Netwerkvereisten voor een speciaal exemplaar

Webex Calling speciale exemplaar maakt deel uit van het Cisco Cloud Calling-portfolio, mogelijk gemaakt door de Cisco Unified Communications Manager (Cisco Unified CM)-samenwerkingstechnologie. Een speciale instantie biedt oplossingen voor spraak, video, berichten en mobiliteit, met de functies en voordelen van Cisco IP-telefoons, mobiele apparaten en desktopcl clients die veilig verbinding maken met het speciale exemplaar.

Dit artikel is bestemd voor netwerkbeheerders, vooral firewall- en proxybeveiligingsbeheerders die speciale instantie binnen hun organisatie willen gebruiken. Dit document is voornamelijk gericht op de netwerkvereisten en beveiliging voor speciale instantieoplossing, inclusief de layered aanpak van de functies en functionaliteit die veilige fysieke toegang, een beveiligd netwerk, beveiligde eindpunten en beveiligde Cisco UC-toepassingen bieden.

Certificaatvereisten voor beveiligde verbindingen in een speciaal exemplaar

Voor Webex Calling een speciaal exemplaar levert Cisco het domein en tekent alle certificaten voor de UC-toepassingen via een openbare certificeringsinstantie (CA).

Speciaal exemplaar - Poortnummers en protocollen

De volgende tabellen beschrijft de poorten en protocollen die worden ondersteund in een speciaal exemplaar. Poorten die worden gebruikt voor een bepaalde klant, hangen af van de implementatie en oplossing van de klant. Protocollen zijn afhankelijk van de voorkeur van de klant (SCCP vs SIP), de bestaande apparaten op locatie en het beveiligingsniveau om te bepalen welke poorten in elke implementatie moeten worden gebruikt.

Speciale instantie - Klantpoorten

De voor klanten beschikbare poorten tussen de locatie van de klant en de toegewezen instantie worden weergegeven in tabel 1 Klantpoorten voor toegewezeninstanties. Alle onderstaande poorten zijn voor klantverkeer door de peeringkoppelingen.


SNMP-poort wordt alleen ondersteund voor CER-functionaliteit en niet voor andere controletools van derden.

Tabel 1. Toegewezen poorten klant

Protocol

TCP/UCP

Bron

Bestemming

Bronpoort

Bestemmingspoort

Doel

SSH

TCP

Klant

UC-toepassingen

Meer dan 1023

22

Beheer

LDAP

TCP

UC-toepassingen

Externe directory

Meer dan 1023

389

Adreslijstsynchronisatie met LDAP-klant

HTTPS

TCP

Browser

UC-toepassingen

Meer dan 1023

443

Webtoegang voor self care- en beheerinterfaces

LDAP (BEVEILIGD)

TCP

UC-toepassingen

Externe directory

Meer dan 1023

636

Adreslijstsynchronisatie met LDAP-klant

SCCP

TCP

Eindpunt

Unified CM, CUCxn

Meer dan 1023

2000

Gesprekssignalering

SCCP

TCP

Unified CM

Unified CM, Gateway

Meer dan 1023

2000

Gesprekssignalering

SCCP (BEVEILIGD)

TCP

Eindpunt

Unified CM, CUCxn

Meer dan 1023

2443

Gesprekssignalering

SCCP (BEVEILIGD)

TCP

Unified CM

Unified CM, Gateway

Meer dan 1023

2443

Gesprekssignalering

Vertrouwensverificatie

TCP

Eindpunt

Unified CM

Meer dan 1023

2445

Vertrouwensverificatieservice aan eindpunten aanbieden

CTI

TCP

Eindpunt

Unified CM

Meer dan 1023

2748

Verbinding tussen CTI-toepassingen (JTAPI/TSP) en CTIManager

Beveiligde CTI

TCP

Eindpunt

Unified CM

Meer dan 1023

2749

Beveiligde verbinding tussen CTI-toepassingen (JTAPI/TSP) en CTIManager

Wereldwijde LDAP-catalogus

TCP

UC-toepassingen

Externe directory

Meer dan 1023

3268

Adreslijstsynchronisatie met LDAP-klant

Wereldwijde LDAP-catalogus

TCP

UC-toepassingen

Externe directory

Meer dan 1023

3269

Adreslijstsynchronisatie met LDAP-klant

CAPF-service

TCP

Eindpunt

Unified CM

Meer dan 1023

3804

De CAPF-luisterpoort (Certificate Authority Proxy Function) voor het uitgeven van lokaal belangrijke certificaten (LSC) naar IP-telefoons

SIP

TCP

Eindpunt

Unified CM, CUCxn

Meer dan 1023

5060

Gesprekssignalering

SIP

TCP

Unified CM

Unified CM, Gateway

Meer dan 1023

5060

Gesprekssignalering

SIP (VEILIG)

TCP

Eindpunt

Unified CM

Meer dan 1023

5061

Gesprekssignalering

SIP (VEILIG)

TCP

Unified CM

Unified CM, Gateway

Meer dan 1023

5061

Gesprekssignalering

SIP (OAUTH)

TCP

Eindpunt

Unified CM

Meer dan 1023

5090

Gesprekssignalering

XMPP

TCP

Jabber-client

Cisco IM&P

Meer dan 1023

5222

Chatten en aanwezigheid

HTTP

TCP

Eindpunt

Unified CM

Meer dan 1023

6970

Configuratie en afbeeldingen downloaden naar eindpunten

HTTPS

TCP

Eindpunt

Unified CM

Meer dan 1023

6971

Configuratie en afbeeldingen downloaden naar eindpunten

HTTPS

TCP

Eindpunt

Unified CM

Meer dan 1023

6972

Configuratie en afbeeldingen downloaden naar eindpunten

HTTP

TCP

Jabber-client

CUCxn

Meer dan 1023

7080

Voicemailmeldingen

HTTPS

TCP

Jabber-client

CUCxn

Meer dan 1023

7443

Beveiligde voicemailmeldingen

HTTPS

TCP

Unified CM

Unified CM

Meer dan 1023

7501

Gebruikt door Intercluster Lookup Service (ILS) voor verificatie op basis van certificaat

HTTPS

TCP

Unified CM

Unified CM

Meer dan 1023

7502

Gebruikt door ILS voor verificatie op basis van wachtwoord

IMAP

TCP

Jabber-client

CUCxn

Meer dan 1023

7993

IMAP via TLS

HTTPS

TCP

Browser, eindpunt

UC-toepassingen

Meer dan 1023

8443

Webtoegang voor self care- en beheerinterfaces, UDS

HTTPS

TCP

Prem

Unified CM

Meer dan 1023

9443

Geverifieerd contact zoeken

Beveiligde RTP/SRTP

UDP

Unified CM

Telefoon

16384 tot 32767 *

16384 tot 32767 *

Media (audio) - Muziek in de wacht, Annunciator, Software Conference Bridge (open op basis van gesprekssignalering)

Beveiligde RTP/SRTP

UDP

Telefoon

Unified CM

16384 tot 32767 *

16384 tot 32767 *

Media (audio) - Muziek in de wacht, Annunciator, Software Conference Bridge (open op basis van gesprekssignalering)

ICMP

ICMP

Eindpunt

UC-toepassingen

n.v.t.

n.v.t.

Ping

ICMP

ICMP

UC-toepassingen

Eindpunt

n.v.t.

n.v.t.

Ping

* Bepaalde speciale gevallen kunnen een groter bereik gebruiken.

Speciale instantie - OTT-poorten

De volgende lijst met poorten kan worden gebruikt door klanten en partners voor mobiele en Remote Access (MRA)-configuratie:

Tabel 2. Lijst met poorten voor OTT

Protocol

TCP/UCP

Bron

Bestemming

Bronpoort

Bestemmingspoort

Doel

VEILIGE SIP

TCP

Eindpunt

Expressway-

Meer dan 1023

5061

Beveiligde SIP-signalering voor MRA-registratie en -gesprekken

VEILIGE SIP

TCP

Eindpunt/server

Expressway-

Meer dan 1023

5062

Beveiligde SIP voor B2B-gesprekken

BEVEILIGDE RTP/RTCP

UDP

Eindpunt/server

Expressway-

Meer dan 1023

36000-59999

Beveiligde media voor MRA- en B2B-gesprekken

HTTPS (BEVEILIGD)

TLS

Klant

Expressway-

Meer dan 1023

8443

CUCM UDS en CUCxn REST voor MRA-gesprekken

XMLS

TLS

Klant

Expressway-

Meer dan 1023

5222

Chat en aanwezigheid

KEREN

UDP

ICE-client

Expressway-

Meer dan 1023

3478

ICE/STUN/TURN-onderhandeling

BEVEILIGDE RTP/RTCP

UPD

ICE-client

Expressway-

Meer dan 1023

24000-29999

Media voor ICE-terugval in- of turnen

Speciaal exemplaar - UCCX-poorten

De volgende lijst met poorten kan door klanten en partners worden gebruikt voor het configureren van UCCX.

Tabel 3. Cisco UCCX-poorten

Protocol

TCP / UCP

Bron

Bestemming

Bronpoort

Bestemmingspoort

Doel

SSH

TCP

Klant

UCCX

Meer dan 1023

22

SFTP en SSH

Informix

TCP

Client of server

UCCX

Meer dan 1023

1504

Unified CCX-databasepoort

SIP

UDP en TCP

SIP GW- of MCRP-server

UCCX

Meer dan 1023

5065

Communicatie naar externe GW- en MCRP-knooppunten

XMPP

TCP

Klant

UCCX

Meer dan 1023

5223

Beveiligde XMPP-verbinding tussen de Finesse-server en aangepaste toepassingen van derden

CVD

TCP

Klant

UCCX

Meer dan 1023

6999

Editor voor CCX-toepassingen

HTTPS

TCP

Klant

UCCX

Meer dan 1023

7443

Beveiligde BOSH-verbinding tussen de Finesse-server en de Agent and Supervisor Desktops voor communicatie via HTTPS

HTTP

TCP

Klant

UCCX

Meer dan 1023

8080

Clients voor live-gegevensrapportage maken verbinding met de socket. IO-server

HTTP

TCP

Klant

UCCX

Meer dan 1023

8081

Clientbrowser probeert toegang te krijgen tot de Cisco Unified Intelligence Center-webinterface

HTTP

TCP

Klant

UCCX

Meer dan 1023

8443

Beheer-GUI, RTMT, DB-toegang via SOAP

HTTPS

TCP

Klant

UCCX

Meer dan 1023

8444

Cisco Unified Intelligence Center-webinterface

HTTPS

TCP

Browser- en REST-clients

UCCX

Meer dan 1023

8445

Veilige poort voor Finesse

HTTPS

TCP

Klant

UCCX

Meer dan 1023

8447

HTTPS - Unified Intelligence Center online help

HTTPS

TCP

Klant

UCCX

Meer dan 1023

8553

Via onderdelen van Single Sign-On (SSO) krijgt u toegang tot deze interface om te zien wat de werkingsstatus van Cisco IdS is.

HTTP

TCP

Klant

UCCX

Meer dan 1023

9080

Clients die http-triggers of documenten/prompts/grammatica's/livegegevens proberen te openen.

HTTPS

TCP

Klant

UCCX

Meer dan 1023

9443

Beveiligde poort die wordt gebruikt om te reageren op clients die proberen toegang te krijgen tot HTTPS-triggers

TCP

TCP

Klant

UCCX

Meer dan 1023

12014

Dit is de poort waar clients voor live-datarapportage verbinding kunnen maken met de socket. IO-server

TCP

TCP

Klant

UCCX

Meer dan 1023

12015

Dit is de poort waar clients voor live-datarapportage verbinding kunnen maken met de socket. IO-server

CTI

TCP

Klant

UCCX

Meer dan 1023

12028

CTI-client van derden bij CCX

RTP (Media)

TCP

Eindpunt

UCCX

Meer dan 1023

Meer dan 1023

Mediapoort wordt naar behoefte dynamisch geopend

RTP (Media)

TCP

Klant

Eindpunt

Meer dan 1023

Meer dan 1023

Mediapoort wordt naar behoefte dynamisch geopend

Beveiliging van client

Jabber en Webex beveiligen met SIP OAuth

Jabber- en Webex-clients worden geverifieerd via een OAuth-token in plaats van een lokaal significant certificaat (LSC), waarvoor ook geen CAPF-functie (Certificate Authority Proxy) is vereist. SIP OAuth, dat werkt met of zonder gemengde modus, is geïntroduceerd in Cisco Unified CM 12.5(1), Jabber 12.5 en Expressway X12.5.

In Cisco Unified CM 12.5 hebben we een nieuwe optie in Telefoonbeveiligingsprofiel die codering zonder LSC/CAPF mogelijk maakt met behulp van enkele Transport Layer Security (TLS) + OAuth-token in SIP REGISTREREN. Expressway-C-knooppunten maken gebruik van de AXL-API (Administrative XML Web Service) om Cisco Unified CM te informeren over de SN/SAN in het certificaat. Cisco Unified CM gebruikt deze informatie om het Exp-C-certificaat te valideren bij het tot stand brengen van gemeenschappelijke TLS verbinding.

SIP OAuth maakt codering van media en signalering mogelijk zonder een eindpuntcertificaat (LSC).

Cisco Jabber gebruikt Epische poorten en veilige poorten 6971 en 6972-poorten via HTTPS-verbinding met de TFTP-server om de configuratiebestanden te downloaden. Poort 6970 is een niet-beveiligde poort voor downloaden via HTTP.

Meer informatie over SIP OAuth-configuratie: SIP OAuth-modus.

DNS-vereisten

Voor een speciaal exemplaar levert Cisco FQDN voor de -service in elke regio met de volgende <customer><region>indeling. wxc-di.webex.com bijvoorbeeld xyz.amer.wxc-di.webex.com.

De waarde 'klant' wordt geleverd door de beheerder als onderdeel van de wizard First Time Setup (FTSW). Zie Speciale instantieserviceactivering voor meerinformatie.

DNS-records voor deze FQDN moeten kunnen worden opgelost vanaf de interne DNS-server van de klant om apparaten op locatie te ondersteunen die verbinding maken met de speciale instantie. Om resolutie te vergemakkelijken, moet de klant een Conditionele door forwarder configureren voor deze FQDN server naar de Speciale instantie DNS-service wijzen. De DNS-service voor een speciale instantie is regionaal en kan via de peering naar een speciaal exemplaar worden bereikt door de volgende IP-adressen te gebruiken zoals vermeld in de onderstaande tabel Speciaal exemplaar DNS-serviceIP-adres.

Tabel 4. Speciaal EXEMPLAAR DNS-service IP-adres

Regio/DC

Speciaal EXEMPLAAR DNS-service IP-adres

Voorbeeld van conditionele doorsturen

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

ZONDE

103.232.71.288

Apparaten kunnen zich niet registreren bij de speciale instantie van het interne netwerk van de klant via de peeringkoppelingen totdat de conditionele doorver forwarding is gebeurt. Conditionele doorsturen is niet vereist voor registratie via Mobile en Remote Access (MRA), aangezien alle vereiste externe DNS-records om MRA te vergemakkelijken vooraf door Cisco worden ingericht.

Wanneer u de Webex-toepassing gebruikt als softclient voor bellen in een speciaal exemplaar, moet er een UC Manager-profiel worden geconfigureerd in Control Hub voor het spraakservicedomein (VSD) van elke regio. Voor meer informatie raadpleegt u UC Manager-profielen in Cisco Webex Control Hub. De Webex-toepassing kan de oplossing voor de Expressway Edge automatisch oplossen zonder tussenkomst van een eindgebruiker.


Het spraakservicedomein wordt aan de klant geleverd als onderdeel van het partnertoegangsdocument zodra de service is geactiveerd.

Verwijzingen