Netwerkvereisten voor toegewezen exemplaar

Webex Calling Dedicated Instance maakt deel uit van de Cisco Cloud Calling-portfolio, mogelijk gemaakt door de samenwerkingstechnologie Cisco Unified Communications Manager (Cisco Unified CM). Dedicated Instance biedt spraak-, video-, messaging- en mobiliteitsoplossingen met de functies en voordelen van Cisco IP -telefoons, mobiele apparaten en desktopclients die veilig verbinding maken met de Dedicated Instance.

Dit artikel is bedoeld voor netwerkbeheerders, met name beheerders van firewalls en proxy's die een toegewezen exemplaar binnen hun organisatie willen gebruiken.

Beveiligingsoverzicht: Beveiliging in lagen

Toegewezen exemplaar maakt gebruik van een gelaagde aanpak voor beveiliging. De lagen omvatten:

  • Fysieke toegang

  • Netwerk

  • Eindpunten

  • UC-toepassingen

In de volgende secties worden de beveiligingslagen beschreven in Toegewezen exemplaar implementaties.

Fysieke beveiliging

Het is belangrijk om fysieke beveiliging te bieden aan Equinix Meet-Me Room-locaties en Cisco Toegewezen exemplaar Datacenterfaciliteiten. Wanneer de fysieke beveiliging in gevaar komt, kunnen eenvoudige aanvallen worden gestart, zoals serviceonderbrekingen door de stroom naar de switches van een klant uit te schakelen. Met fysieke toegang kunnen aanvallers toegang krijgen tot serverapparaten, wachtwoorden opnieuw instellen en toegang krijgen tot switches. Fysieke toegang maakt ook meer geavanceerde aanvallen mogelijk, zoals man-in-the-middle-aanvallen. Daarom is de tweede beveiligingslaag, de netwerkbeveiliging, van cruciaal belang.

Zelfversleutelende stations worden gebruikt in Toegewezen exemplaar Datacenters die UC-toepassingen hosten.

Raadpleeg de documentatie op de volgende locatie voor meer informatie over algemene beveiligingsprocedures: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Netwerkbeveiliging

Partners moeten ervoor zorgen dat alle netwerkelementen zijn beveiligd in Toegewezen exemplaar infrastructuur (die verbinding maakt via Equinix). Het is de verantwoordelijkheid van de partner om te zorgen voor aanbevolen procedures op het gebied van beveiliging, zoals:

  • Afzonderlijk VLAN voor spraak en data

  • Poortbeveiliging inschakelen waarmee het aantal toegestane MAC -adressen per poort wordt beperkt, tegen overstromingen van de CAM-tabel

  • IP -bronbescherming tegen vervalste IP -adressen

  • Dynamic ARP Inspection (DAI) onderzoekt ARP (Address Resolution Protocol) en gratis ARP (GARP) op schendingen (tegen ARP-spoofing)

  • 802.1x beperkt netwerktoegang tot het verifiëren van apparaten op toegewezen VLAN's (telefoons ondersteunen 802.1x )

  • Configuratie van de servicekwaliteit (QoS) voor de juiste markering van spraakpakketten

  • Configuraties van firewallpoorten voor het blokkeren van ander verkeer

Beveiliging van eindpunten

Cisco -eindpunten ondersteunen standaardbeveiligingsfuncties zoals ondertekende firmware, beveiligd opstarten (geselecteerde modellen), door de fabrikant geïnstalleerd certificaat (MIC) en ondertekende configuratiebestanden, die een bepaald beveiligingsniveau voor eindpunten bieden.

Daarnaast kan een partner of klant aanvullende beveiliging inschakelen, zoals:

  • IP-telefoon coderen (via HTTPS) voor services zoals Extension Mobility

  • Lokaal belangrijke certificaten (LSC's) uitgeven via de proxyfunctie van de Certificate Authority Proxy Function (CAPF) of een openbare certificeringsinstantie (CA)

  • Configuratiebestanden coderen

  • Media en signalering versleutelen

  • Schakel deze instellingen uit als ze niet worden gebruikt: Pc-poort, Pc Voice VLAN Access, Gratuitous ARP, Web Access, Instellingenknop, SSH, console

Beveiligingsmechanismen implementeren in de Toegewezen exemplaar voorkomt identiteitsdiefstal van de telefoons en de Unified CM-server, sabotage van gegevens en sabotage van gesprekssignalering/mediastream.

Toegewezen exemplaar via het netwerk:

  • Brengt geverifieerde communicatiestromen tot stand en onderhoudt deze

  • Bestanden digitaal ondertekenen voordat het bestand naar de telefoon wordt overgebracht

  • Versleutelt mediastreams en gesprekssignalering tussen Cisco Unified IP -telefoons

Standaard beveiligingsinstellingen

Beveiliging biedt standaard de volgende automatische beveiligingsfuncties voor Cisco Unified IP -telefoons:

  • Ondertekening van de telefoonconfiguratie

  • Ondersteuning voor codering van telefoonconfiguratie

  • HTTPS met Tomcat en andere Web (MIDlets)

Voor Unified CM versie 8.0 later worden deze beveiligingsfuncties standaard geleverd zonder de CTL-client (Certificaatvertrouwenslijst).

Verificatiedienst vertrouwen

Omdat er een groot aantal telefoons in een netwerk zijn en IP -telefoons een beperkt geheugen hebben, fungeert Cisco Unified CM als een externe vertrouwensopslag via de Trust Verification Service (TVS), zodat er niet op elke telefoon een certificaatvertrouwensopslag hoeft te worden geplaatst. De Cisco IP -telefoons nemen voor verificatie contact op met de TVS -server omdat ze een handtekening of certificaat niet kunnen verifiëren via CTL of ITL-bestanden. Het is eenvoudiger om een centraal vertrouwensarchief te beheren dan het hebben van het vertrouwensarchief op elke Cisco Unified IP-telefoon.

TVS stelt Cisco Unified IP -telefoons in staat om toepassingsservers, zoals EM -services, directory en MIDlet, te verifiëren tijdens het instellen van HTTPS.

Initiële vertrouwde lijst

Het ITL-bestand (Initiële vertrouwenslijst) wordt gebruikt voor de eerste beveiliging, zodat de eindpunten Cisco Unified CM kunnen vertrouwen. ITL heeft geen beveiligingsfuncties nodig om expliciet te worden ingeschakeld. Het ITL-bestand wordt automatisch gemaakt wanneer het cluster wordt geïnstalleerd. De persoonlijke sleutel van de Unified CM Trivial File Transfer Protocol-server (TFTP) wordt gebruikt om het ITL-bestand te ondertekenen.

Wanneer de Cisco Unified CM -cluster of -server zich in de niet veilige modus, wordt het ITL-bestand gedownload op elke ondersteunde Cisco IP-telefoon. Een partner kan de inhoud van een ITL-bestand weergeven met de CLI-opdracht, admin:show itl.

Cisco IP -telefoons hebben het ITL-bestand nodig om de volgende taken uit te voeren:

  • Veilig communiceren met CAPF, een vereiste voor ondersteuning van de codering van configuratiebestand

  • De handtekening van het configuratiebestand verifiëren

  • Toepassingsservers verifiëren, zoals EM -services, directory en MIDlet tijdens het instellen van HTTPS met TVS

Cisco CTL

Apparaat-, bestands- en signaleringsverificatie is afhankelijk van het maken van het CTL-bestand (Certificate Trust List), dat wordt gemaakt wanneer de partner of klant de Cisco Certificate Trust List-client installeert en configureert.

Het CTL-bestand bevat vermeldingen voor de volgende servers of beveiligingstokens:

  • Beveiligingstoken voor systeembeheerder (SAST)

  • Cisco CallManager en Cisco TFTP -services die op dezelfde server worden uitgevoerd

  • Proxyfunctie van Certificate Authority (CAPF)

  • TFTP -server(s)

  • ASA-firewall

Het CTL-bestand bevat een servercertificaat, openbare sleutel, serienummer, handtekening, naam van de uitgever, onderwerpnaam, serverfunctie, DNS -naam en IP-adres voor elke server.

Telefoonbeveiliging met CTL biedt de volgende functies:

  • Verificatie van gedownloade TFTP -bestanden (configuratie, landinstelling, bellijst, enzovoort) met een ondertekeningssleutel

  • Versleuteling van TFTP -configuratiebestanden met een ondertekeningssleutel

  • Gecodeerde gesprekssignalering voor IP -telefoons

  • Gecodeerde gespreksaudio (media) voor IP -telefoons

Beveiliging voor Cisco IP -telefoons in Toegewezen exemplaar

Toegewezen exemplaar biedt eindpuntregistratie en gespreksverwerking. De signalering tussen Cisco Unified CM en eindpunten is gebaseerd op SCCP (Secure Skinny Client Control Protocol ) of Session Initiation Protocol (SIP) en kan worden versleuteld met Transport Layer Security (TLS). De media van/naar de eindpunten zijn gebaseerd op Real-time Transport Protocol (RTP) en kunnen ook worden versleuteld met Secure RTP (SRTP).

Als u de gemengde modus op Unified CM inschakelt, wordt de codering van het signalerings- en mediaverkeer van en naar de Cisco -eindpunten ingeschakeld.

Veilige UC-toepassingen

Gemengde modus inschakelen in Dedicated Instance

De gemengde modus is standaard ingeschakeld in Toegewezen exemplaar .

Gemengde modus inschakelen in Toegewezen exemplaar maakt het mogelijk om het signalerings- en mediaverkeer van en naar de Cisco -eindpunten te versleutelen.

In Cisco Unified CM versie 12.5(1) is een nieuwe optie toegevoegd voor het inschakelen van codering van signalering en media op basis van SIP OAuth in plaats van gemengde modus/ CTL voor Jabber- en Webex -clients. Daarom kunnen in Unified CM versie 12.5(1) SIP OAuth en SRTP worden gebruikt om codering in te schakelen voor signalering en media voor Jabber- of Webex -clients. Het inschakelen van de gemengde modus blijft op dit moment vereist voor Cisco IP -telefoons en andere Cisco -eindpunten. Er is een plan om in een toekomstige release ondersteuning toe te voegen voor SIP OAuth in 7800/8800-eindpunten.

Beveiliging voor voicemailberichten

Cisco Unity Connection maakt verbinding met Unified CM via de TLS poort. Wanneer de apparaatbeveiligingsmodus niet-beveiligd is, maakt Cisco Unity Connection verbinding met Unified CM via de SCCP -poort.

Als u de beveiliging wilt configureren voor Unified CM -spraakberichtenpoorten en Cisco Unity -apparaten waarop SCCP wordt uitgevoerd of Cisco Unity Connection -apparaten waarop SCCP wordt uitgevoerd, kan een partner een beveiligde apparaatbeveiligingsmodus voor de poort kiezen. Als u een geverifieerde voicemailpoort kiest, wordt er een TLS verbinding geopend waarmee de apparaten worden geverifieerd via een wederzijdse certificaatuitwisseling (elk apparaat accepteert het certificaat van het andere apparaat). Als u een gecodeerde voicemailpoort kiest, verifieert het systeem eerst de apparaten en verzendt het vervolgens gecodeerde spraakstreams tussen de apparaten.

Voor meer informatie over de beveiliging van spraakberichtenpoorten raadpleegt u: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Beveiliging voor SRST, trunks, gateways, CUBE/SBC

Een Cisco Unified Survivable Remote Site Telephony (SRST) gateway biedt beperkte gespreksverwerkingstaken als de Cisco Unified CM op Toegewezen exemplaar kan het gesprek niet voltooien.

Beveiligde gateways met SRST bevatten een zelfondertekend certificaat. Nadat een partner SRST -configuratietaken heeft uitgevoerd in Unified CM-beheer, gebruikt Unified CM een TLS -verbinding voor verificatie met de certificaatproviderservice in de SRST-gateway. Unified CM haalt vervolgens het certificaat op van de SRST-gateway en voegt het certificaat toe aan de Unified CM -database.

Nadat de partner de afhankelijke apparaten opnieuw heeft ingesteld in Unified CM-beheer, voegt de TFTP -server het SRST-gateway gatewaycertificaat toe aan het cnf.xml-bestand van de telefoon en verzendt het bestand naar de telefoon. Een beveiligde telefoon gebruikt vervolgens een TLS -verbinding om te communiceren met de SRST-gateway.

Het wordt aanbevolen om beveiligde trunks te hebben voor het gesprek dat afkomstig is van Cisco Unified CM naar de gateway voor uitgaande PSTN-gesprekken of via het Cisco Unified Border Element (CUBE).

SIP -trunks kunnen beveiligde gesprekken ondersteunen, zowel voor signalering als voor media; TLS biedt signaalcodering en SRTP biedt mediacodering.

Communicatie tussen Cisco Unified CM en CUBE beveiligen

Voor veilige communicatie tussen Cisco Unified CM en CUBE moeten partners/klanten een zelfondertekend certificaat of door een CA ondertekende certificaten gebruiken.

Voor zelfondertekende certificaten:

  1. CUBE en Cisco Unified CM genereren zelfondertekende certificaten

  2. CUBE exporteert certificaat naar Cisco Unified CM

  3. Cisco Unified CM exporteert certificaat naar CUBE

Voor door een CA ondertekende certificaten:

  1. Client genereert een sleutelpaar en verzendt een certificaatondertekeningsverzoek (CSR) naar de Certificate Authority (CA)

  2. De CA ondertekent deze met zijn persoonlijke sleutel, waardoor een identiteitscertificaat wordt gemaakt

  3. Client installeert de lijst met vertrouwde CA-basiscertificaten en tussencertificaten en het identiteitscertificaat

Beveiliging voor externe eindpunten

Met Mobile and Externe toegang (MRA)-eindpunten worden de signalering en media altijd versleuteld tussen de MRA-eindpunten en Expressway-knooppunten. Als het Interactive Connectivity Establishment-protocol (ICE) wordt gebruikt voor MRA-eindpunten, is signalering en mediacodering van de MRA-eindpunten vereist. Voor versleuteling van de signalering en media tussen Expressway-C en de interne Unified CM -servers, interne eindpunten of andere interne apparaten is echter gemengde modus of SIP OAuth vereist.

Cisco Expressway biedt veilige firewalltraversal en lijnondersteuning voor Unified CM -registraties. Unified CM biedt gespreksbeheer voor zowel mobiele als op locatie eindpunten. Signalering doorkruist de Expressway-oplossing tussen het externe eindpunt en Unified CM. Media doorkruist de Expressway-oplossing en wordt rechtstreeks tussen eindpunten doorgegeven. Alle media worden versleuteld tussen de Expressway-C en het mobiele eindpunt.

Voor elke MRA-oplossing zijn Expressway en Unified CM vereist, met MRA-compatibele soft-clients en/of vaste eindpunten. De oplossing kan optioneel de IM en presence-service en Unity Connection bevatten.

Samenvatting van het protocol

In de volgende tabel ziet u de protocollen en bijbehorende services die worden gebruikt in de Unified CM -oplossing.

Tabel 1. Protocollen en bijbehorende services

Protocol

Beveiliging

Service

SIP

TLS

Sessie tot stand brengen: Registreren, uitnodigen, enz.

HTTPS

TLS

Aanmelden, inrichting/configuratie, telefoonlijst, visuele voicemail

Media

SRTP

Media: Audio, video, inhoud delen

XMPP

TLS

Instant Messaging, Aanwezigheid, Federatie

Zie voor meer informatie over MRA-configuratie: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Configuratie-opties

De Toegewezen exemplaar biedt Partner de flexibiliteit om services voor eindgebruikers aan te passen via volledige controle over de configuraties van dag twee. Als gevolg hiervan is de partner als enige verantwoordelijk voor de juiste configuratie van: Toegewezen exemplaar service voor de omgeving van de eindgebruiker. Dit omvat, maar is niet beperkt tot:

  • Beveiligde/onbeveiligde gesprekken, beveiligde/onbeveiligde protocollen zoals SIP/sSIP, http/https enz. kiezen en de bijbehorende risico's begrijpen.

  • Voor alle MAC -adressen die niet zijn geconfigureerd als beveiligd- SIP in Toegewezen exemplaar , kan een aanvaller een SIP -registerbericht verzenden met dat MAC-adres en SIP -oproepen plaatsen, wat kan leiden tot fraude. Voorwaarde is dat de aanvaller zijn of haar SIP-apparaat/software kan registreren op: Toegewezen exemplaar zonder autorisatie als ze het MAC-adres kennen van een apparaat dat is geregistreerd in Toegewezen exemplaar .

  • Expressway-E-gespreksbeleid, transformatie- en zoekregels moeten worden geconfigureerd om tolfraude te voorkomen. Voor meer informatie over het voorkomen van tolfraude met Expressways raadpleegt u het gedeelte Beveiliging voor Expressway C en Expressway-E van: Samenwerkings-SRND .

  • Kiesplanconfiguratie om ervoor te zorgen dat gebruikers alleen bestemmingen kunnen kiezen die zijn toegestaan, bijvoorbeeld nationaal/internationaal bellen verbieden, noodoproepen correct worden gerouteerd, enz. Voor meer informatie over het toepassen van beperkingen met behulp van kiesplan raadpleegt u Belplan sectie van Samenwerking SRND.

Certificaatvereisten voor veilige verbindingen in Dedicated Instance

Voor een toegewezen exemplaar levert Cisco het domein en ondertekent het alle certificaten voor de UC-toepassingen met behulp van een openbare Certificate Authority (CA).

Toegewezen exemplaar – poortnummers en protocollen

In de volgende tabellen worden de poorten en protocollen beschreven die worden ondersteund in een toegewezen exemplaar. De poorten die voor een bepaalde klant worden gebruikt, zijn afhankelijk van de implementatie en oplossing van de klant. Protocollen hangen af van de voorkeur van de klant (SCCP vs. SIP), de bestaande apparaten op locatie en het beveiligingsniveau om te bepalen welke poorten bij elke implementatie moeten worden gebruikt.


 

Dedicated Instance staat NAT (Network Address Translation) tussen eindpunten en Unified CM niet toe omdat sommige functies van de gespreksstroom niet werken, bijvoorbeeld de functie tijdens het gesprek.

Toegewezen exemplaar - Klantpoorten

De poorten die beschikbaar zijn voor klanten - tussen de op locatie klant en het toegewezen exemplaar worden weergegeven in tabel 1. Klantpoorten voor toegewezen instanties . Alle poorten die hieronder worden vermeld, zijn bedoeld voor klantverkeer dat via de peeringkoppelingen loopt.


 

De SNMP-poort is alleen standaard geopend voor Cisco Emergency Responder ter ondersteuning van de functionaliteit. Aangezien we partners of klanten niet ondersteunen die de UC-toepassingen monitoren die in de Dedicated Instance-cloud worden geïmplementeerd, staan we het openen van de SNMP-poort voor andere UC-toepassingen niet toe.


 

Poorten in het bereik 5063 tot 5080 worden door Cisco gereserveerd voor andere cloudintegraties, partnerbeheerders of klantbeheerders wordt aanbevolen deze poorten niet te gebruiken in hun configuraties.

Tabel 2. Klantpoorten toegewezen exemplaar

Protocol

TCP/UDP

Bron

Bestemming

Bronpoort

Bestemmingspoort

Doel

SSH

TCP

Klant

UC-toepassingen


 
Niet toegestaan voor Cisco Expressway-toepassingen.

Groter dan 1023

22

Beheer

TFTP

UDP

Eindpunt

Unified CM

Groter dan 1023

69

Ondersteuning voor verouderde eindpunten

LDAP

TCP

UC-toepassingen

Externe telefoonlijst

Groter dan 1023

389

Adreslijstsynchronisatie met klant LDAP

HTTPS

TCP

Browser

UC-toepassingen

Groter dan 1023

443

Web voor self-care en beheerinterfaces

Uitgaande e-mail (VEILIG)

TCP

UC-toepassing

CUCxn

Groter dan 1023

587

Wordt gebruikt om beveiligde berichten op te stellen en te verzenden naar aangewezen ontvangers

LDAP (VEILIG)

TCP

UC-toepassingen

Externe telefoonlijst

Groter dan 1023

636

Adreslijstsynchronisatie met klant LDAP

H323

TCP

Gateway

Unified CM

Groter dan 1023

1720

Gesprekssignalering

H323

TCP

Unified CM

Unified CM

Groter dan 1023

1720

Gesprekssignalering

SCCP

TCP

Eindpunt

Unified CM, CUCxn

Groter dan 1023

2000

Gesprekssignalering

SCCP

TCP

Unified CM

Unified CM, Gateway

Groter dan 1023

2000

Gesprekssignalering

MGCP

UDP

Gateway

Gateway

Groter dan 1023

2427

Gesprekssignalering

MGCP-backhaul

TCP

Gateway

Unified CM

Groter dan 1023

2428

Gesprekssignalering

SCCP (VEILIG)

TCP

Eindpunt

Unified CM, CUCxn

Groter dan 1023

2443

Gesprekssignalering

SCCP (VEILIG)

TCP

Unified CM

Unified CM, Gateway

Groter dan 1023

2443

Gesprekssignalering

Vertrouwensverificatie

TCP

Eindpunt

Unified CM

Groter dan 1023

2445

Service voor vertrouwensverificatie leveren aan eindpunten

CTI

TCP

Eindpunt

Unified CM

Groter dan 1023

2748

Verbinding tussen CTI -toepassingen (JTAPI/TSP) en CTIManager

Beveiligde CTI

TCP

Eindpunt

Unified CM

Groter dan 1023

2749

Beveiligde verbinding tussen CTI -toepassingen (JTAPI/TSP) en CTIManager

Globale LDAP -catalogus

TCP

UC-toepassingen

Externe telefoonlijst

Groter dan 1023

3268

Adreslijstsynchronisatie met klant LDAP

Globale LDAP -catalogus

TCP

UC-toepassingen

Externe telefoonlijst

Groter dan 1023

3269

Adreslijstsynchronisatie met klant LDAP

CAPF -service

TCP

Eindpunt

Unified CM

Groter dan 1023

3804

CAPF luisterpoort ( Certificate Authority Proxy Function) voor het uitgeven van LSC(Locally Significant Certificates) aan IP -telefoons

SIP

TCP

Eindpunt

Unified CM, CUCxn

Groter dan 1023

5060

Gesprekssignalering

SIP

TCP

Unified CM

Unified CM, Gateway

Groter dan 1023

5060

Gesprekssignalering

SIP (VEILIG)

TCP

Eindpunt

Unified CM

Groter dan 1023

5061

Gesprekssignalering

SIP (VEILIG)

TCP

Unified CM

Unified CM, Gateway

Groter dan 1023

5061

Gesprekssignalering

SIP (OAUTH)

TCP

Eindpunt

Unified CM

Groter dan 1023

5090

Gesprekssignalering

XMPP

TCP

Jabber-client

Cisco IM&P

Groter dan 1023

5222

Instant Messaging en Aanwezigheid

HTTP

TCP

Eindpunt

Unified CM

Groter dan 1023

6970

Configuratie en afbeeldingen downloaden naar eindpunten

HTTPS

TCP

Eindpunt

Unified CM

Groter dan 1023

6971

Configuratie en afbeeldingen downloaden naar eindpunten

HTTPS

TCP

Eindpunt

Unified CM

Groter dan 1023

6972

Configuratie en afbeeldingen downloaden naar eindpunten

HTTP

TCP

Jabber-client

CUCxn

Groter dan 1023

7080

Voicemailmeldingen

HTTPS

TCP

Jabber-client

CUCxn

Groter dan 1023

7443

Beveiligde voicemailmeldingen

HTTPS

TCP

Unified CM

Unified CM

Groter dan 1023

7501

Gebruikt door Service voor intercluster opzoeken (ILS) voor verificatie op basis van certificaten

HTTPS

TCP

Unified CM

Unified CM

Groter dan 1023

7502

Gebruikt door ILS voor op wachtwoord gebaseerde verificatie

IMAP

TCP

Jabber-client

CUCxn

Groter dan 1023

7993

IMAP via TLS

HTTP

TCP

Eindpunt

Unified CM

Groter dan 1023

8080

Directory URI voor ondersteuning van verouderde eindpunten

HTTPS

TCP

Browser, eindpunt

UC-toepassingen

Groter dan 1023

8443

Web voor self-care en beheerinterfaces, UDS

HTTPS

TCP

Telefoon

Unified CM

Groter dan 1023

9443

Geverifieerd contact zoeken

HTTP's

TCP

Eindpunt

Unified CM

Groter dan 1023

9444

Functie voor headsetbeheer

Beveiligde RTP/ SRTP

UDP

Unified CM

Telefoon

16384 tot 32767 *

16384 tot 32767 *

Media (audio) - Muziek tijdens wachtstand, Annunciator, Software Conference Bridge (openen op basis van gesprekssignalering)

Beveiligde RTP/ SRTP

UDP

Telefoon

Unified CM

16384 tot 32767 *

16384 tot 32767 *

Media (audio) - Muziek tijdens wachtstand, Annunciator, Software Conference Bridge (openen op basis van gesprekssignalering)

COBRAS

TCP

Klant

CUCxn

Groter dan 1023

20532

Back-up maken en toepassingssuite herstellen

ICMP

ICMP

Eindpunt

UC-toepassingen

n.v.t.

n.v.t.

Ping

ICMP

ICMP

UC-toepassingen

Eindpunt

n.v.t.

n.v.t.

Ping

DNS UDP en TCP

DNS-forwarder

DNS-servers toegewezen exemplaar

Groter dan 1023

53

DNS-forwarders op locatie van klant naar DNS-servers voor toegewezen exemplaar. Zie DNS-vereisten voor meer informatie.

* In bepaalde speciale gevallen kan een groter bereik worden gebruikt.

Toegewezen exemplaar – OTT-poorten

De volgende poort kan worden gebruikt door klanten en partners voor het instellen van mobiele en Externe toegang (MRA):

Tabel 3. Poort voor OTT

Protocol

TCP/UCP

Bron

Bestemming

Bronpoort

Bestemmingspoort

Doel

VEILIGE RTP/ RTCP

UDP

Snelweg C

Klant

Groter dan 1023

36000-59999

Beveiligde media voor MRA- en B2B-gesprekken

Inter-op SIP-trunk tussen Multitenant en Dedicated Instance (alleen voor op registratie gebaseerde trunk)

De volgende lijst met poorten moet zijn toegestaan in de firewall van de klant voor de op registratie gebaseerde SIP-trunk die verbinding maakt tussen de multitenant en het toegewezen exemplaar.

Tabel 4. Poort voor trunks op basis van registratie

Protocol

TCP/UCP

Bron

Bestemming

Bronpoort

Bestemmingspoort

Doel

RTP/RTCP

UDP

Webex Calling multitenant

Klant

Groter dan 1023

8000-48198

Media van Webex Calling Multitenant

Toegewezen exemplaar – UCCX-poorten

De volgende lijst met poorten kan worden gebruikt door klanten en partners voor het configureren van UCCX.

Tabel 5. Cisco UCCX-poorten

Protocol

TCP / UCP

Bron

Bestemming

Bronpoort

Bestemmingspoort

Doel

SSH

TCP

Klant

UCCX

Groter dan 1023

22

SFTP en SSH

Informix

TCP

Client of server

UCCX

Groter dan 1023

1504

Poort Contact Center Express-database

SIP

UDP en TCP

SIP GW- of MCRP-server

UCCX

Groter dan 1023

5065

Communicatie met externe GW- en MCRP-knooppunten

XMPP

TCP

Klant

UCCX

Groter dan 1023

5223

Beveiligde XMPP -verbinding tussen de Finesse-server en aangepaste toepassingen van derden

CVD

TCP

Klant

UCCX

Groter dan 1023

6999

Editor voor CCX-toepassingen

HTTPS

TCP

Klant

UCCX

Groter dan 1023

7443

Beveiligde BOSH-verbinding tussen de Finesse-server en de desktops van agenten en supervisors voor communicatie via HTTPS

HTTP

TCP

Klant

UCCX

Groter dan 1023

8080

Clients voor het rapporteren van live gegevens maken verbinding met een socket.IO-server

HTTP

TCP

Klant

UCCX

Groter dan 1023

8081

Clientbrowser probeert toegang te krijgen tot de webinterface van Cisco Unified Intelligence Center

HTTP

TCP

Klant

UCCX

Groter dan 1023

8443

Beheer-GUI, RTMT, DB-toegang via SOAP

HTTPS

TCP

Klant

UCCX

Groter dan 1023

8444

Cisco Unified Intelligence Center webinterface

HTTPS

TCP

Browser- en REST-clients

UCCX

Groter dan 1023

8445

Beveiligde poort voor Finesse

HTTPS

TCP

Klant

UCCX

Groter dan 1023

8447

HTTPS - Online-Help van Unified Intelligence Center

HTTPS

TCP

Klant

UCCX

Groter dan 1023

8553

Componenten voor eenmalige aanmelding (SSO) hebben toegang tot deze interface om de bedrijfsstatus van Cisco IdS te weten.

HTTP

TCP

Klant

UCCX

Groter dan 1023

9080

Clients die toegang proberen te krijgen tot HTTP-triggers of documenten/prompts/grammatica's/ live gegevens.

HTTPS

TCP

Klant

UCCX

Groter dan 1023

9443

Beveiligde poort die wordt gebruikt om te reageren op clients die toegang proberen te krijgen tot HTTPS-triggers

TCP

TCP

Klant

UCCX

Groter dan 1023

12014

Dit is de poort waar live-gegevensrapportclients verbinding kunnen maken met de socket.IO-server

TCP

TCP

Klant

UCCX

Groter dan 1023

12015

Dit is de poort waar live-gegevensrapportclients verbinding kunnen maken met de socket.IO-server

CTI

TCP

Klant

UCCX

Groter dan 1023

12028

CTI-client van derden naar CCX

RTP(media)

TCP

Eindpunt

UCCX

Groter dan 1023

Groter dan 1023

De mediapoort wordt indien nodig dynamisch geopend

RTP(media)

TCP

Klant

Eindpunt

Groter dan 1023

Groter dan 1023

De mediapoort wordt indien nodig dynamisch geopend

Beveiliging van de klant

Jabber en Webex beveiligen met SIP OAuth

Jabber- en Webex clients worden geverifieerd via een OAuth-token in plaats van een Locally Significant Certificate (LSC ), waarvoor geen CAPF Certificate Authority Proxy Function ) is vereist (ook voor MRA). SIP OAuth met of zonder gemengde modus is geïntroduceerd in Cisco Unified CM 12.5(1), Jabber 12.5 en Expressway X12.5.

In Cisco Unified CM 12.5 hebben we een nieuwe optie in het telefoonbeveiligingsprofiel waarmee versleuteling zonder LSC/ CAPF wordt gemaakt, met behulp van één TLS ( Transport Layer Security ) + OAuth-token in SIP REGISTER. Expressway-C-knooppunten gebruiken de AXL- API (Administrative XML Web Service) om Cisco Unified CM te informeren over het SN/SAN in hun certificaat. Cisco Unified CM gebruikt deze informatie om het Exp-C-certificaat te valideren bij het tot stand brengen van een wederzijdse TLS -verbinding.

SIP OAuth schakelt media- en signaleringsversleuteling in zonder een eindpuntcertificaat (LSC).

Cisco Jabber gebruikt kortstondige poorten en beveiligde poorten 6971 en 6972 via een HTTPS-verbinding met de TFTP -server om de configuratiebestanden te downloaden. Poort 6970 is een niet-beveiligde poort voor downloaden via HTTP.

Meer informatie over SIP OAuth-configuratie: SIP OAuth-modus .

DNS-vereisten

Voor een toegewezen exemplaar levert Cisco de FQDN voor de service in elke regio met de volgende indeling:<customer> .<region> .wxc-di.webex.com bijvoorbeeld xyz.amer.wxc-di.webex.com .

De waarde 'klant' wordt door de beheerder verstrekt als onderdeel van de Wizard voor eerste installatie (FTSW). Raadpleeg voor meer informatie: Service voor toegewezen instantie activeren .

DNS -records voor deze FQDN moeten kunnen worden omgezet vanaf de interne DNS-server van de klant om lokale apparaten te ondersteunen die verbinding maken met het toegewezen exemplaar. Om de oplossing te vergemakkelijken, moet de klant een voorwaardelijke doorstuurserver configureren voor deze FQDN op de DNS-server die verwijst naar de toegewezen DNS -service. De DNS -service van het toegewezen exemplaar is regionaal en kan worden bereikt via peering naar het toegewezen exemplaar met behulp van de volgende IP -adressen, zoals vermeld in de onderstaande tabel IP -adres van toegewezen DNS -service .

Tabel 6. IP -adres van toegewezen DNS -service

Regio/DC

IP -adres van toegewezen DNS -service

Voorbeeld van voorwaardelijk doorsturen

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

EU

<customer>.eu.wxc-di.webex.com

FRA

178.215.131.100

AMS

178.215.131.228

APJC

<customer>.apjc.wxc-di.webex.com

SIN

103.232.71.100

TKY

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


 

De ping-optie is om veiligheidsredenen uitgeschakeld voor de bovengenoemde DNS-server IP -adressen.

Totdat de voorwaardelijke doorschakeling is ingeschakeld, kunnen apparaten zich niet via de peeringkoppelingen registreren bij het toegewezen exemplaar van het interne netwerk van de klant. Voorwaardelijk doorsturen is niet vereist voor registratie via Mobile and Externe toegang (MRA), omdat alle vereiste externe DNS -records om MRA mogelijk te maken vooraf worden ingericht door Cisco.

Wanneer u de Webex -toepassing gebruikt als uw soft-client voor bellen op een toegewezen exemplaar, moet een UC Manager-profiel worden geconfigureerd in Control Hub voor het Voice Service Domain (VSD) van elke regio. Raadpleeg voor meer informatie: UC Manager-profielen in Cisco Webex Control Hub . De Webex -toepassing kan de Expressway Edge van de klant automatisch oplossen zonder tussenkomst van de eindgebruiker .


 

Voice Service Domain wordt aan de klant verstrekt als onderdeel van het partnertoegangsdocument zodra de serviceactivering is voltooid.