A dedikált példány hálózati követelményei

A Webex Calling dedikált példány a Cisco Cloud Calling portfóliójának része, amelyet a Cisco Unified Communications Manager (Cisco Unified CM) együttműködési technológiája hajt. A dedikált példány hang-, videó-, üzenetküldési és mobilitási megoldásokat kínál a Cisco IP -telefonok, mobileszközök és asztali kliensek funkcióival és előnyeivel, amelyek biztonságosan kapcsolódnak a dedikált példányhoz.

Ez a cikk azoknak a hálózati rendszergazdáknak szól, különösen a tűzfal- és proxybiztonsági rendszergazdáknak, akik a dedikált példányt szeretnék használni a szervezetükön belül.

Biztonsági áttekintés: Biztonság rétegekben

Dedikált példány réteges megközelítést alkalmaz a biztonság érdekében. A rétegek a következők:

  • Fizikai hozzáférés

  • Hálózat

  • Végpontok

  • UC alkalmazások

A következő szakaszok ismertetik a biztonsági szinteket Dedikált példány telepítések.

Fizikai biztonság

Fontos az Equinix Meet-Me Room helyszíneinek és a Cisco fizikai biztonságának biztosítása Dedikált példány Az adatközpont szolgáltatásai. Ha a fizikai biztonság veszélybe kerül, egyszerű támadások indíthatók, például az ügyfél kapcsolóinak áramkimaradása miatti szolgáltatáskimaradás. A fizikai hozzáféréssel a támadók hozzáférhetnek a kiszolgálóeszközökhöz, visszaállíthatják a jelszavakat, és hozzáférhetnek a kapcsolókhoz. A fizikai hozzáférés megkönnyíti a kifinomultabb támadásokat is, mint például a közbeékelődő támadásokat, ezért a második biztonsági réteg, a hálózati biztonság kritikus fontosságú.

Az öntitkosító meghajtók használatosak Dedikált példány UC-alkalmazásoknak otthont adó adatközpontok.

Az általános biztonsági gyakorlatokkal kapcsolatos további információkért olvassa el a következő helyen található dokumentációt: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Hálózatbiztonság

A partnereknek gondoskodniuk kell arról, hogy az összes hálózati elem biztonságosan be legyen kapcsolva Dedikált példány infrastruktúra (amely az Equinixen keresztül kapcsolódik). A partner felelőssége a bevált módszerek biztosítása, mint például:

  • Külön VLAN a hanghoz és az adathoz

  • Engedélyezze a Portbiztonságot, amely korlátozza a portonként engedélyezett MAC -címek számát a CAM-tábla elárasztása ellen

  • IP -forrás Védelem a meghamisított IP -címek ellen

  • A Dynamic ARP Inspection (DAI) a címfeloldási protokollt (ARP) és az ingyenes ARP (GARP) szabálysértéseket vizsgálja (az ARP-hamisítás ellen)

  • 802.1x korlátozza a hálózati hozzáférést az eszközök hitelesítéséhez a hozzárendelt VLAN-okon (a telefonok támogatják a 802-t.1x )

  • A szolgáltatásminőség (QoS) beállítása a hangcsomagok megfelelő jelöléséhez

  • A tűzfal olyan portkonfigurációkat biztosít, amelyek blokkolnak minden más forgalmat

Végpontok biztonsága

A Cisco -végpontok támogatják az olyan alapértelmezett biztonsági funkciókat, mint az aláírt firmware, a biztonságos rendszerindítás (egyes modellek), a gyártó által telepített tanúsítvány (MIC) és az aláírt konfigurációs fájlok, amelyek bizonyos szintű biztonságot nyújtanak a végpontok számára.

Ezenkívül egy partner vagy ügyfél további biztonságot is engedélyezhet, például:

  • IP-telefon titkosítása (HTTPS-en keresztül) az olyan szolgáltatásokhoz, mint az Extension Mobility

  • Helyileg jelentős tanúsítványok (LSC) kiadása a hitelesítésszolgáltatói proxyfunkció (CAPF) vagy egy nyilvános hitelesítésszolgáltatótól (CA)

  • Konfigurációs fájlok titkosítása

  • Média és jelzés titkosítása

  • Tiltsa le ezeket a beállításokat, ha nem használják őket: PC-port, PC Voice VLAN -hozzáférés, ingyenes ARP, web elérés, Beállítások gomb, SSH, konzol

Biztonsági mechanizmusok megvalósítása a Dedikált példány megakadályozza a telefonok és a Unified CM-kiszolgáló személyazonosság-lopását, az adatok manipulálását, valamint a hívásjelzés/médiafolyam szabotázsát.

Dedikált példány hálózaton keresztül:

  • Hitelesített kommunikációs folyamokat hoz létre és tart fenn

  • Digitálisan aláírja a fájlokat a telefonra való átvitel előtt

  • Titkosítja a médiastreameket és a hívásjelzéseket a Cisco Unified IP -telefonok között

Alapértelmezett biztonsági beállítás

A Biztonság alapértelmezés szerint a következő automatikus biztonsági funkciókat biztosítja a Cisco Unified IP -telefonokhoz:

  • A telefonkonfiguráció fájlok aláírása

  • A telefonkonfiguráció fájlok titkosításának támogatása

  • HTTPS a Tomcat alkalmazással és más web (MIDletek)

A Unified CM 8.0 későbbi verziójában ezek a biztonsági szolgáltatások alapértelmezés szerint a CTL(Certificate Trust List) kliens futtatása nélkül állnak rendelkezésre.

Bizalom-ellenőrző szolgáltatás

Mivel nagyszámú telefon van egy hálózatban, és az IP -telefonok korlátozott memóriával rendelkeznek, a Cisco Unified CM távoli megbízhatósági tárolóként működik a Trust Verification Service (TVS) révén, így nem kell megbízhatósági igazolás tárolót elhelyezni minden telefonon. A Cisco IP -telefonok felveszik a kapcsolatot a TVS -kiszolgálóval ellenőrzés céljából, mert nem tudnak CTL vagy ITL-fájlokon keresztül ellenőrizni az aláírást vagy a tanúsítványt. Egy központi bizalmi tárolóval könnyebben kezelhető, mintha az egyes Cisco Unified IP-telefon lenne.

A TVS lehetővé teszi a Cisco Unified IP -telefonok számára az alkalmazáskiszolgálók, például az EM -szolgáltatások, a címtár és a MIDlet hitelesítését a HTTPS létrehozása során.

Kezdeti megbízhatósági lista

A kezdeti megbízhatósági lista (ITL) fájl a kezdeti biztonság, így a végpontok megbízhatnak a Cisco Unified CM-ben. Az ITL-nek nincs szüksége semmilyen biztonsági funkciónak kifejezetten engedélyezésére. Az ITL fájl automatikusan létrejön a fürt telepítésekor. A Unified CM Trivial File Transfer Protocol (TFTP) szerver privát kulcsát használják az ITL fájl aláírására.

Amikor a Cisco Unified CM fürt vagy kiszolgáló nem biztonságos mód van, az ITL fájl minden támogatott Cisco IP-telefon letöltődik. A partner az ITL-fájlok tartalmát a CLI-parancs tekintheti meg, admin:show itl.

A Cisco IP -telefonoknak az ITL fájlra van szükségük a következő feladatok elvégzéséhez:

  • Biztonságos kommunikáció a CAPF, amely előfeltétele a konfigurációs fájl titkosításának támogatásának

  • Hitelesítse a konfigurációs fájl aláírását

  • Alkalmazáskiszolgálók, például EM -szolgáltatások, címtár és MIDlet hitelesítése a HTTPS TVS -t használó létrehozása során

Cisco CTL

Az eszköz-, fájl- és jelzés-hitelesítés a tanúsítvány-bizalmi lista (CTL) fájl létrehozásán alapul, amely akkor jön létre, amikor a partner vagy az ügyfél telepíti és konfigurálja a Cisco Certificate Trust List klienst.

A CTL-fájl a következő kiszolgálókhoz vagy biztonsági tokenekhez tartalmaz bejegyzéseket:

  • Rendszergazdai biztonsági token (SAST)

  • Az ugyanazon a kiszolgálón futó Cisco CallManager és Cisco TFTP szolgáltatások

  • Certificate Authority -szolgáltató proxy funkció (CAPF)

  • TFTP szerver(ek)

  • ASA-tűzfal

A CTL-fájl tartalmaz egy kiszolgálótanúsítvány, nyilvános kulcsot , termékszám, aláírást , kibocsátó nevét , alany nevét , kiszolgálófunkciót , DNS nevet és IP-cím az egyes kiszolgálókhoz.

A CTL telefonbiztonság a következő funkciókat biztosítja:

  • A TFTP segítségével letöltött fájlok hitelesítése (konfiguráció, területi beállítás, csengőlista stb.) aláíró kulccsal

  • TFTP konfigurációs fájlok titkosítása aláíró kulccsal

  • Titkosított hívásjelzés IP -telefonokhoz

  • Titkosított híváshang (média) IP -telefonokhoz

Biztonság a Cisco IP -telefonokhoz Dedikált példány

Dedikált példány végpont regisztrációt és hívásfeldolgozás biztosít. A Cisco Unified CM és a végpontok közötti jelzés a Secure Skinny Client Control Protocol (SCCP) vagy a Session Initiation Protocol (SIP) alapul, és a Transport Layer Security (TLS) (TLS) segítségével titkosítható. A végpontokhoz/végpontokhoz érkező adathordozók valós idejű szállítási protokollon (RTP) alapulnak, és biztonságos RTP (SRTP) használatával is titkosíthatók.

A vegyes mód engedélyezése a Unified CM -en lehetővé teszi a Cisco -végpontok és azok felé irányuló jelzés- és médiaforgalom titkosítását.

Biztonságos UC-alkalmazások

Vegyes mód engedélyezése: Dedikált példány

A Vegyes mód alapértelmezetten engedélyezve van a következőben: Dedikált példány .

Vegyes mód engedélyezése a következőben: Dedikált példány lehetővé teszi a Cisco -végpontok felől érkező és oda érkező jelzés- és médiaforgalom titkosításának végrehajtását.

A Cisco Unified CM 12.5(1) kiadása egy új opcióval bővült a Jabber és Webex kliensek számára, amelyek lehetővé teszik a jelzések és a média titkosítását SIP OAuth alapján a kevert módú/ CTL helyett. Ezért a Unified CM 12.5(1) kiadásában a SIP OAuth és az SRTP használható a jelzések és a média titkosításának engedélyezésére a Jabber vagy Webex ügyfelek számára. A vegyes mód engedélyezése jelenleg is szükséges a Cisco IP -telefonokhoz és más Cisco -végpontokhoz. A tervek szerint egy jövőbeli kiadásban hozzáadják a SIP OAuth-támogatást a 7800/8800 végpontokhoz.

Hangüzenetek biztonsága

A Cisco Unity Connection a TLS porton keresztül kapcsolódik a Unified CM -hez. Ha az eszköz biztonsági módja nem biztonságos, a Cisco Unity Connection az SCCP porton keresztül csatlakozik a Unified CM -hez.

Az SCCP protokollt futtató Unified CM hangüzenet-küldő portok és Cisco Unity eszközök vagy az SCCP futtató Cisco Unity Connection eszközök biztonságának konfigurálásához a partnerek biztonságos SCCP módot választhatnak a porthoz. Ha hitelesített hangpostaport választ, egy TLS kapcsolat nyílik meg, amely kölcsönös tanúsítványcserével hitelesíti az eszközöket (minden eszköz elfogadja a másik eszköz tanúsítványát). Ha titkosított hangpostaport választ, a rendszer először hitelesíti az eszközöket, majd titkosított hangfolyamot küld az eszközök között.

A Biztonsági hangüzenet portokkal kapcsolatos további információkért lásd: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Biztonság az SRST-hez, trönkekhez, átjárókhoz, CUBE/SBC-hez

A Cisco Unified Survivable Remote Site Telephony (SRST) engedélyezett átjáró korlátozott hívásfeldolgozási feladatokat tesz lehetővé, ha a Cisco Unified CM be van kapcsolva. Dedikált példány nem tudja befejezni a hívást.

A biztonságos SRST-kompatibilis átjárók önaláírt tanúsítvány tartalmaznak. Miután egy partner SRST -konfigurációs feladatokat végez a Unified CM Administration, a Unified CM TLS -kapcsolatot használ a Tanúsítványszolgáltató szolgáltatással való hitelesítéshez az SRST-engedélyezett átjáró. A Unified CM ezután lekéri a tanúsítványt az SRST-engedélyezett átjáró , és hozzáadja a Unified CM adatbázishoz.

Miután a partner alaphelyzetbe állította a függő eszközöket a Unified CM Administration, a TFTP -kiszolgáló hozzáadja az SRST-engedélyezett átjáró átjárótanúsítványt a telefon cnf.xml fájljához, és elküldi a fájlt a telefonra. A biztonságos telefon ezután TLS -kapcsolaton keresztül lép kapcsolatba az SRST-engedélyezett átjáró.

A kimenő PSTN-hívások vagy a Cisco Unified Border Element (CUBE) elemen (CUBE) keresztülhaladó hívások esetén javasolt biztonságos fővonalak használata a Cisco Unified CM -ből az átjáró felé irányuló hívásokhoz.

A SIP trönkök támogatni tudják a biztonságos hívásokat mind a jelzés, mind a média területén; A TLS biztosítja a jelzések titkosítását, az SRTP pedig a média titkosítását.

Kommunikáció biztonsága a Cisco Unified CM és a CUBE között

A Cisco Unified CM és a CUBE közötti biztonságos kommunikáció érdekében a partnereknek/ügyfeleknek vagy önaláírt tanúsítvány vagy CA által aláírt tanúsítványt kell használniuk.

Önaláírt tanúsítványok esetén:

  1. A CUBE és a Cisco Unified CM önaláírt tanúsítványokat állít elő

  2. A CUBE tanúsítványt exportál a Cisco Unified CM -be

  3. A Cisco Unified CM tanúsítványt exportál a CUBE-be

CA által aláírt tanúsítványok esetén:

  1. Az ügyfél létrehoz egy kulcspárt, és tanúsítvány-aláírási kérelmet (CSR) küld a Certificate Authority -szolgáltatónak (CA)

  2. A hitelesítésszolgáltató aláírja a titkos kulcsával, létrehozva ezzel egy identitástanúsítványt

  3. Az ügyfél telepíti a megbízható legfelső szintű és közvetítői CA-tanúsítványok listáját, valamint az identitástanúsítványt

Távoli végpontok biztonsága

A mobil és Remote Access (MRA) végpontok esetén a jelzés és az adathordozó mindig titkosítva van az MRA-végpontok és az Expressway csomópontok között. Ha az Interactive Connectivity Establishment (ICE) protokollt használják az MRA-végpontokhoz, akkor az MRA-végpontok jelzés- és médiatitkosítására van szükség. Az Expressway-C és a belső Unified CM -kiszolgálók, belső végpontok vagy más belső eszközök közötti jelzések és adathordozók titkosítása azonban vegyes módú vagy SIP OAuth-t igényel.

A Cisco Expressway biztonságos tűzfal bejárást és vonaloldali támogatást nyújt a Unified CM regisztrációkhoz. A Unified CM hívásvezérlés a mobil és a helyszíni végpontok számára is. A jelzés az Expressway megoldáson halad át a távoli végpont és a Unified CM között. A média áthalad az Expressway megoldáson, és közvetlenül a végpontok között közvetítődik. Minden adathordozó titkosítva van az Expressway-C és a mobil végpont között.

Minden MRA-megoldás Expressway és Unified CM szükséges, MRA-kompatibilis szoftveres kliensekkel és/vagy rögzített végpontokkal. A megoldás opcionálisan tartalmazhatja az IM and jelenléti szolgáltatás és a Unity Connection szolgáltatást.

Protokoll összefoglaló

A következő táblázat a Unified CM megoldásban használt protokollokat és kapcsolódó szolgáltatásokat mutatja be.

1. táblázat Protokollok és kapcsolódó szolgáltatások

Protokoll

Biztonság

Szolgáltatás

SIP

TLS

Alkalom létrehozása: Regisztráció, Meghívás stb.

HTTPS

TLS

Bejelentkezés, üzembe helyezés/konfiguráció, címtár, vizuális hangposta

Média

SRTP

Média: Hang, videó, tartalommegosztás

XMPP

TLS

Azonnali Üzenetküldés, Jelenlét, Összevonás

Az MRA-konfigurációval kapcsolatos további információkért lásd: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Konfigurációs beállítások

A Dedikált példány rugalmasságot biztosít a Partner számára, hogy a végfelhasználók számára testre szabhassa a szolgáltatásokat a második napi konfigurációk teljes körű vezérlésével. Ennek eredményeként a Partner kizárólagos felelőssége a megfelelő konfigurációért Dedikált példány szolgáltatás a végfelhasználói környezet számára. Ez magában foglalja, de nem kizárólagosan:

  • A biztonságos/nem biztonságos hívások, a biztonságos/nem biztonságos protokollok, például a SIP/sSIP, http/https stb. kiválasztása, valamint a kapcsolódó kockázatok megértése.

  • Minden olyan MAC -cím esetén, amely nincs biztonságosként beállítva – SIP -bemenet Dedikált példány , a támadó SIP -regiszter üzenetet küldhet az adott MAC-cím használatával, és SIP -hívásokat kezdeményezhet, ami díjcsalást eredményezhet. Ennek feltétele, hogy a támadó regisztrálhassa a SIP-eszköz/szoftverét Dedikált példány engedély nélkül, ha ismerik egy beregisztrált eszköz MAC-cím Dedikált példány .

  • Az Expressway-E hívási szabályzatait, az átalakítási és keresési szabályokat úgy kell konfigurálni, hogy megakadályozzák a díjcsalást. Az Expressways útdíjcsalás megelőzésével kapcsolatos további információkért olvassa el a Biztonság Expressway C és Expressway-E esetében című részét Együttműködés SRND .

  • A tárcsázási terv konfigurációja annak biztosítása érdekében, hogy a felhasználók csak az engedélyezett célhelyeket tárcsázhassák, pl.: belföldi/nemzetközi tárcsázás tiltása, a segélyhívások megfelelően vannak irányítva stb. A tárcsázási terv használatával kapcsolatos korlátozások alkalmazásáról bővebben itt olvashat: Tárcsázási terv Az Együttműködés SRND szakasza.

Tanúsítványkövetelmények a biztonságos kapcsolatokhoz a dedikált példányban

A dedikált példányok esetében a Cisco biztosítja a tartományt, és írja alá az összes tanúsítványt az UC-alkalmazásokhoz egy nyilvános Certificate Authority (CA) segítségével.

Dedikált példány – portszámok és protokollok

A következő táblázatok ismertetik a dedikált példányban támogatott portokat és protokollokat. Az adott ügyfélhez használt portok száma az Ügyfél telepítésétől és megoldásától függ. A protokollok az ügyfél preferenciáitól (SCCP vs SIP), a meglévő helyszíni eszközöktől, valamint attól függnek, hogy milyen biztonsági szinttel kell meghatározni, hogy mely portokat kell használni az egyes telepítésekben.


 

A dedikált példány nem engedélyezi a hálózati címfordítást (NAT) a végpontok és a Unified CM között, mivel egyes hívásfolyamat-szolgáltatások nem működnek, például a hívás közben funkció.

Dedikált példány – Ügyfélportok

Az ügyfelek számára elérhető portok – a helyszíni ügyfél és a dedikált példány között az 1. táblázatban láthatók. Dedikált példány ügyfélportok . Az összes alább felsorolt port a peering hivatkozásokon áthaladó ügyfélforgalomra vonatkozik.


 

Az SNMP port alapértelmezés szerint csak a Cisco Emergency Responder számára van nyitva, hogy támogassa a funkcióit. Mivel nem támogatjuk a dedikált példányfelhőben telepített UC-alkalmazásokat figyelő partnereket vagy ügyfeleket, nem engedélyezzük az SNMP -port megnyitását más UC-alkalmazások számára.


 

Az 5063 és 5080 közötti tartományba eső portokat a Cisco más felhőintegráció számára fenntartja, a partner- vagy ügyfél-rendszergazdáknak ajánlott, hogy ne használják ezeket a portokat a konfigurációkban.

2. táblázat Dedikált példány-ügyfélportok

Protokoll

TCP/UDP

Forrás

Cél

Forrásport

Célállomás portja

Cél

SSH

TCP

Kliens

UC alkalmazások


 
Cisco Expressway alkalmazásokhoz nem engedélyezett.

Nagyobb mint 1023

22

Felügyelet

TFTP

UDP

Végpont

Unified CM

Nagyobb mint 1023

69

Régi végpont támogatás

LDAP

TCP

UC alkalmazások

Külső címtár

Nagyobb mint 1023

389

Címtár szinkronizálás az ügyfél LDAP -jével

HTTPS

TCP

Böngésző

UC alkalmazások

Nagyobb mint 1023

443

web hozzáférés az önkiszolgáló és adminisztrációs felületekhez

Kimenő levelek (BIZTONSÁGOS)

TCP

UC-alkalmazás

CUCxn

Nagyobb mint 1023

587

Biztonságos üzenetek létrehozására és küldésére szolgál bármely kijelölt címzettnek

LDAP (BIZTONSÁGOS)

TCP

UC alkalmazások

Külső címtár

Nagyobb mint 1023

636

Címtár szinkronizálás az ügyfél LDAP -jével

H323

TCP

Átjáró

Unified CM

Nagyobb mint 1023

1720

Hívásjelzés

H323

TCP

Unified CM

Unified CM

Nagyobb mint 1023

1720

Hívásjelzés

SCCP

TCP

Végpont

Unified CM, CUCxn

Nagyobb mint 1023

2000

Hívásjelzés

SCCP

TCP

Unified CM

Unified CM, Átjáró

Nagyobb mint 1023

2000

Hívásjelzés

MGCP

UDP

Átjáró

Átjáró

Nagyobb mint 1023

2427

Hívásjelzés

MGCP Backhaul

TCP

Átjáró

Unified CM

Nagyobb mint 1023

2428

Hívásjelzés

SCCP (BIZTONSÁGOS)

TCP

Végpont

Unified CM, CUCxn

Nagyobb mint 1023

2443

Hívásjelzés

SCCP (BIZTONSÁGOS)

TCP

Unified CM

Unified CM, Átjáró

Nagyobb mint 1023

2443

Hívásjelzés

Bizalom ellenőrzése

TCP

Végpont

Unified CM

Nagyobb mint 1023

2445

Megbízhatóság-ellenőrzési szolgáltatás nyújtása a végpontoknak

CTI

TCP

Végpont

Unified CM

Nagyobb mint 1023

2748

Kapcsolat a CTI alkalmazások (JTAPI/TSP) és a CTIManager között

Biztonságos CTI

TCP

Végpont

Unified CM

Nagyobb mint 1023

2749

Biztonságos kapcsolat a CTI -alkalmazások (JTAPI/TSP) és a CTIManager között

LDAP globális katalógus

TCP

UC-alkalmazások

Külső címtár

Nagyobb mint 1023

3268

Címtár szinkronizálás az ügyfél LDAP -jével

LDAP globális katalógus

TCP

UC-alkalmazások

Külső címtár

Nagyobb mint 1023

3269

Címtár szinkronizálás az ügyfél LDAP -jével

CAPF szolgáltatás

TCP

Végpont

Unified CM

Nagyobb mint 1023

3804

Certificate Authority -szolgáltató proxy funkció (CAPF) figyelő port a helyileg jelentős tanúsítványok (LSC) IP telefonok számára történő kiadásához

SIP

TCP

Végpont

Unified CM, CUCxn

Nagyobb mint 1023

5060

Hívásjelzés

SIP

TCP

Unified CM

Unified CM, Átjáró

Nagyobb mint 1023

5060

Hívásjelzés

SIP (BIZTONSÁGOS)

TCP

Végpont

Unified CM

Nagyobb mint 1023

5061

Hívásjelzés

SIP (BIZTONSÁGOS)

TCP

Unified CM

Unified CM, Átjáró

Nagyobb mint 1023

5061

Hívásjelzés

SIP (OAUTH)

TCP

Végpont

Unified CM

Nagyobb mint 1023

5090

Hívásjelzés

XMPP

TCP

Jabber kliens

Cisco IM&P

Nagyobb mint 1023

5222

Azonnali Üzenetküldés és jelenlét

HTTP

TCP

Végpont

Unified CM

Nagyobb mint 1023

6970

Konfiguráció és képek letöltése a végpontokra

HTTPS

TCP

Végpont

Unified CM

Nagyobb mint 1023

6971

Konfiguráció és képek letöltése a végpontokra

HTTPS

TCP

Végpont

Unified CM

Nagyobb mint 1023

6972

Konfiguráció és képek letöltése a végpontokra

HTTP

TCP

Jabber kliens

CUCxn

Nagyobb mint 1023

7080

Hangposta értesítések

HTTPS

TCP

Jabber kliens

CUCxn

Nagyobb mint 1023

7443

Biztonságos hangposta-értesítések

HTTPS

TCP

Unified CM

Unified CM

Nagyobb mint 1023

7501

Az fürtök közötti keresőszolgáltatás (ILS) által használt tanúsítvány alapú hitelesítéshez

HTTPS

TCP

Unified CM

Unified CM

Nagyobb mint 1023

7502

Az ILS használja a jelszó alapú hitelesítéshez

IMAP

TCP

Jabber kliens

CUCxn

Nagyobb mint 1023

7993

IMAP TLS felett

HTTP

TCP

Végpont

Unified CM

Nagyobb mint 1023

8080

Címtár- URI a régi végpontok támogatásához

HTTPS

TCP

Böngésző, végpont

UC alkalmazások

Nagyobb mint 1023

8443

web hozzáférés önkiszolgáló és adminisztrációs felületekhez, UDS

HTTPS

TCP

Telefon

Unified CM

Nagyobb mint 1023

9443

Hitelesített névjegy keresés

HTTPs

TCP

Végpont

Unified CM

Nagyobb mint 1023

9444

Fejhallgató-kezelési funkció

Biztonságos RTP/ SRTP

UDP

Unified CM

Telefon

16384 – 32767 *

16384 – 32767 *

Média (audio) – Tartásban lévő Zene tartásban, Kijelző, Szoftverkonferencia Bridge (Hívásjelzés alapján nyitva)

Biztonságos RTP/ SRTP

UDP

Telefon

Unified CM

16384 – 32767 *

16384 – 32767 *

Média (audio) – Tartásban lévő Zene tartásban, Kijelző, Szoftverkonferencia Bridge (Hívásjelzés alapján nyitva)

COBRAS

TCP

Kliens

CUCxn

Nagyobb mint 1023

20532

Alkalmazáscsomag biztonsági mentése és visszaállítása

ICMP

ICMP

Végpont

UC alkalmazások

nincs adat

nincs adat

Pingelés

ICMP

ICMP

UC alkalmazások

Végpont

nincs adat

nincs adat

Pingelés

DNS UDP és TCP

DNS továbbító

Dedikált példány DNS kiszolgálók

Nagyobb mint 1023

53

Ügyfélhelyi DNS továbbítók a dedikált példány DNS -kiszolgálókhoz. Lásd DNS követelmények további információkért.

* Egyes speciális esetekben nagyobb hatótávolságot igényelhet.

Dedikált példány – OTT portok

A következő portot használhatják a mobil- és Remote Access (MRA) ügyfelek és partnerek:

3. táblázat. Port az OTT számára

Protokoll

TCP/UCP

Forrás

Cél

Forrásport

Célállomás portja

Cél

BIZTONSÁGOS RTP/ RTCP

UDP

Gyorsforgalmi út C

Kliens

Nagyobb mint 1023

36000-59999

Biztonságos média MRA és B2B hívásokhoz

Inter-op SIP-trönk a többszörös bérlő és a dedikált példány között (csak regisztrációalapú trönk esetén)

A következő portlistát kell engedélyezni az ügyfél tűzfalán a többbérlős és a dedikált példány között csatlakozó regisztráció alapú SIP-trönk számára.

4. táblázat. Port a regisztráció alapú fővonalak számára

Protokoll

TCP/UCP

Forrás

Cél

Forrásport

Célállomás portja

Cél

RTP/ RTCP

UDP

Webex Calling többbérlős

Kliens

Nagyobb mint 1023

8000-48198

Média a Webex Calling Multitenant-től

Dedikált példány – UCCX portok

A következő portlistát az Ügyfelek és Partnerek használhatják az UCCX konfigurálásához.

5. táblázat. Cisco UCCX portok

Protokoll

TCP / UCP

Forrás

Cél

Forrásport

Célállomás portja

Cél

SSH

TCP

Kliens

UCCX

Nagyobb mint 1023

22

SFTP és SSH

Informix

TCP

Kliens vagy Szerver

UCCX

Nagyobb mint 1023

1504

Contact Center Express adatbázis port

SIP

UDP és TCP

SIP GW vagy MCRP szerver

UCCX

Nagyobb mint 1023

5065

Kommunikáció távoli GW és MCRP csomópontokkal

XMPP

TCP

Kliens

UCCX

Nagyobb mint 1023

5223

Biztonságos XMPP -kapcsolat a Finesse szerver és az egyéni, harmadik féltől származó alkalmazások között

CVD

TCP

Kliens

UCCX

Nagyobb mint 1023

6999

CCX alkalmazások szerkesztője

HTTPS

TCP

Kliens

UCCX

Nagyobb mint 1023

7443

Biztonságos BOSH-kapcsolat a Finesse szerver, valamint az ügynök és a felügyeleti asztal között a HTTPS-kapcsolaton keresztüli kommunikációhoz

HTTP

TCP

Kliens

UCCX

Nagyobb mint 1023

8080

Az élő adat jelentéskészítő ügyfelek egy socket.IO kiszolgálóhoz csatlakoznak

HTTP

TCP

Kliens

UCCX

Nagyobb mint 1023

8081

Kliensböngésző próbál elérni a Cisco Unified Intelligence Center webinterfész

HTTP

TCP

Kliens

UCCX

Nagyobb mint 1023

8443

Rendszergazdai grafikus felhasználói felület, RTCP, DB hozzáférés SOAP -on keresztül

HTTPS

TCP

Kliens

UCCX

Nagyobb mint 1023

8444

Cisco Unified Intelligence Center webinterfész

HTTPS

TCP

Böngésző és REST kliensek

UCCX

Nagyobb mint 1023

8445

Biztonságos port Finesse számára

HTTPS

TCP

Kliens

UCCX

Nagyobb mint 1023

8447

HTTPS – Unified Intelligence Center online súgó

HTTPS

TCP

Kliens

UCCX

Nagyobb mint 1023

8553

Az egyszeri bejelentkezési (SSO) összetevők hozzáférnek ehhez a felülethez, hogy megismerjék a Cisco IdS működési állapotát.

HTTP

TCP

Kliens

UCCX

Nagyobb mint 1023

9080

HTTP triggerekhez vagy dokumentumokhoz / promptokhoz / nyelvtanokhoz / élő adatok férni próbáló ügyfelek .

HTTPS

TCP

Kliens

UCCX

Nagyobb mint 1023

9443

Biztonságos port, amely arra szolgál, hogy válaszoljon a HTTPS triggerekhez elérni próbáló ügyfelek számára

TCP

TCP

Kliens

UCCX

Nagyobb mint 1023

12014

Ez az a port, ahol az élő-adatjelentést készítő ügyfelek csatlakozhatnak a socket.IO kiszolgálóhoz

TCP

TCP

Kliens

UCCX

Nagyobb mint 1023

12015

Ez az a port, ahol az élő-adatjelentést készítő ügyfelek csatlakozhatnak a socket.IO kiszolgálóhoz

CTI

TCP

Kliens

UCCX

Nagyobb mint 1023

12028

Harmadik féltől származó CTI -ügyfél a CCX-hez

RTP(média)

TCP

Végpont

UCCX

Nagyobb mint 1023

Nagyobb mint 1023

A médiaport szükség szerint dinamikusan nyílik meg

RTP(média)

TCP

Kliens

Végpont

Nagyobb mint 1023

Nagyobb mint 1023

A médiaport szükség szerint dinamikusan nyílik meg

Ügyfélbiztonság

A Jabber és a Webex védelme SIP OAuth segítségével

A Jabber és Webex ügyfelek hitelesítése OAuth token segítségével történik a helyi jelentőségű tanúsítvány (LSC) helyett, amelyhez nincs szükség hitelesítésszolgáltatói proxyfunkció (CAPF) (az MRA esetében sem). A vegyes módban vagy anélkül működő SIP OAuth a Cisco Unified CM 12.5(1), a Jabber 12.5 és az Expressway X12.5 verziókban jelent meg.

A Cisco Unified CM 12.5-ös verziójában a Telefonbiztonsági profil egy új opcióval rendelkezik, amely lehetővé teszi az LSC/ CAPF nélküli titkosítást, egyetlen Transport Layer Security (TLS) (TLS) + OAuth token használatával a SIP REGISTER-ben. Az Expressway-C csomópontok az Adminisztratív XML web (AXL) API segítségével tájékoztatják a Cisco Unified CM -et az SN/SAN-ról a tanúsítványukban. A Cisco Unified CM ezen információk alapján ellenőrzi az Exp-C tanúsítványt a kölcsönös TLS kapcsolat létesítésekor.

A SIP OAuth végponttanúsítvány (LSC) nélkül teszi lehetővé a média- és jelzéstitkosítást.

A Cisco Jabber ideiglenes portokat, valamint a 6971-es és 6972-es biztonságos portokat használ HTTPS-kapcsolaton keresztül a TFTP -kiszolgálóhoz a konfigurációs fájlok letöltéséhez. A 6970-es port HTTP-n keresztüli letöltés nem biztonságos.

További részletek a SIP OAuth konfigurációról: SIP OAuth mód .

DNS követelmények

A dedikált példányok esetében a Cisco az alábbi formátumban biztosítja az FQDN-t a szolgáltatáshoz az egyes régiókban<customer> .<region> .wxc-di.webex.com például xyz.amer.wxc-di.webex.com .

A „customer” értéket a rendszergazda adja meg az kezdeti beállító varázsló (FTSW) részeként. További információkért lásd: Dedikált példány szolgáltatás aktiválása .

Az ehhez az FQDN-hez tartozó DNS -rekordoknak feloldhatónak kell lenniük az ügyfél belső DNS-kiszolgáló , hogy támogassák a helyszíni eszközök csatlakozását a dedikált példányhoz. A feloldás megkönnyítése érdekében az ügyfélnek be kell állítania egy feltételes továbbítót ehhez az FQDN-hez a DNS-kiszolgáló , amely a dedikált példány DNS -szolgáltatására mutat. A dedikált példány DNS szolgáltatás regionális, és a dedikált példányhoz való társviszony-létesítésen keresztül érhető el az alábbi táblázatban felsorolt IP -címek használatával Dedikált példány DNS szolgáltatás IP címe .

6. táblázat. Dedikált példány DNS szolgáltatás IP címe

Régió/DC

Dedikált példány DNS szolgáltatás IP címe

Példa feltételes továbbításra

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

AMS

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

SIN

103.232.71.100

TKY

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


 

A ping opció biztonsági okokból le van tiltva a fent említett DNS-kiszolgáló IP -címeknél.

Amíg a feltételes továbbítás nem működik, az eszközök nem tudnak regisztrálni a dedikált példányra az ügyfél belső hálózatáról a peering hivatkozásokon keresztül. Nincs szükség feltételes továbbításra a mobil és Remote Access (MRA) keresztüli regisztrációhoz, mivel az MRA megkönnyítéséhez szükséges összes külső DNS -rekordot a Cisco előre beállítja.

Ha a Webex alkalmazást hívó soft ügyfélként használja a dedikált példányon, egy UC Manager profilt kell konfigurálni a Control Hubban az egyes régiók Voice Service tartományához (VSD). További információkért lásd: UC Manager profilok a Cisco Webex Control Hub . A Webex alkalmazás képes lesz automatikusan feloldani az ügyfél Expressway Edge-jét a végfelhasználó beavatkozás nélkül.


 

A hangszolgáltatási tartományt a szolgáltatás aktiválásának befejezése után a partner-hozzáférési dokumentum részeként kapja meg az ügyfél.