専用インスタンスのネットワーク要件

Webex Calling 専用インスタンスは Cisco Cloud 通話ポートフォリオの一部であり、Cisco Unified Communications Manager (CUCM) のコラボレーション テクノロジーを利用しています。 専用インスタンスでは、音声、ビデオ、メッセージング、モビリティのソリューションを、Cisco IP 電話、モバイル端末、専用インスタンスに安全に接続できるデスクトップ クライアントといった機能や利点と共に提供します。

この記事は、ネットワーク管理者、特に組織内で専用インスタンスを使用するファイアウォールとプロキシのセキュリティ管理者を対象にしています。 このドキュメントでは主に、専用インスタンスのソリューションのネットワーク要件とセキュリティについて説明します。これには、セキュアな物理アクセス、セキュアなネットワーク、セキュアなエンドポイント、セキュアな Cisco UC アプリケーションなどを提供する機能への階層化アプローチも含まれます。

専用インスタンスでのセキュアな接続の証明書の要件

Webex Calling 専用インスタンスでは、Cisco はパブリック認証局 (CA) を使用してドメインを提供し、UC アプリケーションの証明書に署名します。

専用インスタンス - ポート番号とプロトコル

以下の表には、専用インスタンスでサポートされるポートとプロトコルが記載されています。 それぞれの顧客に使用されるポートは、顧客のデプロイとソリューションによって異なります。 プロトコルは、顧客の設定 (SCCP または SIP)、既存のオンプレミス デバイス、各デプロイで使用するポートを決定するセキュリティ レベルに依存します。

専用インスタンス - 顧客ポート

顧客が利用可能なポート (顧客のプレミスと専用インスタンス間) を表 1 の「専用インスタンスの顧客ポート」に示します。 以下にリストされているポートはすべて、ピアリング リンクを通過する顧客トラフィック用です。


SNMP ポートは CER 機能についてのみサポートされます。他のサード パーティの監視ツールについてはサポートされていません。

表 1. 専用インスタンスの顧客ポート

プロトコル

TCP/UDP

ソース

移動先

ソースポート

移動先ポート

目的

SSH

TCP

クライアント

UC アプリケーション

1023 より上

22

管理

LDAP

TCP

UC アプリケーション

外部ディレクトリ

1023 より上

389

顧客 LDAP へのディレクトリ同期

HTTPS

TCP

ブラウザ

UC アプリケーション

1023 より上

443

セルフケアと管理インターフェイスのためのウェブ アクセス

LDAP (セキュア)

TCP

UC アプリケーション

外部ディレクトリ

1023 より上

636

顧客 LDAP へのディレクトリ同期

SCCP

TCP

エンドポイント

Unified CM、CUCxn

1023 より上

2000

コール シグナリング

SCCP

TCP

Unified CM

Unified CM、ゲートウェイ

1023 より上

2000

コール シグナリング

SCCP (セキュア)

TCP

エンドポイント

Unified CM、CUCxn

1023 より上

2443

コール シグナリング

SCCP (セキュア)

TCP

Unified CM

Unified CM、ゲートウェイ

1023 より上

2443

コール シグナリング

信頼検証

TCP

エンドポイント

Unified CM

1023 より上

2445

信頼検証サービスをエンドポイントに提供

CTI

TCP

エンドポイント

Unified CM

1023 より上

2748

CTI アプリケーション (JTAPI/TSP) と CTIManager 間の接続

セキュアな CTI

TCP

エンドポイント

Unified CM

1023 より上

2749

CTI アプリケーション (JTAPI/TSP) と CTIManager 間のセキュアな接続

LDAP グローバル カタログ

TCP

UC アプリケーション

外部ディレクトリ

1023 より上

3268

顧客 LDAP へのディレクトリ同期

LDAP グローバル カタログ

TCP

UC アプリケーション

外部ディレクトリ

1023 より上

3269

顧客 LDAP へのディレクトリ同期

CAPF サービス

TCP

エンドポイント

Unified CM

1023 より上

3804

ローカルで有効な証明書 (LSC) を IP 電話に発行する Certificate Authority Proxy Function (CAPF) のリスニング ポート

SIP

TCP

エンドポイント

Unified CM、CUCxn

1023 より上

5060

コール シグナリング

SIP

TCP

Unified CM

Unified CM、ゲートウェイ

1023 より上

5060

コール シグナリング

SIP (セキュア)

TCP

エンドポイント

Unified CM

1023 より上

5061

コール シグナリング

SIP (セキュア)

TCP

Unified CM

Unified CM、ゲートウェイ

1023 より上

5061

コール シグナリング

SIP (OAUTH)

TCP

エンドポイント

Unified CM

1023 より上

5090

コール シグナリング

XMPP

TCP

Jabber クライアント

Cisco IM&P

1023 より上

5222

インスタント メッセージとプレゼンス

HTTP

TCP

エンドポイント

Unified CM

1023 より上

6970

構成と画像をエンドポイントにダウンロードする

HTTPS

TCP

エンドポイント

Unified CM

1023 より上

6971

構成と画像をエンドポイントにダウンロードする

HTTPS

TCP

エンドポイント

Unified CM

1023 より上

6972

構成と画像をエンドポイントにダウンロードする

HTTP

TCP

Jabber クライアント

CUCxn

1023 より上

7080

ボイスメール通知

HTTPS

TCP

Jabber クライアント

CUCxn

1023 より上

7443

セキュアなボイスメール通知

HTTPS

TCP

Unified CM

Unified CM

1023 より上

7501

証明書ベースの認証用のクラスタ間検索サービス (ILS) で使用される

HTTPS

TCP

Unified CM

Unified CM

1023 より上

7502

パスワード ベースの認証用の ILS で使用される

IMAP

TCP

Jabber クライアント

CUCxn

1023 より上

7993

IMAP over TLS

HTTPS

TCP

ブラウザー、エンドポイント

UC アプリケーション

1023 より上

8443

セルフケアと管理インターフェイス、UDS のためのウェブ アクセス

HTTPS

TCP

プレミス

Unified CM

1023 より上

9443

認証済みの連絡先検索

セキュアな RTP/SRTP

UDP

Unified CM

電話

16384~32767 *

16384~32767 *

メディア (音声) - 保留時の音楽、アナンシエーター、ソフトウェア会議ブリッジ (コール シグナリングに基づき開く)

セキュアな RTP/SRTP

UDP

電話

Unified CM

16384~32767 *

16384~32767 *

メディア (音声) - 保留時の音楽、アナンシエーター、ソフトウェア会議ブリッジ (コール シグナリングに基づき開く)

ICMP

ICMP

エンドポイント

UC アプリケーション

該当なし

該当なし

Ping

ICMP

ICMP

UC アプリケーション

エンドポイント

該当なし

該当なし

Ping

* 一部の特殊なケースでは、さらに広い範囲が使用される場合があります。

専用インスタンス - OTT ポート

以下のポートは、顧客とパートナーがモバイルおよびリモート アクセス (MRA) セット アップ用に使用できます。

表 2. OTT 用ポートのリスト

プロトコル

TCP/UDP

ソース

移動先

ソースポート

移動先ポート

目的

セキュアな SIP

TCP

エンドポイント

Expressway-E

1023 より上

5061

MRA 登録と通話のためのセキュアな SIP シグナリング

セキュアな SIP

TCP

エンドポイント/サーバー

Expressway-E

1023 より上

5062

B2B 通話用のセキュアな SIP

セキュアな RTP/RTCP

UDP

エンドポイント/サーバー

Expressway-E

1023 より上

36000-59999

MRA および B2B 通話用のセキュアなメディア

HTTPS (セキュア)

TLS

クライアント

Expressway-E

1023 より上

8443

MRA 通話用の CUCM UDS および CUCxn REST

XMLS

TLS

クライアント

Expressway-E

1023 より上

5222

IM & プレゼンス

TURN

UDP

ICA クライアント

Expressway-E

1023 より上

3478

ICE/STUN/TURN ネゴシエーション

セキュアな RTP/RTCP

UPD

ICA クライアント

Expressway-E

1023 より上

24000 ~ 29999

ICE フォールバック用の TURN メディア

専用インスタンス - UCCX ポート

以下のポートは、顧客とパートナーが UCCX を構成するために使用できます。

表 3. Cisco UCCX ポート

プロトコル

TCP/UDP

ソース

移動先

ソースポート

移動先ポート

目的

SSH

TCP

クライアント

UCCX

1023 より上

22

SFTP と SSH

Informix

TCP

クライアントまたはサーバー

UCCX

1023 より上

1504

Unified CCX データベース ポート

SIP

UDP および TCP

SIP GW または MCRP サーバー

UCCX

1023 より上

5065

リモート GW および MCRP ノードへの通信

XMPP

TCP

クライアント

UCCX

1023 より上

5223

Finesse サーバーとカスタム サード パーティ アプリケーション間のセキュアな XMPP 接続

CVD

TCP

クライアント

UCCX

1023 より上

6999

CCX アプリケーション用エディター

HTTPS

TCP

クライアント

UCCX

1023 より上

7443

Finesse サーバーとエージェントおよびスーパーバイザーのデスクトップ間の、HTTPS 経由通信用のセキュアな BOSH 接続

HTTP

TCP

クライアント

UCCX

1023 より上

8080

Socket.IO サーバーへのライブデータ レポート クライアント接続

HTTP

TCP

クライアント

UCCX

1023 より上

8081

Cisco Unified Intelligence Center ウェブ インターフェイスへのアクセスを試みるクライアント ブラウザー

HTTP

TCP

クライアント

UCCX

1023 より上

8443

SOAP 経由の Admin GUI、RTMT、DB アクセス

HTTPS

TCP

クライアント

UCCX

1023 より上

8444

Cisco Unified Intelligence Center ウェブ インターフェイス

HTTPS

TCP

ブラウザーおよび REST クライアント

UCCX

1023 より上

8445

Finesse のセキュアなポート

HTTPS

TCP

クライアント

UCCX

1023 より上

8447

HTTPS - Unified Intelligence Center オンライン ヘルプ

HTTPS

TCP

クライアント

UCCX

1023 より上

8553

シングル サインオン (SSO) コンポーネントは、このインターフェイスにアクセスして Cisco IdS のオペレーティング ステータスを確認します。

HTTP

TCP

クライアント

UCCX

1023 より上

9080

HTTP トリガーまたはドキュメント/プロンプト/文法/ライブ データへのアクセスを試みるクライアント。

HTTPS

TCP

クライアント

UCCX

1023 より上

9443

HTTPS トリガーへのアクセスを試みるクライアントに応答するために使用されるセキュアなポート

TCP

TCP

クライアント

UCCX

1023 より上

12014

ライブデータ レポート クライアントがSocket.IO サーバーに接続できるポート

TCP

TCP

クライアント

UCCX

1023 より上

12015

ライブデータ レポート クライアントがSocket.IO サーバーに接続できるポート

CTI

TCP

クライアント

UCCX

1023 より上

12028

CCX へのサードパーティ CTI クライアント

RTP (メディア)

TCP

エンドポイント

UCCX

1023 より上

1023 より上

メディア ポートは、必要に応じて動的に開きます

RTP (メディア)

TCP

クライアント

エンドポイント

1023 より上

1023 より上

メディア ポートは、必要に応じて動的に開きます

クライアントのセキュリティ

SIP OAuth で Jabber および Webex を保護する

Jabber および Webex クライアントは、ローカルで有効な証明書 (LSC) ではなく Oauth トークンを使って認証されます。この認証は Certificate Authority Proxy Function (CAPF) の有効化 (MRA 用も含む) を必要としません。 混合モードを使用する、または使用しない SIP Oauth が、Cisco Unified CM 12.5(1)、Jabber 12.5、Expressway X12.5 に導入されました。

Cisco Unified CM 12.5 では、SIP REGISTER の単一の Transport Layer Security (TLS) + OAuth トークンを使用して LSC/CAPF なしの暗号化を有効にする、電話セキュリティ プロファイルの新しいオプションが加わります。 Expressway-C ノードは Administrative XML Web Service (AXL) API を使用して、証明書の SN/SAN について Cisco Unified CM に通知します。 Cisco Unified CM は相互 TLS 接続を確立する際に、この情報を使用して Expressway-C 証明書を検証します。

SIP OAuth は、エンドポイント証明書 (LSC) なしで、メディアとシグナリングの暗号化を有効にします。

Cisco Jabber は、TFTP サーバーへの HTTPS 接続経由でエフェメラル ポートとセキュア ポート 6971 および 6972 を使用し、構成ファイルをダウンロードします。 ポート 6970 は、HTTP 経由のダウンロード用の非セキュアなポートです。

SIP Oauth 構成に関する詳細: SIP Oauth モード

DNS 要件

専用インスタンスについては、各地域のサービス用の FQDN が Cisco から提供されます。フォーマットは「<customer>.<region>.wxc-di.webex.com」で、例えば「 xyz.amer.wxc-di.webex.com」のようになります。

「顧客」の値は、管理者から提供される初回セットアップ ウィザード (FTSW) の中で提供されています。 詳細については、「専用インスタンス サービスのアクティベーション」を参照してください。

この FQDN の DNS レコードは、専用インスタンスに接続されているオンプレミス デバイスをサポートするため、顧客の内部 DNS サーバーから解決できる必要があります。 解決を容易にするため、顧客は、専用インスタンス DNS サービスに接続された自社の DNS サーバーに、この FQDN 用に条件付きフォワーダーを設定する必要があります。 専用インスタンス DNS サービスは地域ごとのサービスで、専用インスタンスへのピアリング接続を使い到達できます。その際は、以下の表「専用インスタンス DNS サービス用 IP アドレス」に記載された IP アドレスを使用します。

表 4. 専用インスタンス DNS サービス用 IP アドレス

地域/DC

専用インスタンス DNS サービス用 IP アドレス

条件付きフォワードの例

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

SIN

103.232.71.288

条件付きフォーワードが設定されるまで、デバイスは顧客の内部ネットワークからピアリング リンク経由で専用インスタンスに登録できません。 モバイルおよびリモート アクセス (MRA) 経由の登録については、条件付きフォワードは必要ありません。MRA の円滑化に必要な外部 DNS レコードは Cisco によって事前にプロビジョニングされます。

Webex アプリケーションを専用インスタンスの通話ソフト クライアントとして使用する場合、各地域の音声サービス ドメイン (VSD) 用の UC マネージャー プロファイル を Control Hub で構成する必要があります。 詳細については、「Cisco Webex Control Hub の UC マネージャーのプロファイル」を参照してください。 Webex アプリケーションは、エンドユーザーの介入無しに、自動的に顧客の Expressway Edge を解決できます。


サービスのアクティベーションが完了すると、パートナー アクセス ドキュメントの一部として音声サービス ドメインが顧客に提供されます。

リファレンス