専用インスタンスのネットワーク要件

Webex Calling専用インスタンスは、Cisco Unified Communications Manager (Cisco Unified CM) コラボレーションテクノロジーを利用して、Cisco Cloud 通話ポートフォリオの一部です。専用インスタンスは、Cisco IP 電話、モバイル 端末、および専用インスタンスに安全に接続するデスクトップクライアントの機能と利点を備え、音声、ビデオ、メッセージング、モビリティソリューションを提供します。

この記事は、ネットワーク管理者、特に組織内の専用インスタンスを使用するファイアウォールとプロキシ セキュリティ管理者を対象にしています。

セキュリティの概要: レイヤーのセキュリティ

専用インスタンスは セキュリティのためにレイヤードアプローチを使用します。また、以下の層が含まれます。

  • 物理アクセス

  • ネットワーク

  • エンドポイント

  • UC アプリケーション

以下のセクションでは、専用インスタンス展開でのセキュリティのレイヤー について 説明します。

物理的セキュリティ

Equinix Meet-Me Room のロケーションと Cisco 専用インスタンスデータセンター施設に物理的なセキュリティを提供することが 重要です。物理的なセキュリティが侵害されると、顧客のスイッチの電源をシャットダウンすることでサービスの中断などの単純な攻撃を開始することができます。物理的なアクセスにより、攻撃者はサーバーデバイスへのアクセス、パスワードのリセット、スイッチへのアクセス権を取得する可能性があります。物理的なアクセスにより、中間者攻撃などのより洗練された攻撃が促進されます。2 番目のセキュリティ層であるネットワークセキュリティが重要です。

セルフ暗号化ドライブは、UC アプリケーションをホスト する専用インスタンスデータセンターで使用されます。

一般的なセキュリティプラクティスの詳細については、次の場所にあるドキュメントを参照してください。https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html

ネットワーク セキュリティ

パートナーは、すべてのネットワーク要素が 、Equinix を経由して接続する専用インスタンス インフラストラクチャで保護されている必要があります。セキュリティのベストプラクティスを確実に行う責任は、以下の通り行います。

  • 音声とデータのための別々の VLAN

  • 1 ポート当たりに許可される MAC アドレスの数を制限するポートセキュリティを、CAM テーブルリングに対して制限します。

  • スプーフィングされた IP アドレスに対する IP ソースのなりすまし

  • Dynamic GAR 検査 (DAI) はアドレス解決プロトコル (GARP) と違反に対する (GARP) 違反について (GARP) 検証します (GARP スプーフィングに対する)

  • 802.1x 割り当てられた VLAN (電話は 802 をサポートする) 上のデバイスを認証するために、ネットワークアクセスを制限します1x。

  • 音声パケットの適切なマーキングのためのサービスの質(QoS)の設定

  • 他のトラフィックをブロックするファイアウォール ポートの構成

エンドポイントのセキュリティ

Cisco エンドポイントは、署名されたファームウェア、セキュア ブート (選択モデル)、製造元がインストールした証明書 (MIC)、および署名された構成ファイルなどのデフォルトのセキュリティ機能をサポートし、エンドポイントに特定のレベルのセキュリティを提供します。

さらに、パートナーまたは顧客は、次のような追加のセキュリティを有効にできます。

  • Extension Mobility などのサービスのための IP 電話サービス (HTTPS 経由) を暗号化します

  • 証明機関のプロキシ機能 (CAPF) またはパブリック証明機関 (CA) からローカルに重要な証明書 (LSCs) を発行します

  • 構成ファイルを暗号化する

  • メディアとシグナルの暗号化

  • これらを使用しない場合、これらの設定を無効にします。PC ポート, PC 音声 VLAN アクセス, 無料な VLAN, ウェブ アクセス, 設定ボタン, SSH, コンソール

専用インスタンスにセキュリティ メカニズムを実装することで、電話と Unified CM サーバーの ID の盗難、データの改元、通話信号 / メディアストリームの改めを防止します。

ネットワーク上の 専用インスタンス:

  • 認証済みの通信ストリームを確立し維持します。

  • ファイルを電話に転送する前にデジタル署名を行う

  • Ip フォン間のメディアストリームと通話シグナリングCisco Unifiedします。

デフォルトのセキュリティ設定

セキュリティ機能により、IP フォンを使用する場合に、以下Cisco Unifiedセキュリティ機能が提供されます。

  • 電話構成ファイルの署名

  • 電話設定ファイル暗号化のサポート

  • Tomcat および他の Web サービスの HTTPS (MIDlets)

Unified CM Release 8.0 以降では、これらのセキュリティ機能はデフォルトで提供され、Certificate Trust List (CTL) クライアントを実行しない必要があります。

信頼検証サービス

ネットワーク内には多くの電話があり、IP 電話にはメモリが限られているため、Cisco Unified CM は信頼確認サービス (TVS) を通してリモートの信頼ストアとして機能し、証明書信頼ストアを各電話に配置する必要がないのでです。Cisco IP Phone は CTL または ITL ファイル経由で署名または証明書を検証できないため、TVS サーバーに連絡して検証を行います。中央の信頼ストアを有することにより、各顧客の IP 電話に信頼ストアCisco Unified管理するより容易になります。

TVS によりCisco Unified IP 電話は、HTTPS 保護中に EM サービス、ディレクトリ、MIDlet などのアプリケーション サーバーを認証できます。

最初の信頼リスト

初期信頼リスト (ITL) ファイルは、エンドポイントが CM を信頼できるよう、最初のセキュリティCisco Unifiedされます。ITL は、明示的に有効にするセキュリティ機能を必要としません。ITL ファイルはクラスターがインストールされると自動的に作成されます。ITL ファイルに署名するために、Unified CM Trivial ファイル転送プロトコル (TFTP) サーバーのプライベートキーが使用されます。

ITL Cisco Unifiedサーバーが非セキュアモードの場合、ITL ファイルはサポートされる Cisco IP 電話にダウンロードされます。パートナーは CLI コマンド「admin:show itl」を使用して ITL ファイルのコンテンツを表示できます。

Cisco IP Phone は、以下のタスクを実行するために ITL ファイルが必要です。

  • 構成ファイル暗号化のサポートの前提条件である CAPF に安全に通信する

  • 構成ファイル署名を認証する

  • TVS を使用して HTTPS 中に EM サービス、ディレクトリ、MIDlet などのアプリケーション サーバーを認証する

Cisco CTL

デバイス、ファイル、シグナル認証は、パートナーまたは顧客が Cisco Certificate Trust List Client をインストールして構成するときに作成される Certificate Trust List (CTL) ファイルの作成に依存します。

CTL ファイルには次のサーバーまたはセキュリティトークンのエントリが含まれています:

  • システム管理者セキュリティ トークン (SAST)

  • 同じサーバー上で実行している Cisco CallManager および Cisco TFTP サービス

  • 認証機関プロキシ機能(CAPF)

  • TFTP サーバー

  • ASA ファイアウォール

CTL ファイルには、サーバー証明書、公開鍵、シリアル番号、署名、発行者名、サブジェクト名、サーバー機能、DNS 名、および各サーバーの IP アドレスが含まれている。

CTL を含む電話のセキュリティでは、次の機能を提供します。

  • 署名キーを使用した TFTP ダウンロードファイル (構成、ロケール、呼び出しリストなど) の認証

  • 署名キーを使用した TFTP 構成ファイルの暗号化

  • IP 電話用の暗号化通話信号

  • IP 電話用の暗号化通話音声 (メディア)

専用インスタンスの Cisco IP 電話のセキュリティ

専用インスタンスは エンドポイントの登録と通話処理を提供します。Cisco Unified CM とエンドポイント間のシグナリングは、Secure Skinny Client Control Protocol (SCCP) または セッション開始プロトコル (SIP) に基づいており、トランスポート層セキュリティ (TLS) を使用して暗号化できます。エンドポイント間のメディアは、リアルタイム トランスポート プロトコル (RTP) に基づいており、セキュア RTP (SRTP) を使用して暗号化されます。

Unified CM の混合モードを有効にすると、Cisco エンドポイント間のシグナリングおよびメディア トラフィックの暗号化が有効になります。

セキュアな UC アプリケーション

専用インスタンスで混合モードを有効にする

専用インスタンスでは、混合モードがデフォルトで有効になっています。

専用インスタンスで混合モード を有効 にすると、Cisco エンドポイントから、または Cisco エンドポイントへのシグナリングおよびメディア トラフィックの暗号化を実行する機能が有効になります。

Cisco Unified CM リリース 12.5(1) で、混合モードの代わりに SIP OAuth に基づくシグナリングおよびメディアの暗号化を有効にする新しいオプション / CTL が Jabber および Webex クライアントに追加されました。したがって、Unified CM リリース 12.5(1)では、JAbber または Webex クライアントのシグナリングおよびメディアの暗号化を有効にするには、SIP OAuth および SRTP を使用できます。現時点で、Cisco IP 電話と他の Cisco エンドポイントでは、混合モードの有効化が引き続き必要です。今後のリリースで 7800/8800 エンドポイントで SIP OAuth のサポートを追加する計画があります。

ボイス メッセージング セキュリティ

Cisco Unity Connection通じて Unified CM に接続できます。デバイスのセキュリティ モードが非セキュアである場合、ユーザー Cisco Unity Connection、SCCP ポートを通して Unified CM に接続します。

SCCP を実行している SCCP または Cisco Unity Connection デバイスを実行する Unified CM ボイスメッセージポートと Cisco Unity デバイスのセキュリティを設定するには、パートナーはポートに安全なデバイス セキュリティ モードを選択できます。認証済みのボイスメール ポートを選択すると、TLS 接続が開き、相互証明書の交換を使用してデバイスを認証します (各デバイスは他のデバイスの証明書を受け入れる)。暗号化されたボイスメール ポートを選択する場合、システムは最初にデバイスを認証し、デバイス間で暗号化されたボイス ストリームを送信します。

セキュリティボイスメッセージポートの詳細については次を参照してください: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

SRST、トランク、ゲートウェイ、CUBE/SBC のセキュリティ

サーバー Cisco Unifiedリモートサイトテレフォニー (SRST) 対応ゲートウェイでは、専用インスタンスの Cisco Unified CM が通話を完了できない場合に限られた通話処理タスクが提供されます。

セキュアな SRST 対応ゲートウェイに自己署名証明書が含まれている。パートナーが Unified CM 管理で SRST 構成タスクを実行した後、Unified CM は TLS 接続を使用して、SRST 対応ゲートウェイで証明書プロバイダー サービスを認証します。Unified CM は SRST 対応ゲートウェイから証明書を取得し、Unified CM データベースに証明書を追加します。

パートナーが Unified CM 管理の依存デバイスをリセットした後、TFTP サーバーは SRST 対応ゲートウェイ証明書を電話 cnf.xml ファイルに追加し、ファイルを電話に送信します。安全な電話は、TLS 接続を使用して、SRST 対応ゲートウェイと対話します。

Cisco Unified CM からゲートウェイへの発信および PSTN ボーダー エレメント (CUBE) を経由したトラバーサルの通話では、セキュアなトランクを持Cisco Unified推奨されます。

SIP トランクは、シグナリングおよびメディアの両方でセキュアな通話をサポートできます。TLS はシグナリング暗号化を提供し、SRTP はメディア暗号化を提供します。

Cisco Unified CM と CUBE 間の通信の保護

Cisco Unified CM と CUBE 間の安全な通信を行う場合、パートナー/顧客は自己署名証明書または CA 署名証明書のいずれかを使用する必要があります。

自己署名証明書の場合:

  1. CUBE および Cisco Unified CM は自己署名証明書を生成します

  2. CUBE は証明書を Cisco Unified CM にエクスポートします

  3. Cisco Unified CM は証明書を CUBE にエクスポートします

CA 署名付き証明書の場合:

  1. クライアントはキーペアを生成し、Certificate Signing Request (CSR) を認証局 (CA) に送信します。

  2. CA はプライベートキーで署名し、ID 証明書を作成します

  3. クライアントは信頼できる CA ルートおよびメディア証明書と ID 証明書のリストをインストールします

リモート エンドポイントのセキュリティ

モバイルおよび Remote Access (MRA) エンドポイントでは、シグナルとメディアは常に、MRA エンドポイントとユーザー構成ノード間でExpresswayされます。MRA エンドポイントで Interactive Connectivity Of (ICE) プロトコルが使用される場合、MRA エンドポイントのシグナルとメディア暗号化が必要になります。ただし、Expressway-C と内部 Unified CM サーバー、内部エンドポイント、その他の内部デバイス間のシグナリングおよびメディアの暗号化には、混合モードまたは SIP OAuth が必要です。

Cisco Expresswayは、Unified CM 登録のセキュアなファイアウォール トラバーサルと回線側のサポートを提供します。Unified CM は、モバイルおよびオンプレミスのエンドポイントの両方に通話制御を提供します。信号はリモート エンドポイントExpressway Unified CM の間の統合ソリューションを通過します。メディアは 1 つのExpresswayを通過し、エンドポイント間で直接リレーされます。すべてのメディアは、Expressway-C とモバイルエンドポイント間で暗号化されます。

任意の MRA ソリューションには、MRA Expresswayなソフト クライアントおよび/または固定エンドポイントにより、統合型 CM の統合が必要です。ソリューションは、オプションで IM and Presence Service と Unity Connection を含む可能性があります。

プロトコルの概要

以下の表では、Unified CM ソリューションで使用されるプロトコルと関連サービスを示します。

表1。 プロトコルと関連サービス

プロトコル

セキュリティ

サービス

SIP

TLS

セッションの保存: 登録、招待など

HTTPS

TLS

ログオン、プロビジョニング/構成、ディレクトリ、ビジュアルボイスメール

メディア

Srtp

メディア:音声、ビデオ、コンテンツ共有

Xmpp

TLS

インスタントメッセージ、プレゼンス、フェデレーション

MRA 構成の詳細については、次を参照してください。 https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

構成オプション

専用 インスタンスは 、パートナーに対し、2 日目の設定を完全に管理して、エンドユーザーに対してサービスをカスタマイズする柔軟性を提供します。その結果、パートナーはエンドユーザーの環境に対して、 専用インスタンス サービスの適切な設定に対してすべての責任を負います。これには次が含まれますが、これに限定されるではありません。

  • 安全/セキュアではない通話、SIP/sSIP、http/https などのセキュア/セキュアではないプロトコルを選択し、関連するリスクを理解します。

  • すべての MAC アドレスが専用インスタンス内でセキュアな SIP として設定されていない場合、攻撃者が MAC アドレスを使用して SIP Register メッセージを送信し、SIP コールを行う結果、有料不正行為が発生します。攻撃者は、専用インスタンスで登録されているデバイスの MAC アドレスが分かっている場合、許可なく SIP デバイス/ ソフトウェアを専用インスタンスに登録できます。

  • Expressway-E 通話ポリシー、変換、検索ルールは、有料の不正行為を防ぐために構成される必要があります。Expressway による有料不正の防止に関する詳細は、「コラボレーション SRND Expressway Expressway E セクションのセキュリティ」を参照してください

  • ユーザが許可されている宛先(国内/国際ダイヤルを禁止する、緊急通話が適切にルーティングされるなど)のみをダイヤルできるようにするためのダイヤル プランの設定。ダイヤル プランを使用した制限の適用の詳細については、コラボレーション SRND の [ダイヤル プラン] セクションを参照してください。

専用インスタンスでセキュアな接続のための証明書要件

専用インスタンスについては、Cisco はパブリック証明機関 (CA) を使用して、ドメインを提供し、UC アプリケーションのすべての証明書に署名します。

専用インスタンス – ポート番号とプロトコル

次の表では、専用インスタンスでサポートされているポートとプロトコルを説明しています。特定の顧客に使用されるポートは、顧客の展開とソリューションによって異なります。プロトコルは、顧客の好み (SCCP と SIP)、既存のオンプレミス デバイス、および各展開で使用するポートを決定するセキュリティレベルによって異なります。

専用インスタンスは、通話中機能など、通話フロー機能の一部が機能しないため、エンドポイントと Unified CM 間のネットワーク アドレス変換(NAT)を許可しません。

専用インスタンス – 顧客ポート

顧客が利用できるポート - 顧客のオンプレミスと専用インスタンスの間のポートは表 1 の専用インスタンスの顧客ポートに示されています。下にリストされているポートはすべて、ピアリンクをトラバーサルする顧客トラフィック用です。

SNMP ポートは、Cisco Emergency Responder がその機能をサポートするために、デフォルトでのみ開いています。専用インスタンス クラウドに展開された UC アプリケーションを監視するパートナーや顧客をサポートしていないため、他の UC アプリケーションの SNMP ポートを開くことは許可していません。

5063 ~ 5080 の範囲のポートは、他のクラウド統合、パートナー、または顧客管理者が設定でこれらのポートを使用しないことを推奨します。

表 2. 専用インスタンスの顧客ポート

プロトコル

TCP/UDP

ソース

移動先

ソースポート

移動先ポート

目的

Ssh

TCP

クライアント

UC アプリケーション

Cisco Expressway アプリケーションでは許可されていません。

1023 を超える

22

管理

TFTP

UDP

エンドポイント

Unified CM

1023 を超える

69

レガシー エンドポイントのサポート

LDAP

TCP

UC アプリケーション

外部ディレクトリ

1023 を超える

389

顧客 LDAP へのディレクトリ同期

HTTPS

TCP

ブラウザ

UC アプリケーション

1023 を超える

443

セルフケアと管理インターフェイスのためのウェブ アクセス

アウトバウンドメール (セキュア)

TCP

UC アプリケーション

CUCxn

1023 を超える

587

指定された受信者に安全なメッセージを作成および送信するために使用されます。

LDAP (セキュア)

TCP

UC アプリケーション

外部ディレクトリ

1023 を超える

636

顧客 LDAP へのディレクトリ同期

H323

TCP

ゲートウェイ

Unified CM

1023 を超える

1720

通話信号

H323

TCP

Unified CM

Unified CM

1023 を超える

1720

通話信号

Sccp

TCP

エンドポイント

Unified CM、CUCxn

1023 を超える

2000

通話信号

Sccp

TCP

Unified CM

Unified CM、ゲートウェイ

1023 を超える

2000

通話信号

MGCP

UDP

ゲートウェイ

ゲートウェイ

1023 を超える

2427

通話信号

MGCP バックホール

TCP

ゲートウェイ

Unified CM

1023 を超える

2428

通話信号

SCCP (セキュア)

TCP

エンドポイント

Unified CM、CUCxn

1023 を超える

2443

通話信号

SCCP (セキュア)

TCP

Unified CM

Unified CM、ゲートウェイ

1023 を超える

2443

通話信号

信頼の検証

TCP

エンドポイント

Unified CM

1023 を超える

2445

信頼確認サービスをエンドポイントに提供

Cti

TCP

エンドポイント

Unified CM

1023 を超える

2748

CTI アプリケーション (JTAPI/TSP) と CTIManager の間の接続

セキュアな CTI

TCP

エンドポイント

Unified CM

1023 を超える

2749

CTI アプリケーション (JTAPI/TSP) と CTIManager の間の安全な接続

LDAP グローバル カタログ

TCP

UC アプリケーション

外部ディレクトリ

1023 を超える

3268

顧客 LDAP へのディレクトリ同期

LDAP グローバル カタログ

TCP

UC アプリケーション

外部ディレクトリ

1023 を超える

3269

顧客 LDAP へのディレクトリ同期

CAPF サービス

TCP

エンドポイント

Unified CM

1023 を超える

3804

ローカルで重要な証明書 (LSC) を IP 電話に発行する認証局のプロキシ機能 (CAPF) リスニング ポート

SIP

TCP

エンドポイント

Unified CM、CUCxn

1023 を超える

5060

通話信号

SIP

TCP

Unified CM

Unified CM、ゲートウェイ

1023 を超える

5060

通話信号

SIP (セキュア)

TCP

エンドポイント

Unified CM

1023 を超える

5061

通話信号

SIP (セキュア)

TCP

Unified CM

Unified CM、ゲートウェイ

1023 を超える

5061

通話信号

SIP (OAUTH)

TCP

エンドポイント

Unified CM

1023 を超える

5090

通話信号

Xmpp

TCP

Jabber クライアント

Cisco IM&P

1023 を超える

5222

インスタントメッセージとプレゼンス

HTTP

TCP

エンドポイント

Unified CM

1023 を超える

6970

構成と画像をエンドポイントにダウンロードする

HTTPS

TCP

エンドポイント

Unified CM

1023 を超える

6971

構成と画像をエンドポイントにダウンロードする

HTTPS

TCP

エンドポイント

Unified CM

1023 を超える

6972

構成と画像をエンドポイントにダウンロードする

HTTP

TCP

Jabber クライアント

CUCxn

1023 を超える

7080

ボイスメール通知

HTTPS

TCP

Jabber クライアント

CUCxn

1023 を超える

7443

セキュアなボイスメール通知

HTTPS

TCP

Unified CM

Unified CM

1023 を超える

7501

証明書ベースの認証のために Intercluster Lookup Service (ILS) で使用されます

HTTPS

TCP

Unified CM

Unified CM

1023 を超える

7502

パスワードベースの認証のために ILS で使用される

Imap

TCP

Jabber クライアント

CUCxn

1023 を超える

7993

IMAP over TLS

HTTP

TCP

エンドポイント

Unified CM

1023 を超える

8080

レガシーエンドポイントサポートのディレクトリ URI

HTTPS

TCP

ブラウザ、エンドポイント

UC アプリケーション

1023 を超える

8443

セルフケアと管理のインターフェイス、UDSのためのウェブ アクセス

HTTPS

TCP

電話

Unified CM

1023 を超える

9443

認証された連絡先検索

HTTP

TCP

エンドポイント

Unified CM

1023 を超える

9444

ヘッドセット管理機能

セキュアな RTP/SRTP

UDP

Unified CM

電話

16384 ~ 32767 *

16384 ~ 32767 *

メディア (音声) - 保留時の音楽、アナシエトール、ソフトウェア会議ブリッジ (通話信号に基づいて開く)

セキュアな RTP/SRTP

UDP

電話

Unified CM

16384 ~ 32767 *

16384 ~ 32767 *

メディア (音声) - 保留時の音楽、アナシエトール、ソフトウェア会議ブリッジ (通話信号に基づいて開く)

コブラス

TCP

クライアント

CUCxn

1023 を超える

20532

アプリケーション スイートのバックアップと復元

Icmp

Icmp

エンドポイント

UC アプリケーション

該当せず

該当せず

Ping

Icmp

Icmp

UC アプリケーション

エンドポイント

該当せず

該当せず

Ping

DNS UDP および TCP

DNS フォワーダ

専用インスタンス DNS サーバー

1023 を超える

53

専用インスタンス DNS サーバーへの顧客のプレミス DNS フォワーダ。詳細については、「DNS 要件 」を参照してください。

* 一部の特殊なケースでは、さらに多くの範囲が使用される場合があります。

専用インスタンス – OTT ポート

次のポートは、モバイルおよびリモートアクセス (MRA) セットアップの顧客とパートナーが使用できます。

表 3。 OTT のポート

プロトコル

TCP/UCP

ソース

移動先

ソースポート

移動先ポート

目的

セキュア RTP/RTCP

UDP

Expressway C

クライアント

1023 を超える

36000-59999

MRA および B2B 通話のためのセキュアなメディア

マルチテナントと専用インスタンスの間の接続型 SIP トランク(登録ベースのトランクのみ)

マルチテナントと専用インスタンス間の登録ベースの SIP トランク接続について、顧客のファイアウォールで次のポートのリストを許可する必要があります。

表 4. 登録ベースのトランクのポート

プロトコル

TCP/UCP

ソース

移動先

ソースポート

移動先ポート

目的

rtp/rtcp

UDP

Webex Calling マルチテナント

クライアント

1023 を超える

8000-48198

Webex Calling マルチテナントからのメディア

専用インスタンス – UCCX ポート

以下のポートのリストは、顧客とパートナーが UCCX を構成するために使用できます。

表 5. Cisco UCCX ポート

プロトコル

TCP / UCP

ソース

移動先

ソースポート

移動先ポート

目的

Ssh

TCP

クライアント

UCCX

1023 を超える

22

SFTP と SSH

Informix

TCP

クライアントまたはサーバー

UCCX

1023 を超える

1504

Contact Center Express データベース ポート

SIP

UDP および TCP

SIP SIP または MCRP サーバー

UCCX

1023 を超える

5065

リモートハードウェアおよび MCRP ノードへの通信

Xmpp

TCP

クライアント

UCCX

1023 を超える

5223

Finesse サーバーとカスタムサードパーティアプリケーション間のセキュアな XMPP 接続

Cvd

TCP

クライアント

UCCX

1023 を超える

6999

CCX アプリケーション用エディタ

HTTPS

TCP

クライアント

UCCX

1023 を超える

7443

Finesse サーバーとエージェントとスーパーバイザーデスクトップ間の安全な BOSH 接続の HTTPS 経由の通信

HTTP

TCP

クライアント

UCCX

1023 を超える

8080

ライブ データ レポート クライアントが socket.IO サーバーに接続されます

HTTP

TCP

クライアント

UCCX

1023 を超える

8081

クライアントのブラウザが Intelligence Center のCisco Unifiedにアクセスしようとしている

HTTP

TCP

クライアント

UCCX

1023 を超える

8443

SOAP 経由の管理者 GUI、RTMT、DB アクセス

HTTPS

TCP

クライアント

UCCX

1023 を超える

8444

Cisco Unified Intelligence Center ウェブインターフェイス

HTTPS

TCP

ブラウザおよび REST クライアント

UCCX

1023 を超える

8445

Finesse のセキュアなポート

HTTPS

TCP

クライアント

UCCX

1023 を超える

8447

HTTPS - Unified Intelligence Center オンラインヘルプ

HTTPS

TCP

クライアント

UCCX

1023 を超える

8553

シングル サインオン (SSO) コンポーネントはこのインターフェイスにアクセスして、Cisco IdS のオペレーティング ステータスを把握します。

HTTP

TCP

クライアント

UCCX

1023 を超える

9080

HTTP トリガーまたはドキュメント / プロンプト / 文法 / ライブ データにアクセスしようとするクライアント。

HTTPS

TCP

クライアント

UCCX

1023 を超える

9443

HTTPS トリガーにアクセスしようとするクライアントに応答するために使用される安全なポート

TCP

TCP

クライアント

UCCX

1023 を超える

12014

これは、ライブ データ レポート クライアントが socket.IO サーバに接続できるポートです。

TCP

TCP

クライアント

UCCX

1023 を超える

12015

これは、ライブ データ レポート クライアントが socket.IO サーバに接続できるポートです。

Cti

TCP

クライアント

UCCX

1023 を超える

12028

サードパーティ CTI クライアントから CCX

RTP (メディア)

TCP

エンドポイント

UCCX

1023 を超える

1023 を超える

メディア ポートは、必要に応じて動的に開きます

RTP (メディア)

TCP

クライアント

エンドポイント

1023 を超える

1023 を超える

メディア ポートは、必要に応じて動的に開きます

クライアントのセキュリティ

SIP OAuth で Jabber および Webex を保護する

Jabber および Webex クライアントは、ローカルに重要な証明書 (LSC) の代わりに Oauth トークンを通じて認証されます。これは、認証機関のプロキシ機能 (CAPF も同様に) 有効化を必要としません。混合モードで動作するまたは混合モードを使用しない SIP Oauth は、Cisco Unified CM 12.5(1)、Jabber 12.5、および Expressway X12.5 で導入されました。

Cisco Unified CM 12.5 では、SIP 登録の単一 Transport Layer Security (TLS) + Oauth トークンを使用して、LSC/CAPF なしの暗号化を有効にする電話セキュリティ プロファイルの新しいオプションがあります。Expressway-C ノードは Administrative XML Web Service (AXL) API を使用して、証明書の SN/SAN について Cisco Unified CM に通知します。Cisco Unified CM はこの情報を使用して、ユーザーの接続を確立する際に Exp-Cert 相互 TLSします。

SIP OAuth は、エンドポイント証明書 (LSC) なしで、メディアとシグナリング暗号化を有効にします。

Cisco Jabber は TFTP サーバーへの HTTPS 接続経由で一時的ポートとセキュアポート 6971 および 6972 ポートを使用して構成ファイルをダウンロードします。ポート 6970 は、HTTP 経由でダウンロードするための非セキュアなポートです。

SIP Oauth 構成に関する詳細:SIP OAuth モード

DNS の要件

専用インスタンスの場合、Cisco は各地域のサービスに対して FQDN を次の形式で提供します。。.wxc-di.webex.com 例: xyz.amer.wxc-di.webex.com

「顧客」の値は、初回セットアップ ウィザード (FTSW) の一部として管理者により提供されます。詳細については、専用インスタンスサービスの アクティベーションを参照してください

このシステムの DNS FQDN、顧客の内部 DNS サーバーから解決可能で、専用インスタンスに接続されているオンプレミスデバイスをサポートする必要があります。解決を促進するには、顧客の DNS サーバーが専用インスタンス DNS サービスを指しているこのFQDN、条件付きフォワードを設定する必要があります。専用インスタンス DNS サービスは地域であり、次の表の 専用インスタンス DNS サービス IP アドレスに記載されている次の IP アドレスを使用して、専用インスタンスにピアリングすることで到達できます。

表 6 専用インスタンス DNS サービス IP アドレス

地域/DC

専用インスタンス DNS サービス IP アドレス

条件転送の例

アメリカ

<customer>.amer.wxc-di.webex.com

Sjc

69.168.17.100

Dfw

69.168.17.228

欧州、中東、アフリカ

<customer>.emea.wxc-di.webex.com

経度

178.215.138.100

Ams

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

178.215.131.100

Ams

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

103.232.71.100

トキー

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

メル

178.215.128.100

Syd

178.215.128.228

英国

<customer>.uk.wxc-di.webex.com

経度

178.215.135.100

男性

178.215.135.228

セキュリティ上の理由から、上記の DNS サーバー IP アドレスに対する ping オプションが無効になります。

条件付き転送が行されるまで、デバイスはピアリンク経由で顧客の内部ネットワークから専用インスタンスに登録できません。MRA を促進するために必要なすべての外部 DNS レコードが Cisco により事前に準備されるので、モバイルおよび Remote Access (MRA) 経由での登録に、条件付き転送は必要ありません。

Webex アプリケーションを専用インスタンスの通話ソフト クライアントとして使用する場合、各地域の音声サービス ドメイン (VSD) に対して、UC Manager Profile を Control Hub で構成する必要があります。詳細については、サイトの UC Manager プロファイルをCisco Webex Control Hub。Webex アプリケーションは、エンドユーザーの介入無しに、自動的に顧客の Expressway Edge を解決することができます。

サービスのアクティベーションが完了すると、パートナー アクセスドキュメントの一部として音声サービスドメインが顧客に提供されます。

電話機の DNS 解決にローカル ルータを使用

社内 DNS サーバーにアクセスできない電話機の場合、ローカル Cisco ルータを使用して、DNS 要求を専用インスタンスのクラウド DNS に転送できます。これにより、ローカル DNS サーバーを展開する必要がなくなり、キャッシュを含む完全な DNS サポートが提供されます。

設定の例 :

!

IP DNS サーバー

ip name-server <DI DNS サーバー IP DC1> <DI DNS サーバー IP DC2>

!

この展開モデルにおける DNS の使用状況は電話機に固有であり、顧客専用インスタンスのドメインでの FQDN の解決にのみ使用できます。

電話機 DNS の解決