Requisiti di rete per l'istanza dedicata

L'istanza dedicata di Webex Calling fa parte del portfolio Cisco Cloud Calling, basato sulla tecnologia di collaborazione Cisco Unified Communications Manager (Cisco Unified CM). L'istanza dedicata offre soluzioni voce, video, messaggistica e mobilità con le funzioni e i vantaggi di telefoni IP Cisco , dispositivi mobili e client desktop che si collegano in modo sicuro all'istanza dedicata.

Questo articolo è destinato agli amministratori di rete, in particolare agli amministratori della sicurezza del firewall e del proxy che desiderano utilizzare l'istanza dedicata all'interno della propria organizzazione.

Panoramica sulla sicurezza: Sicurezza a livelli

Istanza dedicata utilizza un approccio a più livelli per la sicurezza. I livelli comprendono:

  • Accesso fisico

  • Rete

  • Endpoint

  • Applicazioni UC

Nelle sezioni seguenti vengono descritti i livelli di sicurezza in Istanza dedicata distribuzioni.

Sicurezza fisica

È importante fornire sicurezza fisica alle posizioni di Equinix Meet-Me Room e Cisco Istanza dedicata Strutture di centri dati. Quando la sicurezza fisica è compromessa, possono essere avviati semplici attacchi, ad esempio l'interruzione del servizio a causa dell'interruzione dell'alimentazione agli switch di un cliente. Con l'accesso fisico, gli aggressori possono ottenere accesso a dispositivi server, reimpostare le password e ottenere accesso agli switch. L'accesso fisico facilita anche gli attacchi più sofisticati come gli attacchi man-in-the-middle, motivo per cui il secondo livello di sicurezza, la sicurezza di rete, è fondamentale.

Le unità con crittografia automatica vengono utilizzate in Istanza dedicata Centri dati che ospitano applicazioni UC.

Per ulteriori informazioni sulle procedure di sicurezza generali, fare riferimento alla documentazione disponibile nel seguente percorso: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Sicurezza di rete

I partner devono assicurarsi che tutti gli elementi di rete siano protetti Istanza dedicata infrastruttura (che si collega tramite Equinix). È responsabilità del partner garantire procedure consigliate per la sicurezza , ad esempio:

  • VLAN separata per voce e dati

  • Abilita sicurezza porta che limita il numero di indirizzi MAC consentiti per porta, contro il sovraffollamento della tabella CAM

  • Origine IP Protezione da indirizzi IP falsificati

  • L'ispezione ARP dinamica (DAI) esamina il protocollo di risoluzione degli indirizzi (ARP) e l'ARP gratuito (GARP) per le violazioni (contro lo spoofing ARP)

  • 802.1x limita l'accesso di rete ai dispositivi di autenticazione sulle VLAN assegnate (i telefoni supportano 802.1x )

  • Configurazione della qualità del servizio (QoS) per la marcatura appropriata dei pacchetti vocali

  • Configurazioni delle porte del firewall per bloccare qualsiasi altro traffico

Sicurezza endpoint

Gli endpoint Cisco supportano funzioni di sicurezza predefinite, ad esempio firmware firmato, avvio protetto (modelli selezionati), certificato installato del produttore (MIC) e file di configurazione firmati, che forniscono un determinato livello di sicurezza per gli endpoint.

Inoltre, un partner o un cliente può abilitare ulteriore sicurezza, ad esempio:

  • Crittografa i servizi telefono IP (tramite HTTPS) per servizi come Extension Mobility interni

  • Emissione di certificati significativi a livello locale (LSC) dalla funzione proxy autorità di certificazione (CAPF) o un'autorità di certificazione pubblica (CA)

  • Crittografa i file di configurazione

  • Crittografa i file multimediali e la segnalazione

  • Se non vengono utilizzate, disabilitare queste impostazioni: porta del PC, PC Voice VLAN Access, Gratuitous ARP, Web Access, pulsante Impostazioni, SSH, console

Implementazione di meccanismi di sicurezza in Istanza dedicata impedisce il furto di identità dei telefoni e del server Unified CM, la manomissione dei dati e la manomissione dei segnali di chiamata/flusso multimediale.

Istanza dedicata in rete:

  • Stabilisce e gestisce flussi di comunicazione autenticati

  • Consente di firmare digitalmente i file prima di trasferire il file sul telefono

  • Crittografa i flussi multimediali e la segnalazione di chiamata tra telefoni IP Cisco Unified

Impostazione sicurezza predefinita

La funzione Sicurezza per impostazione predefinita fornisce le seguenti funzioni di sicurezza automatica per i telefoni IP Cisco Unified:

  • Firma dei file di configurazione telefono

  • Supporto per la crittografia del file di configurazione telefono

  • HTTPS con Tomcat e altri servizi Web (MIDlet)

Per Unified CM Release 8.0 successiva, queste funzioni di sicurezza sono fornite per impostazione predefinita senza eseguire il client CTL(Certificate Trust List).

Servizio di verifica attendibilità

Poiché esiste un numero elevato di telefoni in una rete e i telefoni IP dispongono di memoria limitata, Cisco Unified CM funge da archivio attendibile remoto tramite il servizio di verifica attendibile (TVS) in modo che un archivio attendibile del certificato venga inserito su ciascun telefono. I telefoni IP Cisco contattano il server TVS per la verifica poiché non possono verificare una firma o un certificato tramite file CTL o ITL. Avere un archivio attendibile centrale è più facile da gestire rispetto a un archivio attendibile su ciascun telefono IP Cisco Unified.

TVS consente ai telefoni IP Cisco Unified di autenticare i server applicazioni, come servizi EM , rubriche e MIDlet, durante la definizione del protocollo HTTPS.

Trust list iniziale

Il file della lista attendibile iniziale (ITL) viene utilizzato per la sicurezza iniziale, in modo che gli endpoint possano considerare attendibile Cisco Unified CM. ITL non richiede l'abilitazione esplicita di alcuna funzione di sicurezza. Il file ITL viene creato automaticamente quando viene installato il cluster. La chiave privata del server Unified CM Trivial File Transfer Protocol (TFTP) viene utilizzata per firmare il file ITL.

Quando il cluster o il server Cisco Unified CM è in modalità protetta , il file ITL viene scaricato su tutti i telefono IP Cisco supportati. Un partner può visualizzare il contenuto di un file ITL utilizzando il comando CLI, admin:show itl.

I telefoni IP Cisco devono disporre del file ITL per eseguire le seguenti attività:

  • Comunica in modo sicuro a CAPF, un prerequisito per supportare la crittografia del file di configurazione

  • Autenticare la firma del file di configurazione

  • Autenticare i server applicazioni, ad esempio i servizi EM , la rubrica e MIDlet durante la creazione di HTTPS mediante TVS

Cisco CTL

L'autenticazione di dispositivi, file e segnalazioni si basa sulla creazione del file della lista di attendibilità del certificato (CTL), che viene creato quando il partner o il cliente installa e configura il client della lista di attendibilità del certificato Cisco .

Il file CTL contiene voci per i seguenti server o token di sicurezza:

  • Token di sicurezza dell'amministratore di sistema (SAST)

  • Servizi Cisco CallManager e Cisco TFTP in esecuzione sullo stesso server

  • Funzione proxy autorità di certificazione (CAPF)

  • Server TFTP

  • firewall ASA

Il file CTL contiene un certificato server, la chiave pubblica, il numero di serie, la firma, il nome dell'autorità emittente, il nome dell'oggetto, la funzione del server, il nome DNS e l' indirizzo IP per ciascun server.

La sicurezza del telefono con CTL offre le seguenti funzioni:

  • Autenticazione dei file scaricati TFTP (configurazione, impostazioni internazionali, elenco suonerie e così via) mediante una chiave di firma

  • Crittografia dei file di configurazione TFTP mediante una chiave di firma

  • Segnale di chiamata crittografato per telefoni IP

  • Audio di chiamata crittografato (multimediale) per telefoni IP

Sicurezza per i telefoni IP Cisco in Istanza dedicata

Istanza dedicata fornisce la registrazione dell'endpoint e elaborazione chiamata. La segnalazione tra Cisco Unified CM e gli endpoint si basa sul Secure Skinny Client Control Protocol (SCCP) o sul Session Initiation Protocol (SIP) e può essere crittografata utilizzando TLS ( Transport Layer Security ). I file multimediali da/per gli endpoint si basano sul protocollo RTP( Real-time Transport Protocol ) e possono anche essere crittografati utilizzando Secure RTP (SRTP).

L'abilitazione della modalità mista su Unified CM consente la crittografia della segnalazione e del traffico multimediale da e verso gli endpoint Cisco .

Applicazioni UC sicure

Abilitazione della modalità mista in Istanza dedicata

La modalità mista è abilitato per impostazione predefinita in Istanza dedicata .

Abilitazione della modalità mista in Istanza dedicata consente di eseguire la crittografia dei segnali e del traffico multimediale da e verso gli endpoint Cisco .

In Cisco Unified CM release 12.5(1), è stata aggiunta una nuova opzione per abilitare la crittografia della segnalazione e dei contenuti multimediali in base a SIP OAuth anziché in modalità mista/ CTL per i client Jabber e Webex . Pertanto, in Unified CM release 12.5(1), SIP OAuth e SRTP possono essere utilizzati per abilitare la crittografia per la segnalazione e i file multimediali per i client Jabber o Webex . L'abilitazione della modalità mista continua a essere richiesta in questo momento per i telefoni IP Cisco e altri endpoint Cisco . È previsto un piano per aggiungere il supporto per SIP OAuth negli endpoint 7800/8800 in una futura release.

Sicurezza dei messaggi vocali

Cisco Unity Connection si connette a Unified CM tramite la porta TLS . Quando la modalità di sicurezza del dispositivo non è protetta, Cisco Unity Connection si collega a Unified CM attraverso la porta SCCP .

Per configurare la sicurezza per le porte di messaggistica vocale Unified CM e i dispositivi Cisco Unity che eseguono SCCP o i dispositivi Cisco Unity Connection che eseguono SCCP, un partner può scegliere una modalità di sicurezza del dispositivo protetto per la porta. Se scegli una porta casella vocale autenticata , viene aperta una connessione TLS che autentica i dispositivi tramite uno scambio di certificati reciproci (ciascun dispositivo accetta il certificato dell'altro dispositivo). Se si sceglie una porta casella vocale crittografata , il sistema autentica prima i dispositivi e invia flussi vocali crittografati tra i dispositivi.

Per ulteriori informazioni sulle porte di messaggistica vocale di sicurezza, fare riferimento a: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Sicurezza per SRST, trunk, gateway, CUB/SBC

Un gateway abilitato per Cisco Unified Survivable Remote Site Telephony (SRST) fornisce attività di elaborazione delle chiamate limitate se Cisco Unified CM Istanza dedicata non riesce a completare la chiamata.

I gateway abilitati per SRST sicuri contengono un certificato autofirmato. Dopo che un partner esegue le attività di configurazione SRST in Unified CM Administration, Unified CM utilizza una connessione TLS per eseguire l'autenticazione con il servizio del provider di certificati nel gateway abilitato per SRST. Unified CM recupera il certificato dal gateway abilitato per SRST e aggiunge il certificato al database Unified CM .

Dopo che il partner ha ripristinato i dispositivi dipendenti in Unified CM Administration, il server TFTP aggiunge il certificato gateway abilitato per SRST al file cnf.xml del telefono e invia il file al telefono. Un telefono sicuro utilizza quindi una connessione TLS per interagire con il gateway abilitato per SRST.

Si consiglia di disporre di trunk sicuri per la chiamata originata da Cisco Unified CM al gateway per le chiamate PSTN in uscita o che attraversano Cisco Unified Border Element (CUBE).

I SIP trunk possono supportare chiamate protette sia per la segnalazione che per i file multimediali; TLS fornisce la crittografia dei segnali mentre SRTP fornisce la crittografia multimediale.

Protezione delle comunicazioni tra Cisco Unified CM e CUBE

Per comunicazioni sicure tra Cisco Unified CM e CUBE, i partner/clienti devono utilizzare un certificato autofirmato CA.

Per i certificati autofirmati:

  1. CUBE e Cisco Unified CM generano certificati autofirmati

  2. CUBE esporta il certificato in Cisco Unified CM

  3. Cisco Unified CM esporta il certificato in CUBE

Per i certificati firmati CA:

  1. Il client genera una coppia di chiavi e invia una Richiesta di firma del certificato (CSR) autorità di certificazione (CA)

  2. L'Autorità di certificazione lo firma con la sua chiave privata, creando un certificato di identità

  3. Il client installa l'elenco di certificati CA radice e intermediari attendibili e il certificato di identità

Sicurezza per endpoint remoti

Con gli endpoint di Remote Access (MRA), la segnalazione e i contenuti multimediali vengono sempre crittografati tra gli endpoint MRA e i nodi Expressway. Se viene utilizzato il protocollo ICE (Interactive Connectivity Establishment) per gli endpoint MRA, è necessaria la segnalazione e la crittografia multimediale degli endpoint MRA. Tuttavia, la crittografia della segnalazione e dei supporti tra Expressway-C e i server Unified CM interni, gli endpoint interni o altri dispositivi interni richiede la modalità mista o SIP OAuth.

Cisco Expressway fornisce attraversamento sicuro del firewall e supporto lato linea per le registrazioni Unified CM . Unified CM fornisce il controllo chiamata per endpoint mobili e in sede . La segnalazione attraversa la soluzione Expressway tra l'endpoint remoto e Unified CM. Il supporto attraversa la soluzione Expressway e viene inoltrato direttamente tra gli endpoint. Tutti i file multimediali vengono crittografati tra Expressway-C e l'endpoint mobile.

Qualsiasi soluzione MRA richiede Expressway e Unified CM, con soft client compatibili con MRA e/o endpoint fissi. La soluzione può includere il servizio IM e Presence Service e Unity Connection.

Riepilogo del protocollo

La tabella seguente mostra i protocolli e i servizi associati utilizzati nella soluzione Unified CM .

Tabella 1. Protocolli e servizi associati

Protocol

Sicurezza

Servizio

SIP

TLS

Impostazione sessione: Registrati, Invita, ecc.

HTTPS

TLS

Accesso, Provisioning/Configurazione, Rubrica, Segreteria telefonica visiva

Multimediale

SRTP

Supporti: Audio, video, condivisione di contenuto

XMPP

TLS

messaggistica istantanea, Presenza, Federazione

Per ulteriori informazioni sulla configurazione MRA, vedere: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Opzioni di configurazione

Il Istanza dedicata fornisce al Partner la flessibilità di personalizzare i servizi per gli utenti finali attraverso il controllo totale delle configurazioni del secondo giorno. Di conseguenza, il Partner è l'unico responsabile della corretta configurazione di Istanza dedicata servizio per l'ambiente dell'utente finale. Ciò include, a titolo esemplificativo:

  • Scelta di chiamate sicure/non protette, protocolli sicuri/non protetti come SIP/sSIP, http/https ecc. e comprensione dei rischi associati.

  • Per tutti gli indirizzi MAC non configurati come secure- SIP in Istanza dedicata , un utente malintenzionato può inviare un messaggio nel registro SIP utilizzando tale indirizzo MAC ed essere in grado di effettuare chiamate SIP , con conseguente frode a pagamento. Il vantaggio è che l'attaccante può registrare il proprio dispositivo SIP su Istanza dedicata senza autorizzazione se conoscono l' indirizzo MAC di un dispositivo registrato in Istanza dedicata .

  • I criteri di chiamata Expressway-E e le regole di trasformazione e ricerca devono essere configurati per prevenire le frodi a pagamento. Per ulteriori informazioni su come prevenire le frodi a pagamento utilizzando Expressway, fare riferimento alla sezione Sicurezza per Expressway C ed Expressway-E di SRND collaborazione .

  • Configurazione del piano di chiamata per garantire che gli utenti possano chiamare solo destinazioni consentite, ad esempio, divieto di chiamate nazionali/internazionali, chiamate di emergenza indirizzate correttamente ecc. Piano di numerazione sezione di Collaboration SRND.

Requisiti di certificato per connessioni sicure in Istanza dedicata

Per l'istanza dedicata, Cisco fornisce il dominio e firma tutti i certificati per le applicazioni UC utilizzando un'autorità di autorità di certificazione (CA) pubblica.

Istanza dedicata - numeri di porta e protocolli

Nelle tabelle seguenti vengono descritte le porte e i protocolli supportati nell'istanza dedicata. Le porte utilizzate per un determinato cliente dipendono dalla distribuzione e dalla soluzione del cliente. I protocolli dipendono dalle preferenze del cliente (SCCP vs SIP), dai dispositivi locali esistenti e dal livello di sicurezza per determinare quali porte devono essere utilizzate in ciascuna distribuzione.


 

L'istanza dedicata non consente la traduzione dell'indirizzo di rete (NAT) tra endpoint e Unified CM poiché alcune funzioni del flusso di chiamata non funzionano, ad esempio la funzione mid-call.

Istanza dedicata - Porte cliente

Le porte disponibili per i clienti - tra il cliente in sede e l'istanza dedicata sono mostrate nella tabella 1 Porte cliente istanza dedicata . Tutte le porte elencate di seguito servono per il traffico del cliente che attraversa i collegamenti di peering.


 

La porta SNMP è aperta per impostazione predefinita solo per Cisco Emergency Responder per supportarne la funzionalità. Poiché non supportiamo partner o clienti nel monitoraggio delle applicazioni UC distribuite nel cloud Istanza dedicata, non consentiamo l'apertura della porta SNMP per altre applicazioni UC.


 

Le porte nell'intervallo da 5063 a 5080 sono riservate da Cisco ad altre integrazioni cloud; si consiglia agli amministratori di partner o clienti di non utilizzare queste porte nelle relative configurazioni.

Tabella 2. Porte cliente istanza dedicata

Protocol

TCP/UDP

Origine

Destinazione

Porta di origine

Porta di destinazione

Scopo

SSH

TCP

Client

Applicazioni UC


 
Non consentito per le applicazioni Cisco Expressway.

Maggiore di 1023

22

Amministrazione

TFTP

UDP

Endpoint

Unified CM

Maggiore di 1023

69

Supporto endpoint legacy

LDAP

TCP

Applicazioni UC

Rubrica esterna

Maggiore di 1023

389

Sincronizzazione rubrica con LDAP del cliente

HTTPS

TCP

Browser

Applicazioni UC

Maggiore di 1023

443

Accesso Web per interfacce di assistenza autonoma e di amministrazione

Posta in uscita (SICURA)

TCP

Applicazione UC

CUCxn

Maggiore di 1023

587

Utilizzata per comporre e inviare messaggi sicuri ai destinatari designati

LDAP (SECURE)

TCP

Applicazioni UC

Rubrica esterna

Maggiore di 1023

636

Sincronizzazione rubrica con LDAP del cliente

H323

TCP

Porta

Unified CM

Maggiore di 1023

1720

Segnale di chiamata

H323

TCP

Unified CM

Unified CM

Maggiore di 1023

1720

Segnale di chiamata

SCCP

TCP

Endpoint

Unified CM, CUCxn

Maggiore di 1023

2000

Segnale di chiamata

SCCP

TCP

Unified CM

Unified CM, gateway

Maggiore di 1023

2000

Segnale di chiamata

MGCP

UDP

Porta

Porta

Maggiore di 1023

2427

Segnale di chiamata

Backhaul MGCP

TCP

Porta

Unified CM

Maggiore di 1023

2428

Segnale di chiamata

SCCP (SECURE)

TCP

Endpoint

Unified CM, CUCxn

Maggiore di 1023

2443

Segnale di chiamata

SCCP (SECURE)

TCP

Unified CM

Unified CM, gateway

Maggiore di 1023

2443

Segnale di chiamata

Trust Verifica

TCP

Endpoint

Unified CM

Maggiore di 1023

2445

Fornitura del servizio di verifica dell'attendibilità agli endpoint

CTI

TCP

Endpoint

Unified CM

Maggiore di 1023

2748

Connessione tra applicazioni CTI (JTAPI/TSP) e CTIManager

CTI sicuro

TCP

Endpoint

Unified CM

Maggiore di 1023

2749

Connessione protetta tra applicazioni CTI (JTAPI/TSP) e CTIManager

Catalogo globale LDAP

TCP

Applicazioni UC

Rubrica esterna

Maggiore di 1023

3268

Sincronizzazione rubrica con LDAP del cliente

Catalogo globale LDAP

TCP

Applicazioni UC

Rubrica esterna

Maggiore di 1023

3269

Sincronizzazione rubrica con LDAP del cliente

Servizio CAPF

TCP

Endpoint

Unified CM

Maggiore di 1023

3804

Porta di ascolto CAPF ( autorità di certificazione Proxy Function) per il rilascio di certificati significativi a livello locale ( LSC) su telefoni IP

SIP

TCP

Endpoint

Unified CM, CUCxn

Maggiore di 1023

5060

Segnale di chiamata

SIP

TCP

Unified CM

Unified CM, gateway

Maggiore di 1023

5060

Segnale di chiamata

SIP (SECURE)

TCP

Endpoint

Unified CM

Maggiore di 1023

5061

Segnale di chiamata

SIP (SECURE)

TCP

Unified CM

Unified CM, gateway

Maggiore di 1023

5061

Segnale di chiamata

SIP (OAUTH)

TCP

Endpoint

Unified CM

Maggiore di 1023

5090

Segnale di chiamata

XMPP

TCP

Client Jabber

Cisco IM&P

Maggiore di 1023

5222

messaggistica istantanea e presenza

HTTP

TCP

Endpoint

Unified CM

Maggiore di 1023

6970

Download della configurazione e delle immagini sugli endpoint

HTTPS

TCP

Endpoint

Unified CM

Maggiore di 1023

6971

Download della configurazione e delle immagini sugli endpoint

HTTPS

TCP

Endpoint

Unified CM

Maggiore di 1023

6972

Download della configurazione e delle immagini sugli endpoint

HTTP

TCP

Client Jabber

CUCxn

Maggiore di 1023

7080

Notifiche di casella vocale

HTTPS

TCP

Client Jabber

CUCxn

Maggiore di 1023

7443

Proteggere le notifiche della casella vocale

HTTPS

TCP

Unified CM

Unified CM

Maggiore di 1023

7501

Utilizzata dal servizio di ricerca intercluster (ILS) per l'autenticazione basata su certificato

HTTPS

TCP

Unified CM

Unified CM

Maggiore di 1023

7502

Utilizzata da ILS per l'autenticazione basata su password

IMAP

TCP

Client Jabber

CUCxn

Maggiore di 1023

7993

IMAP su TLS

HTTP

TCP

Endpoint

Unified CM

Maggiore di 1023

8080

URI della directory per il supporto degli endpoint legacy

HTTPS

TCP

Browser, endpoint

Applicazioni UC

Maggiore di 1023

8443

Accesso Web per interfacce di amministrazione e di assistenza autonoma, UDS

HTTPS

TCP

Telefono

Unified CM

Maggiore di 1023

9443

Ricerca contatti autenticati

HTTP

TCP

Endpoint

Unified CM

Maggiore di 1023

9444

Funzione di gestione della cuffia

Sicurezza RTP/ SRTP

UDP

Unified CM

Telefono

da 16384 a 32767 *

da 16384 a 32767 *

Media (audio) - musica di attesa, Annunciatore, Software Conference Bridge (aperto in base alla segnalazione di chiamata)

Sicurezza RTP/ SRTP

UDP

Telefono

Unified CM

da 16384 a 32767 *

da 16384 a 32767 *

Media (audio) - musica di attesa, Annunciatore, Software Conference Bridge (aperto in base alla segnalazione di chiamata)

COBRA

TCP

Client

CUCxn

Maggiore di 1023

20532

Backup e ripristino di Application Suite

ICMP

ICMP

Endpoint

Applicazioni UC

n/d

n/d

Ping

ICMP

ICMP

Applicazioni UC

Endpoint

n/d

n/d

Ping

DNS UDP e TCP

Inoltro DNS

Server DNS istanza dedicata

Maggiore di 1023

53

Inoltri DNS locali cliente a server DNS istanza dedicata. Per ulteriori informazioni, vedere requisiti DNS.

* In alcuni casi speciali potrebbe essere disponibile un intervallo più ampio.

Istanza dedicata - porte OTT

La porta seguente può essere utilizzata da clienti e partner per l'impostazione di Remote Access (MRA):

Tabella 3. Porta per OTT

Protocol

TCP/UCP

Origine

Destinazione

Porta di origine

Porta di destinazione

Scopo

SICURO RTP/ RTCP

UDP

Expressway C

Client

Maggiore di 1023

36000-59999

Secure Media per chiamate MRA e B2B

Trunk SIP inter-op tra multitenant e istanza dedicata (solo per trunk basato su registrazione)

È necessario consentire il seguente elenco di porte sul firewall del cliente per il trunk SIP basato sulla registrazione che si connette tra il multitenant e l'istanza dedicata.

Tabella 4. Porta per trunk basati su registrazione

Protocol

TCP/UCP

Origine

Destinazione

Porta di origine

Porta di destinazione

Scopo

RTP/RTCP

UDP

Multitenant Webex Calling

Client

Maggiore di 1023

8000-48198

Contenuto multimediale da multitenant Webex Calling

Istanza dedicata - porte UCCX

Il seguente elenco di porte può essere utilizzato da clienti e partner per la configurazione di UCCX.

Tabella 5. Porte Cisco UCCX

Protocol

TCP /UCP

Origine

Destinazione

Porta di origine

Porta di destinazione

Scopo

SSH

TCP

Client

UCCX

Maggiore di 1023

22

SFTP e SSH

Informix

TCP

Client o server

UCCX

Maggiore di 1023

1504

Porta del database Contact Center Express

SIP

UDP e TCP

Server SIP GW o MCRP

UCCX

Maggiore di 1023

5065

Comunicazione con nodi GW e MCRP remoti

XMPP

TCP

Client

UCCX

Maggiore di 1023

5223

Connessione XMPP protetta tra il server Finesse e applicazioni personalizzate di terze parti

CVD

TCP

Client

UCCX

Maggiore di 1023

6999

dall'editor alle applicazioni CCX

HTTPS

TCP

Client

UCCX

Maggiore di 1023

7443

Connessione BOSH protetta tra il server Finesse e i desktop dell'agente e del supervisore per la comunicazione su HTTPS

HTTP

TCP

Client

UCCX

Maggiore di 1023

8080

I client di report dati in diretta si connettono a un server socket.IO

HTTP

TCP

Client

UCCX

Maggiore di 1023

8081

Il browser client che tenta di accedere interfaccia Web di Cisco Unified Intelligence Center

HTTP

TCP

Client

UCCX

Maggiore di 1023

8443

Accesso amministratore GUI, RTMT, DB su SOAP

HTTPS

TCP

Client

UCCX

Maggiore di 1023

8444

interfaccia Web Cisco Unified Intelligence Center

HTTPS

TCP

Client browser e REST

UCCX

Maggiore di 1023

8445

Porta sicura per Finesse

HTTPS

TCP

Client

UCCX

Maggiore di 1023

8447

HTTPS - Guida in linea di Unified Intelligence Center

HTTPS

TCP

Client

UCCX

Maggiore di 1023

8553

I componenti Single Sign-On (SSO) accedono a questa interfaccia per conoscere lo stato operativo di Cisco IdS.

HTTP

TCP

Client

UCCX

Maggiore di 1023

9080

Client che tentano di accedere a trigger HTTP o documenti/ prompt/grammatiche/ dati in diretta.

HTTPS

TCP

Client

UCCX

Maggiore di 1023

9443

Porta protetta utilizzata per rispondere ai client che tentano di accedere ai trigger HTTPS

TCP

TCP

Client

UCCX

Maggiore di 1023

12014

Questa è la porta in cui i client di report dati in diretta possono connettersi alla socket.Server IO

TCP

TCP

Client

UCCX

Maggiore di 1023

12015

Questa è la porta in cui i client di report dati in diretta possono connettersi alla socket.Server IO

CTI

TCP

Client

UCCX

Maggiore di 1023

12028

Client CTI di terze parti a CCX

RTP(supporto)

TCP

Endpoint

UCCX

Maggiore di 1023

Maggiore di 1023

La porta multimediale viene aperta in modo dinamico come necessario

RTP(supporto)

TCP

Client

Endpoint

Maggiore di 1023

Maggiore di 1023

La porta multimediale viene aperta in modo dinamico come necessario

Sicurezza del cliente

Protezione di Jabber e Webex con SIP OAuth

I client Jabber e Webex vengono autenticati tramite un token OAuth anziché un certificato importante in locale (LSC), che non richiede l' funzione proxy autorità di certificazione CAPF(anche per MRA) dell'autorità di certificazione. SIP OAuth che funziona con o senza la modalità mista è stato introdotto in Cisco Unified CM 12.5(1), Jabber 12.5 ed Expressway X12.5.

In Cisco Unified CM 12.5, è disponibile una nuova opzione nel profilo di sicurezza del telefono che consente la crittografia senza LSC/ CAPF , utilizzando un singolo token TLS ( Transport Layer Security ) + OAuth nel REGISTER SIP . I nodi Expressway-C utilizzano l' API del servizio Web XML amministrativo ( AXL ) per informare Cisco Unified CM della presenza di SN/SAN nel certificato. Cisco Unified CM utilizza queste informazioni per convalidare il certificato Exp-C quando stabilisce una connessione TLS reciproca.

SIP OAuth abilita la crittografia dei supporti e dei segnali senza un certificato endpoint (LSC).

Cisco Jabber utilizza le porte temporanee e le porte di sicurezza 6971 e 6972 tramite connessione HTTPS al server TFTP per scaricare i file di configurazione. La porta 6970 è una porta non protetta per il download tramite HTTP.

Ulteriori dettagli sulla configurazione di SIP OAuth: Modalità SIP OAuth .

Requisiti DNS

Per l'istanza dedicata Cisco fornisce il nome di dominio completo per il servizio in ciascuna regione con il formato seguente<customer> .<region> .wxc-di.webex.com ad esempio, xyz.amer.wxc-di.webex.com .

Il valore 'cliente' viene fornito dall'amministratore come parte dell'installazione procedura di installazione guidata iniziale iniziale (FTSW). Per ulteriori informazioni, fare riferimento a Attivazione servizio istanza dedicata .

I record DNS per questo FQDN devono essere risolvibili dal server DNS interno del cliente per supportare i dispositivi locali che si connettono all'istanza dedicata. Per facilitare la risoluzione, il cliente deve configurare un server di inoltro condizionale, per questo FQDN, sul server DNS punta al servizio DNS istanza dedicata. Il servizio DNS istanza dedicata è regionale e può essere raggiunto, tramite il peering all'istanza dedicata, utilizzando i seguenti indirizzi IP , come menzionato nella tabella seguente Indirizzo IP del servizio DNS istanza dedicata .

Tabella 6. Indirizzo IP del servizio DNS istanza dedicata

Regione/CC

Indirizzo IP del servizio DNS istanza dedicata

Esempio di inoltro condizionale

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

UE

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

AMS

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

PECCATO

103.232.71.100

TKY

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


 

L'opzione pinging è disabilitata per gli indirizzi IP del server DNS menzionati sopra per motivi di sicurezza.

Fino a quando non viene attivato l'inoltro condizionale, i dispositivi non saranno in grado di eseguire la registrazione nell'istanza dedicata dalla rete interna del cliente tramite i collegamenti di peering. L'inoltro condizionale non è richiesto per la registrazione tramite Remote Access (MRA), poiché tutti i record DNS esterni richiesti per facilitare l'MRA verranno sottoposti a preprovisioning da Cisco.

Quando si utilizza l'applicazione Webex come soft client di chiamata su un'istanza dedicata, è necessario configurare un profilo UC Manager in Control Hub per il dominio del servizio vocale (VSD) di ciascuna regione. Per ulteriori informazioni, fare riferimento a Profili UC Manager in Cisco Webex Control Hub . L'applicazione Webex sarà in grado di risolvere automaticamente il Expressway Edge del cliente senza alcun intervento utente finale .


 

Il dominio del servizio vocale verrà fornito al cliente come parte del documento di accesso del partner una volta completata l'attivazione del servizio.