전용 인스턴스에 대한 네트워크 요구 사항

Webex Calling 전용 인스턴스는 Cisco Unified Communications Manager (Cisco Unified CM ) 협업 기술을 기반으로 하는 Cisco 클라우드 Calling 포트폴리오의 일부입니다. 전용 인스턴스는 전용 인스턴스에 안전하게 연결되는 Cisco IP 폰, 모바일 디바이스 및 데스크탑 클라이언트의 기능과 이점을 갖춘 음성, 비디오, 메시징 및 이동성 솔루션을 제공합니다.

이 문서는 네트워크 관리자, 특히 조직 내에서 전용 인스턴스를 사용하려는 방화벽 및 프록시 보안 관리자를 대상으로 합니다.

보안 개요: 레이어 보안

전용 인스턴스 보안을 위해 계층화된 접근 방식을 사용합니다. 레이어에는 다음이 포함됩니다.

  • 물리적 액세스

  • 네트워크

  • 엔드포인트

  • UC 응용 프로그램

다음 섹션에서는 의 보안 계층에 대해 설명합니다. 전용 인스턴스 배포.

물리적 보안

Equinix Meet-Me Room 위치 및 Cisco 에 물리적 보안을 제공하는 것이 중요합니다. 전용 인스턴스 데이터 센터 시설. 물리적 보안이 손상되면 고객의 스위치에 대한 전원을 차단하여 서비스 중단과 같은 간단한 공격을 시작할 수 있습니다. 물리적 액세스를 통해 공격자는 서버 장치에 액세스하고, 비밀번호를 재설정하고, 스위치에 액세스할 수 있습니다. 또한 물리적 액세스는 메시지 가로채기(man-in-the-middle) 공격과 같은 보다 정교한 공격을 용이하게 하므로 두 번째 보안 계층인 네트워크 보안이 중요합니다.

자체 암호화 드라이브는 다음에서 사용됩니다. 전용 인스턴스 UC 애플리케이션을 호스팅하는 데이터 센터.

일반 보안 사례에 대한 자세한 내용은 다음 위치에 있는 설명서를 참조하십시오. https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

네트워크 보안

파트너는 모든 네트워크 요소가 전용 인스턴스 인프라(Equinix를 통해 연결됨). 다음과 같은 보안 모범 사례 를 확인하는 것은 파트너의 책임입니다.

  • 음성 및 데이터에 대해 별도의 VLAN

  • CAM 테이블 플러딩에 대해 포트당 허용되는 MAC 주소 수를 제한하는 포트 보안 활성화

  • 스푸핑된 IP 주소에 대한 IP 소스 가드

  • DAI(Dynamic ARP Inspection)는 ARP(Address Resolution Protocol) 및 GARP(Gratuitous ARP)에서 위반 사항을 검사합니다(ARP 스푸핑 방지).

  • 802.1x 할당된 VLAN에서 장치를 인증하기 위해 네트워크 액세스를 제한합니다(전화기는 802.1x )

  • 음성 패킷의 적절한 표시를 위한 QoS(서비스 품질) 구성

  • 다른 트래픽을 차단하기 위한 방화벽 포트 구성

엔드포인트 보안

Cisco 엔드포인트는 엔드포인트에 특정 수준의 보안을 제공하는 서명된 펌웨어, 보안 부팅(선택된 모델), 제조업체 설치 인증서(MIC) 및 서명된 구성 파일과 같은 기본 보안 기능을 지원합니다.

또한 파트너 또는 고객은 다음과 같은 추가 보안을 활성화할 수 있습니다.

  • Extension Mobility 과 같은 서비스에 대해 IP 전화기 서비스 암호화(HTTPS를 통해)

  • CAPF ( CAPF (인증센터 프록시 기능) ) 또는 공용 CA(인증 기관)에서 LSC(Locally Important Certificate) 발급

  • 구성 파일 암호화

  • 미디어 및 신호 암호화

  • 다음 설정이 사용되지 않는 경우 비활성화합니다. PC 포트, PC 음성 VLAN 액세스, Gratuitous ARP, 웹 액세스, 설정 버튼, SSH, 콘솔

보안 메커니즘 구현 전용 인스턴스 전화기 및 통합 CM 서버 의 ID 도용, 데이터 변조 및 통화 신호/미디어 스트림 변조를 방지합니다.

전용 인스턴스 네트워크를 통해:

  • 인증된 통신 스트림을 설정하고 유지합니다.

  • 파일을 전화기로 전송하기 전에 파일에 디지털 서명

  • Cisco Unified IP Phone 간의 미디어 스트림 및 통화 신호 암호화

기본 보안 설정

기본적으로 보안은 Cisco Unified IP Phone에 대해 다음과 같은 자동 보안 기능을 제공합니다.

  • 전화기 설정 파일 서명

  • 전화기 설정 파일 암호화 지원

  • Tomcat 및 기타 웹 서비스(MIDlet)가 포함된 HTTPS

Unified CM 릴리스 8.0 이상의 경우 이러한 보안 기능은 인증서 신뢰 목록(CTL) 클라이언트를 실행하지 않고 기본적으로 제공됩니다.

신뢰 확인 서비스

네트워크에 많은 수의 전화기가 있고 IP 전화기의 메모리가 제한되어 있기 때문에 Cisco Unified CM 은 TVS(신뢰 확인 서비스)를 통해 원격 신뢰 저장소로 작동하므로 인증서 신뢰 저장소를 각 전화기에 배치할 필요가 없습니다. Cisco IP 전화기는 CTL 또는 ITL 파일을 통해 서명 또는 인증서를 확인할 수 없기 때문에 확인을 위해 TVS 서버에 연결합니다. 중앙 신뢰 저장소를 갖는 것은 각 Cisco Unified IP 전화기 에 신뢰 저장소를 두는 것보다 관리하기 쉽습니다.

TVS 를 사용하면 HTTPS 설정 중에 Cisco Unified IP Phone에서 EM 서비스, 디렉터리 및 MIDlet과 같은 애플리케이션 서버를 인증할 수 있습니다.

초기 신뢰 목록

엔드포인트가 Cisco Unified CM 을 신뢰할 수 있도록 초기 보안에 대해 ITL(초기 신뢰 목록) 파일이 사용됩니다. ITL은 보안 기능을 명시적으로 활성화할 필요가 없습니다. ITL 파일은 클러스터가 설치될 때 자동으로 생성됩니다. Unified CM TFTP(TFTP File Transfer Protocol) 서버의 개인 키는 ITL 파일에 서명하는 데 사용됩니다.

Cisco Unified CM 클러스터 또는 서버가 보안 모드 인 경우, ITL 파일은 지원되는 모든 Cisco IP 전화기 에 다운로드됩니다. 파트너는 CLI 명령어 admin:show itl을 사용하여 ITL 파일의 내용을 볼 수 있습니다.

Cisco IP 전화기에서 다음 작업을 수행하려면 ITL 파일이 필요합니다.

  • 설정 파일 암호화를 지원하기 위한 전제 조건인 CAPF 와 안전하게 통신합니다.

  • 설정 파일 서명 인증

  • TVS 를 사용하여 HTTPS 설정 중에 EM 서비스, 디렉터리 및 MIDlet과 같은 애플리케이션 서버 인증

Cisco CTL

장치, 파일 및 신호 인증은 파트너 또는 고객이 Cisco 인증서 신뢰 목록 클라이언트를 설치하고 구성할 때 생성되는 인증서 신뢰 목록( CTL ) 파일의 생성에 의존합니다.

CTL 파일 에는 다음 서버 또는 보안 토큰에 대한 항목이 포함되어 있습니다.

  • 시스템 관리자 보안 토큰(SAST)

  • 동일한 서버에서 실행되는 Cisco CallManager 및 Cisco TFTP 서비스

  • Certificate Authority 프록시 기능(CAPF)

  • TFTP 서버

  • ASA 방화벽

CTL 파일 에는 서버 인증서, 공개 키, 일련번호, 서명, 발급자 이름, 주체 이름, 서버 기능, DNS 이름 및 각 서버에 대한 IP 주소 가 포함됩니다.

CTL 을 통한 전화기 보안은 다음 기능을 제공합니다.

  • 서명 키를 사용하여 TFTP 다운로드 파일(구성, 로캘, 벨소리 목록 등) 인증

  • 서명 키를 사용하여 TFTP 구성 파일 암호화

  • IP 전화기에 대한 암호화된 통화 신호

  • IP 전화기에 대한 암호화된 통화 오디오(미디어)

Cisco IP 전화기에 대한 보안 전용 인스턴스

전용 인스턴스 엔드포인트 등록 및 호처리 를 제공합니다. Cisco Unified CM 과 엔드포인트 간의 신호는 SCCP (Secure SCCP (Skinny Client Control Protocol) ) 또는 SIP(Session Initiation Protocol) )를 기반으로 하며 TLS ( 전송 레이어 보안 )를 사용하여 암호화할 수 있습니다. 엔드포인트에서 송수신되는 미디어는 실시간 전송 프로토콜(RTP)을 기반으로 하며, 보안 RTP (SRTP)를 사용하여 암호화할 수도 있습니다.

Unified CM 에서 혼합 모드를 활성화하면 Cisco 엔드포인트에서 송수신되는 신호 및 미디어 트래픽 을 암호화할 수 있습니다.

보안 UC 애플리케이션

전용 인스턴스에서 혼합 모드 활성화

혼합 모드는 기본적으로 활성화 에서 활성화됩니다. 전용 인스턴스 .

에서 혼합 모드 활성화 전용 인스턴스 Cisco 엔드포인트에서 송수신되는 시그널링 및 미디어 트래픽 의 암호화를 수행하는 기능을 활성화합니다.

Cisco Unified CM 릴리스 12.5(1)에서 Jabber 및 Webex 클라이언트에 대해 혼합 모드/ CTL 대신 SIP OAuth를 기반으로 하는 신호 및 미디어의 암호화를 활성화하는 새로운 옵션이 추가되었습니다. 따라서 Unified CM 릴리스 12.5(1)에서 SIP OAuth 및 SRTP 를 사용하여 Jabber 또는 Webex 클라이언트에 대한 신호 및 미디어에 대한 암호화를 활성화할 수 있습니다. 현재 Cisco IP 전화기 및 기타 Cisco 엔드포인트에 대해 계속해서 혼합 모드를 활성화해야 합니다. 향후 릴리스에서 7800/8800 엔드포인트에서 SIP OAuth에 대한 지원을 추가할 계획이 있습니다.

음성 메시징 보안

Cisco Unity Connection 은 TLS 포트를 통해 Unified CM 에 연결합니다. 장치 보안 모드가 비보안인 경우 Cisco Unity Connection 은 SCCP 포트를 통해 Unified CM 에 연결합니다.

Unified CM 음성 메시징 포트 및 SCCP 를 실행하는 Cisco Unity 장치 또는 SCCP 를 실행하는 Cisco Unity Connection 장치에 대한 보안을 구성하기 위해 파트너는 포트에 대한 보안 장치 보안 모드를 선택할 수 있습니다. 인증된 보이스메일 포트 를 선택하면 TLS 연결이 열리고, 상호 인증서 교환을 사용하여 장치를 인증합니다(각 장치는 다른 장치의 인증서를 수락함). 암호화된 보이스메일 포트 를 선택하는 경우, 시스템은 먼저 장치를 인증한 후 장치 간에 암호화된 음성 스트림을 보냅니다.

Security Voice 메시징 포트에 대한 자세한 정보는 다음을 참조하십시오. https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

SRST, 트렁크, 게이트웨이, CUBE/SBC에 대한 보안

Cisco Cisco Unified CM 이 켜져 있는 경우, Cisco SRST (Unified Survivable Remote Site Telephony) 활성화된 게이트웨이는 제한된 통화 처리 작업을 제공합니다. 전용 인스턴스 통화를 완료할 수 없습니다.

보안 SRST 지원 게이트웨이에는 SSC(자가서명 인증서) 가 포함됩니다. 파트너가 통합 CM 관리 에서 SRST 구성 작업을 수행한 후 Unified CM 은 TLS 연결을 사용하여 SRST 지원 게이트웨이 에서 인증서 공급자 서비스를 인증합니다. 그런 다음 Unified CM 은 SRST 지원 게이트웨이 에서 인증서를 검색하고 인증서를 Unified CM 데이터베이스에 추가합니다.

파트너가 통합 CM 관리 에서 종속 장치를 재설정한 후 TFTP 서버는 SRST 지원 게이트웨이 인증서를 전화기 cnf.xml 파일에 추가하고 파일을 전화기로 보냅니다. 그러면 보안 전화기는 TLS 연결을 사용하여 SRST 지원 게이트웨이 와 상호 작용합니다.

Cisco Unified CM 에서 발신하는 통화에 대해 아웃바운드 PSTN 통화 또는 Cisco Unified Border Element )를 통과하는 게이트웨이로의 통화에 대해 보안 트렁크를 사용하는 것이 좋습니다.

SIP 트렁크는 신호 및 미디어 모두에 대해 보안 통화를 지원할 수 있습니다. TLS 는 신호 암호화를 제공하고 SRTP 는 미디어 암호화를 제공합니다.

Cisco Unified CM 및 CUBE 간의 통신 보안

Cisco Unified CM 및 CUBE 간의 보안 통신을 위해 파트너/고객은 SSC(자가서명 인증서) 또는 CA 서명된 인증서를 사용해야 합니다.

자체 서명된 인증서의 경우:

  1. CUBE 및 Cisco Unified CM 은 자체 서명된 인증서를 생성합니다.

  2. CUBE는 인증서를 Cisco Unified CM 으로 내보냅니다.

  3. Cisco Unified CM 은 인증서를 CUBE로 내보냅니다.

CA 서명 인증서의 경우:

  1. 클라이언트가 키 쌍을 생성하고 인증서 서명 요청(CSR)을 Certificate Authority (CA)에 보냅니다.

  2. CA는 개인 키로 서명하여 ID 인증서를 만듭니다.

  3. 클라이언트는 신뢰할 수 있는 CA 루트 및 중간 인증서의 목록과 ID 인증서를 설치합니다.

원격 엔드포인트에 대한 보안

MRA(모바일 및 Remote Access ) 엔드포인트를 사용하면 MRA 엔드포인트와 Expressway 노드 간에 신호 및 미디어가 항상 암호화됩니다. ICE(대화형 연결 설정) 프로토콜이 MRA 엔드포인트에 사용되는 경우, MRA 엔드포인트의 신호 및 미디어 암호화가 필요합니다. 그러나 Expressway-C와 내부 Unified CM 서버, 내부 엔드포인트 또는 기타 내부 장치 간의 신호 및 미디어를 암호화하려면 혼합 모드 또는 SIP OAuth가 필요합니다.

Cisco Expressway 는 Unified CM 등록에 대한 보안 방화벽 통과 및 회선 측 지원을 제공합니다. Unified CM 은 모바일 및 온-프레미스 엔드포인트 모두에 대한 통화 제어 를 제공합니다. 시그널링은 원격 엔드포인트와 Unified CM 간에 Expressway 솔루션을 통과합니다. 미디어는 Expressway 솔루션을 통과하고 엔드포인트 간에 직접 릴레이됩니다. 모든 미디어는 Expressway-C와 모바일 엔드포인트 간에 암호화됩니다.

모든 MRA 솔루션에는 MRA 호환 소프트 클라이언트 및/또는 고정 엔드포인트가 있는 Expressway 및 Unified CM 이 필요합니다. 솔루션은 선택적으로 IM and 프레즌스 서비스 및 Unity Connection을 포함할 수 있습니다.

임상시험 계획서 요약

다음 표에는 Unified CM 솔루션에서 사용되는 프로토콜 및 관련 서비스가 나와 있습니다.

표 1. 프로토콜 및 관련 서비스

프로토콜

보안

서비스

SIP

TLS

세션 설정: 등록, 초대 등

HTTPS

TLS

로그온, 프로비저닝/구성, 디렉터리, Visual Voicemail

미디어

SRTP

미디어: 오디오, 비디오, 콘텐츠 공유

XMPP

TLS

인스턴트 메시징, 프레즌스, 페더레이션

MRA 구성에 대한 자세한 내용은 다음을 참조하십시오. https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

구성 옵션

더 전용 인스턴스 파트너는 2일차 구성을 완벽하게 제어하여 최종 사용자를 위해 서비스를 사용자 정의할 수 있는 유연성을 제공합니다. 결과적으로 파트너는 의 적절한 구성에 대해 전적으로 책임이 있습니다. 전용 인스턴스 최종 사용자의 환경을 위한 서비스. 여기에는 다음이 포함되지만 이에 국한되지는 않습니다.

  • 보안/비보안 통화, SIP/sSIP, http/https 등과 같은 보안/비보안 프로토콜 선택 및 관련 위험 이해.

  • 보안 SIP 로 구성되지 않은 모든 MAC 주소에 대해 전용 인스턴스 , 공격자는 해당 MAC 주소 를 사용하여 SIP 등록 메시지를 보내고 SIP 전화를 걸 수 있으며, 이로 인해 유료 사기가 발생할 수 있습니다. 전제 조건은 공격자가 SIP 디바이스/소프트웨어를 전용 인스턴스 에 등록된 장치의 MAC 주소 를 알고 있는 경우 인증 없이 전용 인스턴스 .

  • Expressway-E 통화 정책, 변환 및 검색 규칙은 유료 사기를 방지하도록 구성되어야 합니다. Expressway를 사용하여 요금 사기를 방지하는 방법에 대한 자세한 정보는 Expressway C 및 Expressway-E에 대한 보안 섹션을 참조하십시오. 협업 SRND .

  • 사용자가 허용된 대상에만 다이얼할 수 있도록 하는 다이얼 플랜 구성(예: 국내/국제 다이얼링 금지, 긴급 통화가 올바르게 라우팅됨 등). 다이얼 플랜을 사용하여 제한 사항을 적용하는 방법에 대한 자세한 내용은 다음을 참조하십시오. 다이얼 플랜 협업 SRND의 섹션.

전용 인스턴스에서 보안 연결에 대한 인증서 요구 사항

전용 인스턴스의 경우, Cisco 는 도메인을 제공하고 공용 CA( Certificate Authority )를 사용하여 UC 애플리케이션에 대한 모든 인증서에 서명합니다.

전용 인스턴스 – 포트 번호 및 프로토콜

다음 표에서는 전용 인스턴스에서 지원되는 포트 및 프로토콜에 대해 설명합니다. 특정 고객에 대해 사용되는 포트는 고객의 배포 및 솔루션에 따라 다릅니다. 프로토콜은 고객의 기본 설정(SCCP vs SIP), 기존 온-프레미스 장치 및 각 배포에서 어떤 포트를 사용해야 하는지 결정하는 보안 수준에 따라 달라집니다.


 

일부 통화 흐름 기능이 작동하지 않기 때문에 전용 인스턴스는 엔드포인트와 Unified CM 간에 NAT(Network Address Translation)를 허용하지 않습니다(예: 통화 중 기능).

전용 인스턴스 – 고객 포트

고객이 사용할 수 있는 포트 - 고객 온-프레미스 및 전용 인스턴스 간에는 표 1이 표시됩니다. 전용 인스턴스 고객 포트 . 아래 나열된 모든 포트는 피어링 링크를 통과하는 고객 트래픽용입니다.


 

SNMP 포트는 Cisco Emergency Responder가 기능을 지원하는 경우에만 기본적으로 열려 있습니다. 전용 인스턴스 클라우드에 배포된 UC 응용프로그램을 모니터링하는 파트너 또는 고객을 지원하지 않기 때문에 다른 UC 응용프로그램에 대해 SNMP 포트를 열 수 없습니다.


 

5063 ~ 5080 범위의 포트는 다른 클라우드 통합, 파트너 또는 고객 관리자에 대해 Cisco에서 예약합니다. 구성에서 이러한 포트를 사용하지 않는 것이 좋습니다.

표 2. 전용 인스턴스 고객 포트

프로토콜

TCP/UDP

소스

대상

소스 포트

대상 포트

목적

SSH

TCP

클라이언트

UC 응용 프로그램


 
Cisco Expressway 응용프로그램에는 허용되지 않습니다.

1023보다 큼

22

관리

TFTP

UDP

엔드포인트

Unified CM

1023보다 큼

69

레거시 엔드포인트 지원

LDAP

TCP

UC 응용 프로그램

외부 디렉터리

1023보다 큼

389

고객 LDAP 에 대한 디렉토리 동기화

HTTPS

TCP

브라우저

UC 응용 프로그램

1023보다 큼

443

셀프 케어 및 관리 인터페이스를 위한 웹 액세스

아웃바운드 메일(보안)

TCP

UC 응용프로그램

CUCxn

1023보다 큼

587

지정된 수신자에게 보안 메시지를 작성하고 보내는 데 사용됨

LDAP (보안)

TCP

UC 응용 프로그램

외부 디렉터리

1023보다 큼

636

고객 LDAP 에 대한 디렉토리 동기화

H323

TCP

게이트웨이

Unified CM

1023보다 큼

1720

통화 신호

H323

TCP

Unified CM

Unified CM

1023보다 큼

1720

통화 신호

SCCP

TCP

엔드포인트

Unified CM, CUCxn

1023보다 큼

2000년

통화 신호

SCCP

TCP

Unified CM

Unified CM, 게이트웨이

1023보다 큼

2000년

통화 신호

MGCP

UDP

게이트웨이

게이트웨이

1023보다 큼

2427

통화 신호

MGCP 백홀

TCP

게이트웨이

Unified CM

1023보다 큼

2428

통화 신호

SCCP (보안)

TCP

엔드포인트

Unified CM, CUCxn

1023보다 큼

2443

통화 신호

SCCP (보안)

TCP

Unified CM

Unified CM, 게이트웨이

1023보다 큼

2443

통화 신호

신뢰 확인

TCP

엔드포인트

Unified CM

1023보다 큼

2445

엔드포인트에 신뢰 확인 서비스 제공

CTI

TCP

엔드포인트

Unified CM

1023보다 큼

2748

CTI 애플리케이션(JTAPI/TSP) 및 CTIManager 간의 연결

보안 CTI

TCP

엔드포인트

Unified CM

1023보다 큼

2749

CTI 애플리케이션(JTAPI/TSP) 및 CTIManager 간의 보안 연결

LDAP 글로벌 카탈로그

TCP

UC 응용 프로그램

외부 디렉터리

1023보다 큼

3268

고객 LDAP 에 대한 디렉토리 동기화

LDAP 글로벌 카탈로그

TCP

UC 응용 프로그램

외부 디렉터리

1023보다 큼

3269

고객 LDAP 에 대한 디렉토리 동기화

CAPF 서비스

TCP

엔드포인트

Unified CM

1023보다 큼

3804

IP 전화기에 LSC (Locally Significant Certificates)를 발급하기 위한 CAPF ( Certificate Authority Proxy Function) 수신 포트

SIP

TCP

엔드포인트

Unified CM, CUCxn

1023보다 큼

5060

통화 신호

SIP

TCP

Unified CM

Unified CM, 게이트웨이

1023보다 큼

5060

통화 신호

SIP (보안)

TCP

엔드포인트

Unified CM

1023보다 큼

5061

통화 신호

SIP (보안)

TCP

Unified CM

Unified CM, 게이트웨이

1023보다 큼

5061

통화 신호

SIP (OAUTH)

TCP

엔드포인트

Unified CM

1023보다 큼

5090

통화 신호

XMPP

TCP

Jabber 클라이언트

Cisco IM&P

1023보다 큼

5222

인스턴트 메시징 및 프레즌스

HTTP

TCP

엔드포인트

Unified CM

1023보다 큼

6970

엔드포인트에 구성 및 이미지 다운로드

HTTPS

TCP

엔드포인트

Unified CM

1023보다 큼

6971

엔드포인트에 구성 및 이미지 다운로드

HTTPS

TCP

엔드포인트

Unified CM

1023보다 큼

6972

엔드포인트에 구성 및 이미지 다운로드

HTTP

TCP

Jabber 클라이언트

CUCxn

1023보다 큼

7080

보이스메일 알림

HTTPS

TCP

Jabber 클라이언트

CUCxn

1023보다 큼

7443

보안 음성 메일 알림

HTTPS

TCP

Unified CM

Unified CM

1023보다 큼

7501

인증서 기반 인증을 위해 클러스터 간 인터클러스터 Lookup 서비스 (ILS) (ILS)에서 사용됨

HTTPS

TCP

Unified CM

Unified CM

1023보다 큼

7502

암호 기반 인증을 위해 ILS 에서 사용됨

IMAP

TCP

Jabber 클라이언트

CUCxn

1023보다 큼

7993

TLS 를 통한 IMAP

HTTP

TCP

엔드포인트

Unified CM

1023보다 큼

8080

레거시 엔드포인트 지원을 위한 디렉터리 URI

HTTPS

TCP

브라우저, 엔드포인트

UC 응용 프로그램

1023보다 큼

8443

셀프 케어 및 관리 인터페이스를 위한 웹 액세스, UDS

HTTPS

TCP

전화 번호

Unified CM

1023보다 큼

9443

인증된 연락처 검색

HTTPS

TCP

엔드포인트

Unified CM

1023보다 큼

9444

헤드셋 관리 기능

보안 RTP/ SRTP

UDP

Unified CM

전화 번호

16384 ~ 32767 *

16384 ~ 32767 *

미디어(오디오) - 음악 대기, 알림 표시기, 소프트웨어 회의 브리지(통화 신호에 따라 열기)

보안 RTP/ SRTP

UDP

전화 번호

Unified CM

16384 ~ 32767 *

16384 ~ 32767 *

미디어(오디오) - 음악 대기, 알림 표시기, 소프트웨어 회의 브리지(통화 신호에 따라 열기)

코브라

TCP

클라이언트

CUCxn

1023보다 큼

20532

Application Suite 백업 및 복원

ICMP

ICMP

엔드포인트

UC 응용 프로그램

해당 안 됨

해당 안 됨

ICMP

ICMP

UC 응용 프로그램

엔드포인트

해당 안 됨

해당 안 됨

DNS UDP 및 TCP

DNS 포워더

전용 인스턴스 DNS 서버

1023보다 큼

53

전용 인스턴스 DNS 서버에 대한 고객 프레미스 DNS 포워더. 자세한 정보는 DNS 요구 사항을 참조하십시오.

* 특정 특수한 경우에는 더 큰 범위를 사용할 수 있습니다.

전용 인스턴스 – OTT 포트

고객 및 파트너는 MRA(모바일 및 Remote Access ) 설정을 위해 다음 포트를 사용할 수 있습니다.

표 3. OTT용 포트

프로토콜

TCP/UCP

소스

대상

소스 포트

대상 포트

목적

보안 RTP/ RTCP

UDP

고속도로 C

클라이언트

1023보다 큼

36000-59999

MRA 및 B2B 통화용 보안 미디어

멀티테넌트와 전용 인스턴스 간의 Inter-op SIP 트렁크 (등록 기반 트렁크에만 해당)

멀티테넌트와 전용 인스턴스 간의 등록 기반 SIP 트렁크에 대해 고객의 방화벽에서 다음 포트 목록을 허용해야 합니다.

표 4. 등록 기반 트렁크용 포트

프로토콜

TCP/UCP

소스

대상

소스 포트

대상 포트

목적

RTP/RTCP를

UDP

Webex Calling 멀티테넌트

클라이언트

1023보다 큼

8000-48198년

Webex Calling 멀티테넌트의 미디어

전용 인스턴스 – UCCX 포트

다음 포트 목록은 고객 및 파트너가 UCCX를 구성하는 데 사용할 수 있습니다.

표 5. Cisco UCCX 포트

프로토콜

TCP / UCP

소스

대상

소스 포트

대상 포트

목적

SSH

TCP

클라이언트

UCCX

1023보다 큼

22

SFTP 및 SSH

인포믹스

TCP

클라이언트 또는 서버

UCCX

1023보다 큼

1504

Contact Center Express 데이터베이스 포트

SIP

UDP 및 TCP

SIP GW 또는 MCRP 서버

UCCX

1023보다 큼

5065

원격 GW 및 MCRP 노드에 대한 통신

XMPP

TCP

클라이언트

UCCX

1023보다 큼

5223

Finesse 서버와 맞춤형 타사 애플리케이션 간의 보안 XMPP 연결

CVD

TCP

클라이언트

UCCX

1023보다 큼

6999

CCX 응용프로그램에 대한 편집기

HTTPS

TCP

클라이언트

UCCX

1023보다 큼

7443

HTTPS를 통한 통신을 위해 Finesse 서버와 에이전트 및 수퍼바이저 데스크톱 간의 보안 BOSH 연결

HTTP

TCP

클라이언트

UCCX

1023보다 큼

8080

라이브 데이터 보고 클라이언트는 socket.IO 서버에 연결합니다.

HTTP

TCP

클라이언트

UCCX

1023보다 큼

8081

Cisco Unified Intelligence Center 웹 인터페이스 에 액세스하려는 클라이언트 브라우저

HTTP

TCP

클라이언트

UCCX

1023보다 큼

8443

SOAP를 통한 관리 GUI, RTMT, DB 액세스

HTTPS

TCP

클라이언트

UCCX

1023보다 큼

8444

Cisco Unified Intelligence Center 웹 인터페이스

HTTPS

TCP

브라우저 및 REST 클라이언트

UCCX

1023보다 큼

8445

Finesse용 보안 포트

HTTPS

TCP

클라이언트

UCCX

1023보다 큼

8447

HTTPS - Unified Intelligence Center 온라인 도움말

HTTPS

TCP

클라이언트

UCCX

1023보다 큼

8553

싱글 사인온(SSO) 구성 요소는 이 인터페이스에 액세스하여 Cisco IdS의 작동 상태를 알 수 있습니다.

HTTP

TCP

클라이언트

UCCX

1023보다 큼

9080

HTTP 트리거 또는 문서/프롬프트/문법/ 라이브 데이터 에 액세스하려는 클라이언트.

HTTPS

TCP

클라이언트

UCCX

1023보다 큼

9443

HTTPS 트리거에 액세스하려는 클라이언트에 응답하는 데 사용되는 보안 포트

TCP

TCP

클라이언트

UCCX

1023보다 큼

12014

이는 라이브 데이터 보고 클라이언트가 socket.IO 서버에 연결할 수 있는 포트입니다.

TCP

TCP

클라이언트

UCCX

1023보다 큼

12015

이는 라이브 데이터 보고 클라이언트가 socket.IO 서버에 연결할 수 있는 포트입니다.

CTI

TCP

클라이언트

UCCX

1023보다 큼

12028

타사 CTI 클라이언트에서 CCX로

RTP(미디어)

TCP

엔드포인트

UCCX

1023보다 큼

1023보다 큼

미디어 포트는 필요에 따라 동적으로 열립니다.

RTP(미디어)

TCP

클라이언트

엔드포인트

1023보다 큼

1023보다 큼

미디어 포트는 필요에 따라 동적으로 열립니다.

클라이언트 보안

SIP OAuth를 사용하여 Jabber 및 Webex 보안

Jabber 및 Webex 클라이언트는 로컬 중요 인증서(LSC) (LSC) 대신 OAuth 토큰을 통해 인증되며, CAPF (인증센터 프록시 기능) (CAPF) 활성화(MRA의 경우에도)가 필요하지 않습니다. 혼합 모드를 사용하거나 사용하지 않고 작동하는 SIP OAuth는 Cisco Unified CM 12.5(1), Jabber 12.5 및 Expressway X12.5에서 도입되었습니다.

Cisco Unified CM 12.5에는 SIP REGISTER에서 단일 TLS ( 전송 레이어 보안 ) + OAuth 토큰을 사용하여 LSC/ CAPF 없이 암호화를 활성화하는 새로운 옵션이 전화기 보안 프로파일에 있습니다. Expressway-C 노드는 AXL (관리 XML 웹 서비스) API 를 사용하여 Cisco Unified CM 에 인증서의 SN/SAN을 알립니다. Cisco Unified CM 은 상호 TLS 연결을 설정할 때 이 정보를 사용하여 Exp-C 인증서를 검증합니다.

SIP OAuth는 엔드포인트 인증서(LSC) 없이 미디어 및 신호 암호화를 활성화합니다.

Cisco Jabber 는 TFTP 서버에 대한 HTTPS 연결을 통해 임시 포트 및 보안 포트 6971 및 6972 포트를 사용하여 구성 파일을 다운로드합니다. 포트 6970은 HTTP를 통해 다운로드하기 위한 비보안 포트입니다.

SIP OAuth 구성에 대한 자세한 정보: SIP OAuth 모드 .

DNS 요구 사항

전용 인스턴스의 경우 Cisco 는 다음 형식으로 각 지역의 서비스에 대한 FQDN을 제공합니다.<customer> .<region> .wxc-di.webex.com 예를 들어, xyz.amer.wxc-di.webex.com .

'고객' 값은 관리자가 FTSW( 최초 설정 마법사 )의 일부로 제공합니다. 자세한 내용은 다음을 참조하십시오. 전용 인스턴스 서비스 활성화 .

이 FQDN에 대한 DNS 레코드는 전용 인스턴스에 연결하는 온-프레미스 디바이스를 지원하기 위해 고객의 내부 DNS 서버 에서 확인할 수 있어야 합니다. 문제를 쉽게 해결하려면 고객이 전용 인스턴스 DNS 서비스를 가리키는 DNS 서버 에서 이 FQDN에 대해 조건부 전달자를 구성해야 합니다. 전용 인스턴스 DNS 서비스는 지역적이며 전용 인스턴스에 대한 피어링을 통해 아래 표에 언급된 대로 다음 IP 주소를 사용하여 연결할 수 있습니다. 전용 인스턴스 DNS 서비스 IP 주소 .

표 6. 전용 인스턴스 DNS 서비스 IP 주소

지역/DC

전용 인스턴스 DNS 서비스 IP 주소

조건부 전달 예

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

AMS

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

103.232.71.100

TKY

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

178.215.128.100

SYD

178.215.128.228


 

보안상의 이유로 위에서 언급한 DNS 서버 IP 주소에 대해 ping 옵션이 비활성화됩니다.

조건부 전달이 설정될 때까지 디바이스는 피어링 링크를 통해 고객 내부 네트워크에서 전용 인스턴스에 등록할 수 없습니다. MRA(모바일 및 Remote Access )를 통한 등록에는 조건부 전달이 필요하지 않습니다. MRA를 활성화하는 데 필요한 모든 외부 DNS 레코드가 Cisco 에서 미리 프로비저닝되기 때문입니다.

전용 인스턴스에서 Webex 응용프로그램을 통화 소프트 클라이언트로 사용할 때 각 지역의 VSD(음성 서비스 도메인)에 대해 Control Hub에서 UC 관리자 프로필을 구성해야 합니다. 자세한 내용은 다음을 참조하십시오. Cisco Webex Control Hub 의 UC 관리자 프로파일 . Webex 응용프로그램은 최종 사용자 의 개입 없이 고객의 Expressway Edge를 자동으로 해결할 수 있습니다.


 

음성 서비스 도메인은 서비스 활성화가 완료되면 파트너 액세스 문서의 일부로 고객에게 제공됩니다.