- 홈
- /
- 문서
전용 인스턴스 솔루션에 대한 네트워크 및 보안 요구 사항은 보안 물리적 액세스, 네트워크, 엔드포인트 및 Cisco UC 애플리케이션을 제공하는 기능 및 기능에 대한 계층화된 접근입니다. 이는 네트워크 요구 사항을 설명하고 엔드포인트를 서비스에 연결하는 데 사용되는 주소, 포트 및 프로토콜을 나열합니다.
전용 인스턴스에 대한 네트워크 요구 사항
Webex Calling 전용 인스턴스는 Cisco Unified Communications Manager(Cisco Unified CM) 협업 기술을 기반으로 하는 Cisco 클라우드 통화 포트폴리오의 일부입니다. 전용 인스턴스는 전용 인스턴스에 안전하게 연결하는 Cisco IP 전화기, 모바일 장치 및 데스크톱 클라이언트의 기능과 이점을 갖춘 음성, 비디오, 메시징 및 모빌리티 솔루션을 제공합니다.
이 문서는 네트워크 관리자, 특히 조직 내에서 전용 인스턴스를 사용하고자 하는 방화벽 및 프록시 보안 관리자를 대상으로 합니다.
보안 개요: 레이어 보안
전용 인스턴스는 보안을 위해 계층화된 접근 방식을 사용합니다. 레이어는 다음을 포함합니다.
-
물리적 액세스
-
네트워크
-
엔드포인트
-
UC 애플리케이션
다음 섹션에서는 전용 인스턴스 구축의 보안 레이어를 설명합니다.
물리적 보안
Equinix Meet-Me 회의실 위치 및 Cisco 전용 인스턴스 데이터 센터 시설에 물리적 보안을 제공하는 것이 중요합니다. 물리적 보안이 손상되면 고객의 스위치에 대한 전원을 차단하여 서비스 중단과 같은 간단한 공격을 시작할 수 있습니다. 물리적 액세스를 통해 공격자는 서버 장치에 액세스하고, 암호를 재설정하고, 스위치에 액세스할 수 있습니다. 물리적 액세스는 중간자 공격과 같은 더욱 정교한 공격을 용이하게 합니다. 이것이 두 번째 보안 계층인 네트워크 보안이 중요한 이유입니다.
셀프 암호화 드라이브는 UC 애플리케이션을 호스팅하는 전용 인스턴스 데이터 센터에서 사용됩니다.
일반 보안 관행에 대한 자세한 내용은 다음 위치에 있는 문서를 참조하십시오. https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
네트워크 보안
파트너는 모든 네트워크 요소가 전용 인스턴스 인프라(Equinix를 통해 연결)에서 보안되도록 해야 합니다. 다음과 같은 보안 모범 사례를 보장하는 것은 파트너의 책임입니다.
-
음성 및 데이터에 대한 별도의 VLAN
-
CAM 테이블 범람에 대해 포트당 허용되는 MAC 주소 수를 제한하는 포트 보안 활성화
-
스푸핑된 IP 주소에 대한 IP 소스 가드
-
DAI(Dynamic ARP Inspection)는 ARP(Address Resolution Protocol) 및 GARP(Gratuitous ARP)를 위반에 대해 검사합니다(ARP 스푸핑 방지).
-
802.1x는 할당된 VLAN에서 장치를 인증하기 위해 네트워크 액세스를 제한합니다(전화는 802.1x 지원).
-
음성 패킷의 적절한 표시를 위한 서비스 품질(QoS) 구성
-
다른 트래픽을 차단하기 위한 방화벽 포트 구성
엔드포인트 보안
Cisco 엔드포인트는 서명된 펌웨어, 보안 부팅(선택한 모델), 제조업체에 설치된 인증서(MIC) 및 서명된 구성 파일과 같은 기본 보안 기능을 지원하며, 이는 엔드포인트에 대한 특정 수준의 보안을 제공합니다.
또한 파트너 또는 고객은 다음과 같은 추가 보안을 활성화할 수 있습니다.
-
Extension Mobility와 같은 서비스에 대해 HTTPS를 통해 IP 전화 서비스 암호화
-
CAPF(인증 기관 프록시 기능) 또는 CA(공용 인증 기관)에서 LSC(로컬 중요 인증서)를 발급합니다.
-
구성 파일 암호화
-
미디어 및 신호 암호화
-
사용하지 않는 경우 해당 설정을 비활성화합니다. PC 포트, PC 음성 VLAN 액세스, 불필요한 ARP, 웹 액세스, 설정 버튼, SSH, 콘솔
전용 인스턴스에서 보안 메커니즘을 구현하면 전화기 및 Unified CM 서버의 아이덴티티 도난, 데이터 변조 및 통화 신호 처리/미디어 스트림 변조가 방지됩니다.
네트워크를 통한 전용 인스턴스:
-
인증된 통신 스트림 설정 및 유지 관리
-
파일을 전화기로 전송하기 전에 디지털 방식으로 파일에 서명
-
Cisco Unified IP 전화기 간 미디어 스트림 및 통화 신호 암호화
기본적으로 보안은 Cisco Unified IP 전화기에 대해 다음 자동 보안 기능을 제공합니다.
-
전화기 구성 파일 서명
-
전화기 구성 파일 암호화 지원
-
Tomcat 및 기타 웹 서비스(MIDlets)를 사용하는 HTTPS
나중에 Unified CM 릴리스 8.0의 경우 이러한 보안 기능은 CTL(Certificate Trust List) 클라이언트를 실행하지 않고 기본적으로 제공됩니다.
신뢰 확인 서비스네트워크에 많은 수의 전화기가 있고 IP 전화기에 메모리가 제한되어 있기 때문에 Cisco Unified CM은 TVS(Trust Verification Service)를 통해 원격 신뢰 저장소로 작동하여 인증서 신뢰 저장소가 각 전화기에 위치하지 않아도 됩니다. Cisco IP 전화기는 CTL 또는 ITL 파일을 통해 서명 또는 인증서를 확인할 수 없으므로 확인을 위해 TVS 서버에 문의합니다. 중앙 신뢰 스토어를 갖는 것은 각 Cisco Unified IP 전화기에 신뢰 스토어를 갖는 것보다 관리가 쉽습니다.
TVS를 사용하면 Cisco Unified IP 전화기가 HTTPS 설정 중에 EM 서비스, 디렉터리 및 MIDlet과 같은 애플리케이션 서버를 인증할 수 있습니다.
초기 신뢰 목록ITL(Initial Trust List) 파일은 초기 보안에 사용되므로 엔드포인트는 Cisco Unified CM을 신뢰할 수 있습니다. ITL은 명시적으로 활성화할 보안 기능이 필요하지 않습니다. 클러스터가 설치되면 ITL 파일이 자동으로 생성됩니다. TFTP(Unified CM Trivial File Transfer Protocol) 서버의 개인 키가 ITL 파일에 서명하는 데 사용됩니다.
Cisco Unified CM 클러스터 또는 서버가 비보안 모드에 있으면 지원되는 모든 Cisco IP 전화기에서 ITL 파일이 다운로드됩니다. 파트너는 CLI 명령어 admin:show itl을 사용하여 ITL 파일의 내용을 볼 수 있습니다.
다음 작업을 수행하려면 Cisco IP 전화기에 ITL 파일이 필요합니다.
-
구성 파일 암호화를 지원하는 전제 조건인 CAPF에 안전하게 통신
-
구성 파일 서명 인증
-
TVS를 사용하여 HTTPS 설정 중에 EM 서비스, 디렉터리 및 MIDlet과 같은 애플리케이션 서버 인증
장치, 파일 및 신호 인증은 파트너 또는 고객이 Cisco 인증서 신뢰 목록 클라이언트를 설치하고 구성할 때 생성되는 CTL(인증서 신뢰 목록) 파일을 생성하는 데 의존합니다.
CTL 파일에는 다음 서버 또는 보안 토큰에 대한 항목이 포함됩니다.
-
시스템 관리자 보안 토큰(SAST)
-
동일한 서버에서 실행 중인 Cisco CallManager 및 Cisco TFTP 서비스
-
CAPF(인증센터 프록시 기능)
-
TFTP 서버
-
ASA 방화벽
CTL 파일에는 서버 인증서, 공개 키, 일련 번호, 서명, 발급자 이름, 제목 이름, 서버 기능, DNS 이름 및 각 서버에 대한 IP 주소가 포함됩니다.
CTL을 사용하는 전화기 보안은 다음 기능을 제공합니다.
-
서명 키를 사용하여 TFTP에서 다운로드한 파일(구성, 로케일, 링리스트 등)의 인증
-
서명 키를 사용하여 TFTP 구성 파일의 암호화
-
IP 전화기에 대해 암호화된 통화 신호 처리
-
IP 전화기에 대한 암호화된 통화 오디오(미디어)
전용 인스턴스는 엔드포인트 등록 및 통화 처리를 제공합니다. Cisco Unified CM과 엔드포인트 간의 신호 처리는 SCCP(Secure Skinny Client Control Protocol) 또는 SIP(Session Initiation Protocol)를 기반으로 하며 TLS(Transport Layer Security)를 사용하여 암호화될 수 있습니다. 엔드포인트에 대한 미디어는 RTP(Real-time Transport Protocol)를 기반으로 하며 Secure RTP(SRTP)를 사용하여 암호화될 수도 있습니다.
Unified CM에서 혼합 모드를 활성화하면 시그널링 및 미디어 트래픽이 Cisco 엔드포인트에서 암호화될 수 있습니다.
보안 UC 애플리케이션
전용 인스턴스에서 혼합 모드 활성화혼합 모드는 기본적으로 전용 인스턴스에서 활성화됩니다.
전용 인스턴스에서 혼합 모드를 활성화하면 시그널링 및 미디어 트래픽의 암호화를 Cisco 엔드포인트에서 수행할 수 있습니다.
Cisco Unified CM 릴리스 12.5(1)에서 Jabber 및 Webex 클라이언트에 대해 혼합 모드 / CTL 대신 SIP OAuth를 기반으로 시그널링 및 미디어의 암호화를 활성화하는 새로운 옵션이 추가되었습니다. 따라서 Unified CM 릴리스 12.5(1)에서 SIP OAuth 및 SRTP를 사용하여 Jabber 또는 Webex 클라이언트의 신호 처리 및 미디어에 대한 암호화를 활성화할 수 있습니다. 혼합 모드 활성화는 현재 Cisco IP 전화기 및 기타 Cisco 엔드포인트에 대해 계속 필요합니다. 향후 릴리즈에서 7800/8800 엔드포인트에서 SIP OAuth에 대한 지원을 추가할 계획이 있습니다.
음성 메시징 보안Cisco Unity Connection은 TLS 포트를 통해 Unified CM에 연결됩니다. 장치 보안 모드가 비보안인 경우 Cisco Unity Connection은 SCCP 포트를 통해 Unified CM에 연결됩니다.
SCCP를 실행하는 Unified CM 음성 메시징 포트 및 Cisco Unity 디바이스 또는 SCCP를 실행하는 Cisco Unity Connection 디바이스에 대한 보안을 구성하려면 파트너는 포트에 대한 보안 디바이스 보안 모드를 선택할 수 있습니다. 인증된 보이스메일 포트를 선택하는 경우, 상호 인증서 교환을 사용하여 장치를 인증하는 TLS 연결이 열립니다(각 장치는 다른 장치의 인증서를 수락함). 암호화된 보이스메일 포트를 선택하는 경우, 시스템은 먼저 장치를 인증한 후 장치 간에 암호화된 음성 스트림을 보냅니다.
보안 음성 메시징 포트에 대한 자세한 정보는 다음을 참조하십시오. https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
SRST, 트렁크, 게이트웨이, CUBE/SBC에 대한 보안
Cisco Unified SRST(Survivable Remote Site Telephony) 활성화된 게이트웨이는 전용 인스턴스의 Cisco Unified CM에서 통화를 완료할 수 없는 경우 제한된 통화 처리 작업을 제공합니다.
보안 SRST 지원 게이트웨이에는 자체 서명 인증서가 포함됩니다. 파트너가 Unified CM 관리에서 SRST 구성 작업을 수행한 후 Unified CM은 TLS 연결을 사용하여 SRST 지원 게이트웨이에서 인증서 제공자 서비스를 인증합니다. 그런 다음 Unified CM은 SRST 지원 게이트웨이에서 인증서를 검색하고 인증서를 Unified CM 데이터베이스에 추가합니다.
파트너가 Unified CM 관리에서 종속 장치를 재설정하면 TFTP 서버는 SRST 사용 게이트웨이 인증서를 전화기 cnf.xml 파일에 추가하고 파일을 전화기로 전송합니다. 그런 다음 보안 전화기는 TLS 연결을 사용하여 SRST 지원 게이트웨이와 상호 작용합니다.
Cisco Unified CM에서 아웃바운드 PSTN 통화에 대한 게이트웨이로 시작되거나 Cisco Unified Border Element(CUBE)를 통과하는 통화에 대한 보안 트렁크를 사용하는 것이 좋습니다.
SIP 트렁크는 신호 처리 및 미디어 모두에 대해 보안 통화를 지원할 수 있습니다. TLS는 신호 처리 암호화를 제공하며 SRTP는 미디어 암호화를 제공합니다.
Cisco Unified CM 및 CUBE 간의 통신 보안
Cisco Unified CM과 CUBE 간의 보안 통신을 위해 파트너/고객은 자체 서명 인증서 또는 CA 서명 인증서를 사용해야 합니다.
자체 서명 인증서의 경우:
-
CUBE 및 Cisco Unified CM은 자체 서명 인증서를 생성합니다.
-
CUBE는 Cisco Unified CM에 인증서를 내보냅니다.
-
Cisco Unified CM은 CUBE에 인증서를 내보냅니다.
CA 서명 인증서의 경우:
-
클라이언트는 키 쌍을 생성하고 CSR(Certificate Signing Request)을 CA(Certificate Authority)로 보냅니다.
-
CA는 개인 키로 서명하고 ID 인증서를 만듭니다.
-
클라이언트는 신뢰할 수 있는 CA 루트 및 중개 인증서 및 ID 인증서 목록을 설치합니다.
원격 엔드포인트에 대한 보안
모바일 및 원격 액세스(MRA) 엔드포인트를 사용하면 MRA 엔드포인트와 Expressway 노드 간에 시그널링 및 미디어가 항상 암호화됩니다. MRA 엔드포인트에 대해 ICE(Interactive Connectivity Establishment) 프로토콜이 사용되는 경우 MRA 엔드포인트의 시그널링 및 미디어 암호화가 필요합니다. 그러나 Expressway-C와 내부 Unified CM 서버, 내부 엔드포인트 또는 기타 내부 장치 간의 신호 처리 및 미디어의 암호화에는 혼합 모드 또는 SIP OAuth가 필요합니다.
Cisco Expressway는 Unified CM 등록에 대해 보안 방화벽 순회 및 회선 측 지원을 제공합니다. Unified CM은 모바일 및 온-프레미스 엔드포인트 모두에 대한 통화 제어를 제공합니다. 신호 처리는 원격 엔드포인트와 Unified CM 간에 Expressway 솔루션을 통과합니다. 미디어는 Expressway 솔루션을 통과하고 엔드포인트 간에 직접 릴레이됩니다. 모든 미디어는 Expressway-C와 모바일 엔드포인트 간에 암호화됩니다.
모든 MRA 솔루션에는 MRA 호환 소프트 클라이언트 및/또는 고정 엔드포인트가 포함된 Expressway 및 Unified CM이 필요합니다. 이 솔루션에는 선택적으로 IM and Presence 서비스 및 Unity Connection이 포함될 수 있습니다.
임상시험 계획서 요약
다음 표에서는 Unified CM 솔루션에서 사용되는 프로토콜 및 관련 서비스를 보여줍니다.
프로토콜 |
보안 |
서비스 |
---|---|---|
SIP |
TLS |
세션 구성: 등록, 초대 등 |
https://ko.kr/ko/ko/한국어 |
TLS |
로그온, 프로비저닝/구성, 디렉터리, Visual Voicemail |
미디어 |
SRTP 소개 |
미디어: 오디오, 비디오, 콘텐츠 공유 |
모델: XMPP |
TLS |
인스턴트 메시징, 프레즌스, 페더레이션 |
MRA 구성에 대한 자세한 내용은 다음을 참조하십시오. https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
구성 옵션
전용 인스턴스는 파트너가 2일 구성의 전체 제어를 통해 최종 사용자에 대해 서비스를 사용자 정의할 수 있는 유연성을 제공합니다. 결과적으로, 파트너는 최종 사용자의 환경을 위한 전용 인스턴스 서비스의 적절한 구성을 전적으로 책임집니다. 여기에는 다음이 포함되나 이에 국한되지 않는다.
-
보안/비보안 통화, SIP/sSIP, http/https 등과 같은 보안/비보안 프로토콜을 선택하고 관련된 모든 위험을 이해합니다.
-
전용 인스턴스에서 보안-SIP로 구성되지 않은 모든 MAC 주소에 대해 공격자는 해당 MAC 주소를 사용하여 SIP 등록 메시지를 보내고 SIP 통화를 실행할 수 있으므로 유료 사기가 발생할 수 있습니다. 특정은 공격자가 전용 인스턴스에 등록된 장치의 MAC 주소를 알고 있는 경우 인증없이 전용 인스턴스에 SIP 장치/소프트웨어를 등록할 수 있다는 것입니다.
-
유료 사기를 방지하기 위해 Expressway-E 통화 정책, 변환 및 검색 규칙을 구성해야 합니다. Expressway를 사용하여 유료 사기 방지에 대한 자세한 정보는 협업 SRND의 Expressway C 및 Expressway-E 섹션에 대한 보안을 참조하십시오.
-
다이얼 플랜 구성은 사용자가 허용되는 목적지에만 다이얼할 수 있도록 합니다. 예: 국내/국제 다이얼링 금지, 긴급 통화 제대로 라우팅됨 등 다이얼 플랜을 사용하는 제한 사항에 대한 자세한 내용은 협업 SRND의 다이얼 플랜 섹션을 참조하십시오.
전용 인스턴스에서 보안 연결에 대한 인증서 요구 사항
전용 인스턴스의 경우 Cisco는 도메인을 제공하고 공용 인증 기관(CA)을 사용하여 UC 애플리케이션에 대한 모든 인증서에 서명합니다.
전용 인스턴스 – 포트 번호 및 프로토콜
다음 표에서는 전용 인스턴스에서 지원되는 포트 및 프로토콜을 설명합니다. 지정된 고객에 대해 사용되는 포트는 고객의 배포 및 솔루션에 따라 달라집니다. 프로토콜은 고객의 기본 설정(SCCP vs SIP), 기존 온-프레미스 장치 및 각 배포에서 어떤 포트를 사용해야 하는지 결정하는 보안 수준에 따라 달라집니다.
일부 통화 흐름 기능이 작동하지 않기 때문에 전용 인스턴스는 엔드포인트와 Unified CM 간에 NAT(Network Address Translation)를 허용하지 않습니다(예: 통화 중 기능). |
전용 인스턴스 – 고객 포트
고객 온-프레미스와 전용 인스턴스 간의 고객이 사용할 수 있는 포트는 표 1 전용 인스턴스 고객 포트에 표시됩니다. 아래 나열된 모든 포트는 피어링 링크를 통과하는 고객 트래픽에 대한 것입니다.
SNMP 포트는 Cisco Emergency Responder가 기능을 지원하는 경우에만 기본적으로 열려 있습니다. 전용 인스턴스 클라우드에 배포된 UC 응용프로그램을 모니터링하는 파트너 또는 고객을 지원하지 않기 때문에 다른 UC 응용프로그램에 대해 SNMP 포트를 열 수 없습니다. |
5063 ~ 5080 범위의 포트는 다른 클라우드 통합, 파트너 또는 고객 관리자에 대해 Cisco에서 예약합니다. 구성에서 이러한 포트를 사용하지 않는 것이 좋습니다. |
프로토콜 |
TCP/UDP |
소스 |
대상 |
소스 포트 |
대상 포트 |
목적 | ||
---|---|---|---|---|---|---|---|---|
SSH의 |
TCP |
클라이언트 |
UC 애플리케이션
|
1023보다 큼 |
22 |
관리 |
||
TFTP |
UDP |
엔드포인트 |
Unified CM |
1023보다 큼 |
69 |
레거시 엔드포인트 지원 |
||
LDAP |
TCP |
UC 애플리케이션 |
외부 디렉터리 |
1023보다 큼 |
389회 |
고객 LDAP에 디렉터리 동기화 |
||
https://ko.kr/ko/ko/한국어 |
TCP |
브라우저 |
UC 애플리케이션 |
1023보다 큼 |
443 |
셀프 케어 및 관리 인터페이스를 위한 웹 액세스 |
||
아웃바운드 메일(보안) |
TCP |
UC 응용프로그램 |
한국어 (Korean) |
1023보다 큼 |
587년 |
지정된 수신자에게 보안 메시지를 작성하고 전송하는 데 사용됩니다. |
||
LDAP(보안) |
TCP |
UC 애플리케이션 |
외부 디렉터리 |
1023보다 큼 |
636회 |
고객 LDAP에 디렉터리 동기화 |
||
H323 |
TCP |
게이트웨이 |
Unified CM |
1023보다 큼 |
1720 |
통화 시그널링 |
||
H323 |
TCP |
Unified CM |
Unified CM |
1023보다 큼 |
1720 |
통화 시그널링 |
||
SCCP를 |
TCP |
엔드포인트 |
통합 CM, CUCxn |
1023보다 큼 |
200 |
통화 시그널링 |
||
SCCP를 |
TCP |
Unified CM |
Unified CM, 게이트웨이 |
1023보다 큼 |
200 |
통화 시그널링 |
||
MGCP의 |
UDP |
게이트웨이 |
게이트웨이 |
1023보다 큼 |
2427년 |
통화 시그널링 |
||
MGCP 백홀 |
TCP |
게이트웨이 |
Unified CM |
1023보다 큼 |
2428년 |
통화 시그널링 |
||
SCCP(보안) |
TCP |
엔드포인트 |
통합 CM, CUCxn |
1023보다 큼 |
2443년 |
통화 시그널링 |
||
SCCP(보안) |
TCP |
Unified CM |
Unified CM, 게이트웨이 |
1023보다 큼 |
2443년 |
통화 시그널링 |
||
신뢰 확인 |
TCP |
엔드포인트 |
Unified CM |
1023보다 큼 |
2445년 |
엔드포인트에 신뢰 확인 서비스 제공 |
||
사이트맵 |
TCP |
엔드포인트 |
Unified CM |
1023보다 큼 |
2748년 |
CTI 애플리케이션(JTAPI/TSP) 및 CTIManager 간의 연결 |
||
보안 CTI |
TCP |
엔드포인트 |
Unified CM |
1023보다 큼 |
2749년 |
CTI 애플리케이션(JTAPI/TSP) 및 CTIManager 간의 보안 연결 |
||
LDAP 글로벌 카탈로그 |
TCP |
UC 응용프로그램 |
외부 디렉터리 |
1023보다 큼 |
3268년 |
고객 LDAP에 디렉터리 동기화 |
||
LDAP 글로벌 카탈로그 |
TCP |
UC 응용프로그램 |
외부 디렉터리 |
1023보다 큼 |
3269년 |
고객 LDAP에 디렉터리 동기화 |
||
CAPF 서비스 |
TCP |
엔드포인트 |
Unified CM |
1023보다 큼 |
3804년 |
IP 전화기에 LSC(로컬 중요 인증서)를 발급하기 위한 CAPF(Certificate Authority Proxy Function) 수신 포트 |
||
SIP |
TCP |
엔드포인트 |
통합 CM, CUCxn |
1023보다 큼 |
5060년 |
통화 시그널링 |
||
SIP |
TCP |
Unified CM |
Unified CM, 게이트웨이 |
1023보다 큼 |
5060년 |
통화 시그널링 |
||
SIP(보안) |
TCP |
엔드포인트 |
Unified CM |
1023보다 큼 |
5061년 |
통화 시그널링 |
||
SIP(보안) |
TCP |
Unified CM |
Unified CM, 게이트웨이 |
1023보다 큼 |
5061년 |
통화 시그널링 |
||
SIP(OAUTH) |
TCP |
엔드포인트 |
Unified CM |
1023보다 큼 |
5090회 |
통화 시그널링 |
||
모델: XMPP |
TCP |
Jabber 클라이언트 |
Cisco IM&P(Cisco IM&P) |
1023보다 큼 |
5222호 |
인스턴트 메시징 및 프레즌스 |
||
HTTP |
TCP |
엔드포인트 |
Unified CM |
1023보다 큼 |
6970회 |
엔드포인트에 구성 및 이미지 다운로드 |
||
https://ko.kr/ko/ko/한국어 |
TCP |
엔드포인트 |
Unified CM |
1023보다 큼 |
6971회 |
엔드포인트에 구성 및 이미지 다운로드 |
||
https://ko.kr/ko/ko/한국어 |
TCP |
엔드포인트 |
Unified CM |
1023보다 큼 |
6972년 |
엔드포인트에 구성 및 이미지 다운로드 |
||
HTTP |
TCP |
Jabber 클라이언트 |
한국어 (Korean) |
1023보다 큼 |
7080년 |
보이스메일 알림 |
||
https://ko.kr/ko/ko/한국어 |
TCP |
Jabber 클라이언트 |
한국어 (Korean) |
1023보다 큼 |
7443회 |
보안 보이스메일 알림 |
||
https://ko.kr/ko/ko/한국어 |
TCP |
Unified CM |
Unified CM |
1023보다 큼 |
7501회 |
인증서 기반 인증에 대해 ILS(클러스터 간 조회 서비스)에서 사용 |
||
https://ko.kr/ko/ko/한국어 |
TCP |
Unified CM |
Unified CM |
1023보다 큼 |
7502회 |
암호 기반 인증을 위해 ILS에서 사용 |
||
IMAP 소개 |
TCP |
Jabber 클라이언트 |
한국어 (Korean) |
1023보다 큼 |
7993년 |
TLS를 통한 IMAP |
||
HTTP |
TCP |
엔드포인트 |
Unified CM |
1023보다 큼 |
8080회 |
레거시 엔드포인트 지원에 대한 디렉터리 URI |
||
https://ko.kr/ko/ko/한국어 |
TCP |
브라우저, 엔드포인트 |
UC 애플리케이션 |
1023보다 큼 |
8443회 |
셀프 케어 및 관리 인터페이스, UDS를 위한 웹 액세스 |
||
https://ko.kr/ko/ko/한국어 |
TCP |
전화 |
Unified CM |
1023보다 큼 |
9443회 |
인증된 연락처 검색 |
||
HTTP들 |
TCP |
엔드포인트 |
Unified CM |
1023보다 큼 |
9444회 |
헤드셋 관리 기능 |
||
보안 RTP/SRTP |
UDP |
Unified CM |
전화 |
16384년 ~ 32767년 * |
16384년 ~ 32767년 * |
미디어(오디오) - 대기 중 음악, 음성 송출기, 소프트웨어 컨퍼런스 브리지(통화 시그널링에 따라 열기) |
||
보안 RTP/SRTP |
UDP |
전화 |
Unified CM |
16384년 ~ 32767년 * |
16384년 ~ 32767년 * |
미디어(오디오) - 대기 중 음악, 음성 송출기, 소프트웨어 컨퍼런스 브리지(통화 시그널링에 따라 열기) |
||
코브라 |
TCP |
클라이언트 |
한국어 (Korean) |
1023보다 큼 |
20532년 |
Application Suite 백업 및 복원 |
||
ICMP를 |
ICMP를 |
엔드포인트 |
UC 애플리케이션 |
n/a |
n/a |
핑 |
||
ICMP를 |
ICMP를 |
UC 애플리케이션 |
엔드포인트 |
n/a |
n/a |
핑 |
||
DNS | UDP 및 TCP |
DNS 포워더 |
전용 인스턴스 DNS 서버 |
1023보다 큼 |
53 |
전용 인스턴스 DNS 서버에 대한 고객 프레미스 DNS 포워더. 자세한 정보는 DNS 요구 사항을 참조하십시오. |
||
* 특정 특수 케이스는 더 큰 범위를 사용할 수 있습니다. |
전용 인스턴스 – OTT 포트
MRA(Mobile and Remote Access) 설정을 위해 고객 및 파트너가 다음 포트를 사용할 수 있습니다.
프로토콜 |
TCP/UCP를 |
소스 |
대상 |
소스 포트 |
대상 포트 |
목적 |
---|---|---|---|---|---|---|
보안 RTP/RTCP |
UDP |
고속도로 C |
클라이언트 |
1023보다 큼 |
36000-59999 |
MRA 및 B2B 통화에 대한 보안 미디어 |
멀티테넌트와 전용 인스턴스 간의 Inter-op SIP 트렁크 (등록 기반 트렁크에만 해당)
멀티테넌트와 전용 인스턴스 간의 등록 기반 SIP 트렁크에 대해 고객의 방화벽에서 다음 포트 목록을 허용해야 합니다.
프로토콜 |
TCP/UCP를 |
소스 |
대상 |
소스 포트 |
대상 포트 |
목적 |
---|---|---|---|---|---|---|
RTP/RTCP를 |
UDP |
Webex Calling 멀티테넌트 |
클라이언트 |
1023보다 큼 |
8000-48198년 |
Webex Calling 멀티테넌트의 미디어 |
전용 인스턴스 – UCCX 포트
UCCX를 구성하기 위해 고객 및 파트너가 다음 포트 목록을 사용할 수 있습니다.
프로토콜 |
TCP / UCP를 |
소스 |
대상 |
소스 포트 |
대상 포트 |
목적 |
---|---|---|---|---|---|---|
SSH의 |
TCP |
클라이언트 |
UCCX 소개 |
1023보다 큼 |
22 |
SFTP 및 SSH |
인포믹스 |
TCP |
클라이언트 또는 서버 |
UCCX 소개 |
1023보다 큼 |
1504년 |
Contact Center Express 데이터베이스 포트 |
SIP |
UDP 및 TCP |
SIP GW 또는 MCRP 서버 |
UCCX 소개 |
1023보다 큼 |
5065회 |
원격 GW 및 MCRP 노드에 대한 통신 |
모델: XMPP |
TCP |
클라이언트 |
UCCX 소개 |
1023보다 큼 |
5223년 |
Finesse 서버와 사용자 정의 타사 애플리케이션 간의 보안 XMPP 연결 |
CVD소개 |
TCP |
클라이언트 |
UCCX 소개 |
1023보다 큼 |
6999호 |
CCX 응용프로그램으로 편집기 |
https://ko.kr/ko/ko/한국어 |
TCP |
클라이언트 |
UCCX 소개 |
1023보다 큼 |
7443회 |
HTTPS를 통한 통신을 위해 Finesse 서버와 에이전트 및 감독자 데스크톱 간의 보안 BOSH 연결 |
HTTP |
TCP |
클라이언트 |
UCCX 소개 |
1023보다 큼 |
8080회 |
라이브 데이터 보고 클라이언트는 socket.IO 서버에 연결합니다. |
HTTP |
TCP |
클라이언트 |
UCCX 소개 |
1023보다 큼 |
8081회 |
Cisco Unified Intelligence Center 웹 인터페이스에 액세스하려고 하는 클라이언트 브라우저 |
HTTP |
TCP |
클라이언트 |
UCCX 소개 |
1023보다 큼 |
8443회 |
SOAP를 통한 관리 GUI, RTMT, DB 액세스 |
https://ko.kr/ko/ko/한국어 |
TCP |
클라이언트 |
UCCX 소개 |
1023보다 큼 |
8444 |
Cisco Unified Intelligence Center 웹 인터페이스 |
https://ko.kr/ko/ko/한국어 |
TCP |
브라우저 및 REST 클라이언트 |
UCCX 소개 |
1023보다 큼 |
8445년 |
Finesse용 보안 포트 |
https://ko.kr/ko/ko/한국어 |
TCP |
클라이언트 |
UCCX 소개 |
1023보다 큼 |
8447년 |
HTTPS - Unified Intelligence Center 온라인 도움말 |
https://ko.kr/ko/ko/한국어 |
TCP |
클라이언트 |
UCCX 소개 |
1023보다 큼 |
8553회 |
싱글 사인온(SSO) 구성 요소는 이 인터페이스에 액세스하여 Cisco IdS의 작동 상태를 알 수 있습니다. |
HTTP |
TCP |
클라이언트 |
UCCX 소개 |
1023보다 큼 |
9080년 |
HTTP 트리거 또는 문서 / 프롬프트 / 문법 / 라이브 데이터에 액세스하려는 클라이언트. |
https://ko.kr/ko/ko/한국어 |
TCP |
클라이언트 |
UCCX 소개 |
1023보다 큼 |
9443회 |
HTTPS 트리거에 액세스하려는 클라이언트에 응답하는 데 사용되는 보안 포트 |
TCP |
TCP |
클라이언트 |
UCCX 소개 |
1023보다 큼 |
12014년 |
이는 라이브 데이터 보고 클라이언트가 socket.IO 서버에 연결할 수 있는 포트입니다. |
TCP |
TCP |
클라이언트 |
UCCX 소개 |
1023보다 큼 |
12015년 |
이는 라이브 데이터 보고 클라이언트가 socket.IO 서버에 연결할 수 있는 포트입니다. |
사이트맵 |
TCP |
클라이언트 |
UCCX 소개 |
1023보다 큼 |
12028년 |
타사 CTI 클라이언트에서 CCX로 |
RTP(미디어) |
TCP |
엔드포인트 |
UCCX 소개 |
1023보다 큼 |
1023보다 큼 |
미디어 포트가 필요에 따라 동적으로 열립니다. |
RTP(미디어) |
TCP |
클라이언트 |
엔드포인트 |
1023보다 큼 |
1023보다 큼 |
미디어 포트가 필요에 따라 동적으로 열립니다. |
클라이언트 보안
SIP OAuth로 Jabber 및 Webex 보안
Jabber 및 Webex 클라이언트는 LSC(로컬 중요 인증서) 대신 OAuth 토큰을 통해 인증됩니다. 이는 CAPF(인증 기관 프록시 기능) 활성화를 요구하지 않습니다(MRA에서도). 혼합 모드를 사용하거나 사용하지 않는 SIP OAuth는 Cisco Unified CM 12.5(1), Jabber 12.5 및 Expressway X12.5에서 도입되었습니다.
Cisco Unified CM 12.5에서는 SIP REGISTER에서 단일 전송 계층 보안(TLS) + OAuth 토큰을 사용하여 LSC/CAPF 없이 암호화를 활성화하는 전화기 보안 프로필에 새로운 옵션이 있습니다. Expressway-C 노드는 관리 XML 웹 서비스(AXL) API를 사용하여 인증서에서 Cisco Unified CM에 SN/SAN을 알립니다. Cisco Unified CM은 이 정보를 사용하여 상호 TLS 연결을 설정할 때 Exp-C 인증서의 유효성을 검증합니다.
SIP OAuth는 엔드포인트 인증서(LSC) 없이 미디어 및 시그널링 암호화를 활성화합니다.
Cisco Jabber는 TFTP 서버에 HTTPS 연결을 통해 임시 포트 및 보안 포트 6971 및 6972 포트를 사용하여 구성 파일을 다운로드합니다. 포트 6970은 HTTP를 통해 다운로드할 수 있는 비보안 포트입니다.
SIP OAuth 구성에 대한 자세한 내용: SIP OAuth 모드.
DNS 요구 사항
전용 인스턴스의 경우 Cisco는 각 지역의 서비스에 대해 다음 형식으로 FQDN을 제공합니다. <고객>.<region>.wxc-di.webex.com 예를 들면, 이메일: info@webex.com...
'고객' 값은 관리자가 FTSW(First Time Setup Wizard)의 일부로 제공합니다. 자세한 정보는 전용 인스턴스 서비스 활성화를 참조하십시오.
이 FQDN에 대한 DNS 레코드를 고객의 내부 DNS 서버에서 확인하여 전용 인스턴스에 연결하는 온-프레미스 장치를 지원해야 합니다. 해결을 용이하게 하려면 고객은 전용 인스턴스 DNS 서비스를 가리키는 DNS 서버에서 이 FQDN에 대한 조건부 착신 전환기를 구성해야 합니다. 전용 인스턴스 DNS 서비스는 지역적이며, 아래 표 전용 인스턴스 DNS 서비스 IP 주소에 언급된 대로 다음 IP 주소를 사용하여 전용 인스턴스로 피어링을 통해 연결할 수 있습니다.
지역/DC | 전용 인스턴스 DNS 서비스 IP 주소 |
조건부 착신 전환 예 |
---|---|---|
AMER |
<고객>.amer.wxc-di.webex.com | |
사이트맵 |
69.168.17.100년 |
|
DFW각주 |
69.168.17.228호 |
|
EMEA |
<고객>.emea.wxc-di.webex.com |
|
론 |
178.215.138.100명 |
|
AMS소개 |
178.215.138.228명 |
|
EU |
<고객>.eu.wxc-di.webex.com |
|
프라이 |
178.215.131.100명 |
|
AMS소개 |
178.215.131.228명 |
|
APJC |
<고객>.apjc.wxc-di.webex.com |
|
신인여우상 |
103.232.71.100명 |
|
TKY의 |
103.232.71.228 이상 |
|
AUS |
<고객>.aus.wxc-di.webex.com | |
멜 |
178.215.128.100명 |
|
사이트맵 |
178.215.128.228명 |
보안상의 이유로 위에서 언급한 DNS 서버 IP 주소에 대한 핑 옵션이 비활성화됩니다. |
조건부 착신 전환이 이루어질 때까지 장치는 피어링 링크를 통해 고객 내부 네트워크에서 전용 인스턴스에 등록할 수 없습니다. 모바일 및 원격 액세스(MRA)를 통한 등록에는 조건부 착신 전환이 필요하지 않습니다. MRA를 용이하게 하는 데 필요한 모든 외부 DNS 레코드는 Cisco에서 미리 프로비저닝됩니다.
전용 인스턴스에서 Webex 응용프로그램을 통화 소프트 클라이언트로 사용할 때 각 지역의 VSD(Voice Service Domain)에 대해 Control Hub에서 UC 관리자 프로필을 구성해야 합니다. 자세한 정보는 Cisco Webex Control Hub의 UC 관리자 프로필을 참조하십시오. Webex 응용프로그램은 최종 사용자의 개입 없이 고객의 Expressway Edge를 자동으로 해결할 수 있습니다.
서비스 활성화가 완료되면 파트너 액세스 문서의 일부로 고객에게 음성 서비스 도메인이 제공됩니다. |
전화기 DNS 확인에 대해 로컬 라우터 사용
기업 DNS 서버에 액세스할 수 없는 전화기의 경우 로컬 Cisco 라우터를 사용하여 DNS 요청을 전용 인스턴스 클라우드 DNS로 전달할 수 있습니다. 이는 로컬 DNS 서버를 배포해야 하는 필요성을 제거하고 캐싱을 포함하여 전체 DNS 지원을 제공합니다.
구성 예 :
!
IP DNS 서버
ip name-server <DI DNS 서버 IP DC1> <DI DNS 서버 IP DC2>
!
이 배포 모델의 DNS 사용은 전화기에 국한되며 고객 전용 인스턴스의 도메인으로 FQDN을 확인하는 데에만 사용할 수 있습니다. |
참조
-
Cisco Collaboration 12.x 솔루션 참조 네트워크 설계(SRND), 보안 주제: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html에서
-
Cisco Unified Communications Manager용 보안 설명서: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html