전용 인스턴스의 네트워크 요구 사항

Webex Calling 전용 인스턴스는 Cisco Unified Communications Manager(Cisco Unified CM) 협업 기술을 기반으로 하는 Cisco Cloud Calling 포트폴리오의 일부입니다. 전용 인스턴스는 전용 인스턴스에 안전하게 연결되는 Cisco IP 폰, 모바일 장치, 데스크탑 클라이언트의 기능과 이점을 갖춘 음성, 비디오, 메시징 및 이동성 솔루션을 제공합니다.

이 문서는 조직 내에서 전용 인스턴스를 사용하고자 하는 네트워크 관리자, 특히 방화벽 및 프록시 보안 관리자를 위해 작성되었습니다. 이 문서는 물리적 보안 액세스, 보안 네트워크, 보안 엔드포인트, 보안 Cisco UC 응용프로그램을 제공하는 특징과 기능에 대한 계층적 접근을 포함하여 전용 인스턴스 솔루션의 네트워크 요구 사항 및 보안에 주로 중점을 둡니다.

전용 인스턴스의 보안 연결을 위한 인증서 요구 사항

Webex Calling 전용 인스턴스의 경우, Cisco는 도메인을 제공하고 공용 CA(인증 기관)를 사용하여 UC 응용프로그램에 대한 모든 인증서에 서명합니다.

전용 인스턴스 – 포트 번호 및 프로토콜

다음 표에서는 전용 인스턴스에서 지원되는 포트와 프로토콜에 대해 설명합니다. 특정 고객에게 사용되는 포트는 고객의 배포 및 솔루션에 따라 달라집니다. 프로토콜은 고객의 기본 설정(SCCP 대 SIP), 기존 온-프레미스 장치, 각 배포에서 사용할 포트를 결정하기 위한 보안 수준에 따라 달라집니다.

전용 인스턴스 – 고객 포트

고객 구내와 전용 인스턴스 간에 고객이 사용할 수 있는 포트는 표 1 전용 인스턴스 고객 포트에 나와 있습니다. 아래에 나열된 모든 포트는 피어링 링크를 통과하는 고객 트래픽용입니다.


SNMP 포트는 CER 기능에 대해서만 지원되며 모든 타사 모니터링 도구에는 지원되지 않습니다.

표 1. 전용 인스턴스 고객 포트

프로토콜

TCP/UCP

소스

대상

소스 포트

대상 포트

목적

SSH

TCP

클라이언트

UC 응용프로그램

1023보다 큼

22

관리

LDAP

TCP

UC 응용프로그램

외부 디렉터리

1023보다 큼

389

고객 LDAP에 대한 디렉터리 동기화

HTTPS

TCP

브라우저

UC 응용프로그램

1023보다 큼

443

셀프서비스 및 관리 인터페이스를 위한 웹 액세스

LDAP(SECURE)

TCP

UC 응용프로그램

외부 디렉터리

1023보다 큼

636

고객 LDAP에 대한 디렉터리 동기화

SCCP

TCP

엔드포인트

Unified CM, CUCxn

1023보다 큼

2000

통화 신호

SCCP

TCP

Unified CM

Unified CM, Gateway

1023보다 큼

2000

통화 신호

SCCP(SECURE)

TCP

엔드포인트

Unified CM, CUCxn

1023보다 큼

2443

통화 신호

SCCP(SECURE)

TCP

Unified CM

Unified CM, Gateway

1023보다 큼

2443

통화 신호

신뢰 검증

TCP

엔드포인트

Unified CM

1023보다 큼

2445

엔드포인트에 대한 신뢰 검증 서비스 제공

CTI

TCP

엔드포인트

Unified CM

1023보다 큼

2748

CTI 응용프로그램(JTAPI/TSP)과 CTIManager 간의 연결

Secure CTI

TCP

엔드포인트

Unified CM

1023보다 큼

2749

CTI 응용프로그램(JTAPI/TSP)과 CTIManager 간의 보안 연결

LDAP 글로벌 카탈로그

TCP

UC 응용프로그램

외부 디렉터리

1023보다 큼

3268

고객 LDAP에 대한 디렉터리 동기화

LDAP 글로벌 카탈로그

TCP

UC 응용프로그램

외부 디렉터리

1023보다 큼

3269

고객 LDAP에 대한 디렉터리 동기화

CAPF 서비스

TCP

엔드포인트

Unified CM

1023보다 큼

3804

IP Phone에 LSC(Locally Significant Certificate)를 발급하기 위한 CAPF(Certificate Authority Proxy Function) 수신 포트

SIP

TCP

엔드포인트

Unified CM, CUCxn

1023보다 큼

5060

통화 신호

SIP

TCP

Unified CM

Unified CM, Gateway

1023보다 큼

5060

통화 신호

SIP(SECURE)

TCP

엔드포인트

Unified CM

1023보다 큼

5061

통화 신호

SIP(SECURE)

TCP

Unified CM

Unified CM, Gateway

1023보다 큼

5061

통화 신호

SIP(OAUTH)

TCP

엔드포인트

Unified CM

1023보다 큼

5090

통화 신호

XMPP

TCP

Jabber Client

Cisco IM&P

1023보다 큼

5222

인스턴트 메시징 및 프레즌스

HTTP

TCP

엔드포인트

Unified CM

1023보다 큼

6970

엔드포인트에 대한 구성 및 이미지 다운로드

HTTPS

TCP

엔드포인트

Unified CM

1023보다 큼

6971

엔드포인트에 대한 구성 및 이미지 다운로드

HTTPS

TCP

엔드포인트

Unified CM

1023보다 큼

6972

엔드포인트에 대한 구성 및 이미지 다운로드

HTTP

TCP

Jabber Client

CUCxn

1023보다 큼

7080

보이스메일 알림

HTTPS

TCP

Jabber Client

CUCxn

1023보다 큼

7443

보이스메일 알림 보안

HTTPS

TCP

Unified CM

Unified CM

1023보다 큼

7501

인증서 기반 인증을 위해 ILS(Intercluster Lookup Service)에서 사용

HTTPS

TCP

Unified CM

Unified CM

1023보다 큼

7502

암호 기반 인증을 위해 ILS에서 사용

IMAP

TCP

Jabber Client

CUCxn

1023보다 큼

7993

IMAP over TLS

HTTPS

TCP

브라우저, 엔드포인트

UC 응용프로그램

1023보다 큼

8443

셀프서비스 및 관리 인터페이스를 위한 웹 액세스, UDS

HTTPS

TCP

온-프레미스

Unified CM

1023보다 큼

9443

인증된 연락처 검색

Secure RTP/SRTP

UDP

Unified CM

전화

16384~32767 *

16384~32767 *

미디어(오디오) - MOH(Music on Hold), Annunciator, Software Conference Bridge(통화 신호에 따라 열기)

Secure RTP/SRTP

UDP

전화

Unified CM

16384~32767 *

16384~32767 *

미디어(오디오) - MOH(Music on Hold), Annunciator, Software Conference Bridge(통화 신호에 따라 열기)

ICMP

ICMP

엔드포인트

UC 응용프로그램

해당사항 없음

해당사항 없음

ICMP

ICMP

UC 응용프로그램

엔드포인트

해당사항 없음

해당사항 없음

* 특정한 특수 경우에는 더 큰 범위를 사용할 수 있습니다.

전용 인스턴스 – OTT 포트

다음 포트 목록은 고객 및 파트너가 MRA(Mobile and Remote Access) 설정에 사용할 수 있습니다.

표 2. OTT용 포트 목록

프로토콜

TCP/UCP

소스

대상

소스 포트

대상 포트

목적

SECURE SIP

TCP

엔드포인트

Expressway E

1023보다 큼

5061

MRA 등록 및 통화에 대한 Secure SIP 신호

SECURE SIP

TCP

엔드포인트/서버

Expressway E

1023보다 큼

5062

B2B 통화를 위한 Secure SIP

SECURE RTP/RTCP

UDP

엔드포인트/서버

Expressway E

1023보다 큼

36000-59999

MRA 및 B2B 통화용 보안 미디어

HTTPS(SECURE)

TLS

클라이언트

Expressway E

1023보다 큼

8443

MRA 통화용 CUCM UDS 및 CUCxn REST

XMLS

TLS

클라이언트

Expressway E

1023보다 큼

5222

IM and Presence

돌아가기

UDP

ICE Client

Expressway E

1023보다 큼

3478

ICE/STUN/TURN 협상

SECURE RTP/RTCP

UPD

ICE Client

Expressway E

1023보다 큼

24000-29999

ICE 폴백을 위한 TURN 미디어

전용 인스턴스 – UCCX 포트

다음 포트 목록은 고객 및 파트너가 UCCX를 구성하는 데 사용할 수 있습니다.

표 3. Cisco UCCX 포트

프로토콜

TCP / UCP

소스

대상

소스 포트

대상 포트

목적

SSH

TCP

클라이언트

UCCX

1023보다 큼

22

SFTP 및 SSH

Informix

TCP

클라이언트 또는 서버

UCCX

1023보다 큼

1504

Unified CCX 데이터베이스 포트

SIP

UDP 및 TCP

SIP GW 또는 MCRP 서버

UCCX

1023보다 큼

5065

원격 GW 및 MCRP 노드에 대한 통신

XMPP

TCP

클라이언트

UCCX

1023보다 큼

5223

Finesse 서버와 사용자 정의 타사 응용프로그램 간의 Secure XMPP 연결

CVD

TCP

클라이언트

UCCX

1023보다 큼

6999

CCX 응용프로그램 편집기

HTTPS

TCP

클라이언트

UCCX

1023보다 큼

7443

HTTPS를 통한 통신을 위해 Finesse 서버와 에이전트 및 수퍼바이저 데스크탑 간의 Secure BOSH 연결

HTTP

TCP

클라이언트

UCCX

1023보다 큼

8080

라이브 데이터 보고 클라이언트가 socket.IO 서버에 연결

HTTP

TCP

클라이언트

UCCX

1023보다 큼

8081

Cisco Unified Intelligence Center 웹 인터페이스에 액세스하려는 클라이언트 브라우저

HTTP

TCP

클라이언트

UCCX

1023보다 큼

8443

SOAP를 통한 Admin GUI, RTMT, DB 액세스

HTTPS

TCP

클라이언트

UCCX

1023보다 큼

8444

Cisco Unified Intelligence Center 웹 인터페이스

HTTPS

TCP

브라우저 및 REST 클라이언트

UCCX

1023보다 큼

8445

Finesse용 보안 포트

HTTPS

TCP

클라이언트

UCCX

1023보다 큼

8447

HTTPS - Unified Intelligence Center 온라인 도움말

HTTPS

TCP

클라이언트

UCCX

1023보다 큼

8553

SSO(Single Sign-On) 구성 요소는 이 인터페이스에 액세스하여 Cisco IdS의 작동 상태를 파악합니다.

HTTP

TCP

클라이언트

UCCX

1023보다 큼

9080

HTTP 트리거 또는 문서/프롬프트/문법/라이브 데이터에 액세스하려는 클라이언트.

HTTPS

TCP

클라이언트

UCCX

1023보다 큼

9443

HTTPS 트리거에 액세스하려는 클라이언트에 응답하는 데 사용되는 보안 포트

TCP

TCP

클라이언트

UCCX

1023보다 큼

12014

이 포트는 라이브 데이터 보고 클라이언트가 socket.IO 서버에 연결할 수 있는 포트입니다.

TCP

TCP

클라이언트

UCCX

1023보다 큼

12015

이 포트는 라이브 데이터 보고 클라이언트가 socket.IO 서버에 연결할 수 있는 포트입니다.

CTI

TCP

클라이언트

UCCX

1023보다 큼

12028

CCX에 대한 타사 CTI 클라이언트

RTP(미디어)

TCP

엔드포인트

UCCX

1023보다 큼

1023보다 큼

미디어 포트는 필요에 따라 동적으로 열립니다.

RTP(미디어)

TCP

클라이언트

엔드포인트

1023보다 큼

1023보다 큼

미디어 포트는 필요에 따라 동적으로 열립니다.

클라이언트 보안

SIP OAuth로 Jabber 및 Webex 보안

Jabber 및 Webex 클라이언트는 CAPF(Certificate Authority Proxy Function) 활성화가 필요하지 않은 LSC(Locally Significant Certificate) 대신 OAuth 토큰을 통해 인증됩니다(MRA의 경우에도 마찬가지). 혼합 모드를 사용하거나 사용하지 않고 작동하는 SIP OAuth가 Cisco Cisco Unified CM 12.5(1), Jabber 12.5, Expressway X12.5에 도입되었습니다.

Cisco Unified CM 12.5에는 SIP REGISTER의 단일 TLS(Transport Layer Security) + OAuth 토큰을 사용하여 LSC/CAPF 없이 암호화를 활성화하는 Phone Security Profile의 새로운 옵션이 있습니다. Expressway-C 노드는 AXL(Administrative XML Web Service) API를 사용하여 Cisco Unified CM에 인증서의 SN/SAN을 알립니다. Cisco Unified CM은 상호 TLS 연결을 설정할 때 이 정보를 사용하여 Exp-C 인증서를 확인합니다.

SIP OAuth는 엔드포인트 인증서(LSC) 없이 미디어 및 신호 암호화를 활성화합니다.

Cisco Jabber는 TFTP 서버에 대한 HTTPS 연결을 통해 임시 포트와 보안 포트 6971 및 6972 포트를 사용하여 구성 파일을 다운로드합니다. 포트 6970은 HTTP를 통해 다운로드하기 위한 비보안 포트입니다.

SIP OAuth 구성에 대한 자세한 내용: SIP OAuth 모드.

DNS 요구 사항

전용 인스턴스의 경우, Cisco는 <customer>.<region>.wxc-di.webex.com 형식(예: xyz.amer.wxc-di.webex.com)으로 각 지역의 서비스에 대한 FQDN을 제공합니다.

‘고객’ 값은 관리자가 FTSW(First Time Setup Wizard)의 일부로 제공합니다. 자세한 정보는 전용 인스턴스 서비스 활성화를 참조하십시오.

이 FQDN에 대한 DNS 레코드는 전용 인스턴스에 연결하는 온-프레미스 장치를 지원하기 위해 고객의 내부 DNS 서버에서 확인할 수 있어야 합니다. 확인을 쉽게 하려면 고객은 전용 인스턴스 DNS 서비스를 가리키는 DNS 서버에서 이 FQDN에 대해 조건부 전달자를 구성해야 합니다. 전용 인스턴스 DNS 서비스는 지역적이며 전용 인스턴스에 대한 피어링을 통해 아래 표 전용 인스턴스 DNS 서비스 IP 주소에 언급된 대로 다음 IP 주소를 사용하여 연결할 수 있습니다.

표 4. 전용 인스턴스 DNS 서비스 IP 주소

지역/DC

전용 인스턴스 DNS 서비스 IP 주소

조건부 전달 예시

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

SIN

103.232.71.288

조건부 전달이 이루어질 때까지 장치는 피어링 링크를 통해 고객 내부 네트워크에서 전용 인스턴스에 등록할 수 없습니다. MRA(Mobile and Remote Access)를 통한 등록에는 조건부 전달이 필요하지 않습니다. MRA를 쉽게 하는 데 필요한 모든 외부 DNS 레코드를 Cisco에서 미리 프로비저닝하기 때문입니다.

Webex 응용프로그램을 전용 인스턴스에서 통화 소프트 클라이언트로 사용하는 경우, 각 지역의 VSD(Voice Service Domain)에 대해 Control Hub에서 UC 관리자 프로필을 구성해야 합니다. 자세한 정보는 Cisco Webex Control Hub에서 UC 관리자 프로필을 참조하십시오. Webex 응용프로그램은 최종 사용자 개입 없이 고객의 Expressway Edge를 자동으로 해결할 수 있습니다.


VSD(Voice Service Domain)는 서비스 활성화가 완료되면 파트너 액세스 문서의 일부로 고객에게 제공됩니다.