Nettverkskrav for dedikert forekomst

Webex Calling Dedicated Instance er en del av Cisco Cloud Calling-porteføljen, drevet av Cisco Unified Communications Manager (Cisco Unified CM)-samarbeidsteknologi. Dedicated Instance tilbyr tale-, video-, meldings- og mobilitetsløsninger med funksjonene og fordelene med Cisco IP-telefoner, mobile enheter og stasjonære klienter som kobles sikkert til den dedikerte forekomsten.

Denne artikkelen er beregnet på nettverksadministratorer, spesielt brannmur- og proxy-sikkerhetsadministratorer som vil bruke Dedikert forekomst i organisasjonen. Dette dokumentet fokuserer primært på nettverkskravene og sikkerheten for dedikert forekomstløsning, inkludert den lagdelte tilnærmingen til funksjonene og funksjonaliteten som gir sikker fysisk tilgang, et sikkert nettverk, sikre endepunkter og sikre Cisco UC-programmer.

Sertifikatkrav for sikre tilkoblinger i dedikert forekomst

For Webex Calling Dedicated Instance vil Cisco oppgi domenet og signere alle sertifikatene for UC-programmene ved hjelp av en offentlig sertifiseringsinstans.

Dedikert forekomst – portnumre og protokoller

Tabellene nedenfor beskriver portene og protokollene som støttes i dedikert forekomst. Porter som brukes for en gitt kunde, avhenger av kundens distribusjon og løsning. Protokoller avhenger av kundens preferanser (SCCP vs SIP), eksisterende lokale enheter og hvilket sikkerhetsnivå som bestemmer hvilke porter som skal brukes i hver distribusjon.

Dedikert forekomst – kundeporter

Portene som er tilgjengelige for kunder – mellom kundens lokale og dedikerte forekomst, vises i Tabell 1 Dedikerte forekomstkundeporter. Alle portene som er oppført nedenfor, er for kundetrafikk som krysser nodekoblingene.


SNMP-port støttes bare for CER-funksjonalitet og ikke for andre tredjeparts overvåkingsverktøy.

Tabell 1. Kundeporter for dedikert forekomst

Protokoll

TCP/UCP

Kilde

Destinasjon

Kildeport

Målport

Hensikt

SSH

TCP

Klient

UC-programmer

Større enn 1023

22

Administrasjon

LDAP

TCP

UC-programmer

Ekstern mappe

Større enn 1023

389

Katalogsynkronisering til kunde-LDAP

HTTPS

TCP

Nettleser

UC-programmer

Større enn 1023

443

Webtilgang for selvpleie og administrative grensesnitt

LDAP (SIKKER)

TCP

UC-programmer

Ekstern mappe

Større enn 1023

636

Katalogsynkronisering til kunde-LDAP

SCCP

TCP

Endepunkt

Samlet CM, CUCxn

Større enn 1023

2000

Signalisering av anrop

SCCP

TCP

Unified CM

Enhetlig CM, Gateway

Større enn 1023

2000

Signalisering av anrop

SCCP (SIKKER)

TCP

Endepunkt

Samlet CM, CUCxn

Større enn 1023

2443

Signalisering av anrop

SCCP (SIKKER)

TCP

Unified CM

Enhetlig CM, Gateway

Større enn 1023

2443

Signalisering av anrop

Klarer bekreftelse

TCP

Endepunkt

Unified CM

Større enn 1023

2445

Tilby klareringsverifiseringstjeneste til endepunkter

CTI

TCP

Endepunkt

Unified CM

Større enn 1023

2748

Tilkobling mellom CTI-programmer (JTAPI/TSP) og CTIManager

Sikker CTI

TCP

Endepunkt

Unified CM

Større enn 1023

2749

Sikker tilkobling mellom CTI-programmer (JTAPI/TSP) og CTIManager

Global LDAP-katalog

TCP

UC-programmer

Ekstern mappe

Større enn 1023

3268

Katalogsynkronisering til kunde-LDAP

Global LDAP-katalog

TCP

UC-programmer

Ekstern mappe

Større enn 1023

3269

Katalogsynkronisering til kunde-LDAP

CAPF-tjeneste

TCP

Endepunkt

Unified CM

Større enn 1023

3804

Capf-lytteport (Certificate Authority Proxy Function) for utstedelse av lokalt viktige sertifikater (LSC) til IP-telefoner

SIP

TCP

Endepunkt

Samlet CM, CUCxn

Større enn 1023

5060

Signalisering av anrop

SIP

TCP

Unified CM

Enhetlig CM, Gateway

Større enn 1023

5060

Signalisering av anrop

SIP (SIKKER)

TCP

Endepunkt

Unified CM

Større enn 1023

5061

Signalisering av anrop

SIP (SIKKER)

TCP

Unified CM

Enhetlig CM, Gateway

Større enn 1023

5061

Signalisering av anrop

SIP (OAUTH)

TCP

Endepunkt

Unified CM

Større enn 1023

5090

Signalisering av anrop

XMPP

TCP

Jabber-klient

Cisco direktemelding&p

Større enn 1023

5222

Direktemeldinger og tilstedeværelse

HTTP

TCP

Endepunkt

Unified CM

Større enn 1023

6970

Laste ned konfigurasjon og avbildninger til endepunkter

HTTPS

TCP

Endepunkt

Unified CM

Større enn 1023

6971

Laste ned konfigurasjon og avbildninger til endepunkter

HTTPS

TCP

Endepunkt

Unified CM

Større enn 1023

6972

Laste ned konfigurasjon og avbildninger til endepunkter

HTTP

TCP

Jabber-klient

CUCxn

Større enn 1023

7080

Varsler om talepost

HTTPS

TCP

Jabber-klient

CUCxn

Større enn 1023

7443

Sikre talepostvarsler

HTTPS

TCP

Unified CM

Unified CM

Større enn 1023

7501

Brukes av Intercluster Lookup Service (ILS) for sertifikatbasert godkjenning

HTTPS

TCP

Unified CM

Unified CM

Større enn 1023

7502

Brukes av ILS til passordbasert godkjenning

IMAP

TCP

Jabber-klient

CUCxn

Større enn 1023

7993

IMAP over TLS

HTTPS

TCP

Leser, sluttpunkt

UC-programmer

Større enn 1023

8443

Webtilgang for selvpleie og administrative grensesnitt, UDS

HTTPS

TCP

Prem

Unified CM

Større enn 1023

9443

Godkjent kontaktsøk

Sikker RTP/SRTP

UDP

Unified CM

Telefon

16384 til 32767 *

16384 til 32767 *

Media (lyd) - Musikk på vent, Annunciator, Software Conference Bridge (Åpen basert på anropssignalering)

Sikker RTP/SRTP

UDP

Telefon

Unified CM

16384 til 32767 *

16384 til 32767 *

Media (lyd) - Musikk på vent, Annunciator, Software Conference Bridge (Åpen basert på anropssignalering)

ICMP

ICMP

Endepunkt

UC-programmer

n/a

n/a

Ping

ICMP

ICMP

UC-programmer

Endepunkt

n/a

n/a

Ping

* Visse spesielle tilfeller kan bruke et større utvalg.

Dedikert forekomst – OTT-porter

Følgende liste over porter kan brukes av installasjonsprogrammet for Kunder og partnere for mobil og ekstern pålogging (MRA):

Tabell 2. Liste over porter for OTT

Protokoll

TCP/UCP

Kilde

Destinasjon

Kildeport

Målport

Hensikt

SIKKER SIP

TCP

Endepunkt

Motorvei E

Større enn 1023

5061

Sikker SIP-signalering For MRA-registrering og samtaler

SIKKER SIP

TCP

Endepunkt/server

Motorvei E

Større enn 1023

5062

Sikker SIP for B2B-samtaler

SIKKER RTP/RTCP

UDP

Endepunkt/server

Motorvei E

Større enn 1023

36000-59999

Sikre medier for MRA- og B2B-samtaler

HTTPS (SIKKER)

TLS

Klient

Motorvei E

Større enn 1023

8443

CUCM UDS og CUCxn REST for MRA-samtaler

XMLS

TLS

Klient

Motorvei E

Større enn 1023

5222

Direktemeldinger og tilstedeværelse

OMDREINING

UDP

ICE-klient

Motorvei E

Større enn 1023

3478

ICE/STUN/TURN-forhandling

SIKKER RTP/RTCP

UPD

ICE-klient

Motorvei E

Større enn 1023

24000-29999

TURN-medier for ICE-tilbakefall

Dedikert forekomst – UCCX-porter

Følgende liste over porter kan brukes av kunder og partnere til å konfigurere UCCX.

Tabell 3. Cisco UCCX-porter

Protokoll

TCP/UCP

Kilde

Destinasjon

Kildeport

Målport

Hensikt

SSH

TCP

Klient

UCCX

Større enn 1023

22

SFTP og SSH

Informix

TCP

Klient eller server

UCCX

Større enn 1023

1504

Samlet CCX-databaseport

SIP

UDP og TCP

SIP GW- eller MCRP-server

UCCX

Større enn 1023

5065

Kommunikasjon til eksterne GW- og MCRP-noder

XMPP

TCP

Klient

UCCX

Større enn 1023

5223

Sikker XMPP-tilkobling mellom Finesse-serveren og egendefinerte tredjepartsprogrammer

CVD

TCP

Klient

UCCX

Større enn 1023

6999

Redaktør for CCX-programmer

HTTPS

TCP

Klient

UCCX

Større enn 1023

7443

Sikker BOSH-tilkobling mellom Finesse-serveren og agent- og veilederskrivebord for kommunikasjon over HTTPS

HTTP

TCP

Klient

UCCX

Større enn 1023

8080

Live-datarapporteringsklienter kobler til socket. I/U-server

HTTP

TCP

Klient

UCCX

Større enn 1023

8081

Klientleser som prøver å få tilgang til Web-grensesnittet til Cisco Unified Intelligence Center

HTTP

TCP

Klient

UCCX

Større enn 1023

8443

Admin GUI, RTMT, DB-tilgang via SOAP

HTTPS

TCP

Klient

UCCX

Større enn 1023

8444

Cisco Unified Intelligence Center-webgrensesnitt

HTTPS

TCP

Nettleser- og REST-klienter

UCCX

Større enn 1023

8445

Sikker port for Finesse

HTTPS

TCP

Klient

UCCX

Større enn 1023

8447

HTTPS - Elektronisk hjelp for Unified Intelligence Center

HTTPS

TCP

Klient

UCCX

Større enn 1023

8553

SSO-komponenter (Single Sign-On) får tilgang til dette grensesnittet for å vite driftsstatusen til Cisco IdS.

HTTP

TCP

Klient

UCCX

Større enn 1023

9080

Klienter som prøver å få tilgang til HTTP-utløsere eller dokumenter / spørsmål / grammatikk / live data.

HTTPS

TCP

Klient

UCCX

Større enn 1023

9443

Sikker port som brukes til å svare klienter som prøver å få tilgang til HTTPS-utløsere

TCP

TCP

Klient

UCCX

Større enn 1023

12014

Dette er porten der klienter for direkte datarapportering kan koble til socket. I/U-server

TCP

TCP

Klient

UCCX

Større enn 1023

12015

Dette er porten der klienter for direkte datarapportering kan koble til socket. I/U-server

CTI

TCP

Klient

UCCX

Større enn 1023

12028

Tredjeparts CTI-klient til CCX

RTP(medier)

TCP

Endepunkt

UCCX

Større enn 1023

Større enn 1023

Medieporten åpnes dynamisk etter behov

RTP(medier)

TCP

Klient

Endepunkt

Større enn 1023

Større enn 1023

Medieporten åpnes dynamisk etter behov

Klientsikkerhet

Sikre Jabber og Webex med SIP OAuth

Jabber- og Webex-klienter godkjennes gjennom et OAuth-token i stedet for et lokalt viktig sertifikat (LSC), som ikke krever CAPF-aktivering (certificate authority proxy function) (for MRA). SIP OAuth som arbeider med eller uten blandet modus ble introdusert i Cisco Unified CM 12.5(1), Jabber 12.5 og Expressway X12.5.

I Cisco Unified CM 12.5 har vi et nytt alternativ i Telefonsikkerhetsprofil som muliggjør kryptering uten LSC/CAPF, ved hjelp av TLS + OAuth-token (Single Transport Layer Security) + OAuth-token i SIP REGISTER. Expressway-C-noder bruker AXL-APIen (Administrative XML Web Service) til å informere Cisco Unified CM om SN/SAN i sertifikatet. Cisco Unified CM bruker denne informasjonen til å validere Exp-C-kassen når en gjensidig TLS-tilkobling opprettes.

SIP OAuth aktiverer medie- og signalkryptering uten et endepunktsertifikat (LSC).

Cisco Jabber bruker Flyktige porter og sikre porter 6971- og 6972-porter via HTTPS-tilkobling til TFTP-serveren for å laste ned konfigurasjonsfilene. Port 6970 er en usikker port for nedlasting via HTTP.

Flere detaljer om SIP OAuth-konfigurasjon: Ny redigeringsmodus for SIP.

DNS-krav

For Dedikert forekomst gir Cisco FQDN for tjenesten i hver region følgende format <customer><region>. . wxc-di.webex.com for eksempel xyz.amer.wxc-di.webex.com.

Kundeverdien leveres av administratoren som en del av veiviseren for første gangs installasjon (FTSW). Hvis du vil ha mer informasjon, kan du se Aktivering av tjeneste for dedikert forekomst.

DNS-poster for dette FQDN må kunne løses fra kundens interne DNS-server for å støtte lokale enheter som kobler til den dedikerte forekomsten. For å lette løsningen må kunden konfigurere en betinget videresender, for dette FQDN, på DNS-serveren som peker til DNS-tjenesten Dedikert forekomst. DNS-tjenesten Dedikert forekomst er regional og kan nås via node til dedikert forekomst ved hjelp av følgende IP-adresser som nevnt i tabellen IP-adresse for dedikert forekomst av DNS-tjeneste nedenfor.

Tabell 4. IP-adresse for DNS-tjeneste for dedikert forekomst

Område/domenekontroller

IP-adresse for DNS-tjeneste for dedikert forekomst

Eksempel på betinget videresending

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

SYND

103.232.71.288

Før den betingede videresendingen er på plass, vil ikke enheter kunne registrere seg for den dedikerte forekomsten fra kundenes interne nettverk via nodekoblingene. Betinget videresending er ikke nødvendig for registrering via Mobile and Remote Access (MRA), da alle nødvendige eksterne DNS-poster for å lette MRA vil bli forhåndsklarert av Cisco.

Når du bruker Webex-programmet som din kallende myke klient på dedikert forekomst, må en UC Manager-profil konfigureres i Kontrollhub for hvert regions Voice Service Domain (VSD). Hvis du vil ha mer informasjon, kan du se UC Manager-profiler i Cisco Webex Control Hub. Webex-applikasjonen vil automatisk kunne løse kundens Expressway Edge uten noen sluttbrukerintervensjon.


Voice Service Domain vil bli gitt til kunden som en del av partnertilgangsdokumentet når tjenesteaktiveringen er fullført.