Wymagania sieciowe dla dedykowanej instancji

Webex Calling Dedicated Instance jest częścią portfolio Cisco Cloud Calling, opartego na technologii współpracy Cisco Unified Communications Manager (Cisco Unified CM). Dedykowana instancja oferuje rozwiązania głosowe, wideo, komunikacyjne i mobilne z funkcjami i zaletami telefonów IP, urządzeń mobilnych i klientów stacjonarnych Cisco, które bezpiecznie łączą się z dedykowaną instancją.

Ten artykuł jest przeznaczony dla administratorów sieci, w szczególności administratorów zabezpieczeń zapory i serwera proxy, którzy chcą używać dedykowanego wystąpienia w swojej organizacji. Ten dokument koncentruje się przede wszystkim na wymaganiach sieciowych i bezpieczeństwie rozwiązania dedykowanej instancji, w tym warstwowym podejściu do funkcji i funkcjonalności, które zapewniają bezpieczny dostęp fizyczny, bezpieczną sieć, bezpieczne punkty końcowe i bezpieczne aplikacje Cisco UC.

Przegląd zabezpieczeń: Zabezpieczenia w warstwach

Dedykowana instancja wykorzystuje warstwowe podejście do bezpieczeństwa. Warstwy obejmują:

  • Dostęp fizyczny

  • Sieć

  • Punkty końcowe

  • Aplikacje UC

W poniższych sekcjach opisano warstwy zabezpieczeń we wdrożeniach dedykowanych wystąpień .

Bezpieczeństwo fizyczne

Ważne jest, aby zapewnić fizyczne bezpieczeństwo lokalizacjom Equinix Meet-Me Room i obiektom Cisco Dedicated Instance Data Center. Gdy zabezpieczenia fizyczne zostaną naruszone, można zainicjować proste ataki, takie jak zakłócenie usługi poprzez wyłączenie zasilania przełączników klienta. Dzięki fizycznemu dostępowi osoby atakujące mogą uzyskać dostęp do urządzeń serwerowych, zresetować hasła i uzyskać dostęp do przełączników. Dostęp fizyczny ułatwia również bardziej wyrafinowane ataki, takie jak ataki typu man-in-the-middle, dlatego druga warstwa bezpieczeństwa, bezpieczeństwo sieci, ma kluczowe znaczenie.

Dyski samoszyfrujące są używane w centrach danych dedykowanych instancji , które obsługują aplikacje UC.

Aby uzyskać więcej informacji na temat ogólnych praktyk bezpieczeństwa, zapoznaj się z dokumentacją w następującej lokalizacji: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

Bezpieczeństwo sieci

Partnerzy muszą upewnić się, że wszystkie elementy sieci są zabezpieczone w infrastrukturze dedykowanej instancji (która łączy się za pośrednictwem Equinix). Obowiązkiem partnera jest zapewnienie najlepszych praktyk w zakresie bezpieczeństwa, takich jak:

  • Oddzielna sieć VLAN dla głosu i danych

  • Włącz zabezpieczenia portów, które ograniczają liczbę adresów MAC dozwolonych na port, przed zalaniem tabeli CAM

  • Ochrona źródła IP przed sfałszowanymi adresami IP

  • Dynamiczna inspekcja ARP (DAI) bada protokół rozpoznawania adresów (ARP) i nieuzasadniony ARP (GARP) pod kątem naruszeń (przed fałszowaniem ARP)

  • 802.1x ogranicza dostęp do sieci w celu uwierzytelniania urządzeń w przypisanych sieciach VLAN (telefony obsługują standard 8021x).

  • Konfiguracja jakości usług (QoS) dla odpowiedniego oznaczania pakietów głosowych

  • Konfiguracje portów zapory sieciowej do blokowania innego ruchu

Bezpieczeństwo punktów końcowych

Punkty końcowe Cisco obsługują domyślne funkcje zabezpieczeń, takie jak podpisane oprogramowanie układowe, bezpieczny rozruch (wybrane modele), certyfikat zainstalowany przez producenta (MIC) i podpisane pliki konfiguracyjne, które zapewniają określony poziom bezpieczeństwa punktów końcowych.

Ponadto partner lub klient może włączyć dodatkowe zabezpieczenia, takie jak:

  • Szyfrowanie usług telefonii IP (przez HTTPS) dla usług takich jak Extension Mobility

  • Wystawianie certyfikatów istotnych lokalnie (LSC) z funkcji serwera proxy urzędu certyfikacji (CAPF) lub publicznego urzędu certyfikacji (CA)

  • Szyfrowanie plików konfiguracyjnych

  • Szyfrowanie multimediów i sygnalizacji

  • Wyłącz te ustawienia, jeśli nie są używane: Port PC, PC Voice VLAN Access, Bezpłatny ARP, Web Access, Przycisk Ustawienia, SSH, konsola

Implementacja mechanizmów bezpieczeństwa w Dedykowanej Instancji zapobiega kradzieży tożsamości telefonów i serwera Unified CM, manipulowaniu danymi oraz sygnalizacji połączeń / manipulowaniu strumieniem multimediów.

Dedykowana instancja przez sieć:

  • Ustanawia i utrzymuje uwierzytelnione strumienie komunikacji

  • Cyfrowe podpisywanie plików przed przesłaniem pliku do telefonu

  • Szyfruje strumienie multimediów i sygnalizację połączeń między telefonami IP Cisco Unified

Domyślna konfiguracja zabezpieczeń

Zabezpieczenia domyślnie zapewniają następujące automatyczne funkcje zabezpieczeń dla telefonów IP Cisco Unified:

  • Podpisywanie plików konfiguracyjnych telefonu

  • Obsługa szyfrowania plików konfiguracyjnych telefonu

  • HTTPS z Tomcat i innymi usługami internetowymi (MIDlets)

W przypadku unified CM Release 8.0 nowsze te funkcje zabezpieczeń są domyślnie dostępne bez uruchamiania klienta listy zaufania certyfikatów (CTL).

Usługa weryfikacji zaufania

Ponieważ w sieci znajduje się duża liczba telefonów, a telefony IP mają ograniczoną pamięć, Cisco Unified CM działa jako zdalny magazyn zaufania za pośrednictwem usługi weryfikacji zaufania (TRUST Verification Service), dzięki czemu magazyn zaufania certyfikatów nie musi być umieszczany na każdym telefonie. Telefony IP Cisco kontaktują się z serwerem TVS w celu weryfikacji, ponieważ nie mogą zweryfikować podpisu lub certyfikatu za pomocą plików CTL lub ITL. Posiadanie centralnego magazynu zaufania jest łatwiejsze w zarządzaniu niż posiadanie magazynu zaufania na każdym telefonie IP Cisco Unified.

TVS umożliwia telefonom IP Cisco Unified uwierzytelnianie serwerów aplikacji, takich jak usługi EM, katalog i MIDlet, podczas ustanawiania protokołu HTTPS.

Początkowa lista zaufania

Plik początkowej listy zaufania (ITL) jest używany do początkowego zabezpieczenia, dzięki czemu punkty końcowe mogą ufać Cisco Unified CM. ITL nie wymaga jawnego włączenia żadnych funkcji zabezpieczeń. Plik ITL jest tworzony automatycznie po zainstalowaniu klastra. Klucz prywatny serwera TFTP (Unified CM Trivial File Transfer Protocol) jest używany do podpisywania pliku ITL.

Gdy klaster lub serwer Cisco Unified CM jest w trybie niezabezpieczonym, plik ITL jest pobierany na każdy obsługiwany telefon IP Cisco. Partner może wyświetlić zawartość pliku ITL za pomocą polecenia interfejsu wiersza polecenia admin:show itl.

Telefony IP Cisco potrzebują pliku ITL do wykonywania następujących zadań:

  • Bezpieczna komunikacja z CAPF, co jest warunkiem wstępnym obsługi szyfrowania plików konfiguracyjnych

  • Uwierzytelnianie podpisu pliku konfiguracyjnego

  • Uwierzytelnianie serwerów aplikacji, takich jak usługi EM, katalog i MIDlet podczas ustanawiania protokołu HTTPS przy użyciu TVS

Cisco CTL

Uwierzytelnianie urządzeń, plików i sygnalizacji opiera się na utworzeniu pliku listy zaufania certyfikatów (CTL), który jest tworzony, gdy partner lub klient instaluje i konfiguruje klienta listy zaufania certyfikatów Cisco.

Plik CTL zawiera wpisy dla następujących serwerów lub tokenów zabezpieczających:

  • Token zabezpieczający Administratora systemu (SAST)

  • Usługi Cisco CallManager i Cisco TFTP uruchomione na tym samym serwerze

  • Funkcja proxy urzędu certyfikacji (CAPF)

  • Serwery TFTP

  • Zapora sieciowa ASA

Plik CTL zawiera certyfikat serwera, klucz publiczny, numer seryjny, podpis, nazwę wystawcy, nazwę podmiotu, funkcję serwera, nazwę DNS i adres IP dla każdego serwera.

Zabezpieczenia telefonu z CTL zapewniają następujące funkcje:

  • Uwierzytelnianie pobranych plików TFTP (konfiguracja, ustawienia regionalne, lista pierścieni itd.) przy użyciu klucza podpisywania

  • Szyfrowanie plików konfiguracyjnych TFTP przy użyciu klucza podpisywania

  • Szyfrowana sygnalizacja połączeń dla telefonów IP

  • Szyfrowane połączenie audio (media) dla telefonów IP

Zabezpieczenia telefonów IP Cisco w dedykowanej instancji

Dedykowana instancja zapewnia rejestrację punktów końcowych i przetwarzanie połączeń. Sygnalizacja między Cisco Unified CM a punktami końcowymi jest oparta na protokole ScCP (Secure Skinny Client Control Protocol) lub SIP (Session Initiation Protocol) i może być szyfrowana przy użyciu protokołu TLS (Transport Layer Security). Nośnik z/do punktów końcowych jest oparty na protokole RTP (Real-time Transport Protocol) i może być również szyfrowany przy użyciu protokołu Secure RTP (SRTP).

Włączenie trybu mieszanego w Unified CM umożliwia szyfrowanie ruchu sygnalizacyjnego i medialnego z i do punktów końcowych Cisco.

Bezpieczne aplikacje UC

Włączanie trybu mieszanego w dedykowanej instancji

Tryb mieszany nie jest domyślnie włączony w wystąpieniu dedykowanym.

Włączenie trybu mieszanego w dedykowanej instancji umożliwia szyfrowanie sygnalizacji i ruchu multimedialnego z i do punktów końcowych Cisco.

W Cisco Unified CM release 12.5(1) dodano nową opcję włączania szyfrowania sygnalizacji i multimediów w oparciu o SIP OAuth zamiast trybu mieszanego / CTL dla klientów Jabber i Webex. Dlatego w Unified CM w wersji 12.5(1) SIP OAuth i SRTP mogą być używane do włączania szyfrowania sygnalizacji i multimediów dla klientów Jabber lub Webex. Włączenie trybu mieszanego jest nadal wymagane dla telefonów IP Cisco i innych punktów końcowych Cisco w tym czasie. Istnieje plan dodania obsługi SIP OAuth w punktach końcowych 7800/8800 w przyszłej wersji.

Zabezpieczenia wiadomości głosowych

Cisco Unity Connection łączy się z Unified CM przez port TLS. Gdy tryb zabezpieczeń urządzenia nie jest bezpieczny, Cisco Unity Connection łączy się z Unified CM przez port SCCP.

Aby skonfigurować zabezpieczenia portów wiadomości głosowych Unified CM i urządzeń Cisco Unity z uruchomionym SCCP lub Cisco Unity Connection, na których jest uruchomiony SCCP, partner może wybrać tryb zabezpieczeń bezpiecznego urządzenia dla portu. Jeśli wybierzesz port uwierzytelnionej poczty głosowej, zostanie otwarte połączenie TLS, które uwierzytelnia urządzenia przy użyciu wzajemnej wymiany certyfikatów (każde urządzenie akceptuje certyfikat drugiego urządzenia). Jeśli wybierzesz zaszyfrowany port poczty głosowej, system najpierw uwierzytelni urządzenia, a następnie wysyła zaszyfrowane strumienie głosu między urządzeniami.

Aby uzyskać więcej informacji na temat portów wiadomości Security Voice, zobacz: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

Zabezpieczenia dla SRST, Trunks, Gateways, CUBE/SBC

Brama obsługująca technologię SrST (Remote Site Telephony) firmy Cisco Unified Survivable Remote Site Telephony zapewnia ograniczone zadania przetwarzania połączeń, jeśli cisco Unified CM w wystąpieniu dedykowanym nie może ukończyć połączenia.

Bezpieczne bramy obsługujące protokół SRST zawierają certyfikat z podpisem własnym. Gdy partner wykona zadania konfiguracyjne SRST w ujednoliconej administracji CM, Unified CM używa połączenia TLS do uwierzytelniania za pomocą usługi Dostawcy certyfikatów w bramie obsługującej SRST. Następnie Unified CM pobiera certyfikat z bramy obsługującej SRST i dodaje certyfikat do bazy danych Unified CM.

Po zresetowaniu urządzeń zależnych przez partnera w ujednoliconej administracji CM serwer TFTP dodaje certyfikat bramy obsługującej PROTOKÓŁ SRST do pliku cnf.xml telefonu i wysyła plik do telefonu. Bezpieczny telefon używa następnie połączenia TLS do interakcji z bramą obsługującą SRST.

Zaleca się posiadanie bezpiecznych magistrali dla połączenia pochodzącego z Cisco Unified CM do bramy dla wychodzących połączeń PSTN lub przechodzenia przez Cisco Unified Border Element (CUBE).

Magistrale SIP mogą obsługiwać bezpieczne połączenia zarówno dla sygnalizacji, jak i mediów; Protokół TLS zapewnia szyfrowanie sygnalizacji, a protokół SRTP zapewnia szyfrowanie nośników.

Zabezpieczanie komunikacji między Cisco Unified CM i CUBE

Aby zapewnić bezpieczną komunikację między Cisco Unified CM i CUBE, partnerzy/klienci muszą używać certyfikatów z podpisem własnym lub certyfikatów podpisanych przez urząd certyfikacji.

W przypadku certyfikatów z podpisem własnym:

  1. CUBE i Cisco Unified CM generują certyfikaty z podpisem własnym

  2. CUBE eksportuje certyfikat do Cisco Unified CM

  3. Cisco Unified CM eksportuje certyfikat do modułu CUBE

W przypadku certyfikatów podpisanych przez urząd certyfikacji:

  1. Klient generuje parę kluczy i wysyła żądanie podpisania certyfikatu (CSR) do urzędu certyfikacji (CA)

  2. Urząd certyfikacji podpisuje go swoim kluczem prywatnym, tworząc certyfikat tożsamości

  3. Klient instaluje listę zaufanych certyfikatów głównych i pośredniczących urzędów certyfikacji oraz certyfikat tożsamości

Zabezpieczenia zdalnych punktów końcowych

W przypadku punktów końcowych dostępu mobilnego i zdalnego (MRA) sygnalizacja i nośniki są zawsze szyfrowane między punktami końcowymi MRA a węzłami drogi ekspresowej. Jeśli protokół ICE (Interactive Connectivity Establishment) jest używany dla punktów końcowych MRA, wymagane jest szyfrowanie sygnalizacji i nośników punktów końcowych MRA. Jednak szyfrowanie sygnalizacji i nośników między Expressway-C a wewnętrznymi serwerami Unified CM, wewnętrznymi punktami końcowymi lub innymi urządzeniami wewnętrznymi wymaga trybu mieszanego lub SIP OAuth.

Cisco Expressway zapewnia bezpieczne przechodzenie przez zaporę i obsługę linii dla ujednoliconych rejestracji CM. Unified CM zapewnia kontrolę połączeń zarówno dla mobilnych, jak i lokalnych punktów końcowych. Sygnalizacja przechodzi przez rozwiązanie Expressway między zdalnym punktem końcowym a Unified CM. Media przechodzą przez rozwiązanie Expressway i są przekazywane bezpośrednio między punktami końcowymi. Wszystkie nośniki są szyfrowane między drogą ekspresową C a mobilnym punktem końcowym.

Każde rozwiązanie MRA wymaga Expressway i Unified CM, z miękkimi klientami kompatybilnymi z MRA i / lub stałymi punktami końcowymi. Rozwiązanie może opcjonalnie obejmować usługi IM i Presence Service oraz Unity Connection.

Podsumowanie protokołu

W poniższej tabeli przedstawiono protokoły i skojarzone usługi używane w rozwiązaniu Unified CM.

Tabela 1. Protokoły i powiązane usługi

Protokół

Zabezpieczenia

Usługa

SIP

TLS

Ustanowienie sesji: Zarejestruj się, zaproś itp.

Protokół HTTPS

TLS

Logowanie, Inicjowanie obsługi/konfiguracja, Katalog, Wizualna poczta głosowa

Multimedia

Protokół SRTP

Media: Audio, wideo, udostępnianie treści

XMPP

TLS

Wiadomości błyskawiczne, obecność, federacja

Aby uzyskać więcej informacji na temat konfiguracji MRA, zobacz: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

Opcje konfiguracji

Dedykowana instancja zapewnia partnerowi elastyczność dostosowywania usług dla użytkowników końcowych poprzez pełną kontrolę nad konfiguracjami drugiego dnia. W rezultacie Partner ponosi wyłączną odpowiedzialność za prawidłową konfigurację usługi Dedykowanej Instancji dla środowiska użytkownika końcowego. Obejmuje to między innymi:

  • Wybór bezpiecznych / niezabezpieczonych połączeń, bezpiecznych / niezabezpieczonych protokołów, takich jak SIP / sSIP, http / https itp. i zrozumienie wszelkich powiązanych zagrożeń.

  • W przypadku wszystkich adresów MAC, które nie zostały skonfigurowane jako bezpieczne SIP w dedykowanym wystąpieniu, osoba atakującamoże wysłać wiadomość SIP Register przy użyciu tego adresu MAC i być w stanie wykonywać połączenia SIP, co prowadzi do oszustw związanych z opłatami drogowymi. Zaletą jest to, że atakujący może zarejestrować swoje urządzenie/oprogramowanie SIP w dedykowanej instancji bez autoryzacji, jeśli zna adres MAC urządzenia zarejestrowanego w dedykowanej instancji.

  • Zasady połączeń Expressway-E, transform i reguły wyszukiwania powinny być skonfigurowane tak, aby zapobiec oszustwom związanym z opłatami drogowymi. Aby uzyskać więcej informacji na temat zapobiegania oszustwom związanym z opłatami drogowymi przy użyciu dróg ekspresowych, zapoznaj się z sekcją Bezpieczeństwo drogi ekspresowej C i drogi ekspresowej E Collaboration SRND.

  • Konfiguracja planu wybierania numerów, aby zapewnić, że użytkownicy mogą wybierać tylko miejsca docelowe, które są dozwolone, np. Zabraniaj wybierania numerów krajowych / międzynarodowych, połączenia alarmowe są prawidłowo przekierowywane itp. Więcej informacji na temat stosowania ograniczeń przy użyciu planu wybierania numerów można znaleźć w sekcji Plan wybierania numerów w sekcji Współpraca SRND.

Wymagania dotyczące certyfikatów dla bezpiecznych połączeń w wystąpieniu dedykowanym

W przypadku dedykowanego wystąpienia firma Cisco udostępni domenę i podpisze wszystkie certyfikaty dla aplikacji UC przy użyciu publicznego urzędu certyfikacji (CA).

Dedykowana instancja – numery portów i protokoły

W poniższych tabelach opisano porty i protokoły obsługiwane w wystąpieniu dedykowanym. Porty, które są używane dla danego klienta, zależą od wdrożenia i rozwiązania klienta. Protokoły zależą od preferencji klienta (SCCP vs SIP), istniejących urządzeń lokalnych i poziomu zabezpieczeń określających, które porty mają być używane w każdym wdrożeniu.

Dedykowana instancja – porty klienta

Porty dostępne dla klientów - pomiędzy siedzibą klienta a wystąpieniem dedykowanym są pokazane w tabeli 1 Porty klienta dedykowanej instancji. Wszystkie porty wymienione poniżej są przeznaczone dla ruchu klientów przechodzącego przez łącza równorzędne.


Port SNMP jest obsługiwany tylko dla funkcji CER, a nie dla innych narzędzi do monitorowania innych firm.


Porty z zakresu od 5063 do 5080 są zarezerwowane przez Cisco dla innych integracji z chmurą, zaleca się, aby administratorzy partnerscy lub klienci nie używali tych portów w swoich konfiguracjach.

Tabela 2. Dedykowane porty klienta instancji

Protokół

Protokół TCP/UCP

Źródło

Miejsce docelowe

Port źródłowy

Port docelowy

Cel

Protokół SSH

TCP

Klient

Aplikacje UC

Większe niż 1023

22

Administracja

LDAP

TCP

Aplikacje UC

Katalog zewnętrzny

Większe niż 1023

389

Synchronizacja katalogów z protokołem LDAP klienta

Protokół HTTPS

TCP

Przeglądarka

Aplikacje UC

Większe niż 1023

443

Dostęp do sieci Web dla interfejsów samoobsługowych i administracyjnych

LDAP (BEZPIECZNY)

TCP

Aplikacje UC

Katalog zewnętrzny

Większe niż 1023

636

Synchronizacja katalogów z protokołem LDAP klienta

ScCP

TCP

Punkt końcowy

Zunifikowany CM, CUCxn

Większe niż 1023

2000

Sygnalizacja połączeń

ScCP

TCP

Unified CM

Zunifikowany CM, Gateway

Większe niż 1023

2000

Sygnalizacja połączeń

SCCP (BEZPIECZNE)

TCP

Punkt końcowy

Zunifikowany CM, CUCxn

Większe niż 1023

2443

Sygnalizacja połączeń

SCCP (BEZPIECZNE)

TCP

Unified CM

Zunifikowany CM, Gateway

Większe niż 1023

2443

Sygnalizacja połączeń

Weryfikacja zaufania

TCP

Punkt końcowy

Unified CM

Większe niż 1023

2445

Świadczenie usługi weryfikacji zaufania dla punktów końcowych

CTI

TCP

Punkt końcowy

Unified CM

Większe niż 1023

2748

Połączenie między aplikacjami CTI (JTAPI/TSP) a CTIManager

Bezpieczne CTI

TCP

Punkt końcowy

Unified CM

Większe niż 1023

2749

Bezpieczne połączenie między aplikacjami CTI (JTAPI/TSP) a CTIManager

Wykaz globalny LDAP

TCP

Aplikacje UC

Katalog zewnętrzny

Większe niż 1023

3268

Synchronizacja katalogów z protokołem LDAP klienta

Wykaz globalny LDAP

TCP

Aplikacje UC

Katalog zewnętrzny

Większe niż 1023

3269

Synchronizacja katalogów z protokołem LDAP klienta

Usługa CAPF

TCP

Punkt końcowy

Unified CM

Większe niż 1023

3804

Port nasłuchiwania funkcji CAPF (Certificate Authority Proxy Function) do wystawiania certyfikatów O znaczeniu lokalnym (LSC) telefonom IP

SIP

TCP

Punkt końcowy

Zunifikowany CM, CUCxn

Większe niż 1023

5060

Sygnalizacja połączeń

SIP

TCP

Unified CM

Zunifikowany CM, Gateway

Większe niż 1023

5060

Sygnalizacja połączeń

SIP (BEZPIECZNY)

TCP

Punkt końcowy

Unified CM

Większe niż 1023

5061

Sygnalizacja połączeń

SIP (BEZPIECZNY)

TCP

Unified CM

Zunifikowany CM, Gateway

Większe niż 1023

5061

Sygnalizacja połączeń

SIP (OAUTH)

TCP

Punkt końcowy

Unified CM

Większe niż 1023

5090

Sygnalizacja połączeń

XMPP

TCP

Klient Jabber

Cisco IM&P

Większe niż 1023

5222

Wiadomości błyskawiczne i informacje o obecności

HTTP

TCP

Punkt końcowy

Unified CM

Większe niż 1023

6970

Pobieranie konfiguracji i obrazów do punktów końcowych

Protokół HTTPS

TCP

Punkt końcowy

Unified CM

Większe niż 1023

6971

Pobieranie konfiguracji i obrazów do punktów końcowych

Protokół HTTPS

TCP

Punkt końcowy

Unified CM

Większe niż 1023

6972

Pobieranie konfiguracji i obrazów do punktów końcowych

HTTP

TCP

Klient Jabber

CUCxn

Większe niż 1023

7080

Powiadomienia poczty głosowej

Protokół HTTPS

TCP

Klient Jabber

CUCxn

Większe niż 1023

7443

Bezpieczne powiadomienia poczty głosowej

Protokół HTTPS

TCP

Unified CM

Unified CM

Większe niż 1023

7501

Używany przez usługę Intercluster Lookup Service (ILS) do uwierzytelniania opartego na certyfikatach

Protokół HTTPS

TCP

Unified CM

Unified CM

Większe niż 1023

7502

Używany przez ILS do uwierzytelniania opartego na hasłach

IMAP

TCP

Klient Jabber

CUCxn

Większe niż 1023

7993

IMAP przez TLS

Protokół HTTPS

TCP

Przeglądarka, Punkt końcowy

Aplikacje UC

Większe niż 1023

8443

Dostęp do sieci dla interfejsów samoobsługowych i administracyjnych, UDS

Protokół HTTPS

TCP

Prem

Unified CM

Większe niż 1023

9443

Wyszukiwanie uwierzytelnionych kontaktów

Bezpieczne RTP/SRTP

UDP

Unified CM

Telefon

od 16384 do 32767 *

od 16384 do 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Open based on call signaling)

Bezpieczne RTP/SRTP

UDP

Telefon

Unified CM

od 16384 do 32767 *

od 16384 do 32767 *

Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Open based on call signaling)

ICMP

ICMP

Punkt końcowy

Aplikacje UC

nd.

nd.

Ping

ICMP

ICMP

Aplikacje UC

Punkt końcowy

nd.

nd.

Ping

* Niektóre szczególne przypadki mogą korzystać z większego zakresu.

Dedykowana instancja – porty OTT

Poniższa lista portów może być używana przez klientów i partnerów do konfiguracji dostępu mobilnego i zdalnego (MRA):

Tabela 3. Lista portów dla OTT

Protokół

Protokół TCP/UCP

Źródło

Miejsce docelowe

Port źródłowy

Port docelowy

Cel

BEZPIECZNY SIP

TCP

Punkt końcowy

Droga ekspresowa E

Większe niż 1023

5061

Bezpieczna sygnalizacja SIP Do rejestracji MRA i połączeń

BEZPIECZNY SIP

TCP

Punkt końcowy/serwer

Droga ekspresowa E

Większe niż 1023

5062

Bezpieczny SIP dla połączeń B2B

BEZPIECZNE RTP/RTCP

UDP

Punkt końcowy/serwer

Droga ekspresowa E

Większe niż 1023

36000-59999

Bezpieczne multimedia dla połączeń MRA i B2B

HTTPS (BEZPIECZNY)

TLS

Klient

Droga ekspresowa E

Większe niż 1023

8443

CUCM UDS i CUCxn REST dla połączeń MRA

XmlS

TLS

Klient

Droga ekspresowa E

Większe niż 1023

5222

Wiadomości błyskawiczne i obecność

SKRĘCIĆ

UDP

Klient ICE

Droga ekspresowa E

Większe niż 1023

3478

Negocjacje ICE/STUN/TURN

BEZPIECZNE RTP/RTCP

UPD

Klient ICE

Droga ekspresowa E

Większe niż 1023

24000-29999

Nośniki TURN dla ICE rezerwowych

Dedykowana instancja – porty UCCX

Poniższa lista portów może być używana przez klientów i partnerów do konfigurowania UCCX.

Tabela 4. Porty Cisco UCCX

Protokół

TCP / UCP

Źródło

Miejsce docelowe

Port źródłowy

Port docelowy

Cel

Protokół SSH

TCP

Klient

UCCX

Większe niż 1023

22

SFTP i SSH

Informix

TCP

Klient lub serwer

UCCX

Większe niż 1023

1504

Ujednolicony port bazy danych CCX

SIP

UDP i TCP

Serwer SIP GW lub MCRP

UCCX

Większe niż 1023

5065

Komunikacja ze zdalnymi węzłami GW i MCRP

XMPP

TCP

Klient

UCCX

Większe niż 1023

5223

Bezpieczne połączenie XMPP między serwerem Finesse a niestandardowymi aplikacjami innych firm

Życiorys

TCP

Klient

UCCX

Większe niż 1023

6999

Edytor do aplikacji CCX

Protokół HTTPS

TCP

Klient

UCCX

Większe niż 1023

7443

Bezpieczne połączenie BOSH między serwerem Finesse a pulpitami agentów i nadzorców do komunikacji za pośrednictwem protokołu HTTPS

HTTP

TCP

Klient

UCCX

Większe niż 1023

8080

Klienci raportowania danych na żywo łączą się z gniazdem. Serwer IO

HTTP

TCP

Klient

UCCX

Większe niż 1023

8081

Przeglądarka klienta próbująca uzyskać dostęp do interfejsu internetowego Cisco Unified Intelligence Center

HTTP

TCP

Klient

UCCX

Większe niż 1023

8443

Admin GUI, RTMT, DB dostęp przez SOAP

Protokół HTTPS

TCP

Klient

UCCX

Większe niż 1023

8444

Interfejs sieciowy Cisco Unified Intelligence Center

Protokół HTTPS

TCP

Przeglądarka i klienci REST

UCCX

Większe niż 1023

8445

Bezpieczny port dla Finezji

Protokół HTTPS

TCP

Klient

UCCX

Większe niż 1023

8447

HTTPS - Unified Intelligence Center — pomoc online

Protokół HTTPS

TCP

Klient

UCCX

Większe niż 1023

8553

Składniki logowania jednokrotnego (SSO) uzyskują dostęp do tego interfejsu, aby poznać stan operacyjny usługi Cisco IdS.

HTTP

TCP

Klient

UCCX

Większe niż 1023

9080

Klienci próbujący uzyskać dostęp do wyzwalaczy HTTP lub dokumentów / monitów / gramatyki / danych na żywo.

Protokół HTTPS

TCP

Klient

UCCX

Większe niż 1023

9443

Bezpieczny port używany do reagowania na klientów próbujących uzyskać dostęp do wyzwalaczy HTTPS

TCP

TCP

Klient

UCCX

Większe niż 1023

12014

Jest to port, w którym klienci raportowania danych na żywo mogą łączyć się z gniazdem. Serwer IO

TCP

TCP

Klient

UCCX

Większe niż 1023

12015

Jest to port, w którym klienci raportowania danych na żywo mogą łączyć się z gniazdem. Serwer IO

CTI

TCP

Klient

UCCX

Większe niż 1023

12028

Zewnętrzny klient CTI do CCX

RTP(Media)

TCP

Punkt końcowy

UCCX

Większe niż 1023

Większe niż 1023

Port multimediów jest otwierany dynamicznie w razie potrzeby

RTP(Media)

TCP

Klient

Punkt końcowy

Większe niż 1023

Większe niż 1023

Port multimediów jest otwierany dynamicznie w razie potrzeby

Bezpieczeństwo klienta

Zabezpieczanie Jabber i Webex za pomocą SIP OAuth

Klienci Jabber i Webex są uwierzytelniani za pomocą tokenu OAuth zamiast lokalnie istotnego certyfikatu (LSC), który nie wymaga włączenia funkcji proxy urzędu certyfikacji (CAPF) (również dla MRA). SIP OAuth pracujący z trybem mieszanym lub bez niego został wprowadzony w Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.

W Cisco Unified CM 12.5 mamy nową opcję w Profilu zabezpieczeń telefonu, która umożliwia szyfrowanie bez LSC/CAPF, przy użyciu pojedynczego protokołu Transport Layer Security (TLS) + OAuth token w SIP REGISTER. Węzły Expressway-C używają interfejsu API Administrative XML Web Service (AXL) do informowania Cisco Unified CM o SN/SAN w swoim certyfikacie. Cisco Unified CM używa tych informacji do sprawdzania poprawności certyfikatu Exp-C podczas ustanawiania wzajemnego połączenia TLS.

SIP OAuth umożliwia szyfrowanie nośników i sygnalizacji bez certyfikatu punktu końcowego (LSC).

Cisco Jabber używa portów efemerycznych i bezpiecznych portów 6971 i 6972 za pośrednictwem połączenia HTTPS z serwerem TFTP do pobierania plików konfiguracyjnych. Port 6970 jest niezabezpieczonym portem do pobrania przez HTTP.

Więcej szczegółów na temat konfiguracji SIP OAuth: TrybSIP OAuth.

Wymagania DNS

W przypadku wystąpienia dedykowanego Cisco udostępnia nazwę FQDN usługi w każdym regionie w następującym formacie <customer><region>. wxc-di.webex.com przykład xyz.amer.wxc-di.webex.com.

Wartość "klient" jest podawana przez administratora w ramach Kreatora instalacji po raz pierwszy (FTSW). Aby uzyskać więcej informacji, zobacz Aktywacjausługi dedykowanego wystąpienia.

Rekordy DNS dla tej nazwy FQDN muszą być rozpoznawane z wewnętrznego serwera DNS klienta, aby obsługiwać urządzenia lokalne łączące się z wystąpieniem dedykowanym. Aby ułatwić rozwiązanie, klient musi skonfigurować usługę warunkowego przesyłania dalej dla tej nazwy FQDN na swoim serwerze DNS wskazującym usługę DNS dedykowanego wystąpienia. Usługa DNS dedykowanego wystąpienia jest regionalna i można się z nią skontaktować za pośrednictwem komunikacji równorzędnej z wystąpieniem dedykowanym przy użyciu następujących adresów IP wymienionych w poniższej tabeli AdresIP usługi DNS dedykowanego wystąpienia.

Tabela 5. Adres IP usługi DNS dedykowanego wystąpienia

Region/DC

Adres IP usługi DNS dedykowanego wystąpienia

Przykład przekazywania warunkowego

AMER

<customer>amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.228

EMEA

<customer>emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.228

APJC

<customer>apjc.wxc-di.webex.com

TOK

103.232.71.100

GRZECH

103.232.71.228

AUS

<customer>aus.wxc-di.webex.com

MEL

178.215.128.100

SYD

178.215.128.228


Opcja ping jest wyłączona dla wyżej wymienionych adresów IP serwera DNS ze względów bezpieczeństwa.

Dopóki nie zostanie wprowadzone przekazywanie warunkowe, urządzenia nie będą mogły zarejestrować się w dedykowanej instancji z sieci wewnętrznej klienta za pośrednictwem łączy peeringowych. Przekazywanie warunkowe nie jest wymagane do rejestracji za pośrednictwem usługi Dostęp mobilny i zdalny (MRA), ponieważ wszystkie wymagane zewnętrzne rekordy DNS w celu ułatwienia mrA będą wstępnie aprowizowane przez Cisco.

W przypadku korzystania z aplikacji Webex jako klienta programowego wywołującego w wystąpieniu dedykowanym profil UC Manager musi być skonfigurowany w centrum sterowania dla domeny usługi głosowej (VSD) każdego regionu. Więcej informacji można znaleźć w sekcji Uc Manager Profiles in Cisco Webex Control Hub. Aplikacja Webex będzie w stanie automatycznie rozwiązać problem z drogą ekspresową klienta bez interwencji użytkownika końcowego.


Domena usługi głosowej zostanie dostarczona klientowi jako część dokumentu dostępu dla partnerów po zakończeniu aktywacji usługi.