A dedikált példány hálózati követelményei

A Webex Calling Dedicated Instance a Cisco Cloud Calling portfólió része, amelyet a Cisco Unified Communications Manager (Cisco Unified CM) együttműködési technológia hajt. A Dedicated Instance hang-, video-, üzenetküldési és mobilitási megoldásokat kínál a Cisco IP-telefonok, mobileszközök és asztali ügyfelek funkcióival és előnyeivel, amelyek biztonságosan csatlakoznak a dedikált példányhoz.

Ez a cikk a hálózati rendszergazdáknak szól, különösen a tűzfal- és proxybiztonsági rendszergazdáknak, akik dedikált példányt szeretnének használni a szervezetükön belül.

Biztonsági áttekintés: Biztonság a rétegekben

A dedikált példány réteges megközelítést használ a biztonság érdekében. A rétegek a következők:

  • Fizikai hozzáférés

  • Hálózat

  • Végpontok

  • UC alkalmazások

A következő szakaszok a dedikált példányok üzembe helyezésének biztonsági rétegeit ismertetik.

Fizikai biztonság

Fontos, hogy fizikai biztonságot nyújtsunk az Equinix Meet-Me Room helyszíneknek és a Cisco Dedicated Instance Data Center létesítményeknek. Ha a fizikai biztonság veszélybe kerül, egyszerű támadások kezdeményezhetők, például a szolgáltatás megszakadása az ügyfél kapcsolóinak áramellátásának leállításával. A fizikai hozzáféréssel a támadók hozzáférhetnek a kiszolgálóeszközökhöz, visszaállíthatják a jelszavakat, és hozzáférhetnek a kapcsolókhoz. A fizikai hozzáférés megkönnyíti a kifinomultabb támadásokat is, például a közbeékelődéses támadásokat, ezért kritikus fontosságú a második biztonsági réteg, a hálózati biztonság.

Az öntitkosító meghajtókat az UC-alkalmazásokat üzemeltető dedikált példány-adatközpontokban használják.

Az általános biztonsági gyakorlatokról bővebben lásd a dokumentációt a következő helyen: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Hálózatbiztonság

A partnereknek gondoskodniuk kell arról, hogy az összes hálózati elem biztonságban legyen a dedikált példány infrastruktúrájában (amely az Equinixen keresztül csatlakozik). A partner felelőssége, hogy biztosítsa az ajánlott biztonsági eljárásokat, például:

  • Külön VLAN a hanghoz és az adatokhoz

  • Portbiztonság engedélyezése, amely korlátozza a portonként engedélyezett MAC-címek számát a CAM-táblák elárasztása ellen

  • IP-forrásvédelem a hamisított IP-címek ellen

  • A dinamikus ARP-ellenőrzés (DAI) megvizsgálja a címfeloldási protokollt (ARP) és az ingyenes ARP-t (GARP) a szabálysértések szempontjából (az ARP-hamisítás ellen)

  • 802.1x korlátozza a hálózati hozzáférést az eszközök hitelesítéséhez a hozzárendelt VLAN-okon (a telefonok támogatják a 802-es verziót.)1x

  • A szolgáltatásminőség (QoS) konfigurálása a hangcsomagok megfelelő jelöléséhez

  • Tűzfalport-konfigurációk a többi forgalom blokkolásához

Végpontok biztonsága

A Cisco végpontjai támogatják az olyan alapértelmezett biztonsági funkciókat, mint az aláírt belső vezérlőprogram, a biztonságos rendszerindítás (egyes modellek), a gyártó által telepített tanúsítvány (MIC) és az aláírt konfigurációs fájlok, amelyek bizonyos szintű biztonságot nyújtanak a végpontok számára.

Emellett egy partner vagy ügyfél további biztonságot is engedélyezhet, például:

  • IP-telefonszolgáltatások titkosítása (HTTPS-en keresztül) olyan szolgáltatásokhoz, mint az Extension Mobility

  • Helyileg jelentős tanúsítványok (LSC-k) kiállítása a hitelesítésszolgáltató proxy funkciójából (CAPF) vagy egy nyilvános hitelesítésszolgáltatótól (CA)

  • Konfigurációs fájlok titkosítása

  • Média és jelzés titkosítása

  • Tiltsa le ezeket a beállításokat, ha nem használja őket: PC port, PC Voice VLAN hozzáférés, Ingyenes ARP, Web Access, Beállítások gomb, SSH, konzol

A dedikált példány biztonsági mechanizmusainak megvalósítása megakadályozza a telefonok és az egyesített CM-kiszolgáló személyazonosság-lopását, az adatok manipulálását és a hívásjelzés / médiafolyam manipulálását.

Dedikált példány a hálózaton keresztül:

  • Hitelesített kommunikációs streameket hoz létre és tart karban

  • Digitálisan aláírja a fájlokat, mielőtt átviszi a fájlt a telefonra

  • Titkosítja a médiafolyamokat és a hívásjelzést a Cisco Unified IP-telefonok között

Alapértelmezett biztonsági beállítás

A biztonság alapértelmezés szerint a következő automatikus biztonsági funkciókat biztosítja a Cisco Unified IP-telefonokhoz:

  • A telefon konfigurációs fájljainak aláírása

  • A telefonkonfigurációs fájl titkosításának támogatása

  • HTTPS a Tomcattel és más webszolgáltatásokkal (MIDlets)

A Unified CM 8.0 újabb kiadásában ezek a biztonsági funkciók alapértelmezés szerint a Tanúsítványmegbízhatósági lista (CTL) ügyfél futtatása nélkül érhetők el.

Megbízhatósági hitelesítési szolgáltatás

Mivel a hálózatban sok telefon van, és az IP-telefonok korlátozott memóriával rendelkeznek, a Cisco Unified CM távoli bizalmi tárolóként működik a megbízhatóság-ellenőrzési szolgáltatáson (TVS) keresztül, így nem kell minden telefonra tanúsítvány-megbízhatósági tárolót helyezni. A Cisco IP-telefonok ellenőrzés céljából kapcsolatba lépnek a TVS-kiszolgálóval, mert nem tudják ellenőrizni az aláírást vagy a tanúsítványt CTL vagy ITL fájlokon keresztül. A központi bizalmi tárolót könnyebb kezelni, mint a bizalmi tárolót minden Cisco Unified IP-telefonon.

A TVS lehetővé teszi a Cisco Unified IP-telefonok számára az alkalmazáskiszolgálók, például az EM-szolgáltatások, a címtár és a MIDlet hitelesítését a HTTPS létrehozása során.

Kezdeti megbízhatósági lista

A kezdeti megbízhatósági lista (ITL) fájl a kezdeti biztonsághoz használatos, így a végpontok megbízhatnak a Cisco Unified CM-ben. Az ITL-nek nincs szüksége semmilyen biztonsági funkció explicit engedélyezésére. A fürt telepítésekor a rendszer automatikusan létrehozza a ITL-fájlt. A Unified CM Trivial File Transfer Protocol (TFTP) kiszolgáló titkos kulcsa az ITL-fájl aláírására szolgál.

Ha a Cisco Unified CM fürt vagy kiszolgáló nem biztonságos módban van, az ITL fájl minden támogatott Cisco IP-telefonra letöltődik. A partnerek az ITL-fájlok tartalmát az admin:show itl CLI-paranccsal tekinthetik meg.

A Cisco IP-telefonoknak szükségük van az ITL-fájlra a következő feladatok végrehajtásához:

  • Biztonságos kommunikáció a CAPF-fel, ami a konfigurációs fájl titkosítása támogatásának előfeltétele

  • A konfigurációs fájl aláírásának hitelesítése

  • Alkalmazáskiszolgálók, például EM-szolgáltatások, címtár és MIDlet hitelesítése a HTTPS létrehozása során TVS használatával

Cisco CTL

Az eszköz-, fájl- és jelzéshitelesítés a Tanúsítványmegbízhatósági lista (CTL) fájl létrehozásán alapul, amely akkor jön létre, amikor a partner vagy az ügyfél telepíti és konfigurálja a Cisco tanúsítvány megbízhatósági lista kliensét.

A CTL-fájl a következő kiszolgálók vagy biztonsági jogkivonatok bejegyzéseit tartalmazza:

  • Rendszergazdai biztonsági jogkivonat (SAST)

  • Cisco CallManager és Cisco TFTP szolgáltatások, amelyek ugyanazon a kiszolgálón futnak

  • Hitelesítésszolgáltató proxy funkciója (CAPF)

  • TFTP-kiszolgáló(k)

  • ASA tűzfal

A CTL-fájl tartalmazza a kiszolgálói tanúsítványt, a nyilvános kulcsot, a sorozatszámot, az aláírást, a kiállító nevét, a tulajdonos nevét, a kiszolgáló funkcióját, a DNS-nevet és az egyes kiszolgálók IP-címét.

A telefon biztonsága a CTL-lel a következő funkciókat biztosítja:

  • A TFTP által letöltött fájlok (konfiguráció, területi beállítás, ringlist stb.) hitelesítése aláírókulccsal

  • TFTP konfigurációs fájlok titkosítása aláírókulccsal

  • Titkosított hívásjelzés IP-telefonokhoz

  • Titkosított híváshang (média) IP-telefonokhoz

Cisco IP-telefonok biztonsága dedikált példányban

A dedikált példány végpontregisztrációt és hívásfeldolgozást biztosít. A Cisco Unified CM és a végpontok közötti jelzés a Secure Skinny Client Control Protocol (SCCP) vagy a Session Initiation Protocol (SIP) protokollon alapul, és a Transport Layer Security (TLS) használatával titkosítható. A végpontokról vagy végpontokra irányuló adathordozók a Real-Time Transport Protocol (RTP) protokollon alapulnak, és a Secure RTP (SRTP) használatával is titkosíthatók.

A vegyes mód engedélyezése a Unified CM-en lehetővé teszi a Cisco végpontokról és a Cisco végpontokra irányuló jelátviteli és médiaforgalom titkosítását.

Biztonságos UC-alkalmazások

Vegyes mód engedélyezése dedikált példányban

A vegyes mód alapértelmezés szerint engedélyezve van a Dedikált példányban.

A vegyes mód engedélyezése a dedikált példányban lehetővé teszi a Cisco végpontokról és a Cisco végpontokra irányuló jelátviteli és médiaforgalom titkosítását.

A Cisco Unified CM 12.5(1) kiadásában a Jabber és a Webex ügyfelek számára új lehetőség került hozzáadásra a SIP OAuth alapú jelzések és adathordozók titkosításának engedélyezésére vegyes mód / CTL helyett. Ezért a Unified CM 12.5(1) kiadásában a SIP OAuth és az SRTP használható a Jabber vagy Webex ügyfelek jelzésének és adathordozójának titkosításának engedélyezésére. A vegyes mód engedélyezése jelenleg is szükséges a Cisco IP-telefonokhoz és más Cisco végpontokhoz. Egy jövőbeli kiadásban a SIP OAuth támogatását 7800/8800-as végpontokon is hozzá lehet adni.

A hangüzenetek biztonsága

A Cisco Unity Connection a TLS-porton keresztül csatlakozik a Unified CM-hez. Ha az eszközbiztonsági mód nem biztonságos, a Cisco Unity Connection az SCCP-porton keresztül csatlakozik a Unified CM-hez.

A Unified CM hangüzenet-portok és az SCCP-t futtató Cisco Unity-eszközök vagy SCCP-t futtató Cisco Unity-eszközök biztonságának konfigurálásához a partner biztonságos eszközbiztonsági módot választhat a porthoz. Ha hitelesített hangpostaportot választ, megnyílik egy TLS-kapcsolat, amely kölcsönös tanúsítványcserével hitelesíti az eszközöket (minden eszköz elfogadja a másik eszköz tanúsítványát). Ha titkosított hangpostaportot választ, a rendszer először hitelesíti az eszközöket, majd titkosított hangfolyamokat küld az eszközök között.

A biztonsági hangüzenet-portokkal kapcsolatos további információkért lásd: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Az SRST, a törzsek, az átjárók, a CUBE/SBC biztonsága

A Cisco Unified Survivable Remote Site Telephony (SRST) kompatibilis átjáró korlátozott hívásfeldolgozási feladatokat biztosít, ha a dedikált példányon lévő Cisco Unified CM nem tudja befejezni a hívást.

A biztonságos SRST-kompatibilis átjárók önaírt tanúsítványt tartalmaznak. Miután egy partner SRST konfigurációs feladatokat hajt végre az Egyesített CM felügyeletben, a Unified CM TLS-kapcsolatot használ a hitelesítéshez a Tanúsítványszolgáltató szolgáltatással az SRST-kompatibilis átjáróban. A Unified CM ezután lekéri a tanúsítványt az SRST-kompatibilis átjáróból, és hozzáadja a tanúsítványt az egyesített CM-adatbázishoz.

Miután a partner alaphelyzetbe állította a függő eszközöket az Egyesített CM-felügyeletben, a TFTP-kiszolgáló hozzáadja az SRST-kompatibilis átjárótanúsítványt a telefon cnf.xml fájljához, és elküldi a fájlt a telefonra. A biztonságos telefon ezután TLS-kapcsolatot használ az SRST-kompatibilis átjáróval való interakcióhoz.

Javasoljuk, hogy biztonságos törzsekkel rendelkezzen a Cisco Unified CM-ből az átjáróhoz kimenő PSTN-hívásokhoz vagy a Cisco Unified Border Element (CUBE) áthaladásához szükséges híváshoz.

A SIP trönkök támogathatják a biztonságos hívásokat mind a jelzés, mind a média számára; A TLS jelátviteli titkosítást, az SRTP pedig médiatitkosítást biztosít.

Kommunikáció biztosítása a Cisco Unified CM és a CUBE között

A Cisco Unified CM és a CUBE közötti biztonságos kommunikációhoz a partnereknek/ügyfeleknek önaláírt tanúsítványt vagy hitelesítésszolgáltató által aláírt tanúsítványokat kell használniuk.

Önaláírt tanúsítványok esetén:

  1. A CUBE és a Cisco Unified CM önaláírt tanúsítványokat hoz létre

  2. A CUBE tanúsítványt exportál a Cisco Unified CM-be

  3. A Cisco Unified CM tanúsítványt exportál a CUBE-ba

Hitelesítésszolgáltató által aláírt tanúsítványok esetén:

  1. Az ügyfél létrehoz egy kulcspárt, és elküld egy tanúsítvány-aláírási kérelmet (CSR) a hitelesítésszolgáltatónak (CA)

  2. A hitelesítésszolgáltató aláírja a titkos kulcsával, és létrehoz egy identitástanúsítványt

  3. Az ügyfél telepíti a megbízható hitelesítésszolgáltató legfelső szintű és köztes tanúsítványainak listáját, valamint az identitástanúsítványt

Biztonság távoli végpontokhoz

A mobil és távoli hozzáférési (MRA) végpontokkal a jelzés és az adathordozó mindig titkosítva van az MRA végpontok és az Expressway csomópontok között. Ha az MRA-végpontokhoz az Interactive Connectivity Establishment (ICE) protokollt használják, az MRA-végpontok jelzési és médiatitkosítására van szükség. Az Expressway-C és a belső Unified CM szerverek, belső végpontok vagy más belső eszközök közötti jelzés és adathordozó titkosításához azonban vegyes módú vagy SIP OAuth szükséges.

A Cisco Expressway biztonságos tűzfal-bejárást és vonaloldali támogatást nyújt az egységes CM-regisztrációkhoz. A Unified CM hívásvezérlést biztosít mind a mobil, mind a helyszíni végpontok számára. A jelzés áthalad az Expressway megoldáson a távoli végpont és a Unified CM között. A média áthalad az Expressway megoldáson, és közvetlenül továbbítja a végpontok között. Minden adathordozó titkosítva van az Expressway-C és a mobil végpont között.

Bármely MRA megoldáshoz gyorsforgalmi út és Unified CM szükséges, MRA-kompatibilis lágy ügyfelekkel és/vagy rögzített végpontokkal. A megoldás opcionálisan tartalmazhatja az IM and Presence szolgáltatást és a Unity Connection-t.

Protokoll összefoglalója

Az alábbi táblázat a Unified CM megoldásban használt protokollokat és társított szolgáltatásokat mutatja be.

1. táblázat Protokollok és kapcsolódó szolgáltatások

Protokoll

Biztonság

Szolgáltatás

SIP

TLS

Munkamenet létrehozása: Regisztráció, meghívás stb.

HTTPS

TLS

Bejelentkezés, kiépítés/konfigurálás, címtár, vizuális hangposta

Média

SRTP

Média: Hang, videó, tartalommegosztás

XMPP

TLS

Azonnali üzenetküldés, jelenlét, összevonás

Az MRA konfigurációjával kapcsolatos további információkért lásd: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Konfigurációs beállítások

A dedikált példány rugalmasságot biztosít a partner számára a végfelhasználók szolgáltatásainak testreszabásához a második napi konfigurációk teljes körű vezérlésével. Ennek eredményeképpen a Partner kizárólagos felelősséggel tartozik a Dedikált példány szolgáltatás megfelelő konfigurálásáért a végfelhasználói környezethez. Ez magában foglalja, de nem kizárólagosan a következőket:

  • Biztonságos / nem biztonságos hívások, biztonságos / nem biztonságos protokollok, például SIP / sSIP, http / https stb. kiválasztása és a kapcsolódó kockázatok megértése.

  • Minden olyan MAC-cím esetében, amely nincs biztonságos SIP-ként konfigurálva a dedikált példányban, a támadó SIP-regisztrációs üzenetet küldhet ezzel a MAC-címmel, és SIP-hívásokat kezdeményezhet, ami útdíjcsalást eredményez. A probléma az, hogy a támadó engedély nélkül regisztrálhatja SIP-eszközét/szoftverét a dedikált példányra , ha ismeri a dedikált példányban regisztrált eszköz MAC-címét.

  • Az Expressway-E hívási szabályzatokat, az átalakítási és keresési szabályokat úgy kell konfigurálni, hogy megakadályozzák az útdíjcsalásokat. Az útdíjcsalások gyorsforgalmi utak használatával történő megelőzésével kapcsolatos további információkért lásd: Az SRNDegyüttműködés C gyorsforgalmi útjának és gyorsforgalmi út-E szakaszának biztonsága .

  • A tárcsázási terv konfigurációja biztosítja, hogy a felhasználók csak olyan célállomásokat tárcsázhatnak, amelyek engedélyezettek (pl. megtiltják az országos/nemzetközi tárcsázást, a segélyhívások megfelelő átirányítását stb.). A tárcsázási terv használatával kapcsolatos további információkért tekintse meg az Együttműködési SRND Tárcsázási terv részét.

A dedikált példány biztonságos kapcsolataira vonatkozó tanúsítványkövetelmények

Dedikált példány esetén a Cisco biztosítja a tartományt, és aláírja az UC-alkalmazások összes tanúsítványát egy nyilvános hitelesítésszolgáltató (CA) használatával.

Dedikált példány – portszámok és protokollok

Az alábbi táblázatok a dedikált példányok által támogatott portokat és protokollokat ismertetik. Az adott ügyfélhez használt portok az ügyfél üzembe helyezésétől és megoldásától függenek. A protokollok az ügyfél preferenciájától (SCCP vs SIP), a meglévő helyszíni eszközöktől és attól függnek, hogy milyen biztonsági szinttől annak meghatározásához, hogy mely portokat kell használni az egyes telepítésekben.

A dedikált példány nem engedélyezi a hálózati cím fordítását (NAT) a végpontok és a Unified CM között, mivel egyes hívásfolyamat-funkciók, például a hívás közbeni funkció nem fog működni.

Dedikált példány – Ügyfélportok

Az ügyfelek számára elérhető portok – a helyszíni ügyfél és a dedikált példány között – az 1 . táblázat dedikált példány ügyfélportjaiközött láthatók. Az alább felsorolt összes port a társviszony-létesítési kapcsolatokon áthaladó ügyfélforgalomra vonatkozik.

Az SNMP-port alapértelmezés szerint csak a Cisco Emergency Responder számára van nyitva, hogy támogassa annak funkcióit. Mivel nem támogatjuk a dedikált példány felhőjében telepített UC-alkalmazásokat figyelő partnereket vagy ügyfeleket, nem engedélyezzük az SNMP-port megnyitását más UC-alkalmazások számára.

Az 5063 és 5080 közötti tartományú portokat a Cisco más felhőintegrációk számára tartja fenn, ezért a partner- vagy ügyfélrendszergazdák javasoljuk, hogy ne használják ezeket a portokat a konfigurációikban.

2. táblázat Dedikált példány ügyfélportjai

Protokoll

TCP/UDP

Forrás

Cél

Forrásport

Célállomás portja

Cél

SSH

TCP

Kliens

UC alkalmazások

Cisco Expressway alkalmazásokhoz nem engedélyezett.

Nagyobb, mint 1023

22

Felügyelet

tftp-t

UDP

Végpont

Egységes CM

Nagyobb, mint 1023

69

Örökölt végpont támogatás

LDAP

TCP

UC alkalmazások

Külső könyvtár

Nagyobb, mint 1023

389

Címtár-szinkronizálás az ügyfél LDAP-jával

HTTPS

TCP

Böngésző

UC alkalmazások

Nagyobb, mint 1023

443

Webes hozzáférés az öngondoskodási és adminisztrációs felületekhez

Kimenő levelek (SECURE)

TCP

UC-alkalmazás

CUCxn

Nagyobb, mint 1023

587

Biztonságos üzenetek írására és küldésére szolgál bármely kijelölt címzettnek

LDAP (BIZTONSÁGOS)

TCP

UC alkalmazások

Külső könyvtár

Nagyobb, mint 1023

636

Címtár-szinkronizálás az ügyfél LDAP-jával

H323

TCP

Átjáró

Egységes CM

Nagyobb, mint 1023

1720

Hívásjelzés

H323

TCP

Egységes CM

Egységes CM

Nagyobb, mint 1023

1720

Hívásjelzés

SCCP

TCP

Végpont

Egységes CM, CUCxn

Nagyobb, mint 1023

2000

Hívásjelzés

SCCP

TCP

Egységes CM

Egységes CM, átjáró

Nagyobb, mint 1023

2000

Hívásjelzés

mgcp

UDP

Átjáró

Átjáró

Nagyobb, mint 1023

2427

Hívásjelzés

MGCP hátizsákos

TCP

Átjáró

Egységes CM

Nagyobb, mint 1023

2428

Hívásjelzés

SCCP (BIZTONSÁGOS)

TCP

Végpont

Egységes CM, CUCxn

Nagyobb, mint 1023

2443

Hívásjelzés

SCCP (BIZTONSÁGOS)

TCP

Egységes CM

Egységes CM, átjáró

Nagyobb, mint 1023

2443

Hívásjelzés

Megbízhatóság ellenőrzése

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

2445

Megbízhatóság-ellenőrzési szolgáltatás biztosítása a végpontok számára

CTI

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

2748

Kapcsolat a CTI alkalmazások (JTAPI/TSP) és a CTIManager között

Biztonságos CTI

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

2749

Biztonságos kapcsolat a CTI alkalmazások (JTAPI/TSP) és a CTIManager között

LDAP globális katalógus

TCP

UC alkalmazások

Külső könyvtár

Nagyobb, mint 1023

3268

Címtár-szinkronizálás az ügyfél LDAP-jával

LDAP globális katalógus

TCP

UC alkalmazások

Külső könyvtár

Nagyobb, mint 1023

3269

Címtár-szinkronizálás az ügyfél LDAP-jával

CAPF szolgáltatás

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

3804

Hitelesítésszolgáltatói proxy funkció (CAPF) figyelőportja helyileg jelentős tanúsítványok (LSC) IP-telefonok számára történő kiállításához

SIP

TCP

Végpont

Egységes CM, CUCxn

Nagyobb, mint 1023

5060

Hívásjelzés

SIP

TCP

Egységes CM

Egységes CM, átjáró

Nagyobb, mint 1023

5060

Hívásjelzés

SIP (BIZTONSÁGOS)

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

5061

Hívásjelzés

SIP (BIZTONSÁGOS)

TCP

Egységes CM

Egységes CM, átjáró

Nagyobb, mint 1023

5061

Hívásjelzés

SIP (OAUTH)

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

5090

Hívásjelzés

XMPP

TCP

Jabber kliens

Cisco IM&P

Nagyobb, mint 1023

5222

Csevegés és jelenlét

HTTP

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

6970

Konfiguráció és rendszerképek letöltése végpontokra

HTTPS

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

6971

Konfiguráció és rendszerképek letöltése végpontokra

HTTPS

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

6972

Konfiguráció és rendszerképek letöltése végpontokra

HTTP

TCP

Jabber kliens

CUCxn

Nagyobb, mint 1023

7080

Hangposta-értesítések

HTTPS

TCP

Jabber kliens

CUCxn

Nagyobb, mint 1023

7443

Biztonságos hangposta-értesítések

HTTPS

TCP

Egységes CM

Egységes CM

Nagyobb, mint 1023

7501

Az Intercluster Lookup Service (ILS) használja a tanúsítványalapú hitelesítéshez

HTTPS

TCP

Egységes CM

Egységes CM

Nagyobb, mint 1023

7502

Az ILS használja jelszóalapú hitelesítéshez

IMAP

TCP

Jabber kliens

CUCxn

Nagyobb, mint 1023

7993

IMAP TLS-en keresztül

HTTP

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

8080

Korábbi végponti támogatás címtár URI-ja

HTTPS

TCP

Böngésző, végpont

UC alkalmazások

Nagyobb, mint 1023

8443

Webes hozzáférés öngondoskodási és felügyeleti felületekhez, UDS

HTTPS

TCP

Telefon

Egységes CM

Nagyobb, mint 1023

9443

Hitelesített névjegykeresés

HTTP-k

TCP

Végpont

Egységes CM

Nagyobb, mint 1023

9444

Fejhallgató kezelési funkció

Biztonságos RTP/SRTP

UDP

Egységes CM

Telefon

16384-től 32767-ig *

16384-től 32767-ig *

Média (audio) - Zene várakoztatva, Angyali üdvözlő, Szoftveres konferenciahíd (hívásjelzés alapján nyitva)

Biztonságos RTP/SRTP

UDP

Telefon

Egységes CM

16384-től 32767-ig *

16384-től 32767-ig *

Média (audio) - Zene várakoztatva, Angyali üdvözlő, Szoftveres konferenciahíd (hívásjelzés alapján nyitva)

Kobrák

TCP

Kliens

CUCxn

Nagyobb, mint 1023

20532

Alkalmazáscsomag biztonsági mentése és helyreállítása

ICMP

ICMP

Végpont

UC alkalmazások

n.a.

n.a.

Pingelés

ICMP

ICMP

UC alkalmazások

Végpont

n.a.

n.a.

Pingelés

DNS UDP és TCP

DNS-továbbító

Dedikált példány DNS-kiszolgálói

Nagyobb, mint 1023

53

Ügyfél helyszíni DNS-továbbítók a dedikált példány DNS-kiszolgálóira. További információkért lásd: DNS-követelmények .

* Bizonyos speciális esetek nagyobb tartományt használhatnak.

Dedikált példány – OTT-portok

Az ügyfelek és a partnerek a következő portot használhatják a mobil és távoli hozzáférés (MRA) beállításához:

3. táblázat. Port OTT számára

Protokoll

TCP/UCP

Forrás

Cél

Forrásport

Célállomás portja

Cél

BIZTONSÁGOS RTP/RTCP

UDP

Expressway-C-ben

Kliens

Nagyobb, mint 1023

36000-59999

Biztonságos média MRA- és B2B-hívásokhoz

Inter-op SIP-trönk a többműszakos és a dedikált példány között (csak regisztrációalapú trönk esetében)

A portok következő listáját engedélyezni kell az ügyfél tűzfalán a többfeladatos és a dedikált példány közötti regisztrációs alapú SIP-trönk kapcsolathoz.

4. táblázat. Port regisztrációalapú trönkök számára

Protokoll

TCP/UCP

Forrás

Cél

Forrásport

Célállomás portja

Cél

rtp/rtcp

UDP

Több műszakos Webex Calling

Kliens

Nagyobb, mint 1023

8000-48198

Média a Webex Calling többfeladatos szolgáltatásból

Dedikált példány – UCCX portok

Az ügyfelek és partnerek a portok alábbi listáját használhatják az UCCX konfigurálásához.

5. táblázat. Cisco UCCX portok

Protokoll

TCP / UCP

Forrás

Cél

Forrásport

Célállomás portja

Cél

SSH

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

22

SFTP és SSH

Informix

TCP

Ügyfél vagy kiszolgáló

Uniós Vámkódex

Nagyobb, mint 1023

1504

Contact Center Express adatbázisport

SIP

UDP és TCP

SIP GW vagy MCRP szerver

Uniós Vámkódex

Nagyobb, mint 1023

5065

Kommunikáció távoli GW és MCRP csomópontokkal

XMPP

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

5223

Biztonságos XMPP-kapcsolat a Finesse szerver és az egyéni, harmadik féltől származó alkalmazások között

Kábv

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

6999

Szerkesztő CCX alkalmazásokhoz

HTTPS

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

7443

Biztonságos BOSH-kapcsolat a Finesse szerver és az ügynöki és felügyeleti asztalok között a HTTPS-en keresztüli kommunikációhoz

HTTP

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

8080

Élő adatos jelentést készítő kliensek csatlakoznak egy socket.IO szerverhez

HTTP

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

8081

Ügyfélböngésző, amely megpróbálja elérni a Cisco Unified Intelligence Center webes felületét

HTTP

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

8443

Rendszergazdai GUI, RTMT, DB-hozzáférés SOAP-on keresztül

HTTPS

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

8444

A Cisco Unified Intelligence Center webes felülete

HTTPS

TCP

Böngésző- és REST-ügyfelek

Uniós Vámkódex

Nagyobb, mint 1023

8445

Biztonságos port a Finesse számára

HTTPS

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

8447

HTTPS – Unified Intelligence Center online súgó

HTTPS

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

8553

Az egyszeri bejelentkezés (SSO) összetevői ehhez a felülethez férnek hozzá a Cisco IdS működési állapotának megismeréséhez.

HTTP

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

9080

Azok az ügyfelek, amelyek HTTP-eseményindítókhoz vagy dokumentumokhoz / kérésekhez / nyelvtanokhoz / élő adatokhoz próbálnak hozzáférni.

HTTPS

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

9443

Biztonságos port, amely a HTTPS-eseményindítókhoz hozzáférni próbáló ügyfelekre való reagáláshoz használatos

TCP

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

12014

Ez az a port, ahol az élő adatos jelentést készítő kliensek csatlakozhatnak a socket.IO szerverhez

TCP

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

12015

Ez az a port, ahol az élő adatos jelentést készítő kliensek csatlakozhatnak a socket.IO szerverhez

CTI

TCP

Kliens

Uniós Vámkódex

Nagyobb, mint 1023

12028

Harmadik féltől származó CTI kliens a CCX felé

RTP(Média)

TCP

Végpont

Uniós Vámkódex

Nagyobb, mint 1023

Nagyobb, mint 1023

Az adathordozó-port szükség szerint dinamikusan nyílik meg

RTP(Média)

TCP

Kliens

Végpont

Nagyobb, mint 1023

Nagyobb, mint 1023

Az adathordozó-port szükség szerint dinamikusan nyílik meg

Ügyfélbiztonság

A Jabber és a Webex biztonságossá tétele a SIP OAuth segítségével

A Jabber és a Webex ügyfelek hitelesítése OAuth-jogkivonaton keresztül történik helyileg jelentős tanúsítvány (LSC) helyett, amely nem igényel hitelesítésszolgáltatói proxy funkció (CAPF) engedélyezését (az MRA esetében is). A SIP OAuth vegyes móddal vagy anélkül történő működését a Cisco Unified CM 12.5 (1), a Jabber 12.5 és az Expressway X12.5 vezette be.

A Cisco Unified CM 12.5-ben van egy új lehetőségünk a Telefonbiztonsági profilban, amely lehetővé teszi az LSC/CAPF nélküli titkosítást, egyetlen Transport Layer Security (TLS) + OAuth token használatával a SIP REGISTER-ben. Az Expressway-C csomópontok az Administrative XML Web Service (AXL) API-t használják a Cisco Unified CM tájékoztatására az SN/SAN-ról a tanúsítványukban. A Cisco Unified CM ezeket az információkat használja az Exp-C tanúsítvány érvényesítésére kölcsönös TLS-kapcsolat létrehozásakor.

A SIP OAuth lehetővé teszi az adathordozók és a jelek titkosítását végponti tanúsítvány (LSC) nélkül.

A Cisco Jabber efemer portokat, valamint biztonságos 6971-es és 6972-es portokat használ HTTPS-kapcsolaton keresztül a TFTP-kiszolgálóhoz a konfigurációs fájlok letöltéséhez. A 6970-es port egy nem biztonságos port a HTTP-n keresztüli letöltéshez.

További részletek a SIP OAuth konfigurációról: SIP OAuth mód.

DNS-követelmények

A dedikált példány esetében a Cisco az egyes régiókban a következő formátumban biztosítja az FQDN-t a szolgáltatáshoz: ..wxc-di.webex.com például xyz.amer.wxc-di.webex.com.

Az "ügyfél" értéket a rendszergazda biztosítja az Első beállítás varázsló (FTSW) részeként. További információ: Dedikált példányszolgáltatás aktiválása.

Az FQDN DNS-rekordjainak feloldhatónak kell lenniük az ügyfél belső DNS-kiszolgálójáról, hogy támogassák a dedikált példányhoz csatlakozó helyszíni eszközöket. A feloldás megkönnyítése érdekében az ügyfélnek konfigurálnia kell egy feltételes továbbítót ehhez a teljes tartománynévhez a DNS-kiszolgálón, amely a dedikált példány DNS-szolgáltatására mutat. A dedikált példány DNS-szolgáltatása regionális, és a dedikált példányhoz való társításon keresztül érhető el a következő IP-címek használatával, az alábbi táblázatban említettek szerint Dedikált példány DNS-szolgáltatási IP-címe.

6. táblázat. Dedikált példány DNS-szolgáltatásának IP-címe

Régió/DC

Dedikált példány DNS-szolgáltatásának IP-címe

Példa feltételes továbbításra

AMER

<customer>.amer.wxc-di.webex.com

Sjc

69.168.17.100

Dfw

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

Lon

178.215.138.100

Ams

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

között

178.215.131.100

Ams

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

Bűn

103.232.71.100

tky

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

Mel

178.215.128.100

Syd

178.215.128.228

Egyesült Királyság

<customer>.uk.wxc-di.webex.com

Lon

178.215.135.100

férfi

178.215.135.228

A ping opció biztonsági okokból le van tiltva a fent említett DNS-kiszolgáló IP-címeinél.

Amíg a feltételes továbbítás nem történik meg, az eszközök nem tudnak regisztrálni a dedikált példányra az ügyfél belső hálózatáról a társviszony-létesítési hivatkozásokon keresztül. A mobil- és távelérésen (MRA) keresztüli regisztrációhoz nincs szükség feltételes továbbításra, mivel az MRA megkönnyítéséhez szükséges összes külső DNS-rekordot a Cisco előre kiépíti.

Ha a Webex alkalmazást hívó lágy kliensként használja dedikált példányon, UC Manager profilt kell konfigurálni a Control Hubban az egyes régiók hangszolgáltatási tartományához (VSD). További információ: UC Manager profilok a Cisco Webex Control Hubban. A Webex alkalmazás képes lesz automatikusan feloldani az ügyfél Expressway Edge-jét végfelhasználói beavatkozás nélkül.

A hangszolgáltatás tartománya a partner hozzáférési dokumentumának részeként lesz megadva az ügyfélnek, miután a szolgáltatás aktiválása befejeződött.

Helyi útválasztó használata a telefon DNS-feloldásához

Olyan telefonok esetében, amelyek nem férnek hozzá a vállalati DNS-kiszolgálókhoz, lehetőség van a helyi Cisco útválasztó használatára a DNS-kérések átirányítására a dedikált példány felhőjének DNS-ébe. Ez megszünteti a helyi DNS-kiszolgáló telepítésének szükségességét, és teljes DNS-támogatást biztosít, beleértve a gyorsítótárazást is.

Mintakonfiguráció :

!

ip dns-kiszolgáló

ip név szerver

!

Ebben az üzembe helyezési modellben a DNS-használat a telefonokra jellemző, és csak az FQDN-ek feloldására használható az ügyfelek dedikált példányának tartományával.

Telefon DNS-felbontása