A dedikált példányra vonatkozó hálózati követelmények

A Webex Calling dedikált példánya a Cisco Unified Communications Manager (Cisco Unified CM) együttműködési technológia által működtetett Cisco Cloud Calling portfólió része. A Dedikált példány hang-, videó-, üzenetküldési és mobilitási megoldásokat kínál a Cisco IP telefonok, mobileszközök és asztali ügyfelek funkcióival és előnyeivel, amelyek biztonságosan kapcsolódnak a Dedikált példányhoz.

Ez a cikk azoknak a hálózati rendszergazdáknak szól, különösen a tűzfal és a proxy biztonsági rendszergazdáknak, akik Dedikált példányt kívánnak használni a szervezetükön belül. Ez a dokumentum elsősorban a dedikált példánymegoldás hálózati követelményeire és biztonságára összpontosít, beleértve a biztonságos fizikai hozzáférést, biztonságos hálózatot, biztonságos végpontokat és biztonságos Cisco UC alkalmazásokat biztosító funkciók és funkcionalitás rétegezett megközelítését.

Biztonsági áttekintés: Biztonság rétegekben

A dedikált példány réteges megközelítést használ a biztonság érdekében. A rétegek a következők:

  • Fizikai hozzáférés

  • Hálózat

  • Végpontok

  • UC-alkalmazások

A következő szakaszok leírják a biztonsági szinteket a célzott bevetésekben.

Fizikai biztonság

Fontos, hogy az Equinix Meet-Me Room helyszínei és a Cisco Dedikált Példány Adatközpont létesítményei fizikai biztonságot kapjanak. Ha a fizikai biztonság veszélybe kerül, egyszerű támadások indíthatók, mint például a szolgáltatás megszakadása az ügyfél kapcsolóinak kikapcsolásával. A fizikai hozzáféréssel a támadók hozzáférhetnek a szervereszközökhöz, visszaállíthatják a jelszavakat, és hozzáférhetnek a kapcsolókhoz. A fizikai hozzáférés a kifinomultabb támadásokat is megkönnyíti, mint például az ember a középsőben támadásokat, ezért kritikus a második biztonsági réteg, a hálózati biztonság.

Az UC-alkalmazásokat tároló célzott példányadatközpontokban önkódoló meghajtókat használnak.

Az általános biztonsági gyakorlatokkal kapcsolatos további információkért tekintse meg a dokumentációt a következő címen: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Hálózati biztonság

A partnereknek biztosítaniuk kell, hogy minden hálózati elem biztosított legyen a dedikált példány infrastruktúrában (amely az Equinixen keresztül kapcsolódik). A partner felelőssége, hogy biztosítsa a biztonsági legjobb gyakorlatokat, mint például:

  • Külön VLAN a hang- és adatátvitelhez

  • Portbiztonság engedélyezése, amely korlátozza az egy portra engedélyezett MAC-CÍMEK számát a KAMERAASZTAL elárasztása ellen

  • IP-forrásvédelem a hamisított IP-címek ellen

  • A Dynamic ARP Inspection (DAI) megvizsgálja a címfeloldási protokollt (ARP) és az indokolatlan ARP-t (GARP) a szabálysértések tekintetében (az ARP-hamisítás ellen)

  • 802.1x korlátozza a hálózati hozzáférést a hozzárendelt VLAN eszközök hitelesítéséhez (a telefonok támogatják a 802-t.1x)

  • A szolgáltatás minőségének konfigurálása (QoS) a hangcsomagok megfelelő jelöléséhez

  • Tűzfalport-konfigurációk az egyéb forgalom blokkolására

Végpontok biztonsága

A Cisco végpontok támogatják az alapértelmezett biztonsági funkciókat, mint például az aláírt firmware, a biztonságos rendszerindítás (kiválasztott modellek), a gyártó által telepített tanúsítvány (MIC) és az aláírt konfigurációs fájlok, amelyek bizonyos szintű biztonságot nyújtanak a végpontoknak.

Emellett a partner vagy az ügyfél további biztonságot is engedélyezhet, mint például:

  • IP-telefonszolgáltatások titkosítása (HTTPS-en keresztül) olyan szolgáltatásokhoz, mint például a Bővített mobilitás

  • Helyi szinten jelentős tanúsítványok (LSC-k) kiadása a hitelesítésszolgáltatói helyettesítési funkció (CAPF) vagy egy közhitelesítésszolgáltató (CA) részéről

  • Konfigurációs fájlok titkosítása

  • Adathordozó és jel titkosítása

  • Tiltsa le ezeket a beállításokat, ha nincsenek használatban: PC-port, PC Voice VLAN Access, ingyenes ARP, Web Access, Beállítások gomb, SSH, konzol

A dedikált példány biztonsági mechanizmusainak bevezetése megakadályozza a telefonok és az Egységesített CM szerver személyazonosság-lopását, az adatok manipulálását és a hívójel / médiafolyam manipulálását.

Dedikált példány a hálózaton keresztül:

  • Hitelesített kommunikációs adatfolyamokat hoz létre és tart fenn

  • A fájl átvitele előtt digitálisan aláírja a fájlokat a telefonra

  • Titkosítja a médiafolyamokat és a hívásjelzést a Cisco egyesített IP telefonok között

Alapértelmezett biztonsági beállítás

A biztonság alapértelmezés szerint a következő automatikus biztonsági funkciókat biztosítja a Cisco egyesített IP telefonokhoz:

  • A telefon konfigurációs fájljainak aláírása

  • Telefonkonfigurációs fájl titkosításának támogatása

  • Https Tomcat-tel és más webes szolgáltatásokkal (MIDlets)

Az Egységesített CM 8.0 kiadás esetében ezek a biztonsági funkciók alapértelmezés szerint a megbízható tanúsítványok listája (CTL) kliens futtatása nélkül érhetők el.

Megbízhatóság-ellenőrző szolgáltatás

Mivel a hálózatban nagyszámú telefon található, és az IP-telefonok memóriája korlátozott, a Cisco Unified CM a Trust Verification Service (TV-K) szolgáltatáson keresztül távoli megbízható áruházként működik, így a megbízható tanúsítványtárolót nem kell minden egyes telefonra elhelyezni. A Cisco IP telefonok CTL vagy ITL fájlokon keresztül nem tudnak aláírást vagy tanúsítványt ellenőrizni, ezért ellenőrzés céljából kapcsolatba lépnek a TV-kiszolgálóval. A központi vagyonkezelői boltot könnyebb kezelni, mint az egyes Cisco Unified IP-telefonok vagyonkezelői boltjait.

A TV-K lehetővé teszik a Cisco egyesített IP-telefonok számára az alkalmazásszerverek, például az EM-szolgáltatások, a címtár és a MIDlet hitelesítését a https létrehozása során.

Kezdeti megbízhatósági lista

A kezdeti biztonsághoz a kezdeti megbízhatósági lista (ITL) fájl használatos, így a végpontok megbízhatnak a Cisco Unified CM-ben. Az ITL-nek nincs szüksége semmilyen biztonsági funkcióra ahhoz, hogy kifejezetten engedélyezve legyen. Az ITL-fájl automatikusan létrejön a fürt telepítésekor. Az Egységesített CM Triviális Fájlátviteli Protokoll (TFTP) szerver privát kulcsa az ITL fájl aláírására szolgál.

Amikor a Cisco Unified CM fürt vagy szerver nem biztonságos módban van, az ITL fájl letöltődik minden támogatott Cisco IP telefonra. Egy partner megtekintheti egy ITL fájl tartalmát a CLI paranccsal, admin:show itl.

A Cisco IP telefonoknak ITL fájlra van szükségük a következő feladatok elvégzéséhez:

  • Biztonságos kommunikáció a CAPF-fel, ami a konfigurációs fájl titkosításának támogatásának előfeltétele

  • Konfigurációs fájl aláírásának hitelesítése

  • Alkalmazáskiszolgálók, például EM-szolgáltatások, címtár és MIDlet hitelesítése a HTTPS TV-készülékkel történő létrehozása során

Cisco CTL

Az eszköz, a fájl és a szignálhitelesítés a megbízható tanúsítványok listájának (CTL) létrehozására támaszkodik, amely akkor jön létre, amikor a partner vagy az ügyfél telepíti és konfigurálja a Cisco megbízható tanúsítványok listájának kliensét.

A CTL-fájl a következő szerverek vagy biztonsági tokenek bejegyzéseit tartalmazza:

  • Rendszergazda biztonsági token (SAST)

  • Cisco CallManager és Cisco TFTP szolgáltatások, amelyek ugyanazon a kiszolgálón futnak

  • Tanúsítványkiadói proxyfüggvény (CAPF)

  • TFTP-kiszolgáló (k)

  • ASA tűzfal

A CTL-fájl minden szerverhez tartalmaz egy szervertanúsítványt, egy nyilvános kulcsot, egy sorozatszámot, egy aláírást, egy kibocsátónevet, egy alanynevet, egy szerverfunkciót, egy DNS-nevet és egy IP-címet.

A CTL-lel ellátott telefonbiztonság a következő funkciókat kínálja:

  • TFTP letöltött fájlok (konfiguráció, területi beállítás, csengetési lista stb.) hitelesítése aláírási kulccsal

  • TFTP konfigurációs fájlok titkosítása aláírási kulccsal

  • Titkosított hívásjelzés IP-telefonokhoz

  • Titkosított híváshang (média) IP-telefonokhoz

Cisco IP-telefonok biztonsága dedikált esetben

A dedikált példány végpontregisztrációt és hívásfeldolgozást biztosít. A Cisco Unified CM és a végpontok közötti jelátvitel alapja a Secure Skinny Client Control Protocol (SCCP) vagy Session Initiation Protocol (SIP), és a Transport Layer Security (TLS) segítségével titkosítható. Az adathordozó a végpontoktól/végpontokig valós idejű átviteli protokollon (RTP) alapul, és a Secure RTP (SRTP) használatával is titkosítható.

A vegyes mód engedélyezése az Unified CM-en lehetővé teszi a Cisco végpontjairól érkező és oda érkező jelzések és médiaforgalom titkosítását.

Biztonságos UC alkalmazások

Vegyes mód engedélyezése dedikált esetben

A vegyes mód alapértelmezés szerint nincs engedélyezve a dedikált példányban.

A vegyes mód engedélyezése dedikált példányban lehetővé teszi a Cisco végpontjairól érkező és oda érkező jelzések és médiaforgalom titkosítását.

A Cisco Unified CM 12.5(1) kiadásában a Jabber és a Webex kliensek számára egy új opciót adtunk hozzá, amely lehetővé teszi a SIP OAuth alapú jelzések és adathordozók titkosítását a vegyes mód / CTL helyett. Ezért az Unified CM 12.5(1) kiadásban a SIP OAuth és SRTP használható a Jabber vagy Webex kliensek jel- és adathordozóinak titkosítására. A vegyes mód engedélyezése továbbra is szükséges a Cisco IP telefonok és más Cisco végpontok esetében. Van egy terv a SIP OAuth támogatására 7800/8800 végponton egy későbbi kiadásban.

Hangüzenet-biztonság

A Cisco Unity Connection a TLS porton keresztül csatlakozik az Unified CM-hez. Ha az eszköz biztonsági üzemmódja nem biztonságos, a Cisco Unity Connection az SCCP-porton keresztül csatlakozik az Unified CM-hez.

Az egységesített CM-hangüzenetportok és az SCCP-t futtató Cisco Unity eszközök, illetve az SCCP-t futtató Cisco Unity Connection eszközök biztonságának konfigurálásához a partner választhat egy biztonságos eszközbiztonsági módot a porthoz. Ha hitelesített hangposta-portot választ, megnyílik egy TLS-kapcsolat, amely kölcsönös tanúsítványcserével hitelesíti az eszközöket (mindegyik eszköz elfogadja a másik eszköz tanúsítványát). Ha titkosított hangposta-portot választunk, a rendszer először hitelesíti az eszközöket, majd titkosított hangfolyamokat küld az eszközök között.

A biztonsági hangüzenet-portokkal kapcsolatos további információkért lásd: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Biztonság az SRST, Trunks, Gateways, CUBE/SBC számára

A Cisco Unified Survivable Remote Site Telephony (SRST) -engedélyezett átjáró korlátozott hívásfeldolgozási feladatokat biztosít, ha a Cisco Unified CM dedikált példányon nem tudja teljesíteni a hívást.

A biztonságos SRST-kompatibilis átjárók saját aláírású tanúsítványt tartalmaznak. Miután egy partner SRST konfigurációs feladatokat végez az Egységes CM Adminisztrációban, az Egységes CM TLS kapcsolatot használ a Tanúsítványszolgáltató szolgáltatással való hitelesítésre az SRST-kompatibilis átjárónál. Az Egységesített CM ezután letölti a tanúsítványt az SRST-kompatibilis átjáróról, és hozzáadja a tanúsítványt az Egységes CM adatbázishoz.

Miután a partner visszaállítja a függő eszközöket az Egységes CM Adminisztrációban, a TFTP szerver hozzáadja az SRST-kompatibilis átjáró tanúsítványt a telefon cnf.xml fájljához, és elküldi a fájlt a telefonra. A biztonságos telefon ezután TLS-kapcsolatot használ az SRST-kompatibilis átjáró használatához.

Ajánlott, hogy a Cisco Unified CM-től a kimenő PSTN hívások vagy a Cisco Unified Border Element (CUBE) áthaladó átjárójáig tartó híváshoz biztonságos rönkök álljanak rendelkezésre.

Az SIP törzsek támogatják a biztonságos hívásokat mind a jel-, mind az adathordozók számára; a TLS biztosítja a jelzéstitkosítást, az SRTP pedig a média titkosítását.

A Cisco Unified CM és a CUBE közötti kommunikáció biztosítása

A Cisco Unified CM és a CUBE közötti biztonságos kommunikációhoz A partnereknek/ügyfeleknek saját aláírású vagy CA aláírású tanúsítványokat kell használniuk.

Saját kezűleg aláírt bizonyítványok esetében:

  1. A CUBE és a Cisco Unified CM saját aláírású tanúsítványokat generál

  2. CUBE export tanúsítvány Cisco Unified CM

  3. Cisco Unified CM export tanúsítvány A CUBE-BA

Hitelesítésszolgáltató által aláírt tanúsítványok esetében:

  1. Az ügyfél kulcspárt hoz létre, és tanúsítványaláírási kérelmet (CSR) küld a hitelesítésszolgáltatónak (CA)

  2. A CA aláírja a privát kulcsával, és létrehoz egy személyazonosító bizonyítványt

  3. Az ügyfél telepíti a megbízható CA-gyökér- és közvetítői tanúsítványok listáját és a személyazonosító bizonyítványt

Távoli végpontok biztonsága

A mobil és távelérési (Mobile and Remote Access, MRA) végpontok esetében a jel- és adathordozók mindig titkosítva vannak az MRA végpontok és az autópálya csomópontok között. Ha az MRA végpontokhoz az Interaktív Kapcsolattartó Létesítmény (ICE) protokollt használják, akkor az MRA végpontok jelzése és média titkosítása szükséges. Az Expressway-C és a belső Unified CM szerverek, belső végpontok vagy más belső eszközök közötti jelzések és adathordozók titkosítása azonban vegyes üzemmódot vagy SIP OAuth-ot igényel.

A Cisco Expressway biztonságos tűzfalas átjárást és vonaloldali támogatást biztosít az Egységesített CM regisztrációhoz. Az Egységes CM mind mobil, mind helyszíni végpontok számára biztosítja a hívásvezérlést. A jelátvitel a távoli végpont és az egységesített CM közötti gyorsforgalmi úton halad át. A média áthalad az autópálya megoldáson, és közvetlenül a végpontok között továbbítódik. Minden adathordozó titkosítva van az Expressway-C és a mobil végpont között.

Minden MRA megoldáshoz expressz és egységes CM szükséges, MRA-kompatibilis puha kliensekkel és/vagy fix végpontokkal. A megoldás opcionálisan magában foglalhatja az IM-et, a jelenlét-szolgáltatást és az egységkapcsolatot.

Protokoll összefoglaló

Az alábbi táblázat az Egységes CM megoldásban használt protokollokat és kapcsolódó szolgáltatásokat mutatja be.

1. táblázat. Protokollok és kapcsolódó szolgáltatások

Protokoll

Biztonság

Szolgáltatás

SIP

TLS

Munkamenet létrehozása: Regisztrálás, meghívás stb.

HTTPS

TLS

Bejelentkezés, Ellátás/Konfigurálás, Címtár, Vizuális hangposta

Média

SRTP

Média: Hang-, videó- és tartalommegosztás

XMPP

TLS

Azonnali üzenetküldés, jelenlét, Föderáció

Az MRA-konfigurációval kapcsolatos további információkért lásd: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Konfigurációs beállítások

A dedikált példány rugalmasságot biztosít a Partnernek a szolgáltatások végső felhasználók számára történő testreszabásához a két napi konfiguráció teljes ellenőrzésével. Ennek eredményeként a Partner kizárólagos felelősséggel tartozik a Dedikált Példány szolgáltatás megfelelő konfigurálásáért a végfelhasználó környezete számára. Ide tartoznak többek között a következők:

  • Biztonságos/nem biztonságos hívások, biztonságos/nem biztonságos protokollok, például SIP/sSIP, http/https stb. kiválasztása és a kapcsolódó kockázatok megértése.

  • A dedikált példányban biztonságos SIP-ként nem konfigurált MAC címek esetén a támadó SIP-regisztrációs üzenetet küldhet az adott MAC-cím használatával, és SIP-hívásokat kezdeményezhet, ami autópályadíj-csalást eredményez. A feltétel az, hogy a támadó engedély nélkül regisztrálhatja SIP eszközét/szoftverét a dedikált példányban, ha tudja a dedikált példányban regisztrált eszköz MAC-címét.

  • Az autópálya-E hívásokra vonatkozó szabályzatokat, az átalakításra és a keresésre vonatkozó szabályokat úgy kell kialakítani, hogy megakadályozzák az autópályadíj-csalást. Az autópálya használatával elkövetett autópálya-csalások megelőzésével kapcsolatos további információkért tekintse meg az SRND Együttműködés rész C és E gyorsforgalmi út biztonság című szakaszát.

  • Tárcsázási terv konfigurálása annak biztosítására, hogy a felhasználók csak a megengedett célhelyeket tárcsázhassák, pl. tiltsa meg a belföldi/nemzetközi tárcsázást, a segélyhívásokat megfelelően irányítsa át stb. A korlátok tárcsázási terv segítségével történő alkalmazásával kapcsolatos további információkért lásd az Együttműködés SRND dial plan (Tárcsázási terv) című részét.

Tanúsítványkövetelmények biztonságos kapcsolatokhoz dedikált esetben

Dedikált példány esetén a Cisco biztosítja a domaint és aláírja az UC Alkalmazások összes tanúsítványát egy nyilvános hitelesítésszolgáltató (CA) segítségével.

Dedikált példány – portszámok és protokollok

Az alábbi táblázatok a dedikált példányban támogatott portokat és protokollokat ismertetik. Az adott ügyfél számára használt portok az ügyfél telepítési módjától és megoldásától függenek. A protokollok az ügyfél preferenciájától (SCCP kontra SIP), a meglévő helyszíni eszközöktől és attól függenek, hogy milyen szintű biztonságot kell biztosítani annak meghatározásához, hogy mely portokat kell használni az egyes telepítések során.

Dedikált eset – Ügyfélportok

Az ügyfelek számára rendelkezésre álló portokat - az Ügyfél telephelye és a Dedikált példány között - az 1. táblázat mutatja. Az alább felsorolt összes port a peering linkeken áthaladó ügyfélforgalom számára van fenntartva.


Az SNMP-port csak CER-funkciókhoz támogatott, más harmadik fél felügyeleti eszközéhez nem.


Az 5063 és 5080 közötti portokat a Cisco más felhőintegrációk számára tartja fenn, a partner vagy az ügyfél rendszergazdák számára ajánlott, hogy ne használják ezeket a portokat konfigurációjukban.

2. táblázat. Dedikált ügyfélportok

Protokoll

TCP/UCP

Forrás

Cél

Forrásport

Célport

Cél

SSH

TCP

Kliens

UC-alkalmazások

1023-nál nagyobb

22

Adminisztráció

LDAP

TCP

UC-alkalmazások

Külső könyvtár

1023-nál nagyobb

389

Címtár-szinkronizálás az ügyfél LDAP-jával

HTTPS

TCP

Böngésző

UC-alkalmazások

1023-nál nagyobb

443

Webhozzáférés az önellátó és adminisztratív felületekhez

LDAP (BIZTONSÁGOS)

TCP

UC-alkalmazások

Külső könyvtár

1023-nál nagyobb

636

Címtár-szinkronizálás az ügyfél LDAP-jával

SCCP

TCP

Végpont

Egységes főminiszter, CUCxn

1023-nál nagyobb

2000

Hívásjelzés

SCCP

TCP

Unified CM

Egységes főminiszter, átjáró

1023-nál nagyobb

2000

Hívásjelzés

SCCP (BIZTONSÁGOS)

TCP

Végpont

Egységes főminiszter, CUCxn

1023-nál nagyobb

2443

Hívásjelzés

SCCP (BIZTONSÁGOS)

TCP

Unified CM

Egységes főminiszter, átjáró

1023-nál nagyobb

2443

Hívásjelzés

Megbízhatóság ellenőrzése

TCP

Végpont

Unified CM

1023-nál nagyobb

2445

Megbízhatóság-ellenőrző szolgáltatás nyújtása a végpontokhoz

CTI

TCP

Végpont

Unified CM

1023-nál nagyobb

2748

A CTI-alkalmazások (JTAPI/TSP) és a CTIManager közötti kapcsolat

Biztonságos CTI

TCP

Végpont

Unified CM

1023-nál nagyobb

2749

Biztonságos kapcsolat a CTI alkalmazások (JTAPI/TSP) és a CTIManager között

LDAP globális katalógus

TCP

UC-alkalmazások

Külső könyvtár

1023-nál nagyobb

3268

Címtár-szinkronizálás az ügyfél LDAP-jával

LDAP globális katalógus

TCP

UC-alkalmazások

Külső könyvtár

1023-nál nagyobb

3269

Címtár-szinkronizálás az ügyfél LDAP-jával

CAPF szolgáltatás

TCP

Végpont

Unified CM

1023-nál nagyobb

3804

Tanúsítványkiadói proxyfunkció (CAPF) figyelőport helyileg jelentős tanúsítványok (LSC) IP-telefonokra történő kiadásához

SIP

TCP

Végpont

Egységes főminiszter, CUCxn

1023-nál nagyobb

5060

Hívásjelzés

SIP

TCP

Unified CM

Egységes főminiszter, átjáró

1023-nál nagyobb

5060

Hívásjelzés

SIP (BIZTONSÁGOS)

TCP

Végpont

Unified CM

1023-nál nagyobb

5061

Hívásjelzés

SIP (BIZTONSÁGOS)

TCP

Unified CM

Egységes főminiszter, átjáró

1023-nál nagyobb

5061

Hívásjelzés

SIP (OAUTH)

TCP

Végpont

Unified CM

1023-nál nagyobb

5090

Hívásjelzés

XMPP

TCP

Jabber kliens

Cisco IM&P

1023-nál nagyobb

5222

Azonnali üzenetküldés és -jelenlét

HTTP

TCP

Végpont

Unified CM

1023-nál nagyobb

6970

Konfiguráció és képek letöltése végpontokba

HTTPS

TCP

Végpont

Unified CM

1023-nál nagyobb

6971

Konfiguráció és képek letöltése végpontokba

HTTPS

TCP

Végpont

Unified CM

1023-nál nagyobb

6972

Konfiguráció és képek letöltése végpontokba

HTTP

TCP

Jabber kliens

CUCxn

1023-nál nagyobb

7080

Hangposta-értesítések

HTTPS

TCP

Jabber kliens

CUCxn

1023-nál nagyobb

7443

Biztonságos hangposta-értesítések

HTTPS

TCP

Unified CM

Unified CM

1023-nál nagyobb

7501

Az Intercluster Lookup Service (ILS) által használt tanúsítványalapú hitelesítés

HTTPS

TCP

Unified CM

Unified CM

1023-nál nagyobb

7502

Az ILS jelszóalapú hitelesítésre használja

IMAP

TCP

Jabber kliens

CUCxn

1023-nál nagyobb

7993

IMAP TLS felett

HTTPS

TCP

Böngésző, végpont

UC-alkalmazások

1023-nál nagyobb

8443

Webhozzáférés az önellátó és adminisztratív felületekhez, UDS

HTTPS

TCP

Prem

Unified CM

1023-nál nagyobb

9443

Hitelesített névjegykeresés

Biztonságos RTP/SRTP

UDP

Unified CM

Telefon

16384-32767 *

16384-32767 *

Média (audio) - Music On Hold, Annunciator, Software Conference Bridge (hívásjelzés alapján nyitott)

Biztonságos RTP/SRTP

UDP

Telefon

Unified CM

16384-32767 *

16384-32767 *

Média (audio) - Music On Hold, Annunciator, Software Conference Bridge (hívásjelzés alapján nyitott)

ICMP

ICMP

Végpont

UC-alkalmazások

nincs adat

nincs adat

Pingelés

ICMP

ICMP

UC-alkalmazások

Végpont

nincs adat

nincs adat

Pingelés

* Bizonyos különleges esetekben használhat egy nagyobb tartományban.

Dedikált példány – OTT portok

A következő portok listáját használhatják az ügyfelek és a partnerek a mobil és távelérési (MRA) beállításhoz:

3. táblázat. Az OTT portjainak listája

Protokoll

TCP/UCP

Forrás

Cél

Forrásport

Célport

Cél

BIZTONSÁGOS SIP

TCP

Végpont

E gyorsforgalmi út

1023-nál nagyobb

5061

Biztonságos SIP-jelzés az MRA-regisztrációhoz és -hívásokhoz

BIZTONSÁGOS SIP

TCP

Végpont/kiszolgáló

E gyorsforgalmi út

1023-nál nagyobb

5062

Biztonságos SIP a B2B hívásokhoz

BIZTONSÁGOS RTP/RTCP

UDP

Végpont/kiszolgáló

E gyorsforgalmi út

1023-nál nagyobb

36000-59999

Biztonságos adathordozó MRA- és B2B-hívásokhoz

HTTPS (BIZTONSÁGOS)

TLS

Kliens

E gyorsforgalmi út

1023-nál nagyobb

8443

CUCM UDS és CUCXN REST MRA hívásokhoz

XML-EK

TLS

Kliens

E gyorsforgalmi út

1023-nál nagyobb

5222

IM és jelenlét

FORDULJ MEG!

UDP

Jégkliens

E gyorsforgalmi út

1023-nál nagyobb

3478

JÉG/KÁBÍTÁS/FORDULÁSI TÁRGYALÁS

BIZTONSÁGOS RTP/RTCP

UPD

Jégkliens

E gyorsforgalmi út

1023-nál nagyobb

24000-29999

FORDÍTSA EL a médiát a JÉG VISSZAESÉSÉHEZ

Dedikált példány – UCCX-portok

A következő portok listáját az ügyfelek és a partnerek használhatják az UCCX konfigurálásához.

4 táblázat. Cisco UCCX portok

Protokoll

TCP / UCP

Forrás

Cél

Forrásport

Célport

Cél

SSH

TCP

Kliens

UCCX

1023-nál nagyobb

22

SFTP és SSH

Informix

TCP

Ügyfél vagy kiszolgáló

UCCX

1023-nál nagyobb

1504

Egységes CCX-adatbázisport

SIP

UDP és TCP

SIP GW vagy MCRP szerver

UCCX

1023-nál nagyobb

5065

Kommunikáció távoli GW és MCRP csomópontokkal

XMPP

TCP

Kliens

UCCX

1023-nál nagyobb

5223

Biztonságos XMPP kapcsolat a Finesse szerver és az egyéni harmadik féltől származó alkalmazások között

CVD

TCP

Kliens

UCCX

1023-nál nagyobb

6999

CCX-alkalmazások szerkesztője

HTTPS

TCP

Kliens

UCCX

1023-nál nagyobb

7443

Biztonságos BOSH kapcsolat a Finesse szerver és az ügynöki és felügyelői asztalok között a HTTPS-en keresztüli kommunikációhoz

HTTP

TCP

Kliens

UCCX

1023-nál nagyobb

8080

Az élőadat-jelentő kliensek kapcsolódnak a socket.IO szerverhez

HTTP

TCP

Kliens

UCCX

1023-nál nagyobb

8081

Az ügyfélböngésző megpróbál hozzáférni a Cisco Egyesített Hírszerző Központ webes felületéhez

HTTP

TCP

Kliens

UCCX

1023-nál nagyobb

8443

Admin GUI, RTMT, DB hozzáférés SZAPPANNAL

HTTPS

TCP

Kliens

UCCX

1023-nál nagyobb

8444

Cisco Egyesített Hírszerző Központ webes felület

HTTPS

TCP

Böngésző és REST KLIENSEK

UCCX

1023-nál nagyobb

8445

Biztonságos port a Finesse számára

HTTPS

TCP

Kliens

UCCX

1023-nál nagyobb

8447

HTTPS - Egységes Hírszerzési Központ online súgó

HTTPS

TCP

Kliens

UCCX

1023-nál nagyobb

8553

Az egyszeri bejelentkezés (SSO) komponensei hozzáférnek ehhez az interfészhez, hogy megismerjék a Cisco IdS működési állapotát.

HTTP

TCP

Kliens

UCCX

1023-nál nagyobb

9080

A HTTP-indítókat vagy dokumentumokat /kéréseket/nyelvárakat/ élő adatokat elérni kívánó ügyfelek.

HTTPS

TCP

Kliens

UCCX

1023-nál nagyobb

9443

Biztonságos port a HTTPS-indítókat elérni próbáló ügyfeleknek való válaszadáshoz

TCP

TCP

Kliens

UCCX

1023-nál nagyobb

12014

Ez az a port, ahol az élőadat-jelentő kliensek csatlakozhatnak a socket.IO szerverhez

TCP

TCP

Kliens

UCCX

1023-nál nagyobb

12015

Ez az a port, ahol az élőadat-jelentő kliensek csatlakozhatnak a socket.IO szerverhez

CTI

TCP

Kliens

UCCX

1023-nál nagyobb

12028

Harmadik fél CTI kliense a CCX-hez

RTP(adathordozó)

TCP

Végpont

UCCX

1023-nál nagyobb

1023-nál nagyobb

A médiaport szükség szerint dinamikusan nyitható

RTP(adathordozó)

TCP

Kliens

Végpont

1023-nál nagyobb

1023-nál nagyobb

A médiaport szükség szerint dinamikusan nyitható

Ügyfélbiztonság

Jabber és Webex biztosítása SIP OAuth segítségével

A Jabber és a Webex kliensek OAuth tokennel kerülnek hitelesítésre a lokálisan szignifikáns tanúsítvány (LSC) helyett, amely nem követeli meg a hitelesítésszolgáltatói proxy funkció (CAPF) engedélyezését (az MRA esetében is). A SIP OAuth munka vegyes üzemmóddal vagy anélkül a Cisco Unified CM 12.5(1), a Jabber 12.5 és az Expressway X12.5 szabványban került bevezetésre.

A Cisco Unified CM 12.5-ben van egy új opciónk a Telefon biztonsági profilban, amely lehetővé teszi a titkosítást LSC/CAPF nélkül, egyetlen Transport Layer Security (TLS) + OAuth token használatával a SIP REGISZTERBEN. Az Expressway-C csomópontok az Adminisztratív XML Web Service (AXL) API segítségével tájékoztatják a Cisco Unified CM-t az SN/SAN-RÓL a tanúsítványukban. A Cisco Unified CM ezeket az információkat arra használja, hogy érvényesítse az EX-C tanúsítványt a kölcsönös TLS kapcsolat létrehozásakor.

A SIP OAuth végponti tanúsítvány (LSC) nélküli adathordozó- és jeltitkosítást tesz lehetővé.

A Cisco Jabber efemer portokat és 6971-es és 6972-es portokat használ https kapcsolaton keresztül a TFTP szerverhez a konfigurációs fájlok letöltéséhez. A 6970-es port nem biztonságos port HTTP-n keresztüli letöltéshez.

További részletek a SIP OAuth konfigurációról: SIP OAuth mód.

DNS-követelmények

A dedikált példányhoz a Cisco biztosítja az FQDN-t a szolgáltatáshoz minden régióban a következő formátumban<customer>.<region>.wxc-di.webex.com, például: xyz.amer.wxc-di.webex.com.

Az ‘ügyfél’ értéket a rendszergazda adja meg az Első alkalommal történő beállítás varázsló (FTSW) részeként. További információkért lásd: Dedikált példányszolgáltatás aktiválása.

Az ehhez az FQDN-hez tartozó DNS rekordoknak feloldhatóknak kell lenniük az ügyfél belső DNS szerveréről, hogy támogassák a dedikált példányhoz kapcsolódó helyszíni eszközöket. A felbontás megkönnyítése érdekében az ügyfélnek egy feltételes továbbítót kell konfigurálnia ehhez az FQDN-hez a dedikált példány DNS szolgáltatásra mutató DNS szerverén. A dedikált példány DNS szolgáltatás regionális, és a peering segítségével elérhető a dedikált példányhoz, az alábbi táblázatban említett alábbi IP-címek használatával.

Táblázat Dedikált DNS szolgáltatás IP-címe

Régió/DC

Dedikált DNS szolgáltatás IP-címe

Példa feltételes továbbításra

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

SIN

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


A ping opció biztonsági okokból le van tiltva a fent említett DNS-kiszolgáló IP-címei esetében.

Amíg a feltételes továbbítás meg nem történik, az eszközök nem tudnak regisztrálni a dedikált példányra az ügyfelek belső hálózatáról a peering linkeken keresztül. A mobil és távelérési (MRA) regisztrációhoz nincs szükség feltételes továbbításra, mivel az MRA megkönnyítéséhez szükséges valamennyi külső DNS-rekordot a Cisco előre rendelkezésre bocsátja.

Amikor a Webex alkalmazást hívó szoftveres kliensként használja a Dedikált példányon, UC Manager-profilt kell konfigurálni a Vezérlőközpontban az egyes régiók Hangszolgáltatási Tartományához (VSD). További információ a Cisco Webex Control Hub UC Manager-profiljaiban található. A Webex alkalmazás a végfelhasználó beavatkozása nélkül képes lesz automatikusan megoldani az ügyfél Expressway Edge-jét.


A szolgáltatás aktiválásának befejezését követően a partner hozzáférési dokumentum részeként hangszolgáltatási domaint biztosítunk az ügyfél számára.