A dedikált példány hálózati követelményei

A Webex Calling Dedicated Instance a Cisco Cloud Calling portfólió része, amelyet a Cisco Unified Communications Manager (Cisco Unified CM) együttműködési technológia hajt. A Dedicated Instance hang-, video-, üzenetküldési és mobilitási megoldásokat kínál a Cisco IP-telefonok, mobileszközök és asztali ügyfelek funkcióival és előnyeivel, amelyek biztonságosan csatlakoznak a dedikált példányhoz.

Ez a cikk a hálózati rendszergazdáknak szól, különösen a tűzfal- és proxybiztonsági rendszergazdáknak, akik dedikált példányt szeretnének használni a szervezetükön belül.

Biztonsági áttekintés: Réteges biztonság

A dedikált példány réteges megközelítést használ a biztonság érdekében. A rétegek a következők:

  • Fizikai hozzáférés

  • Hálózat

  • Végpontok

  • UC alkalmazások

A következő szakaszok a dedikált példányok üzembe helyezésének biztonsági rétegeit ismertetik.

Fizikai biztonság

Fontos, hogy fizikai biztonságot nyújtsunk az Equinix Meet-Me Room helyszíneknek és a Cisco Dedicated Instance Data Center létesítményeknek. Ha a fizikai biztonság veszélybe kerül, egyszerű támadások kezdeményezhetők, például a szolgáltatás megszakadása az ügyfél kapcsolóinak áramellátásának leállításával. A fizikai hozzáféréssel a támadók hozzáférhetnek a kiszolgálóeszközökhöz, visszaállíthatják a jelszavakat, és hozzáférhetnek a kapcsolókhoz. A fizikai hozzáférés megkönnyíti a kifinomultabb támadásokat is, például a közbeékelődéses támadásokat, ezért kritikus fontosságú a második biztonsági réteg, a hálózati biztonság.

Az öntitkosító meghajtókat az UC-alkalmazásokat üzemeltető dedikált példány-adatközpontokban használják.

Az általános biztonsági gyakorlatokkal kapcsolatos további információkért tekintse meg a következő helyen található dokumentációt: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Hálózati biztonság

A partnereknek gondoskodniuk kell arról, hogy az összes hálózati elem biztonságban legyen a dedikált példány infrastruktúrájában (amely az Equinixen keresztül csatlakozik). A partner felelőssége, hogy biztosítsa az ajánlott biztonsági eljárásokat, például:

  • Külön VLAN a hanghoz és az adatokhoz

  • Portbiztonság engedélyezése, amely korlátozza a portonként engedélyezett MAC-címek számát a CAM-táblák elárasztása ellen

  • IP-forrásvédelem a hamisított IP-címek ellen

  • A dinamikus ARP-ellenőrzés (DAI) megvizsgálja a címfeloldási protokollt (ARP) és az ingyenes ARP-t (GARP) a szabálysértések szempontjából (az ARP-hamisítás ellen)

  • 802.1x korlátozza a hálózati hozzáférést az eszközök hitelesítéséhez a hozzárendelt VLAN-okon (a telefonok támogatják a 802-es verziót.)1x

  • A szolgáltatásminőség (QoS) konfigurálása a hangcsomagok megfelelő jelöléséhez

  • Tűzfalport-konfigurációk a többi forgalom blokkolásához

Végpontok biztonsága

A Cisco végpontjai támogatják az olyan alapértelmezett biztonsági funkciókat, mint az aláírt belső vezérlőprogram, a biztonságos rendszerindítás (egyes modellek), a gyártó által telepített tanúsítvány (MIC) és az aláírt konfigurációs fájlok, amelyek bizonyos szintű biztonságot nyújtanak a végpontok számára.

Emellett egy partner vagy ügyfél további biztonságot is engedélyezhet, például:

  • IP-telefonszolgáltatások titkosítása (HTTPS-en keresztül) olyan szolgáltatásokhoz, mint az Extension Mobility

  • Helyileg jelentős tanúsítványok (LSC-k) kiállítása a hitelesítésszolgáltató proxy funkciójából (CAPF) vagy egy nyilvános hitelesítésszolgáltatótól (CA)

  • Konfigurációs fájlok titkosítása

  • Média és jelzés titkosítása

  • Tiltsa le ezeket a beállításokat, ha nem használja őket: PC port, PC Voice VLAN hozzáférés, Ingyenes ARP, Web Access, Beállítások gomb, SSH, konzol

A dedikált példány biztonsági mechanizmusainak megvalósítása megakadályozza a telefonok és az egyesített CM-kiszolgáló személyazonosság-lopását, az adatok manipulálását és a hívásjelzés / médiafolyam manipulálását.

Dedikált példány a hálózaton keresztül:

  • Hitelesített kommunikációs streameket hoz létre és tart karban

  • Digitálisan aláírja a fájlokat, mielőtt átviszi a fájlt a telefonra

  • Titkosítja a médiafolyamokat és a hívásjelzést a Cisco Unified IP-telefonok között

Alapértelmezett biztonsági beállítás

A biztonság alapértelmezés szerint a következő automatikus biztonsági funkciókat biztosítja a Cisco Unified IP-telefonokhoz:

  • A telefon konfigurációs fájljainak aláírása

  • A telefonkonfigurációs fájl titkosításának támogatása

  • HTTPS a Tomcattel és más webszolgáltatásokkal (MIDlets)

A Unified CM 8.0 újabb kiadásában ezek a biztonsági funkciók alapértelmezés szerint a Tanúsítványmegbízhatósági lista (CTL) ügyfél futtatása nélkül érhetők el.

Megbízhatóság-ellenőrző szolgáltatás

Mivel a hálózatban sok telefon van, és az IP-telefonok korlátozott memóriával rendelkeznek, a Cisco Unified CM távoli bizalmi tárolóként működik a megbízhatóság-ellenőrzési szolgáltatáson (TVS) keresztül, így nem kell minden telefonra tanúsítvány-megbízhatósági tárolót helyezni. A Cisco IP-telefonok ellenőrzés céljából kapcsolatba lépnek a TVS-kiszolgálóval, mert nem tudják ellenőrizni az aláírást vagy a tanúsítványt CTL vagy ITL fájlokon keresztül. A központi bizalmi tárolót könnyebb kezelni, mint a bizalmi tárolót minden Cisco Unified IP-telefonon.

A TVS lehetővé teszi a Cisco Unified IP-telefonok számára az alkalmazáskiszolgálók, például az EM-szolgáltatások, a címtár és a MIDlet hitelesítését a HTTPS létrehozása során.

Kezdeti bizalmi lista

A kezdeti megbízhatósági lista (ITL) fájl a kezdeti biztonsághoz használatos, így a végpontok megbízhatnak a Cisco Unified CM-ben. Az ITL-nek nincs szüksége semmilyen biztonsági funkció explicit engedélyezésére. A fürt telepítésekor a rendszer automatikusan létrehozza a ITL-fájlt. A Unified CM Trivial File Transfer Protocol (TFTP) kiszolgáló titkos kulcsa az ITL-fájl aláírására szolgál.

Ha a Cisco Unified CM fürt vagy kiszolgáló nem biztonságos módban van, az ITL fájl minden támogatott Cisco IP-telefonra letöltődik. A partnerek az ITL-fájlok tartalmát az admin:show itl CLI-paranccsal tekinthetik meg.

Alapértelmezés szerint a partner adminisztrátora 1. szintű hozzáférést kap a parancssori felülethez. További információkért és az 1. szinten engedélyezett parancsok megtekintéséhez lásd a A parancssori felületről című részt.

A Cisco IP-telefonoknak szükségük van az ITL-fájlra a következő feladatok végrehajtásához:

  • Biztonságos kommunikáció a CAPF-fel, ami a konfigurációs fájl titkosítása támogatásának előfeltétele

  • A konfigurációs fájl aláírásának hitelesítése

  • Alkalmazáskiszolgálók, például EM-szolgáltatások, címtár és MIDlet hitelesítése a HTTPS létrehozása során TVS használatával

Cisco CTL

Az eszköz-, fájl- és jelzéshitelesítés a Tanúsítványmegbízhatósági lista (CTL) fájl létrehozásán alapul, amely akkor jön létre, amikor a partner vagy az ügyfél telepíti és konfigurálja a Cisco tanúsítvány megbízhatósági lista kliensét.

A CTL-fájl a következő kiszolgálók vagy biztonsági jogkivonatok bejegyzéseit tartalmazza:

  • Rendszergazdai biztonsági jogkivonat (SAST)

  • Cisco CallManager és Cisco TFTP szolgáltatások, amelyek ugyanazon a kiszolgálón futnak

  • Hitelesítésszolgáltató proxy funkciója (CAPF)

  • TFTP-kiszolgáló(k)

  • ASA tűzfal

A CTL-fájl tartalmazza a kiszolgálói tanúsítványt, a nyilvános kulcsot, a sorozatszámot, az aláírást, a kiállító nevét, a tulajdonos nevét, a kiszolgáló funkcióját, a DNS-nevet és az egyes kiszolgálók IP-címét.

A telefon biztonsága a CTL-lel a következő funkciókat biztosítja:

  • A TFTP által letöltött fájlok (konfiguráció, területi beállítás, ringlist stb.) hitelesítése aláírókulccsal

  • TFTP konfigurációs fájlok titkosítása aláírókulccsal

  • Titkosított hívásjelzés IP-telefonokhoz

  • Titkosított híváshang (média) IP-telefonokhoz

Cisco IP-telefonok biztonsága dedikált példányban

A dedikált példány végpontregisztrációt és hívásfeldolgozást biztosít. A Cisco Unified CM és a végpontok közötti jelzés a Secure Skinny Client Control Protocol (SCCP) vagy a Session Initiation Protocol (SIP) protokollon alapul, és a Transport Layer Security (TLS) használatával titkosítható. A végpontokról vagy végpontokra irányuló adathordozók a Real-Time Transport Protocol (RTP) protokollon alapulnak, és a Secure RTP (SRTP) használatával is titkosíthatók.

A vegyes mód engedélyezése a Unified CM-en lehetővé teszi a Cisco végpontokról és a Cisco végpontokra irányuló jelátviteli és médiaforgalom titkosítását.

Biztonságos UC alkalmazások

Vegyes mód engedélyezése dedikált példányban

A vegyes mód alapértelmezés szerint engedélyezve van a dedikált példányban.

A vegyes mód engedélyezése a dedikált példányban lehetővé teszi a Cisco végpontokról és a Cisco végpontokra irányuló jelátviteli és médiaforgalom titkosítását.

A Cisco Unified CM 12.5(1) kiadásában a Jabber és a Webex ügyfelek számára új lehetőség került hozzáadásra a SIP OAuth alapú jelzések és adathordozók titkosításának engedélyezésére vegyes mód / CTL helyett. Ezért a Unified CM 12.5(1) kiadásában a SIP OAuth és az SRTP használható a Jabber vagy Webex ügyfelek jelzésének és adathordozójának titkosításának engedélyezésére. A vegyes mód engedélyezése jelenleg is szükséges a Cisco IP-telefonokhoz és más Cisco végpontokhoz. Egy jövőbeli kiadásban a SIP OAuth támogatását 7800/8800-as végpontokon is hozzá lehet adni.

Hangüzenetek biztonsága

A Cisco Unity Connection a TLS-porton keresztül csatlakozik a Unified CM-hez. Ha az eszközbiztonsági mód nem biztonságos, a Cisco Unity Connection az SCCP-porton keresztül csatlakozik a Unified CM-hez.

A Unified CM hangüzenet-portok és az SCCP-t futtató Cisco Unity-eszközök vagy SCCP-t futtató Cisco Unity-eszközök biztonságának konfigurálásához a partner biztonságos eszközbiztonsági módot választhat a porthoz. Ha hitelesített hangpostaportot választ, megnyílik egy TLS-kapcsolat, amely kölcsönös tanúsítványcserével hitelesíti az eszközöket (minden eszköz elfogadja a másik eszköz tanúsítványát). Ha titkosított hangpostaportot választ, a rendszer először hitelesíti az eszközöket, majd titkosított hangfolyamokat küld az eszközök között.

A biztonsági hangüzenet-portokkal kapcsolatos további információkért lásd: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Az SRST, a törzsek, az átjárók, a CUBE/SBC biztonsága

A Cisco Unified Survivable Remote Site Telephony (SRST) kompatibilis átjáró korlátozott hívásfeldolgozási feladatokat biztosít, ha a dedikált példányon lévő Cisco Unified CM nem tudja befejezni a hívást.

A biztonságos SRST-kompatibilis átjárók önaírt tanúsítványt tartalmaznak. Miután egy partner SRST konfigurációs feladatokat hajt végre az Egyesített CM felügyeletben, a Unified CM TLS-kapcsolatot használ a hitelesítéshez a Tanúsítványszolgáltató szolgáltatással az SRST-kompatibilis átjáróban. A Unified CM ezután lekéri a tanúsítványt az SRST-kompatibilis átjáróból, és hozzáadja a tanúsítványt az egyesített CM-adatbázishoz.

Miután a partner alaphelyzetbe állította a függő eszközöket az Egyesített CM-felügyeletben, a TFTP-kiszolgáló hozzáadja az SRST-kompatibilis átjárótanúsítványt a telefon cnf.xml fájljához, és elküldi a fájlt a telefonra. A biztonságos telefon ezután TLS-kapcsolatot használ az SRST-kompatibilis átjáróval való interakcióhoz.

Javasoljuk, hogy biztonságos törzsekkel rendelkezzen a Cisco Unified CM-ből az átjáróhoz kimenő PSTN-hívásokhoz vagy a Cisco Unified Border Element (CUBE) áthaladásához szükséges híváshoz.

A SIP trönkök támogathatják a biztonságos hívásokat mind a jelzés, mind a média számára; A TLS jelátviteli titkosítást, az SRTP pedig médiatitkosítást biztosít.

A Cisco Unified CM és a CUBE közötti kommunikáció biztonságossá tétele

A Cisco Unified CM és a CUBE közötti biztonságos kommunikációhoz a partnereknek/ügyfeleknek önaláírt tanúsítványt vagy hitelesítésszolgáltató által aláírt tanúsítványokat kell használniuk.

Önaláírt tanúsítványok esetén:

  1. A CUBE és a Cisco Unified CM önaláírt tanúsítványokat hoz létre

  2. A CUBE tanúsítványt exportál a Cisco Unified CM-be

  3. A Cisco Unified CM tanúsítványt exportál a CUBE-ba

Hitelesítésszolgáltató által aláírt tanúsítványok esetén:

  1. Az ügyfél létrehoz egy kulcspárt, és elküld egy tanúsítvány-aláírási kérelmet (CSR) a hitelesítésszolgáltatónak (CA)

  2. A hitelesítésszolgáltató aláírja a titkos kulcsával, és létrehoz egy identitástanúsítványt

  3. Az ügyfél telepíti a megbízható hitelesítésszolgáltató legfelső szintű és köztes tanúsítványainak listáját, valamint az identitástanúsítványt

Biztonság távoli végpontokhoz

A mobil és távoli hozzáférési (MRA) végpontokkal a jelzés és az adathordozó mindig titkosítva van az MRA végpontok és az Expressway csomópontok között. Ha az MRA-végpontokhoz az Interactive Connectivity Establishment (ICE) protokollt használják, az MRA-végpontok jelzési és médiatitkosítására van szükség. Az Expressway-C és a belső Unified CM szerverek, belső végpontok vagy más belső eszközök közötti jelzés és adathordozó titkosításához azonban vegyes módú vagy SIP OAuth szükséges.

A Cisco Expressway biztonságos tűzfal-bejárást és vonaloldali támogatást nyújt az egységes CM-regisztrációkhoz. A Unified CM hívásvezérlést biztosít mind a mobil, mind a helyszíni végpontok számára. A jelzés áthalad az Expressway megoldáson a távoli végpont és a Unified CM között. A média áthalad az Expressway megoldáson, és közvetlenül továbbítja a végpontok között. Minden adathordozó titkosítva van az Expressway-C és a mobil végpont között.

Bármely MRA megoldáshoz gyorsforgalmi út és Unified CM szükséges, MRA-kompatibilis lágy ügyfelekkel és/vagy rögzített végpontokkal. A megoldás opcionálisan tartalmazhatja az IM and Presence szolgáltatást és a Unity Connection-t.

Protokoll összefoglalása

Az alábbi táblázat a Unified CM megoldásban használt protokollokat és társított szolgáltatásokat mutatja be.

1. táblázat. Protokollok és kapcsolódó szolgáltatások

Protokoll

Biztonság

Szolgáltatás

SIP

TLS

Munkamenet létrehozása: Regisztráció, meghívás stb.

HTTPS

TLS

Bejelentkezés, kiépítés/konfigurálás, címtár, vizuális hangposta

Média

SRTP

Média: Hang, videó, tartalommegosztás

XMPP

TLS

Azonnali üzenetküldés, jelenlét, összevonás

Az MRA konfigurációjával kapcsolatos további információkért lásd: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Konfigurációs beállítások

A dedikált példány rugalmasságot biztosít a partner számára a végfelhasználók szolgáltatásainak testreszabásához a második napi konfigurációk teljes körű vezérlésével. Ennek eredményeképpen a Partner kizárólagos felelősséggel tartozik a Dedikált példány szolgáltatás megfelelő konfigurálásáért a végfelhasználói környezethez. Ez magában foglalja, de nem kizárólagosan a következőket:

  • Biztonságos / nem biztonságos hívások, biztonságos / nem biztonságos protokollok, például SIP / sSIP, http / https stb. kiválasztása és a kapcsolódó kockázatok megértése.

  • Minden olyan MAC-cím esetében, amely nincs biztonságos SIP-ként konfigurálva a dedikált példányban, a támadó SIP-regisztrációs üzenetet küldhet ezzel a MAC-címmel, és SIP-hívásokat kezdeményezhet, ami útdíjcsalást eredményez. A probléma az, hogy a támadó engedély nélkül regisztrálhatja SIP-eszközét/szoftverét a dedikált példányra , ha ismeri a dedikált példányban regisztrált eszköz MAC-címét.

  • Az Expressway-E hívási szabályzatokat, az átalakítási és keresési szabályokat úgy kell konfigurálni, hogy megakadályozzák az útdíjcsalásokat. Az útdíjcsalások gyorsforgalmi utak használatával történő megelőzésével kapcsolatos további információkért lásd: Az SRNDegyüttműködés C gyorsforgalmi útjának és gyorsforgalmi út-E szakaszának biztonsága .

  • Tárcsázási terv konfigurálása annak biztosítására, hogy a felhasználók csak az engedélyezett célállomásokat tárcsázhassák, pl. tiltott national/international a tárcsázás, a segélyhívások megfelelő irányítása stb. A tárcsázási terv használatával történő korlátozások alkalmazásáról további információt a Collaboration SRND Tárcsázási terv szakaszában talál.

Tanúsítványkövetelmények a dedikált példányban lévő biztonságos kapcsolatokhoz

Dedikált példány esetén a Cisco biztosítja a tartományt, és aláírja az UC-alkalmazások összes tanúsítványát egy nyilvános hitelesítésszolgáltató (CA) használatával.

Dedikált példány – portszámok és protokollok

Az alábbi táblázatok a dedikált példányok által támogatott portokat és protokollokat ismertetik. Az adott ügyfél által használt portok az ügyfél telepítésétől és megoldásától függenek. A protokollok az ügyfél preferenciájától (SCCP vs. SIP), a meglévő helyszíni eszközöktől és a biztonsági szinttől függenek, hogy mely portokat kell használni az egyes telepítésekben.

A dedikált példány nem engedélyezi a hálózati címfordítást (NAT) a végpontok és az Unified CM között, mivel a hívásfolyamatok egyes funkciói nem fognak működni, például a hívás közbeni funkció.

Dedikált példány – Ügyfélportok

Az ügyfelek számára elérhető portok – a helyszíni ügyfél és a dedikált példány között – az 1 . táblázat dedikált példány ügyfélportjaiközött láthatók. Az alább felsorolt összes port a társviszony-létesítési kapcsolatokon áthaladó ügyfélforgalomra vonatkozik.

Az SNMP port alapértelmezés szerint csak a Cisco Emergency Responder számára van nyitva a funkcióinak támogatása érdekében. Mivel nem támogatjuk a partnerek vagy ügyfelek számára a Dedicated Instance felhőben telepített UC-alkalmazások monitorozását, nem engedélyezzük az SNMP-port megnyitását más UC-alkalmazások számára.

Az SNMP port engedélyezve van az egyvezetékes (Informacast) alkalmazáshoz (csak az Unified CM alkalmazáshoz). Kérés benyújtásakor győződjön meg arról, hogy a Singlewire alkalmazáshoz társított IP-címek kifejezetten szerepelnek a kérés Engedélyezés oka részében. További információkért lásd a Szervizkérés írása című részt.

Az 5063–5080 tartományba eső portokat a Cisco más felhőintegrációk számára tartja fenn, ezért a partner- vagy ügyfél-adminisztrátoroknak nem ajánlott ezeket a portokat használni a konfigurációikban.

2. táblázat. Dedikált példány Ügyfélportok

Protokoll

TCP/UDP

Forrás

Cél

Forrásport

Célállomás portja

Cél

SSH

TCP

Kliens

UC alkalmazások

Cisco Expressway alkalmazásokhoz nem engedélyezett.

Nagyobb, mint 1023

22

Felügyelet

TFTP

UDP

Végpont

Egységes CM

Nagyobb, mint 1023

69

Régi végpontok támogatása

LDAP

TCP

UC alkalmazások

Külső könyvtár

Nagyobb, mint 1023

389

Címtár-szinkronizálás az ügyfél LDAP-jával

HTTPS

TCP

Böngésző

UC alkalmazások

Nagyobb, mint 1023

443

Webes hozzáférés az öngondoskodási és adminisztrációs felületekhez

Kimenő levelek (SECURE)

TCP

UC-alkalmazás

CUCxn

Nagyobb, mint 1023

587

Biztonságos üzenetek írására és küldésére szolgál bármely kijelölt címzettnek

LDAP (BIZTONSÁGOS)

TCP

UC alkalmazások

Külső könyvtár

Nagyobb, mint 1023

636

Címtár-szinkronizálás az ügyfél LDAP-jával

H323

TCP

Átjáró

Egységes CM

Nagyobb, mint 1023

1720

Hívásjelzés

H323

TCP

Egységes CM

Egységes CM

Nagyobb, mint 1023

1720

Hívásjelzés

SCCP

TCP

Végpont

Egységes CM, CUCxn

Nagyobb, mint 1023

2000

Hívásjelzés

SCCP

TCP

Egységes CM

Egységes CM, átjáró

Nagyobb, mint 1023

2000

Hívásjelzés

MGCP

UDP

Átjáró

Átjáró

Nagyobb, mint 1023

2427

Hívásjelzés

MGCP gerinchálózat

TCP

Átjáró

Egységes CM

Nagyobb, mint 1023

2428

Hívásjelzés

SCCP (BIZTONSÁGOS)

TCP

Végpont

Egységes CM, CUCxn

Nagyobb, mint 1023

2443

Hívásjelzés

SCCP (BIZTONSÁGOS)

TCP

Egységes CM

Egységes CM, átjáró

Nagyobb, mint 1023

2443

Hívásjelzés

Megbízhatóság ellenőrzése

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

2445

Megbízhatóság-ellenőrzési szolgáltatás biztosítása a végpontok számára

CTI

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

2748

Kapcsolat a CTI alkalmazások (JTAPI/TSP) és a CTIManager között

Biztonságos CTI

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

2749

Biztonságos kapcsolat a CTI alkalmazások (JTAPI/TSP) és a CTIManager között

LDAP globális katalógus

TCP

UC alkalmazások

Külső könyvtár

Nagyobb, mint 1023

3268

Címtár-szinkronizálás az ügyfél LDAP-jával

LDAP globális katalógus

TCP

UC alkalmazások

Külső könyvtár

Nagyobb, mint 1023

3269

Címtár-szinkronizálás az ügyfél LDAP-jával

CAPF szolgáltatás

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

3804

Hitelesítésszolgáltatói proxy funkció (CAPF) figyelőportja helyileg jelentős tanúsítványok (LSC) IP-telefonok számára történő kiállításához

SIP

TCP

Végpont

Egységes CM, CUCxn

Nagyobb, mint 1023

5060

Hívásjelzés

SIP

TCP

Egységes CM

Egységes CM, átjáró

Nagyobb, mint 1023

5060

Hívásjelzés

SIP (BIZTONSÁGOS)

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

5061

Hívásjelzés

SIP (BIZTONSÁGOS)

TCP

Egységes CM

Egységes CM, átjáró

Nagyobb, mint 1023

5061

Hívásjelzés

SIP (OAUTH)

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

5090

Hívásjelzés

XMPP

TCP

Jabber kliens

Cisco IM&P

Nagyobb, mint 1023

5222

Csevegés és jelenlét

HTTP

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

6970

Konfiguráció és rendszerképek letöltése végpontokra

HTTPS

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

6971

Konfiguráció és rendszerképek letöltése végpontokra

HTTPS

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

6972

Konfiguráció és rendszerképek letöltése végpontokra

HTTP

TCP

Jabber kliens

CUCxn

Nagyobb, mint 1023

7080

Hangposta-értesítések

HTTPS

TCP

Jabber kliens

CUCxn

Nagyobb, mint 1023

7443

Biztonságos hangposta-értesítések

HTTPS

TCP

Egységes CM

Egységes CM

Nagyobb, mint 1023

7501

Az Intercluster Lookup Service (ILS) használja a tanúsítványalapú hitelesítéshez

HTTPS

TCP

Egységes CM

Egységes CM

Nagyobb, mint 1023

7502

Az ILS használja jelszóalapú hitelesítéshez

IMAP

TCP

Jabber kliens

CUCxn

Nagyobb, mint 1023

7993

IMAP TLS-en keresztül

HTTP

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

8080

Könyvtár URI a régi végpontok támogatásához

HTTPS

TCP

Böngésző, végpont

UC alkalmazások

Nagyobb, mint 1023

8443

Webes hozzáférés öngondoskodási és felügyeleti felületekhez, UDS

HTTPS

TCP

Telefon

Egységes CM

Nagyobb, mint 1023

9443

Hitelesített névjegykeresés

HTTP-k

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

9444

Fejhallgató-kezelési funkció

Biztonságos RTP/SRTP

UDP

Egységes CM

Telefon

16384-től 32767-ig *

16384-től 32767-ig *

Média (audio) - Zene várakoztatva, Angyali üdvözlő, Szoftveres konferenciahíd (hívásjelzés alapján nyitva)

Biztonságos RTP/SRTP

UDP

Telefon

Egységes CM

16384-től 32767-ig *

16384-től 32767-ig *

Média (audio) - Zene várakoztatva, Angyali üdvözlő, Szoftveres konferenciahíd (hívásjelzés alapján nyitva)

KOBrák

TCP

Kliens

CUCxn

Nagyobb, mint 1023

20532

Alkalmazáscsomag biztonsági mentése és visszaállítása

ICMP

ICMP

Végpont

UC alkalmazások

n.a.

n.a.

Pingelés

ICMP

ICMP

UC alkalmazások

Végpont

n.a.

n.a.

Pingelés
DNS UDP és TCP

DNS-továbbító

Dedikált példány DNS-kiszolgálók

Nagyobb, mint 1023

 53

Ügyfél által üzemeltetett DNS-továbbítók dedikált példány DNS-kiszolgálókra. További információkért lásd a DNS-követelmények részt.

* Bizonyos speciális esetek nagyobb tartományt használhatnak.

Dedikált példány – OTT portok

A következő portot használhatják az ügyfelek és partnerek mobil és távoli hozzáférés (MRA) beállításához:

3. táblázat. OTT port

Protokoll

TCP/UCP

Forrás

Cél

Forrásport

Célállomás portja

Cél

BIZTONSÁGOS RTP/RTCP

UDP

C gyorsforgalmi út

Kliens

Nagyobb, mint 1023

36000-59999

Biztonságos média MRA- és B2B-hívásokhoz

Inter-op SIP trunk a Multitenant és a Dedicated Instance között (csak regisztrációalapú trunk esetén)

A következő portok listáját engedélyezni kell az ügyfél tűzfalán a regisztrációalapú SIP-trunk számára, amely a többfelhasználós és a dedikált példány között csatlakozik.

4. táblázat. Regisztrációalapú törzsekhez való port

Protokoll

TCP/UCP

Forrás

Cél

Forrásport

Célállomás portja

Cél

RTP/RTCP

UDP

Webex hívás több bérlős számára

Kliens

Nagyobb, mint 1023

8000-48198

Média a Webex Calling Multitenant-tól

Dedikált példány – UCCX portok

Az ügyfelek és partnerek a portok alábbi listáját használhatják az UCCX konfigurálásához.

5. táblázat. Cisco UCCX portok

Protokoll

TCP / UCP

Forrás

Cél

Forrásport

Célállomás portja

Cél

SSH

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

22

SFTP és SSH

Informix

TCP

Ügyfél vagy kiszolgáló

Uniós Vámkódex

Nagyobb, mint 1023

1504

Contact Center Express adatbázis port

SIP

UDP és TCP

SIP GW vagy MCRP szerver

Uniós Vámkódex

Nagyobb, mint 1023

5065

Kommunikáció távoli GW és MCRP csomópontokkal

XMPP

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

5223

Biztonságos XMPP-kapcsolat a Finesse szerver és az egyéni, harmadik féltől származó alkalmazások között

Kábv

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

6999

Szerkesztő CCX alkalmazásokhoz

HTTPS

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

7443

Biztonságos BOSH-kapcsolat a Finesse szerver és az ügynöki és felügyeleti asztalok között a HTTPS-en keresztüli kommunikációhoz

HTTP

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

8080

Élő adatjelentéseket készítő kliensek csatlakoznak egy socket.IO szerverhez

HTTP

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

8081

Ügyfélböngésző, amely megpróbálja elérni a Cisco Unified Intelligence Center webes felületét

HTTP

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

8443

Adminisztrátori grafikus felhasználói felület, RTMT, adatbázis hozzáférés SOAP-on keresztül

HTTPS

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

8444

A Cisco Unified Intelligence Center webes felülete

HTTPS

TCP

Böngésző- és REST-ügyfelek

Uniós Vámkódex

Nagyobb, mint 1023

8445

Biztonságos port a Finesse számára

HTTPS

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

8447

HTTPS – Unified Intelligence Center online súgó

HTTPS

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

8553

Az egyszeri bejelentkezési (SSO) komponensek ezen a felületen keresztül tájékozódnak a Cisco IdS működési állapotáról.

HTTP

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

9080

Azok az ügyfelek, amelyek HTTP-eseményindítókhoz vagy dokumentumokhoz / kérésekhez / nyelvtanokhoz / élő adatokhoz próbálnak hozzáférni.

HTTPS

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

9443

Biztonságos port, amely a HTTPS-eseményindítókhoz hozzáférni próbáló ügyfelekre való reagáláshoz használatos

TCP

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

12014

Ez az a port, ahol az élő adatjelentéseket készítő kliensek csatlakozhatnak a socket.IO szerverhez.

TCP

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

12015

Ez az a port, ahol az élő adatjelentéseket készítő kliensek csatlakozhatnak a socket.IO szerverhez.

CTI

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

12028

Harmadik féltől származó CTI kliens CCX-hez

RTP(Média)

TCP

Végpont

Uniós Vámkódex

Nagyobb, mint 1023

Nagyobb, mint 1023

Az adathordozó-port szükség szerint dinamikusan nyílik meg

RTP(Média)

TCP

Kliens

Végpont

Nagyobb, mint 1023

Nagyobb, mint 1023

Az adathordozó-port szükség szerint dinamikusan nyílik meg

Ügyfélbiztonság

A Jabber és a Webex biztonságossá tétele a SIP OAuth segítségével

A Jabber és a Webex ügyfelek hitelesítése OAuth-jogkivonaton keresztül történik helyileg jelentős tanúsítvány (LSC) helyett, amely nem igényel hitelesítésszolgáltatói proxy funkció (CAPF) engedélyezését (az MRA esetében is). A SIP OAuth vegyes móddal vagy anélkül történő működését a Cisco Unified CM 12.5 (1), a Jabber 12.5 és az Expressway X12.5 vezette be.

A Cisco Unified CM 12.5-ben van egy új lehetőségünk a Telefonbiztonsági profilban, amely lehetővé teszi az LSC/CAPF nélküli titkosítást, egyetlen Transport Layer Security (TLS) + OAuth token használatával a SIP REGISTER-ben. Az Expressway-C csomópontok az Administrative XML Web Service (AXL) API-t használják a Cisco Unified CM tájékoztatására az SN/SAN-ról a tanúsítványukban. A Cisco Unified CM ezeket az információkat használja az Exp-C tanúsítvány érvényesítésére kölcsönös TLS-kapcsolat létrehozásakor.

A SIP OAuth lehetővé teszi az adathordozók és a jelek titkosítását végponti tanúsítvány (LSC) nélkül.

A Cisco Jabber efemer portokat, valamint biztonságos 6971-es és 6972-es portokat használ HTTPS-kapcsolaton keresztül a TFTP-kiszolgálóhoz a konfigurációs fájlok letöltéséhez. A 6970-es port egy nem biztonságos port a HTTP-n keresztüli letöltéshez.

További részletek a SIP OAuth konfigurációról: SIP OAuth mód.

DNS-követelmények

Dedikált példány esetén a Cisco a következő formátumban <customer>biztosítja a szolgáltatás teljes tartománynevét az egyes régiókban.<region> wxc-di.webex.com például xyz.amer.wxc-di.webex.com.

Az "ügyfél" értéket a rendszergazda biztosítja az Első beállítás varázsló (FTSW) részeként. További információ: Dedikált példányszolgáltatás aktiválása.

Az FQDN DNS-rekordjainak feloldhatónak kell lenniük az ügyfél belső DNS-kiszolgálójáról, hogy támogassák a dedikált példányhoz csatlakozó helyszíni eszközöket. A feloldás megkönnyítése érdekében az ügyfélnek konfigurálnia kell egy feltételes továbbítót ehhez a teljes tartománynévhez a DNS-kiszolgálón, amely a dedikált példány DNS-szolgáltatására mutat. A dedikált példány DNS-szolgáltatása regionális, és a dedikált példányhoz való társviszony-létesítésen keresztül érhető el az alábbi táblázatban szereplő IP-címek használatával : Dedikált példány DNS-szolgáltatás IP-címe.

6. táblázat. Dedikált példány DNS-szolgáltatásának IP-címe

Régió/DC

Dedikált példány DNS-szolgáltatásának IP-címe

Példa feltételes továbbításra

AMER

 <customer>.amer.wxc-di.webex.com

Sjc

69.168.17.100

Dfw

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

Lon

178.215.138.100

Ams

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

Ams

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

Bűn

103.232.71.100

TKY

103.232.71.228

AUS

 <customer>.aus.wxc-di.webex.com

Mel

178.215.128.100

Syd

178.215.128.228

Egyesült Királyság

 <customer>.uk.wxc-di.webex.com

Lon

178.215.135.100

FÉRFI

178.215.135.228

KSA

 <customer>.sa.wxc-di.webex.com

JED

 178.215.140.100

RHU

 178.215.140.228

A ping opció biztonsági okokból le van tiltva a fent említett DNS-kiszolgáló IP-címeinél.

Amíg a feltételes továbbítás nem történik meg, az eszközök nem tudnak regisztrálni a dedikált példányra az ügyfél belső hálózatáról a társviszony-létesítési hivatkozásokon keresztül. A mobil- és távelérésen (MRA) keresztüli regisztrációhoz nincs szükség feltételes továbbításra, mivel az MRA megkönnyítéséhez szükséges összes külső DNS-rekordot a Cisco előre kiépíti.

Ha a Webex alkalmazást hívó lágy kliensként használja dedikált példányon, UC Manager profilt kell konfigurálni a Control Hubban az egyes régiók hangszolgáltatási tartományához (VSD). További információ: UC Manager profilok a Cisco Webex Control Hubban. A Webex alkalmazás képes lesz automatikusan feloldani az ügyfél Expressway Edge-jét végfelhasználói beavatkozás nélkül.

A hangszolgáltatás tartománya a partner hozzáférési dokumentumának részeként lesz megadva az ügyfélnek, miután a szolgáltatás aktiválása befejeződött.

Használjon helyi routert a telefon DNS-feloldásához

Az olyan telefonok esetében, amelyek nem férnek hozzá a vállalati DNS-kiszolgálókhoz, lehetőség van egy helyi Cisco router használatára a DNS-kéréseknek a dedikált példány felhőalapú DNS-éhez való továbbítására. Ez szükségtelenné teszi a helyi DNS-kiszolgáló telepítését, és teljes DNS-támogatást biztosít, beleértve a gyorsítótárazást is.

Példa konfiguráció :

!

ip dns szerver

ip névszerver <DI DNS Server IP DC1> <DI DNS Server IP DC2>

!

Ebben a telepítési modellben a DNS-használat telefonokra jellemző, és csak az ügyfél dedikált példányának tartományával való FQDN-ek feloldására használható.

Telefon DNS-feloldás