Requisiti di rete per l'istanza dedicata

Webex Calling'istanza dedicata fa parte del portfolio Cisco Cloud Calling, tecnologia Cisco Unified Communications Manager (Cisco Unified CM). L'istanza dedicata offre soluzioni vocali, video, di messaggistica e mobilità con le funzioni e i vantaggi di telefoni Cisco IP phone, dispositivi mobili e client desktop che si connettono in modo sicuro all'istanza dedicata.

Questo articolo è destinato agli amministratori di rete, in particolare amministratori di firewall e della sicurezza proxy che desiderano utilizzare istanza dedicata all'interno della propria organizzazione.

Panoramica sulla sicurezza: Sicurezza a livelli

L'istanza dedicata utilizza un approccio a più livelli per la sicurezza. I livelli includono:

  • Accesso fisico

  • Rete

  • Endpoint

  • Applicazioni UC

Nelle sezioni seguenti vengono descritti i livelli di sicurezza nelle distribuzioni di istanze dedicate.

Sicurezza fisica

È importante fornire sicurezza fisica alle ubicazioni di sala Meet-Me Equinix e alle infrastrutture dei centri dati di istanza dedicata Cisco . Quando la sicurezza fisica è compromessa, è possibile attacco semplice, come interruzione del servizio mediante l'arresto dell'alimentazione agli switch di un cliente. Con l'accesso fisico, si potrebbero ottenere accesso ai dispositivi server, reimpostare le password e ottenere l'accesso agli switch. L'accesso fisico facilita anche attacchi più sofisticati, quali attacchi man-in-the-middle, per cui è fondamentale il secondo livello di sicurezza, la sicurezza di rete.

Le unità di auto-crittografia vengono utilizzate in centri dati ad istanza dedicati che ospitano applicazioni UC.

Per ulteriori informazioni sulle pratiche generali di sicurezza, consultare la documentazione al seguente indirizzo: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Sicurezza di rete

I partner devono assicurarsi che tutti gli elementi di rete siano protetti nell'infrastruttura dell'istanza dedicata (che si connette tramite Equinix). È responsabilità del partner garantire best practice di sicurezza quali:

  • VLAN separata per voce e dati

  • Abilitare la sicurezza delle porte che limita il numero di indirizzi MAC consentiti per porta, in base alla tabella CAM

  • Protezione dell'origine IP per indirizzi IP spoofed

  • Il controllo ARP dinamico (DAI) esamina il protocollo ARP (Address Resolution Protocol) e l'ARP gratuito per violazioni (contro spoofing ARP)

  • 802. limita l'accesso1x di rete per l'autenticazione dei dispositivi sulle VLAN assegnate (i telefoni supportano 802).1x

  • Configurazione della qualità del servizio (QoS) per il contrassegno appropriato dei pacchetti vocali

  • Configurazioni delle porte del firewall per il blocco di qualsiasi altro traffico

Sicurezza endpoint

Gli endpoint Cisco supportano funzioni di sicurezza predefinite come firmware firmato, avvio sicuro (modelli selezionati), certificato installato dal produttore (MIC) e file di configurazione firmati, che forniscono un determinato livello di sicurezza per gli endpoint.

Inoltre, un partner o un cliente può abilitare ulteriore sicurezza come:

  • Crittografare i servizi telefonici IP (tramite HTTPS) per servizi come Extension Mobility

  • Emettere certificati significativi in locale (LCS) dalla funzione proxy dell'autorità di certificazione (CAPF) o da un'autorità di certificazione pubblica (CA)

  • Crittografa file di configurazione

  • Crittografare contenuto multimediale e segnalazione

  • Disabilitare queste impostazioni se non vengono utilizzate: Porta PC, accesso PC VLAN vocale, ARP gratuito, accesso Web, pulsante Impostazioni, SSH, console

L'implementazione di meccanismi di sicurezza nell'istanza dedicata impedisce il furto di identità dei telefoni e del server Unified CM, la manomissione dei dati e la segnalazione di chiamate/la manomissione di flussi multimediali.

Istanza dedicata sulla rete:

  • Stabilisce e gestisce flussi di comunicazione autenticati

  • Firma in digitale dei file prima di trasferirsi al telefono

  • Esegue la crittografia di flussi multimediali e segnali di chiamata tra Cisco Unified IP Phone

Impostazione sicurezza predefinita

La sicurezza per impostazione predefinita fornisce le seguenti funzioni di sicurezza automatiche Cisco Unified IP phone:

  • Firma dei file di configurazione del telefono

  • Supporto per la crittografia del file di configurazione del telefono

  • HTTPS con Tomcat e altri servizi Web (MIDlet)

Per Unified CM Release 8.0 successivo, queste funzioni di sicurezza sono fornite per impostazione predefinita senza eseguire il client CTL (Certificate Trust List).

Servizio di verifica attendibilità

Poiché esistono un grande numero di telefoni in una rete e i telefoni IP hanno memoria limitata, Cisco Unified CM agisce come un archivio di attendibilità remoto attraverso il servizio di verifica dell'attendibilità (TVS) in modo che non sia necessario inserire un archivio di certificati attendibili su ciascun telefono. I telefoni Cisco IP phone contattano il server TVS per la verifica poiché non possono verificare una firma o un certificato attraverso file CTL o ITL. L'avere di un archivio di attendibilità centrale è più facile da gestire rispetto all'archiviazione della relazione di trust su Cisco Unified IP phone.

Il TVS consente Cisco Unified IP phone per autenticare i server applicazioni, quali servizi EM, directory e MIDlet, durante https https.

Trust list iniziale

Il file ITL (Initial Trust List) viene utilizzato per la sicurezza iniziale, in modo che gli endpoint possano considerarsi affidabili Cisco Unified CM. ITL non richiede l'a attivazione esplicita di funzioni di sicurezza. Il file ITL viene creato automaticamente quando viene installato il cluster. La chiave privata del server Unified CM Trivial File Transfer Protocol (TFTP) viene utilizzata per firmare il file ITL.

Quando il cluster Cisco Unified CM o il server è in modalità non protetta, il file ITL viene scaricato su ogni telefono IP Cisco supportato. Un partner può visualizzare il contenuto di un file ITL utilizzando il comando CLI admin:show itl.

I telefoni Cisco IP phone devono disporre del file ITL per eseguire le seguenti attività:

  • Comunicare in modo sicuro a CAPF, un prerequisito per supportare la crittografia del file di configurazione

  • Autentica firma file di configurazione

  • Autenticare i server applicazioni, come i servizi EM, la rubrica e MIDlet durante HTTPS https utilizzando TVS

Cisco CTL

L'autenticazione di dispositivo, file e segnalazione si basa sulla creazione del file dell'elenco dei certificati attendibili (CTL), creato quando il partner o il cliente installa e configura il client dell'elenco dei certificati attendibili di Cisco.

Il file CTL contiene le voci per i seguenti server o token di sicurezza:

  • Token di sicurezza amministratore sistema (SAST)

  • Servizi Cisco CallManager e Cisco TFTP in esecuzione sullo stesso server

  • Funzione proxy autorità di certificazione (CAPF)

  • Server TFTP

  • Firewall ASA

Il file CTL contiene un certificato server, chiave pubblica, numero di serie, firma, nome emittente, nome del soggetto, funzione del server, nome DNS e indirizzo IP per ciascun server.

La sicurezza del telefono con CTL fornisce le seguenti funzioni:

  • Autenticazione dei file scaricati TFTP (configurazione, impostazioni internazionali, elenco delle suonerie e così via) tramite una chiave di firma

  • Crittografia dei file di configurazione TFTP tramite una chiave di firma

  • Segnalazione di chiamata crittografata per telefoni IP

  • Audio delle chiamate crittografate (multimediali) per telefoni IP

Sicurezza per i telefoni IP Cisco nell'istanza dedicata

L'istanza dedicata fornisce la registrazione dell'endpoint e l'elaborazione delle chiamate. Il segnale tra Cisco Unified CM ed endpoint si basa su SCCP (Secure Skinny Client Control Protocol) o SIP (Secure Skinny Client Control Protocol) o SIP (Session Initiation Protocol) (SIP) e può essere crittografato utilizzando il protocollo TLS (Transport Layer Security). Il contenuto multimediale da/verso gli endpoint si basa su RTP (Real-Time Transport Protocol) e può anche essere crittografato utilizzando SRTP (Secure RTP).

L'abilitazione della modalità mista su Unified CM consente la crittografia del segnale e del traffico multimediale da e verso gli endpoint Cisco.

Applicazioni UC sicure

Abilitazione della modalità mista in Istanza dedicata

La modalità mista è abilitata per impostazione predefinita in Istanza dedicata.

L'abilitazione della modalità mista in istanza dedicata consente di eseguire la crittografia dei segnali e del traffico multimediale da e verso gli endpoint Cisco.

In Cisco Unified CM release 12.5(1), è stata aggiunta una nuova opzione per abilitare la crittografia dei segnali e dei supporti in base a SIP OAuth anziché alla modalità mista/CTL per i client Jabber e Webex. Pertanto, in Unified CM release 12.5(1), è possibile utilizzare SIP OAuth e SRTP per abilitare la crittografia per i segnali e i supporti per i client Jabber o Webex. L'abilitazione della modalità mista continua a essere richiesta per i telefoni Cisco IP Phone e altri endpoint Cisco in questo momento. Esiste un piano per aggiungere il supporto per SIP OAuth negli endpoint 7800/8800 in una release futura.

Sicurezza dei messaggi vocali

Cisco Unity Connection si collega a Unified CM attraverso la porta TLS. Se la modalità di sicurezza del dispositivo non è sicura, Cisco Unity Connection si collega a Unified CM attraverso la porta SCCP.

Per configurare la sicurezza per le porte di messaggistica vocale Unified CM e per i dispositivi Cisco Unity che eseguono SCCP o Cisco Unity Connection con SCCP, un partner può scegliere una modalità di sicurezza per il dispositivo sicuro per la porta. Se si sceglie una porta della segreteria telefonica autenticata, viene aperta una connessione TLS che autentica i dispositivi utilizzando uno scambio di certificati reciproci (ciascun dispositivo accetta il certificato dell'altro dispositivo). Se si sceglie una porta della segreteria telefonica crittografata, il sistema prima autentica i dispositivi, quindi invia flussi vocali crittografati tra i dispositivi.

Per ulteriori informazioni sulle porte di messaggistica vocale di sicurezza, vedere: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Sicurezza per SRST, Trunk, Gateway, CUBE/SBC

Un gateway abilitato Cisco Unified survivable Remote Site Telephony (SRST) offre attività di elaborazione delle chiamate limitate se il Cisco Unified CM su istanza dedicata non riesce a completare la chiamata.

I gateway abilitati SRST sicuri contengono un certificato autofirmato. Dopo che un partner esegue attività di configurazione SRST in Amministrazione Unified CM, Unified CM utilizza una connessione TLS per eseguire l'autenticazione con il servizio di provider di certificati nel gateway abilitato SRST. Unified CM recupera il certificato dal gateway abilitato SRST e aggiunge il certificato al database Unified CM.

Una volta che il partner reimposta i dispositivi dipendenti in Amministrazione Unified CM, il server TFTP aggiunge il certificato gateway abilitato SRST al file cnf.xml del telefono e invia il file al telefono. Un telefono sicuro quindi utilizza una connessione TLS per interagire con il gateway abilitato SRST.

Si consiglia di disporre di trunk sicuri per la chiamata che ha origine da Cisco Unified CM al gateway per chiamate PSTN in uscita o per attraversamento attraverso l'Cisco Unified Border Element (CUBE).

I trunk SIP possono supportare chiamate sicure sia per la segnalazione che per i supporti; TLS fornisce la crittografia dei segnali e SRTP fornisce la crittografia multimediale.

Protezione delle comunicazioni tra Cisco Unified CM e CUBE

Per comunicazioni sicure tra Cisco Unified CM e CUBE, partner/clienti devono utilizzare un certificato autofirmato o certificati firmati da CA.

Per certificati autofirmati:

  1. CUBE e Cisco Unified CM generano certificati autofirmati

  2. CUBE esporta il certificato Cisco Unified CM

  3. Cisco Unified CM esporta certificato in CUBE

Per certificati firmati da CA:

  1. Il client genera una coppia di chiavi e invia una richiesta di firma del certificato (CSR) all'autorità di certificazione (CA)

  2. La CA la firma con la propria chiave privata, creando un certificato di identità

  3. Il client installa l'elenco di certificati radice CA e intermedie attendibili e il certificato di identità

Sicurezza per endpoint remoti

Con endpoint mobili Remote Access (MRA), i segnali e i supporti sono sempre crittografati tra gli endpoint MRA e Expressway nodi. Se viene utilizzato il protocollo Interactive Connectivity Bluetooth (ICE) per gli endpoint MRA, sono richiesti segnali e crittografia multimediale per gli endpoint MRA. Tuttavia, la crittografia dei segnali e dei supporti tra Expressway-C e i server Unified CM interni, endpoint interni o altri dispositivi interni richiede la modalità mista o l'OAuth SIP.

Cisco Expressway firewall sicuro trasversale e supporto lato linea per le iscrizioni Unified CM. Unified CM fornisce il controllo delle chiamate sia per gli endpoint mobili che per gli endpoint locali. La segnalazione attraversa la Expressway tra l'endpoint remoto e Unified CM. Il contenuto multimediale attraversa Expressway soluzione temporanea e viene inoltrato direttamente tra gli endpoint. Tutti i file multimediali vengono crittografati tra il Expressway-C e l'endpoint mobile.

Qualsiasi soluzione MRA richiede Expressway e Unified CM, con soft client e/o endpoint fissi compatibili MRA. La soluzione può includere, se si desidera, il servizio IM and Presence e Unity Connection.

Riepilogo del protocollo

La tabella seguente mostra i protocolli e i servizi associati utilizzati nella soluzione Unified CM.

Tabella 1. Protocolli e servizi associati

Protocollo

Sicurezza

Servizio

SIP

TLS

Sessione sessione: Eseguire l'iscrizione, invitare, ecc.

HTTPS

TLS

Accesso, Provisioning/Configurazione, Directory, Segreteria telefonica visiva

Multimediale

SRTP

Media: Audio, video, condivisione contenuto

XMPP

TLS

Messaggistica immediata, Presenza, Federazione

Per ulteriori informazioni sulla configurazione MRA, vedere: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Opzioni di configurazione

L'istanza dedicata offre ai partner la flessibilità di personalizzare i servizi per gli utenti finali attraverso il controllo completo delle configurazioni del due giorno. Di conseguenza, il partner è il solo responsabile della corretta configurazione del servizio di istanza dedicata per l'ambiente dell'utente finale. Ciò include, ma non solo:

  • Scelta di chiamate sicure/non sicure, protocolli sicuri/non sicuri come SIP/sSIP, http/https e comprensione dei rischi associati.

  • Per tutti gli indirizzi MAC non configurati come SIP sicuro in istanza dedicata, un utente attacchi può inviare il messaggio di registrazione SIP utilizzando tale indirizzo MAC ed essere in grado di effettuare chiamate SIP, determinando una frode ai numeri a numeri. Il requisito è che l'utente dannoso può registrare il relativo dispositivo/software SIP in un'istanza dedicata senza autorizzazione, se conosce l'indirizzo MAC di un dispositivo registrato nell'istanza dedicata.

  • Expressway di chiamata elettronica, i criteri di trasformazione e ricerca devono essere configurati per evitare le frodi ai numeri a numeri. Per ulteriori informazioni su come prevenire le frodi a numeri a numeri verde mediante Expressway, fare riferimento alla sezione Sicurezza per Expressway C e Expressway-E di Collaboration SRND.

  • Configurazione del piano di chiamata per garantire che gli utenti possano chiamare solo le destinazioni consentite, ad esempio proibire chiamate nazionali/internazionali, indirizzare correttamente le chiamate di emergenza, ecc. Per ulteriori informazioni sull'applicazione di limitazioni utilizzando il piano di chiamata, fare riferimento alla sezione Piano di chiamata di Collaboration SRND.

Requisiti di certificato per connessioni sicure in Istanza dedicata

Per l'istanza dedicata, Cisco fornirà il dominio e firma tutti i certificati per le applicazioni UC utilizzando un'autorità di certificazione pubblica (CA).

Istanza dedicata - numeri di porta e protocolli

Nelle tabelle seguenti vengono descritti le porte e i protocolli supportati nell'istanza dedicata. Le porte utilizzate per un determinato cliente dipendono dalla distribuzione e dalla soluzione del cliente. I protocolli dipendono dalle preferenze del cliente (SCCP vs SIP), dai dispositivi locali esistenti e dal livello di sicurezza per determinare quali porte devono essere utilizzate in ciascuna distribuzione.

L'istanza dedicata non consente la traduzione dell'indirizzo di rete (NAT) tra endpoint e Unified CM poiché alcune funzioni del flusso di chiamata non funzionano, ad esempio la funzione mid-call.

Istanza dedicata – Porte cliente

Le porte disponibili per i clienti, tra l'istanza locale del cliente e l'istanza dedicata, sono riportate nella Tabella 1 Porte cliente istanza dedicata. Tutte le porte elencate di seguito sono per il traffico dei clienti che passa attraverso i collegamenti peering.

La porta SNMP è aperta per impostazione predefinita solo per Cisco Emergency Responder per supportarne la funzionalità. Poiché non supportiamo partner o clienti nel monitoraggio delle applicazioni UC distribuite nel cloud Istanza dedicata, non consentiamo l'apertura della porta SNMP per altre applicazioni UC.

Le porte nell'intervallo da 5063 a 5080 sono riservate da Cisco ad altre integrazioni cloud; si consiglia agli amministratori di partner o clienti di non utilizzare queste porte nelle relative configurazioni.

Tabella 2. Porte cliente istanza dedicata

Protocol

TCP/UDP

Source

Destinazione

Porta di origine

Porta di destinazione

Scopo

Ssh

TCP

Client

Applicazioni UC

Non consentito per le applicazioni Cisco Expressway.

Maggiore di 1023

22

Amministrazione

Tftp

UDP

Endpoint

Unified CM

Maggiore di 1023

69

Supporto endpoint preesistente

LDAP

TCP

Applicazioni UC

Rubrica esterna

Maggiore di 1023

389

Sincronizzazione rubrica con LDAP cliente

HTTPS

TCP

Browser

Applicazioni UC

Maggiore di 1023

443

Accesso Web per interfacce di auto assistenza e amministrazione

Posta in uscita (SECURE)

TCP

Applicazione UC

CUCxn

Maggiore di 1023

587

Utilizzato per comporre e inviare messaggi sicuri a tutti i destinatari designati

LDAP (PROTETTO)

TCP

Applicazioni UC

Rubrica esterna

Maggiore di 1023

636

Sincronizzazione rubrica con LDAP cliente

H323

TCP

Porta

Unified CM

Maggiore di 1023

1720

Segnale chiamata

H323

TCP

Unified CM

Unified CM

Maggiore di 1023

1720

Segnale chiamata

SCCP

TCP

Endpoint

Unified CM, CUCxn

Maggiore di 1023

2000

Segnale chiamata

SCCP

TCP

Unified CM

Unified CM, Gateway

Maggiore di 1023

2000

Segnale chiamata

MGCP

UDP

Porta

Porta

Maggiore di 1023

2427

Segnale chiamata

Backhaul MGCP

TCP

Porta

Unified CM

Maggiore di 1023

2428

Segnale chiamata

SCCP (PROTETTO)

TCP

Endpoint

Unified CM, CUCxn

Maggiore di 1023

2443

Segnale chiamata

SCCP (PROTETTO)

TCP

Unified CM

Unified CM, Gateway

Maggiore di 1023

2443

Segnale chiamata

Verifica attendibilità

TCP

Endpoint

Unified CM

Maggiore di 1023

2445

Fornitura del servizio di verifica dell'attendibilità agli endpoint

Cti

TCP

Endpoint

Unified CM

Maggiore di 1023

2748

Connessione tra applicazioni CTI (JTAPI/TSP) e CTIManager

CTI sicuro

TCP

Endpoint

Unified CM

Maggiore di 1023

2749

Connessione sicura tra applicazioni CTI (JTAPI/TSP) e CTIManager

Catalogo globale LDAP

TCP

Applicazioni UC

Rubrica esterna

Maggiore di 1023

3268

Sincronizzazione rubrica con LDAP cliente

Catalogo globale LDAP

TCP

Applicazioni UC

Rubrica esterna

Maggiore di 1023

3269

Sincronizzazione rubrica con LDAP cliente

Servizio CAPF

TCP

Endpoint

Unified CM

Maggiore di 1023

3804

Porta di ascolto CAPF (Certificate Authority Proxy Function) per il rilascio di certificati significativi locali (LSC) a telefoni IP

SIP

TCP

Endpoint

Unified CM, CUCxn

Maggiore di 1023

5060

Segnale chiamata

SIP

TCP

Unified CM

Unified CM, Gateway

Maggiore di 1023

5060

Segnale chiamata

SIP (PROTETTO)

TCP

Endpoint

Unified CM

Maggiore di 1023

5061

Segnale chiamata

SIP (PROTETTO)

TCP

Unified CM

Unified CM, Gateway

Maggiore di 1023

5061

Segnale chiamata

SIP (OAUTH)

TCP

Endpoint

Unified CM

Maggiore di 1023

5090

Segnale chiamata

XMPP

TCP

Jabber Client

Cisco IM&P

Maggiore di 1023

5222

Messaggistica immediata e presenza

HTTP

TCP

Endpoint

Unified CM

Maggiore di 1023

6970

Download di configurazione e immagini per gli endpoint

HTTPS

TCP

Endpoint

Unified CM

Maggiore di 1023

6971

Download di configurazione e immagini per gli endpoint

HTTPS

TCP

Endpoint

Unified CM

Maggiore di 1023

6972

Download di configurazione e immagini per gli endpoint

HTTP

TCP

Jabber Client

CUCxn

Maggiore di 1023

7080

Notifiche segreteria telefonica

HTTPS

TCP

Jabber Client

CUCxn

Maggiore di 1023

7443

Notifiche di segreteria telefonica sicura

HTTPS

TCP

Unified CM

Unified CM

Maggiore di 1023

7501

Utilizzato dal servizio di ricerca intercluster (ILS) per l'autenticazione basata su certificato

HTTPS

TCP

Unified CM

Unified CM

Maggiore di 1023

7502

Utilizzato da ILS per l'autenticazione basata su password

IMAP

TCP

Jabber Client

CUCxn

Maggiore di 1023

7993

IMAP su TLS

HTTP

TCP

Endpoint

Unified CM

Maggiore di 1023

8080

URI rubrica per supporto endpoint legacy

HTTPS

TCP

Browser, Endpoint

Applicazioni UC

Maggiore di 1023

8443

Accesso Web per interfacce di auto assistenza e amministrazione, UDS

HTTPS

TCP

Telefono

Unified CM

Maggiore di 1023

9443

Ricerca contatto autenticata

HTTP

TCP

Endpoint

Unified CM

Maggiore di 1023

9444

Funzione di gestione delle cuffie

RTP/SRTP sicuro

UDP

Unified CM

Telefono

Da 16384 a 32767 *

Da 16384 a 32767 *

Multimediale (audio) - Musica in attesa, Annunciatore, Bridge conferenza software (aperto in base ai segnali di chiamata)

RTP/SRTP sicuro

UDP

Telefono

Unified CM

Da 16384 a 32767 *

Da 16384 a 32767 *

Multimediale (audio) - Musica in attesa, Annunciatore, Bridge conferenza software (aperto in base ai segnali di chiamata)

COBRAS

TCP

Client

CUCxn

Maggiore di 1023

20532

Backup e ripristino di Application Suite

ICMP

ICMP

Endpoint

Applicazioni UC

n/d

n/d

Ping

ICMP

ICMP

Applicazioni UC

Endpoint

n/d

n/d

Ping

DNS UDP e TCP

Inoltro DNS

Server DNS istanza dedicata

Maggiore di 1023

53

Inoltri DNS locali cliente a server DNS istanza dedicata. Per ulteriori informazioni, vedere i requisiti DNS .

* Alcuni casi speciali possono utilizzare un intervallo maggiore.

Istanza dedicata - porte OTT

La seguente porta può essere utilizzata da clienti e partner per l'impostazione MRA (Mobile and Remote Access):

Tabella 3. Porta per OTT

Protocollo

TCP/UCP

Source

Destinazione

Porta di origine

Porta di destinazione

Scopo

RTP/RTCP SICURO

UDP

Expressway C

Client

Maggiore di 1023

36000-59999

Contenuto multimediale sicuro per chiamate MRA e B2B

Trunk SIP inter-op tra multitenant e istanza dedicata (solo per trunk basato su registrazione)

È necessario consentire il seguente elenco di porte sul firewall del cliente per il trunk SIP basato sulla registrazione che si connette tra il multitenant e l'istanza dedicata.

Tabella 4. Porta per trunk basati su registrazione

Protocollo

TCP/UCP

Source

Destinazione

Porta di origine

Porta di destinazione

Scopo

RTP/RTCP

UDP

Multitenant Webex Calling

Client

Maggiore di 1023

8000-48198

Contenuto multimediale da multitenant Webex Calling

Istanza dedicata - porte UCCX

Il seguente elenco di porte può essere utilizzato da clienti e partner per la configurazione di UCCX.

Tabella 5. Porte Cisco UCCX

Protocollo

TCP / UCP

Source

Destinazione

Porta di origine

Porta di destinazione

Scopo

Ssh

TCP

Client

UCCX

Maggiore di 1023

22

SFTP e SSH

Informix

TCP

Client o server

UCCX

Maggiore di 1023

1504

Porta del database Contact Center Express

SIP

UDP e TCP

Server SIP GW o MCRP

UCCX

Maggiore di 1023

5065

Comunicazione con i nodi GW e MCRP remoti

XMPP

TCP

Client

UCCX

Maggiore di 1023

5223

Connessione XMPP sicura tra il server Finesse e le applicazioni di terze parti personalizzate

Cvd

TCP

Client

UCCX

Maggiore di 1023

6999

Editor per applicazioni CCX

HTTPS

TCP

Client

UCCX

Maggiore di 1023

7443

Connessione BOSH sicura tra il server Finesse e i desktop degli agenti e del supervisore per la comunicazione su HTTPS

HTTP

TCP

Client

UCCX

Maggiore di 1023

8080

I client di report dati in diretta si connettono a un server socket.IO

HTTP

TCP

Client

UCCX

Maggiore di 1023

8081

Il browser client tenta di accedere all'Cisco Unified Web intelligence Center

HTTP

TCP

Client

UCCX

Maggiore di 1023

8443

Accesso amministratore GUI, RTMT, DB su SOAP

HTTPS

TCP

Client

UCCX

Maggiore di 1023

8444

Cisco Unified web intelligence center

HTTPS

TCP

Browser e client REST

UCCX

Maggiore di 1023

8445

Porta sicura per Finesse

HTTPS

TCP

Client

UCCX

Maggiore di 1023

8447

HTTPS - Guida online di Unified Intelligence Center

HTTPS

TCP

Client

UCCX

Maggiore di 1023

8553

I componenti Single Sign-On (SSO) accedono a questa interfaccia per conoscere lo stato operativo di Cisco IdS.

HTTP

TCP

Client

UCCX

Maggiore di 1023

9080

Client che tentano di accedere a trigger o documenti HTTP / prompt / grammatica / dati in diretta.

HTTPS

TCP

Client

UCCX

Maggiore di 1023

9443

Porta sicura utilizzata per rispondere ai client che tentano di accedere ai trigger HTTPS

TCP

TCP

Client

UCCX

Maggiore di 1023

12014

Questa è la porta in cui i client di report dati in diretta possono connettersi alla socket.Server IO

TCP

TCP

Client

UCCX

Maggiore di 1023

12015

Questa è la porta in cui i client di report dati in diretta possono connettersi alla socket.Server IO

Cti

TCP

Client

UCCX

Maggiore di 1023

12028

Client CTI di terze parti a CCX

RTP (multimediale)

TCP

Endpoint

UCCX

Maggiore di 1023

Maggiore di 1023

Porta multimediale aperta dinamicamente come necessario

RTP (multimediale)

TCP

Client

Endpoint

Maggiore di 1023

Maggiore di 1023

Porta multimediale aperta dinamicamente come necessario

Sicurezza del cliente

Protezione di Jabber e Webex con OAuth SIP

I client Jabber e Webex vengono autenticati tramite un token OAuth anziché un certificato significativo in locale (LSC), che non richiede l'abilitazione della funzione proxy dell'autorità di certificazione (CAPF) (anche per MRA). È stata introdotta la modalità OAuth SIP con o senza la modalità mista in Cisco Unified CM 12.5(1), Jabber 12.5 e Expressway X12.5.

In Cisco Unified CM 12.5, è disponibile una nuova opzione nel Profilo di sicurezza telefono che consente la crittografia senza LSC/CAPF, utilizzando il token Single Transport Layer Security (TLS) + OAuth in SIP REGISTER. Expressway-C utilizzano l'API amministrativa del servizio Web XML (AXL) per informare Cisco Unified CM del server SN/SAN nel certificato. Cisco Unified CM utilizza queste informazioni per convalidare il certificato Exp-C quando si stabilisce (autenticazione) TLS reciproca connessione sicura.

L'autenticazione OAUTH SIP abilita la crittografia multimediale e dei segnali senza un certificato endpoint (LSC).

Cisco Jabber utilizza porte ephemeral e porte sicure 6971 e 6972 porte tramite connessione HTTPS al server TFTP per scaricare i file di configurazione. La porta 6970 è una porta non sicura per il download tramite HTTP.

Ulteriori dettagli sulla configurazione OAuth SIP: Modalità SIP OAuth.

Requisiti DNS

Per l'istanza dedicata, Cisco fornisce il nome di dominio completo per il servizio in ciascuna regione con il seguente formato ..wxc-di.webex.com ad esempio, xyz.amer.wxc-di.webex.com.

Il valore 'cliente' viene fornito dall'amministratore come parte della procedura guidata di configurazione iniziale (FTSW). Per ulteriori informazioni, fare riferimento a Attivazione servizio istanza dedicata.

I record DNS per nome di dominio completo sistema devono essere risolvibili dal server DNS interno del cliente per supportare i dispositivi locali che si connettono all'istanza dedicata. Per facilitare la risoluzione, il cliente deve configurare un server di inoltro condizionale, per questo nome di dominio completo, sul relativo server DNS che punta al servizio DNS per istanza dedicata. Il servizio DNS istanza dedicata è regionale e può essere raggiunto, tramite peering all'istanza dedicata, utilizzando i seguenti indirizzi IP come indicato nella tabella seguente Indirizzo IP servizio istanza dedicata DNS.

Tabella 6. Indirizzo IP servizio DNS istanza dedicata

Regione/DC

Indirizzo IP servizio DNS istanza dedicata

Esempio di inoltro condizionale

AMER

<customer>.amer.wxc-di.webex.com

Sjc

69.168.17.100

Dfw

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

Lon

178.215.138.100

Ams

178.215.138.228

UE

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

Ams

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

Peccato

103.232.71.100

TKY

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

Mel

178.215.128.100

Syd

178.215.128.228

L'opzione ping è disabilitata per gli indirizzi IP del server DNS menzionati sopra per motivi di sicurezza.

Fino a quando non viene posto l'inoltro condizionale, i dispositivi non saranno in grado di iscriversi all'istanza dedicata dalla rete interna dei clienti tramite i collegamenti di peering. L'inoltro condizionale non è richiesto per l'iscrizione tramite dispositivo mobile e Remote Access (MRA), poiché tutti i record DNS esterni richiesti per facilitare l'esecuzione di MRA verranno predisposti da Cisco.

Quando si utilizza l'applicazione Webex come soft client di chiamata su istanza dedicata, è necessario configurare un profilo UC Manager in Control Hub per il dominio del servizio vocale (VSD) di ciascuna regione. Per ulteriori informazioni, fare riferimento ai profili UC Manager in Cisco Webex Control Hub. L'applicazione Webex sarà in grado di risolvere automaticamente il problema Expressway Edge del cliente senza alcun intervento dell'utente finale.

Il dominio del servizio vocale verrà fornito al cliente come parte del documento di accesso del partner una volta completata l'attivazione del servizio.

Utilizzare un router locale per la risoluzione DNS del telefono

Per i telefoni che non hanno accesso ai server DNS aziendali, è possibile utilizzare un router Cisco locale per inoltrare le richieste DNS al DNS cloud dell'istanza dedicata. Ciò elimina la necessità di distribuire un server DNS locale e fornisce supporto DNS completo, inclusa la memorizzazione nella cache.

Configurazione di esempio :

!

server DNS IP

nome-server IP <DI DNS Server IP DC1> <DI DNS Server IP DC2>

!

L'utilizzo del DNS in questo modello di distribuzione è specifico per i telefoni e può essere utilizzato solo per risolvere i nomi di dominio completi con il dominio dell'istanza dedicata dei clienti.

Risoluzione DNS telefono