専用インスタンスのネットワーク要件

Webex Calling専用インスタンスは、Cisco Unified Communications Manager (Cisco Unified CM) コラボレーションテクノロジーを利用して、Cisco Cloud 通話ポートフォリオの一部です。専用インスタンスは、Cisco IP 電話、モバイル 端末、および専用インスタンスに安全に接続するデスクトップクライアントの機能と利点を備え、音声、ビデオ、メッセージング、モビリティソリューションを提供します。

この記事は、ネットワーク管理者、特に組織内の専用インスタンスを使用するファイアウォールとプロキシ セキュリティ管理者を対象にしています。

セキュリティの概要: 階層化されたセキュリティ

専用インスタンスは セキュリティのためにレイヤードアプローチを使用します。また、以下の層が含まれます。

  • 物理アクセス

  • ネットワーク

  • エンドポイント

  • UC アプリケーション

以下のセクションでは、専用インスタンス展開でのセキュリティのレイヤー について 説明します。

物理的セキュリティ

Equinix Meet-Me Room のロケーションと Cisco 専用インスタンスデータセンター施設に物理的なセキュリティを提供することが 重要です。物理的なセキュリティが侵害されると、顧客のスイッチの電源をシャットダウンすることでサービスの中断などの単純な攻撃を開始することができます。物理的なアクセスにより、攻撃者はサーバーデバイスへのアクセス、パスワードのリセット、スイッチへのアクセス権を取得する可能性があります。物理的なアクセスにより、中間者攻撃などのより洗練された攻撃が促進されます。2 番目のセキュリティ層であるネットワークセキュリティが重要です。

セルフ暗号化ドライブは、UC アプリケーションをホスト する専用インスタンスデータセンターで使用されます。

一般的なセキュリティプラクティスの詳細については、次の場所にあるドキュメントを参照してください: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html

ネットワークセキュリティ

パートナーは、すべてのネットワーク要素が 、Equinix を経由して接続する専用インスタンス インフラストラクチャで保護されている必要があります。セキュリティのベストプラクティスを確実に行う責任は、以下の通り行います。

  • 音声とデータのための別々の VLAN

  • 1 ポート当たりに許可される MAC アドレスの数を制限するポートセキュリティを、CAM テーブルリングに対して制限します。

  • スプーフィングされた IP アドレスに対する IP ソースのなりすまし

  • Dynamic GAR 検査 (DAI) はアドレス解決プロトコル (GARP) と違反に対する (GARP) 違反について (GARP) 検証します (GARP スプーフィングに対する)

  • 802.1x 割り当てられた VLAN (電話は 802 をサポートする) 上のデバイスを認証するために、ネットワークアクセスを制限します1x。

  • 音声パケットの適切なマーキングのためのサービスの質(QoS)の設定

  • 他のトラフィックをブロックするファイアウォール ポートの構成

エンドポイントセキュリティ

Cisco エンドポイントは、署名されたファームウェア、セキュア ブート (選択モデル)、製造元がインストールした証明書 (MIC)、および署名された構成ファイルなどのデフォルトのセキュリティ機能をサポートし、エンドポイントに特定のレベルのセキュリティを提供します。

さらに、パートナーまたは顧客は、次のような追加のセキュリティを有効にできます。

  • Extension Mobility などのサービスのための IP 電話サービス (HTTPS 経由) を暗号化します

  • 証明機関のプロキシ機能 (CAPF) またはパブリック証明機関 (CA) からローカルに重要な証明書 (LSCs) を発行します

  • 構成ファイルを暗号化する

  • メディアとシグナルの暗号化

  • これらを使用しない場合、これらの設定を無効にします。PC ポート, PC 音声 VLAN アクセス, 無料な VLAN, ウェブ アクセス, 設定ボタン, SSH, コンソール

専用インスタンスにセキュリティ メカニズムを実装することで、電話と Unified CM サーバーの ID の盗難、データの改元、通話信号 / メディアストリームの改めを防止します。

ネットワーク上の 専用インスタンス:

  • 認証済みの通信ストリームを確立し維持します。

  • ファイルを電話に転送する前にデジタル署名を行う

  • Ip フォン間のメディアストリームと通話シグナリングCisco Unifiedします。

デフォルトのセキュリティ設定

セキュリティ機能により、IP フォンを使用する場合に、以下Cisco Unifiedセキュリティ機能が提供されます。

  • 電話構成ファイルの署名

  • 電話設定ファイル暗号化のサポート

  • Tomcat および他の Web サービスの HTTPS (MIDlets)

Unified CM Release 8.0 以降では、これらのセキュリティ機能はデフォルトで提供され、Certificate Trust List (CTL) クライアントを実行しない必要があります。

信頼検証サービス

ネットワーク内には多くの電話があり、IP 電話にはメモリが限られているため、Cisco Unified CM は信頼確認サービス (TVS) を通してリモートの信頼ストアとして機能し、証明書信頼ストアを各電話に配置する必要がないのでです。Cisco IP Phone は CTL または ITL ファイル経由で署名または証明書を検証できないため、TVS サーバーに連絡して検証を行います。中央の信頼ストアを有することにより、各顧客の IP 電話に信頼ストアCisco Unified管理するより容易になります。

TVS によりCisco Unified IP 電話は、HTTPS 保護中に EM サービス、ディレクトリ、MIDlet などのアプリケーション サーバーを認証できます。

初期信頼リスト

初期信頼リスト (ITL) ファイルは、エンドポイントが CM を信頼できるよう、最初のセキュリティCisco Unifiedされます。ITL は、明示的に有効にするセキュリティ機能を必要としません。ITL ファイルはクラスターがインストールされると自動的に作成されます。ITL ファイルに署名するために、Unified CM Trivial ファイル転送プロトコル (TFTP) サーバーのプライベートキーが使用されます。

ITL Cisco Unifiedサーバーが非セキュアモードの場合、ITL ファイルはサポートされる Cisco IP 電話にダウンロードされます。パートナーは CLI コマンド「admin:show itl」を使用して ITL ファイルのコンテンツを表示できます。

デフォルトでは、パートナー管理者に CLI のレベル 1 アクセス権が付与されます。詳細およびレベル 1 で許可されるコマンドについては、 CLI について を参照してください。

Cisco IP Phone は、以下のタスクを実行するために ITL ファイルが必要です。

  • 構成ファイル暗号化のサポートの前提条件である CAPF に安全に通信する

  • 構成ファイル署名を認証する

  • TVS を使用して HTTPS 中に EM サービス、ディレクトリ、MIDlet などのアプリケーション サーバーを認証する

Cisco CTL

デバイス、ファイル、シグナル認証は、パートナーまたは顧客が Cisco Certificate Trust List Client をインストールして構成するときに作成される Certificate Trust List (CTL) ファイルの作成に依存します。

CTL ファイルには次のサーバーまたはセキュリティトークンのエントリが含まれています:

  • システム管理者セキュリティ トークン (SAST)

  • 同じサーバー上で実行している Cisco CallManager および Cisco TFTP サービス

  • 認証機関プロキシ機能(CAPF)

  • TFTP サーバー

  • ASA ファイアウォール

CTL ファイルには、サーバー証明書、公開鍵、シリアル番号、署名、発行者名、サブジェクト名、サーバー機能、DNS 名、および各サーバーの IP アドレスが含まれている。

CTL を含む電話のセキュリティでは、次の機能を提供します。

  • 署名キーを使用した TFTP ダウンロードファイル (構成、ロケール、呼び出しリストなど) の認証

  • 署名キーを使用した TFTP 構成ファイルの暗号化

  • IP 電話用の暗号化通話信号

  • IP 電話用の暗号化通話音声 (メディア)

専用インスタンスにおける Cisco IP Phone のセキュリティ

専用インスタンスは エンドポイントの登録と通話処理を提供します。Cisco Unified CM とエンドポイント間のシグナリングは、Secure Skinny Client Control Protocol (SCCP) または セッション開始プロトコル (SIP) に基づいており、トランスポート層セキュリティ (TLS) を使用して暗号化できます。エンドポイント間のメディアは、リアルタイム トランスポート プロトコル (RTP) に基づいており、セキュア RTP (SRTP) を使用して暗号化されます。

Unified CM の混合モードを有効にすると、Cisco エンドポイント間のシグナリングおよびメディア トラフィックの暗号化が有効になります。

安全なUCアプリケーション

専用インスタンスで混合モードを有効にする

専用インスタンスでは、混合モードがデフォルトで有効になっています。

専用インスタンスで混合モード を有効 にすると、Cisco エンドポイントから、または Cisco エンドポイントへのシグナリングおよびメディア トラフィックの暗号化を実行する機能が有効になります。

Cisco Unified CM リリース 12.5(1) で、混合モードの代わりに SIP OAuth に基づくシグナリングおよびメディアの暗号化を有効にする新しいオプション / CTL が Jabber および Webex クライアントに追加されました。したがって、Unified CM リリース 12.5(1)では、JAbber または Webex クライアントのシグナリングおよびメディアの暗号化を有効にするには、SIP OAuth および SRTP を使用できます。現時点で、Cisco IP 電話と他の Cisco エンドポイントでは、混合モードの有効化が引き続き必要です。今後のリリースで 7800/8800 エンドポイントで SIP OAuth のサポートを追加する計画があります。

音声メッセージのセキュリティ

Cisco Unity Connection通じて Unified CM に接続できます。デバイスのセキュリティ モードが非セキュアである場合、ユーザー Cisco Unity Connection、SCCP ポートを通して Unified CM に接続します。

SCCP を実行している SCCP または Cisco Unity Connection デバイスを実行する Unified CM ボイスメッセージポートと Cisco Unity デバイスのセキュリティを設定するには、パートナーはポートに安全なデバイス セキュリティ モードを選択できます。認証済みのボイスメール ポートを選択すると、TLS 接続が開き、相互証明書の交換を使用してデバイスを認証します (各デバイスは他のデバイスの証明書を受け入れる)。暗号化されたボイスメール ポートを選択する場合、システムは最初にデバイスを認証し、デバイス間で暗号化されたボイス ストリームを送信します。

セキュリティボイスメッセージポートの詳細については次を参照してください: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

SRST、トランク、ゲートウェイ、CUBE/SBC のセキュリティ

サーバー Cisco Unifiedリモートサイトテレフォニー (SRST) 対応ゲートウェイでは、専用インスタンスの Cisco Unified CM が通話を完了できない場合に限られた通話処理タスクが提供されます。

セキュアな SRST 対応ゲートウェイに自己署名証明書が含まれている。パートナーが Unified CM 管理で SRST 構成タスクを実行した後、Unified CM は TLS 接続を使用して、SRST 対応ゲートウェイで証明書プロバイダー サービスを認証します。Unified CM は SRST 対応ゲートウェイから証明書を取得し、Unified CM データベースに証明書を追加します。

パートナーが Unified CM 管理の依存デバイスをリセットした後、TFTP サーバーは SRST 対応ゲートウェイ証明書を電話 cnf.xml ファイルに追加し、ファイルを電話に送信します。安全な電話は、TLS 接続を使用して、SRST 対応ゲートウェイと対話します。

Cisco Unified CM からゲートウェイへの発信および PSTN ボーダー エレメント (CUBE) を経由したトラバーサルの通話では、セキュアなトランクを持Cisco Unified推奨されます。

SIP トランクは、シグナリングおよびメディアの両方でセキュアな通話をサポートできます。TLS はシグナリング暗号化を提供し、SRTP はメディア暗号化を提供します。

Cisco Unified CM と CUBE 間の通信のセキュリティ保護

Cisco Unified CM と CUBE 間の安全な通信を行う場合、パートナー/顧客は自己署名証明書または CA 署名証明書のいずれかを使用する必要があります。

自己署名証明書の場合:

  1. CUBE および Cisco Unified CM は自己署名証明書を生成します

  2. CUBE は証明書を Cisco Unified CM にエクスポートします

  3. Cisco Unified CM は証明書を CUBE にエクスポートします

CA 署名付き証明書の場合:

  1. クライアントはキーペアを生成し、Certificate Signing Request (CSR) を認証局 (CA) に送信します。

  2. CA はプライベートキーで署名し、ID 証明書を作成します

  3. クライアントは信頼できる CA ルートおよびメディア証明書と ID 証明書のリストをインストールします

リモートエンドポイントのセキュリティ

モバイルおよび Remote Access (MRA) エンドポイントでは、シグナルとメディアは常に、MRA エンドポイントとユーザー構成ノード間でExpresswayされます。MRA エンドポイントで Interactive Connectivity Of (ICE) プロトコルが使用される場合、MRA エンドポイントのシグナルとメディア暗号化が必要になります。ただし、Expressway-C と内部 Unified CM サーバー、内部エンドポイント、その他の内部デバイス間のシグナリングおよびメディアの暗号化には、混合モードまたは SIP OAuth が必要です。

Cisco Expresswayは、Unified CM 登録のセキュアなファイアウォール トラバーサルと回線側のサポートを提供します。Unified CM は、モバイルおよびオンプレミスのエンドポイントの両方に通話制御を提供します。信号はリモート エンドポイントExpressway Unified CM の間の統合ソリューションを通過します。メディアは 1 つのExpresswayを通過し、エンドポイント間で直接リレーされます。すべてのメディアは、Expressway-C とモバイルエンドポイント間で暗号化されます。

任意の MRA ソリューションには、MRA Expresswayなソフト クライアントおよび/または固定エンドポイントにより、統合型 CM の統合が必要です。ソリューションは、オプションで IM and Presence Service と Unity Connection を含む可能性があります。

プロトコルの概要

以下の表では、Unified CM ソリューションで使用されるプロトコルと関連サービスを示します。

表1. プロトコルと関連サービス

プロトコル

セキュリティ

サービス

SIP

TLS

セッションの保存: 登録、招待など

HTTPS

TLS

ログオン、プロビジョニング/構成、ディレクトリ、ビジュアルボイスメール

メディア

Srtp

メディア:音声、ビデオ、コンテンツ共有

Xmpp

TLS

インスタントメッセージ、プレゼンス、フェデレーション

MRA 構成の詳細については、次を参照してください。 https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

構成オプション

専用 インスタンスは 、パートナーに対し、2 日目の設定を完全に管理して、エンドユーザーに対してサービスをカスタマイズする柔軟性を提供します。その結果、パートナーはエンドユーザーの環境に対して、 専用インスタンス サービスの適切な設定に対してすべての責任を負います。これには次が含まれますが、これに限定されるではありません。

  • 安全/セキュアではない通話、SIP/sSIP、http/https などのセキュア/セキュアではないプロトコルを選択し、関連するリスクを理解します。

  • すべての MAC アドレスが専用インスタンス内でセキュアな SIP として設定されていない場合、攻撃者が MAC アドレスを使用して SIP Register メッセージを送信し、SIP コールを行う結果、有料不正行為が発生します。攻撃者は、専用インスタンスで登録されているデバイスの MAC アドレスが分かっている場合、許可なく SIP デバイス/ ソフトウェアを専用インスタンスに登録できます。

  • Expressway-E 通話ポリシー、変換、検索ルールは、有料の不正行為を防ぐために構成される必要があります。Expressway による有料不正の防止に関する詳細は、「コラボレーション SRND Expressway Expressway E セクションのセキュリティ」を参照してください

  • ダイヤルプランの設定により、ユーザーは許可された宛先にのみダイヤルできます(例:禁止)。 national/international ダイヤル、緊急通話が適切にルーティングされるなど。ダイヤル プランを使用して制限を適用する方法の詳細については、Collaboration SRND の ダイヤル プラン セクションを参照してください。

専用インスタンスでの安全な接続のための証明書要件

専用インスタンスについては、Cisco はパブリック証明機関 (CA) を使用して、ドメインを提供し、UC アプリケーションのすべての証明書に署名します。

専用インスタンス – ポート番号とプロトコル

次の表では、専用インスタンスでサポートされているポートとプロトコルを説明しています。特定の顧客に使用されるポートは、顧客の展開とソリューションによって異なります。プロトコルは、顧客の好み (SCCP と SIP)、既存のオンプレミス デバイス、およびセキュリティ レベルに応じて、各展開で使用するポートを決定します。

専用インスタンスでは、通話中機能など一部のコールフロー機能が動作しないため、エンドポイントと Unified CM 間のネットワーク アドレス変換 (NAT) は許可されません。

専用インスタンス – 顧客ポート

顧客が利用できるポート - 顧客のオンプレミスと専用インスタンスの間のポートは表 1 の専用インスタンスの顧客ポートに示されています。下にリストされているポートはすべて、ピアリンクをトラバーサルする顧客トラフィック用です。

SNMP ポートは、Cisco Emergency Responder の機能をサポートするためにのみデフォルトで開いています。専用インスタンス クラウドに導入された UC アプリケーションを監視するパートナーや顧客をサポートしていないため、他の UC アプリケーションに対して SNMP ポートを開くことは許可されません。

Singlewire (Informacast) アプリケーション (Unified CM アプリケーションのみ) に対して SNMP ポートが有効になっています。リクエストを送信する際は、リクエストの 許可理由 セクションに、Singlewire アプリケーションに関連付けられた IP アドレスが明示的に記載されていることを確認してください。詳細については、 サービス リクエストの提出 を参照してください。

5063 ~ 5080 の範囲のポートは、シスコによって他のクラウド統合用に予約されているため、パートナーまたは顧客の管理者は設定でこれらのポートを使用しないことが推奨されます。

表2. 専用インスタンスの顧客ポート

プロトコル

TCP/UDP

ソース

移動先

ソースポート

移動先ポート

目的

Ssh

TCP

クライアント

UC アプリケーション

Cisco Expressway アプリケーションでは許可されません。

1023 を超える

22

管理

TFTP

UDP

エンドポイント

Unified CM

1023 を超える

69

レガシーエンドポイントのサポート

LDAP

TCP

UC アプリケーション

外部ディレクトリ

1023 を超える

389

顧客 LDAP へのディレクトリ同期

HTTPS

TCP

ブラウザ

UC アプリケーション

1023 を超える

443

セルフケアと管理インターフェイスのためのウェブ アクセス

アウトバウンドメール (セキュア)

TCP

UC アプリケーション

CUCxn

1023 を超える

587

指定された受信者に安全なメッセージを作成および送信するために使用されます。

LDAP (セキュア)

TCP

UC アプリケーション

外部ディレクトリ

1023 を超える

636

顧客 LDAP へのディレクトリ同期

H323

TCP

ゲートウェイ

Unified CM

1023 を超える

1720

通話信号

H323

TCP

Unified CM

Unified CM

1023 を超える

1720

通話信号

Sccp

TCP

エンドポイント

Unified CM、CUCxn

1023 を超える

2000

通話信号

Sccp

TCP

Unified CM

Unified CM、ゲートウェイ

1023 を超える

2000

通話信号

MGCP

UDP

ゲートウェイ

ゲートウェイ

1023 を超える

2427

通話信号

MGCP バックホール

TCP

ゲートウェイ

Unified CM

1023 を超える

2428

通話信号

SCCP (セキュア)

TCP

エンドポイント

Unified CM、CUCxn

1023 を超える

2443

通話信号

SCCP (セキュア)

TCP

Unified CM

Unified CM、ゲートウェイ

1023 を超える

2443

通話信号

信頼の検証

TCP

エンドポイント

Unified CM

1023 を超える

2445

信頼確認サービスをエンドポイントに提供

Cti

TCP

エンドポイント

Unified CM

1023 を超える

2748

CTI アプリケーション (JTAPI/TSP) と CTIManager の間の接続

セキュアな CTI

TCP

エンドポイント

Unified CM

1023 を超える

2749

CTI アプリケーション (JTAPI/TSP) と CTIManager の間の安全な接続

LDAP グローバル カタログ

TCP

UC アプリケーション

外部ディレクトリ

1023 を超える

3268

顧客 LDAP へのディレクトリ同期

LDAP グローバル カタログ

TCP

UC アプリケーション

外部ディレクトリ

1023 を超える

3269

顧客 LDAP へのディレクトリ同期

CAPF サービス

TCP

エンドポイント

Unified CM

1023 を超える

3804

ローカルで重要な証明書 (LSC) を IP 電話に発行する認証局のプロキシ機能 (CAPF) リスニング ポート

SIP

TCP

エンドポイント

Unified CM、CUCxn

1023 を超える

5060

通話信号

SIP

TCP

Unified CM

Unified CM、ゲートウェイ

1023 を超える

5060

通話信号

SIP (セキュア)

TCP

エンドポイント

Unified CM

1023 を超える

5061

通話信号

SIP (セキュア)

TCP

Unified CM

Unified CM、ゲートウェイ

1023 を超える

5061

通話信号

SIP (OAUTH)

TCP

エンドポイント

Unified CM

1023 を超える

5090

通話信号

Xmpp

TCP

Jabber クライアント

Cisco IM&P

1023 を超える

5222

インスタントメッセージとプレゼンス

HTTP

TCP

エンドポイント

Unified CM

1023 を超える

6970

構成と画像をエンドポイントにダウンロードする

HTTPS

TCP

エンドポイント

Unified CM

1023 を超える

6971

構成と画像をエンドポイントにダウンロードする

HTTPS

TCP

エンドポイント

Unified CM

1023 を超える

6972

構成と画像をエンドポイントにダウンロードする

HTTP

TCP

Jabber クライアント

CUCxn

1023 を超える

7080

ボイスメール通知

HTTPS

TCP

Jabber クライアント

CUCxn

1023 を超える

7443

セキュアなボイスメール通知

HTTPS

TCP

Unified CM

Unified CM

1023 を超える

7501

証明書ベースの認証のために Intercluster Lookup Service (ILS) で使用されます

HTTPS

TCP

Unified CM

Unified CM

1023 を超える

7502

パスワードベースの認証のために ILS で使用される

Imap

TCP

Jabber クライアント

CUCxn

1023 を超える

7993

IMAP over TLS

HTTP

TCP

エンドポイント

Unified CM

1023 を超える

8080

レガシーエンドポイントサポートのディレクトリ URI

HTTPS

TCP

ブラウザ、エンドポイント

UC アプリケーション

1023 を超える

8443

セルフケアと管理のインターフェイス、UDSのためのウェブ アクセス

HTTPS

TCP

電話

Unified CM

1023 を超える

9443

認証された連絡先検索

HTTPs

TCP

エンドポイント

Unified CM

1023 を超える

9444

ヘッドセット管理機能

セキュアな RTP/SRTP

UDP

Unified CM

電話

16384 ~ 32767 *

16384 ~ 32767 *

メディア (音声) - 保留時の音楽、アナシエトール、ソフトウェア会議ブリッジ (通話信号に基づいて開く)

セキュアな RTP/SRTP

UDP

電話

Unified CM

16384 ~ 32767 *

16384 ~ 32767 *

メディア (音声) - 保留時の音楽、アナシエトール、ソフトウェア会議ブリッジ (通話信号に基づいて開く)

コブラ

TCP

クライアント

CUCxn

1023 を超える

20532

アプリケーションスイートのバックアップと復元

Icmp

Icmp

エンドポイント

UC アプリケーション

該当せず

該当せず

Ping

Icmp

Icmp

UC アプリケーション

エンドポイント

該当せず

該当せず

Ping
DNS UDP および TCP

DNSフォワーダー

専用インスタンスDNSサーバー

1023 を超える

 53

専用インスタンス DNS サーバーへの顧客オンプレミス DNS フォワーダー。詳細については、 DNS 要件 を参照してください。

* 一部の特殊なケースでは、さらに多くの範囲が使用される場合があります。

専用インスタンス – OTT ポート

顧客とパートナーは、モバイルおよびリモート アクセス (MRA) のセットアップに次のポートを使用できます。

表3. OTT用ポート

プロトコル

TCP/UCP

ソース

移動先

ソースポート

移動先ポート

目的

セキュア RTP/RTCP

UDP

高速道路C

クライアント

1023 を超える

36000-59999

MRA および B2B 通話のためのセキュアなメディア

マルチテナントと専用インスタンス間の相互運用 SIP トランク (登録ベースのトランクのみ)

マルチテナントと専用インスタンス間を接続する登録ベースの SIP トランク用に、顧客のファイアウォールで次のポート リストを許可する必要があります。

表 4. 登録ベースのトランクのポート

プロトコル

TCP/UCP

ソース

移動先

ソースポート

移動先ポート

目的

RTP/RTCP

UDP

Webex 通話マルチテナント

クライアント

1023 を超える

8000-48198

Webex Calling Multitenant からのメディア

専用インスタンス – UCCX ポート

以下のポートのリストは、顧客とパートナーが UCCX を構成するために使用できます。

表 5. Cisco UCCX ポート

プロトコル

TCP / UCP

ソース

移動先

ソースポート

移動先ポート

目的

Ssh

TCP

クライアント

UCCX

1023 を超える

22

SFTP と SSH

Informix

TCP

クライアントまたはサーバー

UCCX

1023 を超える

1504

コンタクトセンターエクスプレスデータベースポート

SIP

UDP および TCP

SIP SIP または MCRP サーバー

UCCX

1023 を超える

5065

リモートハードウェアおよび MCRP ノードへの通信

Xmpp

TCP

クライアント

UCCX

1023 を超える

5223

Finesse サーバーとカスタムサードパーティアプリケーション間のセキュアな XMPP 接続

Cvd

TCP

クライアント

UCCX

1023 を超える

6999

CCX アプリケーション用エディタ

HTTPS

TCP

クライアント

UCCX

1023 を超える

7443

Finesse サーバーとエージェントとスーパーバイザーデスクトップ間の安全な BOSH 接続の HTTPS 経由の通信

HTTP

TCP

クライアント

UCCX

1023 を超える

8080

ライブデータレポートクライアントはsocket.IOサーバーに接続します

HTTP

TCP

クライアント

UCCX

1023 を超える

8081

クライアントのブラウザが Intelligence Center のCisco Unifiedにアクセスしようとしている

HTTP

TCP

クライアント

UCCX

1023 を超える

8443

管理 GUI、RTMT、SOAP 経由の DB アクセス

HTTPS

TCP

クライアント

UCCX

1023 を超える

8444

Cisco Unified Intelligence Center ウェブインターフェイス

HTTPS

TCP

ブラウザおよび REST クライアント

UCCX

1023 を超える

8445

Finesse のセキュアなポート

HTTPS

TCP

クライアント

UCCX

1023 を超える

8447

HTTPS - Unified Intelligence Center オンラインヘルプ

HTTPS

TCP

クライアント

UCCX

1023 を超える

8553

シングル サインオン (SSO) コンポーネントは、このインターフェイスにアクセスして、Cisco IdS の動作状態を確認します。

HTTP

TCP

クライアント

UCCX

1023 を超える

9080

HTTP トリガーまたはドキュメント / プロンプト / 文法 / ライブ データにアクセスしようとするクライアント。

HTTPS

TCP

クライアント

UCCX

1023 を超える

9443

HTTPS トリガーにアクセスしようとするクライアントに応答するために使用される安全なポート

TCP

TCP

クライアント

UCCX

1023 を超える

12014

これは、ライブデータレポートクライアントがsocket.IOサーバーに接続できるポートです。

TCP

TCP

クライアント

UCCX

1023 を超える

12015

これは、ライブデータレポートクライアントがsocket.IOサーバーに接続できるポートです。

Cti

TCP

クライアント

UCCX

1023 を超える

12028

CCX へのサードパーティ CTI クライアント

RTP (メディア)

TCP

エンドポイント

UCCX

1023 を超える

1023 を超える

メディア ポートは、必要に応じて動的に開きます

RTP (メディア)

TCP

クライアント

エンドポイント

1023 を超える

1023 を超える

メディア ポートは、必要に応じて動的に開きます

クライアントセキュリティ

SIP OAuth で Jabber および Webex を保護する

Jabber および Webex クライアントは、ローカルに重要な証明書 (LSC) の代わりに Oauth トークンを通じて認証されます。これは、認証機関のプロキシ機能 (CAPF も同様に) 有効化を必要としません。混合モードで動作するまたは混合モードを使用しない SIP Oauth は、Cisco Unified CM 12.5(1)、Jabber 12.5、および Expressway X12.5 で導入されました。

Cisco Unified CM 12.5 では、SIP 登録の単一 Transport Layer Security (TLS) + Oauth トークンを使用して、LSC/CAPF なしの暗号化を有効にする電話セキュリティ プロファイルの新しいオプションがあります。Expressway-C ノードは Administrative XML Web Service (AXL) API を使用して、証明書の SN/SAN について Cisco Unified CM に通知します。Cisco Unified CM はこの情報を使用して、ユーザーの接続を確立する際に Exp-Cert 相互 TLSします。

SIP OAuth は、エンドポイント証明書 (LSC) なしで、メディアとシグナリング暗号化を有効にします。

Cisco Jabber は TFTP サーバーへの HTTPS 接続経由で一時的ポートとセキュアポート 6971 および 6972 ポートを使用して構成ファイルをダウンロードします。ポート 6970 は、HTTP 経由でダウンロードするための非セキュアなポートです。

SIP Oauth 構成に関する詳細:SIP OAuth モード.

DNS要件

専用インスタンス Cisco は、各FQDNで次の形式でサービスのためのオプションを提供します <customer><region>。 wxc-di.webex.com 例えば xyz.amer.wxc-di.webex.com

「顧客」の値は、初回セットアップ ウィザード (FTSW) の一部として管理者により提供されます。詳細については、専用インスタンスサービスの アクティベーションを参照してください

このシステムの DNS FQDN、顧客の内部 DNS サーバーから解決可能で、専用インスタンスに接続されているオンプレミスデバイスをサポートする必要があります。解決を促進するには、顧客の DNS サーバーが専用インスタンス DNS サービスを指しているこのFQDN、条件付きフォワードを設定する必要があります。専用インスタンス DNS サービスはリージョン別であり、以下の表 専用インスタンス DNS サービス IP アドレスに記載されている IP アドレスを使用して、専用インスタンスへのピアリング経由でアクセスできます。

表 6 専用インスタンス DNS サービス IP アドレス

地域/DC

専用インスタンス DNS サービス IP アドレス

条件転送の例

アメリカ

 <customer>.amer.wxc-di.webex.com

Sjc

69.168.17.100

Dfw

69.168.17.228

欧州、中東、アフリカ

<customer>.emea.wxc-di.webex.com

経度

178.215.138.100

Ams

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

フランス

178.215.131.100

Ams

178.215.131.228

APJC(アジアパシフィック、日本、中国エリア)

<customer>.apjc.wxc-di.webex.com

103.232.71.100

TKY

103.232.71.228

AUS

 <customer>.aus.wxc-di.webex.com

メル

178.215.128.100

Syd

178.215.128.228

英国

 <customer>.uk.wxc-di.webex.com

経度

178.215.135.100

178.215.135.228

KSA

 <customer>.sa.wxc-di.webex.com

ジェッド

 178.215.140.100

RHU

 178.215.140.228

セキュリティ上の理由から、上記の DNS サーバー IP アドレスに対する ping オプションが無効になります。

条件付き転送が行されるまで、デバイスはピアリンク経由で顧客の内部ネットワークから専用インスタンスに登録できません。MRA を促進するために必要なすべての外部 DNS レコードが Cisco により事前に準備されるので、モバイルおよび Remote Access (MRA) 経由での登録に、条件付き転送は必要ありません。

Webex アプリケーションを専用インスタンスの通話ソフト クライアントとして使用する場合、各地域の音声サービス ドメイン (VSD) に対して、UC Manager Profile を Control Hub で構成する必要があります。詳細については、サイトの UC Manager プロファイルをCisco Webex Control Hub。Webex アプリケーションは、エンドユーザーの介入無しに、自動的に顧客の Expressway Edge を解決することができます。

サービスのアクティベーションが完了すると、パートナー アクセスドキュメントの一部として音声サービスドメインが顧客に提供されます。

携帯電話のDNS解決にローカルルーターを使用する

企業の DNS サーバーにアクセスできない電話の場合、ローカルの Cisco ルーターを使用して DNS 要求を専用インスタンスのクラウド DNS に転送できます。これにより、ローカル DNS サーバーを展開する必要がなくなり、キャッシュを含む完全な DNS サポートが提供されます。

設定例 :

!

IP DNSサーバー

IPネームサーバー <DI DNS Server IP DC1> <DI DNS Server IP DC2>

!

この展開モデルでの DNS の使用は電話に固有であり、顧客の専用インスタンスのドメインで FQDN を解決するためにのみ使用できます。

電話のDNS解決