A dedikált példány hálózati követelményei

A Webex Calling Dedicated Instance a Cisco Cloud Calling portfólió része, amelyet a Cisco Unified Communications Manager (Cisco Unified CM) együttműködési technológia hajt. A Dedicated Instance hang-, video-, üzenetküldési és mobilitási megoldásokat kínál a Cisco IP-telefonok, mobileszközök és asztali ügyfelek funkcióival és előnyeivel, amelyek biztonságosan csatlakoznak a dedikált példányhoz.

Ez a cikk azoknak a hálózati rendszergazdáknak szól, különösen a tűzfal- és proxybiztonsági rendszergazdáknak, akik dedikált példányt szeretnének használni a szervezetükön belül. Ez a dokumentum elsősorban a dedikált példánymegoldás hálózati követelményeire és biztonságára összpontosít, beleértve a biztonságos fizikai hozzáférést, biztonságos hálózatot, biztonságos végpontokat és biztonságos Cisco UC-alkalmazásokat biztosító funkciók és funkciók réteges megközelítését.

Biztonság – áttekintés: Biztonság rétegekben

A Dedikált példány réteges megközelítést használ a biztonság érdekében. A rétegek a következők:

  • Fizikai hozzáférés

  • Hálózat

  • Végpontok

  • UC-alkalmazások

A következő szakaszok a dedikált példányok központi telepítéseinek biztonsági rétegeit ismertetik.

Fizikai biztonság

Fontos, hogy fizikai biztonságot nyújtsunk az Equinix Meet-Me Room helyszíneken és a Cisco dedikált példány adatközponti létesítményeiben. Ha a fizikai biztonság veszélybe kerül, egyszerű támadások, például szolgáltatásmegszakítások kezdeményezhetők az ügyfél kapcsolóinak áramellátásának leállításával. Fizikai hozzáféréssel a támadók hozzáférhetnek a kiszolgálóeszközökhöz, visszaállíthatják a jelszavakat, és hozzáférhetnek a kapcsolókhoz. A fizikai hozzáférés is megkönnyíti a kifinomultabb támadásokat, például az ember-közép támadásokat, ezért a második biztonsági réteg, a hálózati biztonság kritikus.

Az öntitkosító meghajtókat az UC-alkalmazásokat tároló dedikált példány adatközpontokban használják.

Az általános biztonsági gyakorlatról további információt az alábbi helyen található dokumentációban talál: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Hálózati biztonság

A partnereknek biztosítaniuk kell, hogy az összes hálózati elem a dedikált példány infrastruktúrájában legyen biztosítva (amely az Equinixen keresztül csatlakozik). A partner felelőssége, hogy biztosítsa a biztonsági bevált gyakorlatokat, mint például:

  • Külön VLAN a hanghoz és az adatokhoz

  • Portbiztonság engedélyezése, amely korlátozza a portonként engedélyezett MAC-címek számát a CAM-táblák elárasztásával szemben

  • IP-forrásvédő a hamisított IP-címek ellen

  • A Dynamic ARP Inspection (DAI) megvizsgálja a címfeloldási protokollt (ARP) és az ingyenes ARP-t (GARP) a jogsértésekért (az ARP hamisítás ellen)

  • 802.1x korlátozza a hálózati hozzáférést a hitelesített eszközökhöz a hozzárendelt VLAN-okon (a telefonok támogatják a 802-es számot.1x)

  • A szolgáltatás minőségének (QoS) beállítása a hangcsomagok megfelelő jelöléséhez

  • Tűzfalportok konfigurációi bármely más forgalom blokkolására

Végpontok biztonsága

A Cisco végpontok támogatják az alapértelmezett biztonsági szolgáltatásokat, például az aláírt belső vezérlőprogramot, a biztonságos rendszerindítást (kiválasztott modellek), a gyártó által telepített tanúsítványt (MIC) és az aláírt konfigurációs fájlokat, amelyek bizonyos szintű biztonságot nyújtanak a végpontok számára.

Ezenkívül egy partner vagy ügyfél további biztonságot is engedélyezhet, például:

  • IP-telefonszolgáltatások titkosítása (HTTPS-en keresztül) olyan szolgáltatásokhoz, mint az Extension Mobility

  • Helyileg jelentős tanúsítványok (LSC-k) kibocsátása a hitelesítésszolgáltató proxyfüggvényétől (CAPF) vagy egy nyilvános hitelesítésszolgáltatótól (CA)

  • Konfigurációs fájlok titkosítása

  • Adathordozó és jelátvitel titkosítása

  • Tiltsa le ezeket a beállításokat, ha nem használják őket: PC port, PC Voice VLAN Access, Ingyenes ARP, Web Access, Beállítások gomb, SSH, konzol

A dedikált példány biztonsági mechanizmusainak végrehajtása megakadályozza a telefonok és az egyesített CM-kiszolgáló személyazonosság-lopását, az adatok manipulálását, valamint a hívásjelzést / médiafolyam-illetéktelen beavatkozást.

Dedikált példány a hálózaton keresztül:

  • Hitelesített kommunikációs adatfolyamok létrehozása és karbantartása

  • Fájlok digitális aláírása a fájl telefonra történő átvitele előtt

  • Titkosítja a Cisco Unified IP-telefonok közötti médiafolyamokat és hívásjeleket

Alapértelmezett biztonsági telepítő

A Biztonság alapértelmezés szerint a következő automatikus biztonsági funkciókat biztosítja a Cisco Unified IP-telefonokhoz:

  • A telefonkonfigurációs fájlok aláírása

  • A telefonkonfigurációs fájltitkosítás támogatása

  • HTTPS a Tomcat és más webszolgáltatásokkal (MIDlets)

A Unified CM Release 8.0 később esetén ezek a biztonsági funkciók alapértelmezés szerint a megbízható tanúsítványok listájának (CTL) ügyfél futtatása nélkül érhetők el.

Megbízhatóság-ellenőrzési szolgáltatás

Mivel a hálózatban nagyszámú telefon található, és az IP-telefonok korlátozott memóriával rendelkeznek, a Cisco Unified CM távoli bizalmi tárolóként működik a Megbízhatóság-ellenőrző Szolgáltatáson (TVS) keresztül, így a tanúsítvány-bizalmi tárolót nem kell minden telefonon elhelyezni. A Cisco IP-telefonok ellenőrzés céljából kapcsolatba lépnek a TVS-kiszolgálóval, mert CTL- vagy ITL-fájlokon keresztül nem tudják ellenőrizni az aláírást vagy tanúsítványt. A központi bizalmi tároló használata könnyebben kezelhető, mint a bizalmi tároló minden Cisco Unified IP-telefonon.

A TVS lehetővé teszi a Cisco Unified IP-telefonok számára, hogy hitelesítsék az alkalmazáskiszolgálókat, például az EM-szolgáltatásokat, a könyvtárat és a MIDletet a HTTPS-telepítés során.

Kezdeti megbízhatósági lista

A kezdeti megbízhatósági lista (ITL) fájlja a kezdeti biztonsághoz használatos, így a végpontok megbízhatnak a Cisco Unified CM-ben. Az ITL-nek nincs szüksége semmilyen biztonsági funkcióra a kifejezetten engedélyezéshez. Az ITL-fájl automatikusan létrejön a fürt telepítésekor. Az ITL-fájl aláírásához a Unified CM Trivial File Transfer Protocol (TFTP) kiszolgáló személyes kulcsa használható.

Ha a Cisco Unified CM fürt vagy kiszolgáló nem biztonságos módban van, az ITL-fájl minden támogatott Cisco IP-telefonon letöltődik. A partner megtekintheti az ITL-fájlok tartalmát a CLI, admin:show itl paranccsal.

A Cisco IP-telefonoknak a következő feladatok végrehajtásához szükségük van az ITL-fájlra:

  • Biztonságos kommunikáció a CAPF-fel, amely a konfigurációs fájl titkosításának támogatásának előfeltétele

  • A konfigurációs fájl aláírásának hitelesítése

  • Alkalmazáskiszolgálók, például EM-szolgáltatások, címtárak és MIDlet hitelesítése a HTTPS-telepítés során a TVS használatával

Cisco CTL

Az eszköz-, fájl- és jelhitelesítés a megbízható tanúsítványok listájának (CTL) fájljának létrehozásán alapul, amely akkor jön létre, amikor a partner vagy az ügyfél telepíti és konfigurálja a Cisco tanúsítvány megbízhatósági lista ügyfélprogramját.

A CTL-fájl a következő kiszolgálók vagy biztonsági jogkivonatok bejegyzéseit tartalmazza:

  • Rendszergazdai biztonsági jogkivonat (SAST)

  • Ugyanazon a kiszolgálón futó Cisco CallManager és Cisco TFTP szolgáltatások

  • Hitelesítésszolgáltató proxyfüggvénye (CAPF)

  • TFTP-kiszolgáló(k)

  • ASA tűzfal

A CTL-fájl tartalmaz egy kiszolgálótanúsítványt, nyilvános kulcsot, sorozatszámot, aláírást, kiállító nevét, tulajdonos nevét, kiszolgálófunkciót, DNS-nevet és IP-címet minden kiszolgálóhoz.

A CTL-lel ellátott telefonbiztonság a következő funkciókat biztosítja:

  • A TFTP által letöltött fájlok (konfiguráció, területi beállítás, gyűrűlista stb.) hitelesítése aláírási kulccsal

  • TFTP konfigurációs fájlok titkosítása aláírási kulccsal

  • Titkosított hívásjelezés IP-telefonokhoz

  • Titkosított hívási hang (adathordozó) IP-telefonokhoz

Cisco IP-telefonok biztonsága dedikált példányban

A Dedikált példány végpontregisztrációt és hívásfeldolgozást biztosít. A Cisco Unified CM és a végpontok közötti jelátvitel a Secure Skinny Client Control Protocol (SCCP) vagy a Session Initiation Protocol (SIP) protokollon alapul, és a Transport Layer Security (TLS) használatával titkosítható. A végpontokról/végpontokra mutató adathordozók valós idejű átviteli protokollon (RTP) alapulnak, és biztonságos RTP (SRTP) használatával is titkosíthatók.

A vegyes mód engedélyezése a Unified CM-en lehetővé teszi a Cisco végpontjairól érkező és oda irányuló jel- és médiaforgalom titkosítását.

Biztonságos UC alkalmazások

Vegyes mód engedélyezése dedikált példányban

A vegyes mód alapértelmezés szerint nincs engedélyezve a Dedikált példányban .

A vegyes mód engedélyezése a Dedikált példányban lehetővé teszi a jel- és médiaforgalom titkosítását a Cisco végpontjairól és a Cisco végpontjaira.

A Cisco Unified CM 12.5(1) kiadásában a Jabber és a Webex kliensek számára új lehetőség került hozzáadásra a jelátvitel és a média SIP OAuth alapú titkosításának engedélyezésére a vegyes mód / CTL helyett. Ezért a Unified CM 12.5(1) kiadásában a SIP OAuth és az SRTP használható a Jabber vagy Webex ügyfelek jelzésének és adathordozóinak titkosításának engedélyezésére. A Cisco IP-telefonok és más Cisco végpontok esetében továbbra is szükség van a vegyes mód engedélyezésére. A terv szerint a SIP OAuth támogatja a 7800/8800 végpontokat egy későbbi kiadásban.

Hangüzenetek biztonsága

A Cisco Unity Connection a TLS-porton keresztül csatlakozik az Egyesített CM-hez. Ha az eszköz biztonsági üzemmódja nem biztonságos, a Cisco Unity Connection az SCCP-porton keresztül csatlakozik az egyesített CM-hez.

Az SCCP-t futtató SCCP- vagy Cisco Unity-kapcsolati eszközöket futtató Unified CM hang-üzenetküldő portok és Cisco Unity-kapcsolatok biztonságának konfigurálásához a partner biztonságos eszközbiztonsági módot választhat a porthoz. Ha hitelesített hangpostaportot választ, megnyílik egy TLS-kapcsolat, amely kölcsönös tanúsítványcserével hitelesíti az eszközöket (minden eszköz elfogadja a másik eszköz tanúsítványát). Ha titkosított hangpostaportot választ, a rendszer először hitelesíti az eszközöket, majd titkosított hangfolyamokat küld az eszközök között.

A Security Voice üzenetküldő portokról további információt a következő témakörökben talál: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

SRST, Trunks, Gateways, CUBE/SBC biztonság

A Cisco Unified Survivable Remote Site Telephony (SRST) által engedélyezett átjáró korlátozott hívásfeldolgozási feladatokat biztosít, ha a Cisco Unified CM dedikált példányon nem tudja befejezni a hívást.

A biztonságos SRST-kompatibilis átjárók önaláírt tanúsítványt tartalmaznak. Miután egy partner SRST konfigurációs feladatokat hajt végre az Egyesített CM-felügyeletben, az Egyesített CM TLS-kapcsolatot használ az SRST-kompatibilis átjáró tanúsítványszolgáltató szolgáltatásával való hitelesítéshez. Az egyesített cm ezután lekéri a tanúsítványt az SRST-kompatibilis átjáróból, és hozzáadja a tanúsítványt az Egyesített CM-adatbázishoz.

Miután a partner visszaállította a függő eszközöket az Egyesített CM-felügyeletben, a TFTP-kiszolgáló hozzáadja az SRST-kompatibilis átjárótanúsítványt a telefon cnf.xml fájljához, és elküldi a fájlt a telefonnak. A biztonságos telefon ezután TLS-kapcsolatot használ az SRST-kompatibilis átjáróval való interakcióhoz.

Javasoljuk, hogy a Cisco Unified CM-től az átjáróhoz érkező híváshoz biztonságos törzsekkel rendelkezzen a kimenő PSTN-hívásokhoz vagy a Cisco Unified Border Element (CUBE) rendszeren keresztül történő áthaladáshoz.

A SIP törzsek támogatják a biztonságos hívásokat mind a jelzéshez, mind a médiához; A TLS jeltitkosítást, az SRTP pedig médiatitkosítást biztosít.

Kommunikáció biztosítása a Cisco Unified CM és a CUBE között

A Cisco Unified CM és a CUBE közötti biztonságos kommunikációhoz a partnereknek/ügyfeleknek önaláírt tanúsítványt vagy hitelesítésszolgáltató által aláírt tanúsítványokat kell használniuk.

Önaláírt tanúsítványok esetén:

  1. A CUBE és a Cisco Unified CM önaláírt tanúsítványokat hoz létre

  2. A CUBE tanúsítvány exportálása a Cisco Unified CM-be

  3. A Cisco Unified CM tanúsítványt exportál a CUBE-ba

Hitelesítésszolgáltató által aláírt tanúsítványok esetén:

  1. Az ügyfél létrehoz egy kulcspárt, és tanúsítványaláírási kérelmet (CSR) küld a hitelesítésszolgáltatónak (CA)

  2. A hitelesítésszolgáltató a személyes kulccsal írja alá, létrehozva egy identitástanúsítványt

  3. Az ügyfél telepíti a megbízható hitelesítésszolgáltatói gyökér- és közvetítőtanúsítványok listáját, valamint az identitástanúsítványt

Távoli végpontok biztonsága

A mobil- és távelérési (MRA) végpontok esetében a jelátvitel és az adathordozó mindig titkosítva van az MRA végpontok és az expressz autópálya-csomópontok között. Ha az INTERACTIVE Connectivity Establishment (ICE) protokollt használják az MRA-végpontokhoz, az MRA-végpontok jelzésére és médiatitkosítására van szükség. Az Expressway-C és a belső Egyesített CM-kiszolgálók, belső végpontok vagy más belső eszközök közötti jelátviteli és adathordozó titkosításához azonban vegyes módú vagy SIP OAuth szükséges.

A Cisco Expressway biztonságos tűzfal-áthaladást és vonaloldali támogatást biztosít az egyesített CM-regisztrációkhoz. Az egyesített cm hívásvezérlést biztosít mind a mobil, mind a helyszíni végpontok számára. A jelzés áthalad az Expressway megoldáson a távoli végpont és az Egyesített CM között. A média áthalad az Expressway megoldáson, és közvetlenül továbbítódik a végpontok között. Minden adathordozó titkosítva van az expressway-C és a mobil végpont között.

Minden MRA-megoldáshoz expressz és unified CM szükséges, MRA-kompatibilis soft kliensekkel és/vagy rögzített végpontokkal. A megoldás opcionálisan magában foglalhatja a csevegési és jelenléti szolgáltatást, valamint az Egységkapcsolatot.

Protokoll összefoglalása

Az alábbi táblázat az Egyesített CM-megoldásban használt protokollokat és kapcsolódó szolgáltatásokat mutatja be.

1. táblázat. Protokollok és kapcsolódó szolgáltatások

Protokoll

Biztonság

Szolgáltatás

SIP

TLS

Ülés létrehozása: Regisztráció, meghívás stb.

HTTPS

TLS

Bejelentkezés, Kiépítés/konfiguráció, Könyvtár, Vizuális hangposta

Média

SRTP

Média: Hang-, videó-, tartalommegosztás

XMPP

TLS

Azonnali üzenetküldés, jelenlét, összevonás

Az MRA-konfigurációval kapcsolatos további tudnivalókért tanulmányozza a következőket: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Konfigurációs beállítások

A dedikált példány rugalmasságot biztosít a Partner számára a végfelhasználók számára nyújtott szolgáltatások testreszabásához a második nap konfigurációinak teljes vezérlésével. Ennek eredményeként kizárólag a Partner felelős a dedikált példányszolgáltatás megfelelő konfigurálásáért a végfelhasználó környezetéhez. Ez magában foglalja, de nem kizárólagosan:

  • Biztonságos/nem biztonságos hívások, biztonságos/nem biztonságos protokollok, például SIP/sSIP, http/https stb. kiválasztása és a kapcsolódó kockázatok megértése.

  • A dedikált példányban nem biztonságos SIP-ként konfigurált MAC-címek esetében a támadó sip regiszter üzenetet küldhet az adott MAC-cím használatával, és SIP-hívásokat kezdeményezhet, ami útdíjcsaláshoz vezethet. A perquisite az, hogy a támadó engedély nélkül regisztrálhatja SIP-eszközét/szoftverét a dedikált példányban , ha ismeri a dedikált példányban regisztrált eszköz MAC-címét.

  • Az autópálya-E hívási szabályzatokat, az átalakítási és keresési szabályokat úgy kell konfigurálni, hogy megakadályozzák az útdíjcsalásokat. Az autópálya-utakon történő útdíjcsalás megelőzésével kapcsolatos további információkért tekintse meg az Együttműködési SRND"C" és gyorsforgalmi út-E szakaszának biztonságát.

  • Tárcsázási terv konfigurációja annak biztosítása érdekében, hogy a felhasználók csak az engedélyezett rendeltetési helyeket tárcsázhassák, például tiltsák meg a nemzeti /nemzetközi tárcsázást, a segélyhívásokat megfelelően irányítják stb. A korlátozások tárcsázási csomag használatával történő alkalmazásáról további információt az Együttműködési SRND Tárcsázási terv című részében talál.

A dedikált példány biztonságos kapcsolataira vonatkozó tanúsítványkövetelmények

Dedikált példány esetén a Cisco biztosítja a tartományt, és aláírja az UC-alkalmazások összes tanúsítványát egy nyilvános hitelesítésszolgáltató (CA) használatával.

Dedikált példány – portszámok és protokollok

Az alábbi táblázatok a Dedikált példányban támogatott portokat és protokollokat ismertetik. Az adott ügyfélhez használt portok az Ügyfél üzembe helyezésétől és megoldásától függenek. A protokollok az ügyfél preferenciájától (SCCP vs SIP), a meglévő helyszíni eszközöktől és attól függnek, hogy milyen szintű biztonságot kell használni az egyes telepítések során.

Dedikált példány – ügyfélportok

Az ügyfelek számára elérhető portok – az Ügyfél telephelye és a Dedikált példány között – az 1 . táblázat dedikált példány ügyfélportjaibantalálhatók. Az alább felsorolt portok mindegyike a társviszony-kapcsolaton áthaladó ügyfélforgalomra szolgál.


Az SNMP-port csak a CER funkcióihoz támogatott, és más harmadik féltől származó felügyeleti eszközökhöz nem.


Az 5063 és 5080 közötti portokat a Cisco más felhőintegrációk számára tartja fenn, a partner- vagy ügyféladminisztrátoroknak ajánlott, hogy ne használják ezeket a portokat a konfigurációikban.

2. táblázat. Dedikált példány ügyfélportjai

Protokoll

TCP/UCP

Forrás

Cél

Forrásport

Célport

Cél

SSH

TCP

Kliens

UC-alkalmazások

Nagyobb, mint 1023

22

Adminisztráció

LDAP

TCP

UC-alkalmazások

Külső könyvtár

Nagyobb, mint 1023

389

Címtár-szinkronizálás az ügyfél LDAP-jával

HTTPS

TCP

Böngésző

UC-alkalmazások

Nagyobb, mint 1023

443

Webes hozzáférés öngondoskodási és felügyeleti felületekhez

LDAP (BIZTONSÁGOS)

TCP

UC-alkalmazások

Külső könyvtár

Nagyobb, mint 1023

636

Címtár-szinkronizálás az ügyfél LDAP-jával

SCCP

TCP

Végpont

Egységes CM, CUCxn

Nagyobb, mint 1023

2000

Hívásjelzés

SCCP

TCP

Unified CM

Egyesített CM, Átjáró

Nagyobb, mint 1023

2000

Hívásjelzés

SCCP (BIZTONSÁGOS)

TCP

Végpont

Egységes CM, CUCxn

Nagyobb, mint 1023

2443

Hívásjelzés

SCCP (BIZTONSÁGOS)

TCP

Unified CM

Egyesített CM, Átjáró

Nagyobb, mint 1023

2443

Hívásjelzés

Megbízhatóság ellenőrzése

TCP

Végpont

Unified CM

Nagyobb, mint 1023

2445

Megbízhatóság-ellenőrzési szolgáltatás nyújtása végpontok számára

CTI

TCP

Végpont

Unified CM

Nagyobb, mint 1023

2748

Kapcsolat CTI-alkalmazások (JTAPI/TSP) és CTIManager között

Biztonságos CTI

TCP

Végpont

Unified CM

Nagyobb, mint 1023

2749

Biztonságos kapcsolat a CTI alkalmazások (JTAPI/TSP) és a CTIManager között

LDAP globális katalógus

TCP

UC alkalmazások

Külső könyvtár

Nagyobb, mint 1023

3268

Címtár-szinkronizálás az ügyfél LDAP-jával

LDAP globális katalógus

TCP

UC alkalmazások

Külső könyvtár

Nagyobb, mint 1023

3269

Címtár-szinkronizálás az ügyfél LDAP-jával

CAPF szolgáltatás

TCP

Végpont

Unified CM

Nagyobb, mint 1023

3804

Hitelesítésszolgáltató proxyfunkciója (CAPF) figyelési portja a helyileg jelentős tanúsítványok (LSC) IP-telefonokra történő kiadásához

SIP

TCP

Végpont

Egységes CM, CUCxn

Nagyobb, mint 1023

5060

Hívásjelzés

SIP

TCP

Unified CM

Egyesített CM, Átjáró

Nagyobb, mint 1023

5060

Hívásjelzés

SIP (BIZTONSÁGOS)

TCP

Végpont

Unified CM

Nagyobb, mint 1023

5061

Hívásjelzés

SIP (BIZTONSÁGOS)

TCP

Unified CM

Egyesített CM, Átjáró

Nagyobb, mint 1023

5061

Hívásjelzés

SIP (OAUTH)

TCP

Végpont

Unified CM

Nagyobb, mint 1023

5090

Hívásjelzés

XMPP

TCP

Jabber ügyfél

Cisco csevegési és p

Nagyobb, mint 1023

5222

Azonnali üzenetküldés és jelenlét

HTTP

TCP

Végpont

Unified CM

Nagyobb, mint 1023

6970

Konfiguráció és képek letöltése végpontokra

HTTPS

TCP

Végpont

Unified CM

Nagyobb, mint 1023

6971

Konfiguráció és képek letöltése végpontokra

HTTPS

TCP

Végpont

Unified CM

Nagyobb, mint 1023

6972

Konfiguráció és képek letöltése végpontokra

HTTP

TCP

Jabber ügyfél

CUCxn

Nagyobb, mint 1023

7080

Hangposta-értesítések

HTTPS

TCP

Jabber ügyfél

CUCxn

Nagyobb, mint 1023

7443

Biztonságos hangposta-értesítések

HTTPS

TCP

Unified CM

Unified CM

Nagyobb, mint 1023

7501

Az Intercluster Searchup Service (ILS) által használt tanúsítványalapú hitelesítéshez

HTTPS

TCP

Unified CM

Unified CM

Nagyobb, mint 1023

7502

Az ILS jelszóalapú hitelesítéshez használja

IMAP

TCP

Jabber ügyfél

CUCxn

Nagyobb, mint 1023

7993

IMAP TLS-en keresztül

HTTPS

TCP

Böngésző, Végpont

UC-alkalmazások

Nagyobb, mint 1023

8443

Webhozzáférés öngondoskodási és felügyeleti felületekhez, UDS

HTTPS

TCP

Prem

Unified CM

Nagyobb, mint 1023

9443

Hitelesített partnerkeresés

Biztonságos RTP/SRTP

UDP

Unified CM

Telefon

16384-től 32767-ig *

16384-től 32767-ig *

Média (audio) - Zene várakoztatva, Angyaliátor, Szoftverkonferencia híd (Hívásjelzés alapján megnyitva)

Biztonságos RTP/SRTP

UDP

Telefon

Unified CM

16384-től 32767-ig *

16384-től 32767-ig *

Média (audio) - Zene várakoztatva, Angyaliátor, Szoftverkonferencia híd (Hívásjelzés alapján megnyitva)

ICMP

ICMP

Végpont

UC-alkalmazások

nincs adat

nincs adat

Pingelés

ICMP

ICMP

UC-alkalmazások

Végpont

nincs adat

nincs adat

Pingelés

* Bizonyos speciális esetekben lehet használni egy nagyobb tartományban.

Dedikált példány – OTT-portok

Az Ügyfelek és partnerek mobil- és távelérési (MRA) beállításai a következő portlistát használhatják:

3. táblázat. Az OTT portjainak listája

Protokoll

TCP/UCP

Forrás

Cél

Forrásport

Célport

Cél

BIZTONSÁGOS KORTY

TCP

Végpont

E gyorsforgalmi út

Nagyobb, mint 1023

5061

Biztonságos SIP-jelátvitel MRA regisztrációhoz és hívásokhoz

BIZTONSÁGOS KORTY

TCP

Végpont/kiszolgáló

E gyorsforgalmi út

Nagyobb, mint 1023

5062

Biztonságos SIP B2B hívásokhoz

BIZTONSÁGOS RTP/RTCP

UDP

Végpont/kiszolgáló

E gyorsforgalmi út

Nagyobb, mint 1023

36000-59999

Biztonságos adathordozó MRA és B2B hívásokhoz

HTTPS (BIZTONSÁGOS)

TLS

Kliens

E gyorsforgalmi út

Nagyobb, mint 1023

8443

CUCM UDS és CUCxn REST MRA-hívásokhoz

XML-EK

TLS

Kliens

E gyorsforgalmi út

Nagyobb, mint 1023

5222

Csevegés és jelenlét

FORDÍT

UDP

ICE-ügyfél

E gyorsforgalmi út

Nagyobb, mint 1023

3478

ICE/STUN/TURN tárgyalás

BIZTONSÁGOS RTP/RTCP

UPD

ICE-ügyfél

E gyorsforgalmi út

Nagyobb, mint 1023

24000-29999

KAPCSOLJA BE az adathordozót az ICE tartalékolásához

Dedikált példány – UCCX-portok

Az ügyfelek és partnerek az alábbi portlistát használhatják az UCCX konfigurálásához.

4. táblázat. Cisco UCCX portok

Protokoll

TCP / UCP

Forrás

Cél

Forrásport

Célport

Cél

SSH

TCP

Kliens

UCCX

Nagyobb, mint 1023

22

SFTP és SSH

Informix

TCP

Ügyfél vagy kiszolgáló

UCCX

Nagyobb, mint 1023

1504

Egységes CCX adatbázisport

SIP

UDP és TCP

SIP GW vagy MCRP kiszolgáló

UCCX

Nagyobb, mint 1023

5065

Kommunikáció távoli GW és MCRP csomópontokkal

XMPP

TCP

Kliens

UCCX

Nagyobb, mint 1023

5223

Biztonságos XMPP-kapcsolat a Finesse-kiszolgáló és az egyéni, harmadik féltől származó alkalmazások között

CVD

TCP

Kliens

UCCX

Nagyobb, mint 1023

6999

Szerkesztő CCX-alkalmazásokhoz

HTTPS

TCP

Kliens

UCCX

Nagyobb, mint 1023

7443

Biztonságos BOSH-kapcsolat a Finesse kiszolgáló és az ügynök- és felügyelőasztalok között a HTTPS-en keresztüli kommunikációhoz

HTTP

TCP

Kliens

UCCX

Nagyobb, mint 1023

8080

Az élő adatszolgáltató ügyfelek csatlakoznak a szoftvercsatorna-hoz. I/O-kiszolgáló

HTTP

TCP

Kliens

UCCX

Nagyobb, mint 1023

8081

Ügyfélböngésző megpróbálja elérni a Cisco Unified Intelligence Center webes felületét

HTTP

TCP

Kliens

UCCX

Nagyobb, mint 1023

8443

Admin GUI, RTMT, DB hozzáférés SZAPPANON keresztül

HTTPS

TCP

Kliens

UCCX

Nagyobb, mint 1023

8444

Cisco Unified Intelligence Center webes felület

HTTPS

TCP

Böngésző- és REST-ügyfelek

UCCX

Nagyobb, mint 1023

8445

Biztonságos port Finesse számára

HTTPS

TCP

Kliens

UCCX

Nagyobb, mint 1023

8447

HTTPS - Unified Intelligence Center online súgó

HTTPS

TCP

Kliens

UCCX

Nagyobb, mint 1023

8553

Az egyszeri bejelentkezés (SSO) összetevői hozzáférhetnek ehhez a felülethez, hogy megismerjék a Cisco IdS működési állapotát.

HTTP

TCP

Kliens

UCCX

Nagyobb, mint 1023

9080

Http-eseményindítókhoz vagy dokumentumokhoz / kérik / nyelvtanokhoz / élő adatokhoz hozzáférni próbáló ügyfelek.

HTTPS

TCP

Kliens

UCCX

Nagyobb, mint 1023

9443

A HTTPS-eseményindítókhoz hozzáférni próbáló ügyfeleknek válaszoló biztonságos port

TCP

TCP

Kliens

UCCX

Nagyobb, mint 1023

12014

Ez az a port, ahol az élő adatszolgáltató ügyfelek csatlakozhatnak a szoftvercsatornához. I/O-kiszolgáló

TCP

TCP

Kliens

UCCX

Nagyobb, mint 1023

12015

Ez az a port, ahol az élő adatszolgáltató ügyfelek csatlakozhatnak a szoftvercsatornához. I/O-kiszolgáló

CTI

TCP

Kliens

UCCX

Nagyobb, mint 1023

12028

Harmadik félTŐL származó CTI-ügyfél a CCX-hez

RTP(Média)

TCP

Végpont

UCCX

Nagyobb, mint 1023

Nagyobb, mint 1023

A médiaport szükség szerint dinamikusan nyílik meg

RTP(Média)

TCP

Kliens

Végpont

Nagyobb, mint 1023

Nagyobb, mint 1023

A médiaport szükség szerint dinamikusan nyílik meg

Ügyfélbiztonság

A Jabber és a Webex biztonságossá tétele a SIP OAuth-tal

A Jabber és a Webex ügyfelek hitelesítése OAuth-jogkivonaton keresztül történik egy helyileg jelentős tanúsítvány (LSC) helyett, amely nem igényel hitelesítést a hitelesítésszolgáltató proxyfunkciójának (CAPF) engedélyezéséhez (MRA esetében is). A vegyes móddal vagy anélkül működő SIP OAuth-ot a Cisco Unified CM 12.5(1), Jabber 12.5 és Expressway X12.5 modellek vezették be.

A Cisco Unified CM 12.5-ben van egy új lehetőségünk a Telefonbiztonsági Profilban, amely lehetővé teszi a titkosítást LSC / CAPF nélkül, egyetlen átviteli réteg biztonság (TLS) + OAuth token használatával a SIP REGISTER-ben. Az Expressway-C csomópontok a Felügyeleti XML webszolgáltatás (AXL) API-t használják, hogy tájékoztassák a Cisco Unified CM-t az SN/SAN tanúsítványukról. A Cisco Unified CM ezeket az információkat használja az Exp-C tanúsítvány ellenőrzésére a kölcsönös TLS-kapcsolat létrehozásakor.

A SIP OAuth végponttanúsítvány (LSC) nélkül teszi lehetővé az adathordozó- és jelzőtitkosítást.

A Cisco Jabber Efemeral portokat és biztonságos 6971-es és 6972-es portokat használ HTTPS-kapcsolaton keresztül a TFTP-kiszolgálóhoz a konfigurációs fájlok letöltéséhez. A 6970-es port nem biztonságos port HTTP-n keresztül tölthető le.

További részletek a SIP OAuth konfigurációjáról: SIP OAuth mód.

DNS-követelmények

Dedikált példány esetén a Cisco az egyes régiókban a következő formátumban biztosítja a szolgáltatás teljes tartományba tartozó értékét <customer><region>. wxc-di.webex.com például xyz.amer.wxc-di.webex.com.

Az "ügyfél" értéket a rendszergazda az Első alkalommal telepítővarázsló (FTSW) részeként adja meg. További információt a dedikált példányszolgáltatás aktiválása címűtémakörben talál.

Az FQDN DNS-rekordjainak feloldhatónak kell lenniük az ügyfél belső DNS-kiszolgálójáról, hogy támogassák a dedikált példányhoz csatlakozó helyszíni eszközöket. A megoldás megkönnyítése érdekében az ügyfélnek be kell állítania egy feltételes továbbítót ehhez az FQDN-hez a DNS-kiszolgálón, amely a dedikált példány DNS-szolgáltatására mutat. A dedikált példány DNS-szolgáltatása regionális, és a dedikált példányhoz való társviszonyon keresztül érhető el az alábbi IP-címek használatával, az alábbi táblázatban említett ip-címek használatával Dedikált példány DNS-szolgáltatás IP-címe.

5. táblázat. Dedikált példány DNS-szolgáltatás IP-címe

Régió/TARTOMÁNYVEZÉRLŐ

Dedikált példány DNS-szolgáltatás IP-címe

Példa feltételes továbbításra

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

BŰN

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


A pingelési lehetőség biztonsági okokból le van tiltva a fent említett DNS-kiszolgáló IP-címei miatt.

Amíg a feltételes továbbítás nem történik meg, az eszközök nem tudnak regisztrálni a dedikált példányra az ügyfelek belső hálózatáról a társviszony-kapcsolatokon keresztül. A mobil- és távelérési (MRA) regisztrációhoz nincs szükség feltételes továbbításra, mivel az MRA megkönnyítéséhez szükséges összes külső DNS-rekordot a Cisco előre kiépíti.

Ha a Webex alkalmazást hívja soft kliensként a dedikált példányon, az UC Manager-profilt az egyes régiók hangszolgáltatás-tartományához (VSD) tartozó Control Hubban kell konfigurálni. További információt a Cisco Webex Control Hub UC Manager profiles című témakörében talál. A Webex alkalmazás képes lesz automatikusan feloldani az ügyfél Expressway Edge-jét a végfelhasználó beavatkozása nélkül.


A hangszolgáltatás tartománya a partnerhozzáférési dokumentum részeként kerül az ügyfél rendelkezésére, miután a szolgáltatás aktiválása befejeződött.