCCX priključci

Protokol

TCP / UCP

Izvor

Odredište

Izvorni priključak

Odredišni priključak

Svrha

SSH

TCP

Klijent

UCCX

Veće od 1023. godine

22

SFTP i SSH

Informix

TCP

Klijent ili poslužitelj

UCCX

Veće od 1023. godine

1504

Jedinstveni priključak baze podataka CCX-a

SIP

UDP i TCP

SIP GW ili MCRP poslužitelj

UCCX

Veće od 1023. godine

5065

Komunikacija s udaljenim GW i MCRP čvorovima

XMPP

TCP

Klijent

UCCX

Veće od 1023. godine

5223

Sigurna XMPP veza između Finesse poslužitelja i prilagođenih aplikacija trećih strana

KVB

TCP

Klijent

UCCX

Veće od 1023. godine

6999

Uređivač u CCX aplikacije

HTTPS

TCP

Klijent

UCCX

Veće od 1023. godine

7443

Sigurna BOSH veza između Finesse poslužitelja i agenta i nadzornih radnih površina za komunikaciju putem HTTPS-a

HTTP

TCP

Klijent

UCCX

Veće od 1023. godine

8080

Klijenti za izvješćivanje o podacima uživo povezuju se s utičnicom. IO poslužitelj

HTTP

TCP

Klijent

UCCX

Veće od 1023. godine

8081

Klijentski preglednik koji pokušava pristupiti web-sučelju Cisco Jedinstvenog obavještajnog centra

HTTP

TCP

Klijent

UCCX

Veće od 1023. godine

8443

Admin GUI, RTMT, DB pristup putem SOAP-a

HTTPS

TCP

Klijent

UCCX

Veće od 1023. godine

8444

Cisco jedinstveno obavještajno sučelje

HTTPS

TCP

Klijenti preglednika i REST-a

UCCX

Veće od 1023. godine

8445

Siguran priključak za Finesse

HTTPS

TCP

Klijent

UCCX

Veće od 1023. godine

8447

HTTPS – mrežna pomoć jedinstvenog obavještajnog centra

HTTPS

TCP

Klijent

UCCX

Veće od 1023. godine

8553

Komponente jedinstvene prijave (SSO) pristupaju ovom sučelju kako bi znale radni status Cisco IdS-a.

HTTP

TCP

Klijent

UCCX

Veće od 1023. godine

9080

Klijenti koji pokušavaju pristupiti HTTP okidačima ili dokumentima / upitima / gramatici / podacima uživo.

HTTPS

TCP

Klijent

UCCX

Veće od 1023. godine

9443

Siguran priključak koji se koristi za odgovaranje klijentima koji pokušavaju pristupiti HTTPS okidačima

TCP

TCP

Klijent

UCCX

Veće od 1023. godine

12014

Ovo je priključak u kojem se klijenti za izvješćivanje o podacima uživo mogu povezati s utičnicom. IO poslužitelj

TCP

TCP

Klijent

UCCX

Veće od 1023. godine

12015

Ovo je priključak u kojem se klijenti za izvješćivanje o podacima uživo mogu povezati s utičnicom. IO poslužitelj

CTI

TCP

Klijent

UCCX

Veće od 1023. godine

12028

CTI klijent treće strane u CCX

RTP(Mediji)

TCP

Krajnja točka

UCCX

Veće od 1023. godine

Veće od 1023. godine

Medijski priključak otvara se dinamički po potrebi

RTP(Mediji)

TCP

Klijent

Krajnja točka

Veće od 1023. godine

Veće od 1023. godine

Medijski priključak otvara se dinamički po potrebi

Sigurnost klijenta

Osiguravanje Jabbera i Webexa sa SIP OAuthom

Klijenti Jabbera i Webexa autentificiraju se putem OAuth tokena umjesto lokalno značajnog certifikata (LSC), za što nije potrebno omogućiti proxy funkciju ustanove za izdavanje certifikata (CAPF) (i za MRA). SIP OAuth koji radi sa ili bez mješovitog načina rada uveden je u Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.

U Cisco Unified CM 12.5 imamo novu opciju u Profilu telefonske sigurnosti koja omogućuje šifriranje bez LSC/CAPF-a, koristeći jedan Transport Layer Security (TLS) + OAuth token u SIP REGISTER-u. Čvorovi brze ceste-C koriste API administrativne XML web usluge (AXL) kako bi obavijestili Cisco Unified CM o SN/SAN-u u svom certifikatu. Cisco Unified CM koristi ove podatke za provjeru Exp-C certifikata prilikom uspostavljanja uzajamne TLS veze.

SIP OAuth omogućuje šifriranje medija i signalizacije bez certifikata krajnje točke (LSC).

Cisco Jabber koristi efemerne priključke i sigurne priključke 6971 i 6972 priključke putem HTTPS veze s TFTP poslužiteljem za preuzimanje konfiguracijskih datoteka. Port 6970 je nesiguran priključak za preuzimanje putem HTTP-a.

Više detalja o konfiguraciji SIP OAuth: SIP OAuth način rada.

DNS preduvjeti

Za namjensku instancu Cisco pruža FQDN za uslugu u svakoj regiji sa sljedećim formatom <customer>.<region>. wxc-di.webex.com, na primjer, xyz.amer.wxc-di.webex.com.

Vrijednost "kupca" daje administrator kao dio čarobnjaka za prvi put postavljanje (FTSW). Dodatne informacije potražite u odjeljku Aktivacija namjenskog servisa instance.

DNS zapisi za ovaj FQDN moraju se moći riješiti s internog DNS poslužitelja klijenta kako bi se podržali lokalni uređaji koji se povezuju s namjenskom instancom. Da bi olakšao rješavanje, korisnik mora konfigurirati uvjetni prosljeđivač, za ovaj FQDN, na svom DNS poslužitelju koji pokazuje na DNS uslugu namjenske instance. DNS usluga namjenske instance regionalna je i može se kontaktirati putem peering to Dedicated Instance pomoću sljedećih IP adresa kao što je spomenuto u donjoj tablici IP adresaDNS usluge namjenske instance.

Stol 5. IP adresa DNS servisa namjenske instance

Regija/DC

IP adresa DNS servisa namjenske instance

Primjer uvjetnog prosljeđivanja

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

GRIJEH

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


Mogućnost pinga onemogućena je za gore navedene IP adrese DNS poslužitelja iz sigurnosnih razloga.

Dok se ne uspostavi uvjetno prosljeđivanje, uređaji se neće moći registrirati na namjensku instancu s interne mreže korisnika putem ravnopravnih veza. Uvjetno prosljeđivanje nije potrebno za registraciju putem mobilnog i daljinskog pristupa (MRA), jer će Cisco unaprijed dodijeliti sve potrebne vanjske DNS zapise za olakšavanje MRA-e.

Kada koristite aplikaciju Webex kao mekani klijent za pozivanje na namjenskoj instanci, profil upravitelja UC-a mora biti konfiguriran u kontrolnom središtu za domenu glasovne usluge (VSD) svake regije. Za više informacija pogledajte profile upravitelja UC-a u Cisco Webex Control Hubu. Aplikacija Webex moći će automatski riješiti korisnikov Expressway Edge bez intervencije krajnjeg korisnika.


Domena glasovne usluge bit će pružena korisniku kao dio dokumenta o pristupu partneru nakon dovršetka aktivacije usluge.