Requisiti di rete per istanza dedicata

Webex Calling'istanza dedicata fa parte del portfolio Cisco Cloud Calling, tecnologia Cisco Unified Communications Manager (Cisco Unified CM). L'istanza dedicata offre soluzioni vocali, video, di messaggistica e mobilità con le funzioni e i vantaggi di telefoni Cisco IP phone, dispositivi mobili e client desktop che si connettono in modo sicuro all'istanza dedicata.

Questo articolo è destinato agli amministratori di rete, in particolare amministratori di firewall e della sicurezza proxy che desiderano utilizzare istanza dedicata all'interno della propria organizzazione. Questo documento si concentra principalmente sui requisiti di rete e sulla sicurezza della soluzione istanza dedicata, incluso l'approccio a più livelli delle funzioni e delle funzionalità che forniscono accesso fisico sicuro, una rete sicura, endpoint sicuri e applicazioni Cisco UC sicure.

Requisiti di certificato per connessioni sicure in istanza dedicata

Ad Webex Calling'istanza dedicata, Cisco fornisce il dominio e firma tutti i certificati per le applicazioni UC utilizzando un'autorità di certificazione pubblica (CA).

Istanza dedicata – Numeri di porta e protocolli

Nelle tabelle seguenti vengono descritti le porte e i protocolli supportati nell'istanza dedicata. Le porte utilizzate per un determinato cliente dipendono dalla distribuzione e dalla soluzione del cliente. I protocolli dipendono dalle preferenze del cliente (SCCP o SIP), dai dispositivi locali esistenti e dal livello di sicurezza per determinare le porte da utilizzare in ciascuna distribuzione.

Istanza dedicata – Porte cliente

Le porte disponibili per i clienti, tra l'istanza locale del cliente e l'istanza dedicata, sono mostrate nella Tabella 1 Porte cliente istanzadedicata. Tutte le porte elencate di seguito sono per il traffico dei clienti che passa attraverso i collegamenti peering.


La porta SNMP è supportata solo per la funzionalità CER e non per qualsiasi altro strumento di monitoraggio di terze parti.

Tabella 1. Porte cliente istanza dedicata

Protocol

TCP/UCP

Origine

Destinazione

Porta di origine

Porta di destinazione

Scopo

SSH

TCP

Client

Applicazioni UC

Maggiore di 1023

22

Amministrazione

LDAP

TCP

Applicazioni UC

Rubrica esterna

Maggiore di 1023

389

Sincronizzazione rubrica con LDAP cliente

HTTPS

TCP

Browser

Applicazioni UC

Maggiore di 1023

443

Accesso Web per interfacce di auto assistenza e amministrazione

LDAP (PROTETTO)

TCP

Applicazioni UC

Rubrica esterna

Maggiore di 1023

636

Sincronizzazione rubrica con LDAP cliente

SCCP

TCP

Endpoint

Unified CM, CUCxn

Maggiore di 1023

2000

Segnale chiamata

SCCP

TCP

Unified CM

Unified CM, Gateway

Maggiore di 1023

2000

Segnale chiamata

SCCP (PROTETTO)

TCP

Endpoint

Unified CM, CUCxn

Maggiore di 1023

2443

Segnale chiamata

SCCP (PROTETTO)

TCP

Unified CM

Unified CM, Gateway

Maggiore di 1023

2443

Segnale chiamata

Verifica attendibilità

TCP

Endpoint

Unified CM

Maggiore di 1023

2445

Fornitura del servizio di verifica dell'attendibilità agli endpoint

CTI

TCP

Endpoint

Unified CM

Maggiore di 1023

2748

Connessione tra applicazioni CTI (JTAPI/TSP) e CTIManager

CTI sicuro

TCP

Endpoint

Unified CM

Maggiore di 1023

2749

Connessione sicura tra applicazioni CTI (JTAPI/TSP) e CTIManager

Catalogo globale LDAP

TCP

Applicazioni UC

Rubrica esterna

Maggiore di 1023

3268

Sincronizzazione rubrica con LDAP cliente

Catalogo globale LDAP

TCP

Applicazioni UC

Rubrica esterna

Maggiore di 1023

3269

Sincronizzazione rubrica con LDAP cliente

Servizio CAPF

TCP

Endpoint

Unified CM

Maggiore di 1023

3804

Porta di ascolto CAPF (Certificate Authority Proxy Function) per il rilascio di certificati significativi locali (LSC) a telefoni IP

SIP

TCP

Endpoint

Unified CM, CUCxn

Maggiore di 1023

5060

Segnale chiamata

SIP

TCP

Unified CM

Unified CM, Gateway

Maggiore di 1023

5060

Segnale chiamata

SIP (PROTETTO)

TCP

Endpoint

Unified CM

Maggiore di 1023

5061

Segnale chiamata

SIP (PROTETTO)

TCP

Unified CM

Unified CM, Gateway

Maggiore di 1023

5061

Segnale chiamata

SIP (OAUTH)

TCP

Endpoint

Unified CM

Maggiore di 1023

5090

Segnale chiamata

XMPP

TCP

Jabber Client

Cisco IM&P

Maggiore di 1023

5222

Messaggistica immediata e presenza

HTTP

TCP

Endpoint

Unified CM

Maggiore di 1023

6970

Download di configurazione e immagini per gli endpoint

HTTPS

TCP

Endpoint

Unified CM

Maggiore di 1023

6971

Download di configurazione e immagini per gli endpoint

HTTPS

TCP

Endpoint

Unified CM

Maggiore di 1023

6972

Download di configurazione e immagini per gli endpoint

HTTP

TCP

Jabber Client

CUCxn

Maggiore di 1023

7080

Notifiche segreteria telefonica

HTTPS

TCP

Jabber Client

CUCxn

Maggiore di 1023

7443

Notifiche di segreteria telefonica sicura

HTTPS

TCP

Unified CM

Unified CM

Maggiore di 1023

7501

Utilizzato dal servizio di ricerca intercluster (ILS) per l'autenticazione basata su certificato

HTTPS

TCP

Unified CM

Unified CM

Maggiore di 1023

7502

Utilizzato da ILS per l'autenticazione basata su password

IMAP

TCP

Jabber Client

CUCxn

Maggiore di 1023

7993

IMAP su TLS

HTTPS

TCP

Browser, Endpoint

Applicazioni UC

Maggiore di 1023

8443

Accesso Web per interfacce di auto assistenza e amministrazione, UDS

HTTPS

TCP

Prem

Unified CM

Maggiore di 1023

9443

Ricerca contatto autenticata

RTP/SRTP sicuro

UDP

Unified CM

Telefono

Da 16384 a 32767 *

Da 16384 a 32767 *

Multimediale (audio) - Musica in attesa, Annunciatore, Bridge conferenza software (aperto in base ai segnali di chiamata)

RTP/SRTP sicuro

UDP

Telefono

Unified CM

Da 16384 a 32767 *

Da 16384 a 32767 *

Multimediale (audio) - Musica in attesa, Annunciatore, Bridge conferenza software (aperto in base ai segnali di chiamata)

ICMP

ICMP

Endpoint

Applicazioni UC

n/d

n/d

Ping

ICMP

ICMP

Applicazioni UC

Endpoint

n/d

n/d

Ping

* Alcuni casi speciali possono utilizzare un intervallo maggiore.

Istanza dedicata – Porte OTT

Il seguente elenco di porte può essere utilizzato da clienti e partner per l'impostazione di dispositivi mobili Remote Access (MRA):

Tabella 2. Elenco di porte per OTT

Protocol

TCP/UCP

Origine

Destinazione

Porta di origine

Porta di destinazione

Scopo

SIP PROTETTO

TCP

Endpoint

Expressway E

Maggiore di 1023

5061

Segnale SIP sicuro per registrazione e chiamate MRA

SIP PROTETTO

TCP

Endpoint/Server

Expressway E

Maggiore di 1023

5062

SIP sicuro per chiamate B2B

RTP/RTCP SICURO

UDP

Endpoint/Server

Expressway E

Maggiore di 1023

36000-59999

Contenuto multimediale sicuro per chiamate MRA e B2B

HTTPS (SICURO)

TLS

Client

Expressway E

Maggiore di 1023

8443

UDS CUCM e CUCxn REST per chiamate MRA

XML

TLS

Client

Expressway E

Maggiore di 1023

5222

IM e presenza

RITORNA

UDP

ICE Client

Expressway E

Maggiore di 1023

3478

Negoziazione ICE/STUN/TURN

RTP/RTCP SICURO

UPD

ICE Client

Expressway E

Maggiore di 1023

24000-29999

ATTIVA supporto per fallback ICE

Istanza dedicata – Porte UCCX

Il seguente elenco di porte può essere utilizzato da clienti e partner per la configurazione di UCCX.

Tabella 3. Porte Cisco UCCX

Protocol

TCP / UCP

Origine

Destinazione

Porta di origine

Porta di destinazione

Scopo

SSH

TCP

Client

UCCX

Maggiore di 1023

22

SFTP e SSH

Informix

TCP

Client o server

UCCX

Maggiore di 1023

1504

Porta database Unified CCX

SIP

UDP e TCP

Server SIP GW o MCRP

UCCX

Maggiore di 1023

5065

Comunicazione con i nodi GW e MCRP remoti

XMPP

TCP

Client

UCCX

Maggiore di 1023

5223

Connessione XMPP sicura tra il server Finesse e le applicazioni di terze parti personalizzate

CVD

TCP

Client

UCCX

Maggiore di 1023

6999

Editor per applicazioni CCX

HTTPS

TCP

Client

UCCX

Maggiore di 1023

7443

Connessione BOSH sicura tra il server Finesse e i desktop degli agenti e del supervisore per la comunicazione su HTTPS

HTTP

TCP

Client

UCCX

Maggiore di 1023

8080

I client di reporting dei dati in diretta si connettono alla presa. Server IO

HTTP

TCP

Client

UCCX

Maggiore di 1023

8081

Il browser client tenta di accedere all'Cisco Unified Web Intelligence Center

HTTP

TCP

Client

UCCX

Maggiore di 1023

8443

GUI amministratore, RTMT, accesso DB tramite SOAP

HTTPS

TCP

Client

UCCX

Maggiore di 1023

8444

Cisco Unified web Intelligence Center

HTTPS

TCP

Browser e client REST

UCCX

Maggiore di 1023

8445

Porta sicura per Finesse

HTTPS

TCP

Client

UCCX

Maggiore di 1023

8447

HTTPS - Guida online di Unified Intelligence Center

HTTPS

TCP

Client

UCCX

Maggiore di 1023

8553

I componenti Single Sign-On (SSO) accedono a questa interfaccia per conoscere lo stato operativo di Cisco IdS.

HTTP

TCP

Client

UCCX

Maggiore di 1023

9080

Client che tentano di accedere a trigger o documenti HTTP / prompt / grammatica / dati in diretta.

HTTPS

TCP

Client

UCCX

Maggiore di 1023

9443

Porta sicura utilizzata per rispondere ai client che tentano di accedere ai trigger HTTPS

TCP

TCP

Client

UCCX

Maggiore di 1023

12014

Questa è la porta in cui i client di reporting dati in diretta possono connettersi al socket. Server IO

TCP

TCP

Client

UCCX

Maggiore di 1023

12015

Questa è la porta in cui i client di reporting dati in diretta possono connettersi al socket. Server IO

CTI

TCP

Client

UCCX

Maggiore di 1023

12028

Client CTI di terze parti con CCX

RTP (multimediale)

TCP

Endpoint

UCCX

Maggiore di 1023

Maggiore di 1023

Porta multimediale aperta dinamicamente come necessario

RTP (multimediale)

TCP

Client

Endpoint

Maggiore di 1023

Maggiore di 1023

Porta multimediale aperta dinamicamente come necessario

Sicurezza client

Protezione di Jabber e Webex con OAuth SIP

I client Jabber e Webex vengono autenticati tramite un token OAuth anziché un certificato significativo in locale (LSC), che non richiede l'abilitazione della funzione proxy dell'autorità di certificazione (CAPF) (anche per MRA). È stata introdotta la modalità OAuth SIP con o senza la modalità mista in Cisco Unified CM 12.5(1), Jabber 12.5 e Expressway X12.5.

In Cisco Unified CM 12.5, è disponibile una nuova opzione nel Profilo di sicurezza telefono che consente la crittografia senza LSC/CAPF, utilizzando il token Single Transport Layer Security (TLS) + OAuth in SIP REGISTER. Expressway-C utilizzano l'API amministrativa del servizio Web XML (AXL) per informare Cisco Unified CM del server SN/SAN nel certificato. Cisco Unified CM utilizza queste informazioni per convalidare il certificato Exp-C quando si stabilisce una (autenticazione) TLS reciproca connessione sicura.

L'autenticazione OAUTH SIP abilita la crittografia multimediale e dei segnali senza un certificato endpoint (LSC).

Cisco Jabber utilizza porte ephemeral e porte sicure 6971 e 6972 porte tramite connessione HTTPS al server TFTP per scaricare i file di configurazione. La porta 6970 è una porta non sicura per il download tramite HTTP.

Ulteriori dettagli sulla configurazione OAuth SIP: Modalità OAuth SIP.

Requisiti DNS

Per l'istanza dedicata Cisco fornisce la nome di dominio completo per il servizio in ciascuna regione nel seguente <customer>formato.<region>. wxc-di.webex.com, ad esempio, xyz.amer.wxc-di.webex.com.

Il valore 'cliente' viene fornito dall'amministratore come parte della procedura guidata di configurazione iniziale (FTSW). Per ulteriori informazioni, fare riferimento a Attivazione servizio istanza dedicata.

I record DNS per nome di dominio completo sistema devono essere risolvibili dal server DNS interno del cliente per supportare i dispositivi locali che si connettono all'istanza dedicata. Per facilitare la risoluzione, il cliente deve configurare un server di inoltro condizionale, per questo nome di dominio completo, sul relativo server DNS che punta al servizio DNS per istanza dedicata. Il servizio DNS per istanza dedicata è regionale e può essere raggiunto attraverso il peering a istanza dedicata utilizzando i seguenti indirizzi IP come indicato nella tabella seguente Indirizzo IP servizio DNS istanza dedicata.

Tabella 4. Indirizzo IP servizio DNS istanza dedicata

Regione/DC

Indirizzo IP servizio DNS istanza dedicata

Esempio di inoltro condizionale

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

PECCATO

103.232.71.288

Fino a quando non viene posto l'inoltro condizionale, i dispositivi non saranno in grado di iscriversi all'istanza dedicata dalla rete interna dei clienti tramite i collegamenti di peering. L'inoltro condizionale non è richiesto per l'iscrizione tramite dispositivo mobile e Remote Access (MRA), poiché tutti i record DNS esterni richiesti per facilitare l'esecuzione di MRA verranno predisposti da Cisco.

Quando si utilizza l'applicazione Webex come soft client di chiamata su istanza dedicata, è necessario configurare un profilo UC Manager in Control Hub per il dominio del servizio vocale (VSD) di ciascuna regione. Per ulteriori informazioni, fare riferimento ai profili UC Manager in Cisco Webex Control Hub. L'applicazione Webex sarà in grado di risolvere automaticamente il problema Expressway Edge del cliente senza alcun intervento dell'utente finale.


Il dominio del servizio vocale verrà fornito al cliente come parte del documento di accesso del partner una volta completata l'attivazione del servizio.

Riferimenti