Netwerkvereisten voor een speciaal exemplaar

Webex Calling speciale exemplaar maakt deel uit van het Cisco Cloud Calling-portfolio, mogelijk gemaakt door de Cisco Unified Communications Manager (Cisco Unified CM)-samenwerkingstechnologie. Een speciale instantie biedt oplossingen voor spraak, video, berichten en mobiliteit, met de functies en voordelen van Cisco IP-telefoons, mobiele apparaten en desktopcl clients die veilig verbinding maken met het speciale exemplaar.

Dit artikel is bestemd voor netwerkbeheerders, vooral firewall- en proxybeveiligingsbeheerders die speciale instantie binnen hun organisatie willen gebruiken. Dit document is voornamelijk gericht op de netwerkvereisten en beveiliging voor speciale instantieoplossing, inclusief de layered aanpak van de functies en functionaliteit die veilige fysieke toegang, een beveiligd netwerk, beveiligde eindpunten en beveiligde Cisco UC-toepassingen bieden.

Beveiligingsoverzicht: Beveiliging in laag

Speciale instantie gebruikt een layered-aanpak voor beveiliging. De laag omvat:

  • Fysieke toegang

  • Netwerk

  • Eindpunten

  • UC-toepassingen

In de volgende gedeelten worden de beveiligingslaag in implementaties van speciale instanties beschreven.

Fysieke beveiliging

Het is belangrijk om fysieke beveiliging te bieden voor equinix Meet-Me-ruimte-locaties en datacentervoorzieningen van cisco-speciale instantie. Wanneer de fysieke beveiliging wordt aangetast, kunnen eenvoudige aanvallen zoals onderbreking van de service door het uitschakelen van de schakelaars van een klant worden gestart. Met fysieke toegang kunnen aanvaller toegang krijgen tot serverapparaten, wachtwoorden herstellen en toegang krijgen tot switches. Fysieke toegang maakt geavanceerdere aanvallen mogelijk, zoals man-in-the-middle-aanvallen. Daarom is de tweede beveiligingslaag, de netwerkbeveiliging, essentieel.

Zelfversleutelingsstations worden gebruikt in speciale datacenters voor instanties die UC-toepassingen hosten.

Raadpleeg de documentatie op de volgende locatie voor meer informatie over de algemene werkwijzen voor beveiliging: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Netwerkbeveiliging

Partners moeten ervoor zorgen dat alle netwerkelementen zijn beveiligd in de infrastructuur van speciale instanties (die verbinding maakt via Equinix). Het is de verantwoordelijkheid van de partner om de beste werkwijzen voor de beveiliging te waarborgen, zoals:

  • Scheid VLAN voor spraak en data

  • Poortbeveiliging inschakelen, waarmee het aantal TOEGESTANe MAC-adressen per poort wordt beperkt, ten opzichte van de CAM-tabel

  • Ip-bronveilige adressen tegen spoofing-IP-adressen

  • Dynamic ARP Inspection (DAI) bekijkt adresresolutieprotocol (ARP) en inbreuk op ARP (GARP) voor overtredingen (tegen ARP spoofing)

  • 802. beperkt1x de netwerktoegang tot verificatieapparaten op toegewezen VLAN's (telefoons ondersteunen 802.1x)

  • Configuratie van servicekwaliteit (Quality of Service, QoS) voor de juiste markering van spraakpakketten

  • Firewallpoortconfiguraties voor het blokkeren van ander verkeer

Beveiliging eindpunten

Cisco-eindpunten ondersteunen standaard beveiligingsfuncties zoals ondertekende firmware, beveiligde opstartfuncties (geselecteerde modellen), geïnstalleerd certificaat van fabrikant (MIC) en ondertekende configuratiebestanden, die een bepaald beveiligingsniveau voor eindpunten bieden.

Daarnaast kan een partner of klant extra beveiliging inschakelen, zoals:

  • IP-telefoonservices (via HTTPS) coderen voor services zoals Toestelmobiliteit

  • Uitgifte lokaal belangrijke certificaten (LCS's) vanuit de functie persoonsgegevens van de certificeringsinstantie (CAPF) of een openbare certificeringsinstantie (CA)

  • Configuratiebestanden coderen

  • Media en signalering coderen

  • Schakel deze instellingen uit als ze niet worden gebruikt: PC-poort, PC Voice VLAN-toegang, BRP(-in) ( internettoegang, instellingenknop, SSH, console)

De implementatie van beveiligingsmechanismen in het speciale exemplaar voorkomt identiteitsdiefstal van de telefoons en de Unified CM-server, gegevens geknoeid en gesprekssignalering/mediastream geknoeid.

Speciale instantie via het netwerk:

  • Brengt geverifieerde communicatiestromen tot stand en behoudt deze

  • Tekent bestanden digitaal voor overdracht van het bestand naar de telefoon

  • Codeer mediastreams en gesprekssignalering tussen Cisco Unified IP-telefoons

Standaardbeveiligingsinstellingen

Beveiliging biedt standaard de volgende automatische beveiligingsfuncties voor Cisco Unified IP-telefoons:

  • Ondertekening van de telefoonconfiguratiebestanden

  • Ondersteuning voor de codering van het telefoonconfiguratiebestand

  • HTTPS met Tomcat en andere webservices (MIDservices)

Voor Unified CM versie 8.0 later worden deze beveiligingsfuncties standaard aangeboden zonder dat de CTL-client (Certificate Trust List) wordt uitgevoerd.

Vertrouwde verificatieservice

Omdat er een groot aantal telefoons in een netwerk en IP-telefoons beperkte geheugen hebben, fungeert Cisco Unified CM als een externe trust store via de Trust Verification Service (TVS) zodat er geen store voor vertrouwde certificaten op elke telefoon hoeft te worden geplaatst. De Cisco IP-telefoons nemen voor verificatie contact op met de TVS-server omdat ze geen handtekening of certificaat kunnen verifiëren via CTL- of ITL-bestanden. Een centrale trust store is eenvoudiger te beheren dan de trust store op elke vertrouwde store op Cisco Unified IP-telefoon.

MET TVS Cisco Unified IP-telefoons toepassingsservers verifiëren, zoals EM-services, directory en MIDlet, tijdens het gebruik van HTTPS.

Eerste vertrouwde lijst

Het ITL-bestand (Initial Trust List) wordt gebruikt voor de eerste beveiliging, zodat de eindpunten de CM Cisco Unified vertrouwen. ITL heeft geen beveiligingsfuncties nodig om expliciet te worden ingeschakeld. Het ITL-bestand wordt automatisch gemaakt wanneer het cluster wordt geïnstalleerd. De privésleutel van de Unified CM Trivial File Transfer Protocol-server (TFTP) wordt gebruikt om het ITL-bestand te ondertekenen.

Wanneer de Cisco Unified CM-cluster of -server zich in de niet-beveiligde modus heeft, wordt het ITL-bestand gedownload op elke ondersteunde Cisco IP-telefoon. Een partner kan de inhoud van een ITL-bestand weergeven met de CLI-opdracht, admin:show itl.

Voor Cisco IP-telefoons is het ITL-bestand nodig om de volgende taken uit te voeren:

  • Veilig communiceren met CAPF, een vereiste voor ondersteuning van de codering van het configuratiebestand

  • De handtekening van het configuratiebestand verifiëren

  • Verifieert toepassingsservers, zoals EM-services, directory en MIDlet tijdens HTTPS-gebruik met TVS

Cisco CTL

Apparaat-, bestands- en signaleringsverificatie vertrouwen op het maken van het CTL-bestand (Certificate Trust List), dat wordt gemaakt wanneer de partner of klant de Cisco Certificate Trust List-client installeert en configureert.

Het CTL-bestand bevat vermeldingen voor de volgende servers of beveiligingstokens:

  • Beveiligings token systeembeheerder (SAST)

  • Cisco CallManager en Cisco TFTP-services die worden uitgevoerd op dezelfde server

  • Functie Certificate Authority Proxy (CAPF)

  • TFTP-server(s)

  • ASA-firewall

Het CTL-bestand bevat een servercertificaat, openbare sleutel, serienummer, handtekening, naam van de verlener, onderwerpnaam, serverfunctie, DNS-naam en IP-adres voor elke server.

Telefoonbeveiliging met CTL biedt de volgende functies:

  • Verificatie van gedownloade TFTP-bestanden (configuratie, locale, bellijst, bijvoorbeeld) met behulp van een ondertekeningssleutel

  • Codering van TFTP-configuratiebestanden met behulp van een ondertekeningssleutel

  • Gecodeerde gesprekssignalering voor IP-telefoons

  • Gecodeerde gespreksaudio (media) voor IP-telefoons

Beveiliging voor Cisco IP-telefoons in een speciaal exemplaar

Speciale instantie biedt eindpuntregistratie en gespreksverwerking. De signalering tussen uw Cisco Unified CM en eindpunten is gebaseerd op Secure Skinny Client Control Protocol (SCCP) of SIP (Session Initiation Protocol) (SIP) en kan worden gecodeerd met Transport Layer Security (TLS). De media van/naar de eindpunten zijn gebaseerd op realtime transportprotocol (RTP) en kunnen ook worden gecodeerd met veilige RTP (SRTP).

Door het inschakelen van de gemengde modus op Unified CM is de codering van de signalering en mediaverkeer van en naar De Cisco-eindpunten mogelijk.

Beveiligde UC-toepassingen

Gemengde modus inschakelen in een speciaal exemplaar

De gemengde modus is niet standaard ingeschakeld in Speciale instantie.

Door het inschakelen van de gemengde modus in een speciaal exemplaar is het mogelijk om codering van de signalering en het mediaverkeer van en naar de Cisco-eindpunten uit te voeren.

In Cisco Unified CM-release 12.5(1) is een nieuwe optie toegevoegd voor het inschakelen van codering van signalering en media op basis van SIP OAuth in plaats van de gemengde modus/ CTL voor Jabber- en Webex-clients. Daarom kunnen in Unified CM-versie 12.5(1) SIP OAuth en SRTP worden gebruikt om codering voor signalering en media in te stellen voor Jabber- of Webex-clients. Het inschakelen van de gemengde modus is momenteel vereist voor Cisco IP-telefoons en andere Cisco-eindpunten. Er is een plan om ondersteuning voor SIP OAuth toe te voegen aan 7800/8800-eindpunten in een toekomstige versie.

Beveiliging van spraakberichten

Cisco Unity Connection via de TLS-poort verbinding maken met Unified CM. Wanneer de apparaatbeveiligingsmodus niet beveiligd is, maakt Cisco Unity Connection via de SCCP-poort verbinding met Unified CM.

Om beveiliging te configureren voor Unified CM-spraakberichtenpoorten en Cisco Unity-apparaten met SCCP- of Cisco Unity Connection-apparaten met SCCP, kan een partner een veilige apparaatbeveiligingsmodus voor de poort kiezen. Als u een geverifieerde voicemailpoort kiest, wordt er een TLS-verbinding geopend waarmee de apparaten worden geverifieerd via een gemeenschappelijke certificaat-exchange (elk apparaat accepteert het certificaat van het andere apparaat). Als u een gecodeerde voicemailpoort kiest, verifieert het systeem eerst de apparaten en verzendt het vervolgens gecodeerde spraakstreams tussen de apparaten.

Raadpleeg voor meer informatie over de beveiliging van spraakberichtenpoorten: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Beveiliging voor SRST, trunks, gateways, CUBE/SBC

Een gateway Cisco Unified overgebleven externe sitetelefonie (SRST) biedt beperkte gespreksverwerkingstaken als de Cisco Unified CM op een speciaal exemplaar het gesprek niet kan voltooien.

Beveiligde SRST-gateways bevatten een zelf-ondertekend certificaat. Nadat een partner SRST-configuratietaken in Unified CM Administration uitvoert, gebruikt Unified CM een TLS-verbinding om te verifiëren bij de service voor certificaatproviders in de gateway die is ingeschakeld voor SRST. Unified CM haalt vervolgens het certificaat op van de gateway voor ingeschakelde SRST en voegt het certificaat toe aan de Unified CM-database.

Nadat de partner de afhankelijke apparaten in Unified CM-beheer opnieuw heeft ingesteld, voegt de TFTP-server het gatewaycertificaat met SRST toe aan het bestand phone cnf.xml en verzendt het bestand naar de telefoon. Een beveiligde telefoon gebruikt vervolgens een TLS-verbinding om met de gateway voor SRST te communiceren.

Het wordt aanbevolen om beveiligde trunks voor het gesprek dat afkomstig is van Cisco Unified CM naar de gateway voor uitgaande PSTN gesprekken of traversing via de Cisco Unified Border Element (CUBE).

SIP-trunks kunnen beveiligde gesprekken ondersteunen voor zowel signalering als media; TLS biedt signaleringscodering en SRTP biedt mediacodering.

Communicatie tussen Cisco Unified CM en CUBE beveiligen

Voor veilige communicatie tussen Cisco Unified CM en CUBE moeten partners/klanten zelf ondertekende certificaten of CA-ondertekende certificaten gebruiken.

Voor zelf-ondertekende certificaten:

  1. CUBE en Cisco Unified CM zelf-ondertekende certificaten genereren

  2. CUBE exporteert certificaat naar Cisco Unified CM

  3. Cisco Unified CM exporteert certificaat naar CUBE

Voor certificaten die door een certificeringsstantie zijn ondertekend:

  1. Client genereert een sleutelpaar en verzendt een CSR (Ondertekeningsaanvraag certificaat) naar de certificeringsinstantie (CA)

  2. De CA tekent deze met zijn privésleutel, waardoor een identiteitscertificaat wordt aanmaken

  3. Client installeert de lijst met vertrouwde CA-hoofd- en certificaatcertificaten en het identiteitscertificaat

Beveiliging voor externe eindpunten

Voor mobiele en Remote Access (MRA)-eindpunten worden de signalering en media altijd gecodeerd tussen de MRA-eindpunten en Expressway knooppunten. Als het ICE-protocol (Interactive Connectivity Ice) wordt gebruikt voor MRA-eindpunten, is signalering en mediacodering van de MRA-eindpunten vereist. Voor de codering van de signalering en media tussen Expressway-C en de interne Unified CM-servers, interne eindpunten of andere interne apparaten is echter gemengde modus of SIP OAuth nodig.

Cisco Expressway biedt beveiligde firewall-traversal en ondersteuning aan de lijn voor Unified CM-registraties. Unified CM biedt gespreksbeheer voor mobiele en lokale eindpunten. Signalen gaan via de verbinding Expressway het externe eindpunt en Unified CM. Media gaat door de Expressway-oplossing en worden rechtstreeks tussen eindpunten door relayed. Alle media worden gecodeerd tussen Expressway-C en het mobiele eindpunt.

Voor elke MRA-oplossing Expressway Unified CM, met MRA-compatibele soft clients en/of vaste eindpunten. De oplossing kan eventueel de chat- en aanwezigheidsservice en Unity Connection bevatten.

Protocoloverzicht

De volgende tabel toont de protocollen en gekoppelde services die worden gebruikt in de Unified CM-oplossing.

Tabel 1. Protocollen en gekoppelde services

Protocol

Beveiliging

Service

SIP

TLS

Sessie-sessie: Registreren, Uitnodigen, enzovoort.

HTTPS

TLS

Aanmelding, inrichting/configuratie, telefoonlijst, visuele voicemail

Media

SRTP

Media: Audio, video, inhoud delen

XMPP

TLS

Chatten, Aanwezigheid, Federatie

Voor meer informatie over MRA-configuratie, zie: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Configuratie-opties

De speciale instantie biedt een partner de flexibiliteit om services voor eindgebruikers aan te passen via volledig beheer van configuraties op dag twee. Als gevolg hiervan is de partner als enige verantwoordelijk voor de juiste configuratie van de speciale instantieservice voor de omgeving van de eindgebruiker. Dit is inclusief, maar niet beperkt tot:

  • Het kiezen van beveiligde/onveilige gesprekken, beveiligde/onveilige protocollen zoals SIP/sSIP, http/https enzovoort en het begrijpen van gekoppelde risico's.

  • Voor alle MAC-adressen die niet zijn geconfigureerd als beveiligd-SIP in een speciaal exemplaar kan een misbruik misbruikmelding SIP-registratie verzenden met dat MAC-adres en SIP-gesprekken kunnen voeren, wat tot betaald fraude leidt. De perquisite is dat de aanvaller zijn/haar SIP-apparaat/software zonder verificatie kan registreren bij een speciaal exemplaar als hij/zij het MAC-adres kent van een apparaat dat is geregistreerd in een speciaal exemplaar.

  • Expressway-E-gespreksbeleid, transformatie- en zoekregels moeten worden geconfigureerd om betaald fraude te voorkomen. Voor meer informatie over het voorkomen van fraude met Expressways raadpleegt u Beveiliging voor de Expressway C en Expressway-E-sectie van Collaboration SRND.

  • Kiesplanconfiguratie om ervoor te zorgen dat gebruikers alleen kiesbestemmingen kunnen kiezen die zijn toegestaan, bijvoorbeeld verbieden nationaal/internationaal bellen, noodoproepen correct worden gerouteerd enzovoort. Voor meer informatie over het toepassen van beperkingen met belplan raadpleegt u het gedeelte Belplan van Collaboration SRND.

Certificaatvereisten voor beveiligde verbindingen in een speciaal exemplaar

Cisco levert het domein en ondertekent alle certificaten voor de UC-toepassingen via een openbare certificeringsinstantie (CA).

Speciaal exemplaar - Poortnummers en protocollen

De volgende tabellen beschrijft de poorten en protocollen die worden ondersteund in een speciaal exemplaar. Poorten die worden gebruikt voor een bepaalde klant, hangen af van de implementatie en oplossing van de klant. Protocollen zijn afhankelijk van de voorkeur van de klant (SCCP vs SIP), de bestaande apparaten op locatie en het beveiligingsniveau om te bepalen welke poorten in elke implementatie moeten worden gebruikt.

Speciale instantie - Klantpoorten

De voor klanten beschikbare poorten tussen de locatie van de klant en de toegewezen instantie worden weergegeven in tabel 1 Toegewezen klantpoorten voor de klant. Alle onderstaande poorten zijn voor klantverkeer door de peeringkoppelingen.


SNMP-poort wordt alleen ondersteund voor CER-functionaliteit en niet voor andere controletools van derden.


Poorten in het bereik 5063 tot 5080 worden gereserveerd door Cisco voor andere cloudintegraties, partner- of klantbeheerders wordt aanbevolen deze poorten niet in hun configuraties te gebruiken.

Tabel 2. Toegewezen poorten klant

Protocol

TCP/UCP

Bron

Bestemming

Bronpoort

Bestemmingspoort

Doel

SSH

TCP

Klant

UC-toepassingen

Meer dan 1023

22

Beheer

LDAP

TCP

UC-toepassingen

Externe directory

Meer dan 1023

389

Adreslijstsynchronisatie met LDAP-klant

HTTPS

TCP

Browser

UC-toepassingen

Meer dan 1023

443

Webtoegang voor self care- en beheerinterfaces

LDAP (BEVEILIGD)

TCP

UC-toepassingen

Externe directory

Meer dan 1023

636

Adreslijstsynchronisatie met LDAP-klant

SCCP

TCP

Eindpunt

Unified CM, CUCxn

Meer dan 1023

2000

Gesprekssignalering

SCCP

TCP

Unified CM

Unified CM, Gateway

Meer dan 1023

2000

Gesprekssignalering

SCCP (BEVEILIGD)

TCP

Eindpunt

Unified CM, CUCxn

Meer dan 1023

2443

Gesprekssignalering

SCCP (BEVEILIGD)

TCP

Unified CM

Unified CM, Gateway

Meer dan 1023

2443

Gesprekssignalering

Vertrouwensverificatie

TCP

Eindpunt

Unified CM

Meer dan 1023

2445

Vertrouwensverificatieservice aan eindpunten aanbieden

CTI

TCP

Eindpunt

Unified CM

Meer dan 1023

2748

Verbinding tussen CTI-toepassingen (JTAPI/TSP) en CTIManager

Beveiligde CTI

TCP

Eindpunt

Unified CM

Meer dan 1023

2749

Beveiligde verbinding tussen CTI-toepassingen (JTAPI/TSP) en CTIManager

Wereldwijde LDAP-catalogus

TCP

UC-toepassingen

Externe directory

Meer dan 1023

3268

Adreslijstsynchronisatie met LDAP-klant

Wereldwijde LDAP-catalogus

TCP

UC-toepassingen

Externe directory

Meer dan 1023

3269

Adreslijstsynchronisatie met LDAP-klant

CAPF-service

TCP

Eindpunt

Unified CM

Meer dan 1023

3804

De CAPF-luisterpoort (Certificate Authority Proxy Function) voor het uitgeven van lokaal belangrijke certificaten (LSC) naar IP-telefoons

SIP

TCP

Eindpunt

Unified CM, CUCxn

Meer dan 1023

5060

Gesprekssignalering

SIP

TCP

Unified CM

Unified CM, Gateway

Meer dan 1023

5060

Gesprekssignalering

SIP (VEILIG)

TCP

Eindpunt

Unified CM

Meer dan 1023

5061

Gesprekssignalering

SIP (VEILIG)

TCP

Unified CM

Unified CM, Gateway

Meer dan 1023

5061

Gesprekssignalering

SIP (OAUTH)

TCP

Eindpunt

Unified CM

Meer dan 1023

5090

Gesprekssignalering

XMPP

TCP

Jabber-client

Cisco IM&P

Meer dan 1023

5222

Chatten en aanwezigheid

HTTP

TCP

Eindpunt

Unified CM

Meer dan 1023

6970

Configuratie en afbeeldingen downloaden naar eindpunten

HTTPS

TCP

Eindpunt

Unified CM

Meer dan 1023

6971

Configuratie en afbeeldingen downloaden naar eindpunten

HTTPS

TCP

Eindpunt

Unified CM

Meer dan 1023

6972

Configuratie en afbeeldingen downloaden naar eindpunten

HTTP

TCP

Jabber-client

CUCxn

Meer dan 1023

7080

Voicemailmeldingen

HTTPS

TCP

Jabber-client

CUCxn

Meer dan 1023

7443

Beveiligde voicemailmeldingen

HTTPS

TCP

Unified CM

Unified CM

Meer dan 1023

7501

Gebruikt door Intercluster Lookup Service (ILS) voor verificatie op basis van certificaat

HTTPS

TCP

Unified CM

Unified CM

Meer dan 1023

7502

Gebruikt door ILS voor verificatie op basis van wachtwoord

IMAP

TCP

Jabber-client

CUCxn

Meer dan 1023

7993

IMAP via TLS

HTTPS

TCP

Browser, eindpunt

UC-toepassingen

Meer dan 1023

8443

Webtoegang voor self care- en beheerinterfaces, UDS

HTTPS

TCP

Prem

Unified CM

Meer dan 1023

9443

Geverifieerd contact zoeken

Beveiligde RTP/SRTP

UDP

Unified CM

Telefoon

16384 tot 32767 *

16384 tot 32767 *

Media (audio) - Muziek in de wacht, Annunciator, Software Conference Bridge (open op basis van gesprekssignalering)

Beveiligde RTP/SRTP

UDP

Telefoon

Unified CM

16384 tot 32767 *

16384 tot 32767 *

Media (audio) - Muziek in de wacht, Annunciator, Software Conference Bridge (open op basis van gesprekssignalering)

ICMP

ICMP

Eindpunt

UC-toepassingen

n.v.t.

n.v.t.

Ping

ICMP

ICMP

UC-toepassingen

Eindpunt

n.v.t.

n.v.t.

Ping

* Bepaalde speciale gevallen kunnen een groter bereik gebruiken.

Speciale instantie - OTT-poorten

De volgende lijst met poorten kan worden gebruikt door klanten en partners voor mobile en Remote Access (MRA)-installatie:

Tabel 3. Lijst met poorten voor OTT

Protocol

TCP/UCP

Bron

Bestemming

Bronpoort

Bestemmingspoort

Doel

VEILIGE SIP

TCP

Eindpunt

Expressway E

Meer dan 1023

5061

Beveiligde SIP-signalering voor MRA-registratie en -gesprekken

VEILIGE SIP

TCP

Eindpunt/server

Expressway E

Meer dan 1023

5062

Beveiligde SIP voor B2B-gesprekken

BEVEILIGDE RTP/RTCP

UDP

Eindpunt/server

Expressway E

Meer dan 1023

36000-59999

Beveiligde media voor MRA- en B2B-gesprekken

HTTPS (BEVEILIGD)

TLS

Klant

Expressway E

Meer dan 1023

8443

CUCM UDS en CUCxn REST voor MRA-gesprekken

XMLS

TLS

Klant

Expressway E

Meer dan 1023

5222

Chat en aanwezigheid

KEREN

UDP

ICE-client

Expressway E

Meer dan 1023

3478

ICE/STUN/TURN-onderhandeling

BEVEILIGDE RTP/RTCP

UPD

ICE-client

Expressway E

Meer dan 1023

24000-29999

Media voor ICE-terugval in- of turnen

Speciaal exemplaar - UCCX-poorten

De volgende lijst met poorten kan door klanten en partners worden gebruikt voor het configureren van UCCX.

Tabel 4. Cisco UCCX-poorten

Protocol

TCP / UCP

Bron

Bestemming

Bronpoort

Bestemmingspoort

Doel

SSH

TCP

Klant

UCCX

Meer dan 1023

22

SFTP en SSH

Informix

TCP

Client of server

UCCX

Meer dan 1023

1504

Unified CCX-databasepoort

SIP

UDP en TCP

SIP GW- of MCRP-server

UCCX

Meer dan 1023

5065

Communicatie naar externe GW- en MCRP-knooppunten

XMPP

TCP

Klant

UCCX

Meer dan 1023

5223

Beveiligde XMPP-verbinding tussen de Finesse-server en aangepaste toepassingen van derden

CVD

TCP

Klant

UCCX

Meer dan 1023

6999

Editor voor CCX-toepassingen

HTTPS

TCP

Klant

UCCX

Meer dan 1023

7443

Beveiligde BOSH-verbinding tussen de Finesse-server en de Agent and Supervisor Desktops voor communicatie via HTTPS

HTTP

TCP

Klant

UCCX

Meer dan 1023

8080

Clients voor live-gegevensrapportage maken verbinding met de socket. IO-server

HTTP

TCP

Klant

UCCX

Meer dan 1023

8081

Clientbrowser probeert toegang te krijgen tot de Cisco Unified Intelligence Center-webinterface

HTTP

TCP

Klant

UCCX

Meer dan 1023

8443

Beheer-GUI, RTMT, DB-toegang via SOAP

HTTPS

TCP

Klant

UCCX

Meer dan 1023

8444

Cisco Unified Intelligence Center-webinterface

HTTPS

TCP

Browser- en REST-clients

UCCX

Meer dan 1023

8445

Veilige poort voor Finesse

HTTPS

TCP

Klant

UCCX

Meer dan 1023

8447

HTTPS - Unified Intelligence Center online help

HTTPS

TCP

Klant

UCCX

Meer dan 1023

8553

Via onderdelen van Single Sign-On (SSO) krijgt u toegang tot deze interface om te zien wat de werkingsstatus van Cisco IdS is.

HTTP

TCP

Klant

UCCX

Meer dan 1023

9080

Clients die http-triggers of documenten/prompts/grammatica's/livegegevens proberen te openen.

HTTPS

TCP

Klant

UCCX

Meer dan 1023

9443

Beveiligde poort die wordt gebruikt om te reageren op clients die proberen toegang te krijgen tot HTTPS-triggers

TCP

TCP

Klant

UCCX

Meer dan 1023

12014

Dit is de poort waar clients voor live-datarapportage verbinding kunnen maken met de socket. IO-server

TCP

TCP

Klant

UCCX

Meer dan 1023

12015

Dit is de poort waar clients voor live-datarapportage verbinding kunnen maken met de socket. IO-server

CTI

TCP

Klant

UCCX

Meer dan 1023

12028

CTI-client van derden bij CCX

RTP (Media)

TCP

Eindpunt

UCCX

Meer dan 1023

Meer dan 1023

Mediapoort wordt naar behoefte dynamisch geopend

RTP (Media)

TCP

Klant

Eindpunt

Meer dan 1023

Meer dan 1023

Mediapoort wordt naar behoefte dynamisch geopend

Beveiliging van client

Jabber en Webex beveiligen met SIP OAuth

Jabber- en Webex-clients worden geverifieerd via een OAuth-token in plaats van een lokaal significant certificaat (LSC), waarvoor ook geen CAPF-functie (Certificate Authority Proxy) is vereist. SIP OAuth, dat werkt met of zonder gemengde modus, is geïntroduceerd in Cisco Unified CM 12.5(1), Jabber 12.5 en Expressway X12.5.

In Cisco Unified CM 12.5 hebben we een nieuwe optie in Telefoonbeveiligingsprofiel die codering zonder LSC/CAPF mogelijk maakt met behulp van enkele Transport Layer Security (TLS) + OAuth-token in SIP REGISTREREN. Expressway-C-knooppunten maken gebruik van de AXL-API (Administrative XML Web Service) om Cisco Unified CM te informeren over de SN/SAN in het certificaat. Cisco Unified CM gebruikt deze informatie om het Exp-C-certificaat te valideren bij het tot stand brengen van gemeenschappelijke TLS verbinding.

SIP OAuth maakt codering van media en signalering mogelijk zonder een eindpuntcertificaat (LSC).

Cisco Jabber gebruikt Epische poorten en veilige poorten 6971 en 6972-poorten via HTTPS-verbinding met de TFTP-server om de configuratiebestanden te downloaden. Poort 6970 is een niet-beveiligde poort voor downloaden via HTTP.

Meer informatie over SIP OAuth-configuratie: SIP OAuth-modus.

DNS-vereisten

Voor een speciaal exemplaar levert Cisco FQDN service in elke regio met de volgende indeling<customer><region>. wxc-di.webex.com bijvoorbeeld een xyz.amer.wxc-di.webex.com.

De waarde 'klant' wordt geleverd door de beheerder als onderdeel van de wizard First Time Setup (FTSW). Raadpleeg Speciale instantie-serviceactivering voor meer informatie.

DNS-records voor deze FQDN moeten kunnen worden opgelost vanaf de interne DNS-server van de klant om apparaten op locatie te ondersteunen die verbinding maken met de speciale instantie. Om resolutie te vergemakkelijken, moet de klant een Conditionele door forwarder configureren voor deze FQDN server naar de Speciale instantie DNS-service wijzen. De DNS-service voor een speciale instantie is regionaal en kan via de peering naar een speciaal exemplaar worden bereikt door de volgende IP-adressen te gebruiken zoals vermeld in de onderstaande tabel Speciaal exemplaar DNS-service-IP-adres.

Tabel 5. Speciaal EXEMPLAAR DNS-service IP-adres

Regio/DC

Speciaal EXEMPLAAR DNS-service IP-adres

Voorbeeld van conditionele doorsturen

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

ZONDE

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


De ping-optie is om veiligheidsredenen uitgeschakeld voor de bovenstaande IP-adressen van de DNS-server.

Apparaten kunnen zich niet registreren bij de speciale instantie van het interne netwerk van de klant via de peeringkoppelingen totdat de conditionele doorver forwarding is gebeurt. Conditionele doorsturen is niet vereist voor registratie via Mobile en Remote Access (MRA), aangezien alle vereiste externe DNS-records om MRA te vergemakkelijken vooraf door Cisco worden ingericht.

Wanneer u de Webex-toepassing gebruikt als softclient voor bellen in een speciaal exemplaar, moet er een UC Manager-profiel worden geconfigureerd in Control Hub voor het spraakservicedomein (VSD) van elke regio. Voor meer informatie raadpleegt u UC Manager-profielen in Cisco Webex Control Hub. De Webex-toepassing kan de toepassing van de klant in Edge automatisch Expressway, zonder tussenkomst van een eindgebruiker.


Het spraakservicedomein wordt aan de klant geleverd als onderdeel van het partnertoegangsdocument zodra de service is geactiveerd.