Wymagania sieciowe dla instancji dedykowanej

Webex Calling Dedicated Instance jest częścią oferty Cisco Cloud Calling, opartej na technologii współpracy Cisco Unified Communications Manager (Cisco Unified CM). Wystąpienie dedykowane oferuje rozwiązania głosowe, wideo, komunikacyjne i mobilne z funkcjami i zaletami telefonów IP Cisco, urządzeń mobilnych i klientów stacjonarnych, które bezpiecznie łączą się z wystąpieniem dedykowanym.

Ten artykuł jest przeznaczony dla administratorów sieci, w szczególności administratorów zapory i zabezpieczeń serwera proxy, którzy chcą korzystać z wystąpienia dedykowanego w swojej organizacji. Ten dokument koncentruje się głównie na wymaganiach sieciowych i bezpieczeństwie rozwiązania Dedicated Instance, w tym warstwowym podejściu do funkcji i funkcjonalności zapewniających bezpieczny dostęp fizyczny, bezpieczną sieć, bezpieczne punkty końcowe i bezpieczne aplikacje Cisco UC.

Przegląd zabezpieczeń: Bezpieczeństwo w warstwach

Wystąpienie dedykowane wykorzystuje warstwowe podejście do bezpieczeństwa. Warstwy obejmują:

  • Dostęp fizyczny

  • Sieć

  • Punkty końcowe

  • Aplikacje UC

W poniższych sekcjach opisano warstwy zabezpieczeń we wdrożeniach wystąpienia dedykowanego.

Bezpieczeństwo fizyczne

Ważne jest zapewnienie fizycznego bezpieczeństwa lokalizacji Equinix Meet-Me Room i obiektów Cisco Dedicated Instance Data Center. Gdy bezpieczeństwo fizyczne zostanie naruszone, można zainicjować proste ataki, takie jak przerwanie usług przez wyłączenie zasilania przełączników klienta. Dzięki dostępowi fizycznemu napastnicy mogą uzyskać dostęp do urządzeń serwerowych, resetować hasła i uzyskiwać dostęp do przełączników. Fizyczny dostęp ułatwia również bardziej wyrafinowane ataki, takie jak ataki typu man-in-the-middle, dlatego druga warstwa bezpieczeństwa, bezpieczeństwo sieci, ma kluczowe znaczenie.

Dyski samoszyfrujące są używane w centrach danych wystąpienia dedykowanego, które obsługują aplikacje UC.

Aby uzyskać więcej informacji na temat ogólnych praktyk bezpieczeństwa, zapoznaj się z dokumentacją w następującej lokalizacji: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Bezpieczeństwo sieci

Partnerzy muszą zapewnić, że wszystkie elementy sieci są zabezpieczone w infrastrukturze wystąpienia dedykowanego (która łączy się przez Equinix). Obowiązkiem partnera jest zapewnienie najlepszych praktyk w zakresie bezpieczeństwa, takich jak:

  • Oddzielna sieć VLAN dla głosu i danych

  • Włącz zabezpieczenia portów, które ograniczają liczbę dozwolonych adresów MAC na port, zapobiegając zalewaniu tabeli CAM

  • Ochrona źródła IP przed fałszywymi adresami IP

  • Dynamic ARP Inspection (DAI) bada protokół rozwiązywania adresów (ARP) i nieuzasadniony ARP (GARP) pod kątem naruszeń (przeciwko fałszowaniu ARP)

  • 802.1x ogranicza dostęp do sieci w celu uwierzytelniania urządzeń w przypisanych sieciach VLAN (telefony obsługują 802.1x)

  • Konfiguracja jakości usługi (QoS) w celu odpowiedniego oznaczenia pakietów głosowych

  • Konfiguracje portów zapory do blokowania wszelkiego innego ruchu

Bezpieczeństwo punktów końcowych

Punkty końcowe Cisco obsługują domyślne funkcje zabezpieczeń, takie jak podpisane oprogramowanie układowe, bezpieczny rozruch (wybrane modele), certyfikat zainstalowany przez producenta (MIC) i podpisane pliki konfiguracyjne, które zapewniają określony poziom bezpieczeństwa punktów końcowych.

Ponadto partner lub klient może włączyć dodatkowe zabezpieczenia, takie jak:

  • Szyfruj usługi telefonii IP (przez HTTPS) dla usług, takich jak mobilność rozszerzeń

  • Wydaj certyfikaty o znaczeniu lokalnym (LSC) z funkcji proxy urzędu certyfikacji (CAPF) lub publicznego urzędu certyfikacji (CA)

  • Szyfruj pliki konfiguracyjne

  • Szyfruj media i sygnalizację

  • Wyłącz te ustawienia, jeśli nie są używane: Port PC, PC Voice VLAN Access, Gratuitous ARP, Web Access, przycisk Settings, SSH, konsola

Wdrożenie mechanizmów bezpieczeństwa w wystąpieniu dedykowanym zapobiega kradzieży tożsamości telefonów i serwera Unified CM, manipulowaniu danymi oraz manipulowaniem sygnalizacją połączeń/strumieniem multimediów.

Dedykowana instancja przez sieć:

  • Ustanawia i utrzymuje uwierzytelnione strumienie komunikacji

  • Cyfrowo podpisuje pliki przed przesłaniem pliku do telefonu

  • Szyfruje strumienie multimediów i sygnalizację połączeń między telefonami IP Cisco Unified

Domyślna konfiguracja zabezpieczeń

Zabezpieczenia domyślnie zapewniają następujące automatyczne funkcje zabezpieczeń dla telefonów IP Cisco Unified:

  • Podpisywanie plików konfiguracyjnych telefonu

  • Obsługa szyfrowania plików konfiguracyjnych telefonu

  • HTTPS z Tomcat i innymi usługami sieciowymi (MIDlety)

W przypadku wersji Unified CM Release 8.0 te funkcje zabezpieczeń są udostępniane domyślnie bez uruchamiania klienta listy zaufania certyfikatów (CTL).

Usługa weryfikacji zaufania

Ponieważ w sieci jest duża liczba telefonów, a telefony IP mają ograniczoną pamięć, program Cisco Unified CM działa jako zdalny magazyn zaufania za pośrednictwem usługi weryfikacji zaufania (TVS), dzięki czemu na każdym telefonie nie trzeba umieszczać magazynu zaufania certyfikatów. Telefony Cisco IP kontaktują się z serwerem TVS w celu weryfikacji, ponieważ nie mogą zweryfikować podpisu ani certyfikatu za pomocą plików CTL lub ITL. Posiadanie centralnego magazynu zaufania jest łatwiejsze w zarządzaniu niż posiadanie magazynu zaufania w każdym telefonie IP Cisco Unified.

TVS umożliwia telefonom Cisco Unified IP uwierzytelnianie serwerów aplikacji, takich jak usługi EM, katalog i MIDlet, podczas ustanawiania protokołu HTTPS.

Początkowa lista zaufania

Plik początkowej listy zaufania (ITL) jest używany do początkowego zabezpieczenia, dzięki czemu punkty końcowe mogą ufać Cisco Unified CM. ITL nie wymaga jawnego włączenia żadnych funkcji bezpieczeństwa. Plik ITL jest tworzony automatycznie podczas instalacji klastra. Klucz prywatny serwera TFTP (Unified CM Trivial File Transfer Protocol) jest używany do podpisywania pliku ITL.

Gdy klaster lub serwer Cisco Unified CM jest w trybie niezabezpieczonym, plik ITL jest pobierany na każdy obsługiwany telefon IP firmy Cisco. Partner może przeglądać zawartość pliku ITL za pomocą polecenia CLI, admin:show itl.

Telefony Cisco IP potrzebują pliku ITL do wykonywania następujących zadań:

  • Bezpieczna komunikacja z CAPF, co jest warunkiem wstępnym obsługi szyfrowania plików konfiguracyjnych

  • Uwierzytelnij podpis pliku konfiguracyjnego

  • Uwierzytelnianie serwerów aplikacji, takich jak usługi EM, katalog i MIDlet podczas ustanawiania protokołu HTTPS za pomocą TVS

Cisco CTL

Uwierzytelnianie urządzenia, pliku i sygnalizacji polega na utworzeniu pliku listy zaufania certyfikatów (CTL), który jest tworzony, gdy partner lub klient instaluje i konfiguruje klienta listy zaufania certyfikatów Cisco.

Plik CTL zawiera wpisy dla następujących serwerów lub tokenów zabezpieczających:

  • Token bezpieczeństwa administratora systemu (SAST)

  • Usługi Cisco CallManager i Cisco TFTP działające na tym samym serwerze

  • Funkcja proxy urzędu certyfikacji (CAPF)

  • Serwer(y) TFTP

  • Zapora ASA

Plik CTL zawiera certyfikat serwera, klucz publiczny, numer seryjny, podpis, nazwę wystawcy, nazwę podmiotu, funkcję serwera, nazwę DNS i adres IP dla każdego serwera.

Bezpieczeństwo telefonu z CTL zapewnia następujące funkcje:

  • Uwierzytelnianie pobranych plików TFTP (konfiguracja, ustawienia regionalne, lista dzwonków itd.) za pomocą klucza podpisywania

  • Szyfrowanie plików konfiguracyjnych TFTP za pomocą klucza podpisującego

  • Szyfrowana sygnalizacja połączeń dla telefonów IP

  • Szyfrowane połączenie audio (media) dla telefonów IP

Zabezpieczenia telefonów IP Cisco w dedykowanej instancji

Wystąpienie dedykowane zapewnia rejestrację punktów końcowych i przetwarzanie połączeń. Sygnalizacja między Cisco Unified CM a punktami końcowymi jest oparta na protokole Secure Skinny Client Control Protocol (SCCP) lub Session Initiation Protocol (SIP) i może być szyfrowana przy użyciu protokołu Transport Layer Security (TLS). Media z/do punktów końcowych są oparte na protokole transportu w czasie rzeczywistym (RTP) i mogą być również szyfrowane za pomocą bezpiecznego protokołu RTP (SRTP).

Włączenie trybu mieszanego w Unified CM umożliwia szyfrowanie ruchu sygnalizacyjnego i multimedialnego zi do punktów końcowych Cisco.

Bezpieczne aplikacje UC

Włączanie trybu mieszanego w instancji dedykowanej

Tryb mieszany nie jest domyślnie włączony w wystąpieniu dedykowanym.

Włączenie trybu mieszanego w wystąpieniu dedykowanym umożliwia szyfrowanie ruchu sygnalizacyjnego i multimedialnego z i do punktów końcowych Cisco.

W wydaniu Cisco Unified CM 12.5(1) dodano nową opcję włączenia szyfrowania sygnalizacji i mediów w oparciu o SIP OAuth zamiast trybu mieszanego / CTL dla klientów Jabber i Webex. Dlatego w wersji Unified CM 12.5(1) SIP OAuth i SRTP mogą być używane do włączania szyfrowania sygnalizacji i mediów dla klientów Jabber lub Webex. Włączenie trybu mieszanego jest obecnie wymagane dla telefonów Cisco IP i innych punktów końcowych Cisco. Planowane jest dodanie obsługi SIP OAuth w punktach końcowych 7800/8800 w przyszłej wersji.

Bezpieczeństwo wiadomości głosowych

Cisco Unity Connection łączy się z Unified CM przez port TLS. Gdy tryb bezpieczeństwa urządzenia jest niezabezpieczony, Cisco Unity Connection łączy się z Unified CM przez port SCCP.

Aby skonfigurować zabezpieczenia portów komunikacji głosowej Unified CM i urządzeń Cisco Unity z systemem SCCP lub urządzeń Cisco Unity Connection z systemem SCCP, partner może wybrać dla portu bezpieczny tryb zabezpieczeń urządzenia. Jeśli wybierzesz uwierzytelniony port poczty głosowej, otworzy się połączenie TLS, które uwierzytelnia urządzenia za pomocą wzajemnej wymiany certyfikatów (każde urządzenie akceptuje certyfikat drugiego urządzenia). Jeśli wybierzesz szyfrowany port poczty głosowej, system najpierw uwierzytelni urządzenia, a następnie wyśle zaszyfrowane strumienie głosowe między urządzeniami.

Aby uzyskać więcej informacji na temat portów wiadomości Security Voice, zobacz: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Bezpieczeństwo dla SRST, Trunks, Gateways, CUBE/SBC

Brama obsługująca Cisco Unified Survivable Remote Site Telephony (SRST) zapewnia ograniczone zadania przetwarzania połączeń, jeśli Cisco Unified CM w dedykowanym wystąpieniu nie może ukończyć połączenia.

Bezpieczne bramy obsługujące SRST zawierają certyfikat z podpisem własnym. Gdy partner wykona zadania konfiguracyjne SRST w Unified CM Administration, Unified CM używa połączenia TLS do uwierzytelniania z usługą dostawcy certyfikatu w bramie obsługującej SRST. Unified CM następnie pobiera certyfikat z bramy obsługującej SRST i dodaje certyfikat do bazy danych Unified CM.

Gdy partner zresetuje urządzenia zależne w Unified CM Administration, serwer TFTP dodaje certyfikat bramy obsługującej SRST do pliku cnf.xml telefonu i wysyła plik do telefonu. Bezpieczny telefon używa następnie połączenia TLS do interakcji z bramą obsługującą SRST.

Zaleca się posiadanie bezpiecznych łączy trunkingowych dla połączeń wychodzących z Cisco Unified CM do bramy dla wychodzących połączeń PSTN lub przechodzących przez Cisco Unified Border Element (CUBE).

Łącza SIP mogą obsługiwać bezpieczne połączenia zarówno w zakresie sygnalizacji, jak i mediów; TLS zapewnia szyfrowanie sygnalizacji, a SRTP zapewnia szyfrowanie mediów.

Zabezpieczanie komunikacji między Cisco Unified CM a CUBE

Aby zapewnić bezpieczną komunikację między Cisco Unified CM a CUBE, partnerzy/klienci muszą używać certyfikatu z podpisem własnym lub certyfikatu z podpisem CA.

W przypadku certyfikatów z podpisem własnym:

  1. CUBE i Cisco Unified CM generują certyfikaty z podpisem własnym

  2. CUBE eksportuje certyfikat do Cisco Unified CM

  3. Cisco Unified CM eksportuje certyfikat do CUBE

W przypadku certyfikatów podpisanych przez urząd certyfikacji:

  1. Klient generuje parę kluczy i wysyła żądanie podpisania certyfikatu (CSR) do urzędu certyfikacji (CA)

  2. CA podpisuje go swoim kluczem prywatnym, tworząc Certyfikat tożsamości

  3. Klient instaluje listę zaufanych certyfikatów głównych i pośrednich CA oraz certyfikat tożsamości

Bezpieczeństwo zdalnych punktów końcowych

Dzięki punktom końcowym dostępu mobilnego i zdalnego (MRA) sygnalizacja i media są zawsze szyfrowane między punktami końcowymi MRA a węzłami Expressway. Jeśli protokół Interactive Connectivity Establishment (ICE) jest używany dla punktów końcowych MRA, wymagane jest szyfrowanie sygnalizacji i mediów punktów końcowych MRA. Jednak szyfrowanie sygnalizacji i mediów między Expressway-C a wewnętrznymi serwerami Unified CM, wewnętrznymi punktami końcowymi lub innymi urządzeniami wewnętrznymi wymaga trybu mieszanego lub SIP OAuth.

Cisco Expressway zapewnia bezpieczne przechodzenie przez zaporę ogniową i obsługę linii dla rejestracji ujednoliconego CM. Unified CM zapewnia kontrolę połączeń zarówno dla mobilnych, jak i lokalnych punktów końcowych. Sygnalizacja przechodzi przez rozwiązanie Expressway między zdalnym punktem końcowym a Unified CM. Media przechodzą przez rozwiązanie Expressway i są przekazywane bezpośrednio między punktami końcowymi. Wszystkie media są szyfrowane między Expressway-C a mobilnym punktem końcowym.

Każde rozwiązanie MRA wymaga Expressway i Unified CM, z programami klienckimi kompatybilnymi z MRA i/lub stałymi punktami końcowymi. Rozwiązanie może opcjonalnie obejmować usługę wiadomości błyskawicznych i obecności oraz Unity Connection.

Podsumowanie protokołu

W poniższej tabeli przedstawiono protokoły i powiązane usługi używane w rozwiązaniu Unified CM.

Tabela 1. Protokoły i powiązane usługi

Protokół

Zabezpieczenia

Usługa

SIP

TLS

Ustanowienie sesji: Zarejestruj się, zaproś itp.

HTTPS

TLS

Logowanie, udostępnianie/konfiguracja, katalog, wizualna poczta głosowa

Multimedia

SRTP

Głoska bezdźwięczna: Udostępnianie dźwięku, wideo, treści

XMPP

TLS

Komunikatory internetowe, obecność, federacja

Aby uzyskać więcej informacji na temat konfiguracji MRA, zobacz: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Opcje konfiguracji

Wystąpienie dedykowane zapewnia partnerowi elastyczność w dostosowywaniu usług dla użytkowników końcowych poprzez pełną kontrolę nad konfiguracjami drugiego dnia. W rezultacie Partner ponosi wyłączną odpowiedzialność za prawidłową konfigurację usługi Wystąpienia dedykowane dla środowiska użytkownika końcowego. Obejmuje to między innymi:

  • Wybieranie bezpiecznych/niezabezpieczonych połączeń, bezpiecznych/niezabezpieczonych protokołów, takich jak SIP/sSIP, http/https itp. oraz zrozumienie wszelkich powiązanych zagrożeń.

  • W przypadku wszystkich adresów MAC, które nie są skonfigurowane jako bezpieczne SIP w wystąpieniu dedykowanym, osoba atakująca może wysłać wiadomość rejestru SIP przy użyciu tego adresu MAC i nawiązywać połączenia SIP, co skutkuje oszustwami związanymi z opłatami drogowymi. Warunkiem koniecznym jest to, aby osoba atakująca mogła zarejestrować swoje urządzenie/oprogramowanie SIP w wystąpieniu dedykowanym bez autoryzacji, jeśli zna adres MAC urządzenia zarejestrowanego w wystąpieniu dedykowanym.

  • Zasady połączeń Expressway-E, reguły transformacji i wyszukiwania powinny być skonfigurowane w celu zapobiegania oszustwom związanym z opłatami drogowymi. Więcej informacji na temat zapobiegania oszustwom związanym z opłatami drogowymi przy użyciu Expressways można znaleźć w sekcji Bezpieczeństwo Expressway C i Expressway-E Collaboration SRND.

  • Konfiguracja planu połączeń, aby zapewnić użytkownikom możliwość wybierania numerów tylko do dozwolonych miejsc docelowych, np. zabronić wybierania numerów krajowych/międzynarodowych, połączenia alarmowe są prawidłowo kierowane itp. Więcej informacji na temat stosowania ograniczeń przy użyciu planu połączeń można znaleźć w sekcji Plan połączeń we współpracy SRND.

Wymagania dotyczące certyfikatów dla bezpiecznych połączeń w dedykowanej instancji

W przypadku wystąpienia dedykowanego firma Cisco dostarczy domenę i podpisze wszystkie certyfikaty dla aplikacji UC za pomocą publicznego urzędu certyfikacji (CA).

Dedykowana instancja — numery portów i protokoły

W poniższych tabelach opisano porty i protokoły obsługiwane w wystąpieniu dedykowanym. Porty używane dla danego klienta zależą od wdrożenia i rozwiązania klienta. Protokoły zależą od preferencji klienta (SCCP vs SIP), istniejących urządzeń lokalnych oraz od poziomu zabezpieczeń, aby określić, które porty mają być używane w każdym wdrożeniu.

Dedykowana instancja — porty klienta

Porty dostępne dla klientów — między siedzibą klienta a instancją dedykowaną przedstawiono w tabeli 1 Porty klienta instancji dedykowanej. Wszystkie wymienione poniżej porty są przeznaczone dla ruchu klientów przechodzących przez łącza równorzędne.


Port SNMP jest obsługiwany tylko dla funkcjonalności CER, a nie dla jakichkolwiek innych narzędzi monitorujących innych firm.


Porty z zakresu od 5063 do 5080 są zarezerwowane przez Cisco dla innych integracji w chmurze, zaleca się, aby administratorzy partnerów lub klientów nie używali tych portów w swoich konfiguracjach.

Tabela 2. Dedykowane wystąpienia portów klienta

Protokół

TCP/UCP

Źródło

Miejsce docelowe

Port źródłowy

Port docelowy

Zamiar

SSH

TCP

Klient

Aplikacje UC

Większy niż 1023

22

Administracja

LDAP

TCP

Aplikacje UC

Katalog zewnętrzny

Większy niż 1023

389

Synchronizacja katalogu z klientem LDAP

HTTPS

TCP

Przeglądarka

Aplikacje UC

Większy niż 1023

443

Dostęp do sieci dla samoobsługi i interfejsów administracyjnych

LDAP (BEZPIECZNY)

TCP

Aplikacje UC

Katalog zewnętrzny

Większy niż 1023

636

Synchronizacja katalogu z klientem LDAP

SCCP

TCP

Punkt końcowy

Zunifikowany CM, CUCxn

Większy niż 1023

2000

Sygnalizacja połączeń

SCCP

TCP

Unified CM

Zunifikowany CM, Bramka

Większy niż 1023

2000

Sygnalizacja połączeń

SCCP (BEZPIECZNY)

TCP

Punkt końcowy

Zunifikowany CM, CUCxn

Większy niż 1023

2443

Sygnalizacja połączeń

SCCP (BEZPIECZNY)

TCP

Unified CM

Zunifikowany CM, Bramka

Większy niż 1023

2443

Sygnalizacja połączeń

Weryfikacja zaufania

TCP

Punkt końcowy

Unified CM

Większy niż 1023

2445

Świadczenie usługi weryfikacji zaufania do punktów końcowych

CTI

TCP

Punkt końcowy

Unified CM

Większy niż 1023

2748

Połączenie między aplikacjami CTI (JTAPI/TSP) i CTIManager

Bezpieczny CTI

TCP

Punkt końcowy

Unified CM

Większy niż 1023

2749

Bezpieczne połączenie między aplikacjami CTI (JTAPI/TSP) a CTIManager

Katalog globalny LDAP

TCP

Aplikacje UC

Katalog zewnętrzny

Większy niż 1023

3268

Synchronizacja katalogu z klientem LDAP

Katalog globalny LDAP

TCP

Aplikacje UC

Katalog zewnętrzny

Większy niż 1023

3269

Synchronizacja katalogu z klientem LDAP

Usługa CAPF

TCP

Punkt końcowy

Unified CM

Większy niż 1023

3804

Port nasłuchiwania funkcji proxy urzędu certyfikacji (CAPF) do wydawania certyfikatów o znaczeniu lokalnym (LSC) telefonom IP

SIP

TCP

Punkt końcowy

Zunifikowany CM, CUCxn

Większy niż 1023

5060

Sygnalizacja połączeń

SIP

TCP

Unified CM

Zunifikowany CM, Bramka

Większy niż 1023

5060

Sygnalizacja połączeń

SIP (BEZPIECZNY)

TCP

Punkt końcowy

Unified CM

Większy niż 1023

5061

Sygnalizacja połączeń

SIP (BEZPIECZNY)

TCP

Unified CM

Zunifikowany CM, Bramka

Większy niż 1023

5061

Sygnalizacja połączeń

SIP (OAUTH)

TCP

Punkt końcowy

Unified CM

Większy niż 1023

5090

Sygnalizacja połączeń

XMPP

TCP

Klient Jabbera

Cisco IM&P

Większy niż 1023

5222

Wiadomości błyskawiczne i obecność

HTTP

TCP

Punkt końcowy

Unified CM

Większy niż 1023

6970

Pobieranie konfiguracji i obrazów do punktów końcowych

HTTPS

TCP

Punkt końcowy

Unified CM

Większy niż 1023

6971

Pobieranie konfiguracji i obrazów do punktów końcowych

HTTPS

TCP

Punkt końcowy

Unified CM

Większy niż 1023

6972

Pobieranie konfiguracji i obrazów do punktów końcowych

HTTP

TCP

Klient Jabbera

CUCxn

Większy niż 1023

7080

Powiadomienia poczty głosowej

HTTPS

TCP

Klient Jabbera

CUCxn

Większy niż 1023

7443

Bezpieczne powiadomienia poczty głosowej

HTTPS

TCP

Unified CM

Unified CM

Większy niż 1023

7501

Używany przez Intercluster Lookup Service (ILS) do uwierzytelniania opartego na certyfikatach

HTTPS

TCP

Unified CM

Unified CM

Większy niż 1023

7502

Używany przez ILS do uwierzytelniania opartego na hasłach

IMAP

TCP

Klient Jabbera

CUCxn

Większy niż 1023

7993

IMAP przez TLS

HTTPS

TCP

Przeglądarka, punkt końcowy

Aplikacje UC

Większy niż 1023

8443

Dostęp do sieci dla samoobsługi i interfejsów administracyjnych, UDS

HTTPS

TCP

Prem

Unified CM

Większy niż 1023

9443

Wyszukiwanie kontaktów uwierzytelnionych

Bezpieczny RTP/SRTP

UDP

Unified CM

Telefon

16384 do 32767 *

16384 do 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (otwarty w oparciu o sygnalizację połączenia)

Bezpieczny RTP/SRTP

UDP

Telefon

Unified CM

16384 do 32767 *

16384 do 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (otwarty w oparciu o sygnalizację połączenia)

ICMP

ICMP

Punkt końcowy

Aplikacje UC

nd.

nd.

Ping

ICMP

ICMP

Aplikacje UC

Punkt końcowy

nd.

nd.

Ping

* W niektórych przypadkach specjalnych może być używany większy zakres.

Dedykowana instancja – porty OTT

Poniższa lista portów może być używana przez klientów i partnerów do konfiguracji dostępu mobilnego i zdalnego (MRA):

Tabela 3. Lista portów dla OTT

Protokół

TCP/UCP

Źródło

Miejsce docelowe

Port źródłowy

Port docelowy

Zamiar

BEZPIECZNY SIP

TCP

Punkt końcowy

Droga ekspresowa E

Większy niż 1023

5061

Bezpieczna sygnalizacja SIP Do rejestracji i połączeń MRA

BEZPIECZNY SIP

TCP

Punkt końcowy/serwer

Droga ekspresowa E

Większy niż 1023

5062

Bezpieczny SIP dla połączeń B2B

BEZPIECZNY RTP/RTCP

UDP

Punkt końcowy/serwer

Droga ekspresowa E

Większy niż 1023

36000-59999

Bezpieczne media dla połączeń MRA i B2B

HTTPS (BEZPIECZNY)

TLS

Klient

Droga ekspresowa E

Większy niż 1023

8443

CUCM UDS i CUCxn REST dla połączeń MRA

XMLS

TLS

Klient

Droga ekspresowa E

Większy niż 1023

5222

Komunikator i obecność

SKRĘCAĆ

UDP

Klient ICE

Droga ekspresowa E

Większy niż 1023

3478

Negocjacja ICE/STUN/TURN

BEZPIECZNY RTP/RTCP

UPD

Klient ICE

Droga ekspresowa E

Większy niż 1023

24000-29999

OBRÓĆ media w celu powrotu do ICE

Dedykowana instancja — porty UCCX

Poniższa lista portów może być używana przez klientów i partnerów do konfiguracji UCCX.

Tabela 4. Porty Cisco UCCX

Protokół

TCP / UCP

Źródło

Miejsce docelowe

Port źródłowy

Port docelowy

Zamiar

SSH

TCP

Klient

UCCX

Większy niż 1023

22

SFTP i SSH

Informix

TCP

Klient lub serwer

UCCX

Większy niż 1023

1504

Zunifikowany port bazy danych CCX

SIP

UDP i TCP

Serwer SIP GW lub MCRP

UCCX

Większy niż 1023

5065

Komunikacja ze zdalnymi węzłami GW i MCRP

XMPP

TCP

Klient

UCCX

Większy niż 1023

5223

Bezpieczne połączenie XMPP między serwerem Finesse a niestandardowymi aplikacjami innych firm

CVD

TCP

Klient

UCCX

Większy niż 1023

6999

Edytor do aplikacji CCX

HTTPS

TCP

Klient

UCCX

Większy niż 1023

7443

Bezpieczne połączenie BOSH między serwerem Finesse a komputerami agenta i nadzorcy w celu komunikacji przez HTTPS

HTTP

TCP

Klient

UCCX

Większy niż 1023

8080

Klienci raportowania danych na żywo łączą się z serwerem socket.IO

HTTP

TCP

Klient

UCCX

Większy niż 1023

8081

Przeglądarka klienta próbująca uzyskać dostęp do interfejsu sieciowego Cisco Unified Intelligence Center

HTTP

TCP

Klient

UCCX

Większy niż 1023

8443

Admin GUI, RTMT, dostęp do bazy danych przez SOAP

HTTPS

TCP

Klient

UCCX

Większy niż 1023

8444

Interfejs sieciowy Cisco Unified Intelligence Center

HTTPS

TCP

Przeglądarka i klienci REST

UCCX

Większy niż 1023

8445

Bezpieczny port dla Finezji

HTTPS

TCP

Klient

UCCX

Większy niż 1023

8447

HTTPS — pomoc online Unified Intelligence Center

HTTPS

TCP

Klient

UCCX

Większy niż 1023

8553

Komponenty jednokrotnego logowania (SSO) uzyskują dostęp do tego interfejsu, aby poznać stan działania Cisco IdS.

HTTP

TCP

Klient

UCCX

Większy niż 1023

9080

Klienci próbujący uzyskać dostęp do wyzwalaczy HTTP lub dokumentów/monitów/gramatyk/danych na żywo.

HTTPS

TCP

Klient

UCCX

Większy niż 1023

9443

Bezpieczny port używany do odpowiadania klientom próbującym uzyskać dostęp do wyzwalaczy HTTPS

TCP

TCP

Klient

UCCX

Większy niż 1023

12014

Jest to port, przez który klienci raportowania danych na żywo mogą łączyć się z serwerem socket.IO

TCP

TCP

Klient

UCCX

Większy niż 1023

12015

Jest to port, przez który klienci raportowania danych na żywo mogą łączyć się z serwerem socket.IO

CTI

TCP

Klient

UCCX

Większy niż 1023

12028

Zewnętrzny klient CTI do CCX

RTP (media)

TCP

Punkt końcowy

UCCX

Większy niż 1023

Większy niż 1023

Media port jest otwierany dynamicznie w razie potrzeby

RTP (media)

TCP

Klient

Punkt końcowy

Większy niż 1023

Większy niż 1023

Media port jest otwierany dynamicznie w razie potrzeby

Bezpieczeństwo klienta

Zabezpieczanie Jabbera i Webex za pomocą SIP OAuth

Klienci Jabber i Webex są uwierzytelniani za pomocą tokena OAuth zamiast certyfikatu o znaczeniu lokalnym (LSC), który nie wymaga włączenia funkcji proxy urzędu certyfikacji (CAPF) (również dla MRA). SIP OAuth działający w trybie mieszanym lub bez niego został wprowadzony w Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.

W Cisco Unified CM 12.5 mamy nową opcję w profilu bezpieczeństwa telefonu, która umożliwia szyfrowanie bez LSC/CAPF, przy użyciu pojedynczego tokena Transport Layer Security (TLS) + OAuth w SIP REGISTER. Węzły Expressway-C używają interfejsu API usługi Administrative XML Web Service (AXL) do informowania Cisco Unified CM o SN/SAN w ich certyfikacie. Cisco Unified CM wykorzystuje te informacje do weryfikacji certyfikatu Exp-C podczas nawiązywania wzajemnego połączenia TLS.

SIP OAuth umożliwia szyfrowanie mediów i sygnalizacji bez certyfikatu punktu końcowego (LSC).

Cisco Jabber używa portów efemerycznych i bezpiecznych portów 6971 i 6972 za pośrednictwem połączenia HTTPS z serwerem TFTP w celu pobrania plików konfiguracyjnych. Port 6970 to niezabezpieczony port do pobierania przez HTTP.

Więcej szczegółów na temat konfiguracji SIP OAuth: Tryb SIP OAuth.

Wymagania DNS

W przypadku wystąpienia dedykowanego firma Cisco udostępnia nazwę FQDN usługi w każdym regionie w następującym formacie <customer>.<region>.wxc-di.webex.com, na przykład xyz.amer.wxc- di.webex.com.

Wartość „klient” jest dostarczana przez administratora w ramach kreatora pierwszej konfiguracji (FTSW). Więcej informacji można znaleźć w artykule Aktywacja usługi wystąpienia dedykowanego.

Rekordy DNS dla tej nazwy FQDN muszą być możliwe do rozpoznania z wewnętrznego serwera DNS klienta, aby obsługiwać urządzenia lokalne łączące się z wystąpieniem dedykowanym. Aby ułatwić rozwiązanie, klient musi skonfigurować usługę warunkowego przesyłania dalej dla tej nazwy FQDN na swoim serwerze DNS, wskazując usługę DNS dedykowanego wystąpienia. Usługa DNS wystąpienia dedykowanego ma charakter regionalny i można się z nią połączyć za pośrednictwem połączenia równorzędnego z wystąpieniem dedykowanym, korzystając z następujących adresów IP wymienionych w poniższej tabeli Adres IP usługi DNS wystąpienia dedykowanego.

Tabela 5. Adres IP usługi DNS dedykowanej instancji

Region/DC

Adres IP usługi DNS dedykowanej instancji

Przykład warunkowego przekazywania

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

GRZECH

103.232.71.228

AUS

<customer>.aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


Opcja ping jest wyłączona dla wyżej wymienionych adresów IP serwerów DNS ze względów bezpieczeństwa.

Dopóki przekierowanie warunkowe nie zostanie uruchomione, urządzenia nie będą mogły zarejestrować się w Instancji Dedykowanej z sieci wewnętrznej klienta za pośrednictwem łączy równorzędnych. Przekazywanie warunkowe nie jest wymagane w przypadku rejestracji za pośrednictwem dostępu mobilnego i zdalnego (MRA), ponieważ wszystkie wymagane zewnętrzne rekordy DNS w celu ułatwienia MRA zostaną wstępnie udostępnione przez firmę Cisco.

W przypadku korzystania z aplikacji Webex jako wywołującego klienta programowego w wystąpieniu dedykowanym profil menedżera UC należy skonfigurować w centrum sterowania dla domeny usługi głosowej (VSD) każdego regionu. Więcej informacji można znaleźć w artykule Profile menedżera UC w Cisco Webex Control Hub. Aplikacja Webex będzie w stanie automatycznie rozwiązać problem Expressway Edge klienta bez jakiejkolwiek interwencji użytkownika końcowego.


Domena usługi głosowej zostanie udostępniona klientowi jako część dokumentu dostępu partnera po zakończeniu aktywacji usługi.