Wymagania sieciowe dla dedykowanej instancji

Webex Calling Dedicated Instance jest częścią portfolio Cisco Cloud Calling, opartego na technologii współpracy Cisco Unified Communications Manager (Cisco Unified CM). Dedykowana instancja oferuje rozwiązania głosowe, wideo, komunikacyjne i mobilne z funkcjami i zaletami telefonów IP, urządzeń mobilnych i klientów stacjonarnych Cisco, które bezpiecznie łączą się z dedykowaną instancją.

Ten artykuł jest przeznaczony dla administratorów sieci, w szczególności administratorów zabezpieczeń zapory i serwera proxy, którzy chcą używać dedykowanego wystąpienia w swojej organizacji. Ten dokument koncentruje się przede wszystkim na wymaganiach sieciowych i bezpieczeństwie rozwiązania dedykowanej instancji, w tym warstwowym podejściu do funkcji i funkcjonalności, które zapewniają bezpieczny dostęp fizyczny, bezpieczną sieć, bezpieczne punkty końcowe i bezpieczne aplikacje Cisco UC.

Wymagania dotyczące certyfikatów dla bezpiecznych połączeń w wystąpieniu dedykowanym

W przypadku webex Calling Dedicated Instance firma Cisco udostępni domenę i podpisze wszystkie certyfikaty dla aplikacji UC przy użyciu publicznego urzędu certyfikacji (CA).

Dedykowana instancja – numery portów i protokoły

W poniższych tabelach opisano porty i protokoły obsługiwane w wystąpieniu dedykowanym. Porty, które są używane dla danego klienta, zależą od wdrożenia i rozwiązania klienta. Protokoły zależą od preferencji klienta (SCCP vs SIP), istniejących urządzeń lokalnych i poziomu zabezpieczeń określających, które porty mają być używane w każdym wdrożeniu.

Dedykowana instancja – porty klienta

Porty dostępne dla klientów - pomiędzy siedzibą Klienta a Wystąpieniem Dedykowanym pokazano w Tabeli 1 Dedykowane Porty KlientaInstancji. Wszystkie porty wymienione poniżej są przeznaczone dla ruchu klientów przechodzącego przez łącza równorzędne.


Port SNMP jest obsługiwany tylko dla funkcji CER, a nie dla innych narzędzi do monitorowania innych firm.

Tabela 1. Dedykowane porty klienta instancji

Protokół

Protokół TCP/UCP

Źródło

Miejsce docelowe

Port źródłowy

Port docelowy

Cel

Protokół SSH

TCP

Klient

Aplikacje UC

Większe niż 1023

22

Administracja

LDAP

TCP

Aplikacje UC

Katalog zewnętrzny

Większe niż 1023

389

Synchronizacja katalogów z protokołem LDAP klienta

Protokół HTTPS

TCP

Przeglądarka

Aplikacje UC

Większe niż 1023

443

Dostęp do sieci Web dla interfejsów samoobsługowych i administracyjnych

LDAP (BEZPIECZNY)

TCP

Aplikacje UC

Katalog zewnętrzny

Większe niż 1023

636

Synchronizacja katalogów z protokołem LDAP klienta

ScCP

TCP

Punkt końcowy

Zunifikowany CM, CUCxn

Większe niż 1023

2000

Sygnalizacja połączeń

ScCP

TCP

Unified CM

Zunifikowany CM, Gateway

Większe niż 1023

2000

Sygnalizacja połączeń

SCCP (BEZPIECZNE)

TCP

Punkt końcowy

Zunifikowany CM, CUCxn

Większe niż 1023

2443

Sygnalizacja połączeń

SCCP (BEZPIECZNE)

TCP

Unified CM

Zunifikowany CM, Gateway

Większe niż 1023

2443

Sygnalizacja połączeń

Weryfikacja zaufania

TCP

Punkt końcowy

Unified CM

Większe niż 1023

2445

Świadczenie usługi weryfikacji zaufania dla punktów końcowych

CTI

TCP

Punkt końcowy

Unified CM

Większe niż 1023

2748

Połączenie między aplikacjami CTI (JTAPI/TSP) a CTIManager

Bezpieczne CTI

TCP

Punkt końcowy

Unified CM

Większe niż 1023

2749

Bezpieczne połączenie między aplikacjami CTI (JTAPI/TSP) a CTIManager

Wykaz globalny LDAP

TCP

Aplikacje UC

Katalog zewnętrzny

Większe niż 1023

3268

Synchronizacja katalogów z protokołem LDAP klienta

Wykaz globalny LDAP

TCP

Aplikacje UC

Katalog zewnętrzny

Większe niż 1023

3269

Synchronizacja katalogów z protokołem LDAP klienta

Usługa CAPF

TCP

Punkt końcowy

Unified CM

Większe niż 1023

3804

Port nasłuchiwania funkcji CAPF (Certificate Authority Proxy Function) do wystawiania certyfikatów O znaczeniu lokalnym (LSC) telefonom IP

SIP

TCP

Punkt końcowy

Zunifikowany CM, CUCxn

Większe niż 1023

5060

Sygnalizacja połączeń

SIP

TCP

Unified CM

Zunifikowany CM, Gateway

Większe niż 1023

5060

Sygnalizacja połączeń

SIP (BEZPIECZNY)

TCP

Punkt końcowy

Unified CM

Większe niż 1023

5061

Sygnalizacja połączeń

SIP (BEZPIECZNY)

TCP

Unified CM

Zunifikowany CM, Gateway

Większe niż 1023

5061

Sygnalizacja połączeń

SIP (OAUTH)

TCP

Punkt końcowy

Unified CM

Większe niż 1023

5090

Sygnalizacja połączeń

XMPP

TCP

Klient Jabber

Cisco IM&P

Większe niż 1023

5222

Wiadomości błyskawiczne i informacje o obecności

Http

TCP

Punkt końcowy

Unified CM

Większe niż 1023

6970

Pobieranie konfiguracji i obrazów do punktów końcowych

Protokół HTTPS

TCP

Punkt końcowy

Unified CM

Większe niż 1023

6971

Pobieranie konfiguracji i obrazów do punktów końcowych

Protokół HTTPS

TCP

Punkt końcowy

Unified CM

Większe niż 1023

6972

Pobieranie konfiguracji i obrazów do punktów końcowych

Http

TCP

Klient Jabber

CUCxn

Większe niż 1023

7080

Powiadomienia poczty głosowej

Protokół HTTPS

TCP

Klient Jabber

CUCxn

Większe niż 1023

7443

Bezpieczne powiadomienia poczty głosowej

Protokół HTTPS

TCP

Unified CM

Unified CM

Większe niż 1023

7501

Używany przez usługę Intercluster Lookup Service (ILS) do uwierzytelniania opartego na certyfikatach

Protokół HTTPS

TCP

Unified CM

Unified CM

Większe niż 1023

7502

Używany przez ILS do uwierzytelniania opartego na hasłach

IMAP

TCP

Klient Jabber

CUCxn

Większe niż 1023

7993

IMAP przez TLS

Protokół HTTPS

TCP

Przeglądarka, Punkt końcowy

Aplikacje UC

Większe niż 1023

8443

Dostęp do sieci dla interfejsów samoobsługowych i administracyjnych, UDS

Protokół HTTPS

TCP

Prem

Unified CM

Większe niż 1023

9443

Wyszukiwanie uwierzytelnionych kontaktów

Bezpieczne RTP/SRTP

UDP

Unified CM

Telefon

od 16384 do 32767 *

od 16384 do 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Open based on call signaling)

Bezpieczne RTP/SRTP

UDP

Telefon

Unified CM

od 16384 do 32767 *

od 16384 do 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Open based on call signaling)

ICMP

ICMP

Punkt końcowy

Aplikacje UC

N/a

N/a

Ping

ICMP

ICMP

Aplikacje UC

Punkt końcowy

N/a

N/a

Ping

* Niektóre szczególne przypadki mogą korzystać z większego zakresu.

Dedykowana instancja – porty OTT

Poniższa lista portów może być używana przez klientów i partnerów do konfiguracji dostępu mobilnego i zdalnego (MRA):

Tabela 2. Lista portów dla OTT

Protokół

Protokół TCP/UCP

Źródło

Miejsce docelowe

Port źródłowy

Port docelowy

Cel

BEZPIECZNY SIP

TCP

Punkt końcowy

Droga ekspresowa E

Większe niż 1023

5061

Bezpieczna sygnalizacja SIP Do rejestracji MRA i połączeń

BEZPIECZNY SIP

TCP

Punkt końcowy/serwer

Droga ekspresowa E

Większe niż 1023

5062

Bezpieczny SIP dla połączeń B2B

BEZPIECZNE RTP/RTCP

UDP

Punkt końcowy/serwer

Droga ekspresowa E

Większe niż 1023

36000-59999

Bezpieczne multimedia dla połączeń MRA i B2B

HTTPS (BEZPIECZNY)

TLS

Klient

Droga ekspresowa E

Większe niż 1023

8443

CUCM UDS i CUCxn REST dla połączeń MRA

XmlS

TLS

Klient

Droga ekspresowa E

Większe niż 1023

5222

Wiadomości błyskawiczne i obecność

SKRĘCIĆ

UDP

Klient ICE

Droga ekspresowa E

Większe niż 1023

3478

Negocjacje ICE/STUN/TURN

BEZPIECZNE RTP/RTCP

UPD

Klient ICE

Droga ekspresowa E

Większe niż 1023

24000-29999

Nośniki TURN dla ICE rezerwowych

Dedykowana instancja – porty UCCX

Poniższa lista portów może być używana przez klientów i partnerów do konfigurowania UCCX.

Tabela 3. Porty Cisco UCCX

Protokół

TCP / UCP

Źródło

Miejsce docelowe

Port źródłowy

Port docelowy

Cel

Protokół SSH

TCP

Klient

UCCX

Większe niż 1023

22

SFTP i SSH

Informix

TCP

Klient lub serwer

UCCX

Większe niż 1023

1504

Ujednolicony port bazy danych CCX

SIP

UDP i TCP

Serwer SIP GW lub MCRP

UCCX

Większe niż 1023

5065

Komunikacja ze zdalnymi węzłami GW i MCRP

XMPP

TCP

Klient

UCCX

Większe niż 1023

5223

Bezpieczne połączenie XMPP między serwerem Finesse a niestandardowymi aplikacjami innych firm

Życiorys

TCP

Klient

UCCX

Większe niż 1023

6999

Edytor do aplikacji CCX

Protokół HTTPS

TCP

Klient

UCCX

Większe niż 1023

7443

Bezpieczne połączenie BOSH między serwerem Finesse a pulpitami agentów i nadzorców do komunikacji za pośrednictwem protokołu HTTPS

Http

TCP

Klient

UCCX

Większe niż 1023

8080

Klienci raportowania danych na żywo łączą się z gniazdem. Serwer IO

Http

TCP

Klient

UCCX

Większe niż 1023

8081

Przeglądarka klienta próbująca uzyskać dostęp do interfejsu internetowego Cisco Unified Intelligence Center

Http

TCP

Klient

UCCX

Większe niż 1023

8443

Admin GUI, RTMT, DB dostęp przez SOAP

Protokół HTTPS

TCP

Klient

UCCX

Większe niż 1023

8444

Interfejs sieciowy Cisco Unified Intelligence Center

Protokół HTTPS

TCP

Przeglądarka i klienci REST

UCCX

Większe niż 1023

8445

Bezpieczny port dla Finezji

Protokół HTTPS

TCP

Klient

UCCX

Większe niż 1023

8447

HTTPS - Unified Intelligence Center — pomoc online

Protokół HTTPS

TCP

Klient

UCCX

Większe niż 1023

8553

Składniki logowania jednokrotnego (SSO) uzyskują dostęp do tego interfejsu, aby poznać stan operacyjny usługi Cisco IdS.

Http

TCP

Klient

UCCX

Większe niż 1023

9080

Klienci próbujący uzyskać dostęp do wyzwalaczy HTTP lub dokumentów / monitów / gramatyki / danych na żywo.

Protokół HTTPS

TCP

Klient

UCCX

Większe niż 1023

9443

Bezpieczny port używany do reagowania na klientów próbujących uzyskać dostęp do wyzwalaczy HTTPS

TCP

TCP

Klient

UCCX

Większe niż 1023

12014

Jest to port, w którym klienci raportowania danych na żywo mogą łączyć się z gniazdem. Serwer IO

TCP

TCP

Klient

UCCX

Większe niż 1023

12015

Jest to port, w którym klienci raportowania danych na żywo mogą łączyć się z gniazdem. Serwer IO

CTI

TCP

Klient

UCCX

Większe niż 1023

12028

Zewnętrzny klient CTI do CCX

RTP(Media)

TCP

Punkt końcowy

UCCX

Większe niż 1023

Większe niż 1023

Port multimediów jest otwierany dynamicznie w razie potrzeby

RTP(Media)

TCP

Klient

Punkt końcowy

Większe niż 1023

Większe niż 1023

Port multimediów jest otwierany dynamicznie w razie potrzeby

Bezpieczeństwo klienta

Zabezpieczanie Jabber i Webex za pomocą SIP OAuth

Klienci Jabber i Webex są uwierzytelniani za pomocą tokenu OAuth zamiast lokalnie istotnego certyfikatu (LSC), który nie wymaga włączenia funkcji proxy urzędu certyfikacji (CAPF) (również dla MRA). SIP OAuth pracujący z trybem mieszanym lub bez niego został wprowadzony w Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.

W Cisco Unified CM 12.5 mamy nową opcję w Profilu zabezpieczeń telefonu, która umożliwia szyfrowanie bez LSC/CAPF, przy użyciu pojedynczego protokołu Transport Layer Security (TLS) + OAuth token w SIP REGISTER. Węzły Expressway-C używają interfejsu API Administrative XML Web Service (AXL) do informowania Cisco Unified CM o SN/SAN w swoim certyfikacie. Cisco Unified CM używa tych informacji do sprawdzania poprawności certyfikatu Exp-C podczas ustanawiania wzajemnego połączenia TLS.

SIP OAuth umożliwia szyfrowanie nośników i sygnalizacji bez certyfikatu punktu końcowego (LSC).

Cisco Jabber używa portów efemerycznych i bezpiecznych portów 6971 i 6972 za pośrednictwem połączenia HTTPS z serwerem TFTP do pobierania plików konfiguracyjnych. Port 6970 jest niezabezpieczonym portem do pobrania przez HTTP.

Więcej szczegółów na temat konfiguracji SIP OAuth: Tryb SIP OAuth.

Wymagania DNS

Dla dedykowanych wystąpień Cisco udostępnia nazwę FQDN usługi w każdym regionie w następującym <customer>formacie. .<region>. wxc-di.webex.com na przykład xyz.amer.wxc-di.webex.com.

Wartość "klient" jest podawana przez administratora w ramach Kreatora instalacji po raz pierwszy (FTSW). Aby uzyskać więcej informacji, zobacz Aktywacja usługi dedykowanegowystąpienia.

Rekordy DNS dla tej nazwy FQDN muszą być rozpoznawane z wewnętrznego serwera DNS klienta, aby obsługiwać urządzenia lokalne łączące się z wystąpieniem dedykowanym. Aby ułatwić rozwiązanie, klient musi skonfigurować usługę warunkowego przesyłania dalej dla tej nazwy FQDN na swoim serwerze DNS wskazującym usługę DNS dedykowanego wystąpienia. Usługa DNS dedykowanego wystąpienia jest regionalna i można się z nią skontaktować za pośrednictwem komunikacji równorzędnej z wystąpieniem dedykowanym przy użyciu następujących adresów IP wymienionych w poniższej tabeli Adres IP usługi DNS dedykowanegowystąpienia.

Tabela 4. Adres IP usługi DNS dedykowanego wystąpienia

Region/DC

Adres IP usługi DNS dedykowanego wystąpienia

Przykład przekazywania warunkowego

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

GRZECH

103.232.71.288

Dopóki nie zostanie wprowadzone przekazywanie warunkowe, urządzenia nie będą mogły zarejestrować się w dedykowanej instancji z sieci wewnętrznej klienta za pośrednictwem łączy peeringowych. Przekazywanie warunkowe nie jest wymagane do rejestracji za pośrednictwem usługi Dostęp mobilny i zdalny (MRA), ponieważ wszystkie wymagane zewnętrzne rekordy DNS w celu ułatwienia mrA będą wstępnie aprowizowane przez Cisco.

W przypadku korzystania z aplikacji Webex jako klienta programowego wywołującego w wystąpieniu dedykowanym profil UC Manager musi być skonfigurowany w centrum sterowania dla domeny usługi głosowej (VSD) każdego regionu. Aby uzyskać więcej informacji, zobacz Uc Manager Profiles w Cisco Webex Control Hub. Aplikacja Webex będzie w stanie automatycznie rozwiązać problem z drogą ekspresową klienta bez interwencji użytkownika końcowego.


Domena usługi głosowej zostanie dostarczona klientowi jako część dokumentu dostępu dla partnerów po zakończeniu aktywacji usługi.

Odwołania